Admin Rollen für Intune im Microsoft 365 Admin Center

Ihr Microsoft 365- oder Office 365-Abonnement wird mit einer Reihe von Administratorrollen geliefert, die Sie allen Benutzern in Ihrer Organisation über das Microsoft 365-Admincenter zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern. Daher sind diese Rollen nur eine Teilmenge aller im Intune-Administratorcenter verfügbaren Rollen, die zusätzliche, für Intune selbst spezifische Rollen umfassen.

Bevor Sie bestimmte Intune-Rollen hinzufügen können, müssen die Rollen in Azure AD zugewiesen werden. Um diese Rollen anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center> Mandantenverwaltungsrollen >> Alle Rollen >** an. Sie können die Rolle auf den folgenden Seiten verwalten:

  • Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle.
  • Zuweisungen: Eine Liste von Rollenzuweisungen, die festlegen, welche Benutzer Zugriff auf welche Benutzer oder Geräte haben. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.

Über rollenbasierte Zugriffskontrolle in Intune

Mit der rollenbasierten Zugriffskontrolle (RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und was er mit diesen Ressourcen tun darf. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente sie sehen und ändern können. Es gibt sowohl integrierte als auch benutzerdefinierte Rollen, und jede Rolle verfügt über eine Reihe von Berechtigungen, die festlegen, worauf Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen oder was sie ändern können. Die folgenden Informationen behandeln beide Arten von Rollen in Intune.

Für das Erstellen, Bearbeiten oder Zuweisen von Rollen muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:

  • Globaler Administrator
  • Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).

Weitere Informationen zu Azure Active Directory Rollen und RBAC.

In Microsoft Intune integrierte Rollen

Eingebaute Rollen verwenden vordefinierte Regeln, die auf gängigen Intune-Szenarien basieren. Alternativ dazu basieren benutzerdefinierte Rollen auf Regeln, die von Ihnen selbst festgelegt werden.

Hier sind die integrierten Rollen, die Sie zuweisen können:

Administratorrolle Wem sollte diese Rolle zugewiesen werden?
Anwendungsmanager Weisen Sie die Rolle „Anwendungsmanager“ Benutzern zu, die den Anwendungslebenszyklus für mobile Anwendungen verwalten, richtlinienverwaltete Anwendungen konfigurieren und Geräteinformationen und Konfigurationsprofile anzeigen.
Helpdesk-Operator Weisen Sie die Helpdesk-Operator-Rolle den Benutzern zu, die Benutzern und Geräten Anwendungen und Richtlinien zuweisen.
Intune-Rollenadministrator Weisen Sie den Intune-Rollenadministrator Benutzern zu, die anderen Administratoren Intune-Berechtigungen zuweisen und benutzerdefinierte und eingebaute Intune-Rollen verwalten können.
Richtlinien- und Profilmanager Weisen Sie die Rolle des Richtlinien- und Profilmanagers den Benutzern zu, die Konformitätsrichtlinien, Konfigurationsprofile und Registrierung bei Apple verwalten.
Operator für „Schreibgeschützt“ Weisen Sie Benutzern, die nur Benutzer, Geräte, Anmeldedetails und Konfigurationen anzeigen können, die Rolle des Operators für „Schreibgeschützt“ zu.
Schuladministrator Benutzern die Schuladministratorrolle zuweisen, um vollen Zugriff auf die Verwaltung von Windows 10-11 und iOS-Geräten, -Apps und -Konfigurationen in Intune for Education zu erhalten.
Cloud-PC-Administrator Ein Cloud-PC-Administrator hat Lese- und Schreibzugriff auf alle Cloud-PC-Funktionen, die sich innerhalb des Cloud-PC-Blades befinden.
Cloud PC Lesegerät Ein Cloud PC Lesegerät hat Lesezugriff auf alle Cloud PC Funktionen, die sich im Cloud PC Blade befinden.

Benutzerdefinierte Microsoft Intune-Rollen

Sie können in Intune benutzerdefinierte Rollen erstellen, die alle für eine bestimmte Arbeitsfunktion erforderlichen Berechtigungen enthalten. Wenn beispielsweise eine IT-Abteilungsgruppe Anwendungen, Richtlinien und Konfigurationsprofile verwaltet, können Sie alle diese Berechtigungen gemeinsam einer benutzerdefinierten Rolle hinzufügen. Nachdem Sie eine benutzerdefinierte Rolle erstellt haben, können Sie sie allen Benutzern zuweisen, die diese Berechtigungen benötigen.

Wie bei den integrierten Rollen muss Ihr Konto eine der folgenden Berechtigungen in Azure AD haben, um Rollen erstellen, bearbeiten oder zuweisen zu können:

  • Globaler Administrator
  • Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).

So erstellen Sie eine benutzerdefinierte Rolle:

  1. Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen > Erstellen aus.

  2. Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für die neue Rolle ein, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf der Seite Berechtigungen auf die Berechtigungen, die Sie mit dieser Rolle verwenden möchten.

  4. Wählen Sie auf der Seite Bereich (Markierungen) die Tags für diese Rolle aus. Wenn diese Rolle einem Benutzer zugewiesen wird, kann dieser Benutzer auf Ressourcen zugreifen, die ebenfalls über diese Tags verfügen. Wählen Sie Weiter aus.

  5. Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Die neue Rolle wird in der Liste auf dem Blatt Intune-Rollen – Alle Rollen angezeigt.

So kopieren Sie eine Rolle:

  1. Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen > aus, aktivieren Sie das Kontrollkästchen für eine Rolle in der Liste >Duplizieren.

  2. Geben Sie auf der Seite Grundeinstellungen einen Namen ein. Stellen Sie sicher, dass Sie einen eindeutigen Namen verwenden.

  3. Alle Berechtigungen und Bereichstags der ursprünglichen Rolle werden bereits ausgewählt. Sie können anschließend den Namen, die Beschreibung, die Berechtigungen und den Geltungsbereich (Tags) der doppelten Rolle ändern.

  4. Nachdem Sie alle gewünschten Änderungen vorgenommen haben, klicken Sie auf Weiter, um auf die Seite Bewerten + erstellen weitergeleitet zu werden. Wählen Sie Erstellen aus.

Hinweis

Um Intune verwalten zu können, muss Ihnen eine Intune-Lizenz zugewiesen sein. Alternativ können Sie nicht lizenzierten Benutzern die Verwaltung von Intune gestatten, indem Sie die Option Zugriff für nicht lizenzierte Administratoren zulassen auf Ja setzen.

Zuweisen einer Rolle

Sie können einem Intune-Benutzer eine integrierte oder benutzerdefinierte Rolle zuweisen. Für das Erstellen, Bearbeiten oder Zuweisen von Rollen muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:

  • Globaler Administrator
  • Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).
  1. Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen aus.

  2. Wählen Sie die integrierte Rolle aus, die Sie Zuweisungen > + > Zuweisen möchten.

  3. Geben Sie auf der Seite Grundlagen einen Zuordnungsnamen und optional eine Zuordnungsbeschreibung ein und wählen Sie dann Weiter.

  4. Wählen Sie auf der SeiteAdministratorgruppen die Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen erteilen möchten. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Bereich (Gruppen) eine Gruppe aus, die die Benutzer und Geräte enthält, die das Mitglied oben verwalten darf. Sie haben auch die Möglichkeit, alle Benutzer oder alle Geräte auszuwählen. Wählen Sie Weiter aus.

Hinweis

Die Gruppen Alle Benutzer und Alle Geräte sind virtuelle Intune-Gruppen und nicht Azure Active Directory (Azure AD)-Sicherheitsgruppen. Daher können sie für Bereich (Gruppen)-Zuweisungszwecke nicht als übergeordnete Elemente für Azure AD-Sicherheitsgruppen verwendet werden. Wenn Sie sowohl Alle Benutzer als auch Alle Geräte benötigen sowie bestimmte Azure AD-Sicherheitsgruppen für Bereich (Gruppen)-Zuweisungen, müssen Sie diese separat mit unterschiedlichen Zuweisungen hinzufügen. Andernfalls hat der Administrator in dieser Rolle keinen Zugriff auf bestimmte Azure AD-Benutzergruppen, selbst wenn die Bereich (Gruppen)-Zuweisung für eine Rolle auf Alle Benutzer festgelegt ist. Für Azure AD-Sicherheitsgruppen wird die Schachtelung unterstützt.

  1. Wählen Sie auf der Seite Bereich (Markierungen) die Markierungen aus, bei denen diese Rollenzuweisung angewendet wird. Wählen Sie Weiter aus.

  2. Klicken Sie, wenn Sie fertig sind, auf der Seite Überprüfen + erstellen auf Erstellen. Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.

Hinweis

Wenn Sie Bereichsgruppen erstellen und ein Bereichs-Tag zuweisen, können Sie nur auf Gruppen abzielen, die im Bereich (Gruppen) Ihrer Rollenzuweisung aufgeführt sind.

Delegierte Administration für Microsoft-Partner

Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie, dass sie dies tun, z. B. wenn sie Ihre Onlineorganisation für Sie einrichten und verwalten.

Ein Partner kann die folgenden Rollen zuweisen:

  • Vollständige Verwaltung mit Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.

  • Eingeschränkte Verwaltung mit Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.

Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Dieser Vorgang wird von einem autorisierten Partner initiiert. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.

Informationen zu Microsoft 365-Administratorrollen (Artikel)
Zuweisen von Administratorrollen (Artikel)
Aktivitätsberichte im Microsoft 365 Admin Center (Artikel)