Grundlegendes zu Rollen in Microsoft Entra ID

Es gibt etwa 60 integrierte Microsoft Entra-Rollen. Hierbei handelt es sich um Rollen mit einer Reihe fester Rollenberechtigungen. Zur Ergänzung der integrierten Rollen werden in Microsoft Entra ID außerdem benutzerdefinierte Rollen unterstützt. Mit benutzerdefinierten Rollen können Sie die gewünschten Rollenberechtigungen auswählen. Dadurch können Sie beispielsweise eine Rolle für die Verwaltung bestimmter Microsoft Entra-Ressourcen (etwa Anwendungen oder Dienstprinzipale) erstellen.

In diesem Artikel erfahren Sie, was Microsoft Entra-Rollen sind und wie sie verwendet werden können.

Unterschiede zwischen Microsoft Entra-Rollen und anderen Microsoft 365-Rollen

Microsoft 365 umfasst zahlreiche verschiedene Dienste – beispielsweise Microsoft Entra ID und Intune. Einige dieser Dienste verfügen über eigene rollenbasierte Zugriffssteuerungssysteme. Das gilt insbesondere für folgende Dienste:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender-Portal
  • Complianceportal
  • Kostenverwaltung + Abrechnung

Andere Dienste wie Teams, SharePoint und Managed Desktop verfügen dagegen über keine separaten rollenbasierten Zugriffssteuerungssysteme. Diese Dienste verwenden Microsoft Entra-Rollen für den administrativen Zugriff. Azure verfügt über ein eigenes rollenbasiertes Zugriffssteuerungssystem für Azure-Ressourcen wie z. B. virtuelle Computer (VMs), und dieses System unterscheidet sich von Microsoft Entra-Rollen.

Azure RBAC versus Microsoft Entra roles

Ein separates rollenbasiertes Zugriffssteuerungssystem bedeutet, dass Rollendefinitionen und Rollenzuweisungen in einem anderen Datenspeicher gespeichert werden. Ebenso gibt es einen anderen Richtlinienentscheidungspunkt, an dem Zugriffsüberprüfungen durchgeführt werden. Weitere Informationen finden Sie unter Rollen für Microsoft 365-Dienste in Microsoft Entra ID sowie unter Administratorrollen für klassische Abonnements, Azure-Rollen und Microsoft Entra-Rollen.

Warum gibt es einige Microsoft Entra-Rollen für andere Dienste?

Microsoft 365 verfügt über eine Reihe rollenbasierter Zugriffssteuerungssysteme, die im Laufe der Zeit unabhängig voneinander entwickelt wurden und jeweils über ein eigenes Dienstportal verfügen. Um die Identitätsverwaltung innerhalb von Microsoft 365 über das Microsoft Entra Admin Center zu vereinfachen, haben wir einige dienstspezifische integrierte Rollen hinzugefügt, die jeweils Administratorzugriff auf einen Microsoft 365-Dienst gewähren. Ein Beispiel hierfür ist die Rolle „Exchange-Administrator“ in Microsoft Entra ID. Diese Rolle entspricht der Rollengruppe „Organisationsverwaltung“ im rollenbasierten Zugriffssteuerungssystem von Exchange und kann alle Aspekte von Exchange verwalten. Analog dazu haben wir die Rollen „Intune-Administrator“, „Teams-Administrator“, „SharePoint-Administrator“ usw. hinzugefügt. Dienstspezifische Rollen stellen im folgenden Abschnitt eine Kategorie der integrierten Microsoft Entra-Rollen dar.

Kategorien von Microsoft Entra-Rollen

Integrierte Microsoft Entra-Rollen unterscheiden sich hinsichtlich ihres Verwendungsorts und lassen sich in drei große Kategorien unterteilen.

  • Microsoft Entra ID-spezifische Rollen: Diese Rollen gewähren Berechtigungen zum Verwalten von Ressourcen ausschließlich innerhalb von Microsoft Entra ID. „Benutzeradministrator“, „Anwendungsadministrator“ und „Gruppenadministrator“ gewähren beispielsweise jeweils Berechtigungen für die Verwaltung von Ressourcen in Microsoft Entra ID.
  • Dienstspezifische Rollen: Für wichtige Microsoft 365-Dienste (nicht Azure AD) wurden dienstspezifische Rollen erstellt, die Berechtigungen für die Verwaltung aller Features innerhalb des Diensts gewähren. Von den Rollen „Exchange-Administrator“, „Intune-Administrator“, „SharePoint-Administrator“ und „Teams-Administrator“ können Features mit den jeweiligen Diensten verwaltet werden. Ein Exchange-Administrator kann Postfächer verwalten, ein Intune-Administrator kann Geräterichtlinien verwalten, ein SharePoint-Administrator kann Websitesammlungen verwalten, ein Teams-Administrator kann Aspekte der Anrufqualität verwalten usw.
  • Dienstübergreifende Rollen: Einige Rollen umfassen mehrere Dienste. Es gibt zwei globale Rollen: „Globaler Administrator“ und „Globaler Leser“. Diese beiden Rollen werden von allen Microsoft 365-Diensten anerkannt. Darüber hinaus gibt es einige sicherheitsbezogene Rollen wie „Sicherheitsadministrator“ und „Sicherheitsleseberechtigter“, die Zugriff auf mehrere Sicherheitsdienste in Microsoft 365 gewähren. Mit Sicherheitsadministratorrollen in Microsoft Entra ID können Sie beispielsweise das Microsoft 365 Defender-Portal, Microsoft Defender Advanced Threat Protection und Microsoft Defender for Cloud-Apps verwalten. Analog dazu können Sie mit der Rolle „Complianceadministrator“ compliancebezogene Einstellungen im Complianceportal, Exchange usw. verwalten.

The three categories of Microsoft Entra built-in roles

Die folgende Tabelle dient zum besseren Verständnis dieser Rollenkategorien. Die Kategorien sind willkürlich benannt und sollen keine anderen Fähigkeiten implizieren als die dokumentierten Berechtigungen der Microsoft Entra-Rollen.

Kategorie Role
Microsoft Entra ID-spezifische Rollen Anwendungsadministrator
Anwendungsentwickler
Authentifizierungsadministrator
B2C-IEF-Schlüsselsatzadministrator
B2C-IEF-Richtlinienadministrator
Cloudanwendungsadministrator
Cloudgeräteadministrator
Administrator für den bedingten Zugriff
Geräteadministratoren
Rolle „Verzeichnis lesen“
Konten zur Verzeichnissynchronisierung
Verzeichnis schreiben
Administrator für Benutzerflows mit externer ID
Administrator für Benutzerflowattribute mit externer ID
Externer Identitätsanbieteradministrator
Gruppenadministrator
Gasteinladender
Helpdeskadministrator
Hybrididentitätsadministrator
Lizenzadministrator
Partnersupport der Ebene 1
Partnersupport der Ebene 2
Kennwortadministrator
Privilegierter Authentifizierungsadministrator
Administrator für privilegierte Rollen
Meldet Reader
Benutzeradministrator
Dienstübergreifende Rollen Globaler Administrator
Complianceadministrator
Administrator für Konformitätsdaten
Globaler Leser
Sicherheitsadministrator
Sicherheitsoperator
Sicherheitsleseberechtigter
Dienstunterstützungsadministrator
Dienstspezifische Rollen Azure DevOps-Administrator
Azure Information Protection-Administrator
Abrechnungsadministrator
CRM-Dienstadministrator
Genehmiger für Kunden-Lockboxzugriff
Desktop Analytics-Administrator
Exchange-Dienstadministrator
Insights Administrator
Insights Business Leader
Intune-Dienstadministrator
Kaizala-Administrator
Lync-Dienstadministrator
Nachrichtencenter-Datenschutzleseberechtigter
Nachrichtencenter-Leser
Moderner Commerceadministrator
Netzwerkadministrator
Office-Apps-Administrator
Power BI-Dienstadministrator
Power Platform-Administrator
Druckeradministrator
Druckertechniker
Suchadministrator
Such-Editor
SharePoint-Dienstadministrator
Teams-Kommunikationsadministrator
Teams-Kommunikationssupporttechniker
Teams-Kommunikationssupportspezialist
Teams-Geräteadministrator
Teams-Administrator

Nächste Schritte