Rollen in allen Microsoft-Diensten

Dienste in Microsoft 365 können mit administrativen Rollen in Microsoft Entra ID verwaltet werden. Einige Dienste bieten auch zusätzliche Rollen an, die für diesen Dienst spezifisch sind. Dieser Artikel enthält Inhalte, API-Verweise und Überprüfungs- und Überwachungsverweise im Zusammenhang mit rollenbasierter Zugriffssteuerung (RBAC) für Microsoft 365 und andere Dienste.

Microsoft Entra

Microsoft Entra ID und zugehörige Dienste in Microsoft Entra.

Microsoft Entra ID

Bereich Inhalt
Übersicht Integrierte Microsoft Entra-Rollen
Referenz zur Verwaltungs-API Microsoft Entra-Rollen
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Wenn eine Rolle einer Gruppe zugewiesen wird, verwalten Sie die Gruppenmitgliedschaften mit der Microsoft Graph v1.0 Gruppen-API
Verweis zu Überwachung und Monitoring Microsoft Entra-Rollen
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie
Wenn einer Gruppe eine Rolle zugewiesen wird, um Änderungen an Gruppenmitgliedschaften zu prüfen, siehe Überwachungen mit der GroupManagement-Kategorie und den Aktivitäten Add member to group und Remove member from group

Berechtigungsverwaltung

Bereich Inhalt
Übersicht Berechtigungsverwaltungsrollen
Referenz zur Verwaltungs-API Berechtigungsverwaltungsspezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.directory/entitlementManagement beginnen

Berechtigungsverwaltungsspezifische Rollen
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie entitlementManagement-Anbieter
Verweis zu Überwachung und Monitoring Berechtigungsverwaltungsspezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Berechtigungsverwaltungsspezifische Rollen
Im Microsoft Entra-Überwachungsprotokoll mit der Kategorie und Aktivität EntitlementManagement ist eine der folgenden:
Remove Entitlement Management role assignment
Add Entitlement Management role assignment

Microsoft 365

Dienste in der Microsoft 365-Suite.

Exchange

Bereich Inhalt
Übersicht Berechtigungen in Exchange Online
Referenz zur Verwaltungs-API Exchange-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Rollen mit Berechtigungen beginnend mit: microsoft.office365.exchange

Exchange-spezifische Rollen
Microsoft Graph Beta roleManagement-API
• Verwenden Sie exchange-Anbieter
Verweis zu Überwachung und Monitoring Exchange-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Exchange-spezifische Rollen
Verwenden Sie die Microsoft Graph Beta-Sicherheits-API (Überwachungsprotokollabfrage) und listen Sie Überwachungsereignisse auf, bei denen „recordType == ExchangeAdmin“ und der Vorgang einer der folgenden ist:
Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, New-RoleGroup, Remove-RoleGroup, New-ManagementRole, Remove-ManagementRoleEntry, New-ManagementRoleAssignment

SharePoint

Umfasst SharePoint, OneDrive, Delve, Listen, Project Online und Loop.

Bereich Inhalt
Übersicht Informationen zur SharePoint-Administratorrolle in Microsoft 365
Delve für Admins
Steuerelementeinstellungen für Microsoft Listen
Ändern der Berechtigungsverwaltung in Project Online
Referenz zur Verwaltungs-API SharePoint-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Rollen mit Berechtigungen beginnend mit: microsoft.office365.sharepoint
Verweis zu Überwachung und Monitoring SharePoint-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Intune

Bereich Inhalt
Übersicht Rollenbasierte Zugriffssteuerung (RBAC) für Microsoft Intune
Referenz zur Verwaltungs-API Intune-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Rollen mit Berechtigungen beginnend mit: microsoft.intune

Intune-spezifische Rollen
Microsoft Graph Beta roleManagement-API
• Verwenden Sie deviceManagement-Anbieter
• Alternativ können Sie die Intune-spezifische Microsoft Graph Beta-RBAC-Verwaltungs-API verwenden
Verweis zu Überwachung und Monitoring Intune-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 directoryAudit-API
RoleManagement-Kategorie

Intune-spezifische Rollen
Übersicht über die Intune-Überwachung
API-Zugriff auf Intune-spezifische Überwachungsprotokolle:
Microsoft Graph Beta getAuditActivityTypes-API
• Führen Sie zuerst die Aktivitätstypen auf, bei denen „category=Role“ ist, und verwenden Sie dann die Microsoft Graph Beta-auditEvents-API, um alle auditEvents für jeden Aktivitätstyp aufzulisten

Teams

Umfasst Teams, Bookings, Copilot Studio für Teams und Schichten.

Bereich Inhalt
Übersicht Verwenden von Microsoft Teams-Administratorrollen zur Verwaltung von Teams
Referenz zur Verwaltungs-API Teams-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Rollen mit Berechtigungen beginnend mit: microsoft.teams
Verweis zu Überwachung und Monitoring Teams-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Purview-Suite

Umfasst die Purview-Suite, Azure Information Protection und Informationsbarrieren.

Bereich Inhalt
Übersicht Rollen und Rollengruppen in Microsoft Defender für Office 365 und Microsoft Purview
Referenz zur Verwaltungs-API Purview-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit Folgendem beginnen:
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

Purview-spezifische Rollen
Verwenden Sie PowerShell: PowerShell für Sicherheit und Compliance. Bestimmte Cmdlets sind:
Get-RoleGroup
Get-RoleGroupMember
New-RoleGroup
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
Verweis zu Überwachung und Monitoring Purview-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Purview-spezifische Rollen
Verwenden Sie die Microsoft Graph Beta-Sicherheits-API (Beta-Überwachungsprotokollabfrage) und listen Sie Überwachungsereignisse auf, bei denen „recordType == SecurityComplianceRBAC“ und der Vorgang einer der folgenden ist: Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroup.

Power Platform

Umfasst Power Platform, Dynamics 365, Flow und Dataverse for Teams.

Bereich Inhalt
Übersicht Serviceadministratorrollen zur Mandantenverwaltung verwenden
Sicherheitsrollen und -rechte
Referenz zur Verwaltungs-API Power Platform-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit Folgendem beginnen:
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

Dataverse-spezifische Rollen
Vorgänge mithilfe der Web-API ausführen
• Abfrage der Benutzer- (SystemUser-) Tabellen-/Entitätsreferenz
• Rollenzuweisungen sind Teil der systemuserroles_association-Tabellen
Verweis zu Überwachung und Monitoring Power Platform-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Dataverse-spezifische Rollen
Übersicht über die Dataverse-Überwachung
API für den Zugriff auf dataverse-spezifische Überwachungsprotokolle
Dataverse-Web-API
Verweis zur Überwachungstabelle
• Überwachungen mit Aktionscodes:
53 – Zuweisen einer Rolle zu einem Team
54 – Entfernen der Rolle aus einem Team
53 – Zuweisen einer Rolle zu einem Benutzer bzw. einer Benutzerin
56 – Entfernen der Rolle eines Benutzers bzw. einer Benutzerin
57 – Hinzufügen von Rechten zu einer Rolle
58 – Entfernen von Rechten einer Rolle
59 – Ersetzen von Rechten in einer Rolle

Defender-Suite

Umfasst Defender-Suite, Secure Score, Cloud App Security und Threat Intelligence.

Bereich Inhalt
Übersicht Microsoft Defender XDR Unified– rollenbasierte Zugriffssteuerung (RBAC)
Referenz zur Verwaltungs-API Defender-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Die folgenden Rollen verfügen über Berechtigungen (Verweis): Sicherheitsadministrator, Sicherheitsoperator, Sicherheitsleseberechtigter, globaler Administrator und globaler Leser

Defender-spezifische Rollen
Workloads müssen aktiviert werden, um Defender Unified RBAC zu verwenden. Siehe Aktivieren der rollenbasierten Zugriffssteuerung (RBAC) von Microsoft Defender XDR Unified. Durch Aktivieren von Defender Unified RBAC werden einzelne Defender-Lösungsrollen deaktiviert.
• Kann nur über das Portal security.microsoft.com verwaltet werden
Verweis zu Überwachung und Monitoring Defender-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Viva Engage

Bereich Inhalt
Übersicht Verwalten von Administratorrollen in Viva Engage
Referenz zur Verwaltungs-API Viva Engage-spezifische Rollen in Microsoft Entra-ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.yammer beginnen.

Viva Engage-spezifische Rollen
• Bestätigte Administrator- und Netzwerkadministratorrollen können über das Yammer Admin Center verwaltet werden.
- Die Rolle des Unternehmens-Communicators kann über das Viva Engage Admin Center zugewiesen werden.
Yammer Data Export API kann verwendet werden, um admins.csv zu exportieren, um die Liste der Admins zu lesen
Verweis zu Überwachung und Monitoring Viva Engage-spezifische Rollen in Microsoft Entra-ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Viva Engage-spezifische Rollen
• Verwenden Sie die Yammer-Datenexport-API, um die admins.csv-Datei schrittweise zu exportieren und eine Liste der Admins zu erstellen.

Viva Connections

Bereich Inhalt
Übersicht Administratorrollen und -aufgaben in Microsoft Viva
Referenz zur Verwaltungs-API Viva Connections-spezifische Rollen in Microsoft Entra-ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Die folgenden Rollen verfügen über Berechtigungen: SharePoint-Administrator, Teams-Administrator und globaler Administrator
Verweis zu Überwachung und Monitoring Viva Connections-spezifische Rollen in Microsoft Entra-ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Viva Learning

Bereich Inhalt
Übersicht Einrichten von Microsoft Viva Learning im Teams Admin Center
Referenz zur Verwaltungs-API Viva Learning-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.knowledge beginnen
Verweis zu Überwachung und Monitoring Viva Learning-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Viva Insights

Bereich Inhalt
Übersicht Rollen in Viva Insights
Referenz zur Verwaltungs-API Viva Insights-spezifische Rollen in der Microsoft Entra-ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.insights beginnen
Verweis zu Überwachung und Monitoring Viva Insights-spezifische Rollen in der Microsoft Entra-ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie
Bereich Inhalt
Übersicht Einrichten von Microsoft Search
Referenz zur Verwaltungs-API Search-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.office365.search beginnen
Verweis zu Überwachung und Monitoring Search-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Universal Print

Bereich Inhalt
Übersicht Universal Print-Administratorrollen
Referenz zur Verwaltungs-API Universal Print-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.azure.print beginnen
Verweis zu Überwachung und Monitoring Universal Print-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Microsoft 365 Apps Suite Management

Umfasst microsoft 365 Apps Suite Management und Forms.

Bereich Inhalt
Übersicht Überblick über das Microsoft 365 Apps Admin Center
Administratoreinstellungen für Microsoft Forms
Referenz zur Verwaltungs-API Microsoft 365 Apps-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Die folgenden Rollen verfügen über Berechtigungen: Office-Apps-Administrator, Sicherheitsadministrator, globaler Administrator
Verweis zu Überwachung und Monitoring Microsoft 365 Apps-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Azure

Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) für die Azure-Steuerungsebene und Abonnementinformationen.

Azure

Umfasst Azure und Sentinel.

Bereich Inhalt
Übersicht Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?
Rollen und Berechtigungen in Microsoft Sentinel
Referenz zur Verwaltungs-API Azure-Dienst-spezifische Rollen in Azure
Azure Resource Manager-Autorisierungs-API
• Rollenzuweisung: Liste, Erstellen/Aktualisieren, Löschen
• Rollendefinition: Liste, Erstellen/Aktualisieren, Löschen

Es gibt eine veraltete Methode, um Zugriff auf Azure-Ressourcen zu gewähren, die als klassische Administratoren bezeichnet wird. Klassische Administratoren entsprechen der Besitzerrolle in Azure RBAC. Klassische Administratoren werden im August 2024 eingestellt.
Beachten Sie, dass ein globaler Microsoft Entra Admin über erhöhte Zugriffsrechte einseitigen Zugriff auf Azure erhalten kann.
Verweis zu Überwachung und Monitoring Azure-Dienst-spezifische Rollen in Azure
Überwachen von Azure RBAC-Änderungen im Azure-Aktivitätsprotokoll
Azure-Aktivitätsprotokoll-API
• Überprüfungen mit Ereigniskategorie Administrative und Vorgang Create role assignment, Delete role assignment, Create or update custom role definition, Delete custom role definition.

Anzeigen von Zugriffsprotokollen mit erhöhten Rechten im Azure-Aktivitätsprotokoll auf Mandantenebene
Azure-Aktivitätsprotokoll-API – Mandantenaktivitätsprotokolle
• Überprüfungen mit Ereigniskategorie Administrative und enthaltenden Zeichenfolgen elevateAccess.
• Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden.

Commerce

Dienstleistungen im Zusammenhang mit Einkauf und Abrechnung.

Kostenmanagement und Abrechnung – Enterprise Agreements

Bereich Inhalt
Übersicht Verwalten von Azure Enterprise Agreement-Rollen
Referenz zur Verwaltungs-API Enterprise Agreements-spezifische Rollen in Microsoft Entra ID
Enterprise Agreements unterstützt keine Microsoft Entra-Rollen.

Enterprise Agreements-spezifische Rollen
API für Abrechnungsrollenzuweisungen
• Enterprise-Admin (Rollen-ID: 9f1983cb-2574-400c-87e9-34cf8e2280db)
• Enterprise-Admin (schreibgeschützt) (Rollen-ID: 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• EA-Einkäufer (Rollen-ID: da6647fb-7651-49ee-be91-c43c4877f0c4)
API für Rollenzuweisungen der Registrierungsabteilung
• Abteilungsadmin (Rollen-ID: fb2cf67f-be5b-42e7-8025-4683c668f840)
• Abteilungsleser (Rollen-ID: db609904-a47f-4794-9be8-9bd86fbffd8a)
API für Rollenzuweisungen des Registrierungskontos
• Kontobesitzer (Rollen-ID: c15c22c0-9faf-424c-9b7e-bd91c06a240b)
Verweis zu Überwachung und Monitoring Enterprise Agreements-spezifische Rollen
Azure Activity Log API – Mandantenaktivitätsprotokolle
• Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden.
• Überprüfungen, bei denen „resourceProvider == Microsoft.Billing“ und „operationName contains billingRoleAssignments or EnrollmentAccount“ ist

Kostenmanagement und Abrechnung – Microsoft-Kundenvereinbarungen

Bereich Inhalt
Übersicht Grundlegendes zu Verwaltungsrollen für Microsoft-Kundenvereinbarungen in Azure
Grundlegendes zu Ihrem Microsoft Business-Abrechnungskonto
Referenz zur Verwaltungs-API Microsoft-Kundenvereinbarungs-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Die folgenden Rollen verfügen über Berechtigungen: Abrechnungsadministrator, globaler Administrator.

Microsoft-Kundenvereinbarungs-spezifische Rollen
Standardmäßig werden den Rollen „globaler Microsoft Entra-Administrator“ und „Abrechnungsadministrator“ automatisch die Rolle „Abrechnungskontobesitzer“ in der für Microsoft-Kundenvereinbarungen spezifischen RBAC zugewiesen.
API für Abrechnungsrollenzuweisungen
Verweis zu Überwachung und Monitoring Microsoft-Kundenvereinbarungs-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Microsoft-Kundenvereinbarungs-spezifische Rollen
Azure Activity Log API – Mandantenaktivitätsprotokolle
• Um auf die Aktivitätsprotokolle auf Mandantenebene zugreifen zu können, müssen Sie mindestens einmal erhöhten Zugriff verwenden.
• Überprüfungen, bei denen „resourceProvider == Microsoft.Billing“ und „operationName“ einer der folgenden Werte ist (alle mit vorangestelltem Microsoft.Billing):
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

Geschäftsabonnements und Abrechnung – Volumenlizenzierung

Bereich Inhalt
Übersicht Verwalten von Volumenlizenzierungsbenutzerrollen – Häufig gestellte Fragen
Referenz zur Verwaltungs-API Volumenlizenzierungs-spezifische Rollen in Microsoft Entra-ID
Volumenlizenzierung unterstützt keine Microsoft Entra-Rollen.

Volumenlizenzierungs-spezifische Rollen
VL-Benutzende und -Rollen werden im M365 Admin Center verwaltet.

Partner Center

Bereich Inhalt
Übersicht Rollen, Berechtigungen und Arbeitsbereichszugriff für Benutzende
Referenz zur Verwaltungs-API Partner Center-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Die folgenden Rollen verfügen über Berechtigungen: globaler Administrator, Benutzeradministrator.

Partner Center-spezifische Rollen
Partner Center-spezifische Rollen können nur über Partner Center verwaltet werden.
Verweis zu Überwachung und Monitoring Partner Center-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Sonstige Dienste

Azure DevOps

Bereich Inhalt
Übersicht Informationen zu Berechtigungen und Sicherheitsgruppen
Referenz zur Verwaltungs-API Azure DevOps-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.azure.devOps beginnen.

Azure DevOps-spezifische Rollen
Erstellen/Lesen/Aktualisieren/Löschen von Berechtigungen, die über die Rollenzuweisunges-API gewährt werden
• Anzeigen von Berechtigungen von Rollen mit der Rollenbeschreibungs-API
Berechtigungsreferenzthema
• Wenn einer Rolle eine Azure DevOps-Gruppe (Hinweis: nicht zu verwechseln mit der Microsoft Entra-Gruppe) zugewiesen ist, können Sie Gruppenmitgliedschaften mit der Mitgliedschafts-API erstellen/lesen/aktualisieren/löschen.
Verweis zu Überwachung und Monitoring Azure DevOps-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Azure DevOps-spezifische Rollen
Zugreifen auf das AzureDevOps-Überwachungsprotokoll
Verweis zur Überwachungs-API
AuditId-Verweis
• Überprüfungen mit ActionId Security.ModifyPermission, Security.RemovePermission
• Für Änderungen an Gruppen, die Rollen zugewiesen sind, Überprüfungen mit ActionId Group.UpdateGroupMembership, Group.UpdateGroupMembership.Add, Group.UpdateGroupMembership.Remove

Fabric

Enthält Fabric und Power BI.

Bereich Inhalt
Übersicht Grundlegendes zu Microsoft Fabric-Administratorrollen
Referenz zur Verwaltungs-API Fabric-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 roleManagement-API
• Verwenden Sie directory-Anbieter
• Lassen Sie sich die Rollen mit Berechtigungen anzeigen, die mit microsoft.powerApps.powerBI beginnen.
Verweis zu Überwachung und Monitoring Fabric-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überwachungen mit der RoleManagement-Kategorie

Unified Support-Portal für die Verwaltung von Kundensupportfällen

Umfasst Unified Support-Portal und Services Hub.

Bereich Inhalt
Übersicht Rollen und Berechtigungen von Services Hub
Referenz zur Verwaltungs-API Verwalten Sie diese Rollen im Services Hub-Portal, https://serviceshub.microsoft.com.

Microsoft Graph-Anwendungsberechtigungen

Zusätzlich zu den zuvor erwähnten RBAC-Systemen können erhöhte Berechtigungen für Microsoft Entra-Anwendungsregistrierungen und Dienstprinzipale mithilfe von Anwendungsberechtigungen erteilt werden. Beispielsweise kann einer nicht interaktiven, nicht menschlichen Anwendungsidentität die Berechtigung erteilt werden, alle E-Mails in einem Mandanten zu lesen (die Mail.Read-Anwendungsberechtigung). In der folgenden Tabelle wird beschrieben, wie Anwendungsberechtigungen verwaltet und überwacht werden.

Bereich Inhalt
Übersicht Übersicht über Microsoft Graph-Berechtigungen
Referenz zur Verwaltungs-API Microsoft Graph-spezifische Rollen in Microsoft Entra ID
Microsoft Graph v1.0 servicePrincipal-API
• Zählen Sie die appRoleAssignments für jeden servicePrincipal im Mandanten auf.
• Rufen Sie für jede „appRoleAssignment“ Informationen über die durch die Zuweisung gewährten Berechtigungen ab, indem Sie die „appRole“-Eigenschaft des „servicePrincipal“-Objekts lesen, das durch „resourceId“ und „appRoleId“ in der „appRoleAssignment“ referenziert wird.
• Von besonderem Interesse sind App-Berechtigungen für Microsoft Graph (servicePrincipal with appID == "00000003-0000-0000-c000-000000000000"), die Zugriff auf Exchange, SharePoint, Teams usw. gewähren. Hier ist ein Verweis auf Microsoft Graph-Berechtigungen.
• Weitere Informationen finden Sie unter Microsoft Entra Security Operations für Anwendungen.
Verweis zu Überwachung und Monitoring Microsoft Graph-spezifische Rollen in Microsoft Entra ID
Microsoft Entra-Aktivitätsprotokoll-Überblick
API-Zugriff auf Microsoft Entra-Überwachungsprotokolle:
Microsoft Graph v1.0 directoryAudit-API
• Überprüfungen mit Kategorie ApplicationManagement und Aktivitätsname Add app role assignment to service principal

Nächste Schritte