Administratorkonten in Ihrer Organisation haben standardmäßig Zugriff auf Nutzerinhalte und den Aktivitätsverlauf für Dienste von Google Workspace. Sie können sich in den Audit-Logs z. B. die Aktivitäten in Gmail und Google Chat ansehen. Als Super Admin können Sie die Sicherheit und den Datenschutz Ihrer Nutzer erhöhen, indem Sie Administratoren nur mit den Berechtigungen ausstatten, die sie üblicherweise brauchen.
Sie haben z. B. die Möglichkeit, nur bestimmten Administratoren in Ihrer Organisation den Zugriff auf Berichte und Audit-Logs, das Prüftool, das Sicherheitsdashboard und das Meet-Qualitätstool zu erlauben. Wie Sie Berechtigungen für diese Dienste aktivieren oder deaktivieren, erfahren Sie in den folgenden Abschnitten.
Best Practices für die Sicherheit von Administratorkonten
Super Admins sollten für alltägliche Aufgaben ein separates Nutzerkonto verwenden. Das Super Admin-Konto sollte nur für spezielle Aufgaben eingesetzt werden, die nur von Super Admins durchgeführt werden können. Sie müssen außerdem die Bestätigung in zwei Schritten – vorzugsweise mit Sicherheitsschlüsseln – verwenden. Das ist besonders wichtig, da ihre Konten Zugriff auf alle Geschäfts- und Mitarbeiterdaten in der Organisation bieten.
Weitere Informationen finden Sie im Hilfeartikel Best Practices für die Sicherheit von Administratorkonten.
Administratorrollen und -berechtigungen
Sie können in der Google Admin-Konsole Administratorberechtigungen für bestimmte Nutzer aktivieren. Dafür weisen Sie ihnen Administratorrollen zu. Dabei haben Sie die Wahl zwischen vordefinierten oder benutzerdefinierten Administratorrollen. Administratorberechtigungen lassen sich natürlich auch deaktivieren. Dafür heben Sie die Zuweisung von Nutzern zu Administratorrollen auf.
Zur Aufrechterhaltung von Sicherheit und Datenschutz Ihrer Nutzer überprüfen Sie die Administratorberechtigungen in Ihrer Organisation für Berichte, das Sicherheitsdashboard, das Sicherheits-Prüftool und das Meet-Qualitätstool. Weitere Informationen finden Sie in den Abschnitten unten.
Berechtigung für BerichteWenn Sie die Berechtigung für Berichte aktivieren oder deaktivieren möchten, gehen Sie zur Admin-Konsole. Klicken Sie auf Admin-Rollen, in der linken Spalte auf eine der Rollen und dann auf Berechtigungen. Die Berechtigung für Berichte befindet sich unter Berichte.
Als Administrator mit der Berechtigung für Berichte lassen sich verschiedene Aufgaben ausführen. Sie können anhand der Berichte mögliche Sicherheitsrisiken untersuchen und herausfinden, wer sich anmeldet und wann. Sie erfahren, wie Nutzer Inhalte erstellen und freigeben, und können Nutzeraktivitäten wie Dokumentbearbeitungen sowie Änderungen anderer Administratoren verfolgen.
Die Berechtigung für Berichte bietet auch Zugriff auf Audit-Logs für Gmail, Chat, Meet und Voice sowie die Audit-Logs für die meisten anderen Dienste. Administratoren können sich Informationen zu den Teilnehmern sowie Details, wie den Besprechungsnamen und den E-Mail-Betreff, sowie Datensätze zu jeder Nachricht oder jedem Anruf ansehen.
Wenn Sie die Berechtigung für das Sicherheitsdashboard aktivieren oder deaktivieren möchten, gehen Sie zur Admin-Konsole. Klicken Sie auf Admin-Rollen, in der linken Spalte auf eine der Rollen und dann auf Berechtigungen. Die Berechtigung für das Sicherheitsdashboard (Dashboards) befindet sich unter Dienste > Sicherheitscenter.
Das Sicherheitsdashboard enthält mehrere Berichte mit zusammengefassten Informationen, die aus Nachrichteninhalten abgeleitet sind, z. B. die Anzahl der E-Mails, die Nutzer als Spam klassifiziert haben. Weitere Informationen finden Sie im Hilfeartikel Sicherheitsdashboard verwenden.
Super Admins haben automatisch Zugriff auf das Sicherheitsdashboard und können Berechtigungen für delegierte Administratoren aktivieren oder deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Administratorberechtigungen für Funktionen des Sicherheitscenters.
Wenn Sie die Berechtigung für das Sicherheits-Prüftool aktivieren oder deaktivieren möchten, gehen Sie zur Admin-Konsole. Klicken Sie auf Admin-Rollen, in der linken Spalte auf eine der Rollen und dann auf Berechtigungen. Die Berechtigung für das Sicherheits-Prüftool befindet sich unter Dienste > Sicherheitscenter. Wenn Sie Berechtigungen für das Prüftool zuweisen, können Sie Administratoren verschiedene Berechtigungen gewähren, die zu ihrer Rolle und ihren Aufgaben passen.
Mit dem Sicherheits-Prüftool können Administratoren Suchanfragen ausführen und sich Ergebnisse mit potenziell sensiblen Inhalten ansehen, z. B. den Betreff einer E-Mail oder den Titel eines Dokuments. Administratoren können sich Header von Gmail-Nachrichten ansehen und Inhalte im Prüftool aktualisieren oder löschen. Sie sehen auch Inhalte von Gmail-Nachrichten – so lassen sich etwaige Risiken einschätzen, die mit einer Nachricht verbunden sind.
Super Admins haben automatisch Zugriff auf das Sicherheits-Prüftool und können Berechtigungen für delegierte Administratoren aktivieren oder deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Administratorberechtigungen für Funktionen des Sicherheitscenters.
Wenn Sie die Berechtigung für das Meet-Qualitätstool aktivieren oder deaktivieren möchten, gehen Sie zur Admin-Konsole. Klicken Sie auf Admin-Rollen, in der linken Spalte auf eine der Rollen und dann auf Berechtigungen. Die Berechtigung für das Meet-Qualitätstool befindet sich unter Dienste > Google Meet > Einstellungen zum Verwalten von Meet > Administratorzugriff auf das Qualitätsdashboard.
Im Meet-Qualitätstool werden Daten zur Qualität für alle Videokonferenzen erfasst, z. B. die Besprechungs-ID, die Dauer und die Anzahl der Teilnehmer. Weitere Informationen zu den Administratorberechtigungen für das Meet-Qualitätstool finden Sie im Hilfeartikel Qualität von Videokonferenzen und Statistiken im Blick behalten.
Berechtigungen aktivieren, indem eine Administratorrolle zugewiesen wird
So weisen Sie eine Administratorrolle zu:
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ KontoAdministratorrollen.
- Klicken Sie links auf die Rolle, die Sie zuweisen möchten.
- Klicken Sie auf Administratoren.
- Klicken Sie auf Nutzer zuweisen.
- Wählen Sie bis zu 20 Nutzer aus.
- Klicken Sie auf Rolle zuweisen.
Berechtigungen deaktivieren, indem eine Administratorrolle entzogen wird
So heben Sie die Zuweisung einer Administratorrolle auf:
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ KontoAdministratorrollen.
- Klicken Sie links auf eine der benutzerdefinierten Rollen in der Liste.
- Klicken Sie auf Administratoren.
- Klicken Sie das Kästchen neben den Administratoren an, für die Sie die Zuweisung aufheben möchten.
- Klicken Sie auf Rollenzuweisung aufheben.
- Klicken Sie zur Bestätigung noch einmal auf Rollenzuweisung aufheben.
Berechtigungen hinzufügen oder entfernen, indem eine benutzerdefinierte Administratorrolle aktualisiert wird
Sie können bestimmte Administratorberechtigungen für mehrere Nutzer hinzufügen oder entfernen, indem Sie eine benutzerdefinierte Administratorrolle aktualisieren. Wenn Sie beispielsweise nicht möchten, dass einer Gruppe von Nutzern die Berechtigung für Berichte gewährt wird, können Sie diese Berechtigung aus einer benutzerdefinierten Rolle entfernen, die Sie diesen Nutzern zugewiesen haben.
So fügen Sie einer benutzerdefinierten Administratorrolle Berechtigungen hinzu oder entfernen sie:
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ KontoAdministratorrollen.
- Klicken Sie links auf eine der benutzerdefinierten Rollen in der Liste.
- Klicken Sie auf Berechtigungen.
- Klicken Sie auf die Kästchen neben den Berechtigungen, die Sie für die Administratorrolle hinzufügen möchten, bzw. entfernen Sie das Häkchen entsprechend.
- Klicken Sie auf Speichern.
Wenn Sie beispielsweise die Berechtigung für Berichte deaktivieren möchten, entfernen Sie das Häkchen bei Berichte. Um die Berechtigungen für das Sicherheitsdashboard zu deaktivieren, gehen Sie zum Abschnitt Sicherheitscenter und entfernen Sie das Häkchen neben Dashboards.
Berechtigungen durch Löschen einer benutzerdefinierten Administratorrolle deaktivieren
Zum Löschen einer benutzerdefinierten Administratorrolle dürfen Sie weder der Rolle zugewiesen sein noch sich selbst entfernen. Bitten Sie gegebenenfalls einen anderen Super Admin, Sie aus der Rolle zu entfernen.
So deaktivieren Sie Berechtigungen für delegierte Administratoren, indem Sie eine benutzerdefinierte Administratorrolle löschen:
-
Melden Sie sich in der Google Admin-Konsole an.
Verwenden Sie zur Anmeldung ein Konto mit Super Admin-Berechtigungen (endet nicht auf @gmail.com).
- Gehen Sie in der Admin-Konsole zu „Menü“ KontoAdministratorrollen.
- Klicken Sie auf die benutzerdefinierte Rolle, die Sie löschen möchten.
- Klicken Sie auf Rolle löschen.
- Klicken Sie zur Bestätigung noch einmal auf Rolle löschen.
Weitere Informationen und Anleitungen finden Sie im Hilfeartikel Benutzerdefinierte Administratorrollen erstellen, bearbeiten und löschen.
Weitere Informationen
Allgemeine Informationen und Anleitungen zu Administratorrollen und ‑berechtigungen finden Sie in diesen Hilfeartikeln: