Hinzufügen von Benutzern und Gewähren von Administratorrechten für Intune

  • Artikel
  • 6 Minuten Lesedauer

Als Administrator können Sie Benutzer direkt oder durch Synchronisieren mit Ihrem lokalen Active Directory hinzufügen. Nachdem ein Benutzer hinzugefügt wurde, kann er Geräte registrieren und auf Unternehmensressourcen zugreifen. Sie können Benutzern auch zusätzliche Berechtigungen erteilen, beispielsweise globale Administrator- und Dienstadministrator-Berechtigungen.

Hinzufügen von Benutzern zu Intune

Sie können Ihrem Intune-Abonnement manuell Benutzer über das Microsoft 365 Admin Center oder das Microsoft Intune Admin Center hinzufügen. Ein Administrator kann Benutzerkonten bearbeiten, um Intune-Lizenzen zuzuweisen. Sie können Lizenzen entweder im Microsoft 365 Admin Center oder im Microsoft Intune Admin Center zuweisen. Weitere Informationen zur Verwendung des Microsoft 365 Admin Centers finden Sie unter Hinzufügen von einzelnen Benutzern oder Massenhinzufügen von Benutzern zum Microsoft 365 Admin Center.

Hinzufügen von Intune-Benutzern im Microsoft 365 Admin Center

  1. Melden Sie sich mit einem globalen Administratorkonto oder einem Konto für Benutzerverwaltungsadministratoren beim Microsoft 365 Admin Center an.
  2. Wählen Sie im Microsoft 365-Menü die Option Benutzer>Aktive Benutzer>Benutzer hinzufügen aus.
  3. Geben Sie die folgenden Benutzerdetails an:
    • Vorname
    • Nachname
    • Anzeigename
    • Benutzername: Universal Principle Name (UPN), der in Azure Active Directory gespeichert und für den Zugriff auf den Dienst verwendet wird.
    • Kennwort: Automatisch generieren oder erstellen.
  4. Wählen Sie Weiter aus.
  5. Wählen Sie auf der Seite Produktlizenzen zuweisen einen Speicherort und dann eine Lizenz für diesen Benutzer aus. Es ist eine Lizenz erforderlich, die Intune enthält.
  6. Wählen Sie Weiter aus.
  7. Auf der Seite Optionale Einstellungen können Sie folgende Optionen wählen:
    • Weisen Sie dem neuen Benutzer zusätzliche Rollen zu (standardmäßig erhält der neue Benutzer die Rolle „Benutzer“).
    • Geben Sie Profilinformationen an.
  8. Wählen Sie Weiter aus.
  9. Wählen Sie auf der Seite Überprüfen und fertigstellen die Option Hinzufügen fertigstellen aus, um den Benutzer hinzuzufügen. Wählen Sie Schließen aus, um die Seite Benutzer hinzufügen zu schließen.

Hinzufügen Intune Benutzer im Microsoft Intune Admin Center

  1. Wählen Sie im Microsoft Intune Admin CenterBenutzer>Alle Benutzer>Neuer Benutzer>Erstellen aus.
  2. Geben Sie die folgenden Benutzerdetails an:
    • Benutzername: Der neue Name, den der Benutzer für die Anmeldung bei Azure Active Directory verwendet.
    • Name: Vorname des Benutzers.
    • Vorname : Der Vorname des Benutzers.
    • Nachname : Der Nachname des Benutzers.
  3. Wählen Sie aus, ob Sie das Kennwort für den neuen Benutzer erstellen möchten, oder ob es automatisch generiert werden soll.
  4. Um den neuen Benutzer Gruppen zuzuweisen (optional), wählen Sie 0 Gruppen ausgewählt aus, um den Bereich Gruppen zu öffnen. Hier können Sie die Gruppen auswählen, die Sie dem Benutzer zuweisen möchten. Wenn Sie die Auswahl von Gruppen abgeschlossen haben, wählen Sie Auswählen aus.
  5. Standardmäßig wird dem neuen Benutzer die Rolle Benutzer zugewiesen. Wenn Sie dem Benutzer Rollen hinzufügen möchten, wählen Sie Benutzer unter Gruppen und Rollen aus. Wählen Sie im Bereich Verzeichnisrollen die Rollen aus, die Sie dem Benutzer zuweisen möchten, und wählen Sie dann Auswählen aus.
  6. Wenn Sie die Anmeldung des Benutzers blockieren möchten, können Sie Ja für Anmeldung blockieren auswählen. Stellen Sie sicher, dass Sie dies wieder auf Nein zurücksetzen, wenn Sie bereit sind, dem Benutzer das Anmelden zu gewähren.
  7. Wählen Sie einen Nutzungsstandort für den neuen Benutzer aus. Der Nutzungsstandort wird benötigt, bevor Sie dem neuen Benutzer eine Intune-Lizenz zuweisen können.
  8. Optional können Sie Informationen für Position, Abteilung, Firmenname und Manager angeben.
  9. Wählen Sie Erstellen aus, um in Intune einen neuen Benutzer hinzuzufügen.

Gewähren von Administratorberechtigungen

Nachdem Sie Ihrem Intune-Abonnement Benutzer hinzugefügt haben, sollten Sie einigen Benutzern Administratorrechte gewähren. Befolgen Sie diese Schritte, um Administratorberechtigungen zu gewähren:

Gewähren von Administratorberechtigungen in Microsoft 365

  1. Melden Sie sich bei der Microsoft 365 Admin Center mit einem globalen Administratorkonto > an. Wählen Sie Benutzer>Aktive Benutzer> wählen den Benutzer aus, der Administratorberechtigungen erteilt werden soll.
  2. Wählen Sie im Benutzerbereich Rollen verwalten unter Rollen aus.
  3. Wählen Sie im Bereich Rollen verwalten die Administratorberechtigungen aus der Liste der verfügbaren Rollen, die Sie zuweisen möchten.
  4. Wählen Sie Änderungen speichern aus.

Erteilen von Administratorberechtigungen im Microsoft Intune Admin Center

  1. Melden Sie sich beim Microsoft Intune Admin Center mit einem globalen Administratorkonto >benutzer an,> und wählen Sie dann den Benutzer aus, den Sie Administratorberechtigungen erteilen möchten.
  2. Wählen Sie Zugewiesene Rollen>Zuweisungen hinzufügen aus.
  3. Wählen Sie im Bereich Verzeichnisrollen die Rollen aus, die Sie dem Benutzer >Hinzufügen zuweisen möchten.

Typen von Administratoren

Weisen Sie Benutzern mindestens eine Administratorberechtigung zu. Diese Berechtigungen definieren den administrativen Bereich für Benutzer sowie die Aufgaben, die sie verwalten können. Administratorberechtigungen sind den verschiedenen Microsoft-Clouddiensten gemeinsam, und einige Berechtigungen werden möglicherweise nicht von allen Diensten unterstützt. Das Azure-Portal und das Microsoft 365 Admin Center führen jeweils eingeschränkte Administratorrollen auf, die von Intune nicht verwendet werden. Intune-Administratorberechtigungen enthalten folgende Optionen:

  • Globaler Administrator: (Microsoft 365 und Intune) Besitzt Zugriff auf alle Verwaltungsfunktionen in Intune. Standardmäßig wird die Person, die sich für Intune registriert, ein globaler Administrator. Globale Administratoren sind die einzigen Administratoren, die andere Administratorrollen zuweisen können. Sie können mehrere globale Administratoren in Ihrer Organisation benennen. Als bewährte Methode wird empfohlen, nur wenigen Personen in Ihrem Unternehmen diese Funktion zuzuweisen, um Risiken für Ihr Unternehmen so gering wie möglich zu halten.
  • Kennwortadministrator: (Microsoft 365 und Intune) Setzt Kennwörter zurück, verwaltet Serviceanfragen und überwacht den Dienststatus. Kennwortadministratoren sind auf das Zurücksetzen der Kennwörter von Benutzern beschränkt.
  • Dienstsupportadministrator: (Microsoft 365 und Intune) Öffnet Supportanfragen an Microsoft und überwacht das Servicedashboard und das Nachrichtencenter. Dienstadministratoren verfügen über die Berechtigung "Nur anzeigen" (neben dem Öffnen und Lesen von Supporttickets).
  • Rechnungsadministrator: (Microsoft 365 und Intune) Tätigt Erwerbe, verwaltet Abonnements, verwaltet Supporttickets und überwacht den Dienststatus.
  • Benutzeradministrator: (Microsoft 365 und Intune) Setzt Kennwörter zurück, überwacht den Dienststatus, kann Benutzerkonten hinzufügen oder löschen und verwaltet Serviceanfragen. Der Benutzerverwaltungsadministrator kann keine globalen Administratoren löschen, keine andere Administratorrollen erstellen und keine Kennwörter für andere Administratoren zurücksetzen.
  • Intune-Administrator: Alle globalen Intune-Administratorberechtigungen außer der Berechtigung zum Erstellen von Administratoren mit den Optionen von Verzeichnisrolle.

Das Konto, mit dem Sie Ihr Microsoft Intune-Abonnement erstellen, ist ein globaler Administrator. Als Best Practice empfiehlt es sich, für die täglichen Verwaltungsaufgaben keinen globalen Administrator zu verwenden. Ein Administrator benötigt zwar keine Intune-Lizenz für den Zugriff auf die Intune auf Azure-Portal, aber um bestimmte Verwaltungsaufgaben wie das Einrichten des Exchange-Dienstconnectors auszuführen, ist eine Intune-Lizenz erforderlich.

Für den Zugriff auf das Microsoft 365 Admin Center muss für Ihr Konto Anmeldung zulässig festgelegt sein. Legen Sie im Azure-Portal unter ProfilAnmeldung blockierenNein fest, um den Zugriff zu gewähren. Dieser Status unterscheidet sich vom Besitz einer Abonnementlizenz. Standardmäßig haben alle Benutzerkonten den Status Zugelassen. Benutzer ohne Administratorrechte können Intune-Kennwörter über das Microsoft 365 Admin Center zurücksetzen.

Synchronisieren von Active Directory und Hinzufügen von Benutzern zu Intune

Sie können die Verzeichnissynchronisierung so konfigurieren, dass Benutzerkonten aus Ihrem lokalen Active Directory in Microsoft Azure Active Directory (Azure AD) importiert werden. Dies schließt Intune Benutzer ein. Wenn Ihr lokaler Active Directory-Dienst mit all Ihren Azure Active Directory-basierten Diensten verbunden ist, gestaltet sich die Verwaltung der Benutzeridentität viel einfacher. Sie können auch Features für die einmalige Anmeldung konfigurieren, um den Benutzer die Authentifizierung vertraut und problemlos zu gestalten. Durch das Verknüpfen eines Azure AD-Mandanten mit mehreren Diensten sind die zuvor synchronisierten Benutzerkonten für alle cloudbasierten Dienste verfügbar.

Synchronisieren lokaler Benutzer mit Azure AD

Das einzige Tool, das Sie zur Synchronisierung der Benutzerkonten mit Azure AD benötigen, ist der Azure AD Connect-Assistent. Der Azure AD Connect-Assistent stellt eine Anleitung zum Herstellen der Verbindung zwischen Ihrer lokalen Identitätsinfrastruktur und der Cloud bereit. Wählen Sie Ihre Topologie und Bedürfnisse aus (einzelne oder mehrere Verzeichnisse, Kennworthashsynchronisierung, Pass-Through-Authentifizierung oder Verbund). Der Assistent konfiguriert alle Komponenten, die für die erfolgreiche Verbindung nötig sind, und stellt sie bereit. Hierzu gehören: Synchronisierungsdienste, Active Directory-Verbunddienste (AD FS) und das Azure AD PowerShell-Modul.

Tipp

Azure AD Connect umfasst Funktionen, die zuvor als Dirsync und Azure AD Sync veröffentlicht wurden. Weitere Informationen zur Verzeichnisintegration. Informationen zur Synchronisierung von Benutzerkonten aus einem lokalen Verzeichnis mit Azure AD finden Sie unter Ähnlichkeiten zwischen Active Directory und Azure AD.