Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune
Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente sie sehen und ändern können. Jeder Rolle sind Berechtigungen zugewiesen, die festlegen, auf welche Elemente Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen können und welche Elemente sie ändern können.
Für das Erstellen, Bearbeiten oder Zuweisen von Rollen muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:
- Globaler Administrator
- Intune-Dienstadministrator (auch als Intune-Administrator bezeichnet)
Rollen
Eine Rolle definiert die Berechtigungen, die den ihr zugewiesenen Benutzern gewährt werden. Sie können sowohl integrierte als auch benutzerdefinierte Rollen verwenden. Integrierte Rollen decken einige häufige Szenarios in Intune ab. Sie können aber auch Ihre eigenen benutzerdefinierten Rollen mit den gewünschten Berechtigungen erstellen. Mehrere Azure Active Directory Rollen verfügen über Berechtigungen für Intune. Um eine Rolle im Intune Admin Center anzuzeigen, wechseln Sie zuMandantenverwaltungsrollen>>Alle Rollen> wählen eine Rolle aus. Sie können die Rolle auf den folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle.
- Zuweisungen: Eine Liste mit Rollenzuweisungen, in der definiert wird, welche Benutzer Zugriff auf welche Benutzer/Geräte haben. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.
Hinweis
Um Intune verwalten zu können, muss Ihnen eine Intune-Lizenz zugewiesen sein. Alternativ können Sie nicht lizenzierten Benutzern die Verwaltung von Intune erlauben, indem Sie Zugriff für Administratoren ohne Lizenz zulassen auf „Ja“ festlegen.
Integrierte Rollen
Sie können Gruppen ohne weitere Konfiguration integrierte Rollen zuweisen. Sie können den Namen, die Beschreibung, den Typ oder die Berechtigungen einer integrierten Rolle löschen oder bearbeiten.
- Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.
- Endpoint Privilege Manager: Verwaltet Richtlinien für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole.
- Endpunktberechtigungsleser: Leser von Endpunktberechtigungen können Endpunktberechtigungsverwaltungsrichtlinien in der Intune-Konsole anzeigen.
- Endpunktsicherheits-Manager: Verwaltet Sicherheits- und Konformitätsfeatures, wie z. B. Sicherheitsbaselines, Gerätekonformität, bedingter Zugriff und Microsoft Defender für Endpunkt.
- Helpdeskoperator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.
- Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.
- Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.
- Organisationsnachrichten-Manager: Verwaltet Organisationsnachrichten in Intune Konsole.
- Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen. Kann keine Änderungen in Intune vornehmen.
- Administrator für Bildungseinrichtungen: Verwaltet Windows 10 Geräte in Intune für Bildungseinrichtungen.
- Cloud-PC-Administrator: Ein Cloud-PC-Administrator hat Lese- und Schreibzugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Blatt befinden.
- Cloud-PC-Reader: Ein Cloud-PC-Reader hat Lesezugriff auf alle Cloud-PC-Features, die sich auf dem Cloud-PC-Blatt befinden.
Benutzerdefinierte Rollen
Sie können mithilfe von benutzerdefinierten Berechtigungen Ihre eigenen Rollen erstellen. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Create a custom role (Erstellen von benutzerdefinierten Rollen).
Azure Active Directory-Rollen mit Zugriff auf Intune
| Azure Active Directory-Rolle | Alle Intune-Daten | Intune-Überwachungsdaten |
|---|---|---|
| Globaler Administrator | Lesen/Schreiben | Lesen/Schreiben |
| Intune-Dienstadministrator | Lesen/Schreiben | Lesen/Schreiben |
| Administrator für bedingten Zugriff | Keine | Keine |
| Sicherheitsadministrator | Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten) | Schreibgeschützt |
| Sicherheitsoperator | Schreibgeschützt | Schreibgeschützt |
| Sicherheitsleseberechtigter | Schreibgeschützt | Schreibgeschützt |
| Complianceadministrator | Keine | Schreibgeschützt |
| Compliancedatenadministrator | Keine | Schreibgeschützt |
| Globaler Leser (Diese Rolle entspricht der Rolle Intune Helpdeskoperator) | Schreibgeschützt | Schreibgeschützt |
| Berichteleser | Schreibgeschützt | Keine |
Tipp
Intune zeigt außerdem drei Azure AD-Erweiterungen an, Benutzer, Gruppen und Bedingter Zugriff, die mithilfe der rollenbasierten Zugriffssteuerung von Azure AD (RBAC) gesteuert werden. Darüber hinaus führt der Benutzerkontoadministrator lediglich auf AAD-Benutzer- und Gruppen bezogene Aktivitäten aus und verfügt nicht über Vollzugriffsberechtigungen zum Ausführen aller Aktivitäten in Intune. Weitere Informationen finden Sie unter RBAC mit Azure AD.
Rollenzuweisungen
Eine Rollenzuweisung definiert Folgendes:
- die einer Rolle zugewiesenen Benutzer
- die Ressourcen, die diese sehen können
- die Ressourcen, die diese ändern können
Sie können Ihren Benutzern sowohl benutzerdefinierte als auch integrierte Rollen zuweisen. Um einer Intune-Rolle zugewiesen zu werden, muss der Benutzer über eine Intune-Lizenz verfügen. Um eine Rollenzuweisung anzuzeigen, wählen Sie Intune>Mandantenverwaltungsrollen>>Alle Rollen> eine Rolle > auswählen Zuweisungen> eine Zuweisung auswählen aus. Auf der Seite Eigenschaften können Sie Folgendes bearbeiten:
- Grundlagen: Der Name und die Beschreibung der Zuweisungen.
- Mitglieder: Alle Benutzer in den aufgelisteten Azure-Sicherheitsgruppen haben die Berechtigung, die Benutzer/Geräte zu verwalten, die in „Bereich (Gruppen)“ aufgelistet sind.
- Bereich (Gruppen): Bereichsgruppen sind Azure AD-Sicherheitsgruppen von Benutzern oder Geräten oder beides, für die Administratoren in dieser Rollenzuweisung auf das Ausführen von Vorgängen beschränkt sind. Beispielsweise die Bereitstellung einer Richtlinie oder Anwendung für einen Benutzer oder das Remotesperren eines Geräts. Alle Benutzer und Geräte in diesen Azure AD-Sicherheitsgruppen können von den Benutzern verwaltet werden, die unter „Mitglieder“ aufgeführt sind.
- Bereich (Tags): Benutzer, die unter „Mitglieder“ aufgeführt sind, können die Ressourcen sehen, die dieselben Bereichsmarkierungen aufweisen.
Hinweis
Bereichstags sind Freihandformtextwerte, die ein Administrator definiert und dann einer Rollenzuweisung hinzufügt. Das in einer Rolle hinzugefügte Bereichstag steuert die Sichtbarkeit der Rolle selbst, während das in der Rollenzuweisung hinzugefügte Bereichstag die Sichtbarkeit von Intune Objekten (z. B. Richtlinien und Apps) oder Geräten auf Administratoren in dieser Rollenzuweisung beschränkt, da die Rollenzuweisung mindestens ein übereinstimmendes Bereichstag enthält.
Mehrere Rollenzuweisungen
Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:
- Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind. Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.
- Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.
- Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.