Rollenbasierte Zugriffssteuerung

Gilt für: Office 365 for enterprises, Live@edu

Letztes Änderungsdatum des Themas: 2010-06-02

Die rollenbasierte Zugriffssteuerung (RBAC) wird verwendet, um Benutzern Funktionen bzw. Befugnisse zuzuweisen. Alle Berechtigungen und Funktionen werden durch Verwaltungsrollen definiert. Eine Verwaltungsrolle, auch als RBAC-Rolle oder einfach Rolle bezeichnet, definiert, worauf ein Benutzer Zugriff hat und welche Aufgaben er ausführen kann*.* Wenn Sie einem Benutzer eine Rolle zuweisen, kann er die durch die Rolle definierten Aufgaben ausführen.

In diesem Thema wird Folgendes behandelt:

• Rollen nach Benutzertyp
• Wie weise ich Benutzern Rollen zu?
• Kann ich eine Rolle anpassen?
• Wie wirken sich Rollenzuweisungen auf den Benutzereindruck aus?

Rollen nach Benutzertyp

Es gibt zwei verschiedene Arten von Rollen:

• Endbenutzerrollen   Diese Rollen weisen Endbenutzern grundlegende Funktionen zu. Es gibt z. B. Rollen, die Benutzern das Bearbeiten ihrer Kontaktinformationen im freigegebenen Adressbuch und das Erstellen öffentlicher Gruppen erlauben.
• Administratorrollen   Diese Rollen weisen Administratoren und anderen Spezialisten, z. B. Helpdesk-Mitarbeitern oder Compliance Officern, Administratorfunktionen zu. Es gibt z. B. Rollen, die Benutzern das Erstellen, Ändern und Löschen von Postfächern, E-Mail-Kontakten und E-Mail-Benutzern und das Zurücksetzen von Benutzerkennwörtern erlauben.

Wie weise ich Benutzern Rollen zu?

Benutzern werden durch Rollenzuweisungen Rollen zugewiesen. Zum Zuweisen von Benutzerrollen stehen verschiedene Methoden zur Auswahl:

• Endbenutzerrollen, die der Rollenzuweisungsrichtlinie zugewiesen sind:   Auf diese Weise werden Benutzern normalerweise Endbenutzerrollen zugewiesen. Sie möchten eine Rolle aus einer Rollenzuweisungsrichtlinie entfernen, und die Änderung soll für alle Benutzer gelten, die dieser Rollenzuweisungsrichtlinie zugewiesen sind? Entfernen Sie die Rolle einfach aus der Rollenzuweisungsrichtlinie. Sie können auch eine neue Rollenzuweisungsrichtlinie erstellen und sie einer großen Anzahl von Benutzern zuweisen, denen mehr oder weniger Funktionen zur Verfügung stehen müssen.
  Hinweis   Der Rollenzuweisungsrichtlinie können nur Endbenutzerrollen zugewiesen werden. In Live@edu-Organisationen wird eine Rollenzuweisungsrichtlinie zudem Postfacheinstellungen zugewiesen. Sie können weder Rollenzuweisungsrichtlinien erstellen, noch Rollenzuweisungsrichtlinien Benutzern direkt zuweisen. Stattdessen weisen Sie Benutzern Postfacheinstellungen zu.
• Rollen, die einer Rollengruppe zugewiesen sind:   Eine Rollengruppe ist eine universelle Sicherheitsgruppe, der Administratorrechte zugewiesen sind. Auf diese Weise werden Administratoren und Spezialisten normalerweise Administratorrollen zugewiesen. Fügen Sie der entsprechenden Rollengruppe einfach Benutzer hinzu, oder entfernen Sie Benutzer aus der Rollengruppe. Wenn Sie einer Rollengruppe eine Rolle zuweisen oder eine Rollenzuweisung aus einer Rollengruppe entfernen, wirkt sich dies auf alle Mitglieder der Rollengruppe aus.
  Sie können auch eine neue Rollengruppe erstellen und ihr Benutzer hinzufügen. Dies gibt Ihnen die Möglichkeit, die Befugnisse von Benutzern sehr genau festzulegen. Wenn einer integrierten Rollengruppe viele verschiedene Rollen zugewiesen sind, die einem bestimmten Benutzer zu viele Befugnisse in der Organisation geben würden, können Sie eine neue Rollengruppe erstellen, der Gruppe die gewünschten Rollen zuweisen und ihr dann Benutzer hinzufügen.
• Rollen, die einem Benutzer direkt zugewiesen sind:   Es wird empfohlen, Benutzern Rollen nicht direkt zuzuweisen, da die Zuweisung von Rollen zu einzelnen Benutzern und die Nachverfolgung der zugewiesenen Rollen sehr schwierig ist. Erstellen Sie stattdessen eine neue Rollengruppe, weisen Sie der Gruppe die Rollen zu, und fügen Sie ihr dann Benutzer hinzu.

Kann ich eine Rolle anpassen?

Ja, aber dies sollte nicht erforderlich sein. Standardmäßig sind ungefähr 30 Administratorrollen und 14 Endbenutzerrollen verfügbar. Die Rollen umfassen bestimmte Funktionen, die nicht in anderen Rollen enthalten sind. Wenn Sie der Ansicht sind, dass eine vorhandene Rollengruppe oder Rollenzuweisungsrichtlinie den Benutzern zu viele Befugnisse gibt, können Sie bestimmte Rollenzuweisungen entfernen, ohne die zugrunde liegenden Rollen anzupassen. Weitere Informationen finden Sie unter den folgenden Themen:

• Verhindern des Änderns von Anzeigenamen durch Benutzer
• Zulassen der Änderung des Anzeigenamens in Live@edu durch Benutzer

Wie wirken sich Rollenzuweisungen auf den Benutzereindruck aus?

Wenn Sie einem Benutzer eine Rolle zuweisen, kann er wie im Folgenden beschrieben auf zusätzliche Funktionen zugreifen:

• In der Exchange-Systemsteuerung:   Jeder Benutzer kann nur die Registerkarten und Optionen verwenden, die gemäß der ihm zugewiesenen Rollen zulässig sind. Die Registerkarte "Ermittlung" wird z. B. nur für einen Benutzer angezeigt, wenn er der Rollengruppe "Discoveryverwaltung" hinzugefügt wurde.
• In Windows PowerShell:   Wenn ein Benutzer die Windows-Remoteverwaltung (WinRM) verwendet, um eine Verbindung zwischen Windows PowerShell und dem cloudbasierten Dienst herzustellen, kann der Benutzer nur die Cmdlets und Parameter verwenden, die gemäß der ihm zugewiesenen Rollen zulässig sind.