Im Normalfall hat ein Benutzerkonto mit der Rolle SharePoint Administrator vollen Zugriff auf das SharePoint Online Admin Center. Wird der Zugriff verweigert lässt es sich über bekannte SharePoint Wege lösen.
Wird ein neuer Microsoft 365 Tenant erstellt und ein Benutzerkonto hat die Rolle Global Admin oder SharePoint Admin ist bekannt das Konto kann das SharePoint Admin Center über https://[Tenantname]-admin.sharepoint.com öffnen.
Meiner Kollegin wurde die SharePoint Admin Rolle zugewiesen.
Beim Zugriff auf das SharePoint Admin Center eine Meldung über fehlende Berechtigung.
Die sonst bekannten Wartezeiten in M365 Diensten helfen in dem Fall nicht. In meinem Beispiel simulierte ich die Situation. Normal sollte es in der Standardkonfiguration nicht auftreten.
Das SharePoint Admin Center ist eine von Microsoft stark modifizierte Site Collection. Da es eine Site Collection ist sind die üblichen Berechtigungen einer Site im Einsatz. Die oben gezeigte Fehlermeldung hat entweder mit fehlenden Gruppenberechtigungen oder Site Collection Admin Berechtigungen zu tun. Da die modifizierte Site des Admin Centers kein übliches Menü für Berechtigungen inkludiert muss die Kontrolle über die direkten Links stattfinden.
Site Collection Admins: https://[Tenantname]-admin.sharepoint.com/_layouts/15/mngsiteadmin.aspx
Berechtigte Konten und Gruppen: https://[Tenantname]-admin.sharepoint.com/_layouts/15/user.aspx
In den Site Collection Admins vom SharePoint Admin Center sind standardmässig zwei Systemgruppen inkludiert:
- Company Administrator > inkludiert alle Benutzerkonten mit der Rolle Global Admin
- SharePoint Administrator > inkludiert alle Benutzerkonten mit der Rolle SharePoint Admin
Wird nun die Gruppe SharePoint Administrator aus den Site Collection Admins entfernt tritt die oben erwähnte, fehlende Berechtigung auf. Meine Kollegin Tanja hat zwar die Rolle SharePoint Admin, die Gruppe ist aber nicht mehr auf die Admin Center Site berechtigt. Es ist ausreichend die Gruppe wieder manuell in die Site Admins einzufügen. Damit wurden die Standardadmins für das SharePoint Admin Center wiederhergestellt.
Im ungünstigsten Fall könnte die Situation auch so aussehen.
In dem Fall haben weder Global Admins noch SharePoint Admins Zugriff auf das SharePoint Admin Center. Praktisch hat niemand mehr Zugriff. In der Situation stellt sich die Frage wie der Zugriff wiederherstellbar ist. Über das SharePoint Online PowerShell Modul.
- Stelle eine Verbindung zum SharePoint Tenant her.
Import-Module Microsoft.Online.SharePoint.PowerShell
Connect-SPOService -Url https://[Tenantname]-admin.sharepoint.com- Füge ein Benutzerkonto als neuen Site Collection Admin hinzu. Das Konto kann danach die Berechtigungen für Company und SharePoint Admin wiederherstellen.
Set-SPOUser -Site "https://[Tenantname]-admin.sharepoint.com" -LoginName "[UserPrincipalName]" -IsSiteCollectionAdmin $trueFolgt man aus Interesse noch dem Link für berechtigte Konten und Gruppen fällt auf Microsoft hat im SharePoint Admin Center verschiedene, weitere SharePoint Gruppen angelegt.
Bis Mai 2020 hatte die Admin Rolle Global Reader keinen Zugriff auf das SharePoint Admin Center. Für die Global Reader Rolle wurde eine SharePoint Gruppe “Tenant Administration Visitors” erstellt und an die Gruppe Leseberechtigung vergeben.
Es ist abzuraten in der Site Collection vom SharePoint Admin Center Anpassungen an Berechtigungen oder SharePoint Gruppen vorzunehmen.
