Vier Module — RBAC, Adminrollen, Tenant-Modelle und Admin Centers — mit Aufgaben, Quizfragen und animierten Diagrammen aufbereitet.
Quellen: Aufgabenstellungen aus dem GFN-Kurs AB-900 · Sabrina Wrobel
Wie Microsoft Berechtigungen über Rollen statt einzelner Rechte vergibt — und warum das sicherer ist.
RBAC = Role Based Access Control. Berechtigungen werden nicht direkt an einzelne Personen vergeben, sondern an Rollen. Benutzer bekommen Rollen zugewiesen — und „erben" dadurch alle Berechtigungen dieser Rolle.
Skalierbar & konsistent. Ein neuer Helpdesk-Mitarbeiter bekommt einfach die Rolle „Helpdesk-Administrator" — statt dass jemand für ihn 30 Einzelrechte zusammenklicken muss. Weniger Fehler, einheitliche Profile, einfachere Wartung.
Least Privilege wird einfacher: Rollen sind klar umrissen, Audits werden nachvollziehbar („Wer hat welche Rolle?"), und beim Verlassen einer Position entzieht man eine Rolle — nicht zig Einzelrechte. Weniger vergessen = weniger Risiko.
Benutzer bekommt eine Rolle, die ein Bündel von Berechtigungen enthält — und diese wirken auf Ressourcen.
Gruppe 1
E-Mails verwalten
Ein Mitarbeiter soll nur E-Mails verwalten — also Postfächer, Mailflow, Verteiler.
Sinnvolle Rolle
Exchange Administrator
Was sie darf: Postfächer anlegen, Mailflow-Regeln, Connectors, Verteiler. Was sie nicht darf: Mailinhalte lesen, andere Dienste verwalten.
Sicher, weil: Scope ist auf Exchange begrenzt — kein Zugriff auf SharePoint, Teams, Benutzerkonten oder Sicherheits-Policies.
Gruppe 2
Teams-Richtlinien ändern
Ein Kollege soll Teams-Richtlinien verwalten — Meetings, Apps, Messaging.
Sinnvolle Rolle
Teams Administrator
Was er darf: Meeting-, Messaging- und App-Setup-Policies, Teams-Lifecycle, Telefonie. Was er nicht darf: Mails verwalten, Benutzer anlegen.
Sicher, weil: Klare Begrenzung auf den Teams-Dienst — keine Cross-Service-Risiken.
Gruppe 3
Benutzer anlegen
Eine Person soll neue Benutzer anlegen und Konten pflegen.
Sinnvolle Rolle
User Administrator
Was sie darf: Benutzer anlegen / löschen / bearbeiten, Lizenzen zuweisen, Passwörter zurücksetzen (für Standardnutzer). Was sie nicht darf: Andere Adminrollen vergeben, Tenant-weite Sicherheits-Settings ändern.
Sicher, weil: Identitätsverwaltung ist klar von Sicherheit und Diensten getrennt.
Gruppe 4
Azubi — nur lesen
Ein Azubi soll Verwaltungsoberflächen nur ansehen dürfen — zum Lernen.
Sinnvolle Rolle
Global Reader (alternativ: Reports Reader)
Was er darf: Alle Admin-Portale lesen, Konfigurationen ansehen, Reports einsehen. Was er nicht darf: Irgendetwas ändern.
Sicher, weil: Kein Schreibzugriff = kein Schaden möglich. Perfekt zum Einarbeiten.
Microsoft trennt die Verwaltung nach Diensten — jedes Admin Center hat seinen eigenen Fokus.
Wer teilt sich die Plattform — und was bedeutet das für Daten, Identitäten und Risiko?
Eine Plattform, ein Kunde
Die Infrastruktur wird für genau eine Organisation betrieben. Hardware, Datenbanken und Anwendungen sind exklusiv. Typisch für klassische On-Premise-Installationen.
Maximale Datenisolation
Volle Kontrolle über Hardware & Software
Hohe Kosten & Wartungsaufwand
Skaliert schlecht
Eine Plattform, viele Kunden
Eine geteilte Infrastruktur bedient viele Kunden gleichzeitig. Die Daten der Kunden sind logisch getrennt, aber die Hardware ist geteilt. Das Modell hinter Microsoft 365.
Niedrige Kosten pro Kunde
Skaliert global, schnelle Updates
Logische Trennung muss perfekt funktionieren
Weniger individuelle Anpassung
Ein dedizierter Testmandant — eine zweite, vollwertige M365-Umgebung neben dem produktiven Tenant. Er dient dazu, neue Konfigurationen, Lizenzpläne, Apps oder Sicherheits-Policies risikofrei zu testen, bevor sie in Produktion gehen. Beide Tenants sind vollständig getrennt — eigene Domains, eigene Nutzer, eigene Daten.
Zusammenarbeit über Tenant-Grenzen hinweg. Externe Personen aus einem fremden Tenant werden als Gäste eingeladen, behalten ihre Identität in ihrem Heimat-Tenant, können aber im Gast-Tenant arbeiten — Teams, SharePoint, Dateien teilen. Microsoft Entra B2B verwaltet diese Gast-Beziehungen.
Wann braucht jemand eine Adminrolle, wann reicht eine Berechtigung?
Verwaltungsrechte im Tenant
Erlaubt einer Person, Dienste, Identitäten oder globale Einstellungen zu verwalten — meist für viele Nutzer gleichzeitig.
Zugriff auf konkrete Inhalte
Erlaubt einer Person, auf ein einzelnes Objekt zuzugreifen — eine Datei, ein Postfach, einen Kalender.
Klick bei jeder Tätigkeit, ob du sie für eine Adminrolle oder eine Berechtigung hältst. Falsche Karten kannst du erneut versuchen.
Dein Fortschritt
0 / 8 gemeistert · 0 Versuche
Vier Personen, vier Anforderungsprofile — welche Rolle und/oder welcher Zugriff sind die richtige Wahl?
Hover über die Knoten für Details.
Adminrollen wirken von oben · Berechtigungen wirken am Objekt
Egal ob RBAC, Adminrolle, Tenant-Modell oder Admin Center — diese drei Leitplanken gelten überall.
Vergib keine Global-Admin-Rechte, wenn eine Helpdesk-Rolle reicht. Jede Rolle bringt ein Risiko mit.
Ein Exchange-Admin verwaltet Postfächer — er liest sie nicht. Inhaltszugriff ist eine separate Berechtigung.
Gastnutzer und externe Mitarbeiter erhalten nur projektspezifische Berechtigungen — keine Adminrollen.