Rollen und Berechtigungen in Microsoft 365

Die Verwaltung von Rollen und Berechtigungen ist eine der wichtigsten Aufgaben von IT-Administratoren in Microsoft 365 (O365). Eine sauber strukturierte Rechtevergabe schützt nicht nur sensible Daten, sondern stellt auch sicher, dass Mitarbeitende genau die Tools und Informationen erhalten, die sie für ihre Arbeit benötigen – nicht mehr und nicht weniger.

In diesem Tutorial zeige ich dir Schritt für Schritt, wie du in Microsoft 365 Rollen und Berechtigungen richtig verstehst, zuweist und feinjustierst. Ob du in einer kleinen Firma arbeitest oder ein globales Unternehmen verwaltest – eine gut durchdachte Rollenstruktur spart Zeit, vermeidet Chaos und reduziert Sicherheitsrisiken.

1. Grundverständnis: Was sind Rollen und Berechtigungen in O365?

In Microsoft 365 wird zwischen Rollen und Berechtigungen unterschieden:

  • Rollen bestimmen, welche administrativen Aufgaben ein Benutzer im Microsoft 365 Admin Center, Azure AD oder in anderen M365-Diensten (z. B. Exchange, SharePoint) ausführen darf.
  • Berechtigungen steuern den Zugriff auf Ressourcen, etwa auf bestimmte Dateien, SharePoint-Seiten, Postfächer oder Teams-Kanäle.

Ein Benutzer kann mehrere Rollen haben, und Rollen können bestimmten Gruppen oder Einzelpersonen zugewiesen werden.

2. Arten von Rollen in Microsoft 365

Microsoft 365 bietet unterschiedliche Rollentypen an, je nachdem, welche Dienste du verwendest:

a) Microsoft 365-Rollen (im Admin Center)

Diese Rollen findest du im Microsoft 365 Admin Center unter „Rollen“:

  • Globaler Administrator: Vollzugriff auf alle Funktionen. Sollte nur wenigen vertrauenswürdigen Personen zugewiesen werden.
  • Benutzeradministrator: Kann Benutzer erstellen, bearbeiten und Lizenzen verwalten.
  • Helpdesk-Administrator: Kann Passwörter zurücksetzen und Support leisten.
  • Compliance-Administrator: Zugriff auf Audits, Datenschutz- und Compliance-Funktionen.

Tipp: Vermeide es, zu viele globale Admins zu haben. Nutze stattdessen spezialisierte Rollen.

b) Azure AD-Rollen

Wenn du mit Azure Active Directory arbeitest, gibt es noch feinere Rollen, z. B.:

  • Anwendungsadministrator
  • Berechtigungsadministrator
  • Bedingter Zugriffsadministrator

Diese bieten granularere Kontrollen für komplexe Umgebungen.

c) Rollen in einzelnen Apps

Auch Dienste wie Exchange Online, SharePoint und Teams haben eigene Rollenmodelle:

  • Exchange: Rollen wie „Postfach-Import-Export“, „Discovery Management“
  • SharePoint: Zugriff über SharePoint-Gruppen (Mitglied, Besitzer, Besucher)
  • Teams: Besitzer, Mitglieder, Gäste – sowie Richtlinien über das Teams Admin Center

3. Rollen zuweisen – Schritt für Schritt

Microsoft 365 Admin Center

  1. Melde dich unter admin.microsoft.com mit einem Konto mit Adminrechten an.
  2. Navigiere zu Rollen im linken Menü.
  3. Wähle eine Rolle aus, z. B. Benutzeradministrator.
  4. Klicke auf Zuweisungen anzeigen und danach auf Zuweisung hinzufügen.
  5. Suche den Benutzer oder die Gruppe, die du hinzufügen möchtest, und klicke auf Speichern.

Tipp: Nutze Administrative Einheiten, um Rollen auf bestimmte Benutzergruppen (z. B. pro Abteilung oder Standort) zu beschränken.

4. Berechtigungen feinjustieren: Best Practices

a) Prinzip der minimalen Rechte (Least Privilege)

Gib Nutzern und Admins nur die Rechte, die sie unbedingt benötigen. Dadurch verringerst du die Angriffsfläche und verhinderst unbeabsichtigte Änderungen oder Datenlecks.

b) Gruppen verwenden statt Einzelberechtigungen

Verwalte Berechtigungen über Gruppen. Erstelle z. B. eine Gruppe „Marketing-Team SharePoint Zugriff“ und vergib der Gruppe Berechtigungen auf Ressourcen. So musst du nicht bei jedem neuen Mitarbeiter manuell nachjustieren.

Beispiel in SharePoint:

  • Gruppe „Projekt A – Bearbeiter“ → Lese- und Schreibzugriff auf Projektbibliothek
  • Gruppe „Projekt A – Leser“ → Nur Lesezugriff

c) Azure AD PIM nutzen (für große Organisationen)

Mit Privileged Identity Management (PIM) kannst du:

  • Zeitlich begrenzte Rollen vergeben
  • Genehmigungsprozesse für Rollenzuweisungen einführen
  • Automatisch Protokolle erfassen (Audit Trail)

Voraussetzung: Azure AD Premium P2 Lizenz

5. Spezielle Fälle: Berechtigungen in Microsoft Teams & SharePoint

Microsoft Teams

  • Besitzer: Kann Kanäle erstellen, Mitglieder verwalten
  • Mitglieder: Normale Nutzerrechte im Team
  • Gäste: Externe Benutzer, mit begrenztem Zugriff

Feinjustierung geht über Teams Admin Center → Teams-Richtlinien. Dort kannst du u. a. steuern:

  • Wer private Kanäle erstellen darf
  • Welche Apps erlaubt sind
  • Ob Gäste Dateien hochladen dürfen

SharePoint Online

Berechtigungen in SharePoint basieren auf:

  • Standardgruppen: Besucher (Leser), Mitglieder (Bearbeiter), Besitzer (Admins)
  • Vererbung: Unterordner können Berechtigungen vom Elternordner erben oder eigene Regeln haben

Tipp: Vermeide es, Berechtigungen manuell auf Dateiebene zu setzen – das führt schnell zu Chaos.

6. Auditing und Kontrolle

Sobald die Rollen und Berechtigungen gesetzt sind, solltest du sie regelmäßig überprüfen:

  • Nutze das Microsoft 365 Compliance Center → Audit-Protokolle
  • Überwache Admin-Aktivitäten mit Azure AD Logs
  • Erstelle Berichte über Benutzer mit privilegierten Rechten

Empfehlung: Führe halbjährliche Berechtigungsreviews durch.

7. Fazit

Rollen und Berechtigungen in Microsoft 365 zu feinjustieren ist kein einmaliger Akt, sondern ein fortlaufender Prozess. Mit den richtigen Werkzeugen und einer klaren Strategie kannst du dafür sorgen, dass dein Unternehmen sicher, effizient und transparent arbeitet.

Denk daran:

  • Gib nur die Rechte, die wirklich nötig sind
  • Verwende Gruppen für Zugriffsverwaltung
  • Nutze Tools wie Azure AD PIM und Compliance Center für Kontrolle und Protokollierung

Ein sauberes Rollen- und Berechtigungsmodell spart langfristig Zeit, erhöht die Sicherheit und sorgt für ein reibungsloseres Arbeiten in der Cloud.

Links

Informationen zu den Rollen

PowerShell Kommandos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert