Rollenbasierte Intune-Zugriffssteuerung für mandantenseitig angefügte Clients
Gilt für: Configuration Manager (Current Branch)
Ab Configuration Manager Version 2207 können Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Intune verwenden, wenn Sie über das Microsoft Intune Admin Center mit mandantengebundenen Geräten interagieren. Wenn Sie beispielsweise Intune als rollenbasierte Zugriffssteuerungsautorität verwenden, benötigt ein Benutzer mit der Rolle Helpdeskoperator keine zugewiesene Sicherheitsrolle oder zusätzliche Berechtigungen von Configuration Manager. Die rollenbasierte Zugriffssteuerung in Intune verwaltet die Berechtigungen für alle in der Cloud angefügten Geräteseiten im Microsoft Intune Admin Center, z. B. gerätebasierte Zeitleiste, CMPivot und Skripts.
Wichtig
Derzeit ist jede Erzwingung der rollenbasierten Intune-Zugriffssteuerung zum Anzeigen und Ausführen von Aktionen auf an Mandanten angefügten Geräten aus dem Microsoft Intune Admin Center optional. Es wird empfohlen, dass alle Administratoren mit cloudgebundenen Configuration Manager Umgebungen damit beginnen, die rollenbasierten Zugriffssteuerungsberechtigungen von Intune zu überprüfen.
Die drei allgemeinen Schritte zum Konfigurieren von Intune als rollenbasierte Zugriffssteuerungsautorität für an Mandanten angefügte Geräte sind:
- Deaktivieren Sie über die Configuration Manager-Konsole die Erzwingung Configuration Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients.
- Aktivieren Sie in Intune die Verwaltung der Benutzerberechtigungen für in die Cloud angefügte Geräte.
- Überprüfen Sie in Intune rollenbasierte Zugriffssteuerungsberechtigungen für in die Cloud angefügte Geräte.
Voraussetzungen
- Configuration Manager Version 2207 oder höher
- An Mandanten angefügte Geräte
Begrenzungen
- Derzeit wird die Bereichsdefinition nicht unterstützt, wenn nur die rollenbasierte Zugriffssteuerung von Intune für zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center verwendet wird.
- Derzeit ist die Seite Softwareupdates für reine Cloudbenutzer nicht verfügbar, wenn sie den frühen Updatering von Configuration Manager Version 2207 verwenden.
Deaktivieren der Erzwingung Configuration Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients
Verwenden Sie die folgenden Anweisungen, um die rollenbasierte Zugriffssteuerung von Intune für die Mandantenanfügung anstelle Configuration Manager rollenbasierten Zugriffssteuerung zu verwenden:
Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung>Cloud Services>Cloudanfügen.
Der Speicherort der option für die rollenbasierte Zugriffssteuerung hängt davon ab, ob Ihre Umgebung bereits in die Cloud angefügt ist oder nicht.
- Wenn Ihre Umgebung bereits in die Cloud angefügt ist, öffnen Sie die Eigenschaften für CoMgmtSettingsProd. Wenn Sie keine Geräte in das Admin Center hochgeladen haben, konfigurieren Sie diese Option zuerst. Weitere Informationen finden Sie unter Cloudanfügung aktivieren.
- Wenn Ihre Umgebung nicht in die Cloud angefügt ist, wählen Sie Cloudanfügung konfigurieren aus, um den Assistenten für die Cloudanfügungskonfiguration zu öffnen.
Deaktivieren Sie auf der Registerkarte Upload konfigurieren oder im Assistenten das Kontrollkästchen für die folgende Option unter der Überschrift Rollenbasierte Access Control:
Erzwingen Configuration Manager RBAC für Cloudkonsolenanforderungen, die mit Configuration Manager interagieren
Wählen Sie OK aus, um die Änderung an den CoMgmtSettingsProd-Eigenschaften zu speichern, oder fahren Sie fort, um den Cloudanfügungs-Assistenten abzuschließen.
Aktivieren der rollenbasierten Zugriffssteuerung über Intune
Führen Sie die folgenden Schritte aus, um Intune die Verwaltung von Benutzerberechtigungen für in die Cloud angefügte Geräte zu ermöglichen:
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich als Benutzer an, der über die Berechtigung Rollen/Aktualisieren verfügt. Weitere Informationen zur Berechtigung finden Sie unter Benutzerdefinierte Rollenberechtigungen in Intune.
- Wählen Sie Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager aus.
- Wählen Sie im Banner Sie können auch Benutzerberechtigungen aus Intune verwalten aus. Klicken Sie hier, um mehr über diese Option zu erfahren.
- Das Flyout Intune RBAC verwenden wird angezeigt.
- Wählen Sie ein für die Option Intune RBAC verwenden aus, und wählen Sie dann Anwenden aus.
- Es kann etwa 10 Minuten dauern, bis die Änderung wirksam wird.
Überprüfen der Rollenbasierten Zugriffssteuerungsberechtigungen von Intune
Nachdem Intune auf die rollenbasierte Zugriffssteuerungsautorität festgelegt ist, überprüfen Sie die Berechtigungen für Ihre Rollen. Bei Bedarf können Sie diese Berechtigungen benutzerdefinierten Rollen hinzufügen, die Sie in Intune erstellt haben.
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich an.
- Wählen Sie Mandantenverwaltungsrollen>aus.
- Wählen Sie eine Rolle aus, z. B . Anwendungs-Manager, und überprüfen Sie die Berechtigungen für in die Cloud angefügte Geräte. Bearbeiten Sie bei Bedarf Die Berechtigungen für alle benutzerdefinierten Rollen , die Sie in Intune erstellt haben.
Die folgenden Intune-Berechtigungen steuern den Zugriff auf die Configuration Manager in die Cloud angeschlossenen Geräte:
| Berechtigung | Beschreibung | Integrierte Intune-Rollen mit der Berechtigung |
|---|---|---|
| In die Cloud angefügte Geräte\Sammlungen anzeigen | Zeigt die Seite Sammlungen für Configuration Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ressourcen-Explorer anzeigen | Zeigt die Seite Ressourcen-Explorer für Configuration Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\View Zeitleiste | Zeigt die Zeitachsenseite für Configuration Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Softwareupdates anzeigen | Zeigt die Seite "Softwareupdates" für Configuration Manager in die Cloud angeschlossenen Geräten an | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skripts anzeigen | Zeigt die Seite Skripts für Configuration Manager an die Cloud angefügten Geräten an. | Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skript ausführen | Zeigt die Aktion Skript ausführen an und ermöglicht es dem Benutzer, Skripts auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. | Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\CMPivot-Abfrage ausführen | Zeigt die CMPivot-Seite für Configuration Manager in die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Schuladministrator, Helpdeskoperator |
| In die Cloud angefügte Geräte\Clientdetails anzeigen | Zeigt die Seite "Clientdetails" für Configuration Manager in die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Anwendungen anzeigen | Zeigt die Seite "Anwendungen" für Configuration Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ausführen von Anwendungsaktionen | Zeigt Anwendungsaktionen auf der Seite Anwendungen an und ermöglicht es dem Benutzer, Anwendungsaktionen auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. | Anwendungs-Manager, Schuladministrator, Helpdesk-Operator |
| Remoteaufgaben/Rotieren von BitLockerKeys (Vorschau) | Initiiert eine Schlüsselrotation für BitLocker-Wiederherstellungskennwörter auf dem Gerät. Zeigt die Seite Wiederherstellungsschlüssel für Configuration Manager an die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Helpdeskoperator |
Häufig gestellte Fragen
Ich habe reine Cloudbenutzer, die Zugriff auf mandantenseitig angefügte Geräte in Intune benötigen. Erhalten sie dadurch Zugriff?
Ja Wenn ein Benutzer nur in der Cloud ist, d. h., er befindet sich in Microsoft Entra ID und kann auf Intune zugreifen, erhält er mithilfe der RBAC von Intune Zugriff auf geräte, die an den Mandanten angefügt sind.
Was geschieht, wenn mehrere Configuration Manager Hierarchien mit meinem Mandanten verbunden sind?
Die Einstellung Intune RBAC verwenden im Microsoft Intune Admin Center gilt für alle Configuration Manager Hierarchien, die im Mandanten aufgeführt sind.
Was geschieht, wenn die Configuration Manager- und Intune-Einstellungen nicht übereinstimmen?
Wenn die Umschaltfläche Intune RBAC in Intune verwenden auf Aus festgelegt ist, wird Configuration Manager rollenbasierter Zugriff erzwungen, auch wenn das Kontrollkästchen Configuration Manager RBAC für Cloudkonsolenanforderungen erzwingen, die mit Configuration Manager interagieren deaktiviert ist. Das Deaktivieren der Option Erzwingen Configuration Manager RBAC für Cloudkonsolenanforderungen, die mit Configuration Manager interagieren, hat erst dann auswirkungen, wenn die Umschaltfläche Intune RBAC verwenden in Intune auf Ein festgelegt ist.
Was geschieht, wenn meine Testhierarchie für die Verwendung von Intune RBAC konfiguriert ist, meine Produktionshierarchie aber nicht und sie sich im selben Mandanten befinden?
Die Einstellung Intune RBAC verwenden gilt für alle Configuration Manager Hierarchien, die im Mandanten aufgeführt sind. Reine Cloudbenutzer können auf mandantenseitig angefügte Geräte zugreifen, die aus der Testhierarchie hochgeladen werden, da Sie auch das Kontrollkästchen deaktiviert haben, um Configuration Manager RBAC zu erzwingen. Wenn ein rein cloudbasierter Benutzer versucht, auf ein aus der Produktionsumgebung hochgeladenes Gerät mit Mandantenanfügung zuzugreifen, erhält er einen Fehler, da Produktionsgeräte Configuration Manager RBAC erzwingen. Der reine Cloudbenutzer erhält einen Fehler ähnlich der folgenden Meldung: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Nächste Schritte
- Überprüfen der Zeitleiste für ein in die Cloud angeschlossenes Gerät
- Ausführen einer CMPivot-Abfrage auf einem in die Cloud angefügten Gerät
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für