M365-Administratorrollen erklärt: Nicht jeder muss Global Admin sein

M365 bietet rund 70 Administratorrollen. Die meisten KMUs nutzen davon nur 2 (Global Admin + User Admin). Hier sind die Rollen, die Sie wirklich kennen sollten – und wann Sie sie einsetzen.

Nicht jede Administratoraufgabe erfordert Global Admin. M365 verfügt über eine umfangreiche Rollenstruktur — wer sie gezielt einsetzt, vermeidet das „Jeder kann alles"-Problem und arbeitet nach dem Least-Privilege-Prinzip.

Die Rollen, die Sie wirklich kennen müssen

• Global Administrator: alles. Maximal 2–3 Personen.
• User Administrator: Benutzer anlegen, Passwort zurücksetzen, Lizenzen zuweisen. Geeignet für den Office-Manager.
• Helpdesk Administrator: Passwort-Resets für Nicht-Admin-Benutzer. Für den Junior-Helpdesk.
• Exchange Administrator: Postfachverwaltung, Verteilerlisten. Für die zuständige Person im Bereich E-Mail.
• SharePoint Administrator: Verwaltung von SharePoint-Websites und Berechtigungen.
• Teams Administrator: Teams-Einstellungen, Meeting-Richtlinien.
• Security Administrator: Sicherheitseinstellungen, Defender, Conditional-Access-Richtlinien. Für den Security Officer.
• Global Reader: Schreibgeschützter Global Admin. Für Auditoren oder den Compliance Officer.

Zuweisung: typische Muster

• Office-Manager / HR: User Administrator (ausreichend für Onboarding/Offboarding von Benutzern).
• Security Officer: Security Administrator + Global Reader.
• Buchhalter/Compliance: Global Reader.
• IT-Partner: abhängig vom Umfang — oft breiter, aber zeitlich begrenzt.

PIM

Die Premium-P2-Lizenz bietet Privileged Identity Management — Administratorrollen sind nicht dauerhaft aktiv, sondern werden nur für eine Sitzung aktiviert. Für KMUs: Empfehlenswert ab > 30 Mitarbeitern, zumindest für die Global-Admin-Rolle.

Siehe auch: M365-Pillar, PAM-Artikel.