Microsoft 365 (ehemals Office 365) entfaltet sein volles Potenzial erst dann, wenn ihr es in einer Gruppe von Anwendern unter zentraler Verwaltung nutzt. Das muss nicht immer eine Firma sein, sondern macht durchaus auch im Kleinverbund der Familie oder in kleinen Teams Sinn. Klassischerweise ist das erste Microsoft-Konto, mit dem die Microsoft 365-Installation eröffnet wird, der globale Administrator, der eine Vielzahl von Einrichtungen vornehmen kann. Es kann aber durchaus Sinn machen, auch andere Benutzer zu Administratoren zu machen – und das geht heute deutlich granularer als früher.
Dazu müsst ihr euch im Microsoft 365 Admin Center (admin.microsoft.com) als Administrator anmelden, denn nur mit dessen Rechten sind die Benutzerrechte anpassbar. Der Zugang erfolgt über Benutzer, Aktive Benutzer – die Navigation wurde in den letzten Jahren deutlich übersichtlicher gestaltet.
Granulare Administratorrollen für mehr Sicherheit
Nach Auswahl des Benutzers könnt ihr diesem dann verschiedene Administratorrollen zuweisen. Die Zeiten, in denen es nur Benutzer oder Globaler Administrator gab, sind längst vorbei. Microsoft hat das Rollensystem massiv ausgebaut und bietet heute über 40 verschiedene Administratorrollen an.
Gerade diese Granularität ist in der praktischen Anwendung Gold wert: Statt einem Benutzer die Allmacht der globalen Administrationsrolle zu geben (und damit im Extremfall die eigene Administrationsrolle zu riskieren), könnt ihr heute sehr fein abgestuft vorgehen.
Die wichtigsten Administratorrollen im Überblick:
- Kennwort-Administrator: Kann Kennwörter für Nicht-Administratoren zurücksetzen – perfekt für den IT-Support
- Abrechnungsadministrator: Verwaltet Abonnements und Zahlungsinformationen, ohne Zugriff auf Benutzerdaten
- Exchange-Administrator: Hat volle Kontrolle über E-Mail-Einstellungen und Postfächer
- SharePoint-Administrator: Verwaltet SharePoint Online und OneDrive-Einstellungen
- Teams-Administrator: Kümmert sich um Microsoft Teams-Richtlinien und -Einstellungen
- Security-Administrator: Verwaltet Sicherheitsfeatures und kann Sicherheitsberichte einsehen
- Compliance-Administrator: Zuständig für Datenschutz und Compliance-Einstellungen
Zero Trust und Conditional Access berücksichtigen
Bei der Vergabe von Administratorrechten solltet ihr auch Microsofts Zero Trust-Ansatz berücksichtigen. Aktiviert für alle Admin-Accounts unbedingt die Multi-Faktor-Authentifizierung (MFA). Microsoft macht das inzwischen zur Pflicht – und das ist gut so.
Conditional Access-Richtlinien helfen dabei, Admin-Zugriffe auf vertrauenswürdige Geräte und Standorte zu beschränken. Ihr könnt beispielsweise festlegen, dass sich Administratoren nur aus dem Büronetzwerk oder von verwalteten Geräten aus anmelden dürfen.
Privileged Identity Management für Großorganisationen
Für größere Organisationen bietet Microsoft mit Privileged Identity Management (PIM) ein mächtiges Tool zur zeitlich begrenzten Rechtevergabe. Benutzer können damit Admin-Rechte „just in time“ anfordern und erhalten diese nur für einen bestimmten Zeitraum. Das reduziert die Angriffsfläche erheblich.
Best Practices für die Admin-Rechtevergabe
Prinzip der geringsten Berechtigung: Vergebt nur die Rechte, die wirklich benötigt werden. Ein Kollege, der nur gelegentlich Passwörter zurücksetzen muss, braucht keine Exchange-Admin-Rechte.
Separate Admin-Konten: Für kritische Aufgaben sollten separate Administratorkonten verwendet werden, nicht die normalen Benutzerkonten. Das macht es Angreifern schwerer.
Regelmäßige Überprüfung: Überprüft mindestens quartalsweise, wer welche Admin-Rechte hat. Menschen wechseln Positionen oder verlassen das Unternehmen – die Berechtigungen sollten entsprechend angepasst werden.
Aktivitätenprotokollierung: Nutzt die umfangreichen Audit-Logs von Microsoft 365, um Admin-Aktivitäten zu überwachen. Verdächtige Aktionen fallen so schneller auf.
Notfallzugang nicht vergessen
Ein wichtiger Punkt, den viele übersehen: Richtet mindestens ein Notfallkonto ein, das auch dann funktioniert, wenn die normale MFA-Infrastruktur ausfällt. Dieses „Break Glass“-Konto sollte ein sehr starkes Passwort haben und an einem sicheren Ort verwahrt werden.
Die moderne Administratorverwaltung in Microsoft 365 ist deutlich ausgereifter geworden, als sie es zu Office 365-Zeiten war. Die granularen Rollen, verbesserte Sicherheitsfeatures und Audit-Möglichkeiten machen es einfacher, das richtige Gleichgewicht zwischen Sicherheit und Funktionalität zu finden. Nutzt diese Möglichkeiten – eure IT-Sicherheit wird es euch danken.
Zuletzt aktualisiert am 06.03.2026
