Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Konfigurations-Manager (Current Branch)
Ab Konfigurations-Manager Version 2207 können Sie Intune rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, wenn Sie über das Microsoft Intune Admin Center mit mandantengebundenen Geräten interagieren. Wenn Sie beispielsweise Intune als rollenbasierte Zugriffssteuerungsautorität verwenden, benötigt ein Benutzer mit der Rolle Helpdeskoperator keine zugewiesene Sicherheitsrolle oder zusätzliche Berechtigungen von Konfigurations-Manager. Intune rollenbasierte Zugriffssteuerung verwaltet die Berechtigungen für alle in der Cloud angefügten Geräteseiten im Microsoft Intune Admin Center, z. B. gerätebasierte Zeitleiste, CMPivot und Skripts.
Wichtig
Derzeit ist jede Erzwingung Intune rollenbasierten Zugriffssteuerung zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center optional. Es wird empfohlen, dass alle Administratoren mit mit der Cloud verbundenen Konfigurations-Manager Umgebungen damit beginnen, die rollenbasierten Zugriffssteuerungsberechtigungen von Intune zu überprüfen.
Die drei allgemeinen Schritte zum Konfigurieren von Intune als rollenbasierte Zugriffssteuerungsautorität für mandantenseitig angefügte Geräte sind:
- Deaktivieren Sie über die Konfigurations-Manager-Konsole die Erzwingung Konfigurations-Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients.
- Aktivieren Sie Intune die Verwaltung der Benutzerberechtigungen für in die Cloud angefügte Geräte.
- Überprüfen Sie in Intune rollenbasierte Zugriffssteuerungsberechtigungen für in die Cloud angefügte Geräte.
Voraussetzungen
- Konfigurations-Manager Version 2207 oder höher
- An Mandanten angefügte Geräte
Begrenzungen
- Derzeit wird die Bereichsdefinition nicht unterstützt, wenn nur Intune rollenbasierte Zugriffssteuerung zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center verwendet wird.
- Derzeit ist die Seite Softwareupdates für reine Cloudbenutzer nicht verfügbar, wenn sie den frühen Updatering von Konfigurations-Manager Version 2207 verwenden.
Deaktivieren der Erzwingung Konfigurations-Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients
Verwenden Sie die folgenden Anweisungen, um Intune rollenbasierte Zugriffssteuerung für die Mandantenanfügung anstelle Konfigurations-Manager rollenbasierten Zugriffssteuerung zu verwenden:
Wechseln Sie in der Konfigurations-Manager-Konsole zu Verwaltung>Cloud Services>Cloudanfügen.
Der Speicherort der option für die rollenbasierte Zugriffssteuerung hängt davon ab, ob Ihre Umgebung bereits in die Cloud angefügt ist oder nicht.
- Wenn Ihre Umgebung bereits in die Cloud angefügt ist, öffnen Sie die Eigenschaften für CoMgmtSettingsProd. Wenn Sie keine Geräte in das Admin Center hochgeladen haben, konfigurieren Sie diese Option zuerst. Weitere Informationen finden Sie unter Cloudanfügung aktivieren.
- Wenn Ihre Umgebung nicht in die Cloud angefügt ist, wählen Sie Cloudanfügung konfigurieren aus, um den Assistenten für die Cloudanfügungskonfiguration zu öffnen.
Deaktivieren Sie auf der Registerkarte Upload konfigurieren oder im Assistenten das Kontrollkästchen für die folgende Option unter der Überschrift Rollenbasierte Access Control:
Erzwingen Konfigurations-Manager RBAC für Cloudkonsolenanforderungen, die mit Konfigurations-Manager interagieren
Wählen Sie OK aus, um die Änderung an den CoMgmtSettingsProd-Eigenschaften zu speichern, oder fahren Sie fort, um den Cloudanfügungs-Assistenten abzuschließen.
Aktivieren der rollenbasierten Zugriffssteuerung über Intune
Führen Sie die folgenden Schritte aus, um Intune zum Verwalten von Benutzerberechtigungen für in die Cloud angefügte Geräte zu aktivieren:
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich als Benutzer an, der über die Berechtigung Rollen/Aktualisieren verfügt. Weitere Informationen zur Berechtigung finden Sie unter Benutzerdefinierte Rollenberechtigungen in Intune.
- Wählen Sie Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager aus.
- Wählen Sie im Banner Sie können auch Benutzerberechtigungen über Intune verwalten aus. Klicken Sie hier, um mehr über diese Option zu erfahren.
- Das Flyout Use Intune RBAC (RBAC verwenden) wird angezeigt.
- Wählen Sie ein für die Option RBAC verwenden Intune aus, und wählen Sie dann Übernehmen aus.
- Es kann etwa 10 Minuten dauern, bis die Änderung wirksam wird.
Überprüfen der Berechtigungen der rollenbasierten Zugriffssteuerung aus Intune
Sobald Intune auf die rollenbasierte Zugriffssteuerungsautorität festgelegt ist, überprüfen Sie die Berechtigungen für Ihre Rollen. Bei Bedarf können Sie diese Berechtigungen benutzerdefinierten Rollen hinzufügen, die Sie in Intune erstellt haben.
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich an.
- Wählen Sie Mandantenverwaltungsrollen>aus.
- Wählen Sie eine Rolle aus, z. B . Anwendungs-Manager, und überprüfen Sie die Berechtigungen für in die Cloud angefügte Geräte. Bearbeiten Sie bei Bedarf die Berechtigungen für alle benutzerdefinierten Rollen, die Sie in Intune erstellt haben.
Die folgenden Intune Berechtigungen steuern den Zugriff auf die Konfigurations-Manager in die Cloud angefügten Geräte:
| Berechtigung | Beschreibung | Intune integrierten Rollen mit der Berechtigung |
|---|---|---|
| In die Cloud angefügte Geräte\Sammlungen anzeigen | Zeigt die Seite Sammlungen für Konfigurations-Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ressourcen-Explorer anzeigen | Zeigt die Seite Ressourcen-Explorer für Konfigurations-Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\View Zeitleiste | Zeigt die Zeitachsenseite für Konfigurations-Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Softwareupdates anzeigen | Zeigt die Seite "Softwareupdates" für Konfigurations-Manager in die Cloud angeschlossenen Geräten an | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skripts anzeigen | Zeigt die Seite Skripts für Konfigurations-Manager an die Cloud angefügten Geräten an. | Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skript ausführen | Zeigt die Aktion Skript ausführen an und ermöglicht es dem Benutzer, Skripts auf Konfigurations-Manager in der Cloud verbundenen Geräten auszuführen. | Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\CMPivot-Abfrage ausführen | Zeigt die CMPivot-Seite für Konfigurations-Manager in die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Schuladministrator, Helpdeskoperator |
| In die Cloud angefügte Geräte\Clientdetails anzeigen | Zeigt die Seite "Clientdetails" für Konfigurations-Manager in die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Anwendungen anzeigen | Zeigt die Seite "Anwendungen" für Konfigurations-Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ausführen von Anwendungsaktionen | Zeigt Anwendungsaktionen auf der Seite Anwendungen an und ermöglicht es dem Benutzer, Anwendungsaktionen auf Konfigurations-Manager in der Cloud verbundenen Geräten auszuführen. | Anwendungs-Manager, Schuladministrator, Helpdesk-Operator |
| Remoteaufgaben/Rotieren von BitLockerKeys (Vorschau) | Initiiert eine Schlüsselrotation für BitLocker-Wiederherstellungskennwörter auf dem Gerät. Zeigt die Seite Wiederherstellungsschlüssel für Konfigurations-Manager an die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Helpdeskoperator |
Häufig gestellte Fragen
Ich habe reine Cloudbenutzer, die Zugriff auf Mandantengeräte in Intune benötigen. Erhalten sie dadurch Zugriff?
Ja. Wenn ein Benutzer nur in der Cloud arbeitet und sich in diesem Szenario in Microsoft Entra ID befindet und auf Intune zugreifen kann, erhält er mit Intune RBAC Zugriff auf geräte, die an mandantengebunden sind.
Was geschieht, wenn mehrere Konfigurations-Manager Hierarchien mit meinem Mandanten verbunden sind?
Die Einstellung RBAC verwenden Intune im Microsoft Intune Admin Center gilt für alle Konfigurations-Manager Hierarchien, die im Mandanten aufgeführt sind.
Was geschieht, wenn die einstellungen Konfigurations-Manager und Intune nicht übereinstimmen?
Wenn die Umschaltfläche RBAC Intune verwenden in Intune auf Aus festgelegt ist, wird Konfigurations-Manager rollenbasierter Zugriff erzwungen, auch wenn die Konfigurations-Manager RBAC für Die Interaktion mit der Cloudkonsole erzwingen Konfigurations-Manager Kontrollkästchen ist deaktiviert. Das Deaktivieren der Option Erzwingen Konfigurations-Manager RBAC für Cloudkonsolenanforderungen, die mit Konfigurations-Manager interagieren, hat keine Auswirkungen, bis die Umschaltfläche RBAC Intune verwenden in Intune auf Ein festgelegt ist.
Was geschieht, wenn meine Testhierarchie für die Verwendung von Intune RBAC konfiguriert ist, meine Produktionshierarchie jedoch nicht ist und sich im selben Mandanten befindet?
Die Einstellung RBAC verwenden Intune gilt für alle Konfigurations-Manager Hierarchien, die im Mandanten aufgeführt sind. Reine Cloudbenutzer können auf mandantenseitig angefügte Geräte zugreifen, die aus der Testhierarchie hochgeladen werden, da Sie auch das Kontrollkästchen deaktiviert haben, um Konfigurations-Manager RBAC zu erzwingen. Wenn ein rein cloudbasierter Benutzer versucht, auf ein aus der Produktionsumgebung hochgeladenes Gerät mit Mandantenanfügung zuzugreifen, erhält er einen Fehler, da Produktionsgeräte Konfigurations-Manager RBAC erzwingen. Der reine Cloudbenutzer erhält einen Fehler ähnlich der folgenden Meldung: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Konfigurations-Manager.
Nächste Schritte
- Überprüfen der Zeitleiste für ein in die Cloud angeschlossenes Gerät
- Ausführen einer CMPivot-Abfrage auf einem in die Cloud angefügten Gerät