Freigeben über

Rollen mit den geringsten Berechtigungen nach Aufgabe in Microsoft Entra ID

  • Artikel

In diesem Artikel wird die Rolle mit den geringsten Rechten beschrieben, die Sie für mehrere Aufgaben in der Microsoft Entra-ID verwenden sollten. Sie werden Aufgaben finden, die nach Funktionsbereichen und der Rolle mit den geringsten Berechtigungen geordnet sind, die zum Ausführen jeder Aufgabe erforderlich sind, zusammen mit zusätzlichen nicht-globalen Administratorrollen, die die Aufgabe ausführen können.

Sie können Berechtigungen weiter einschränken, indem Sie Rollen in kleineren Bereichen zuweisen oder eigene benutzerdefinierte Rollen erstellen. Weitere Informationen finden Sie unter Zuweisen von Microsoft Entra-Rollen oder Erstellen einer benutzerdefinierten Rolle in Microsoft Entra ID.

Anwendungsproxyrollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra-Anwendungsproxyverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren einer Anwendungsproxy-App Anwendungsadministrator
Konfigurieren von Connectorgruppeneigenschaften Anwendungsadministrator
Erstellen einer Anwendungsregistrierung, wenn die Funktion für alle Benutzer deaktiviert ist Anwendungsentwickler Cloudanwendungsadministrator
Anwendungsadministrator
Erstellen einer Connectorgruppe Anwendungsadministrator
Löschen einer Connectorgruppe Anwendungsadministrator
Anwendungsproxy deaktivieren Anwendungsadministrator
Herunterladen eines Connectordiensts Anwendungsadministrator
Lesen aller Konfigurationen Anwendungsadministrator

Externe Identitäten/Azure AD B2C-Rollen mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in microsoft Entra External ID und Azure Active Directory B2C-verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen von Azure AD B2C-Verzeichnissen Alle Nicht-Gastbenutzer
Erstellen von Unternehmensanwendungen Cloudanwendungsadministrator Anwendungsadministrator
Erstellen, Lesen, Aktualisieren und Löschen von B2C-Richtlinien B2C-IEF-Richtlinienadministrator
Erstellen, Lesen, Aktualisieren und Löschen von Identitätsanbietern Externer Identitätsanbieteradministrator
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Kennwortzurücksetzung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Profilbearbeitung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Anmeldung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerflows zur Registrierung Administrator für Benutzerflows mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzerattributen Administrator für Benutzerflowattribute mit externer ID
Erstellen, Lesen, Aktualisieren und Löschen von Benutzern Benutzeradministrator
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Gastbenutzerzugriff Administrator für privilegierte Rollen
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einstellungen für Gasteinladungen Gasteinladender Administrator für Benutzerflows mit externer ID
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einstellungen zum Verlassen von externen Benutzern Externer Identitätsanbieteradministrator
Konfigurieren der Einstellungen für die externe B2B Zusammenarbeit – Einschränkungen für die Zusammenarbeit Globaler Administrator
Lesen aller Konfigurationen Globaler Leser
Lesen von B2C-Überwachungsprotokollen Globaler Leser

Hinweis

Globale Azure AD B2C-Administratoren haben nicht die gleichen Berechtigungen wie Globale Microsoft Entra-Administratoren. Wenn Sie über globale Azure AD B2C-Administratorrechte verfügen, stellen Sie sicher, dass Sie sich in einem Azure AD B2C-Verzeichnis und nicht in einem Microsoft Entra-Verzeichnis befinden.

Unternehmensbranding mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Unternehmensbranding in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren des Unternehmensbrandings Organisationsbrandingadministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Verbinden von Rollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Connectverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Hybrididentitätsadministrator
Lesen aller Konfigurationen Globaler Leser Hybrididentitätsadministrator
Nahtloses einmaliges Anmelden Hybrididentitätsadministrator

Verbinden von Rollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Connect Syncverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten der lokalen Verzeichnissynchronisierung Hybrididentitätsadministrator

Cloudbereitstellung mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Identitätsbereitstellung in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Pass-Through-Authentifizierung Hybrididentitätsadministrator
Lesen aller Konfigurationen Globaler Leser Hybrididentitätsadministrator
Nahtloses einmaliges Anmelden Hybrididentitätsadministrator

Verbinden der Am wenigsten privilegierten Rollen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Connect Healthverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen oder Löschen von Diensten Bes.
Anwenden von Fehlerbehebungen zum Synchronisieren von Fehlern Mitwirkender Bes.
Konfigurieren von Benachrichtigungen Mitwirkender Bes.
Konfigurieren von Einstellungen Bes.
Konfigurieren von Synchronisierungsbenachrichtigungen Mitwirkender Bes.
Lesen von AD FS-Sicherheitsberichten Sicherheitsleseberechtigter Mitwirkender
Bes.
Lesen aller Konfigurationen Leser Mitwirkender
Bes.
Lesen von Synchronisierungsfehlern Leser Mitwirkender
Bes.
Lesen von Synchronisierungsdiensten Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen Leser Mitwirkender
Bes.
Anzeigen von Metriken und Warnungen zum Synchronisierungsdienst Leser Mitwirkender
Bes.

Benutzerdefinierte Domänennamen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für benutzerdefinierten Domänennamen in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Domänen Domänennamenadministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle

Domänendienste mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Domain Servicesverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen von Microsoft Entra Domain Services-Instanzen Anwendungsadministrator
Gruppenadministrator
Mitwirkender für Domänendienste
Ausführen aller Microsoft Entra Domain Services-Aufgaben AAD-DC-Administratorengruppe
Lesen aller Konfigurationen Leser für Azure-Abonnements, die den AD DS-Dienst umfassen

Geräte mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Geräteidentität in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Löschen des Geräts Cloudgeräteadministrator Intune-Administrator
Deaktivieren eines Geräts Cloudgeräteadministrator Intune-Administrator
Aktivieren eines Geräts Cloudgeräteadministrator Intune-Administrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Lesen von BitLocker-Schlüsseln Cloudgeräteadministrator Helpdeskadministrator
Intune-Administrator
Sicherheitsadministrator
Sicherheitsleseberechtigter

Unternehmensanwendungen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Anwendungsverwaltung in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erteilen der Zustimmung zu delegierten Berechtigungen Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen, jedoch nicht für Microsoft Graph Cloudanwendungsadministrator Anwendungsadministrator
Erteilen der Einwilligung zu Anwendungsberechtigungen für Microsoft Graph Administrator für privilegierte Rollen
Erteilen der Zustimmung für Anwendungen, die auf eigene Daten zugreifen Standardbenutzerrolle
Erstellen einer Unternehmensanwendung Cloudanwendungsadministrator Anwendungsadministrator
Verwalten eines Anwendungsproxys Anwendungsadministrator
Überprüfung des Lesezugriffs einer Gruppe oder einer App Sicherheitsleseberechtigter Sicherheitsadministrator
Benutzeradministrator
Lesen aller Konfigurationen Standardbenutzerrolle
Aktualisieren von Enterprise-Anwendungszuweisungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Benutzeradministrator
Aktualisieren von Enterprise-Anwendungsbesitzern Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Enterprise-Anwendungseigenschaften Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren der Enterprise-Anwendungsbereitstellung Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren des Self-Service-Zugriffs auf Enterprise-Anwendungen Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Aktualisieren von Eigenschaften für das einmalige Anmelden Unternehmensanwendungsbesitzer Cloudanwendungsadministrator
Anwendungsadministrator
Erstellen und Verwalten von benutzerdefinierten Authentifizierungserweiterungen Authentifizierungserweiterungsadministrator Anwendungsadministrator

Berechtigungsverwaltung– Rollen mit geringster Berechtigungsberechtigung

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Berechtigungsverwaltung in Microsoft Entra ID Governance verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Aufgaben in der Berechtigungsverwaltung Identity Governance Administrator. Für Rollen, die weniger privlege als dies im Berechtigungsverwaltungssystem sind, finden Sie unter: Delegierung und Rollen in der Berechtigungsverwaltung.

Gruppen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Gruppen in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Benutzeradministrator
Erstellen einer Gruppe Gruppenadministrator Benutzeradministrator
Erstellen, Aktualisieren oder Löschen der Zugriffsüberprüfung einer Gruppe oder einer App Benutzeradministrator
Verwalten des Gruppenablaufs Benutzeradministrator
Verwalten von Gruppeneinstellungen Gruppenadministrator Benutzeradministrator
Lesen der gesamten Konfiguration (mit Ausnahme der ausgeblendeten Mitgliedschaft) Verzeichnisleseberechtigte Standardbenutzerrolle
Lesen der ausgeblendeten Mitgliedschaft Gruppenmitglied Gruppenbesitzer
Kennwortadministrator
Exchange-Administrator
SharePoint-Administrator
Teams-Administrator
Benutzeradministrator
Lesen der Mitgliedschaft von Gruppen mit ausgeblendeter Mitgliedschaft Helpdeskadministrator Benutzeradministrator
Teams-Administrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Aktualisierung dynamischer Gruppenmitgliedschaften Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppenbesitzern Gruppenbesitzer Benutzeradministrator
Aktualisieren von Gruppeneigenschaften Gruppenbesitzer Benutzeradministrator
Gruppe löschen Gruppenadministrator Benutzeradministrator

Lizenzen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Microsoft Entra-Lizenzierungverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Lesen aller Konfigurationen Verzeichnisleseberechtigte Standardbenutzerrolle
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Testen oder Erwerben von Abonnements Abrechnungsadministrator

Lebenszyklusworkflows mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Lebenszyklusworkflows in Microsoft Entra ID Governance verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen eines Workflows Lifecycle-Workflows Administrator
Hinzufügen einer benutzerdefinierten Erweiterung zu einem Workflow Lifecycle-Workflows Administrator. Sie müssen auch über den Logic App-Mitwirkenden oder Besitzer Azure Resource Manager-Rolle verfügen.

Microsoft Entra Health–Rollen mit geringster Rechte

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Health Monitoringverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Anzeigen von Szenarioüberwachungssignalen Berichtleseberechtigter Sicherheitsleseberechtigter
Sicherheitsoperator
Sicherheitsadministrator
Helpdeskadministrator
Globaler Leser

Microsoft Entra ID Protection– Rollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra ID Protectionverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Warnungsbenachrichtigungen Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer MFA-Richtlinie Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Anmelderisiko Sicherheitsadministrator
Konfigurieren und Aktivieren oder Deaktivieren einer Richtlinie zum Benutzerrisiko Sicherheitsadministrator
Konfigurieren von wöchentlichen Digests Sicherheitsadministrator
Alle Risikoerkennungen schließen Sicherheitsoperator
Beheben oder Ausschließen von Sicherheitsrisiken Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen aller Risikoerkennungen Sicherheitsleseberechtigter
Lesen von Sicherheitsrisiken Sicherheitsleseberechtigter

Überwachung und Integrität – Überwachungs- und Anmeldeprotokolle mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Überwachungs- und Anmeldeprotokolle in Microsoft Entra Monitoringverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Überwachungsprotokollen Berichtleseberechtigter Anwendungsadministrator
Cloudanwendungsadministrator
Cloudgeräteadministrator
Global Secure Access-Administrator
Hybrididentitätsadministrator
Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter

Überwachung und Integrität – Bereitstellen von Protokollen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für die Bereitstellung von Protokollen in Microsoft Entra-Überwachungverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Anmeldeprotokollen Berichtleseberechtigter Anwendungsadministrator
Cloudanwendungsadministrator
Cloudgeräteadministrator
Hybrididentitätsadministrator
Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter

Überwachung und Integrität – Empfehlungen für am wenigsten privilegierte Rollen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Identitätsempfehlungen in Microsoft Entra-Überwachungverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen von Empfehlungen Berichtleseberechtigter Sicherheitsleseberechtigter
Globaler Leser
Helpdeskadministrator
Dienstsupportadministrator
Benutzeradministrator
Empfehlungen aktualisieren Authentifizierungsadministrator Richtlinien Anwendungsadministrator
Authentifizierungsadministrator
Cloudanwendungsadministrator
Administrator für bedingten Zugriff
Exchange-Administrator
Hybrididentitätsadministrator
Identity Governance-Administrator
Administrator für privilegierte Rollen
Sicherheitsadministrator
Sicherheitsoperator
SharePoint-Administrator

Mehrstufige Authentifizierungsrollen mit geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra-Authentifizierungverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Löschen aller vorhandenen App-Kennwörter, die von den ausgewählten Benutzern erstellt wurden Authentifizierungsadministrator Richtlinien Authentifizierungsadministrator
Deaktivieren der Benutzerbasierten MFA Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Aktivieren der MFA pro Benutzer Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Verwalten von MFA-Diensteinstellungen Authentifizierungsadministrator Richtlinien
Ausgewählte Benutzer müssen Kontaktmethoden erneut bereitstellen. Authentifizierungsadministrator
Wiederherstellen der Multi-Faktor-Authentifizierung für alle gespeicherten Geräte Authentifizierungsadministrator

MFA Server-Rollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in MFA Serververwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Benutzer sperren/zulassen Authentifizierungsadministrator Richtlinien
Konfigurieren der Kontosperrung Authentifizierungsadministrator Richtlinien
Konfigurieren von Cacheregeln Authentifizierungsadministrator Richtlinien
Konfigurieren der Betrugswarnung Authentifizierungsadministrator Richtlinien
Konfigurieren von Benachrichtigungen Authentifizierungsadministrator Richtlinien
Konfigurieren einer Einmalumgehung Authentifizierungsadministrator Richtlinien
Konfigurieren von Einstellungen für Telefonanrufe Authentifizierungsadministrator Richtlinien
Konfigurieren von Anbietern Authentifizierungsadministrator Richtlinien
Konfigurieren der Servereinstellungen Authentifizierungsadministrator Richtlinien
Lesen eines Aktivitätsberichts Globaler Leser
Lesen aller Konfigurationen Globaler Leser
Lesen eines Serverstatus Globaler Leser

Organisationsbeziehungen mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Einstellungen für die externe Zusammenarbeit in der externen Microsoft Entra-ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Identitätsanbietern Externer Identitätsanbieteradministrator
Lesen aller Konfigurationen Globaler Leser

Kennwortzurücksetzung der am wenigsten privilegierten Rollen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Kennwortzurücksetzung in microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von Authentifizierungsmethoden Authentifizierungsadministrator Richtlinien
Konfigurieren der Anpassung Authentifizierungsadministrator Richtlinien
Konfigurieren einer Benachrichtigung Authentifizierungsadministrator Richtlinien
Konfigurieren einer lokalen Integration Authentifizierungsadministrator Richtlinien
Konfigurieren der Eigenschaften der Kennwortzurücksetzung Benutzeradministrator Authentifizierungsadministrator Richtlinien
Konfigurieren der Registrierung Authentifizierungsadministrator Richtlinien
Lesen aller Konfigurationen Sicherheitsadministrator Benutzeradministrator

Berechtigungsverwaltung mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra Permissions Managementverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Onboarding von Mandanten Berechtigungsverwaltungsadministrator
Onboarding von Cloudumgebungen Berechtigungsverwaltungsadministrator
Zuweisen von Berechtigungen in der Verwaltung von Microsoft Entra-Berechtigungen Berechtigungsverwaltungsadministrator
Testversion starten und Microsoft Entra Permissions Management-Lizenzen kaufen Abrechnungsadministrator

Privileged Identity Management– Rollen mit den geringsten Rechten

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Microsoft Entra Privileged Identity Management in Microsoft Entra ID Governance verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Zuweisen von Benutzern zu Rollen Administrator für privilegierte Rollen
Konfigurieren von Rolleneinstellungen Administrator für privilegierte Rollen
Anzeigen der Überwachungsaktivität Sicherheitsleseberechtigter
Anzeigen von Rollenmitgliedschaften Sicherheitsleseberechtigter

Rollen und Administratoren, die am wenigsten privilegierte Rollen sind

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Rollen und Administratoren in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwalten von Rollenzuweisungen Administrator für privilegierte Rollen
Überprüfen des Lesezugriffs einer Microsoft Entra Rolle Sicherheitsleseberechtigter Sicherheitsadministrator
Administrator für privilegierte Rollen
Lesen aller Konfigurationen Standardbenutzerrolle

Sicherheit – Authentifizierungsmethoden mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Authentifizierungsmethoden in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Aktivieren oder Deaktivieren von Authentifizierungsmethoden Authentifizierungsadministrator Richtlinien
Anzeigen, Bereitstellen im Auftrag und Verwalten einzelner Benutzerauthentifizierungsmethoden Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator
Konfigurieren des Kennwortschutzes Sicherheitsadministrator
Konfigurieren von Smart Lockout Sicherheitsadministrator
Lesen aller Konfigurationen Globaler Leser

Sicherheit – Rollen mit geringster Berechtigung für bedingten Zugriff

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für bedingten Zugriff in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Konfigurieren von durch MFA bestätigten IP-Adressen Administrator für bedingten Zugriff
Erstellen von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Richtlinien Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Erstellen von VPN-Konnektivitätszertifikaten Cloudanwendungsadministrator Anwendungsadministrator
Löschen einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Löschen eines VPN-Konnektivitätszertifikats Administrator für bedingten Zugriff Sicherheitsadministrator
Deaktivieren einer klassischen Richtlinie Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benutzerdefinierten Steuerelementen Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von benannten Standorten Administrator für bedingten Zugriff Sicherheitsadministrator
Verwalten von Nutzungsbedingungen Administrator für bedingten Zugriff Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen von benannten Standorten Sicherheitsleseberechtigter
Nutzungsbedingungen lesen Sicherheitsleseberechtigter Globaler Leser
Lesen Sie, welche Nutzungsbedingungen vom angemeldeten Benutzer akzeptiert wurden. Standardbenutzerrolle

Sicherheit – Identitätssicherheitsbewertung mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Identitätssicherheitsbewertung in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter Sicherheitsadministrator
Lesen des Security Score Sicherheitsleseberechtigter Sicherheitsadministrator
Aktualisieren des Ereignisstatus Sicherheitsadministrator

Sicherheit – Riskante Anmeldungen mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für riskante Anmeldungen in Microsoft Entra ID Protection verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen riskanter Anmeldevorgänge Sicherheitsleseberechtigter

Sicherheit – Benutzer, die für Risiko am wenigsten privilegierte Rollen gekennzeichnet sind

Dies sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Benutzer verwenden sollten, die für risikobehaftete in Microsoft Entra ID Protection gekennzeichnet sind.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Verwerfen aller Ereignisse Sicherheitsadministrator
Lesen aller Konfigurationen Sicherheitsleseberechtigter
Lesen von Benutzern mit Risikokennzeichnung Sicherheitsleseberechtigter

Temporäre Zugriffspassrollen mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für temporären Zugriffsdurchlauf in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Administratoren oder Mitglieder (außer für sich selbst) Privilegierter Authentifizierungsadministrator
Erstellen, Löschen oder Anzeigen eines befristeten Zugriffspasses für Mitglieder (außer für sich selbst) Authentifizierungsadministrator
Anzeigen der Details eines befristeten Zugriffspasses für einen Benutzer (ohne den Code selbst zu lesen) Globaler Leser
Konfigurieren oder Aktualisieren der Richtlinie für die Authentifizierungsmethode des befristeten Zugriffspasses Authentifizierungsadministrator Richtlinien

Mandanten mit geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben in Microsoft Entra-Mandantenverwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Erstellen eines Microsoft Entra ID- oder Azure AD B2C-Mandanten Mandantenersteller
Aktualisieren von Microsoft Entra-Mandanteneigenschaften Abrechnungsadministrator
Verwalten von Datenschutzbestimmungen und Kontakten Abrechnungsadministrator

Benutzer mit den geringsten Berechtigungen

Hier sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Benutzer in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Hinzufügen von Benutzern zur Verzeichnisrolle Administrator für privilegierte Rollen
Hinzufügen von Benutzern zur Gruppe Benutzeradministrator
Lizenz zuweisen Lizenzadministrator Benutzeradministrator
Erstellen eines Gastbenutzers Gasteinladender Benutzeradministrator
Zurücksetzen der Gastbenutzer-Einladung Helpdeskadministrator Benutzeradministrator
Benutzer erstellen Benutzeradministrator
Löschen von Benutzern Benutzeradministrator
Ungültige Aktualisierungstoken von Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Ungültige Aktualisierungstoken von Nicht-Administratoren Helpdeskadministrator Benutzeradministrator
Ungültige Aktualisierungstoken von privilegierten Administratorrollen Privilegierter Authentifizierungsadministrator
Lesen einer Standardkonfiguration Standardbenutzerrolle
Zurücksetzen des Kennworts für eingeschränkte Administratoren Benutzeradministrator
Zurücksetzen des Kennworts von Nicht-Administratoren Kennwortadministrator Benutzeradministrator
Zurücksetzen des Kennworts von privilegierten Administratoren Privilegierter Authentifizierungsadministrator
Widerrufen von Lizenzen Lizenzadministrator Benutzeradministrator
Verwalten aller Eigenschaften mit Ausnahme des Benutzerprinzipalnamens Benutzeradministrator
Aktualisieren der Eigenschaft „Lokale Synchronisierung aktiviert“ Hybrididentitätsadministrator
Aktualisieren des Benutzerprinzipalnamens für Administratoren mit eingeschränkten Berechtigungen Benutzeradministrator
Aktualisieren der Benutzerprinzipalnamens-Eigenschaft für Administratoren mit eingeschränkten Berechtigungen Privilegierter Authentifizierungsadministrator
Aktualisieren von Benutzereinstellungen: Standardberechtigungen für Benutzerrollen Administrator für privilegierte Rollen
Aktualisieren von Benutzereinstellungen – Gastbenutzerzugriff Administrator für privilegierte Rollen
Aktualisieren von Benutzereinstellungen – Verwaltungscenter Globaler Administrator
Aktualisieren von Benutzereinstellungen – LinkedIn-Kontoverbindungen Globaler Administrator
Aktualisieren von Benutzereinstellungen – Anzeigen, dass der Benutzer angemeldet bleibt Globaler Administrator
Aktualisieren von Authentifizierungsmethoden Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator

Unterstützen von Rollen mit den geringsten Rechten

Dies sind die am wenigsten privilegierten Rollen, die Sie beim Ausführen von Aufgaben für Unterstützen von in Microsoft Entra ID verwenden sollten.

Aufgabe Am wenigsten privilegierte Rolle Zusätzliche Rollen
Einreichen eines Supporttickets Dienstsupportadministrator Anwendungsadministrator
Azure Information Protection-Administrator
Abrechnungsadministrator
Cloudanwendungsadministrator
Complianceadministrator
Dynamics 365-Administrator
Desktop Analytics-Administrator
Exchange-Administrator
Intune-Administrator
Kennwortadministrator
Fabric-Administrator
Privilegierter Authentifizierungsadministrator
SharePoint-Administrator
Skype for Business-Administrator
Teams-Administrator
Teams-Kommunikationsadministrator
Benutzeradministrator

Nächste Schritte