Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Schützen des Zugriffs auf Ihre organization ist ein wesentlicher Sicherheitsschritt. In diesem Artikel werden grundlegende Details zur Verwendung Microsoft Intune rollenbasierten Zugriffssteuerungen (Role-Based Access Controls, RBAC) vorgestellt, die eine Erweiterung von Microsoft Entra ID RBAC-Steuerelementen sind. In den folgenden Artikeln können Sie Intune RBAC in Ihrem organization bereitstellen.
Mit Intune RBAC können Sie Ihren Administratoren präzise Berechtigungen erteilen, um zu steuern, wer Zugriff auf die Ressourcen Ihrer organization hat und was sie mit diesen Ressourcen tun können. Durch das Zuweisen Intune RBAC-Rollen und die Einhaltung der Prinzipien des Zugriffs mit den geringsten Rechten können Ihre Administratoren ihre zugewiesenen Aufgaben nur für die Benutzer und Geräte ausführen, für die sie die Möglichkeit haben sollten, sie zu verwalten.
RBAC-Rollen
Jede Intune RBAC-Rolle gibt einen Satz von Berechtigungen an, die für Benutzer verfügbar sind, die dieser Rolle zugewiesen sind. Berechtigungen bestehen aus einer oder mehreren Verwaltungskategorien wie Gerätekonfiguration oder Überwachungsdaten sowie aus Aktionen, die wie Lesen, Schreiben, Aktualisieren und Löschen ausgeführt werden können. Zusammen definieren sie den Umfang des administrativen Zugriffs und der Berechtigungen innerhalb Intune.
Intune umfasst sowohl integrierte als auch benutzerdefinierte Rollen. Integrierte Rollen sind in allen Mandanten identisch und werden für gängige Verwaltungsszenarien bereitgestellt, während benutzerdefinierte Rollen, die Sie erstellen, bestimmte Berechtigungen zulassen, die von einem Administrator benötigt werden. Darüber hinaus enthalten mehrere Microsoft Entra Rollen Berechtigungen innerhalb Intune.
Um eine Rolle im Intune Admin Center anzuzeigen, wechseln Sie zuMandantenverwaltungsrollen>>Alle Rollen>, und wählen Sie eine Rolle aus. Sie können diese Rolle dann über die folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle. Sie können auch den Namen, die Beschreibung und die Berechtigungen integrierter Rollen in dieser Dokumentation unter Integrierte Rollenberechtigungen anzeigen.
- Zuweisungen: Wählen Sie eine Zuweisung für eine Rolle aus, um Details dazu anzuzeigen, einschließlich der Gruppen und Bereiche, die die Zuweisung umfasst. Eine Rolle kann über mehrere Zuweisungen verfügen, und ein Benutzer kann mehrere Zuweisungen erhalten.
Hinweis
Im Juni 2021 begann Intune, nicht lizenzierte Administratoren zu unterstützen. Benutzerkonten, die nach dieser Änderung erstellt wurden, können Intune ohne zugewiesene Lizenz verwalten. Konten, die vor dieser Änderung erstellt wurden, benötigen weiterhin eine Lizenz zum Verwalten Intune.
Integrierte Rollen
Ein Intune-Administrator mit ausreichenden Berechtigungen kann Benutzergruppen jede der Intune Rollen zuweisen. Integrierte Rollen gewähren bestimmte Berechtigungen, die zum Ausführen von Verwaltungsaufgaben erforderlich sind, die dem Zweck der Rolle entsprechen. Intune unterstützt keine Änderungen an der Beschreibung, dem Typ oder den Berechtigungen einer integrierten Rolle.
- Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.
- Endpoint Privilege Manager: Verwaltet Richtlinien für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole.
- Endpunktberechtigungsleser: Leser von Endpunktberechtigungen können Endpunktberechtigungsverwaltungsrichtlinien in der Intune-Konsole anzeigen.
- Endpoint Security Manager: Verwaltet Sicherheits- und Compliancefeatures wie Sicherheitsbaselines, Gerätekonformität, bedingten Zugriff und Microsoft Defender for Endpoint.
- Helpdeskoperator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.
- Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.
- Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.
- Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen. Kann keine Änderungen in Intune vornehmen.
- Administrator für Bildungseinrichtungen: Verwaltet Windows 10 Geräte in Intune für Bildungseinrichtungen.
Wenn Ihr Mandant ein Abonnement für Windows 365 zur Unterstützung von Cloud-PCs enthält, finden Sie auch die folgenden Cloud-PC-Rollen im Intune Admin Center. Diese Rollen sind standardmäßig nicht verfügbar und enthalten Berechtigungen in Intune für Aufgaben im Zusammenhang mit Cloud-PCs. Weitere Informationen zu diesen Rollen finden Sie unter Integrierte Cloud-PC-Rollen in der Windows 365-Dokumentation.
- Cloud-PC-Administrator: Ein Cloud-PC-Administrator hat Lese - und Schreibzugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
- Cloud-PC-Reader: Ein Cloud-PC-Leser verfügt über Lesezugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
Benutzerdefinierte Rollen
Sie können eigene benutzerdefinierte Intune Rollen erstellen, um Administratoren nur die spezifischen Berechtigungen zu erteilen, die für ihre Aufgaben erforderlich sind. Diese benutzerdefinierten Rollen können jede Intune RBAC-Berechtigung enthalten, was einen optimierten Administratorzugriff und die Unterstützung des Prinzips des zugriffs mit den geringsten Rechten innerhalb des organization ermöglicht.
Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Microsoft Entra von Rollen mit Intune Zugriff
Intune RBAC-Berechtigungen sind eine Teilmenge Microsoft Entra RBAC-Berechtigungen. Als Teilmenge gibt es einige Entra-Rollen, die Berechtigungen in Intune enthalten. Die meisten Entra ID Rollen, die Zugriff auf Intune haben, gelten als privilegierte Rollen. Die Verwendung und Zuweisung privilegierter Rollen sollte eingeschränkt und nicht für tägliche Verwaltungsaufgaben innerhalb Intune verwendet werden.
Microsoft empfiehlt, das Prinzip der geringsten Berechtigungen zu befolgen, indem nur die mindestens erforderlichen Berechtigungen zugewiesen werden, damit ein Administrator seine Aufgaben ausführen kann. Um dieses Prinzip zu unterstützen, verwenden Sie die integrierten RBAC-Rollen von Intune für tägliche Intune administrative Aufgaben, und vermeiden Sie die Verwendung von Entra-Rollen, die Zugriff auf Intune haben.
In der folgenden Tabelle sind die Entra-Rollen aufgeführt, die Zugriff auf Intune haben, und die Intune Berechtigungen, die darin enthalten sind.
Microsoft Entra Rolle | Alle Intune-Daten | Intune-Überwachungsdaten |
---|---|---|
![]() |
Lesen/Schreiben | Lesen/Schreiben |
Intune Service Administrator![]() |
Lesen/Schreiben | Lesen/Schreiben |
![]() |
Keine | Keine |
![]() |
Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten) | Schreibgeschützt |
Symbol "Security Operator Privileged label" (Sicherheitsoperator ![]() |
Schreibgeschützt | Schreibgeschützt |
![]() |
Schreibgeschützt | Schreibgeschützt |
Complianceadministrator | Keine | Schreibgeschützt |
Compliancedatenadministrator | Keine | Schreibgeschützt |
![]() |
Schreibgeschützt | Schreibgeschützt |
![]() |
Schreibgeschützt | Schreibgeschützt |
Berichteleser | Keine | Schreibgeschützt |
Zusätzlich zu den Entra-Rollen mit der Berechtigung in Intune sind die folgenden drei Bereiche von Intune direkte Erweiterungen von Entra: Benutzer, Gruppen und bedingter Zugriff. Instanzen dieser Objekte und Konfigurationen aus Intune in Entra vorhanden. Als Entra-Objekte können sie von Entra-Administratoren mit ausreichenden Berechtigungen verwaltet werden, die von einer Entra-Rolle erteilt werden. Ebenso können Intune Administratoren mit ausreichenden Berechtigungen für Intune diese in Entra erstellten Objekttypen anzeigen und verwalten.
Privileged Identity Management für Intune
Wenn Sie Entra ID Privileged Identity Management (PIM) verwenden, können Sie verwalten, wann ein Benutzer die Von einer Intune RBAC-Rolle bereitgestellten Berechtigungen oder die Rolle Intune Administrator aus Entra ID verwenden kann.
Intune unterstützt zwei Methoden der Rollenerweiterung. Es gibt Unterschiede bei der Leistung und den geringsten Berechtigungen zwischen den beiden Methoden.
Methode 1: Erstellen Sie eine JIT-Richtlinie (Just-in-Time) mit Microsoft Entra Privileged Identity Management (PIM) für die Microsoft Entra integrierte rolle Intune Administrator, und weisen Sie ihr ein Administratorkonto zu.
Methode 2: Verwenden sie Privileged Identity Management (PIM) für Gruppen mit einer Intune RBAC-Rollenzuweisung. Weitere Informationen zur Verwendung von PIM für Gruppen mit Intune RBAC-Rollen finden Sie unter Konfigurieren Microsoft Intune Just-in-Time-Administratorzugriffs mit Microsoft Entra PIM für Gruppen | Microsoft Community Hub
Wenn Sie PIM-Rechteerweiterungen für die Rolle "Intune Administrator" aus Entra ID verwenden, erfolgt die Erhöhung in der Regel innerhalb von 10 Sekunden. Pim-Gruppenbasierte Rechteerweiterungen für die integrierten oder benutzerdefinierten Rollen von Intune dauern in der Regel bis zu 15 Minuten.
Informationen zu Intune Rollenzuweisungen
Sowohl Intune benutzerdefinierte als auch integrierte Rollen werden Gruppen von Benutzern zugewiesen. Eine zugewiesene Rolle gilt für jeden Benutzer in der Gruppe und definiert Folgendes:
- die einer Rolle zugewiesenen Benutzer
- die Ressourcen, die diese sehen können
- die Ressourcen, die diese ändern können
Jede Gruppe, der eine Intune Rolle zugewiesen ist, sollte nur Benutzer enthalten, die zum Ausführen der Administrativen Aufgaben für diese Rolle autorisiert sind.
- Wenn eine integrierte Rolle mit den geringsten Rechten übermäßige Berechtigungen oder Berechtigungen gewährt, sollten Sie die Verwendung einer benutzerdefinierten Rolle in Betracht ziehen, um den Umfang des Administratorzugriffs einzuschränken.
- Berücksichtigen Sie beim Planen von Rollenzuweisungen die Ergebnisse eines Benutzers mit mehreren Rollenzuweisungen.
Damit einem Benutzer eine Intune Rolle zugewiesen wird und Zugriff auf die Verwaltung Intune hat, benötigt er keine Intune Lizenz, solange sein Konto nach Juni 2021 in Entra erstellt wurde. Konten, die vor Juni 2021 erstellt wurden, müssen ihnen eine Lizenz zugewiesen werden, um Intune verwenden zu können.
Um eine vorhandene Rollenzuweisung anzuzeigen, wählen Sie Intune>Mandantenverwaltungsrollen>>Alle Rollen> eine Rolle > auswählen Zuweisungen> eine Zuweisung auswählen aus. Auf der Seite Zuweisungseigenschaften können Sie Folgendes bearbeiten:
Grundlagen: Der Name und die Beschreibung der Zuweisungen.
Mitglieder: Mitglieder sind die Gruppen, die beim Erstellen einer Rollenzuweisung auf der Seite Admin Gruppen konfiguriert werden. Alle Benutzer in den aufgeführten Azure-Sicherheitsgruppen verfügen über die Berechtigung zum Verwalten der Benutzer und Geräte, die unter Bereich (Gruppen) aufgeführt sind.
Bereich (Gruppen): Verwenden Sie Bereich (Gruppen), um die Gruppen von Benutzern und Geräten zu definieren, die ein Administrator mit dieser Rollenzuweisung verwalten kann. Administratoren mit dieser Rollenzuweisung können die von der Rolle gewährten Berechtigungen verwenden, um jeden Benutzer oder jedes Gerät innerhalb der definierten Bereichsgruppen der Rollenzuweisungen zu verwalten.
Tipp
Wenn Sie eine Bereichsgruppe konfigurieren, beschränken Sie den Zugriff, indem Sie nur die Sicherheitsgruppen auswählen, die den Benutzer und die Geräte enthalten, die ein Administrator mit dieser Rollenzuweisung verwalten soll. Um sicherzustellen, dass Administratoren mit dieser Rolle nicht auf alle Benutzer oder alle Geräte abzielen können, wählen Sie nicht Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus.
Bereichstags: Administratoren, denen diese Rollenzuweisung zugewiesen ist, können die Ressourcen mit den gleichen Bereichstags sehen.
Hinweis
Bereichstags sind Freihandform-Textwerte, die ein Administrator definiert und dann einer Rollenzuweisung hinzufügt. Das Bereichstag, das einer Rolle hinzugefügt wird, steuert die Sichtbarkeit der Rolle selbst, während das in der Rollenzuweisung hinzugefügte Bereichstag die Sichtbarkeit von Intune Objekten wie Richtlinien, Apps oder Geräten nur auf Administratoren in dieser Rollenzuweisung beschränkt, da die Rollenzuweisung mindestens ein übereinstimmende Bereichstag enthält.
Mehrere Rollenzuweisungen
Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:
- Berechtigungen sind inkrementell, wenn zwei oder mehr Rollen Berechtigungen für dasselbe Objekt gewähren. Ein Benutzer mit Leseberechtigungen aus einer Rolle und Lese-/Schreibberechtigungen aus einer anderen Rolle verfügt beispielsweise über die effektive Berechtigung Lesen/Schreiben (vorausgesetzt, die Zuweisungen für beide Rollen sind auf dieselben Bereichstags ausgerichtet).
- Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind. Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.
- Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.
- Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.
- Wenn keine Bereichstags vorhanden sind oder einige Bereichstags aus unterschiedlichen Zuweisungen zugewiesen sind, kann ein Benutzer nur Geräte sehen, die Teil einiger Bereichstags sind, und nicht alle Geräte.
Überwachen von RBAC-Zuweisungen
Dies und die drei Unterabschnitte sind in Bearbeitung.
Im Intune Admin Center können Sie zu Mandantenadministratorrollen> wechseln und Überwachen erweitern, um mehrere Ansichten zu finden, die Ihnen helfen können, die Berechtigungen zu identifizieren, die verschiedene Benutzer in Ihrem Intune Mandanten haben. In einer komplexen Administrativen Umgebung können Sie beispielsweise die Ansicht Admin Berechtigungen verwenden, um ein Konto anzugeben, damit Sie dessen aktuellen Umfang von Administratorrechten anzeigen können.
Meine Berechtigungen
Wenn Sie diesen Knoten auswählen, wird eine kombinierte Liste der aktuellen Intune RBAC-Kategorien und Berechtigungen angezeigt, die Ihrem Konto gewährt werden. Diese kombinierte Liste enthält alle Berechtigungen aus allen Rollenzuweisungen, aber nicht, welche Rollenzuweisungen sie bereitstellen oder durch welche Gruppenmitgliedschaft sie zugewiesen werden.
Rollen nach Berechtigung
In dieser Ansicht können Sie Details zu einer bestimmten Intune RBAC-Kategorie und -Berechtigung anzeigen, über welche Rollenzuweisungen und welche Gruppen diese Kombination verfügbar gemacht wird.
Wählen Sie zunächst eine Intune Berechtigungskategorie und dann eine bestimmte Berechtigung aus dieser Kategorie aus. Das Admin Center zeigt dann eine Liste der Instanzen an, die zu der Zuweisung dieser Berechtigung führen, die Folgendes umfasst:
- Rollenanzeigename : Der Name der integrierten oder benutzerdefinierten RBAC-Rolle, die die Berechtigung gewährt.
- Anzeigename der Rollenzuweisung : Der Name der Rollenzuweisung, die die Rolle Gruppen von Benutzern zuweist.
- Gruppenname : Der Name der Gruppe, die diese Rollenzuweisung erhält.
Admin Berechtigungen
Verwenden Sie den Knoten Admin Berechtigungen, um die spezifischen Berechtigungen zu identifizieren, die einem Konto derzeit gewährt werden.
Geben Sie zunächst ein Benutzerkonto an. Solange der Benutzer über Intune Berechtigungen verfügt, die für sein Konto zugewiesen sind, zeigt Intune die vollständige Liste dieser Berechtigungen an, die durch Kategorie und Berechtigung identifiziert werden.