Das unter Vererbung von Microsoft Entra ID Gruppen anhand von Kategorien beschriebene Verhalten können Sie auch für Administratorrollen einsetzen.
Um die Vererbung über Kategorien zu nutzen
Definieren Sie im Manager am Microsoft Entra ID Mandanten die Kategorien.
Weisen Sie im Manager die Kategorien den Benutzerkonten über ihre Stammdaten zu.
Weisen Sie im Manager die Kategorien den Administratorrollen über ihre Stammdaten zu.
Um auf die Dienstpläne im Microsoft Entra ID zuzugreifen, benötigen die Benutzer ein Microsoft Entra ID Abonnement. Ein Microsoft Entra ID Abonnement definiert den Umfang der Dienstpläne, auf die ein Benutzer zugreifen darf. Die Nutzung einzelner Dienstpläne kann für Benutzer erlaubt oder nicht erlaubt werden.
Das Microsoft Entra ID Abonnement A enthält den Dienstplan 1, den Dienstplan 2 und den Dienstplan 3.
Das Abonnement A wird dem Benutzer zugewiesen.
Der Dienstplan 2 wird für den Benutzer nicht erlaubt.
Damit kann der Benutzer die Dienstpläne 1 und 3 nutzen.
Microsoft Entra ID Abonnements können im Microsoft Entra ID an Benutzer und an Gruppen zugewiesen werden. Für die unterschiedlichen Zuweisungswege können Dienstpläne erlaubt oder nicht erlaubt werden. Der Benutzer erhält alle erlaubten Dienstpläne.
Das Microsoft Entra ID Abonnement A enthält den Dienstplan 1, den Dienstplan 2 und den Dienstplan 3.
Das Microsoft Entra ID Abonnement A wird dem Benutzer direkt zugewiesen.
Der Dienstplan 2 wird für den Benutzer nicht erlaubt.
Das Microsoft Entra ID Abonnement B enthält den Dienstplan 4, den Dienstplan 5 und den Dienstplan 6.
Das Microsoft Entra ID Abonnement B wird der Gruppe A zugewiesen.
Der Dienstplan 6 wird für die Gruppe A nicht erlaubt.
Der Benutzer ist in der Gruppe A.
Damit kann der Benutzer die Dienstpläne 1, 3, 4 und 5 nutzen.
Es ist möglich, dass ein Benutzer das gleiche Microsoft Entra ID Abonnement sowohl direkt als auch über eine oder mehrere Gruppen erhält. Ist ein Dienstplan über einen Zuweisungsweg erlaubt und über einen anderen Zuweisungsweg nicht erlaubt, dann erhält der Benutzer den Dienstplan.
Das Microsoft Entra ID Abonnement A enthält den Dienstplan 1, den Dienstplan 2 und den Dienstplan 3.
Das Microsoft Entra ID Abonnement A wird dem Benutzer direkt zugewiesen.
Der Dienstplan 2 wird für den Benutzer nicht erlaubt.
Das Microsoft Entra ID Abonnement A wird der Gruppe A zugewiesen.
Alle Dienstpläne werden für die Gruppe A erlaubt.
Der Benutzer ist in der Gruppe A.
Damit kann der Benutzer die Dienstpläne 1, 2 und 3 nutzen.
Im werden die Microsoft Entra ID Abonnements und Dienstpläne und ihre Zuweisungen an Microsoft Entra ID Benutzerkonten und Microsoft Entra ID Gruppen folgendermaßen abgebildet.
|
Tabelle |
Beschreibung |
|---|---|
|
AADSubSku |
Die Tabelle enthält alle Microsoft Entra ID Abonnements. Die Informationen zu Microsoft Entra ID Abonnements innerhalb eines Microsoft Entra ID Mandanten werden durch die Synchronisation in den eingelesen. Neue Microsoft Entra ID Abonnements können Sie im nicht erstellen. |
|
AADServicePlan |
Die Tabelle enthält die Dienstpläne. Die Informationen zu Dienstplänen innerhalb eines Microsoft Entra ID Mandanten werden durch die Synchronisation in den eingelesen. Neue Dienstpläne können Sie im nicht erstellen. |
|
AADServicePlanInSubSku |
Die Tabelle enthält die Zuweisungen von Dienstplänen zu Microsoft Entra ID Abonnements. Die Zuweisungen werden durch die Synchronisation in den eingelesen. Die Zuweisungen können Sie im nicht bearbeiten. |
|
AADDeniedServicePlan |
Die Tabelle enthält die Zuweisung der Dienstpläne zu Microsoft Entra ID Abonnements, um die nicht-erlaubten Dienstpläne abzubilden. Die Einträge werden nach der Synchronisation der Microsoft Entra ID Abonnements automatisch im One Identity Manager erzeugt. Nicht-erlaubte Dienstpläne werden im One Identity Manager als "unwirksame Dienstpläne" bezeichnet. Mit der Zuweisung eines unwirksamen Dienstplans an ein Microsoft Entra ID Benutzerkonto im One Identity Manager wird die Nutzung dieses Dienstplans im Microsoft Entra ID nicht erlaubt. |
|
AADUserHasSubSku |
Die Tabelle enthält die Zuweisungen der Microsoft Entra ID Abonnements zu den Microsoft Entra ID Benutzerkonten. Abgebildet werden die direkten Zuweisungen von Microsoft Entra ID Abonnements zu Microsoft Entra ID Benutzerkonten und die Zuweisungen, die ein Microsoft Entra ID Benutzerkonto über seine Microsoft Entra ID Gruppen erhält. Die Zuweisungen werden durch die Synchronisation eingelesen. Microsoft Entra ID Abonnements können Sie im an die Microsoft Entra ID Benutzerkonten zuweisen; entweder direkt, über IT Shop Bestellungen oder über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen. Die Zuweisungen über Microsoft Entra ID Gruppen können in nicht bearbeitet werden. Die Microsoft Entra ID Gruppe, aus der eine Zuweisung resultiert, wird in der Spalte Microsoft Entra ID Quellgruppe (AADUserHasSubSku.UID_AADGroupSource) abgebildet. Ist die Spalte leer, handelt es sich um eine Zuweisung des Microsoft Entra ID Abonnements an das Microsoft Entra ID Benutzerkonto, die entweder direkt, über IT Shop Bestellungen oder über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen entstanden ist. Zuweisungen über Microsoft Entra ID Gruppen werden in der Spalte Herkunft mit dem Wert Zuweisung durch Gruppe (AADUserHasSubSku.XOrigin=16) gekennzeichnet. Die Tabelle enthält zusätzlich für jedes Microsoft Entra ID Benutzerkonto eine Liste der nicht erlaubten Dienstpläne seiner Microsoft Entra ID Abonnements (AADUserHasSubSku.DenyList). |
|
AADUserHasDeniedService |
Die Tabelle enthält die Zuweisungen der unwirksamen Dienstpläne zu den Microsoft Entra ID Benutzerkonten. Die Einträge werden aus der Liste der nicht erlaubten Dienstpläne (AADUserHasSubSku.DenyList) ermittelt. Unwirksame Dienstpläne können Sie im an die Microsoft Entra ID Benutzerkonten zuweisen, entweder direkt, über IT Shop Bestellungen oder über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen. Mit der Zuweisung eines unwirksamen Dienstplans wird die Nutzung dieses Dienstplan im Microsoft Entra ID nicht erlaubt. HINWEIS: Ein unwirksamer Dienstplan, der an ein Benutzerkonto zugewiesen ist, kann effektiv erlaubt sein, wenn das Benutzerkonto diesen Dienstplan zusätzlich über eine Gruppe erhält und der Dienstplan für die Gruppe erlaubt ist. Die Zuweisung über Gruppen wird nicht in dieser Tabelle abgebildet. |
|
AADUserHasServicePlan |
Die Tabelle enthält die wirksamen Zuweisungen der Dienstpläne für die Microsoft Entra ID Benutzerkonten. Die Zuweisungen werden im berechnet aus den Einträgen aus den Tabellen AADUserHasSubSku, AADUserHasDeniedService, AADGroupHasSubSku und AADGroupHasDeniedService. |
|
AADGroupHasSubSku |
Die Tabelle enthält die Zuweisungen der Microsoft Entra ID Abonnements zu Microsoft Entra ID Gruppen. Die Tabelle enthält zusätzlich für jede Microsoft Entra ID Gruppe eine Liste der nicht erlaubten Dienstpläne ihrer Microsoft Entra ID Abonnements (AADGroupHasSubSku.DenyList). Die Zuweisungen werden durch die Synchronisation in den eingelesen. Die Zuweisungen können Sie im nicht bearbeiten. |
|
AADGroupHasDeniedService |
Die Tabelle enthält die Zuweisungen der unwirksamen Dienstpläne zu den Microsoft Entra ID Gruppen. Die Einträge werden aus der Liste der nicht erlaubten Dienstpläne (AADGroupHasSubSku.DenyList) berechnet. Die Zuweisungen können Sie im nicht bearbeiten. |
Ein Microsoft Entra ID Benutzerkonto kann Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstpläne direkt oder über seine Microsoft Entra ID Gruppen erhalten.
HINWEIS: Es ist möglich, dass ein Microsoft Entra ID Benutzerkonto das gleiche Microsoft Entra ID Abonnement sowohl direkt als auch über eine oder mehrere Microsoft Entra ID Gruppen erhält. Ist ein Dienstplan über einen Zuweisungsweg erlaubt und über einen anderen Zuweisungsweg nicht erlaubt, dann erhält der Benutzer den Dienstplan.
Das bedeutet:
Ein unwirksamer Dienstplan, der an ein Benutzerkonto zugewiesen ist, kann effektiv erlaubt sein, wenn das Benutzerkonto diesen Dienstplan zusätzlich über eine Gruppe erhält und der Dienstplan für die Gruppe erlaubt ist.
Um Informationen zu Microsoft Entra ID Abonnements und Dienstplänen für ein Benutzerkonto anzuzeigen
Wählen Sie im Manager die Kategorie Microsoft Entra ID > Benutzerkonten.
Wählen Sie in der Ergebnisliste das Benutzerkonto.
Wählen Sie die Aufgabe Überblick über das Microsoft Entra ID Benutzerkonto.
Auf dem Überblicksformular werden folgende Informationen zu den Microsoft Entra ID Abonnements und Dienstplänen eines Benutzerkontos angezeigt.
Microsoft Entra ID Abonnements (eigene): Microsoft Entra ID Abonnements, die dem Benutzerkonto zugewiesen sind; entweder direkt, über IT Shop Bestellungen oder über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen.
Microsoft Entra ID Abonnements (geerbt): Microsoft Entra ID Abonnements, die das Benutzerkonto über seine Microsoft Entra ID Gruppen erhalten hat.
Wirksame Microsoft Entra ID Dienstpläne: Microsoft Entra ID Dienstpläne, die für das Benutzerkonto erlaubt sind.
Unwirksame Microsoft Entra ID Dienstpläne aus eigenen Abonnements : Unwirksame Microsoft Entra ID Dienstpläne, die dem Benutzerkonto zugewiesen sind; entweder direkt, über IT Shop Bestellungen oder über Abteilungen, Kostenstellen, Standorte und Geschäftsrollen.
Wählen Sie den Bericht Überblick über die Lizenz.
Der Bericht enthält eine Zusammenfassung der zugewiesenen und effektiv wirksamen Abonnements und Dienstpläne für ein Microsoft Entra ID Benutzerkonto.
Um Informationen zu Microsoft Entra ID Abonnements und Dienstplänen für eine Gruppe anzuzeigen
Wählen Sie im Manager die Kategorie Microsoft Entra ID > Gruppen.
Wählen Sie in der Ergebnisliste die Gruppe.
Wählen Sie die Aufgabe Überblick über die Microsoft Entra ID Gruppe.
Auf dem Überblicksformular werden folgende Informationen zu den Microsoft Entra ID Abonnements und Dienstplänen einer Gruppe angezeigt.
Microsoft Entra ID Abonnements: Microsoft Entra ID Abonnements, die der Microsoft Entra ID Gruppen zugewiesen sind.
Wirksame Microsoft Entra ID Dienstpläne: Microsoft Entra ID Dienstpläne, die für die Gruppe erlaubt sind.
Unwirksame Microsoft Entra ID Dienstpläne: Microsoft Entra ID Dienstpläne, die für die Gruppe nicht erlaubt sind.
Microsoft Entra ID Benutzerkonten: Microsoft Entra ID Benutzerkonten, die der Gruppe zugewiesen sind und somit die Abonnements und Dienstpläne erhalten.
Microsoft Entra ID Abonnements können indirekt oder direkt an Microsoft Entra ID Benutzerkonten zugewiesen werden.
Bei der indirekten Zuweisung werden Identitäten und Microsoft Entra ID Abonnements in hierarchische Rollen, wie Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen eingeordnet. Aus der Position innerhalb der Hierarchie und der Vererbungsrichtung werden die Microsoft Entra ID Abonnements berechnet, die einer Identität zugewiesen sind. Besitzt die Identität ein Microsoft Entra ID Benutzerkonto, werden die Microsoft Entra ID Abonnements der Rollen an dieses Microsoft Entra ID Benutzerkonto vererbt.
Des Weiteren können Microsoft Entra ID Abonnements über IT Shop-Bestellungen an Identitäten zugewiesen werden. Damit Microsoft Entra ID Abonnements über IT Shop-Bestellungen zugewiesen werden können, werden Identitäten als Kunden in einen Shop aufgenommen. Alle Microsoft Entra ID Abonnements, die als Produkte diesem Shop zugewiesen sind, können von den Kunden bestellt werden. Bestellte Microsoft Entra ID Abonnements werden nach erfolgreicher Genehmigung den Identitäten zugewiesen.
TIPP: Damit eine Identität automatisiert ein Microsoft Entra ID Benutzerkonto und ein Microsoft Entra ID Abonnement erhält, können Sie die Kontendefinition zur Erstellung des Benutzerkontos und das zu verwendende Microsoft Entra ID Abonnement in einer Systemrolle zusammenfassen.
Eine Identität kann diese Systemrolle direkt erhalten, über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen erben oder über den IT Shop bestellen.
Um auf Sonderanforderungen schnell zu reagieren, können Sie die Microsoft Entra ID Abonnements auch direkt an Microsoft Entra ID Benutzerkonten zuweisen.
HINWEIS: Ein Microsoft Entra ID Benutzerkonto kann Microsoft Entra ID Abonnements zusätzlich über seine Microsoft Entra ID Gruppen erhalten. Die Zuweisungen über Microsoft Entra ID Gruppen können in nicht bearbeitet werden.
Die Tabelle AADUserhasSubSku enthält die Zuweisungen der Microsoft Entra ID Abonnements zu den Microsoft Entra ID Benutzerkonten mit ihrer Herkunft. Weitere Informationen finden Sie unter Managen von Zuweisungen von Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstplänen.
Ausführliche Informationen finden Sie in den folgenden Handbüchern.
|
Thema |
Handbuch |
|---|---|
|
Grundlagen zur Zuweisung von Unternehmensressourcen und zur Vererbung von Unternehmensressourcen |
One Identity Manager Administrationshandbuch für das Identity Management Basismodul One Identity Manager Administrationshandbuch für Geschäftsrollen |
|
Zuweisung von Unternehmensressourcen über IT Shop-Bestellungen |
One Identity Manager Administrationshandbuch für IT Shop |
|
Systemrollen |
One Identity Manager Administrationshandbuch für Systemrollen |
© 2025 One Identity LLC. ALL RIGHTS RESERVED. Nutzungsbedingungen Datenschutz Cookie Preference Center
