Microsoft 365

Telefonnummer in Azure AD Konto nicht änderbar

15. September 2021

Möchten Benutzer mit der Admin Rolle User Administrator in Azure AD Daten wie die Telefonnummer eines anderen Kontos anpassen kann die Möglichkeit für manche Konten deaktiviert sein.

Benutzer mit der Rolle User Administrator können Basisdaten von Azure AD Konten aktualisieren. Bei manchen Konten sind Angaben jedoch ausgegraut, wie am Beispiel der Telefonnummer. Bei anderen Konten sind die Angaben veränderbar.

In der Beschreibung über die Rolle User Administrator findet sich die Ursache.

User Administrator
Users with this role can create users, and manage all aspects of users with some restrictions, and can update password expiration policies. Additionally, users with this role can create and manage all groups. This role also includes the ability to create and manage user views, manage support tickets, and monitor service health. User Administrators don’t have permission to manage some user properties for users in most administrator roles. User with this role do not have permissions to manage MFA.

Benutzer mit der Rolle können Daten folgender Konten bearbeiten.

  • Alle Konten ohne Admin Rolle
  • Konten mit der Rolle Helpdesk Administrator
  • Konten mit der Rolle User Administrator

In meinem Beispiel sind dem oben betroffenen Konto Admin Rollen zugeordnet. Dadurch ist es einem User Administrator nicht möglich die Telefonnummer anzupassen.

Stellt sich die Frage welche Admin Rolle könnte die Daten anpassen?
Authentication Administrator ist es nicht, bei der Rolle gelten ähnliche Limitationen wie für User Administrator.

Authentication Administrator
Users with this role can set or reset any authentication method (including passwords) for non-administrators and some roles.

In der Rolle Privileged Authentication Administrator findet sich ein gesuchter Hinweis.

Privileged Authentication Administrator
Users with this role can set or reset any authentication method (including passwords) for any user, including Global Administrators.

Laut der Dokumentation hätte sonst nur noch ein Global Admin die Möglichkeit Daten aller Konten anzupassen. Zu bedenken sind bei der Rolle Privileged Authentication Administrator die zusätzlichen Rechte, beispielsweise Passwörter und Features wie MFA für alle Konten zu beeinflussen. Wird die Rolle zugewiesen ist es nach kurzer Zeit möglich die Telefonnummer in Azure AD anzupassen.

Azure AD
Konto mit der Rolle Privileged Authentication Administrator

Was hier noch von Bedeutung ist. Der Schreibschutz für die Angaben wird nur in Azure AD aufgehoben. Versucht es jemand über das Konto im M365 Admin Center sind die Angaben weiterhin inaktiv. Hier hat Microsoft scheinbar einen Konflikt.

M365 Admin Center
Konto mit der Rolle Privileged Authentication Administrator

Tags:

Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert