Dreaming Andy - Fotolia
Microsoft 365 per Admin Center und PowerShell verwalten
Microsoft bietet in Microsoft 365 (ehemals Office 365) die Möglichkeit an, die Verwaltung der Dienste an andere Benutzer zu delegieren. Wie das geht, erfahren Sie hier.
Um Rechte in Microsoft 365 zu delegieren wird das Microsoft 365 Admin Center genutzt. Hierüber können Administratoren des Abonnements zunächst alle Verwaltungsaufgaben für Microsoft 365 (ehemals Office 365) vornehmen. Die Verwaltung der Benutzerkonten und das Zuweisen von Administratorrollen ist ebenfalls über das Admin Center möglich.
Benutzerrollen in Microsoft 365 verwalten
Um Benutzer und deren Rechte sowie die Administratoren in Microsoft 365 zu verwalten, wird der Bereich Benutzer verwendet. Unter Aktive Benutzer sind die Benutzerkonten zu sehen. Gleichzeitig lassen sich hier Benutzer hinzufügen, Benutzervorlagen verwenden und Mehrere Benutzer hinzufügen – jeweils mit den entsprechenden Rechten.
Anwender und Administratoren, die entsprechende Rechte für die Dienste in Microsoft 365 haben, und diese in Microsoft 365 verwalten, können diese Optionen nutzen. Alternativ kann ein Benutzer markiert und dann Rollen verwalten ausgewählt werden.
Die zugewiesenen Rechte und Rollen eines Benutzers sind im Bereich Rollen verwalten zu sehen. Hier werden die Rollen angezeigt, die dem Benutzer bereits zugewiesen wurden. Mit Rollen verwalten lassen sich weitere Rollen hinzufügen.
Zunächst kann in der Verwaltung der Benutzerrollen eines Anwenders ausgewählt werden, ob der Benutzer nur normale Benutzerrechte erhalten soll (Benutzer ohne Admin Center-Zugriff), oder ob der Benutzer auch Zugriff auf das Microsoft 365 Admin Center erhalten soll (Admin Center-Zugriff).
Anschließend kann im unteren Bereich ausgewählt werden, welche Rechte der Benutzer erhalten soll. Die umfassendsten Rechte haben Benutzer der Rolle Globaler Administrator. Diese Benutzer dürfen nahezu unbegrenzte Aktionen in Microsoft 365 durchführen.
Für Support-Mitarbeiter ist in der Regel die Rolle Globaler Leser vorgesehen. Diese Benutzer dürfen alle Einstellungen in Microsoft 365 lesen, aber keine Einstellungen ändern. Diese Rolle ist sinnvoll, um nicht zu vielen Anwendern globalen Zugriff zu gewähren.
Welche Rechte eine Rolle hat, wird angezeigt, wenn man auf das Info-Icon (i) neben der Rolle klickt. Im oberen Bereich werden die am häufigsten verwendeten Administratorrollen angezeigt. Es gibt in Microsoft 365 aber noch mehr Rollen. Diese werden über das Aufklappmenü bei Alle nach Kategorie anzeigen eingeblendet.
Administratorrollen in Microsoft 365 verwalten
Die einzelnen Administratorrollen von Microsoft 365 sind im Bereich Rollen zu sehen. Dieser Bereich dient vor allem auch der Überwachung der Administratorrechte. Hier sollte regelmäßig überprüft werden, ob nicht zu vielen Anwendern die Rechte zugewiesen wurden. Die Übersicht zeigt alle Administratorrollen an, die in Microsoft 365 möglich sind.
Durch Auswahl von Administratorliste exportieren wird eine CSV-Datei mit allen Administratorrollen erstellt, in denen manuell Benutzer hinzugefügt wurden. Dadurch lässt sich also schnell in Erfahrung bringen, welche Benutzer administrative Rechte in Microsoft 365 haben.
Werden Rollen an dieser Stelle markiert, können diese mit Zu Favoriten hinzufügen der Liste an Rollen hinzugefügt werden, die bei der Zuweisung von Rollen für Administratoren oben angezeigt werden. Mit Rollen vergleichen zeigt Microsoft 365 einen Vergleich der einzelnen Rechte an, die für Rollen verfügbar sind.
Wird nur eine Rolle angeklickt, steht noch der Menüpunkt Administratoren zuordnen zur Verfügung. Hierüber wird eine Liste der Benutzerkonten angezeigt, die der Rolle bereits zugewiesen wurden. Außerdem können mit + Hinzufügen weitere Benutzer einer Rolle zugewiesen werden.
Über Berechtigungen wird eine Liste von Rechten angezeigt, die der entsprechenden Rolle, und damit auch den ihr zugewiesenen Benutzern zugeordnet sind. Über Allgemein zeigt das Microsoft 365 Admin Center eine Beschreibung der Rolle und deren Aufgaben an. Auch die Gesamtzahl der zugeordneten Administratoren sind hier zu sehen. Über Filtern kann man auswählen, welche Rollen in der Anzeige dargestellt werden sollen.
Rollen in der PowerShell verwalten
Wenn man das Azure-PowerShell-Modul installiert hat, lassen sich die Rollen in Microsoft 365 auch mit der PowerShell verwalten. Innerhalb der PowerShell wird das Modul mit Install-Module -Name AzureAD installiert.
Die Anmeldung an Microsoft 365 erfolgt mit dem Cmdlet Connect-MsolService. Rollen werden mit dem Cmdlet Add-MsolRoleMember hinzugefügt. Mit Get-MSolRole werden die Rollen angezeigt. Das ist daher wichtig, da man beim Zuweisen von Rollen mit den englischen Namen arbeiten muss. Eine Liste der zur Verfügung stehenden Benutzerkonten wird mit Get-MsolUser angezeigt.
Fazit
Die Verwaltung von Administratorrollen ist in Microsoft 365 zwar einfach gehalten, bietet aber dennoch einige Fallstricke. Es sollte darauf geachtet werden, dass Benutzer nicht unnötig viele Berechtigungen zur Verwaltung von Microsoft 365 erhalten.
Das Anlegen von eigenen Benutzerrollen und das Zuordnen von Rechten zu diesen Rollen ist aktuell noch nicht möglich. Microsoft erweitert aber ständig die Rolle. Die Rolle Globaler Administrator sollte möglichst wenigen Benutzern zugewiesen werden, da hieran viele Rechte geknüpft sind. Ideal ist in diesem Fall die Rolle Globaler Leser. Schließlich sollte regelmäßig überprüft werden, ob Benutzerkonten unnötig zu Administratorrollen zugewiesen wurden.