Wenn Sie in der Admin-Konsole eine Administratorrolle zuweisen, gewähren Sie einem Nutzer Zugriff auf die Admin-Konsole und Administratorberechtigungen.
Die Berechtigungen der Rolle bestimmen, welche Steuerelemente in der Admin-Konsole angezeigt werden, auf welche Informationen Administratoren zugreifen und welche Aufgaben sie ausführen können. Administratoren können die entsprechenden Aktionen auch über die Admin API durchführen.
Administratorrollen zuweisen Benutzerdefinierte Administratorrollen erstellen
Administratorberechtigungen
* Hinweis: Einige Berechtigungen sind nur für bestimmte Google Workspace-Versionen, Hardware oder Nutzerlizenzen verfügbar.
| Berechtigungen für Administratoreinstellungen | Berechtigungen für Dienste | |
|---|---|---|
|
|
Berechtigungen für Einstellungen
Abschnitt öffnen | Alle minimieren
Wenn Administratoren in der Admin-Konsole Berechtigungen gewährt werden, erhalten sie die entsprechenden Rechte auch für die API. Erteilen Sie beispielsweise die Berechtigung „Nutzer erstellen“ in der Admin-Konsole, können Administratoren Nutzer auch mithilfe der API erstellen. Wenn Sie die Berechtigungen für die Admin API aktualisieren, werden auch die entsprechenden Berechtigungen in der Admin-Konsole angepasst.
Um Berechtigungen in der Admin-Konsole zu gewähren, ohne dass Administratoren Aktionen auch in einer API ausführen können, deaktivieren Sie den API-Zugriff für Ihr Konto. Weitere Informationen erhalten Sie unter Zugriff auf Google-Dienste verwalten: eingeschränkt oder uneingeschränkt.
Mit der Berechtigung Admin API kann die Google Workspace Admin API Aktionen in folgenden Bereichen ausführen:
- Organisationseinheiten: Administratoren können alle Aktionen ausführen, die von der Berechtigung „Organisationseinheiten“ der Admin-Konsole gewährt werden.
Mit der API-Berechtigung werden diese Aktionen über die Directory API ausgeführt.
- Nutzer: Administratoren können alle Aktionen ausführen, die von der Berechtigung „Nutzer“ der Admin-Konsole gewährt werden.
Mit der API-Berechtigung werden diese Aktionen über die Directory API ausgeführt.
- Gruppen: Administratoren können alle Aktionen ausführen, die von der Berechtigung „Gruppen“ der Admin-Konsole gewährt werden.
Mit der API-Berechtigung werden diese Aktionen über folgende Elemente ausgeführt:
- Verwaltung der Nutzersicherheit: Administratoren können alle Aktionen ausführen, die von der Berechtigung „Verwaltung der Nutzersicherheit“ der Admin-Konsole gewährt werden.
Mit der API-Berechtigung werden diese Aktionen über folgende Elemente ausgeführt:
- Datenübertragung: Super Admins oder Dienstadministratoren können die Eigentümerschaft an Drive-Dateien von Nutzern über die Admin-Konsole ändern. Administratoren benötigen außerdem die Berechtigung „Drive-Dienst“, damit sie in der Admin-Konsole Zugriff auf die Einstellung „Eigentümer ändern“ haben. Keine dieser Aktionen lässt sich auf bestimmte Organisationseinheiten beschränken.
Hinweis: Nur Super Admins können die Dateieigentümerschaft beim Löschen eines Nutzers übertragen. - Schemaverwaltung: Ermöglicht Super Admins oder Dienstadministratoren, Schemas zu erstellen, um benutzerdefinierte Felder für die Domain festzulegen, z. B. für Nutzerprojekte, Standorte oder Einstellungsdaten.
- Lizenzverwaltung: Super Admins und Administratoren mit der Rolle „Lizenzverwaltung“ können Google Workspace-Lizenzen für die Organisation, eine Organisationseinheit, eine Gruppe von Nutzern oder einen individuellen Nutzer zuweisen und verwalten.
- Abrechnungsverwaltung: Administratoren können Aufgaben wie die Einrichtung eines Rechnungskontos oder die Änderung einer Zahlungsmethode ausführen. Diese Berechtigung gilt nur in der Admin-Konsole.
- Domainverwaltung: Administratoren können Domains hinzufügen oder entfernen und Domain-Aliasse einrichten.
- Domain-Zulassungsliste verwalten: Administratoren können die Zulassungsliste erstellen und damit vertrauenswürdige Domains festlegen, die Dateien für Ihre Organisation freigeben dürfen.
- Lesezugriff auf die Domain-Zulassungsliste: Administratoren können sich die Zulassungsliste vertrauenswürdiger Domains ansehen, die Dateien für Ihre Organisation freigeben dürfen.
- Gesperrtes Label für Gruppenressourcen verwalten: Administratoren können Gruppen sperren und entsperren. Super Admins und Group Admins haben diese Berechtigung standardmäßig.
- Einer Gruppe ein Sicherheitslabel hinzufügen: Administratoren können Gruppen definieren, mit denen der Zugriff auf vertrauliche Informationen und Ressourcen gesteuert wird. Weitere Informationen dazu finden Sie unter Eine Google Groups-Gruppe auf eine Sicherheitsgruppe aktualisieren.
Wenn Sie eine benutzerdefinierte Rolle erstellen, klicken Sie auf das Kästchen neben der Berechtigung, damit die API verwendet werden darf, um alle Aktionen für dieses Objekt auszuführen. Um nur bestimmte Aktionen zuzulassen, wählen Sie beispielsweise gezielt Erstellen oder Lesen aus.
- Name, Sprache, Logo und Zeitzone der Organisation ändern.
- Das Google Workspace- oder Cloud Identity-Konto löschen.
- Die Abrechnung für Ihr Google Workspace- oder Cloud Identity-Konto aufrufen.
- Domains und Domain-Aliasse hinzufügen und entfernen.
- Einer Website in Google Sites eine benutzerdefinierte URL zuweisen.
- Die Funktionsveröffentlichung verwalten.
- Auswählen, welche Arten von E-Mails Sie von Google erhalten möchten. Weitere Informationen finden Sie im Hilfeartikel Kommunikationseinstellungen für Google Workspace festlegen.
Diese Aktionen lassen sich nicht auf bestimmte Organisationseinheiten beschränken.
Administratoren mit der Berechtigung Gruppen haben die vollständige Kontrolle über Gruppen, die in Ihrer Admin-Konsole erstellt werden. Damit werden außerdem die entsprechenden Admin API-Berechtigungen (siehe oben) gewährt.
Sie haben die folgenden Möglichkeiten:
- Nutzerprofile und die Organisationsstruktur abrufen.
- Gruppen in der Admin-Konsole erstellen, verwalten und löschen.
- Einstellungen für den Gruppenzugriff verwalten.
- Dienste für Zugriffsgruppen aktivieren (erfordert Berechtigungen für Organisationseinheiten und Dienste). Weitere Informationen finden Sie im Hilfeartikel Diensteinstellungen mit Konfigurationsgruppen anpassen.
Diese Aktionen können nicht auf bestimmte Organisationseinheiten beschränkt werden.
Tipp: Wenn Sie möchten, dass ein Administrator die Gruppen eines Nutzers zwar aufrufen, aber nicht bearbeiten darf, müssen Sie ihm die API-Berechtigung Gruppen Lesen erteilen.
Administratoren mit dieser Berechtigung können die Organisationsstruktur Ihres Kontos über die Seite Nutzer der Admin-Konsole verwalten. Damit werden außerdem die entsprechenden Admin API-Berechtigungen (siehe oben) gewährt.
Berechtigungen für Organisationseinheiten:
- Lesen
- Erstellen
- Aktualisieren
- Löschen
Mit den Berechtigungen Erstellen, Aktualisieren oder Löschen hat ein Nutzer automatisch auch die Berechtigung Lesen.
Außerdem lässt sich festlegen, ob der Administrator diese Aktionen für alle Nutzer im Konto oder nur für Nutzer in bestimmten Organisationseinheiten durchführen darf. Weitere Informationen finden Sie im Hilfeartikel Bestimmte Administratorrollen zuweisen.
Administratoren haben Zugriff auf Nutzungsberichte und Audit-Logs. Weitere Informationen finden Sie im Hilfeartikel Berichterstellung.
Administratoren mit der Berechtigung Berichte können:
- Diagramme zur Dienstnutzung aufrufen.
- Nutzeraktivitäten (z. B. Bearbeitung von Dokumenten) erfassen.
- Änderungen von anderen Administratoren in der Admin-Konsole erfassen.
Diese Aktionen lassen sich nicht auf bestimmte Organisationseinheiten beschränken.
Verwaltung der Nutzersicherheit
Hinweis: Nur Super Admins können sich die Sicherheitseinstellungen eines anderen Administrators ansehen.
Administratoren können die Sicherheitseinstellungen für einzelne Nutzer verwalten. Die Verwaltung funktioniert nur für Nutzer, die selbst keine Administratorberechtigungen haben. Damit werden außerdem die entsprechenden Admin API-Berechtigungen (siehe oben) gewährt.
Auf der Seite Nutzer einer Person können Administratoren mit der Berechtigung Verwaltung der Nutzersicherheit Folgendes tun:
- Die Bestätigung in zwei Schritten deaktivieren. Nur Super Admins können die Bestätigung in zwei Schritten für die gesamte Organisation erzwingen.
- Die Identitätsbestätigung für zehn Minuten deaktivieren. Nur Super Admins können die Bestätigung bei der Anmeldung deaktivieren.
- Sicherheitsschlüssel prüfen und widerrufen.
- App-Passwörter prüfen und widerrufen.
- Anmeldecookies zurücksetzen (nicht für Reseller-Administratoren).
- Vom Nutzer für Drittanbieter-Apps gewährte Tokens zum dreibeinigen OAuth prüfen und widerrufen.
Mit Ausnahme der Aktivierung oder Deaktivierung der Bestätigung in zwei Schritten lässt sich jede der oben genannten Aktionen auf bestimmte Organisationseinheiten beschränken.
Sicherheitseinstellungen
- Kontozugriff durch weniger sichere Apps erlauben.
- Nutzerpasswörter im Blick behalten.
- Die Einmalanmeldung (SSO) und die Authentifizierung einrichten.
Die einzige Aktion, die auf bestimmte Organisationseinheiten beschränkt werden kann, ist, den Kontozugriff durch weniger sichere Apps zu erlauben.
Administratoren mit der Berechtigung Support können per Telefon, Chat und E-Mail den Google Workspace-Support kontaktieren. Außerdem können sie Anfragen im Google Customer Care-Portal einreichen.
Die Kontaktaufnahme mit dem Google Workspace-Support kann nicht auf bestimmte Organisationseinheiten beschränkt werden.
Administratoren mit der Berechtigung Nutzer können Aktionen für Nutzer ausführen. Nur Super Admins können die Einstellungen eines anderen Administrators ändern. Damit werden außerdem die entsprechenden Admin API-Berechtigungen (siehe oben) gewährt.
- Erstellen
- Lesen
- Aktualisierung: Ermöglicht das Ändern von Nutzerkonten, einschließlich Archivieren, Dearchivieren und Wiederherstellen von Daten. Außerdem enthält es die folgenden Berechtigungen, die einzeln delegiert werden können.
- Nutzer verschieben
Hinweis: Nur Super Admins können das Übertragungstool verwenden, um nicht verwaltete Nutzerkonten in verwaltete Google Workspace-Nutzerkonten zu übertragen. - Nutzer sperren
- Nutzer umbenennen
- Passwort zurücksetzen
- Passwortänderung erzwingen
- Aliasse hinzufügen/entfernen
- Nutzer verschieben
- Löschen
Mit der Berechtigung Erstellen hat ein Nutzer automatisch auch die Berechtigungen Lesen und Aktualisieren. Mit den Berechtigungen Aktualisieren oder Löschen hat ein Nutzer automatisch auch die Berechtigung Lesen.
Sie können zulassen, dass Administratoren Aktionen für alle Nutzer in Ihrem Konto oder nur für Nutzer in bestimmten Organisationseinheiten ausführen. Weitere Informationen finden Sie im Hilfeartikel Einen Nutzer zum Administrator machen.
Tipp: Wenn Sie möchten, dass ein Administrator die Gruppen eines Nutzers zwar aufrufen, aber nicht bearbeiten darf, erteilen Sie ihm die API-Berechtigung Gruppen Lesen.
Berechtigungen für Dienste
Abschnitt öffnen | Alle minimieren
Mit der Berechtigung Diensteinstellungen werden für einige Dienste und Einstellungen, z. B. für Speicherorte für Daten, Datensicherheit, Google Vault und Sicherheitscenter, nicht automatisch Berechtigungen gewährt.
Administratoren mit der Berechtigung Diensteinstellungen können Dienste aktivieren oder deaktivieren und Diensteinstellungen ändern. Das gilt für bestimmte Produkte, die Sie Ihrem Konto hinzugefügt haben (Google Workspace-Dienste wie Kalender und Drive), Marketplace-Apps und kostenlose Google-Dienste wie YouTube und Blogger.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Eine Beschreibung der Berechtigungen und Empfehlungen zum Erstellen von Rollen finden Sie im Hilfeartikel Zugriff auf die Benachrichtigungszentrale gewähren.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit der Berechtigung Kalender können Ressourcen erstellen, bearbeiten und löschen. Die Freigabeeinstellungen von Google Kalender-Ressourcen können sie nicht ändern.
Verwaltungsrechte für Kalender:
- Alle Einstellungen: Administratoren haben die Möglichkeit, Freigabeeinstellungen, Ressourcen, das Dashboard für Raumstatistiken und allgemeine Einstellungen aufzurufen und zu verwalten.
- Gebäude und Ressourcen: Administratoren können Kalenderressourcen erstellen, bearbeiten und löschen sowie auf das Dashboard für Raumstatistiken zugreifen.
- Ressourcen verwalten: Administratoren können Kalenderressourcen, Gebäude und Ressourcenfunktionen erstellen, bearbeiten und löschen.
- Ressourcen ansehen: Administratoren können Ressourcen aufrufen, aber nicht bearbeiten.
- Raumstatistiken: Administratoren dürfen über das Dashboard für Raumstatistiken Informationen aufrufen, Filter setzen und Zeiträume anpassen.
- Einstellungen ansehen: Administratoren können die Kalendereinstellungen nur ansehen, aber nicht bearbeiten.
- Kalender verwalten: Administratoren können auf alle Nutzer- und Ressourcenkalender zugreifen, sie bearbeiten und verwalten.
Hinweis: Administratoren können diese Aktionen nicht auf bestimmte Organisationseinheiten beschränken.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren können die Chrome-Geräte und -Richtlinien Ihrer Organisation verwalten, einschließlich:
- Nutzereinstellungen
- Geräteeinstellungen
- Apps und Erweiterungen für Chrome und den Managed Play Store auf Chrome-Geräten
Weitere Informationen finden Sie im Hilfeartikel Administratorrollen in Google Chrome delegieren.
Administratoren mit der Berechtigung Google Classroom können diesen Dienst für Nutzer aktivieren oder deaktivieren. Außerdem haben sie folgende Möglichkeiten:
- Berechtigungen für Lehrkräfte und Zugriff für Erziehungsberechtigte festlegen
- Wählen Sie aus, wer an welchen Kursen teilnehmen darf.
- Legen Sie fest, wie Nutzer auf ihre Classroom-Daten zugreifen können.
- Exportieren Sie Noten und Aufgaben auf Google Classroom in das Informationssystem Ihrer Bildungseinrichtung.
Kurse verwalten: Super Admins können Nutzern vorübergehenden Zugriff auf Kurse zuweisen. Sie haben die Möglichkeit, den Kurszugriff auf bestimmte Organisationseinheiten zu beschränken.
Analysedaten für Nutzer und deren Kurse abrufen: Super Admins können Nutzern Zugriff auf Classroom-Analysen auf Organisationsebene gewähren. Sie haben die Möglichkeit, den Zugriff auf bestimmte Organisationseinheiten zu beschränken.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit der Berechtigung Cloud Search können:
- Nutzern Zugriff auf Google Cloud Search gewähren.
- Den Dienst aktivieren oder deaktivieren.
- Berichte zur Nutzung von Cloud Search durch die Organisation abrufen, einschließlich der Anzahl der Suchanfragen über verschiedene Gerätetypen und der Anzahl aktiver Nutzer.
- Einstellungen für Drittanbieter-Repositories verwalten, z. B. Einstellungen für Datenquellen, Identitätsquellen und Suchanwendungen. Administratoren haben auch Lese- oder Schreibzugriff auf die Indexierung.
Weitere Informationen zum Erstellen einer Cloud Search-Administratorrolle für Entwickler
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Bevollmächtigte sind Nutzer, die berechtigt sind, auf die Kontakte eines anderen Nutzers zuzugreifen und sie zu verwalten. Administratoren mit der Berechtigung Kontakte können die Bevollmächtigten für einen bestimmten Nutzer mithilfe der Contact Delegation API aufrufen, erstellen oder löschen:
- Lesezugriff auf Bevollmächtigte: Administratoren können die API verwenden, um die Bevollmächtigten für einen bestimmten Nutzer aufzulisten. Entspricht dem OAuth-Bereich https://www.googleapis.com/auth/admin.contact.delegation.readonly.
- Schreibzugriff auf Bevollmächtigte: Administratoren können die API verwenden, um Bevollmächtigte für einen bestimmten Nutzer zu erstellen oder zu löschen. Entspricht dem OAuth-Bereich https://www.googleapis.com/auth/admin.contact.delegation.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit der Berechtigung Klassifizierungslabels verwalten können Labels für Drive-Dateien und Gmail-Nachrichten erstellen und alle Labels aufrufen. Außerdem können sie sehen, ob ein Label von einer Google Vault-Aufbewahrungsregel, einer Regel zur Datenklassifizierung oder einer Regel zum Schutz vor Datenverlust (Data Loss Prevention, DLP) verwendet wird. Die Aufbewahrungsregel oder die DLP-Regel wird allerdings nur angezeigt, wenn sie die entsprechenden Berechtigungen haben. Weitere Informationen: Erste Schritte als Administrator von Klassifizierungslabels
Nur die Berechtigung DLP-Regel ansehen wird automatisch mit der Berechtigung Diensteinstellungen ausgewählt.
Berechtigungen für den Schutz vor Datenverlust (DLP):
- DLP-Regel ansehen: Administratoren können DLP-Regeln ansehen, aber nicht ändern oder erstellen.
- DLP-Regel verwalten: Administratoren können DLP-Regeln ansehen, ändern und erstellen.
Sie müssen beide Berechtigungen aktivieren, um vollständigen Zugriff auf das Erstellen und Bearbeiten von Regeln zu haben. Wir empfehlen, eine benutzerdefinierte Rolle mit beiden Berechtigungen zu erstellen.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Berechtigungen für Speicherorte:
- Einstellungen für Speicherorte: Administratoren können Daten, die einer Richtlinie für Speicherorte unterliegen, mithilfe einer solchen Richtlinie an einem bestimmten geografischen Standort speichern. Weitere Informationen finden Sie im Hilfeartikel Speicherorte für Daten: Standort für Ihre Daten auswählen.
- Berichterstellung für Speicherorte: Administratoren können den Fortschritt sehen, wenn Daten von einer Region in eine andere verschoben werden. Weitere Informationen finden Sie unter Fortschritt der Datenverschiebung an einen Speicherort ansehen.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung haben die Möglichkeit, die Richtlinien für den kontextsensitiven Zugriff der Organisation zu verwalten. Administratoren können festlegen, unter welchen Bedingungen ein Nutzer auf welche Apps zugreifen kann, z. B. abhängig von seinem Standort oder davon, ob sein Gerät den Richtlinien Ihrer Organisation entspricht.
Verwaltungsberechtigungen für die Datensicherheit:
- Zugriffsebenenverwaltung: Administratoren können Zugriffsebenen erstellen.
- Regelverwaltung: Administratoren dürfen den kontextsensitiven Zugriff aktivieren oder deaktivieren und Apps Zugriffsebenen zuweisen.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren haben die Möglichkeit, Einstellungen zu verwalten und festzulegen, was Nutzer in ihren Verzeichnisprofilen ändern dürfen, z. B. Name, Bild, Angabe zum Geschlecht und Geburtsdatum.
Directory Sync-Berechtigungen:
- Einstellungen für Directory Sync verwalten: Hier können Sie Einstellungen für Directory Sync hinzufügen, aktualisieren und verwalten.
- Directory Sync-Einstellungen lesen: Sie können Directory Sync-Einstellungen ansehen, aber nicht ändern.
Weitere Informationen finden Sie in den folgenden Hilfeartikeln: Directory Sync
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Verwaltungsrechte für Google Drive und Google Docs:
- Einstellungen: Administratoren können alle Einstellungen für die Drive- und Docs-Dienste Ihrer Organisation verwalten. Zusätzlich ist auch die Berechtigung „Datenübertragung“ erforderlich, um Drive-Dateien auf einen neuen Eigentümer zu übertragen. Weitere Informationen finden Sie im Hilfeartikel Drive-Dateien auf einen neuen Eigentümer übertragen.
- Google Docs-Vorlagen: Administratoren mit dieser Berechtigung können Vorlagen aus den Vorlagengalerien in Google Docs, Google Sheets, Google Präsentationen und Google Formulare sowie im Bereich Google Drive und Google Docs der Admin-Konsole entfernen und neu kategorisieren. Wenn für die Vorlagenübermittlung in der Admin-Konsole die Einstellung Moderiert ausgewählt wurde, entscheiden Administratoren mit dieser Berechtigung darüber, ob eingereichte Vorlagen abgelehnt oder angenommen werden. Ist für die Übermittlung Eingeschränkt festgelegt, dürfen Administratoren mit dieser Berechtigung der Galerie Vorlagen hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Benutzerdefinierte Drive-Vorlagen für Nutzer aktivieren oder deaktivieren.
- Dateien und Ordner in geteilte Ablagen verschieben: Administratoren können Dateien und Ordner in Ihrer Organisation in geteilte Ablagen verschieben. Administratoren können Dateien und Ordner jedoch nicht von einer geteilten Ablage in eine andere verschieben. Weitere Informationen zu den Zugriffsebenen für geteilte Ablagen
- Labels verwalten: Die Berechtigung Klassifizierungslabels verwalten wurde verworfen und ersetzt.
- Details zu neuen Google Sites-Websites ansehen: Ermöglicht es Administratoren, den Eigentümer einer Website zu identifizieren und das Datum zu sehen, an dem die Website zuletzt veröffentlicht wurde. Außerdem können sie Bearbeitungszugriff für die Website anfordern.
- Websites im klassischen Google Sites verwalten: Mit dem Manager für das klassische Google Sites können Administratoren die klassischen Google Sites-Websites Ihrer Organisation ansehen, verwalten und migrieren. Weitere Informationen
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
As an admin, you can control who uses the Gemini app in your organization. Admins with this privilege can also turn the Gemini app on or off.
Nur die Berechtigung Einstellungen wird automatisch mit der Berechtigung Diensteinstellungen ausgewählt.
Verwaltungsberechtigungen für Gmail:
- Einstellungen: Mit dieser Berechtigung können Administratoren alle Gmail-Einstellungen der Organisation verwalten.
- In E-Mail-Protokollen suchen: Mit dieser Berechtigung können sich Administratoren das Protokoll ansehen, Probleme bei der Zustellung beheben und mit E-Mails verbundene Sicherheitsprobleme untersuchen.
- Administratorquarantäne aufrufen: Administratoren mit dieser Berechtigung dürfen auf die E-Mails in allen Quarantänen einschließlich der Standardquarantäne zugreifen und sie verwalten.
- Zugriff auf eingeschränkte Quarantänen: Administratoren mit dieser Berechtigung dürfen nur auf E-Mails in Quarantänen zugreifen, die zur selben Gruppe gehören wie der Administrator.
- Einstellungen für Google Chat lesen und ändern, z. B. Unterhaltungen speichern sowie Unterhaltungen mit Personen außerhalb Ihrer Organisation zulassen.
- Unterhaltungen in Google Chat und Gruppenbereichen verwalten: Sie können Gruppenbereiche und Mitglieder von Gruppenbereichen verwalten.
- Bericht zu Chat-Inhalten moderieren: Sie können Chat-Berichte prüfen und Maßnahmen ergreifen.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung können Google Cloud Print-Dienste für ihre Organisation einrichten und verwalten, einschließlich des Druckens aus folgenden Quellen:
- Chrome-Geräte und Chrome-Browser auf Windows-, Mac- und Linux-Computern
- Der mobilen Version von Google Workspace-Diensten wie Gmail
- Native mobile Apps von Drittanbietern
Weitere Informationen finden Sie im Hilfeartikel Drucken über Chrome.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können:
- Einstellungen verwalten.
- Auf das Qualitätsdashboard für Google Meet zugreifen. Weitere Informationen
Diese Berechtigung ist nur verfügbar, wenn Ihr Konto über mindestens eine Lizenz für Google Meet-Hardware oder ein registriertes Gerät verfügt.
Administratoren können Nutzerrollen erstellen und Berechtigungen zuweisen, um das Ansehen und Verwalten von Google Meet-Hardwaregeräten mit unterschiedlichen Zugriffsrechten für Daten und Funktionen zu ermöglichen. Wenn Sie Zugriff auf eine übergeordnete Berechtigung gewähren, gewähren Sie auch Zugriff auf alle darunter verschachtelten untergeordneten Berechtigungen in der Baumansicht.
Berechtigungshierarchie
- Google Meet-Hardware und ‑Kalender verwalten
- Google Meet-Hardware verwalten
- Geräte verwalten
- Geräte ansehen
- Einstellungen für Organisationseinheiten verwalten
- Einstellungen für Organisationseinheiten ansehen
- Aktionen durchführen
- Gerätebefehle ausführen
- Videokonferenzen auf dem Gerät verwalten
- Bereitstellung von Google Meet-Hardware aufheben
- Geräte verwalten
- Kalenderzuweisung verwalten
- Google Meet-Hardware verwalten
- Google Meet-Hardware registrieren
Detaillierte Beschreibungen
- Google Meet-Hardware und -Kalender verwalten: Administratoren haben uneingeschränkten Zugriff auf alle verfügbaren Daten und Funktionen der Meet-Hardware, außer der Option „Google Meet-Hardware registrieren“. Administratoren können auf alle Nutzer- und Ressourcenkalender zugreifen und sie aufrufen.
Einschränkung: Wenn Sie diese Berechtigung über eine Gruppenrollenzuweisung zuweisen, erhalten Gruppenmitglieder in einigen Fällen möglicherweise nicht alle Berechtigungen der zugewiesenen Rolle. Weitere Informationen finden Sie im Hilfeartikel Gruppen eine Rolle zuweisen. - Google Meet-Hardware verwalten: Administratoren können auf alle verfügbaren Daten und Funktionen der Meet-Hardware zugreifen, mit Ausnahme der Option „Google Meet-Hardware registrieren“ und „Kalenderzuweisung verwalten“.
- Geräte verwalten: Administratoren können alle Geräteeinstellungen außer der Kalenderzuweisung ändern; gewährt auch die Berechtigung „Geräte ansehen“.
- Geräte ansehen: Administratoren erhalten Lesezugriff auf Gerätedaten, einschließlich Problemverlauf und Exportfunktion für Bestandsdaten. Erforderlich, um auf Seiten für Funktionen in vielen anderen Berechtigungen zuzugreifen, darunter „Kalenderzuweisung verwalten“, „Aktionen ausführen“ und die entsprechenden untergeordneten Berechtigungen sowie „Bereitstellung von Google Meet-Hardware aufheben“.
- Einstellungen für Organisationseinheiten verwalten: Administratoren können die Einstellungen der Google Meet-Hardware bearbeiten, die auf der Ebene der Organisationseinheit gesteuert werden, und Geräte zwischen Organisationseinheiten verschieben.
- Einstellungen für Organisationseinheiten aufrufen: Administratoren können Google Meet-Hardwareeinstellungen aufrufen, die auf Ebene der Organisationseinheit gesteuert werden.
- Aktionen ausführen: Administratoren können sämtliche Aktionen in den beiden untergeordneten Berechtigungen ausführen: Videokonferenzen auf dem Gerät verwalten und Gerätebefehle ausführen.
- Videokonferenzen auf dem Gerät verwalten: Administratoren können aus der Ferne eine Verbindung zu einer Videokonferenz herstellen und einen aktiven Anruf stummschalten oder beenden.
- Gerätebefehle ausführen: Administratoren können ein Gerät neu starten oder einen Diagnosetest auslösen.
- Bereitstellung von Google Meet-Hardware aufheben: Administratoren können die Registrierung von Geräten aufheben, wodurch ihre Daten gelöscht und die Lizenzen wiederhergestellt werden.
- Kalenderzuweisung verwalten: Administratoren können einem Gerät einen persönlichen oder einen Raumkalender zuweisen.
- Google Meet-Hardware registrieren – Funktioniert in Verbindung mit der Richtlinie „Berechtigung zum Registrieren erfordern“. Wenn die Richtlinie aktiviert ist, können nur Nutzer mit dieser Berechtigung neue Meet-Hardwaregeräte in der Organisation registrieren. Weitere Informationen finden Sie im Hilfeartikel Gerät registrieren.
Hinweis: Administratoren können diese Berechtigungen derzeit nicht auf Geräte in bestimmten Organisationseinheiten beschränken.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren können sich alle Rechtsangelegenheiten, Holds, Suchanfragen, Exporte, Aufbewahrungsrichtlinien und Audits ansehen und sie verwalten. Weitere Informationen finden Sie im Hilfeartikel Vault-Berechtigungen einrichten.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können festlegen, welche Drittanbieter- oder internen Apps Nutzer über den Marketplace installieren dürfen. Dazu stehen ihnen die folgenden Optionen zur Verfügung:
- Nutzern erlauben, jede beliebige App aus dem Marketplace zu installieren und auszuführen
- Nutzern nur erlauben, ausgewählte Apps aus dem Marketplace zu installieren und auszuführen
- Nutzern nicht erlauben, Apps aus dem Marketplace zu installieren und auszuführen
Weitere Informationen zum Nutzerzugriff auf Marketplace-Apps finden Sie im Hilfeartikel Marketplace-Apps auf der Zulassungsliste verwalten.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können die Einstellungen für Google Groups for Business aufrufen und bearbeiten, z. B.:
- Wer Gruppen erstellen kann
- Ob Personen außerhalb Ihrer Organisation Ihre Gruppen sehen, danach suchen oder darin Beiträge veröffentlichen können
- Wer standardmäßig Unterhaltungen in Gruppen lesen kann
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können Looker Studio-Einstellungen verwalten, einschließlich der Anzeige, Freigabe und Anpassung von Dashboards und Berichten. Weitere Informationen zu Looker Studio
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Diese Berechtigung wird auch als „Google Managed Play“ aufgeführt. Administratoren mit dieser Berechtigung können:
- Android-Apps intern an Nutzer verteilen.
- Private Apps in den Google Play Store hochladen.
- Android App-Pakete (APKs) verwenden, die außerhalb von Google Play gehostet werden.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung haben die vollständige Kontrolle über die in Ihrer Admin-Konsole aufgeführten Geräte und können:
- Geräteeinstellungen und Richtlinien verwalten
- Alle Aktionen der Mobilgeräteverwaltung ausführen, z. B. genehmigen, blockieren, löschen, auf Werkseinstellungen zurücksetzen
- Mobile Apps veröffentlichen und verwalten
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung können durch Password Vault geschützte Apps einrichten und verwalten.
Weitere Informationen
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit der Berechtigung Pinpoint können diesen Dienst für Nutzer aktivieren oder deaktivieren. Außerdem können sie festlegen, ob Nutzer Dateien von Google Drive zu Pinpoint kopieren dürfen.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung können den Secure LDAP-Dienst verwalten und LDAP-Clients hinzufügen oder löschen. Weitere Informationen
Wichtig: Secure LDAP ist nur für Administratoren mit Super Admin-Berechtigungen verfügbar. Super Admins können delegierten Administratoren daher keine Secure LDAP-Berechtigungen zuweisen. Wenn Sie Administratorrollen für Ihre Nutzer einrichten, ignorieren Sie diese Einstellung.
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung haben Zugriff auf erweiterte Sicherheitsinformationen und ‑analysen sowie zusätzliche Transparenz und Kontrolle bei Sicherheitsproblemen, die ihre Organisation betreffen.
Super Admins haben automatischen Zugriff auf alle Funktionen des Sicherheitscenters, also auch auf das Sicherheitsdashboard, die Seite „Sicherheitsstatus“ und das Prüftool. Außerdem können Sie Administratoren Zugriff auf eine bestimmte Sicherheitscenter-Funktion (z. B. nur das Sicherheitsdashboard) gewähren, indem Sie ihnen die entsprechenden Administratorberechtigungen erteilen.
Weitere Informationen
Diese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren mit dieser Berechtigung können alle gängigen Gerätekonfigurationen verwalten. Sie haben die Möglichkeit, ein virtuelles privates Netzwerk (VPN) sowie WLANs und Ethernet-Netzwerke für Mobilgeräte, Chrome und Chromebox für Meetings-Geräte einzurichten.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren können Einstellungen für Google Sites lesen und ändern, z. B., ob Nutzer Websites erstellen und bearbeiten dürfen und ob Websites außerhalb der Organisation freigegeben werden dürfen.
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können die Storage-Seite in der Admin-Konsole öffnen und Speicherlimits festlegen. Zum Aufrufen von Speicherdaten sind jedoch zusätzliche Berechtigungen erforderlich. Eine vollständige Liste finden Sie in der Beschreibung der Rolle Storage-Administrator.
Vertrauensregeln für die Verwaltung der Freigabe in Google Drive:
- Vertrauensregeln ansehen: Administratoren können die Liste der Vertrauensregeln in der Regelliste lesen. Wenn Sie weitere Informationen zu den Regeleinstellungen aufrufen möchten, benötigen Administratoren außerdem die Berechtigung Organisationseinheiten
Lesen.
- Vertrauensregeln verwalten: Mit dieser Berechtigung allein erhalten Sie noch keinen Zugriff auf Einstellungen in der Admin-Konsole. Zum Verwalten von Vertrauensregeln benötigen Administratoren die folgenden Berechtigungen:
- Zum Aktivieren oder Deaktivieren von Vertrauensregeln benötigen Administratoren die Berechtigungen Vertrauensregeln verwalten und Google Drive und Google Docs
- Wenn Administratoren Vertrauensregeln erstellen, bearbeiten oder löschen möchten, benötigen sie die Berechtigungen Vertrauensregeln ansehen, Vertrauensregeln verwalten, Google Drive und Google Docs
- Wenn sie Vertrauensregeln löschen möchten, benötigen Administratoren die Berechtigungen Vertrauensregeln ansehen, Vertrauensregeln verwalten und Google Drive und Google Docs
- Zum Aktivieren oder Deaktivieren von Vertrauensregeln benötigen Administratoren die Berechtigungen Vertrauensregeln verwalten und Google Drive und Google Docs
LesenDiese Berechtigung wird nicht automatisch gewährt, wenn Sie die Berechtigung Diensteinstellungen auswählen.
Administratoren können auf Daten im Work Insights-Dashboard zugreifen. Die Daten sind nur für Teams verfügbar, für die Work Insights aktiviert ist.
Außerdem können Sie Nutzern Lesezugriff auf die Daten aller oder nur bestimmter Teams erteilen, z. B. Organisationseinheiten, autorisierte Gruppen oder Teams, die einem Manager unterstellt sind.
Weitere Informationen
Diese Berechtigung wird bei Auswahl der Berechtigung Diensteinstellungen automatisch gewährt.
Administratoren mit dieser Berechtigung können:
- Einschränken, welche YouTube-Videos in Ihrer Organisation angesehen werden können
- Unterschiedliche Zugriffsebenen für YouTube (streng, moderat, uneingeschränkt) für unterschiedliche Organisationseinheiten festlegen
Weitere Informationen finden Sie im Hilfeartikel YouTube-Einstellungen der Organisation verwalten.
