Erfahren Sie mehr zum Thema Administratorrechte in Office 365 in unserem kostenlosen Webinar: “Tailoring Microsoft Teams & Delegating Administration in Office 365!

So delegieren Sie die Administration von Office 365 innerhalb eines globalen Mandanten

Durch eine gut administrierte Office 365-Umgebung ist eine Organisation wesentlich produktiver, als dies bei mangelhafter Administration der Fall ist.

Dies bedeutet, dass Nutzer in der Lage sein müssen, gemäß den bestehenden Richtlinien auf bestimmte Sites zuzugreifen und Dokumente möglichst problemlos freizugeben.

Um dies zu erreichen, sind Administratoren für Office 365 erforderlich, mit deren Hilfe folgende Einstellungen verwaltet werden können:

  • Überwachungseinstellungen
  • Inhaltstypen und Datensatzrichtlinien
  • Beschränkungen bei der Freigabe von Informationen
  • Und viele weitere Einstellungen!

Doch aufgrund der speziellen Architektur von Office 365 kann es für große oder komplexe Organisationen eine Herausforderung sein, das richtige Team an Administratoren zusammenzustellen, die über den richtigen Mix an Rechten verfügen, um den digitalen Arbeitsplatz effektiv zu verwalten – wie Gruppen, Teams, SharePoint-Sites usw.

Im Grunde müssen sich Organisationen zwischen zwei Möglichkeiten entscheiden: Sie können Nutzern Zugriffsrechte in einem Umfang geben, der es Administratoren erschwert diese zu verwalten ODER sie binden Administratoren in diese Prozesse ein, sodass sie Zugriff auf ALLE Bereiche in Office 365 haben.

Was ist unter globaler Verwaltung zu verstehen?

Die von Microsoft empfohlene und bevorzugte Option besteht darin, dass Kunden über einen EINZELNEN, ZENTRALEN Mandanten verfügen. Dies gilt auch für Kunden mit getrennten Geschäftsbereichen oder Standorten in unterschiedlichen Regionen sowie für Kunden, die in der Vergangenheit mehrere SharePoint-Farmen verwaltet haben. Aus diesem Grund bietet Microsoft umfassende Möglichkeiten zur Konfiguration für mehrere Datencenterregionen – die sogenannten Multi-Geo Capabilities.

Dies fördert die Zusammenarbeit und verhindert Datensilos. Durch das Aufweichen traditioneller Barrieren, die durch die Verwaltung getrennter SharePoint Server On-Premise entstanden, geht es bei der Verwaltung inzwischen um alles oder nichts. Es gibt keine kleineren Container innerhalb des Mandanten, die von ihren eigenen Administratoren verwaltet werden können.

Globale Administratoren haben Zugriff auf den gesamten Office 365-Mandanten.

Ein IT-Manager, der nur für die Administration von SharePoint 2016 für die nordamerikanische Marketing-Abteilung von Contoso zuständig ist, erhält plötzlich Zugriff auf die gesamte Umgebung von SharePoint Online – und damit auch auf die Abteilungen in Japan, Deutschland und anderen Ländern. In Office 365 ist unterhalb des SharePoint-Administrators keine Rolle vorgesehen.

Deshalb haben Organisationen, die Office 365 nutzen, normalerweise zwei Möglichkeiten: 1) Sie können die Anzahl der globalen Administratoren reduzieren oder 2) das potenzielle Risiko akzeptieren, das Administratoren mit zu vielen Rechten darstellen.

Beide Möglichkeiten haben ihre Nachteile. Wird die Anzahl der Administratoren in Ihrem Unternehmen verringert, verwalten weniger Mitarbeiter Ihre Daten und kompetente Kollegen sehen vom Rand aus zu. Ein übermäßiges Risiko bei mangelndem Risikomanagement ist aber genauso wenig akzeptabel. Für Organisationen, die mit sensiblen Daten umgehen oder im Rahmen von ITAR oder vergleichbar strikten Gesetzen agieren, ist die zweite Möglichkeit keine Option.

Wie können Sie die Administratorrechte in Office 365 so verwalten, dass die richtigen Mitarbeiter den richtigen Zugriff und die richtigen Rechte haben, um ihre Aufgaben und mehr zu erledigen? Falls Sie vor dieser Frage stehen, empfehle ich Ihnen die folgenden drei Tipps.

Tipp 1: Rufen Sie die Adminrollen in Office 365 regelmäßig auf und überprüfen Sie sie

In Office 365 gibt es mehrere Arten von Administratorrollen. Sie sollten diese kennen und wissen, wie Sie sie anzeigen können.

Damit die verfügbaren Rollen im Admin Center von Office 365 angezeigt werden, gehen Sie auf Rollen > Rollen. Wählen Sie anschließend eine beliebige Rolle und öffnen Sie den Detailbereich. Wählen Sie den Reiter „Berechtigungen“ und sehen Sie eine ausführliche Liste der Rechte, die mit dieser speziellen Rolle verknüpft sind.

Eine umfassendere Liste finden Sie hier. Diese Rollen sollten Sie unbedingt kennen:

Globaler AdministratorDer globale Administrator hat unbegrenzten Zugriff auf sämtliche organisationsspezifischen Einstellungen und Daten. Nur ein globaler Administrator kann das Passwort eines anderen globalen Administrators ändern.
RechnungsadministratorDer Rechnungsadministrator verwaltet Käufe, Abonnements und Support-Tickets. Er kann zudem die Dienstintegrität überwachen.
DienstadministratorDer Dienstadministrator ist für Serviceanfragen bei Microsoft zuständig, die sich auf Dienstprobleme beziehen. Zudem überwacht er das Service-Dashboard und das Nachrichtencenter. Er kann auch wichtige Informationen im Admin Center von Microsoft 365 einsehen, wie Hinweise zur Dienstintegrität oder Benachrichtigungen zu Änderungen und Releases. Ein Dienstadministrator hat in Bezug auf die benutzerdefinierten Konfigurationseinstellungen lediglich Leserechte.
Kennwort- bzw. HelpdeskadministratorDer Kennwortadministrator ist für das Zurücksetzen der Kennwörter von Benutzern zuständig. Er kann zudem Serviceanfragen verwalten und die Dienstintegrität überwachen.
BenutzerverwaltungsadministratorDer Benutzerverwaltungsadministrator kann Kennwörter zurücksetzen, die Dienstintegrität überwachen, Benutzerkonten erstellen bzw. löschen und Serviceanfragen verwalten. Er kann keine Administratoren erstellen oder löschen.
ComplianceadministratorBenutzer mit einer solchen Rolle haben die Berechtigungen, Funktionen im Microsoft 365 Compliance Centre und im Microsoft 365 Admin Center, in Azure und im Security & Compliance Center von Office 365 zu verwalten, die für die Einhaltung gesetzlicher Vorgaben relevant sind. Complianceadministratoren können zudem sämtliche Funktionen im Admin Center von Exchange und im Admin Center von Teams & Skype for Business verwalten. Darüber hinaus können sie Support-Tickets für Azure und Microsoft 365 erstellen.
Anwendungsadministratoren (SharePoint, Exchange, PowerBI, Skype, Dynamics 365, Teams)Administratoren für die einzelnen Anwendungen in Office 365 haben die Berechtigung zur Berichterstellung, Konfiguration von Einstellungen sowie zur Verwaltung von Inhalten und Rechten.
Administrator für Microsoft SearchBenutzer in dieser Rolle haben Vollzugriff auf alle Verwaltungsfunktionen von Microsoft Search im Microsoft 365 Admin Center. Sie können die Rollen „Search-Administrator“ und „Search-Bearbeiter“ an Benutzer delegieren und Inhalte wie Lesezeichen, F&A und Speicherorte erstellen und verwalten. Darüber hinaus können diese Benutzer das Nachrichtencenter einsehen, die Dienstintegrität überwachen und Serviceanfragen erstellen.
DienstsupportadministratorBenutzer mit dieser Rolle können an Microsoft Supportanfragen für Azure und Office 365-Dienste erstellen sowie das Service-Dashboard und das Nachrichtencenter im Azure-Portal, aber auch im Admin Center von Microsoft 365 aufrufen.

 

Administratoren können im Admin Center von Office 365 sehen, welche Rolle die einzelnen Benutzer haben, indem sie einfach in der linken Randleiste auf „Aktive Benutzer“ im Reiter BENUTZER gehen. Sie können eine voreingestellte Ansicht wählen, um Ihre globalen Administratoren zu suchen.

Anwender der Lösung für die Cloud-Verwaltung von AvePoint können die Berechtigungen in Office 365 leicht zentral verwalten und im Massenmodus Aufgaben über eine zentrale Benutzeroberfläche konfigurieren. Mit dieser Lösung kann zudem der Freigabeprozess stufenweise erfolgen. Mithilfe des „Policy Enforcer“ lassen sich die von Administratoren und Benutzern vorgenommenen Änderungen außerdem rückgängig machen, falls diese gegen Richtlinien verstoßen.

Tipp 2: Geben Sie Administratoren Rollen mit Rechten auf möglichst niedriger Ebene

Alle wichtigeren Risikorahmen und Sicherheitsstandards basieren auf dem Grundsatz des „Least-Privilege-Prinzips“. Im Grunde möchten Sie Mitarbeitern für die Erledigung ihrer Aufgaben so wenig Zugriff und Berechtigungen wie möglich erteilen.

Es mag zwar verlockend sein, ein ganzes Team an globalen Administratoren zu bestellen, auf das die anfallende Arbeit verteilt werden kann. Allerdings ist es eine Sicherheitsbedrohung und kann zu Problemen führen, wenn das Unternehmen im Rahmen einer Zertifizierung oder im Hinblick auf Datenschutzgesetze überprüft wird.

Microsoft empfiehlt zwei bis vier globale Administratoren, um eine Kontosperrung zu vermeiden und Datensicherheit zu gewährleisten.

Sobald Sie diese Richtlinien festgelegt haben, sollten Sie in Erwägung ziehen, diese in Echtzeit durchzusetzen. Hierfür können Sie Lösungen nutzen, mit deren Hilfe Sie unrechtmäßige Sicherheitseinstellungen oder Konfigurationsänderungen der Benutzer und Administratoren zurücksetzen.

Tipp 3: Erstellen Sie benutzerdefinierte Administratorrollen für bestimmte Arbeitsbereiche in SharePoint, Office 365-Gruppen und Microsoft Teams

Stellen Sie sich vor, Sie könnten Ihren zentralen Office 365-Mandanten in eigenständige, überschaubarere Container aufteilen, die auf Geschäftsbereichsebene verwaltet werden können, ohne dabei den Zugriff auf den gesamten Mandanten aufzugeben.

Diese Funktion ist in Office 365 nicht vorgesehen, allerdings können Sie die Verwaltung von Office 365 innerhalb Ihres Mandanten an AvePoint Cloud Management delegieren. Dadurch profitieren Sie von der Struktur und Sicherheit getrennter Mandanten. Gleichzeitig können Sie den gesamten Funktionsumfang für die Zusammenarbeit von Office 365 voll nutzen.

Dies ist äußerst hilfreich für Behörden oder große Organisationen. Diese können eine größere Nähe der IT-Nutzer zur Geschäftstätigkeit oder den Aufgaben zulassen, sodass diese bei der Verwaltung von Berechtigungen, Content Management und Berichterstellung für den jeweiligen Geschäftsbereich helfen können.

Hier ein Beispiel: Auch wenn die Regierung des US-amerikanischen Bundesstaats Kalifornien Office 365 möglicherweise im Rahmen eines zentralen Mandanten nutzt, kann sie in Office 365 Administratoren für das Verkehrsministerium erstellen, die nur auf dessen Arbeitsbereiche und Daten Zugriff haben.


Wollen Sie mehr Tipps zur Verwaltung von Office 365? Dann abonnieren Sie unseren Blog!