Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Informationen in diesem Artikel können Ihnen dabei helfen, Benutzern, die Ihr Intune-Abonnement verwalten, Benutzer Microsoft Intune integrierten oder benutzerdefinierten Rollen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) zuzuweisen. RBAC-Rollen werden Gruppen und nicht einzelnen Benutzern zugewiesen.
Bevor Sie Gruppen Rollen zuweisen, stellen Sie sicher, dass Sie über ausreichende Gruppen für die verschiedenen Intune administrativen Aufgaben verfügen, und überprüfen Sie die Mitgliedschaft dieser Gruppen. Jedes Mitglied einer Gruppe, dem eine RBAC-Rolle zugewiesen ist, erhält die von dieser Rolle gewährten Berechtigungen. Berechtigungen aus mehreren Gruppen sind für einen Benutzer kumulativ, und es gibt keine Optionen zum Verweigern bestimmter Berechtigungen. Sie können bereichsbezogene Tags jedoch mit RBAC verwenden , um den Umfang dessen einzuschränken, was verschiedene Gruppen von Personen anzeigen und verwalten können.
Wichtig
Microsoft rät davon ab, Konten mit Intune Berechtigungen auf Administratorebene für die tägliche Verwaltung zu verwenden, wenn Rollen mit geringeren Berechtigungen ausreichen. Intune Administratorberechtigungen sind jedoch während der einrichtung der ersten Intune für Aufgaben erforderlich, z. B.:
- Fügen Sie Benutzer zu Intune hinzu, die als Ihre Intune Administratoren fungieren. (Siehe Hinzufügen von Benutzern)
- Erstellen Sie Gruppen von Benutzern, die ähnliche administrative Aufgaben gemeinsam haben. (Siehe Hinzufügen von Gruppen)
- Weisen Sie Gruppen von Benutzern RBAC-Rollen zu, und stellen Sie jeder Gruppe nur die Berechtigungen zur Verfügung, die zum Ausführen ihrer täglichen Aufgaben erforderlich sind. (Dieser Artikel)
Nachdem Sie diese Schritte ausgeführt haben, wechseln Sie zu einem Konto mit nur den Berechtigungen, die für die laufende Verwaltung erforderlich sind, um das Prinzip der geringsten Rechte einzuhalten.
RBAC-Berechtigungen, die zum Zuweisen von Rollen erforderlich sind
Zum Verwalten von RBAC-Rollen und -Zuweisungen in Intune muss Ihr Konto über einen der folgenden Berechtigungssätze verfügen:
Die Intune integrierte Rolle Intune Rollenadministrator. Integrierte Rolle mit den geringsten Rechten
Eine benutzerdefinierte Rolle, die die folgenden Kategorien und Kategorieberechtigungen enthält:
Rollen:
- Zuweisen
- Erstellen
- Löschen
- Lesen
- Aktualisieren
Organisation:
- Lesen
Bereitstellen Intune Rollenzuweisungen
Bevor Sie Intune Rollen bereitstellen, sollten Sie sich mit Informationen zu Intune Rollenzuweisungen vertraut machen, die Details zu verschiedenen Aspekten von Intune Rollenzuweisungen enthalten.
Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Mandantenverwaltungsrollen>>Alle Rollen.
Auf der Seite Intune Rollen – Alle Rollen finden Sie alle Intune Rollen, die in Ihrem Mandanten zugewiesen werden können. Jede Rolle verfügt über einen Typ, der sie entweder als integrierte Rolle identifiziert, die von Intune bereitgestellt wird, oder als benutzerdefinierte Intune Rolle, die von Ihrem organization erstellt wurde.
Wählen Sie die Rolle aus, die Sie zuweisen möchten, und wählen Sie dann Zuweisungen>+ Zuweisen aus.
Geben Sie auf der Seite Grundlagen einen Namen und optional eine Beschreibung ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Admin Gruppendie Option Gruppen hinzufügen aus, und wählen Sie dann eine Gruppe aus, die die Benutzer enthält, denen Sie die Rollenberechtigungen zuweisen möchten.
Tipp
Wenn Sie einer Gruppe eine Rolle zuweisen, erhält jedes Mitglied dieser Gruppe die von dieser Rolle gewährten Berechtigungen. Weisen Sie Rollen nur Gruppen zu, für die Sie die Mitgliedschaft kennen und die keine Benutzer enthalten, die nicht die von der Rolle bereitgestellten Administratorrechte erhalten sollen.
Wählen Sie Weiter aus.
Fügen Sie auf der Seite Bereich (Gruppen) Gruppen hinzu, die nur die Benutzer oder Geräte enthalten, die die Mitglieder der Admin Gruppen, die Sie im vorherigen Schritt ausgewählt haben, verwalten dürfen. Klicken Sie dann auf Weiter.
Hinweis
Die Gruppen Alle Benutzer und Alle Geräte sind Intune virtuellen Gruppen, nicht Microsoft Entra Sicherheitsgruppen. Daher können Sie sie nicht als übergeordnete Elemente für Microsoft Entra Sicherheitsgruppen in Bereichszuweisungen (Gruppen) verwenden. Um Alle Benutzer und Alle Geräte und bestimmte Microsoft Entra Sicherheitsgruppen zuzuweisen, fügen Sie diese separat hinzu. Andernfalls haben Administratoren keinen Zugriff auf bestimmte Microsoft Entra Benutzergruppen, auch wenn der Bereich (Gruppen) der Rolle auf Alle Benutzer festgelegt ist.
Die Schachtelung wird für Microsoft Entra Sicherheitsgruppen unterstützt.
Wählen Sie auf der Seite Bereich (Tags) Tags aus, auf die diese Rollenzuweisung angewendet wird. Wählen Sie Weiter aus.
Hinweis
Wenn Sie Bereichsgruppen definieren und dann ein Bereichstag zuweisen, können Administratoren nur Zielgruppen verwenden, die im Bereich (Gruppen) der Rollenzuweisung aufgeführt sind.
Wählen Sie auf der Seite Überprüfen + erstellen die Option Erstellen aus, wenn Sie fertig sind.
Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.