Rollenbasierte Intune-Zugriffssteuerung für mandantenseitig angefügte Clients
Gilt für: Configuration Manager (Current Branch)
Ab Configuration Manager Version 2207 können Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Intune verwenden, wenn Sie über das Microsoft Intune Admin Center mit mandantengebundenen Geräten interagieren. Wenn Sie beispielsweise Intune als rollenbasierte Zugriffssteuerungsautorität verwenden, benötigt ein Benutzer mit der Rolle Helpdeskoperator keine zugewiesene Sicherheitsrolle oder zusätzliche Berechtigungen von Configuration Manager. Die rollenbasierte Intune-Zugriffssteuerung verwaltet die Berechtigungen für alle in der Cloud angefügten Geräteseiten im Microsoft Intune Admin Center, z. B. Gerätezeitachse, CMPivot und Skripts.
Wichtig
Derzeit ist jede Erzwingung der rollenbasierten Intune-Zugriffssteuerung für das Anzeigen und Ausführen von Aktionen auf an Mandanten angefügten Geräten aus dem Microsoft Intune Admin Center optional. Es wird empfohlen, dass alle Administratoren mit mit der Cloud verbundenen Configuration Manager-Umgebungen damit beginnen, die rollenbasierten Zugriffssteuerungsberechtigungen von Intune zu überprüfen.
Die drei allgemeinen Schritte zum Konfigurieren von Intune als rollenbasierte Zugriffssteuerungsautorität für an Mandanten angefügte Geräte sind:
- Deaktivieren Sie über die Configuration Manager-Konsole die Erzwingung der rollenbasierten Zugriffssteuerung von Configuration Manager für in die Cloud angefügte Clients.
- Aktivieren Sie in Intune die Verwaltung der Benutzerberechtigungen für in die Cloud angefügte Geräte.
- Überprüfen Sie in Intune rollenbasierte Zugriffssteuerungsberechtigungen für in die Cloud angefügte Geräte.
Voraussetzungen
- Configuration Manager Version 2207 oder höher
- An Mandanten angefügte Geräte
Begrenzungen
- Derzeit wird die Bereichsdefinition nicht unterstützt, wenn nur die rollenbasierte Zugriffssteuerung von Intune für zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center verwendet wird.
- Derzeit ist die Seite Softwareupdates für reine Cloudbenutzer nicht verfügbar, wenn sie den frühen Updatering von Configuration Manager Version 2207 verwenden.
Deaktivieren der Erzwingung der rollenbasierten Zugriffssteuerung von Configuration Manager für in die Cloud angefügte Clients
Verwenden Sie die folgenden Anweisungen, um die rollenbasierte Zugriffssteuerung von Intune für die Mandantenanfügung anstelle der rollenbasierten Zugriffssteuerung von Configuration Manager zu verwenden:
Navigieren Sie in der Configuration Manager-Konsole zu Verwaltung>Cloud Services>Cloud Attach.
Der Speicherort der option für die rollenbasierte Zugriffssteuerung hängt davon ab, ob Ihre Umgebung bereits in die Cloud angefügt ist oder nicht.
- Wenn Ihre Umgebung bereits in die Cloud angefügt ist, öffnen Sie die Eigenschaften für CoMgmtSettingsProd. Wenn Sie keine Geräte in das Admin Center hochgeladen haben, konfigurieren Sie diese Option zuerst. Weitere Informationen finden Sie unter Cloudanfügung aktivieren.
- Wenn Ihre Umgebung nicht in die Cloud angefügt ist, wählen Sie Cloudanfügung konfigurieren aus, um den Assistenten für die Cloudanfügungskonfiguration zu öffnen.
Deaktivieren Sie auf der Registerkarte Upload konfigurieren oder im Assistenten das Kontrollkästchen für die folgende Option unter der Überschrift Rollenbasierte Zugriffssteuerung :
Erzwingen von Configuration Manager RBAC für Cloudkonsolenanforderungen, die mit Configuration Manager interagieren
Wählen Sie OK aus, um die Änderung an den CoMgmtSettingsProd-Eigenschaften zu speichern, oder fahren Sie fort, um den Cloudanfügungs-Assistenten abzuschließen.
Aktivieren der rollenbasierten Zugriffssteuerung über Intune
Führen Sie die folgenden Schritte aus, um Intune die Verwaltung von Benutzerberechtigungen für in die Cloud angefügte Geräte zu ermöglichen:
- Öffnen Sie das Microsoft Intune Admin Center , und melden Sie sich als Benutzer an, der über die Berechtigung Rollen/Aktualisieren verfügt. Weitere Informationen zur Berechtigung finden Sie unter Benutzerdefinierte Rollenberechtigungen in Intune.
- Wählen Sie Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager aus.
- Wählen Sie im Banner Sie können auch Benutzerberechtigungen aus Intune verwalten aus. Klicken Sie hier, um mehr über diese Option zu erfahren.
- Das Flyout Intune RBAC verwenden wird angezeigt.
- Wählen Sie ein für die Option Intune RBAC verwenden aus, und wählen Sie dann Anwenden aus.
- Es kann etwa 10 Minuten dauern, bis die Änderung wirksam wird.
Überprüfen der Rollenbasierten Zugriffssteuerungsberechtigungen von Intune
Nachdem Intune auf die rollenbasierte Zugriffssteuerungsautorität festgelegt ist, überprüfen Sie die Berechtigungen für Ihre Rollen. Bei Bedarf können Sie diese Berechtigungen benutzerdefinierten Rollen hinzufügen, die Sie in Intune erstellt haben.
- Öffnen Sie das Microsoft Intune Admin Center , und melden Sie sich an.
- Wählen Sie Mandantenverwaltungsrollen>aus.
- Wählen Sie eine Rolle aus, z. B . Anwendungs-Manager, und überprüfen Sie die Berechtigungen für in die Cloud angefügte Geräte. Bearbeiten Sie bei Bedarf Die Berechtigungen für alle benutzerdefinierten Rollen , die Sie in Intune erstellt haben.
Die folgenden Intune-Berechtigungen steuern den Zugriff auf die in der Cloud angefügten Configuration Manager-Geräte:
| Berechtigung | Beschreibung | Integrierte Intune-Rollen mit der Berechtigung |
|---|---|---|
| In die Cloud angefügte Geräte\Sammlungen anzeigen | Zeigt die Seite Sammlungen für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ressourcen-Explorer anzeigen | Zeigt die Seite "Ressourcen-Explorer " für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Zeitachse anzeigen | Zeigt die Zeitachsenseite für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Softwareupdates anzeigen | Zeigt die Seite "Softwareupdates " für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skripts anzeigen | Zeigt die Seite Skripts für in die Cloud angefügte Configuration Manager-Geräte an. | Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skript ausführen | Zeigt die Aktion Skript ausführen an und ermöglicht dem Benutzer das Ausführen von Skripts auf in der Configuration Manager-Cloud angefügten Geräten. | Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\CMPivot-Abfrage ausführen | Zeigt die CMPivot-Seite für in die Cloud angefügte Configuration Manager-Geräte an. | Endpoint Security Manager, Schuladministrator, Helpdeskoperator |
| In die Cloud angefügte Geräte\Clientdetails anzeigen | Zeigt die Seite "Clientdetails " für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Anwendungen anzeigen | Zeigt die Seite "Anwendungen" für in die Cloud angefügte Configuration Manager-Geräte an. | Anwendungs-Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ausführen von Anwendungsaktionen | Zeigt Anwendungsaktionen auf der Seite Anwendungen an und ermöglicht es dem Benutzer, Anwendungsaktionen auf cloudgebundenen Configuration Manager-Geräten auszuführen. | Anwendungs-Manager, Schuladministrator, Helpdesk-Operator |
| Remoteaufgaben/Rotieren von BitLockerKeys (Vorschau) | Initiiert eine Schlüsselrotation für BitLocker-Wiederherstellungskennwörter auf dem Gerät. Zeigt die Seite Wiederherstellungsschlüssel für in die Cloud angefügte Configuration Manager-Geräte an. | Endpoint Security Manager, Helpdeskoperator |
Häufig gestellte Fragen
Ich habe reine Cloudbenutzer, die Zugriff auf mandantenseitig angefügte Geräte in Intune benötigen. Erhalten sie dadurch Zugriff?
Ja. Wenn ein Benutzer nur in der Cloud ist, d. h., er befindet sich in diesem Szenario in der Microsoft Entra-ID und kann auf Intune zugreifen, erhält er mithilfe der RBAC von Intune Zugriff auf geräte, die mit Mandanten verbunden sind.
Was geschieht, wenn mehrere Configuration Manager-Hierarchien mit meinem Mandanten verbunden sind?
Die Einstellung Intune RBAC verwenden im Microsoft Intune Admin Center gilt für alle Configuration Manager-Hierarchien, die im Mandanten aufgeführt sind.
Was geschieht, wenn die Configuration Manager- und Intune-Einstellungen nicht übereinstimmen?
Wenn die Umschaltfläche Intune-RBAC in Intune verwenden auf Aus festgelegt ist, wird der rollenbasierte Zugriff von Configuration Manager erzwungen, auch wenn das Kontrollkästchen Configuration Manager RBAC für Cloudkonsolenanforderungen erzwingen, die mit Configuration Manager interagieren deaktiviert ist. Das Deaktivieren der Option Configuration Manager RBAC für Cloudkonsolenanforderungen erzwingen, die mit Configuration Manager interagieren, hat keine Auswirkungen, bis die Umschaltfläche Intune RBAC verwenden in Intune auf Ein festgelegt ist.
Was geschieht, wenn meine Testhierarchie für die Verwendung von Intune RBAC konfiguriert ist, meine Produktionshierarchie aber nicht und sie sich im selben Mandanten befinden?
Die Einstellung Intune RBAC verwenden gilt für alle Configuration Manager-Hierarchien, die im Mandanten aufgeführt sind. Reine Cloudbenutzer können auf mandantenseitig angefügte Geräte zugreifen, die aus der Testhierarchie hochgeladen werden, da Sie auch das Kontrollkästchen deaktiviert haben, um die RBAC von Configuration Manager zu erzwingen. Wenn ein Nur-Cloud-Benutzer versucht, auf ein vom Mandanten angefügtes Gerät zuzugreifen, das aus der Produktionsumgebung hochgeladen wurde, erhält er einen Fehler, da Produktionsgeräte Configuration Manager RBAC erzwingen. Der reine Cloudbenutzer erhält einen Fehler ähnlich der folgenden Meldung: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Nächste Schritte
- Überprüfen der Zeitachse für ein in die Cloud angeschlossenes Gerät
- Ausführen einer CMPivot-Abfrage auf einem in die Cloud angefügten Gerät