Freigeben über


Geräteverwaltungsberechtigungen für benutzerdefinierte Microsoft Entra-Rollen

Geräteverwaltungsberechtigungen können in benutzerdefinierten Rollendefinitionen in Microsoft Entra ID verwendet werden, um einen differenzierten Zugriff wie den folgenden zu gewähren:

  • Geräte aktivieren oder deaktivieren
  • Löschen von Geräten
  • BitLocker-Wiederherstellungsschlüssel lesen
  • BitLocker-Metadaten lesen
  • Richtlinien zur Geräteregistrierung lesen
  • Richtlinien zur Geräteregistrierung aktualisieren

Dieser Artikel listet die Berechtigungen auf, die Sie in Ihren benutzerdefinierten Rollen für verschiedene Szenarien der Geräteverwaltung verwenden können. Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Erstellen einer benutzerdefinierten Rolle in microsoft Entra ID.

Geräte aktivieren oder deaktivieren

Die folgenden Berechtigungen sind zum Umschalten von Gerätezuständen verfügbar.

  • microsoft.directory/devices/enable
  • microsoft.directory/devices/disable

BitLocker-Wiederherstellungsschlüssel lesen

Die folgende Berechtigung ist zum Lesen von BitLocker-Metadaten und -Wiederherstellungsschlüsseln verfügbar. Beachten Sie, dass mit dieser einzelnen Berechtigung sowohl BitLocker-Metadaten als auch Wiederherstellungsschlüssel gelesen werden können.

  • microsoft.directory/bitlockerKeys/key/read

Sie können den BitLocker-Wiederherstellungsschlüssel anzeigen, indem Sie auf der Seite Alle Geräte ein Gerät und dann Wiederherstellungsschlüssel anzeigen auswählen. Weitere Informationen zum Lesen von BitLocker-Wiederherstellungsschlüsseln finden Sie unter Anzeigen oder Kopieren von BitLocker-Schlüsseln.

Screenshot: BitLocker-Schlüssel im Azure-Portal.

Hinweis

Wenn Geräte, die Windows Autopilot verwenden, wiederverwendet werden, um Entra beizutreten, und es einen neue Gerätebesitzer gibt, muss sich dieser neue Gerätebesitzer an einen Administrator wenden, um den BitLocker-Wiederherstellungsschlüssel für dieses Gerät zu erhalten. Administratoren für den Bereich benutzerdefinierte Rollen oder Verwaltungseinheiten werden den Zugriff auf BitLocker-Wiederherstellungsschlüssel für diejenigen Geräte verlieren, bei denen Änderungen am Gerätebesitz vorgenommen wurden. Diese bereichsbezogenen Administrator*innen müssen sich für die Wiederherstellungsschlüssel an nicht bereichsbezogene Administrator*innen wenden. Weitere Informationen finden Sie im Artikel Suchen des primären Benutzerkontos eines Intune-Geräts.

BitLocker-Metadaten lesen

Die folgende Berechtigung ist zum Lesen der BitLocker-Metadaten für alle Geräte verfügbar.

  • microsoft.directory/bitlockerKeys/metadata/read

Sie können die BitLocker-Metadaten für alle Geräte lesen, aber sie können den BitLocker-Wiederherstellungsschlüssel nicht lesen.

Screenshot: BitLocker-Metadaten im Azure-Portal.

Richtlinien zur Geräteregistrierung lesen

Die folgende Berechtigung ist zum Lesen mandantenweiter Geräteregistrierungseinstellungen verfügbar.

  • microsoft.directory/deviceRegistrationPolicy/standard/read

Sie können Geräteeinstellungen im Microsoft Entra Admin Center anzeigen.

Screenshot: Seite „Geräteeinstellungen“ im Azure-Portal.

Richtlinien zur Geräteregistrierung aktualisieren

Die folgende Berechtigung ist verfügbar, um mandantenweite Geräteregistrierungseinstellungen zu aktualisieren.

  • microsoft.directory/deviceRegistrationPolicy/basic/update

Vollständige Liste der Berechtigungen

Lesen

Berechtigung BESCHREIBUNG
microsoft.directory/devices/createdFrom/read Lesen von erstellt von IoT-Gerätevorlagenlinks
microsoft.directory/devices/registeredOwners/read Lesen von registrierten Besitzern von Geräten
microsoft.directory/devices/registeredUsers/read Lesen von registrierten Benutzern von Geräten
microsoft.directory/devices/standard/read Lesen grundlegender Eigenschaften für Geräte
microsoft.directory/bitlockerKeys/key/read Lesen von BitLocker-Metadaten und -Schlüsseln auf Geräten
microsoft.directory/bitlockerKeys/metadata/read Lesen von BitLocker-Schlüsselmetadaten auf Geräten
microsoft.directory/deviceRegistrationPolicy/standard/read Lesen der Standardeigenschaften von Richtlinien zur Geräteregistrierung

Aktualisieren

Berechtigung BESCHREIBUNG
microsoft.directory/devices/registeredOwners/update Lesen der registrierten Besitzer von Geräten
microsoft.directory/devices/registeredUsers/update Aktualisieren der registrierten Besitzer von Geräten
microsoft.directory/devices/enable Aktivieren von Geräten in Microsoft Entra ID
microsoft.directory/devices/disable Deaktivieren von Geräten in Microsoft Entra ID
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualisieren grundlegender Eigenschaften von Richtlinien zur Geräteregistrierung

Löschen

Berechtigung BESCHREIBUNG
microsoft.directory/devices/delete Löschen von Geräten aus Microsoft Entra ID

Nächste Schritte