Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der automatischen Identitätsverwaltung können Sie Benutzer, Dienstprinzipale und Gruppen von Microsoft Entra ID in Azure Databricks nahtlos hinzufügen. Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie direkt in Identitätsverbundarbeitsbereichen nach Benutzern, Dienstprinzipalen und Gruppen suchen und sie ihrem Arbeitsbereich hinzufügen. Azure Databricks verwendet Microsoft Entra ID als Datensatzquelle, sodass alle Änderungen an Gruppenmitgliedschaften in Azure Databricks berücksichtigt werden.
Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden.
Benutzer können Dashboards auch für jeden Benutzer, Dienstprinzipal oder jede Gruppe in Ihrem Identitätsanbieter freigeben. Beim Freigeben werden diese Benutzer, Dienstprinzipale und Gruppenmitglieder bei der Anmeldung automatisch dem Azure Databricks-Konto hinzugefügt. Sie werden nicht als Mitglieder zum Arbeitsbereich hinzugefügt, in dem sich das Dashboard befindet. Benutzer, die keinen Zugriff auf den Arbeitsbereich haben, erhalten Zugriff auf eine Kopie eines Dashboards mit reinem Lesezugriff, das mit Berechtigungen für freigegebene Daten veröffentlicht wurde. Weitere Informationen zur Dashboardfreigabe finden Sie unter Freigeben eines Dashboards.
Just-in-Time(JIT)-Bereitstellung ist immer aktiviert, wenn die automatische Identitätsverwaltung aktiviert ist und Sie sie nicht deaktivieren können. Neue Benutzer werden bei der ersten Anmeldung automatisch in Azure Databricks bereitgestellt. Siehe Automatische Bereitstellung von Benutzern (JIT)
Die automatische Identitätsverwaltung wird in Nicht-Identitätsverbundarbeitsbereichen nicht unterstützt. Weitere Informationen zum Identitätsverbund finden Sie unter "Identitätsverbund".
Benutzer- und Gruppenstatus
Wenn die automatische Identitätsverwaltung aktiviert ist, werden Benutzer, Dienstprinzipale und Gruppen aus der Microsoft Entra-ID in der Kontokonsole und auf der Seite "Arbeitsbereichsadministratoreinstellungen" angezeigt. Ihr Status spiegelt ihre Aktivität und ihren Status zwischen Microsoft Entra ID und Azure Databricks wider:
| Status | Meaning |
|---|---|
| Inaktiv: Keine Verwendung | Für Benutzer und Dienstprinzipale: Identität im Identitätsanbieter, die sich noch nicht bei Azure Databricks angemeldet hat. Für Gruppen: Die Gruppe wurde keinem Arbeitsbereich hinzugefügt. |
| Aktiv | Die Identität ist in Azure Databricks aktiv. |
| Aktiv: Aus [IdP] entfernt | Zuvor in Azure Databricks aktiv und wurde vom Identitätsanbieter gelöscht. Azure Databricks deaktiviert diese Benutzer während der nächsten Identitätssynchronisierung automatisch. Die Anmeldung oder Authentifizierung bei APIs ist nicht möglich. |
| Deaktiviert | Die Identität ist im Identitätsanbieter deaktiviert, oder Azure Databricks hat die Identität nach dem Löschen aus dem Identitätsanbieter automatisch deaktiviert. Die Anmeldung oder Authentifizierung bei APIs ist nicht möglich. |
| Verweigert | Die Identität wurde der Kontozugriffsverweigerungsliste hinzugefügt. Azure Databricks legt die Identität auf "inaktiv" fest. Anmelden, persönliche Zugriffstoken verwenden oder in Freigabedialogen erscheinen ist nicht möglich. Siehe Identitäten den Zugriff auf Ihr Konto verweigern. |
Die Statusbezeichnung "Aktiv: Aus [IdP] entfernt" enthält den Namen Ihres Identitätsanbieters. Zum Beispiel Aktiv: Aus EntraID entfernt.
Tip
Als bewährte Sicherheitsmaßnahme empfiehlt Databricks, persönliche Zugriffstoken für Benutzer mit dem Status Deaktiviert und Aktiv: Aus [IdP] entfernt zu widerrufen. Wenn Benutzer vom Identitätsanbieter gelöscht werden, wird Azure Databricks ihre Konten automatisch deaktivieren, aber keine Token automatisch widerrufen.
Identitäten, die mithilfe der automatischen Identitätsverwaltung verwaltet werden, werden in Azure Databricks als extern angezeigt. Externe Identitäten können nicht mithilfe der Azure Databricks-Benutzeroberfläche aktualisiert werden.
Freigeben und Zuweisen von Berechtigungen
Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie Benutzer und Dienstprinzipale aus Microsoft Entra ID auswählen, wenn Sie Berechtigungen während Azure Databricks freigeben oder zuweisen.
Für Gruppen unterscheidet sich das Freigabeverhalten je nach Asset-Typ:
- Ressourcen auf Kontoebene: Gruppen sind beim Freigeben oder Zuweisen von Berechtigungen für Ressourcen auf Kontoebene verfügbar, z. B. Databricks-Apps, Unity Catalog-Objekte, AI/BI-Dashboards, Genie Spaces und Arbeitsbereichszuweisung.
- Ressourcen auf Arbeitsbereichsebene: Um Ressourcen auf Arbeitsbereichsebene (z. B. Notizbücher, Aufträge, SQL-Lager, Warnungen und Dateien) für Gruppen freizugeben, müssen Arbeitsbereichsadministratoren die Gruppe zuerst direkt zum Arbeitsbereich hinzufügen.
Automatische Identitätsverwaltung im Vergleich zur SCIM-Bereitstellung
Wenn die automatische Identitätsverwaltung aktiviert ist, werden alle Benutzer, Gruppen und Gruppenmitgliedschaften von Ihrem Identitätsanbieter mit Azure Databricks synchronisiert, sodass die SCIM-Bereitstellung nicht erforderlich ist. Wenn die SCIM-Bereitstellung parallel ausgeführt wird, verwaltet SCIM weiterhin Identitäten, die mithilfe der SCIM-Bereitstellung hinzugefügt wurden. Es verwaltet keine Identitäten, die nicht mithilfe der SCIM-Bereitstellung hinzugefügt wurden.
Für die SCIM-Bereitstellung ist die Rolle des Cloudanwendungsadministrators und eine separate Microsoft Entra ID-Anwendung erforderlich.
Azure Databricks empfiehlt die Verwendung der automatischen Identitätsverwaltung. In der folgenden Tabelle werden die Features der automatischen Identitätsverwaltung mit den Features der SCIM-Bereitstellung verglichen.
| Funktionen | Automatische Identitätsverwaltung | SCIM-Bereitstellung |
|---|---|---|
| Synchronisieren von Benutzern | ✓ | ✓ |
| Synchronisieren von Gruppen | ✓ | ✓ (Nur direkte Mitglieder) |
| Verschachtelte Gruppen synchronisieren | ✓ | |
| Synchronisieren von Dienstprinzipalen | ✓ | |
| Standardmäßig in Azure Databricks verfügbar | ✓ | |
| Funktioniert mit allen Microsoft Entra ID-Editionen | ✓ | |
| Verfügbar ohne Microsoft Entra ID-Administratorrollen | ✓ | |
| Erfordert einen Identitätsverbund | ✓ |
Azure Databricks externe ID und Microsoft Entra ID-Objekt-ID
Azure Databricks verwendet die Microsoft Entra-ID ObjectId als maßgeblichen Link zum Synchronisieren von Identitäten und Gruppenmitgliedschaften und aktualisiert das Feld automatisch, sodass es externalId dem ObjectId in einem täglich wiederkehrenden Ablauf entspricht. Databricks empfiehlt, Bereitstellungsmethoden nicht zu mischen. Das Hinzufügen derselben Identität durch automatische Identitätsverwaltung und SCIM-Bereitstellung führt zu doppelten Einträgen und Berechtigungskonflikten. Verwenden Sie die automatische Identitätsverwaltung als einzige zuverlässige Informationsquelle, indem Gruppenmitgliedschaften die Microsoft Entra ID widerspiegeln.
Sie können diese doppelten Identitäten zusammenführen, indem Sie ihre externe ID in Azure Databricks angeben. Verwenden Sie die APIs für Kontobenutzende, Kontodienstprinzipale oder Kontogruppen, um den Prinzipal zu aktualisieren und die Microsoft Entra ID-objectId im Feld externalId hinzuzufügen.
Da die externalId im Laufe der Zeit aktualisieren kann, empfiehlt Azure Databricks dringend, keine benutzerdefinierten Workflows zu verwenden, die vom Feld externalId abhängen.
Funktionsweise der Gruppenmitgliedschaftssynchronisierung
Wenn die automatische Identitätsverwaltung aktiviert ist, aktualisiert Azure Databricks Benutzergruppenmitgliedschaften von Ihrem Identitätsanbieter während Aktivitäten, die Authentifizierungs- und Autorisierungsprüfungen auslösen, z. B. Browseranmeldungen, Tokenauthentifizierung oder Auftragsausführung. Dadurch wird sichergestellt, dass gruppenbasierte Berechtigungen in Azure Databricks mit Änderungen synchronisiert bleiben, die in Ihrem Identitätsanbieter vorgenommen wurden.
Wenn Azure Databricks Gruppenmitgliedschaften aktualisiert, ruft sie transitive (geschachtelte) Gruppenmitgliedschaften von Ihrem Identitätsanbieter ab. Dies bedeutet, dass Azure Databricks, wenn ein Benutzer Mitglied von Group A ist und Gruppe A Mitglied von Group B ist, den Benutzer als Mitglied in beiden Gruppen erkennt. Azure Databricks ruft nur Mitgliedschaften für Gruppen ab, die Azure Databricks hinzugefügt wurden. Die vollständige übergeordnete Gruppenhierarchie wird nicht mit Ihrem Identitätsanbieter synchronisiert oder daraus rekonstruiert.
Azure Databricks aktualisiert Gruppenmitgliedschaften in verschiedenen Zeitplänen je nach Aktivität:
- Browseranmeldungen: Gruppenmitgliedschaften werden synchronisiert, wenn seit der letzten Synchronisierung mehr als 5 Minuten vergangen sind
- Andere Aktivitäten (z. B. Tokenauthentifizierung oder Ausführen von Aufträgen): Gruppenmitgliedschaften werden synchronisiert, wenn seit der letzten Synchronisierung mehr als 40 Minuten vergangen sind
Geschachtelte Gruppen und Diensteprinzipale
Wenn die automatische Identitätsverwaltung aktiviert ist, erben Mitglieder geschachtelter Gruppen Berechtigungen von bereitgestellten Gruppen. Berechtigungen, die einer übergeordneten Gruppe zugewiesen sind, gelten für alle Benutzer und Dienstprinzipale, die der Gruppe angehören, einschließlich derjenigen, die direkt zur Gruppe hinzugefügt wurden, und derjenigen, die über verschachtelte Gruppenmitgliedschaften dazugehören. Geschachtelte Gruppen und Dienstprinzipale in einer Gruppe können jedoch nicht automatisch im Konto referenziert werden, mit Ausnahme der Dashboardfreigabe.
Die Sichtbarkeit geschachtelter Gruppen
Geschachtelte Gruppen sind in Azure Databricks sichtbar. Stellen Sie sich vor, eine untergeordnete Gruppe Group-C, die Mitglied einer übergeordneten Gruppe Group-P ist. Wenn Sie Group-P zu einem Arbeitsbereich hinzufügen, haben alle Identitäten in Group-P und Group-C Zugriff auf den Arbeitsbereich. In den Kontoadministrator- und Arbeitsbereichsadministrator-UIs wird Group-C als Mitglied innerhalb von Group-P auf der Detailseite der Gruppenmitglieder angezeigt. Nur die erste Schachtelungsebene wird auf der Gruppendetailseite angezeigt.
Überlegungen zu geschachtelten Gruppen
- Arbeitsbereichszugriff: Geschachtelte Gruppen und Dienstprinzipale müssen nicht direkt zu einem Arbeitsbereich hinzugefügt werden, um Zugriff zu erhalten. Wenn einer übergeordneten Gruppe ein Arbeitsbereich hinzugefügt wird, können alle Mitglieder dieser Gruppe auf den Arbeitsbereich zugreifen.
- Ressourcen auf Kontoebene: Gruppen sind beim Freigeben oder Zuweisen von Berechtigungen für Ressourcen auf Kontoebene verfügbar, z. B. Databricks-Apps, Unity Catalog-Objekte, AI/BI-Dashboards, Genie Spaces und Arbeitsbereichszuweisung.
- Grenzwerte für Kontogruppen und Dienstprinzipale: Geschachtelte Gruppen und Dienstprinzipale, die nicht direkt für das Konto bereitgestellt werden, werden nicht auf die Grenzen für Kontogruppen angerechnet. Nur Gruppen, die explizit für das Konto bereitgestellt wurden, zählen zu den Limits.
Beispielsweise haben Sie in der Microsoft Entra-ID die folgende Gruppenstruktur:
-
Marketing-All(übergeordnete Gruppe)-
Marketing-US(untergeordnete Gruppe) -
Marketing-EU(untergeordnete Gruppe) -
Marketing-APAC(untergeordnete Gruppe)
-
Wenn ein Arbeitsbereichsadministrator Marketing-All seinem Arbeitsbereich hinzufügt:
- Zugriff gewährt: Alle Mitglieder von
Marketing-Allund alle untergeordneten Gruppen (Marketing-US,Marketing-EU,Marketing-APAC) können auf den Arbeitsbereich zugreifen. Benutzer und Dienstprinzipale inMarketing-APACkönnen sich authentifizieren und den Arbeitsbereich nutzen. - Kontobereitstellung: Nur
Marketing-Allwird für das Azure Databricks-Konto bereitgestellt und trägt zu den Grenzwerten der Kontogruppe bei. Die untergeordneten Gruppen tragen nicht zur Einschränkung der Limits bei, es sei denn, Sie stellen sie explizit bereit. - Ressourcen auf Kontoebene:
Marketing-Allund alle untergeordneten Gruppen (Marketing-US,Marketing-EU,Marketing-APAC) sind beim Freigeben oder Zuweisen von Berechtigungen für Ressourcen auf Kontoebene verfügbar, z. B. Dashboards und Objekte im Unity-Katalog.
Aktivieren der automatischen Identitätsverwaltung
Die automatische Identitätsverwaltung ist standardmäßig für Konten aktiviert, die nach dem 1. August 2025 erstellt wurden. Kontoadministratoren können die automatische Identitätsverwaltung in der Kontokonsole aktivieren.
Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
Klicken Sie in der Randleiste auf "Sicherheit".
Schalten Sie auf der Registerkarte "Benutzerbereitstellung" die Option "Automatische Identitätsverwaltung" auf "Aktiviert" um.
Änderungen dauern fünf bis zehn Minuten, bis sie wirksam werden.
Nachdem Ihr Konto aktiviert wurde, führen Sie die folgenden Anweisungen aus, um Benutzer, Dienstprinzipale und Gruppen von Ihrem Identitätsanbieter hinzuzufügen und zu entfernen:
- Hinzufügen von Benutzern zu Ihrem Konto
- Hinzufügen von Dienstprinzipalen zu Ihrem Konto
- Hinzufügen von Gruppen zu Ihrem Konto
Informationen zum Migrieren von SCIM-Bereitstellung finden Sie unter Migrieren zur automatischen Identitätsverwaltung.
Deaktivieren der automatischen Identitätsverwaltung
Wenn die automatische Identitätsverwaltung deaktiviert ist:
- Benutzer und Dienstprinzipale bleiben erhalten: Sie behalten den Zugriff, werden aber nicht mehr mit Ihrem Identitätsanbieter synchronisiert. Sie können Benutzer und Dienstprinzipale manuell in der Kontokonsole entfernen oder deaktivieren, nachdem Sie die automatische Identitätsverwaltung deaktiviert haben.
- Gruppen verlieren die Mitgliedschaft: Gruppen verbleiben in Azure Databricks, aber alle Gruppenmitglieder werden entfernt.
- Keine Synchronisierung mit dem Identitätsanbieter: Änderungen in Ihrem Identitätsanbieter (z. B. Benutzerentfernungen oder Gruppenupdates) werden in Azure Databricks nicht widerspiegelt.
- Keine Berechtigungsvererbung: Benutzer, die von der automatischen Identitätsverwaltung verwaltet werden, können keine Berechtigungen von übergeordneten Gruppen erben. Dies wirkt sich auf geschachtelte gruppenbasierte Berechtigungsmodelle aus.
Wenn Sie beabsichtigen, die automatische Identitätsverwaltung zu deaktivieren, empfiehlt Databricks, die SCIM-Bereitstellung im Voraus als Fallback einzurichten. SCIM kann dann die Identitäts- und Gruppensynchronisierung übernehmen.
- Melden Sie sich als Kontoadministrator bei der Kontokonsole an.
- Klicken Sie in der Randleiste auf "Sicherheit".
- Schalten Sie auf der Registerkarte "Benutzerbereitstellung" die Option "Automatische Identitätsverwaltung" auf "Deaktiviert" um.
Identitäten den Zugriff auf Ihr Konto verweigern
Die Sperrliste für den Kontozugriff steuert, welche Identitäten aus Ihrem Identitätsanbieter vom Zugriff auf Ihr Azure Databricks-Konto ausgeschlossen sind. Kontoadministratoren können der Ablehnungsliste bestimmte Benutzer, Gruppen oder Dienstprinzipale hinzufügen, um den Zugriff zu blockieren. Die Mitgliedschaft in der Sperrliste ist transitiv – wenn Sie eine Gruppe sperren, werden auch alle Mitglieder, einschließlich der Mitglieder in geschachtelten Gruppen, ebenfalls gesperrt.
Konfigurationsanweisungen und eine vollständige Beschreibung des Verhaltens der Ablehnungsliste finden Sie unter "Verweigern des Identitätszugriffs auf Ihr Konto".
Überwachen automatischer Identitätsverwaltungsereignisse
Wenn die automatische Identitätsverwaltung aktiviert ist, können Sie Überwachungsprotokolle verwenden, um Identitätsvorgänge nachzuverfolgen, die vom automatischen Identitätsverwaltungsprozess ausgeführt werden.
Überwachungsprotokolltags für automatische Identitätsverwaltungsereignisse
Die automatische Identitätsverwaltung verwendet vorhandene Überwachungsprotokollereignisse, fügt jedoch Tags hinzu, um Vorgänge zu identifizieren, die automatisch vom Identitätssynchronisierungsprozess ausgeführt werden:
-
endpunkt: "autoUserCreation" – Gibt an, dass das Ereignis aus dem automatischen Identitätsverwaltungsprozess ausgegeben wurde. Dieses Tag wird für Benutzervorgänge (
add,activateUser,deactivateUser,updateUser), Gruppenvorgänge (createGroup,updateGroup,removeGroup) und Gruppenmitgliedschaftsvorgänge (addPrincipalToGroup,removePrincipalFromGroup) angezeigt. -
groupMembershipType: "IdentityProvider" – Wird für Gruppenmitgliedschaftsvorgänge (
addPrincipalToGroup, ) angezeigt, um anzugeben,removePrincipalFromGroupdass die Gruppenmitgliedschaft von Ihrem Identitätsanbieter synchronisiert wurde.
Überwachungsereignisse der automatischen Identitätsverwaltung abfragen
Sie können die system.access.audit Tabelle abfragen, um automatische Identitätsverwaltungsvorgänge nachzuverfolgen. Beispiel:
Nachverfolgen von Benutzeranmeldungen:
SELECT
DISTINCT user_identity.email
FROM
system.access.audit
WHERE
action_name = "aadBrowserLogin"
Nachverfolgen von Benutzern, die durch die automatische Identitätsverwaltung erstellt wurden:
SELECT
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name = "add"
AND request_params.endpoint = "autoUserCreation"
Nachverfolgen von Gruppenmitgliedschaften, die von Ihrem Identitätsanbieter synchronisiert wurden:
SELECT
request_params.targetGroupName,
request_params.targetUserName,
event_time
FROM
system.access.audit
WHERE
action_name IN ("addPrincipalToGroup", "removePrincipalFromGroup")
AND request_params.groupMembershipType = "IdentityProvider"
Weitere Informationen zur Tabelle system.access.audit finden Sie im Tabellenverweis zum Überwachungsprotokollsystem.
Bekannte Verhaltensweisen und Einschränkungen
In diesem Abschnitt werden Verhaltensweisen beschrieben, die beim Arbeiten mit der automatischen Identitätsverwaltung möglicherweise nicht sofort offensichtlich sind.
Gruppenerstellung und Arbeitsbereichszuweisung
Wenn die automatische Identitätsverwaltung Gruppen von Ihrem Identitätsanbieter synchronisiert, erstellt sie diese automatisch auf Kontoebene. Diese Ereignisse werden in Überwachungsprotokollen als createGroup vorgänge angezeigt, die mit endpoint: "autoUserCreation"markiert sind. Die Gruppenerstellung auf Kontoebene ist automatisch, die Arbeitsbereichszuweisung ist jedoch ein separater manueller Schritt. Mitglieder einer synchronisierten Gruppe erhalten Nur dann Arbeitsbereichszugriff, nachdem ein Kontoadministrator die Gruppe einem Arbeitsbereich zuweist. Die automatische Identitätsverwaltung steuert die Gruppenmitgliedschaft, und der Administrator steuert den Arbeitsbereichzugriff.
Die Gruppennamensynchronisierung ist nicht proaktiv.
Durch das Umbenennen einer Gruppe in Ihrem Identitätsanbieter wird der Gruppenname in Azure Databricks nicht sofort aktualisiert. Der Gruppenname wird nur synchronisiert, wenn ein Kontoadministrator die Detailseite der Gruppe in der Kontokonsole öffnet. Bis dahin behält die Gruppe ihren vorherigen Namen in Azure Databricks bei.
Die automatische Identitätsverwaltung entfernt keine SCIM-synchronisierten Mitgliedschaften.
Die automatische Identitätsverwaltung entfernt keine Gruppenmitgliedschaften, die ursprünglich mithilfe der SCIM-Bereitstellung synchronisiert wurden. Dies ist beabsichtigt, um zu vermeiden, vorhandene Aufträge und Berechtigungen zu unterbrechen, die von diesen Mitgliedschaften abhängen. Um veraltete SCIM-synchronisierte Mitgliedschaften zu entfernen, verwenden Sie die SCIM-API , um sie manuell zu bereinigen.
Service Principal-Bereitstellung beim erstmaligen Gebrauch
Das Hinzufügen einer Gruppe, die Dienstprinzipale enthält, zu Azure Databricks stellt diese Dienstprinzipale nicht bereit. Azure Databricks stellt Dienstprinzipale nur bei der ersten Verwendung zur Verfügung, z. B. tokenauthentifizierung oder Auftragsausführung. Bis ein Dienstprinzipal einen Auftrag authentifiziert oder ausführt, wird er nicht in Azure Databricks angezeigt.
Mandantenübergreifende Entra-ID-Verzeichnisse werden nicht unterstützt.
Die automatische Identitätsverwaltung unterstützt keine mandantenübergreifenden Microsoft Entra-ID-Verzeichnisse. Wenn Sie eine mandantenübergreifende Identitätsverwaltung benötigen, konfigurieren Sie die SCIM-Bereitstellung mit Microsoft Entra B2B-Zusammenarbeit.
Geschachtelte Gruppen und Dienstprinzipale über die API und Terraform
Geschachtelte Gruppen und Dienstprinzipale, die nicht direkt für das Azure Databricks-Konto bereitgestellt werden, sind in der Kontokonsolen-UI sichtbar, können aber nicht über die Databricks-APIs oder Terraform abgerufen oder verwaltet werden. Um sie programmgesteuert zu verwalten, stellen Sie sie explizit für das Konto bereit.
Berechtigungen werden bei der Migration von SCIM zur automatischen Identitätsverwaltung übernommen
Wenn Sie von der SCIM-Bereitstellung zur automatischen Identitätsverwaltung migrieren, bleiben Gruppen dieselben internen Azure Databricks-Objekte. Unity-Katalogberechtigungen, Arbeitsbereichszuweisungen und andere Einstellungen werden automatisch übernommen. Während der Migration gehen keine Berechtigungen verloren.