Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geräteverwaltungsberechtigungen können in benutzerdefinierten Rollendefinitionen in Microsoft Entra ID verwendet werden, um einen differenzierten Zugriff wie den folgenden zu gewähren:
- Geräte aktivieren oder deaktivieren
- Löschen von Geräten
- BitLocker-Wiederherstellungsschlüssel lesen
- BitLocker-Metadaten lesen
- Richtlinien zur Geräteregistrierung lesen
- Richtlinien zur Geräteregistrierung aktualisieren
Dieser Artikel listet die Berechtigungen auf, die Sie in Ihren benutzerdefinierten Rollen für verschiedene Szenarien der Geräteverwaltung verwenden können. Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Erstellen einer benutzerdefinierten Rolle in microsoft Entra ID.
Geräte aktivieren oder deaktivieren
Die folgenden Berechtigungen sind zum Umschalten von Gerätezuständen verfügbar.
- microsoft.directory/devices/enable
- microsoft.directory/devices/disable
BitLocker-Wiederherstellungsschlüssel lesen
Die folgende Berechtigung ist zum Lesen von BitLocker-Metadaten und -Wiederherstellungsschlüsseln verfügbar. Beachten Sie, dass mit dieser einzelnen Berechtigung sowohl BitLocker-Metadaten als auch Wiederherstellungsschlüssel gelesen werden können.
- microsoft.directory/bitlockerKeys/key/read
Sie können den BitLocker-Wiederherstellungsschlüssel anzeigen, indem Sie auf der Seite Alle Geräte ein Gerät und dann Wiederherstellungsschlüssel anzeigen auswählen. Weitere Informationen zum Lesen von BitLocker-Wiederherstellungsschlüsseln finden Sie unter Anzeigen oder Kopieren von BitLocker-Schlüsseln.
Hinweis
Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden, um Entra beizutreten, und es einen neue Gerätebesitzer gibt, muss sich dieser neue Gerätebesitzer an einen Administrator wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administratoren für den Bereich benutzerdefinierte Rollen oder Verwaltungseinheiten werden den Zugriff auf BitLocker-Wiederherstellungsschlüssel für diejenigen Geräte verlieren, bei denen Änderungen am Gerätebesitz vorgenommen wurden. Diese bereichsbezogenen Administrator*innen müssen sich für die Wiederherstellungsschlüssel an nicht bereichsbezogene Administrator*innen wenden. Weitere Informationen finden Sie im Artikel Suchen des primären Benutzerkontos eines Intune-Geräts.
BitLocker-Metadaten lesen
Die folgende Berechtigung ist zum Lesen der BitLocker-Metadaten für alle Geräte verfügbar.
- microsoft.directory/bitlockerKeys/metadata/read
Sie können die BitLocker-Metadaten für alle Geräte lesen, aber sie können den BitLocker-Wiederherstellungsschlüssel nicht lesen.
Richtlinien zur Geräteregistrierung lesen
Die folgende Berechtigung ist zum Lesen mandantenweiter Geräteregistrierungseinstellungen verfügbar.
- microsoft.directory/deviceRegistrationPolicy/standard/read
Sie können Geräteeinstellungen im Microsoft Entra Admin Center anzeigen.
Richtlinien zur Geräteregistrierung aktualisieren
Die folgende Berechtigung ist verfügbar, um mandantenweite Geräteregistrierungseinstellungen zu aktualisieren.
- microsoft.directory/deviceRegistrationPolicy/basic/update
Vollständige Liste der Berechtigungen
Lesen
| Berechtigung | BESCHREIBUNG |
|---|---|
| microsoft.directory/devices/createdFrom/read | Lesen von erstellt von IoT-Gerätevorlagenlinks |
| microsoft.directory/devices/registeredOwners/read | Lesen von registrierten Besitzern von Geräten |
| microsoft.directory/devices/registeredUsers/read | Lesen von registrierten Benutzern von Geräten |
| microsoft.directory/devices/standard/read | Lesen grundlegender Eigenschaften für Geräte |
| microsoft.directory/bitlockerKeys/key/read | Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten |
| microsoft.directory/bitlockerKeys/metadata/read | Lesen von BitLocker-Schlüsselmetadaten auf Geräten |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung |
Aktualisieren
| Berechtigung | BESCHREIBUNG |
|---|---|
| microsoft.directory/devices/registeredOwners/update | Lesen der registrierten Besitzer von Geräten |
| microsoft.directory/devices/registeredUsers/update | Aktualisieren der registrierten Besitzer von Geräten |
| microsoft.directory/devices/enable | Aktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/devices/disable | Deaktivieren von Geräten in Microsoft Entra ID |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung |
Löschen
| Berechtigung | BESCHREIBUNG |
|---|---|
| microsoft.directory/devices/delete | Löschen von Geräten aus Microsoft Entra ID |