Berechtigungen in Exchange Online
Globale Rollen in Microsoft Entra ID ermöglichen es Ihnen, Berechtigungen und den Zugriff auf Funktionen in allen Microsoft 365 zu verwalten, was auch Exchange Online umfasst. Weitere Informationen finden Sie unter Microsoft Entra Berechtigungen.
Wenn Sie Jedoch Berechtigungen und Funktionen auf Features in Exchange Online beschränken müssen, können Sie Exchange Online Berechtigungen im Exchange Admin Center (EAC) und in Exchange Online PowerShell zuweisen.
Um Exchange Online Berechtigungen im EAC zu verwalten, wechseln Sie zu Rollen>Admin Rollen oder direkt zur Seite Admin Rollen unter https://admin.exchange.microsoft.com/#/adminRoles.
Sie müssen Mitglied der Rollengruppe Organisationsverwaltung in Exchange Online sein. Insbesondere ermöglicht die Rollenverwaltung in Exchange Online Benutzern das Anzeigen, Erstellen und Ändern Exchange Online Rollengruppen. Standardmäßig wird diese Rolle nur der Rollengruppe Organisationsverwaltung zugewiesen.
Exchange Online enthält einen großen Satz vordefinierter Berechtigungen, die auf dem Rollenbasierten Access Control-Berechtigungsmodell (Role Based Access Control, RBAC) basieren und die Sie sofort verwenden können, um Ihren Administratoren und Benutzern problemlos Berechtigungen zu erteilen. Sie können die Berechtigungsfeatures in Exchange Online verwenden, um Ihre neue organization schnell einsatzbereit zu machen.
Tipp
Durch die Verwaltung von Berechtigungen in Exchange Online erhalten Benutzer Zugriff auf Features im EAC und Exchange Online PowerShell. Informationen zum Erteilen von Berechtigungen für andere Features, z. B. Konformitätsfeatures im Microsoft Purview-Complianceportal oder Sicherheitsfeatures im Microsoft Defender-Portal, finden Sie in den folgenden Artikeln:
- Berechtigungen im Microsoft Purview-Complianceportal
- Microsoft Defender for Office 365 Berechtigungen im Microsoft Defender-Portal
Mehrere erweiterte RBAC-Features und -Konzepte werden in diesem Artikel nicht behandelt. Wenn die in diesem Artikel beschriebene Funktionalität Nicht Ihren Anforderungen entspricht und Sie Ihr Berechtigungsmodell weiter anpassen möchten, finden Sie weitere Informationen unter Grundlegendes zu rollenbasierten Access Control.
Rollenbasierte Berechtigungen
Exchange Online Berechtigungen basieren auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten und Exchange Server verwendet wird. Wenn Sie also mit der Berechtigungsstruktur in diesen Diensten vertraut sind, sollten Sie mit dem Erteilen von Berechtigungen in Exchange Online vertraut sein.
Eine Rolle oder Verwaltungsrolle gewährt die Berechtigungen zum Ausführen einer Reihe von Aufgaben. Exchange Online Berechtigungen verwenden die folgenden Rollentypen:
- Administratorrollen: Definiert die Aufgaben, die ein Administrator ausführen kann. Wenn einer Rollengruppe eine Administratorrolle zugewiesen wird und ein Administrator oder Benutzer Mitglied dieser Rollengruppe ist, werden dieser Person die von der Rolle bereitgestellten Berechtigungen gewährt. Diese Rollen werden in diesem Artikel aufgeführt und beschrieben.
-
Endbenutzerrollen: Diese Rollen, die mithilfe von Rollenzuweisungsrichtlinien zugewiesen werden, ermöglichen es Benutzern, Aspekte ihres eigenen Postfachs und ihrer Verteilergruppen zu verwalten. Endbenutzerrollen beginnen mit dem Präfix
My. Weitere Informationen finden Sie im Abschnitt weiter unten in diesem Artikel. - Anwendungsrollen: Diese Rollennamen, die mit "Anwendung" beginnen oder enden, sind Teil von RBAC for Applications in Exchange Online. Weitere Informationen finden Sie unter Rollenbasierte Access Control für Anwendungen in Exchange Online.
Rollen erteilen Benutzern Berechtigungen zum Ausführen von Aufgaben, indem Exchange Online Cmdlets benutzern zur Verfügung gestellt werden. Da das EAC und Exchange Online PowerShell Cmdlets verwenden, um Exchange Online zu verwalten, erhält der Administrator oder Benutzer durch das Gewähren des Zugriffs auf ein Cmdlet die Berechtigung, die Aufgabe in einer der Exchange Online Verwaltungsschnittstellen auszuführen.
Eine Rollengruppe erleichtert das Zuweisen von Rollen zu Administratoren. Beim Zuweisen einer Rolle zu einer Rollengruppe werden die Berechtigungen der Rolle allen Mitgliedern der Rollengruppe erteilt. Exchange Online Berechtigungen enthalten Standardrollengruppen für die gängigsten Aufgaben und Funktionen, die Sie zuweisen müssen. Sie können auch eine benutzerdefinierte Rollengruppe erstellen. Es wird empfohlen, einzelne Benutzer als Mitglieder zu den Standardrollengruppen oder benutzerdefinierten Rollengruppen hinzuzufügen, anstatt Benutzern Rollen direkt zuzuweisen. Rollengruppenmitglieder können Exchange Online Benutzern und anderen Rollengruppen sein.
Durch das Hinzufügen von Benutzern zu Exchange Online Rollengruppen erhalten Benutzer in Exchange Online Administratorrechte, ohne sie Microsoft Entra Rollen hinzuzufügen. Benutzer erhalten die Berechtigungen, die von der Rollengruppe in Exchange Online nur ohne Berechtigung für andere Microsoft 365-Features oder -Workloads gewährt werden.
Im weiteren Verlauf dieses Artikels werden die Administratorrollen und Rollengruppen in Exchange Online beschrieben.
Tipp
Eine Rollenzuweisungsrichtlinie ist ein Typ von Rollengruppe, der zum Zuweisen von Endbenutzerrollen zu Benutzern verwendet wird. Weitere Informationen finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
Rollengruppen in Exchange Online
In der Tabelle in diesem Abschnitt sind die standardmäßigen Administratorrollengruppen aufgeführt, die in Exchange Online verfügbar sind, sowie die Rollen, die den Rollengruppen standardmäßig zugewiesen sind. Um einem Benutzer Berechtigungen zum Ausführen von Aufgaben in Exchange Online zu erteilen, fügen Sie sie der entsprechenden Rollengruppe hinzu.
Wenn Sie in einem kleinen organization mit nur wenigen Administratoren arbeiten, müssen Sie diese Administratoren möglicherweise nur der Rollengruppe Organisationsverwaltung hinzufügen, und Sie müssen möglicherweise nie die anderen Rollengruppen verwenden. Wenn Sie in einem größeren organization arbeiten, haben Sie möglicherweise Administratoren, die bestimmte Aufgaben ausführen, um Exchange Online zu verwalten, z. B. die Empfängerkonfiguration. In diesen Fällen können Sie der Rollengruppe Empfängerverwaltung einen Administrator und der Rollengruppe Organisationsverwaltung einen weiteren Administrator hinzufügen. Diese Administratoren können dann ihre spezifischen Bereiche Exchange Online verwalten, aber sie verfügen nicht über Berechtigungen zum Verwalten von Bereichen, für die sie nicht verantwortlich sind.
Wenn die integrierten Rollengruppen in Exchange Online nicht mit der Jobfunktion Ihrer Administratoren übereinstimmen, können Sie Rollengruppen erstellen und ihnen Rollen hinzufügen. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.
Tipp
Sofern nicht anders angegeben, werden die gleichen Rollengruppen und Rollenzuweisungen in eigenständigen Exchange Online Protection verwendet.
| Rollengruppe | Beschreibung | Zugewiesene Standardrollen |
|---|---|---|
| Kommunikationscompliance | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung |
| Kommunikationscomplianceadministratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance-Administrator |
| Complianceadministrator | Verwalten Sie Einstellungen für die Geräteverwaltung, die Verhinderung von Datenverlust, Berichte und die Aufbewahrung. | Kommunikationscompliance-Administrator insider risk management Admin |
| Complianceverwaltung | Mitglieder können Konformitätseinstellungen in Exchange gemäß ihren Richtlinien konfigurieren und verwalten. | Überwachungsprotokolle Compliance-Admin Verhinderung von Datenverlust Verwaltung von Informationsrechten Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Discoveryverwaltung | Mitglieder können Postfächer im Exchange Online organization nach Daten durchsuchen, die bestimmte Kriterien erfüllen, und auch gesetzliche Aufbewahrungspflichten für Postfächer konfigurieren. | Rechtliche Aufbewahrungspflicht Postfachsuche |
| ExchangeServiceAdmins_ eindeutiger< Wert>¹ | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Sie ist jedoch Mitglied der Rollengruppe "Organisationsverwaltung" (als Exchange-Dienstadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer zur Microsoft Entra ID Exchange-Administratorrolle im Microsoft 365 Admin Center hinzufügen. |
n/v |
| Helpdesk | Mitglieder können die Konfiguration für einzelne Empfänger anzeigen und verwalten und Empfänger in einem Exchange-organization anzeigen. Mitglieder dieser Rollengruppe können nur die Konfiguration verwalten, die jeder Benutzer für sein eigenes Postfach verwalten kann. | Kennwort zurücksetzen Benutzeroptionen Schreibgeschützte Empfänger |
| Nachrichtenschutz | Mitglieder können Exchange-Antispamfunktionen verwalten, Berechtigungen für Antivirenprodukte für die Integration in Exchange erteilen und Nachrichtenflussregeln verwalten. | Transporthygiene Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Informationsschutz | Vollständige Kontrolle über alle Information Protection-Features, einschließlich Vertraulichkeitsbezeichnungen und deren Richtlinien, DLP, alle Klassifizierertypen, Aktivitäts- und Inhalts-Explorer und alle zugehörigen Berichte. | Information Protection-Administrator Information Protection Analyst² Information Protection-Ermittler Information Protection-Leser |
| Information Protection-Administratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Information Protection-Administrator |
| Information Protection-Analysten | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Search-UnifiedAuditLog in Exchange Online. | Information Protection Analyst² |
| Information Protection-Ermittler | Durchsuchen des einheitlichen Überwachungsprotokolls | Information Protection-Ermittler |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Information Protection-Leser |
| Insider-Risikomanagement | Verwalten sie die Zugriffssteuerung für das Insider-Risikomanagement. | insider risk management Admin Untersuchung des Insider-Risikomanagements |
| Insider-Risikomanagement-Administratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | insider risk management Admin |
| Insider-Risikomanagement-Prüfer | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Untersuchung des Insider-Risikomanagements |
| Organisationsverwaltung | Mitglieder haben Administratorzugriff auf die gesamte Exchange Online organization und können nahezu jede Aufgabe in Exchange Online ausführen. Wichtig: Da die Rollengruppe "Organisationsverwaltung" eine leistungsstarke Rolle ist, sollten nur Benutzer, die administrative Aufgaben auf Organisationsebene ausführen, die sich potenziell auf die gesamte Exchange Online organization auswirken können, Mitglieder dieser Rollengruppe sein. |
Überwachungsprotokolle Kommunikationscompliance-Administrator Kommunikationscompliance-Untersuchung Compliance-Admin Verhinderung von Datenverlust Dynamische Verteilergruppen E-Mail-Adressrichtlinien Verbundfreigabe Information Protection-Administrator Information Protection Analyst² Information Protection-Ermittler Information Protection-Leser Verwaltung von Informationsrechten insider risk management Admin Untersuchung des Insider-Risikomanagements Journaling Rechtliche Aufbewahrungspflicht E-Mail-aktivierte Öffentliche Ordner Erstellen von E-Mail-Empfängern E-Mail-Empfänger E-Mail-Tipps Nachrichtenverfolgung Migration Postfächer verschieben Benutzerdefinierte Apps einer Organisation Marketplace-Apps einer Organisation Organisationsclientzugriff Organisationskonfiguration Organisationstransporteinstellungen privacy management Admin Untersuchung des Datenschutzmanagements Öffentliche Ordner Empfängerrichtlinien Remotedomänen und akzeptierte Domänen Kennwort zurücksetzen Aufbewahrungsverwaltung Rollenverwaltung Sicherheitsadministrator Erstellen und Mitgliedschaft von Sicherheitsgruppen Sicherheitsleseberechtigter TenantPlacesManagement Transporthygiene Transportregeln Benutzeroptionen Überwachungsprotokolle nur anzeigen Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
| Datenschutzverwaltung | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | privacy management Admin Untersuchung des Datenschutzmanagements |
| Datenschutzverwaltungsadministratoren | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | privacy management Admin |
| Datenschutz-Management-Ermittler | Die Rollenzuweisungen in dieser Rollengruppe gewähren Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Untersuchung des Datenschutzmanagements |
| Empfängerverwaltung | Mitglieder haben Administratorzugriff, um Exchange Online Empfänger innerhalb des Exchange Online organization zu erstellen oder zu ändern. | Dynamische Verteilergruppen Erstellen von E-Mail-Empfängern E-Mail-Empfänger Nachrichtenverfolgung Migration Postfächer verschieben Empfängerrichtlinien Kennwort zurücksetzen |
| Datensatzverwaltung | Mitglieder können Kompatibilitätsfeatures wie Aufbewahrungsrichtlinientags, Nachrichtenklassifizierungen und Nachrichtenflussregeln (auch als Transportregeln bezeichnet) konfigurieren. | Überwachungsprotokolle Journaling Nachrichtenverfolgung Aufbewahrungsverwaltung Transportregeln |
| RIM-MailboxAdmins<GUID> | Nicht verwendet | ApplicationImpersonation |
| Sicherheitsadministrator | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Sie können mitglieder zu dieser Rollengruppe hinzufügen, indem Sie Benutzer zur Administratorrolle Microsoft Entra Sicherheit im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsadministrator SensitivityLabelAdministrator |
| Sicherheitsoperator | Verwalten von Sicherheitswarnungen und Anzeigen von Berichten und Einstellungen von Sicherheitsfeatures | Mandanten-AllowBlockList-Manager |
| Sicherheitsleseberechtigter | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie benutzer zur Rolle Microsoft Entra Sicherheitsleseberechtigter im Microsoft 365 Admin Center hinzufügen. |
Sicherheitsleseberechtigter |
| TenantAdmins_ eindeutiger< Wert> | Die Mitgliedschaft in dieser Rollengruppe wird dienstübergreifend synchronisiert und zentral verwaltet. Sie können diese Rollengruppe nicht in Exchange Online verwalten. Dieser Rollengruppe sind keine Rollen zugewiesen. Es ist jedoch Mitglied der Rollengruppe Organisationsverwaltung (als Unternehmensadministrator) und erbt die von dieser Rollengruppe bereitgestellten Berechtigungen. Sie können dieser Rollengruppe Mitglieder hinzufügen, indem Sie Benutzer zur rolle "globaler administrator" Microsoft Entra ID im Microsoft 365 Admin Center hinzufügen. Wichtig: Microsoft empfiehlt, Rollen mit den geringsten Berechtigungen zu verwenden. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können. |
n/v |
| Organisationsverwaltung mit Leserechten | Member können die Eigenschaften jedes Objekts im Exchange Online organization anzeigen. | Schreibgeschützte Konfiguration Schreibgeschützte Empfänger |
¹ Diese Rollengruppe ist in eigenständigen Exchange Online Protection nicht verfügbar.
² Standardmäßig wird dieser Rolle keine Rollengruppe in eigenständigen Exchange Online Protection zugewiesen.
Rollen in Exchange Online
In der Tabelle in diesem Abschnitt sind die verfügbaren Administratorrollen und die Rollengruppen aufgeführt, denen sie standardmäßig zugewiesen sind.
Rollen, die der Rollengruppe "Organisationsverwaltung " nicht standardmäßig zugewiesen sind, sind mit gekennzeichnet. *
Tipp
- Rollennamen, die mit dem Präfix "My" beginnen (z. B. MyContactInformation), sind Endbenutzerrollen. Endbenutzerrollen werden Benutzern in Rollenzuweisungsrichtlinien zugewiesen, mit denen Benutzer mit Objekten arbeiten können, die sie besitzen (z. B. ihr eigenes Konto oder von ihnen erstellte Verteilergruppen). Weitere Informationen finden Sie unter Rollenzuweisungsrichtlinien in Exchange Online.
- Rollennamen, die mit "Application" beginnen oder enden, sind Teil von RBAC for Applications in Exchange Online. Weitere Informationen finden Sie unter Rollenbasierte Access Control für Anwendungen in Exchange Online.
- Viele der compliancebezogenen Rollen, die auch in Microsoft Purview Compliance und Microsoft Entra verfügbar sind, bieten nicht viel Funktionalität in Exchange Online.
- Sofern nicht anders angegeben, werden dieselben Rollen und Rollengruppenzuweisungen in eigenständigen Exchange Online Protection verwendet.
| Rolle | Beschreibung | Standardrollengruppenzuweisungen |
|---|---|---|
| Adress-Listen* | Ermöglicht Administratoren das Verwalten von Adresslisten, globalen Adresslisten und Offlineadresslisten in einem organization. | Keine |
| Überwachungsprotokolle | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Kommunikationscompliance-Administrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance Kommunikationscomplianceadministratoren Complianceadministrator Organisationsverwaltung |
| Kommunikationscompliance-Untersuchung | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Kommunikationscompliance Organisationsverwaltung |
| Compliance-Admin | Ermöglicht Benutzern das Anzeigen und Bearbeiten von Einstellungen und Berichten für Kompatibilitätsfeatures. | Complianceverwaltung Organisationsverwaltung |
| Verhinderung von Datenverlust | Diese Rolle bezieht sich auf die älteren Einstellungen zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) im organization. Diese Rolle ermöglicht den Zugriff auf die Verwaltung von Berichts- und Nachrichtenflussregeln in Exchange Online. | Complianceverwaltung Organisationsverwaltung |
| Dynamische Verteilergruppen | Erstellen und verwalten Sie alle Verteilergruppen, E-Mail-aktivierten Sicherheitsgruppen und Mitglieder. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Adressrichtlinien | Ermöglicht Administratoren das Verwalten von E-Mail-Adressrichtlinien in einem organization. | Organisationsverwaltung |
| Verbundfreigabe | Ermöglicht Administratoren das Verwalten der gesamtstruktur- und organization Freigabe in einem organization. | Organisationsverwaltung |
| Information Protection-Administrator | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Informationsschutz Information Protection-Administratoren Organisationsverwaltung |
| Information Protection-Analyst | Diese Rolle gewährt Zugriff auf das Cmdlet Search-UnifiedAuditLog in Exchange Online. | Informationsschutz Information Protection Analysts¹ Organisationsverwaltung |
| Information Protection-Ermittler | Durchsuchen Sie das einheitliche Überwachungsprotokoll. | Informationsschutz Information Protection-Ermittler Organisationsverwaltung |
| Information Protection-Leser | Durchsuchen Sie das einheitliche Überwachungsprotokoll, und zeigen Sie die Berichte E-Mail-Datenverkehr und Zusammenfassung des E-Mail-Datenverkehrs an. | Informationsschutz Information Protection-Leser Organisationsverwaltung |
| Verwaltung von Informationsrechten | Verwalten Sie die IRM-Features (Information Rights Management) von Exchange in einem organization. | Complianceverwaltung Organisationsverwaltung |
| insider risk management Admin | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Complianceadministrator Insider-Risikomanagement Insider-Risikomanagement-Administratoren Organisationsverwaltung |
| Untersuchung des Insider-Risikomanagements | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Insider-Risikomanagement Insider-Risikomanagement-Prüfer Organisationsverwaltung |
| Journaling | Ermöglicht Administratoren das Verwalten der Journalkonfiguration in einem organization. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rechtliche Aufbewahrungspflicht | Ermöglicht Administratoren das Konfigurieren, ob Daten in einem Postfach für Rechtsstreitigkeitszwecke in einem organization aufbewahrt werden sollen. | Discoveryverwaltung Organisationsverwaltung |
| E-Mail-aktivierte Öffentliche Ordner | Ermöglicht Administratoren zu konfigurieren, ob einzelne öffentliche Ordner in einem organization E-Mail-aktiviert oder E-Mail deaktiviert sind. | Organisationsverwaltung |
| Erstellen von E-Mail-Empfängern | Erstellen und Entfernen von E-Mail-Benutzern und E-Mail-Kontakten. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Empfänger | Ändern vorhandener E-Mail-Benutzer und E-Mail-Kontakte. | Organisationsverwaltung Empfängerverwaltung |
| E-Mail-Tipps | Ermöglicht Administratoren das Verwalten von E-Mail-Info-Einstellungen in einem organization. | Organisationsverwaltung |
| Postfachimportexport* | Ermöglicht Administratoren das Importieren und Exportieren von Postfachinhalten. | Keine |
| Postfachsuche* | Ermöglicht Administratoren das Durchsuchen des Inhalts eines oder mehrerer Postfächer in einem organization. | Discoveryverwaltung |
| Nachrichtenverfolgung | Ermöglicht Administratoren das Nachverfolgen von Nachrichten in einem organization. | Complianceverwaltung Organisationsverwaltung Empfängerverwaltung Datensatzverwaltung |
| Migration | Ermöglicht Administratoren das Migrieren von Postfächern und Postfachinhalten in oder aus einem organization. | Organisationsverwaltung Empfängerverwaltung |
| Postfächer verschieben | Ermöglicht Administratoren das Verschieben von Postfächern. | Organisationsverwaltung Empfängerverwaltung |
| O365SupportViewConfig* | Nicht verwendet | Keine |
| Benutzerdefinierte Apps einer Organisation | Ermöglicht Benutzern das Anzeigen und Ändern ihrer benutzerdefinierten Organisations-Apps. | Organisationsverwaltung |
| Marketplace-Apps einer Organisation | Ermöglicht Benutzern das Anzeigen und Ändern ihrer Marketplace-Apps ihrer Organisation. | Organisationsverwaltung |
| Organisationsclientzugriff | Ermöglicht Administratoren das Verwalten von Clientzugriffseinstellungen in einem organization. | Organisationsverwaltung |
| Organisationskonfiguration | Ermöglicht Administratoren das Verwalten organization-weiten Einstellungen. | Organisationsverwaltung |
| Organisationstransporteinstellungen | Ermöglicht Administratoren das Verwalten von Hybrid- und organization einstellungen für den E-Mail-Transport. | Organisationsverwaltung |
| privacy management Admin | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Organisationsverwaltung Datenschutzverwaltung Datenschutzverwaltungsadministratoren |
| Untersuchung des Datenschutzmanagements | Diese Rolle gewährt Zugriff auf das Cmdlet Test-TextExtraction in Exchange Online. | Organisationsverwaltung Datenschutzverwaltung Datenschutz-Management-Ermittler |
| Öffentliche Ordner | Ermöglicht Administratoren das Verwalten öffentlicher Ordner in einem organization. | Organisationsverwaltung |
| Empfängerrichtlinien | Ermöglicht Administratoren das Verwalten von Empfängerrichtlinien (Authentifizierungsrichtlinien, Datenverschlüsselungsrichtlinien für mobile Gerätepostfachrichtlinien und Outlook im Web Postfachrichtlinien) in einem organization. | Organisationsverwaltung Empfängerverwaltung |
| Remotedomänen und akzeptierte Domänen | Verwalten von Remotedomänen, akzeptierten Domänen und Connectors. | Organisationsverwaltung |
| Kennwort zurücksetzen | Ermöglicht Administratoren das Festlegen von Kennwörtern für Raumpostfächer. | Helpdesk Organisationsverwaltung Empfängerverwaltung |
| Aufbewahrungsverwaltung | Ermöglicht Benutzern die Verwaltung von Aufbewahrungsrichtlinien. | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Rollenverwaltung | Ermöglicht Administratoren das Verwalten von Verwaltungsrollengruppen, Rollenzuweisungsrichtlinien, Verwaltungsrollen, Rolleneinträgen, Zuweisungen und Bereichen in einem organization. | Organisationsverwaltung |
| Sicherheitsadministrator | Verwalten Der Konfiguration und der Berichte für alle Sicherheits- und Schutzfeatures. | Organisationsverwaltung Sicherheitsadministrator |
| Erstellen und Mitgliedschaft von Sicherheitsgruppen | Erstellen und Verwalten von E-Mail-aktivierten Sicherheitsgruppen. | Organisationsverwaltung |
| Sicherheitsleseberechtigter | Zeigen Sie die Konfiguration und berichte für Sicherheits- und Schutzfeatures an. | Organisationsverwaltung Sicherheitsleseberechtigter |
| SensitivityLabelAdministrator* | Ermöglicht Benutzern das Bearbeiten von Vertraulichkeitsbezeichnungseigenschaften. | Sicherheitsadministrator |
| Mandanten-AllowBlockList-Manager* | Ermöglicht Benutzern die Verwaltung der Mandantenliste für Zulassungs-/Sperrungslisten. | Sicherheitsoperator |
| TenantPlacesManagement | Ermöglicht Benutzern die Verwaltung von Einstellungen für Microsoft Places. | Organisationsverwaltung |
| Transporthygiene | Verwalten von Antischadsoftware, Antispamfunktionen und Anti-Spoofing-Features. | Nachrichtenschutz Organisationsverwaltung |
| Transportregeln | Erstellen und Verwalten von Nachrichtenflussregeln (auch als Transportregeln bezeichnet). | Complianceverwaltung Organisationsverwaltung Datensatzverwaltung |
| Benutzeroptionen | Ermöglicht Administratoren das Anzeigen der Outlook im Web Optionen von Benutzern im organization. | Helpdesk Organisationsverwaltung |
| Überwachungsprotokolle nur anzeigen | Durchsuchen Sie das Administratorüberwachungsprotokoll, und zeigen Sie die Ergebnisse an. | Complianceverwaltung Organisationsverwaltung |
| Schreibgeschützte Konfiguration | Zeigen Sie alle Einstellungen für organization und Nachrichtenfluss (nicht empfängerlos) im organization an. | Complianceverwaltung Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
| Schreibgeschützte Empfänger | Anzeigen von Empfängereigenschaften und Ausführen der Nachrichtenablaufverfolgung. | Complianceverwaltung Helpdesk Nachrichtenschutz Organisationsverwaltung Organisationsverwaltung mit Leserechten |
¹ Standardmäßig wird diese Rolle keinem Rollengruppen in eigenständigen Exchange Online Protection zugewiesen.
Microsoft 365-Berechtigungen in Exchange Online
Wenn Sie einen Benutzer im Microsoft 365 Admin Center erstellen, können Sie auswählen, ob dem Benutzer verschiedene Microsoft Entra Rollen (z. B. Exchange-Administrator oder globaler Leser) zugewiesen werden sollen. Die meisten Microsoft Entra Rollen gewähren dem Benutzer administratorrechte in Exchange Online.
Hinweis
Das Konto, das Sie zum Erstellen Ihrer Exchange Online organization verwendet haben, wird automatisch der Rolle "Globaler Administrator" zugewiesen.
In der folgenden Tabelle sind die Microsoft Entra Rollen und die Exchange Online Rollengruppen aufgeführt, denen sie entsprechen. Weitere Informationen zu diesen Rollen finden Sie unter Microsoft Entra Berechtigungen.
| Microsoft Entra Rolle | Exchange Online-Rollengruppe |
|---|---|
| Globaler Administrator | Organisationsverwaltung Hinweis: Die Rolle "Globaler Administrator" und die Rollengruppe "Organisationsverwaltung" sind über eine spezielle Rollengruppe "Unternehmensadministrator" miteinander verbunden. Die Rollengruppe "Unternehmensadministrator" wird intern verwaltet und kann nicht direkt geändert werden. |
| Exchange-Administrator | Organisationsverwaltung |
| Globaler Leser | Organisationsverwaltung mit Leserechten |
| Helpdesk-Administrator | Helpdesk |
| Dienst-Supportadministrator | Keine |
| SharePoint-Administrator | Keine |
| Teams-Administrator | Keine |
| Exchange-Empfängeradministrator | Empfängerverwaltung |
| Erfolgs-Manager für die Benutzererfahrung | Keine |
Benutzern können Administratorrechte in Exchange Online gewährt werden, ohne sie Microsoft Entra Rollen hinzuzufügen, indem sie als Mitglied einer Exchange Online Rollengruppe hinzugefügt werden. Der Benutzer erhält Berechtigungen in Exchange Online, aber er erhält keine Berechtigungen in anderen Microsoft 365-Workloads.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.