List Of Office 365 Roles

Follow
ECP crashes when a RBAC role assignee tries to manage another

The RBAC role assignee tries to manage other user’s mailbox by using Exchange Control Panel (ECP). Log Name: Application Source: MSExchange Control Panel Date: Date Event ID: 4 Task Category: General Level: Error Keywords: Classic User: N/A Computer: Computer Description: Current user: User Request for URL URL of ECP failed with the following error: System.NullReferenceException: Object reference not set to an instance of an object. For more information about exclusive scopes, visit the following Microsoft website: .

Heads up: Soon you'll be able to upgrade your classic workspaces

The Power BI new workspace experience has been General Available since April 2019. It offers improved security management, more flexible workspace roles, and new capabilities like a contact list to help you support your teams. We have not yet released the feature, so hold tight its coming soon.

Features like data refresh, subscriptions, and so forth keep working as they did before the upgrade. Additionally, upgrading your Power BI workspace doesn’t change or remove the Office 365 Group. Firstly, your workspace in Power BI isn’t tied to the Office 365 Group anymore. However, if your workspace is ‘read-only’ then they’ll be given the Viewer role.

We recommend removing published or installed content packs from the workspace prior to upgrade. New Office 365 Groups will continue to be listed as workspaces in Power BI.

When you do this, some aspects of your classic workspace won’t be restored, like content packs. .

Integrierte Rollen in Azure AD – Azure Active Directory

RoleBESCHREIBUNGVorlagen-ID Anwendungsadministrator Kann alle Aspekte von App-Registrierungen und Enterprise-Apps erstellen und verwalten.9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 Anwendungsentwickler Erstellen von Anwendungsregistrierungen unabhängig von der Einstellung „Benutzer können Anwendungen registrieren“.cf1c38e5-3621-4004-a7cb-879624dced7c Autor der Angriffsnutzdaten Kann Angriffsnutzdaten erstellen, die ein Administrator später initiieren kann.9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8fKann alle Aspekte von Angriffssimulationskampagnen erstellen und verwalten.c430b396-e693-46cc-96f3-db01bf8bb62aHat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer ohne Administratorrechte.c4e39bd9-1100-46d3-8c65-fb160da0071fKann die Authentifizierungsmethodenrichtlinie, mandantenweite MFA-Einstellungen, die Kennwortschutzrichtlinie und überprüfbare Anmeldeinformationen erstellen und verwalten.0526716b-113d-4c15-b2c8-68e3c22b9f80Benutzer, die dieser Rolle zugewiesen wurden, werden der lokalen Administratorgruppe auf in Azure AD eingebundenen Geräten hinzugefügt.9f06204d-73c1-4d4c-880a-6edb90606fd8Kann Richtlinien und Einstellungen für die Azure DevOps-Organisation verwalten.e3973bdf-4987-49ae-837a-ba8e231c7286Verwalten sämtlicher Aspekte des Produkts Azure Information Protection.7495fdc4-34c4-4d15-a289-98788ce399fdKann Geheimnisse für Verbund und Verschlüsselung im Identity Experience Framework (IEF) verwalten.aaf43236-0c0d-4d5f-883a-6955382ac081Kann Vertrauensframeworkrichtlinien im Identity Experience Framework (IEF) erstellen und verwalten.3edaf663-341e-4475-9f94-5c398ef6c070 Rechnungsadministrator Ausführen von allgemeinen Abrechnungsaufgaben wie der Aktualisierung der Zahlungsinformationen.b0f54661-2d74-4c50-afa3-1ec803f12efeKann alle Aspekte des Cloud App Security-Produkts verwalten.892c5842-a9a6-463a-8041-72aa08ca3cf6Erstellen und Verwalten sämtlicher Aspekte von App-Registrierungen und Enterprise-Apps außer App-Proxy.158c047a-c907-4556-b7ef-446551a6b5f7Hat eingeschränkten Zugriff auf die Verwaltung von Geräten in Azure AD.7698a772-787b-4ac8-901f-60d6b08affd2 Complianceadministrator Lesen und Verwalten der Konformitätskonfiguration und der zugehörigen Berichte in Azure AD und Microsoft 365.17315797-102d-40b4-93e0-432062caca18Erstellt und verwaltet Complianceinhalte.e6d1a23a-da11-4be4-9570-befc86d067a7Verwalten von Funktionen zum bedingten Zugriff.b1be1c3e-b65d-4f19-8427-f6fa0d97feb9Kann Microsoft-Supportanfragen zum Zugriff auf Benutzerorganisationsdaten genehmigen.5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91Kann auf Tools und Dienste zur Desktopverwaltung zugreifen und diese verwalten.38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 Verzeichnisleseberechtigte Lesen von grundlegenden Verzeichnisinformationen. Wird häufig verwendet, um Anwendungen und Gästen Lesezugriff für das Verzeichnis zu erteilen.88d8e3e3-8f55-4a1e-953a-9b9898b8876bNur vom Azure AD Connect-Dienst verwendet.d29b2b05-8046-44ba-8758-1e26182fcf32 Verzeichnisschreibberechtigte Kann grundlegende Verzeichnisinformationen lesen und schreiben. Die Rolle gewährt Zugriff auf Anwendungen und ist nicht für Benutzer vorgesehen.9360feb5-f418-4baa-8175-e2a00bac4301 Domänennamenadministrator Verwalten von Domänennamen lokal und in der Cloud.8329153b-31d0-4727-b945-745eb3bc5f31Verwalten sämtlicher Aspekte des Produkts Dynamics 365.44367163-eba1-44c3-98af-f5787879f96a Edgeadministrator Verwalten sämtlicher Aspekte von Microsoft Edge.3f1acade-1e04-4fbc-9b69-f0302cd84aef Exchange-Administrator Verwalten sämtlicher Aspekte des Produkts Exchange.29232cdf-9323-42fd-ade2-1d097af3e4deErstellen oder Aktualisieren von Exchange Online-Empfängern in der Exchange Online-Organisation.31392ffb-586c-42d1-9346-e59415a2cc4eKann alle Aspekte von Benutzerflows erstellen und verwalten.6e591065-9bad-43ed-90f3-e9424366d2f0Kann das für alle Benutzerflows verfügbare Attributschema erstellen und verwalten.0f971eea-41eb-4569-a71e-57bb8a3eff1eKann Identitätsanbieter für die Verwendung in einem direkten Verbund konfigurieren.be2f45a1-457d-42af-a067-6ec1fa63bc45 Globaler Administrator Verwalten sämtlicher Aspekte von Azure AD und Microsoft-Diensten, die Azure AD-Identitäten verwenden.62e90394-69f5-4237-9190-012177145e10 Globaler Leser Hat die gleichen Leseberechtigungen wie ein globaler Administrator, kann jedoch keine Aktualisierungen durchführen.f2ef992c-3afb-46b9-b7cf-a126ee74c451 Gruppenadministrator Mitglieder dieser Rolle können Gruppen erstellen/verwalten, Gruppeneinstellungen wie Benennungs- und Ablaufrichtlinien erstellen und verwalten sowie Aktivitäts- und Überwachungsberichte von Gruppen anzeigen.fdd7a751-b60b-444a-984c-02652fe8fa1c Gasteinladender Einladen von Gastbenutzernunabhängig von der Einstellung „Mitglieder können Gäste einladen“.95e79109-95c0-4d8e-aee3-d01accf2d47b Helpdeskadministrator Zurücksetzen von Kennwörtern für Nicht-Administratoren und Helpdeskadministratoren.729827e3-9c14-49f7-bb1b-9608f156bbb8Verwalten der Cloudbereitstellung zwischen AD und Azure AD sowie von Azure AD Connect und Verbundeinstellungen.8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2Verwaltet den Zugriff mithilfe von Azure AD für Identity Governance-Szenarien.45d8d3c5-c802-45c6-b32a-1d70b5e1e86e Insights Administrator Administratorzugriff in der Microsoft 365 Insights-App.eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c Insights Business Leader Kann Dashboards und Erkenntnisse über die Microsoft 365 Insights-App anzeigen und freigeben.31e939ad-9672-4796-9c2e-873181342d2d Intune-Administrator Verwalten sämtlicher Aspekte des Produkts Intune.3a2c62db-5318-420d-8d74-23affee5d9d5 Kaizala-Administrator Kann Einstellungen für Microsoft Kaizala verwalten.74ef975b-6605-40af-a5d2-b9539d836353 Wissensadministrator Kann Wissens-, Lern- und andere intelligente Features konfigurieren.b5a8dcf3-09d5-43a9-a639-8e29ef291470 Wissens-Manager Kann Themen und Wissen organisieren, erstellen, verwalten und bewerben.744ec460-397e-42ad-a462-8b3f9747a02c Lizenzadministrator Kann Produktlizenzen für Benutzer und Gruppen verwalten.4d6ac14f-3453-41d0-bef9-a3e0c569773aKann Sicherheitsnachrichten und -updates nur im Office 365-Nachrichtencenter lesen.ac16e43d-7b2d-40e0-ac05-243ff356ab5b Nachrichtencenter-Leseberechtigter Lesen von Nachrichten und Updates für die Organisation ausschließlich im Office 365-Nachrichtencenter.790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b Modern Commerce User Kann kommerzielle Käufe für ein Unternehmen, eine Abteilung oder ein Team verwalten.d24aef57-1500-4070-84db-2666f29cf966 Netzwerkadministrator Verwalten von Netzwerkstandorten und überprüfen von Erkenntnissen zum Entwurf des Unternehmensnetzwerks für Microsoft 365-SaaS-Anwendungen (Software-as-a-Service).d37c8bed-0711-4417-ba38-b4abe66ce4c2 Office-Apps-Administrator Kann Clouddienste für Office-Apps (einschließlich Richtlinien- und Einstellungsverwaltung) sowie Funktionen zum Auswählen, Aufheben der Auswahl und Veröffentlichen von Inhalten zu neuen Features auf Endbenutzergeräten verwalten.2b745bdf-0803-4d80-aa65-822c4493daac Partnersupport der Ebene 1 Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen.4ba39ca4-527c-499a-b93d-d9b492c50246 Partnersupport der Ebene 2 Verwenden Sie diese Rolle nicht – sie ist nicht zur allgemeinen Verwendung vorgesehen.e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 Kennwortadministrator Kann Kennwörter für Nicht-Administratoren und Kennwortadministratoren zurücksetzen.966707d0-3269-4727-9be2-8c3a10f19b9d Power BI-Administrator Verwalten sämtlicher Aspekte des Produkts Power BI.a9ea8996-122f-4c74-9520-8edcd192826cKann alle Aspekte von Microsoft Dynamics 365, Power Apps und Power Automate erstellen und verwalten.11648597-926c-4cf3-9c36-bcebb0ba8dcc Druckeradministrator Verwalten sämtlicher Aspekte von Druckern und Druckerconnectors.644ef478-e28f-4e28-b9dc-3fdde9aa0b1f Druckertechniker Registrieren von Druckern, Aufheben ihrer Registrierung und Aktualisieren des Druckerstatus.e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477Hat Zugriff zum Anzeigen, Festlegen und Zurücksetzen von Informationen zu Authentifizierungsmethoden für alle Benutzer (mit und ohne Administratorrechte).7be44c8a-adaf-4e2a-84d6-ab2649e08a13Kann Rollenzuweisungen in Azure AD sowie sämtliche Aspekte von Privileged Identity Management (PIM) verwalten.e8611ab8-c189-46e8-94e1-60213ab1f814 Berichtleseberechtigter Lesen von Anmeldungs- und Überwachungsberichten.4a5d8f65-41da-4de4-8968-e035b65339cf Suchadministrator Kann alle Aspekte der Microsoft Search-Einstellungen erstellen und verwalten.0964bb5e-9bdb-4d7b-ac29-58e794862a40 Such-Editor Kann redaktionelle Inhalte wie Lesezeichen, Fragen und Antworten, Standorte und Grundrisse erstellen und verwalten.8835291a-918c-4fd7-a9ce-faa49f0cf7d9 Sicherheitsadministrator Kann Sicherheitsinformationen und -berichte lesen und die Konfiguration in Azure AD und Office 365 verwalten.194ae4cb-b126-40b2-bd5b-6091b380977d Sicherheitsoperator Erstellt und verwaltet Sicherheitsereignisse.5f2222b1-57c3-48ba-8ad5-d4759f1fde6f Sicherheitsleseberechtigter Lesen von Sicherheitsinformationen und Berichten in Azure AD und Office 365.5d6b6bb7-de71-4623-b4af-96380a352509Lesen von Service Health-Informationen und Verwalten von Supporttickets.f023fd81-a637-4b56-95fd-791ac0226033 SharePoint-Administrator Verwalten sämtlicher Aspekte des SharePoint-Diensts.f28a1f50-f6e7-4571-818b-6a12f2af6b6cVerwalten sämtlicher Aspekte des Produkts Skype for Business.75941009-915a-4869-abe7-691bff18279e Teams-Administrator Kann den Microsoft Teams-Dienst verwalten.69091246-20e8-4a56-aa4d-066075b2a7a8Kann Anruf- und Besprechungsfunktionen im Microsoft Teams-Dienst verwalten.baf37b3a-610e-45da-9e62-d9d1e5e8914bKann Kommunikationsprobleme in Teams mithilfe von erweiterten Tools behandeln.f70938a0-fc10-4177-9e90-2178f8765737Kann Kommunikationsprobleme in Teams mithilfe von allgemeinen Tools behandeln.fcf91098-03e3-41a9-b5ba-6f0ec8188a12Berechtigung für verwaltungsbezogene Aufgaben auf zertifizierten Teams-Geräten.3d762c5a-1b6c-493f-843e-55a3b42923d4Kann in der Microsoft 365-Nutzungsanalyse und -Produktivitätsbewertung nur Aggregate auf Mandantenebene anzeigen.75934031-6c7e-415a-99d7-48dbd49e875e Benutzeradministrator Dieser Administrator kann alle Aspekte von Benutzern und Gruppen verwalten, einschließlich der Kennwortzurücksetzung für eingeschränkte Administratoren.fe930be7-5e62-47db-91af-98c3a49a38b1Benutzer mit dieser Rolle können alle Aspekte von Windows Update-Bereitstellungen über den Windows Update for Business-Bereitstellungsdienst erstellen und verwalten.32696413-001a-46ae-978c-ce0f6b3620d2 Benutzer mit dieser Rolle können alle Aspekte von Unternehmensanwendungen, Anwendungsregistrierungen und Anwendungsproxyeinstellungen erstellen und verwalten. Beachten Sie, dass Benutzer, denen diese Rolle zugewiesen wurde, bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt werden. Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen als Besitzer hinzugefügt.

Die Angriffsnutzdaten stehen dann allen Administratoren im Mandanten zur Verfügung und können von diesen zum Erstellen einer Simulation verwendet werden. Authentifizierungsadministratoren können Benutzer, die keine Administratoren sind oder die Rollen zugewiesen sind, auffordern, ihre vorhandenen Anmeldeinformationen ohne Kennwort (z.

Die Rolle verfügt über die Berechtigung zum Erzwingen einer erneuten Registrierung und der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für alle Benutzer. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw.

kritische Konfigurationen in Azure AD und in anderen Diensten gewähren. Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen.

Benutzer mit dieser Rolle werden auf allen Windows 10-Geräten, die in Azure Active Directory eingebunden sind, als Administratoren für den lokalen Computer festgelegt. Durch das Bearbeiten von Richtlinien können diese Benutzer einen direkten Verbund mit externen Identitätsanbietern einrichten, das Verzeichnisschema und alle benutzerseitigen Inhalte (HTML, CSS, JavaScript) sowie die Anforderungen für das Abschließen einer Authentifizierung ändern, neue Benutzer erstellen, Benutzerdaten an externe Systeme senden (einschließlich einer vollständigen Migration) und alle Benutzerinformationen bearbeiten (einschließlich vertraulicher Felder wie Kennwörter und Telefonnummern). Andererseits kann diese Rolle keine Verschlüsselungsschlüssel ändern oder Geheimnisse für den Verbund in der Organisation bearbeiten. Benutzer, denen diese Rolle zugewiesen wurde, werden bei der Erstellung neuer Anwendungsregistrierungen oder Unternehmensanwendungen nicht als Besitzer hinzugefügt.

Beachten Sie, dass das Zuweisen eines Benutzers zur Anwendungsadministratorrolle ihm die Möglichkeit gibt, die Identität einer Anwendung anzunehmen. Benutzer mit dieser Rolle können Geräte in Azure AD aktivieren, deaktivieren und löschen sowie Windows 10-BitLocker-Schlüssel (falls vorhanden) im Azure-Portal lesen. Intune Anzeigen aller Intune-Überwachungsdaten Cloud App Security Verfügt über schreibgeschützten Zugriff und kann Warnungen verwaltenKann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassenKann alle unter „Datenverwaltung“ integrierten Berichte anzeigenAktionenBESCHREIBUNGmicrosoft.azure.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Azure Service Healthmicrosoft.azure.supportTickets/allEntities/allTasksErstellen und Verwalten von Azure-Supportticketsmicrosoft.directory/entitlementManagement/allProperties/readLesen sämtlicher Eigenschaften in der Azure AD-Berechtigungsverwaltungmicrosoft.office365.complianceManager/allEntities/allTasksVerwalten sämtlicher Aspekte von Office 365 Compliance-Managermicrosoft.office365.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Service Health im Microsoft 365 Admin Centermicrosoft.office365.supportTickets/allEntities/allTasksErstellen und Verwalten von Microsoft 365-Serviceanforderungenmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center Intune Anzeigen aller Intune-Überwachungsdaten Cloud App Security Verfügt über schreibgeschützten Zugriff und kann Warnungen verwaltenKann Dateirichtlinien erstellen und ändern und Dateigovernanceaktionen zulassenKann alle unter „Datenverwaltung“ integrierten Berichte anzeigenAktionenBESCHREIBUNGmicrosoft.directory/authorizationPolicy/standard/readLesen von Standardeigenschaften von Autorisierungsrichtlinienmicrosoft.directory/cloudAppSecurity/allProperties/allTasksErstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren von Standardeigenschaften in Microsoft Cloud App Securitymicrosoft.azure.informationProtection/allEntities/allTasksVerwalten sämtlicher Aspekte von Azure Information Protectionmicrosoft.azure.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Azure Service Healthmicrosoft.azure.supportTickets/allEntities/allTasksErstellen und Verwalten von Azure-Supportticketsmicrosoft.office365.complianceManager/allEntities/allTasksVerwalten sämtlicher Aspekte von Office 365 Compliance-Managermicrosoft.office365.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Service Health im Microsoft 365 Admin Centermicrosoft.office365.supportTickets/allEntities/allTasksErstellen und Verwalten von Microsoft 365-Serviceanforderungenmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center AktionenBESCHREIBUNGmicrosoft.office365.lockbox/allEntities/allTasksVerwalten sämtlicher Aspekte der Kunden-Lockboxmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center AktionenBeschreibungmicrosoft.directory/applications/extensionProperties/updateAktualisieren von Erweiterungseigenschaften von Anwendungenmicrosoft.directory/groups/assignLicenseZuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierungmicrosoft.directory/groups/createErstellen von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/reprocessLicenseAssignmentErneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierungmicrosoft.directory/groups/basic/updateAktualisieren grundlegender Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/classification/updateAktualisieren der Klassifizierungseigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/dynamicMembershipRule/updateAktualisieren der Regel für eine dynamische Mitgliedschaft für Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/groupType/updateAktualisieren von Eigenschaften, die sich auf den Gruppentyp von Sicherheitsgruppen und Microsoft 365-Gruppen auswirken (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/members/updateAktualisieren der Mitglieder von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/onPremWriteBack/updateAktualisieren von Azure Active Directory-Gruppen, die mit Azure AD Connect in die lokale Umgebung zurückgeschrieben werden sollenmicrosoft.directory/groups/owners/updateAktualisieren der Besitzer von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups/settings/updateAktualisieren von Gruppeneinstellungenmicrosoft.directory/groups/visibility/updateAktualisieren der visibility-Eigenschaft von Sicherheitsgruppen und Microsoft 365-Gruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groupSettings/createCreate group settings (Gruppeneinstellungen erstellen)microsoft.directory/groupSettings/deleteDelete group settings (Gruppeneinstellungen löschen)microsoft.directory/groupSettings/basic/updateAktualisieren grundlegender Eigenschaften für Gruppeneinstellungenmicrosoft.directory/oAuth2PermissionGrants/createErstellen von OAuth 2.0-Berechtigungszuweisungenmicrosoft.directory/oAuth2PermissionGrants/basic/updateAktualisieren von OAuth 2.0-Berechtigungszuweisungenmicrosoft.directory/servicePrincipals/synchronizationCredentials/manageVerwalten der Geheimnisse und Anmeldeinformationen für die Anwendungsbereitstellungmicrosoft.directory/servicePrincipals/synchronizationJobs/manageStarten, Neustarten und Anhalten von Synchronisierungsaufträgen für die Anwendungsbereitstellungmicrosoft.directory/servicePrincipals/synchronizationSchema/manageErstellen und Verwalten von Synchronisierungsaufträgen und -schemas für die Anwendungsbereitstellungmicrosoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissionsGewähren des direkten Zugriffs auf Gruppendaten für einen Dienstprinzipalmicrosoft.directory/servicePrincipals/appRoleAssignedTo/updateAktualisieren von Rollenzuweisungen für Dienstprinzipalemicrosoft.directory/users/assignLicenseVerwalten von Benutzerlizenzenmicrosoft.directory/users/createHinzufügen von Benutzernmicrosoft.directory/users/disableDeaktivieren von Benutzernmicrosoft.directory/users/enableAktivieren von Benutzernmicrosoft.directory/users/invalidateAllRefreshTokensErzwingen der Abmeldung von Benutzern durch Ungültigmachen des Aktualisierungstokensmicrosoft.directory/users/inviteGuestEinladen von Gastbenutzernmicrosoft.directory/users/reprocessLicenseAssignmentErneutes Verarbeiten von Lizenzzuweisungen für Benutzermicrosoft.directory/users/basic/updateAktualisieren grundlegender Eigenschaften für Benutzermicrosoft.directory/users/manager/updateAktualisieren der Manager für Benutzermicrosoft.directory/users/photo/updateAktualisieren des Fotos von Benutzernmicrosoft.directory/users/userPrincipalName/updateAktualisieren des Benutzerprinzipalnamens von Benutzern Benutzer mit dieser Rolle können Domänennamen verwalten (lesen, hinzufügen, überprüfen, aktualisieren und löschen). Benutzer mit dieser Rolle können die Unternehmenswebsiteliste erstellen und verwalten, die für den Internet Explorer-Modus in Microsoft Edge erforderlich ist. Diese Rolle gewährt Berechtigungen zum Erstellen, Bearbeiten und Veröffentlichen der Websiteliste und ermöglicht darüber hinaus den Zugriff auf die Verwaltung von Supporttickets. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Exchange Online, wenn der Dienst verfügbar ist.

Sie können HTML-/CSS-/JavaScript-Inhalte anpassen, MFA-Anforderungen ändern, Ansprüche im Token auswählen, API-Connectors verwalten und Sitzungseinstellungen für alle Benutzerflows in der Azure AD-Organisation konfigurieren. Auf der anderen Seite bietet diese Rolle nicht die Möglichkeit, Benutzerdaten zu überprüfen oder Änderungen an Attributen vorzunehmen, die im Organisationsschema enthalten sind.

Benutzer mit dieser Rolle können benutzerdefinierte Attribute, die für alle Benutzerflows in der Azure AD-Organisation verfügbar sind, hinzufügen und löschen. Indirekt kann dies auch ändern, welche Daten von Benutzern abgefragt und letztendlich als Ansprüche an Anwendungen gesendet werden. Benutzer mit dieser Rolle können neue Identitätsanbieter hinzufügen und alle verfügbaren Einstellungen (z.B. Authentifizierungspfad, Dienst-ID, zugewiesene Schlüsselcontainer) konfigurieren. B. bei Facebook oder einer anderen Azure AD-Organisation) wirkt sich nicht sofort auf die Endbenutzerflows aus, sondern erst, wenn der Identitätsanbieter in einem Benutzerflow als Option hinzugefügt wird (auch bezeichnet als „integrierte Richtlinie“).

Zudem können globale Administratoren ihre Zugriffsrechte erhöhen , um alle Azure-Abonnements und Verwaltungsgruppen zu verwalten. Als bewährte Methode empfiehlt Microsoft, dass Sie die Rolle "Globaler Administrator" weniger als fünf Personen in Ihrer Organisation zuweisen.

Benutzer in dieser Rolle können in Microsoft 365-Diensten Einstellungen und administrative Informationen lesen, aber keine Verwaltungsaktionen ausführen. Wenn die Benutzereinstellung Mitglieder können einladen auf „Nein“ festgelegt ist, können Benutzer in dieser Rolle Azure Active Directory B2B-Gastbenutzereinladungen verwalten.

AktionenBESCHREIBUNGmicrosoft.directory/users/inviteGuestEinladen von Gastbenutzernmicrosoft.directory/users/standard/readLesen grundlegender Eigenschaften für Benutzermicrosoft.directory/users/appRoleAssignments/readLesen von Anwendungsrollenzuweisungen für Benutzermicrosoft.directory/users/deviceForResourceAccount/readLesen von deviceForResourceAccount von Benutzernmicrosoft.directory/users/directReports/readLesen von direkten Berichten für Benutzermicrosoft.directory/users/licenseDetails/readLesen von Lizenzdetails von Benutzernmicrosoft.directory/users/manager/readLesen der Manager von Benutzernmicrosoft.directory/users/memberOf/readLesen von Gruppenmitgliedschaften von Benutzernmicrosoft.directory/users/oAuth2PermissionGrants/readLesen delegierter Berechtigungszuweisungen für Benutzermicrosoft.directory/users/ownedDevices/readLesen von Geräten im Besitz von Benutzernmicrosoft.directory/users/ownedObjects/readLesen von Objekten im Besitz von Benutzernmicrosoft.directory/users/photo/readLesen des Fotos von Benutzernmicrosoft.directory/users/registeredDevices/readLesen von registrierten Geräten von Benutzernmicrosoft.directory/users/scopedRoleMemberOf/readLesen der Benutzermitgliedschaft einer Azure AD Rolle, die für eine Verwaltungseinheit gilt Benutzer mit dieser Rolle können Kennwörter ändern, Aktualisierungstoken für ungültig erklären, Dienstanforderungen verwalten und die Dienstintegrität überwachen. Eine Liste der Rollen, für die ein Helpdeskadministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter .

Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Helpdeskadministratoren nicht gewährt werden. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw.

kritische Konfigurationen in Azure AD und in anderen Diensten gewähren. Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen. Benutzer mit dieser Rolle besitzen globale Berechtigungen in Microsoft Intune Online, wenn der Dienst verfügbar ist. Darüber hinaus können diese Benutzer auf Berichte zur Einführung und Nutzung von Kaizala durch Mitglieder der Organisation sowie auf Geschäftsberichte zugreifen, die mithilfe von Kaizala-Aktionen generiert wurden. Benutzer mit dieser Rolle haben Vollzugriff auf alle Einstellungen für Wissens-, Lern- und intelligenten Features im Microsoft 365 Admin Center. AktionenBESCHREIBUNGmicrosoft.directory/groups.security/createErstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/createAsOwnerErstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt.microsoft.directory/groups.security/deleteLöschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/basic/updateAktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/members/updateAktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/owners/updateAktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasksLesen und Aktualisieren aller Eigenschaften von Content Understanding in Microsoft 365 Admin Centermicrosoft.office365.knowledge/knowledgeNetwork/allProperties/allTasksLesen und Aktualisieren aller Eigenschaften des Wissensnetzwerks in Microsoft 365 Admin Centermicrosoft.office365.knowledge/learningSources/allProperties/allTasksVerwalten von Lernquellen und allen zugehörigen Eigenschaften in der Learning-App.microsoft.office365.protectionCenter/sensitivityLabels/allProperties/readLesen aller Eigenschaften von Vertraulichkeitsbezeichnungen im Security and Compliance Centermicrosoft.office365.sharePoint/allEntities/allTasksErstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePointmicrosoft.office365.supportTickets/allEntities/allTasksErstellen und Verwalten von Microsoft 365-Serviceanforderungenmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center AktionenBESCHREIBUNGmicrosoft.directory/groups.security/createErstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/createAsOwnerErstellen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können) Der Ersteller wird als erster Besitzer hinzugefügt.microsoft.directory/groups.security/deleteLöschen von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/basic/updateAktualisieren grundlegender Eigenschaften von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/members/updateAktualisieren der Mitglieder von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.directory/groups.security/owners/updateAktualisieren der Besitzer von Sicherheitsgruppen (Gruppen ausgeschlossen, denen Rollen zugewiesen werden können)microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/readLesen von Analyseberichten zum Inhaltsverständnis im Microsoft 365 Admin Centermicrosoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasksVerwalten der Themensichtbarkeit des Wissensnetzwerks im Microsoft 365 Admin Centermicrosoft.office365.sharePoint/allEntities/allTasksErstellen und Löschen aller Ressourcen sowie Lesen und Aktualisieren der Standardeigenschaften in SharePointmicrosoft.office365.supportTickets/allEntities/allTasksErstellen und Verwalten von Microsoft 365-Serviceanforderungenmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center AktionenBESCHREIBUNGmicrosoft.directory/authorizationPolicy/standard/readLesen von Standardeigenschaften von Autorisierungsrichtlinienmicrosoft.directory/groups/assignLicenseZuweisen von Produktlizenzen zu Gruppen für die gruppenbasierte Lizenzierungmicrosoft.directory/groups/reprocessLicenseAssignmentErneutes Verarbeiten von Lizenzzuweisungen für die gruppenbasierte Lizenzierungmicrosoft.directory/users/assignLicenseVerwalten von Benutzerlizenzenmicrosoft.directory/users/reprocessLicenseAssignmentErneutes Verarbeiten von Lizenzzuweisungen für Benutzermicrosoft.directory/users/usageLocation/updateAktualisieren des Verwendungsstandorts von Benutzernmicrosoft.azure.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Azure Service Healthmicrosoft.office365.serviceHealth/allEntities/allTasksLesen und Konfigurieren von Service Health im Microsoft 365 Admin Centermicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Center Benutzer mit dieser Rolle können alle Benachrichtigungen im Nachrichtencenter überwachen, einschließlich Nachrichten zum Datenschutz.

Nachrichtencenter-Datenschutzleseberechtigte erhalten E-Mail-Benachrichtigungen, einschließlich Nachrichten zum Datenschutz, und können Benachrichtigungen mithilfe der Einstellungen im Nachrichtencenter abbestellen. Darüber hinaus umfasst diese Rolle die Berechtigung zum Anzeigen von Gruppen, Domänen und Abonnements.

Benutzer mit dieser Rolle können Benachrichtigungen und empfohlene Integritätsupdates für ihre Organisation und die konfigurierten Dienste wie Exchange, Intune und Microsoft Teams im Nachrichtencenter überwachen. Mit der Rolle „Modern Commerce User“ sind bestimmte Benutzer berechtigt, auf Microsoft 365 Admin Center zuzugreifen und die Navigationseinträge links für Home , Abrechnung und Support anzuzeigen. Der in diesen Bereichen verfügbare Inhalt wird von commercespezifischen Rollen gesteuert , die Benutzern zugewiesen werden, um Produkte zu verwalten, die sie für sich selbst oder für Ihre Organisation gekauft haben.

Käufe über den kommerziellen Microsoft Marketplace: Wenn ein Benutzer ein Produkt oder einen Dienst von Microsoft AppSource oder im Azure Marketplace kauft, wird ihm ähnlich wie beim Self-Service-Kauf die Rolle „Modern Commerce-Benutzer“ zugewiesen, sofern er nicht über die Rolle „Globaler Administrator“ oder „Abrechnungsadministrator“ verfügt. Wenn diese Person auf Admin Center zugreifen, kann sie nur Funktionen verwenden, die von ihrer commercespezifischen Rolle autorisiert werden. Wenn ein Benutzer kein globaler Administrator oder Abrechnungsadministrator ist, erhält er die Rolle „Modern Commerce-Benutzer“, damit er auf Admin Center zugreifen kann.

Wenn die Zuweisung der Rolle „Modern Commerce User“ für einen Benutzer aufgehoben wird, verliert er den Zugriff auf Microsoft 365 Admin Center. Wenn er Produkte entweder für sich selbst oder für Ihre Organisation verwaltet hat, kann er die Verwaltung nicht fortsetzen.

Benutzer mit dieser Rolle können Empfehlungen zur Netzwerkumkreisarchitektur von Microsoft überprüfen, die auf Netzwerktelemetriedaten von ihren Benutzerstandorten basieren. Die Netzwerkleistung für Microsoft 365 basiert auf einer sorgfältigen Netzwerkumkreisarchitektur für Unternehmenskunden, die im Allgemeinen für den Benutzerstandort spezifisch ist.

Diese Rolle kann nur für Benutzer ohne Administratorrechte Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen. Diese Rolle kann für Benutzer mit und ohne Administratorrechte (einschließlich globale Administratoren) Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen.

Mit dieser Rolle werden keine Berechtigungen zum Verwalten von Dienstanforderungen oder zum Überwachen der Dienstintegrität gewährt. Benutzer mit dieser Rolle besitzen globale Berechtigungen innerhalb von Microsoft Power BI, wenn der Dienst verfügbar ist, und können Supporttickets verwalten und die Dienstintegrität überwachen. Benutzer in dieser Rolle können alle Aspekte von Umgebungen, Power Apps, Flows und Richtlinien zur Verhinderung von Datenverlust erstellen und verwalten. Darüber hinaus verfügen Benutzer mit dieser Rolle über die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen.

Privilegierte Authentifizierungsadministratoren können eine erneute Registrierung von Benutzern anhand von vorhandenen Anmeldeinformationen ohne Kennwort (z. Die Rolle verfügt über die Berechtigung zum Erzwingen einer erneuten Registrierung und der mehrstufigen Authentifizierung für Standardbenutzer und Benutzer mit einigen Administratorrollen.

Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Authentifizierungsadministratoren nicht gewährt werden. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw.

kritische Konfigurationen in Azure AD und in anderen Diensten gewähren. Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen. Überdies ermöglicht diese Rolle Verwaltung aller Aspekte von Privileged Identity Management und administrativer Einheiten. Diese Rolle ermöglicht die Verwaltung von Zuweisungen für alle Azure AD-Rollen, einschließlich der globalen Administratorrolle. Diese Rolle umfasst keine anderen privilegierten Funktionen in Azure AD wie das Erstellen oder Aktualisieren von Benutzern. Benutzer mit dieser Rolle können Nutzungsberichtsdaten und das Berichtsdashboard im Microsoft 365 Admin Center sowie das Einführungskontextpaket in Power BI anzeigen.

Darüber hinaus stellt die Rolle Zugriff auf Anmeldeberichte und -aktivitäten in Azure AD und von der Microsoft Graph-Berichterstellungs-API zurückgegebene Daten zur Verfügung. Sie verfügen nicht über Administratorrechte, um Einstellungen zu konfigurieren oder auf produktspezifische Verwaltungskonsolen wie das Exchange Admin Center zuzugreifen. Darüber hinaus können diese Benutzer das Nachrichtencenter anzeigen, die Dienstintegrität überwachen und Service Requests erstellen.

Geben Sie inMöglich Microsoft 365 Security Center Überwachen von sicherheitsrelevanten Richtlinien in Microsoft 365-DienstenVerwalten von Sicherheitsbedrohungen und WarnungenBerichte anzeigenIdentity Protection CenterAlle Berechtigungen der Rolle „Sicherheitsleseberechtigter“Darüber hinaus die Möglichkeit, alle Vorgänge im Identity Protection Center außer des Zurücksetzens von Kennwörtern auszuführen Privileged Identity Management Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“ Kann keine Azure AD-Rollenzuweisungen oder -Einstellungen verwalten Office 365 Security & Compliance Center Verwalten von SicherheitsrichtlinienAnzeigen, Untersuchen und Reagieren auf SicherheitsbedrohungenBerichte anzeigenAzure Advanced Threat ProtectionÜberwachen und Reagieren auf verdächtige SicherheitsaktivitätenWindows Defender ATP und EDRZuweisen von RollenVerwalten von ComputergruppenKonfigurieren der Endpunkt-Bedrohungserkennung und der automatisierten KorrekturAnzeigen, Untersuchen und Reagieren auf Warnungen Intune Anzeigen von Benutzern, Geräten, Registrierung, Konfiguration und AnwendungsinformationenKann keine Änderungen an Intune vornehmen Cloud App Security Hinzufügen von Administratoren, Richtlinien und Einstellungen, Hochladen von Protokollen und Ausführen von Governanceaktionen Microsoft 365-Dienststatus Anzeigen des Status von Microsoft 365-Diensten Smart Lockout Hiermit werden der Schwellenwert und die Dauer für Sperren definiert, wenn fehlerhafte Anmeldeereignisse auftreten. Benutzer mit dieser Rolle können Warnungen verwalten und besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features. Geben Sie inMöglich Microsoft 365 Security Center Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“Anzeigen und Untersuchen von sowie Reagieren auf Warnungen zu SicherheitsbedrohungenVerwalten von Sicherheitseinstellungen in Security Center Azure AD Identity Protection Alle Berechtigungen der Rolle „Sicherheitsleseberechtigter“Darüber hinaus die Möglichkeit, alle Vorgänge im Identity Protection Center auszuführen, mit Ausnahme des Zurücksetzens von Kennwörtern und des Konfigurierens von Benachrichtigungs-E-Mails.

Benutzer mit dieser Rolle besitzen globalen schreibgeschützten Zugriff auf sicherheitsbezogene Features, einschließlich alle Informationen in Microsoft 365 Security Center, Azure Active Directory, Identity Protection, und Privileged Identity Management, sowie die Möglichkeit zum Lesen von Azure Active Directory-Anmeldeberichten und Überwachungsprotokollen und für das Office 365 Security & Compliance Center. Geben Sie inMöglich Microsoft 365 Security Center Anzeigen von sicherheitsrelevanten Richtlinien in Microsoft 365-DienstenAnzeigen von Sicherheitsbedrohungen und WarnungenBerichte anzeigenIdentity Protection CenterLesen von allen Sicherheitsberichten und Einstellungsinformationen für die Sicherheitsfunktionen Antispam Verschlüsselung Verhindern von Datenverlusten Antischadsoftware Erweiterter Schutz vor Bedrohungen Antiphishing Regeln für den Nachrichtenfluss Darüber hinaus bietet diese Rolle die Möglichkeit, Supporttickets zu verwalten und die Dienstintegrität zu überwachen, sowie auf die Admin Center von Teams und Skype for Business zuzugreifen.

Dazu zählen unter anderem alle Verwaltungstools im Zusammenhang mit Telefonie, Messaging, Besprechungen und den Teams selbst. Benutzer mit dieser Rolle können Aspekte der Microsoft Teams-Workload im Zusammenhang mit Sprache und Telefonie verwalten. Dazu gehören die Verwaltungstools für die Telefonnummernzuweisung, Sprach- und Besprechungsrichtlinien und der uneingeschränkte Zugriff auf das Toolset zur Anrufanalyse. AktionenBESCHREIBUNGmicrosoft.office365.webPortal/allEntities/standard/readLesen grundlegender Eigenschaften für alle Ressourcen im Microsoft 365 Admin Centermicrosoft.teams/devices/standard/readVerwalten sämtlicher Aspekte von in Teams zertifizierten Geräten (einschließlich Konfigurationsrichtlinien) Im Microsoft 365 Admin Center für die beiden Berichte wird zwischen aggregierten Daten auf Mandantenebene und Details auf Benutzerebene unterschieden.

Diese Rolle bietet eine zusätzliche Sicherheitsebene für personenbezogene Daten, die von Kunden und Rechtsabteilungen angefordert werden. Benutzeradministratoren haben keine Berechtigungen zum Verwalten bestimmter Benutzereigenschaften für Benutzer in den meisten Administratorrollen. Administratoren mit dieser Rolle haben keine Berechtigungen zum Verwalten der mehrstufigen Authentifizierung (MFA) oder von freigegebenen Postfächern. Annullieren von AktualisierungstokenKennwort zurücksetzenEine Liste der Rollen, für die ein Benutzeradministrator Kennwörter zurücksetzen und Aktualisierungstoken ungültig machen kann, finden Sie unter .Benutzer mit dieser Rolle können Kennwörter für Benutzer ändern, die Zugriff auf vertrauliche oder private Informationen bzw.

kritische Konfigurationen innerhalb und außerhalb von Azure Active Directory haben. Diese Apps können über höhere Berechtigungen in Azure AD und in anderen Diensten verfügen, die Benutzeradministratoren nicht gewährt werden. Diese Gruppen können Zugriff auf vertrauliche oder private Informationen bzw. kritische Konfigurationen in Azure AD und in anderen Diensten gewähren.

Nichtadministratoren wie Führungskräfte, Rechtsberater und Mitarbeiter der Personalabteilung mit Zugriff auf vertrauliche oder private Informationen. Beispielsweise verwenden alle Aufgaben in Azure AD den Namespace microsoft.directory .EntitätLogische Funktion oder Komponente, die vom Dienst in Microsoft Graph verfügbar gemacht wird. actionDer gewährte Vorgang, in der Regel CRUD (Create, Read, Update, Delete).

Es gibt ein spezielles Schlüsselwort allTasks zum Angeben aller oben genannten Möglichkeiten (Create, Read, Update, Delete). Kennwort kann zurückgesetzt werdenKennwortadministratorHelpdeskadministratorAuthentifizierungsadministratorBenutzeradministratorPrivilegierter AuthentifizierungsadministratorGlobaler AdministratorAuthentifizierungsadministrator✔️✔️✔️Rolle „Verzeichnis lesen“✔️✔️✔️✔️✔️✔️Globaler Administrator✔️✔️*Gruppenadministrator✔️✔️✔️Gasteinladender✔️✔️✔️✔️✔️✔️Helpdeskadministrator✔️✔️✔️✔️Nachrichtencenter-Leser✔️✔️✔️✔️✔️Kennwortadministrator✔️✔️✔️✔️✔️✔️Privilegierter Authentifizierungsadministrator✔️✔️Administrator für privilegierte Rollen✔️✔️Meldet Reader✔️✔️✔️✔️✔️Benutzer(keine Administratorrolle)✔️✔️✔️✔️✔️✔️Benutzer(keine Administratorrolle, aber Mitglied einer Gruppe, der Rollen zugewiesen werden können)✔️✔️Benutzeradministrator✔️✔️✔️Leseberechtigter für Berichte mit Nutzungszusammenfassung✔️✔️✔️✔️✔️* Ein globaler Administrator kann seine eigene Zuweisung als globaler Administrator nicht aufheben.

.

Optimized role center selection in Dynamics 365 Business Central

Earlier versions of Business Central also included roles that could be further defined using the Role Explorer function and therefore contained only the navigation menu as content. Among others, roles for Administration (ADMIN), Finance (FIN), Manufacturing (MANUFACTURING), Sales and Marketing (SALES) as well as Human Resources (HR) and Warehouse (WAREHOUSE) have been removed.

by adding new actions and documents relevant for the respective role). .

Get-ComplianceCase (ExchangePowerShell)

This example returns a summary list of all core eDiscovery cases in the organization. This example returns detailed information for the core eDiscovery case named Contoso Legal. This example returns a summary list of all Advanced eDiscovery cases in the organization.

AdvancedEdiscovery: Advanced eDiscovery cases are used to manage legal or other types of investigations. Type:ComplianceCaseTypePosition:NamedDefault value:eDiscoveryAccept pipeline input:FalseAccept wildcard characters:FalseApplies to:Security & Compliance CenterThis parameter is reserved for internal Microsoft use. Type:SwitchParameterPosition:NamedDefault value:NoneAccept pipeline input:FalseAccept wildcard characters:FalseApplies to:Security & Compliance CenterThe RoleGroup parameter returns a list of compliance cases that the specified role group is a member of.

Type:StringPosition:NamedDefault value:NoneAccept pipeline input:FalseAccept wildcard characters:FalseApplies to:Security & Compliance Center .

Active Roles

%PDF-1.4 % 225 0 obj <> endobj xref 225 56 0000000016 00000 n 0000001952 00000 n 0000002111 00000 n 0000002637 00000 n 0000002672 00000 n 0000002808 00000 n 0000002937 00000 n 0000003656 00000 n 0000004437 00000 n 0000004551 00000 n 0000004644 00000 n 0000005065 00000 n 0000005614 00000 n 0000005719 00000 n 0000006304 00000 n 0000006979 00000 n 0000009306 00000 n 0000011428 00000 n 0000013478 00000 n 0000015465 00000 n 0000015869 00000 n 0000016220 00000 n 0000018736 00000 n 0000020594 00000 n 0000021264 00000 n 0000022486 00000 n 0000025010 00000 n 0000028329 00000 n 0000033130 00000 n 0000033241 00000 n 0000033338 00000 n 0000033487 00000 n 0000035498 00000 n 0000035829 00000 n 0000036250 00000 n 0000048112 00000 n 0000048381 00000 n 0000058325 00000 n 0000058583 00000 n 0000088980 00000 n 0000089019 00000 n 0000095692 00000 n 0000095731 00000 n 0000095856 00000 n 0000096611 00000 n 0000096890 00000 n 0000097226 00000 n 0000097454 00000 n 0000097531 00000 n 0000099017 00000 n 0000101585 00000 n 0000101830 00000 n 0000101903 00000 n 0000101976 00000 n 0000001772 00000 n 0000001444 00000 n trailer <<5F0C5B9D53145240B4C67A9AB69315C8>]/Prev 189649/XRefStm 1772>> startxref 0 %%EOF 280 0 obj <>stream hb``a``0 0EY808`d`ǀO8uJ.#Q)茸dv[GG Ttt0)q bH10 M,|YAhî+f& &[G8x`ޡΝ+*9cƼtWΧ[email protected]];fb`퇋30=Ҍ@ !>N endstream endobj 279 0 obj <>/Filter/FlateDecode/Index[32 193]/Length 29/Size 225/Type/XRef/W[1 1 1]>>stream hbbf`b``Ń3 b endstream endobj 226 0 obj <>/Metadata 30 0 R/Pages 29 0 R/StructTreeRoot 32 0 R/Type/Catalog/ViewerPreferences<>>> endobj 227 0 obj <>/Font<>/ProcSet[/PDF/Text]/Properties<>/XObject<>>>/Rotate 0/StructParents 0/TrimBox[0.0 0.0 612.0 792.0]/Type/Page>> endobj 228 0 obj [229 0 R 230 0 R] endobj 229 0 obj <>/Border[0 0 0]/H/N/Rect[419.83 28.3173 576.0 15.5452]/Subtype/Link/Type/Annot>> endobj 230 0 obj <>/Border[0 0 0]/H/N/Rect[34.0 45.2 152.48 -2.0]/Subtype/Link/Type/Annot>> endobj 231 0 obj <> endobj 232 0 obj <> endobj 233 0 obj <> endobj 234 0 obj <> endobj 235 0 obj <> endobj 236 0 obj <>stream H\n0Fl/*3ҐHn} N rE޾VZ$ϜOUlf'{6p zl5ӽ76z4I]&MnahߡOzhu?MmYczUMiO6w)m64C/cP'o4>-)ݒXliJۙE~cٚW 1E963r^فB~_'Obc GGGGGGL~ȫz +%%r_k0s r s r k.]PvABrKrTx*=JOSTx*=JOS\Ta o[email protected]'G5(}k n>8]o86k O3 endstream endobj 237 0 obj <> endobj 238 0 obj <> endobj 239 0 obj <>stream H\͎0y gۃ!eHGİpוF .Ka:}M&1^̩߮]ifZfgs(/t?4>K^5l^~UW_|?ĬצzV_eo6d?GE)vZGo{,;P$a^=+7LgR%www\C~C?As0DE=s왧)tFA9PJ Q;h`K2hK%z ^/K%z 2 |Cf>|#G |,d`d`d`d`d`d`d`d`"KWU*| _Wu9GU*}ʬ3dP0r~.g)sS˹EnY0;搛######### dI:W}+n^׆oYE͎4城V:3}C[Uv: wW h0 endstream endobj 240 0 obj <>stream HWn}Gag~H (8ȃ,-I!s3)KI [email protected]`gTuUaּ`l5'7ß7wΧ;{=;p˝yw.og۝5^ v5d6zoX"6`\c?z䬙?>#ϛ˗wwjNG뛫? .

Active Roles 7.4

Wir empfehlen Ihnen, Ihren Browser auf die neueste Version von Internet Explorer oder Chrome zu aktualisieren. .

Microsoft 365 Default Rechte

Wussten sie, dass jeder AzureAD-Benutzer eine Liste aller Benutzer, Gruppen, Geräte, Lizenzen und mehr einfach so generieren kann? Wer im Active Directory, AzureAD, Office365, Microsoft 365 u.a. Dienste etwas sehen oder verwalten will, benötigt die erforderlichen Berechtigungen.

Die Windows Administratoren kennen aus ihrem lokalen Active Directory umfangreiche "Standard Rollen", die als Sicherheitsgruppe ausgeführt sind. Auch ADSync, Exchange, Skype for Business etc addieren neue Sicherheitsgruppen, die mit Rechten versehen werden. So können Administratoren einfach die gewünschten Admin-Konten in die Gruppen aufnehmen und ersparen sich die Vergabe individueller Berechtigungen. Allerdings sind die Rollen-Gruppen vordefiniert und wenn Sie eigene abweichende Rollen benötigen, dann müssen Sie doch wieder selbst ran. Aber es gibt durchaus Standardrechte, wie ich bei der Arbeit um das Message Center festgestellt habe. Sehr schnell ist meine Wahl auf eine genau passende RoleGroup im AzureAD gefallen: Users in this role can monitor notifications and advisory health updates in Message center for their organization on configured services such as Exchange, Intune, and Microsoft Teams.

In Azure AD, users assigned to this role will only have read-only access on Azure AD services such as users and groups. This role has no access to view, create, or manage support tickets. Da wollte ich dann schon mal wissen, was ein Benutzer denn noch so alles sehen darf. So können auch berechtigte Personen die Änderungen als Task nicht nur gefahrlos lesen sondern auch als Aufgaben untereinander zuweisen und nachverfolgen. Wenn Sie diese Rolle einem Gast oder Service Principal zuweisen, bekommt das Objekt auch die Rechte, die jeder normale Anwender sowieso auch hat. Ich kann mir aktuell keinen Reim drauf machen, warum normale Anwender oder sogar Gäste solch umfangreiche Berechtigungen haben sollten.

Es ist zwar "nur" ein Read-Recht und die meisten Benutzer kommen allein mit diesen Berechtigungen nicht an die beiden Admin-Portale heran. Aber das ist doch kein echter Schutz, denn es kann doch durchaus "erwartet" sein, dass auch ein normales Konto über Rollenzuweisungen ausgewählte Leserechte bekommt. Zumindest erwarte ich nicht, dass ein Anwender mit "Message Center Reader" über das Portal gleich alle anderen Dinge ganz einfach per Mail einsehen kann.

Ich habe dann einen "normalen Anwender" genutzt, der nie Administrator war und sicher 100% "Standard" ist. Get-MsolRole und Get-MsolRoleMember die Adminrollen und zugewiesenen Benutzer auslesen Get-MsolDevice -ALL eine Liste aller Geräte und deren grundlegenden Eigenschaften ermitteln Get-MsolAdministrativeUnit und Get-MsolAdministrativeUnitMember die AdminOUs einsehen Get-MsolCompanyInformation die Firmendaten samt Kontaktnummer des Administrators, Dienstkonto des DirSync-Kontos u.a.auslesen Get-MsolContact eine Liste aller Kontakte generieren Get-MsolPartnerContract liefert eine Liste der TenantIDs, bei denen mein Tenant als Partner/Admin hinterlegt ist Get-MsolDirSyncProvisioningError und Get-MsolHasObjectsWithDirSyncProvisioningErrors zeigen den Status des DirSync an Get-MsolCompanyAllowedDataLocation wurde aber mit "No Permission" quittiert.

Das ist ganz schön viel und zeigt mir, dass diese Informationen nicht nur per Browser über das Webportal erreichbar sind, und auch nicht von einer Rolle wie "Message Center Reader" anhängig sind, um diese Daten zu erhalten. Das öffnet natürlich die Tür, wenn nur ein Benutzer seine Zugangsdaten "verliert" und damit eine nicht berechtigte Person von überall in der Welt diese Daten auslesen kann. Aus meiner Sicht ist das ein weiterer Grund, über AzureAD P1 nachzudenken und den Zugang zu bestimmten Schnittstellen auf bekannte Endgeräte und Benutzer zu beschränken. Nun war ich natürlich neugierig geworden und habe mich mit meinem "normalen Userkonto" auch an die anderen Online-Dienste verbunden.

Ich kann mich per Default mit der PowerShell verbinden und sogar Commandlets aufrufen. Ein "Sicherheitsloch" würde ich das nicht bezeichnen, denn im lokalen Active Directory kann ich das per LDAP auch und über die OutlookAPI kann ich ja auch das Adressbuch auslesen. Auch die Ausgabe der Daten als "Objekt" macht es natürlich sehr viel einfacher.

Das hat mich dann schon etwas überrascht, dass ich wenige, aber nicht alle, CAS-Einstellungen meiner Mailbox so anpassen kann. Das eröffnet natürlich diversen 3rd Party Tools, z.B. als Anwender ausführlichere Reports zu generieren. In der Beschreibung von Microsoft steht auch, dass die Rechte sogar "Gastbenutzern" offen stehen.

Also habe ich eine weitere PowerShell gestartet und versucht, mich an einem anderen Tenant mit meinem Gastkonto anzumeldeb. Der Anmeldename als Gast in einem anderen Tenant ist ja vom Aufbau her einfach zu ermitteln.

Die Cloud hat also schon den Gastbenutzer mit dem übermittelten Benutzernamen erkannt und dem Tenant zugeordnet. Insofern kann ich zumindest nicht per PowerShell als Gast so einfach in einem anderen Tenant wildern. Das wäre noch einmal nachzustellen, welche Rechte ein Gast im Tenant tatsächlich ausüben kann.

Allerdings möchte ich in dem Zuge noch auf eine weitere Einstellungen zu Gästen und AzureAD hinweisen. Das ist aber noch keine Aussage, warum meine Anmeldung per PowerShell überhaupt nicht funktioniert hat und ob es vielleicht andere APIs wie z.B.

die Graph API gibt, die hier doch einen Zugriff erlaubt. .

Sync Public Folders and the GAL to smartphones

CiraSync Enterprise Edition: Full functionality software with centralized management for an entire Office 365 tenant with Roles-Based Administration and the ability to setup automated syncing of multiple contact lists and shared calendars. The solution includes many advanced features, such as contact photo sync, AutoComplete, Advanced Folder Purge, Reading an Internet Calendar, etc. Your Global IT Administrator can set up the solution and manage users in minutes. .

War dieser Artikel hilfreich?

Ya Tidak
Kontakt