Admin Rollen für Intune im Microsoft 365 Admin Center
Ihr Microsoft 365- oder Office 365-Abonnement wird mit einer Reihe von Administratorrollen geliefert, die Sie allen Benutzern in Ihrer Organisation über das Microsoft 365-Admincenter zuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern. Daher sind diese Rollen nur eine Teilmenge aller im Intune-Administratorcenter verfügbaren Rollen, die zusätzliche, für Intune selbst spezifische Rollen umfassen.
Vor dem Hinzufügen bestimmter Intune-Rollen müssen Rollen in Microsoft Entra-ID zugewiesen werden. Um diese Rollen anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center>Mandantenverwaltungsrollen>>Alle Rollen an. Sie können die Rolle auf den folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle.
- Zuweisungen: Eine Liste von Rollenzuweisungen, die festlegen, welche Benutzer Zugriff auf welche Benutzer oder Geräte haben. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.
Über rollenbasierte Zugriffskontrolle in Intune
Mit der rollenbasierten Zugriffskontrolle (RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und was er mit diesen Ressourcen tun darf. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente sie sehen und ändern können. Es gibt sowohl integrierte als auch benutzerdefinierte Rollen, und jede Rolle verfügt über eine Reihe von Berechtigungen, die festlegen, worauf Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen oder was sie ändern können. Die folgenden Informationen behandeln beide Arten von Rollen in Intune.
Zum Erstellen, Bearbeiten oder Zuweisen von Rollen muss Ihr Konto über eine der folgenden Berechtigungen in Microsoft Entra ID verfügen:
- Globaler Administrator
- Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).
Weitere Informationen finden Sie unter Microsoft Entra Rollen und RBAC.
In Microsoft Intune integrierte Rollen
Eingebaute Rollen verwenden vordefinierte Regeln, die auf gängigen Intune-Szenarien basieren. Alternativ dazu basieren benutzerdefinierte Rollen auf Regeln, die von Ihnen selbst festgelegt werden.
Hier sind die integrierten Rollen, die Sie zuweisen können:
| Administratorrolle | Wem sollte diese Rolle zugewiesen werden? |
|---|---|
| Anwendungsmanager | Weisen Sie die Rolle „Anwendungsmanager“ Benutzern zu, die den Anwendungslebenszyklus für mobile Anwendungen verwalten, richtlinienverwaltete Anwendungen konfigurieren und Geräteinformationen und Konfigurationsprofile anzeigen. |
| Helpdesk-Operator | Weisen Sie die Helpdesk-Operator-Rolle den Benutzern zu, die Benutzern und Geräten Anwendungen und Richtlinien zuweisen. |
| Intune-Rollenadministrator | Weisen Sie den Intune-Rollenadministrator Benutzern zu, die anderen Administratoren Intune-Berechtigungen zuweisen und benutzerdefinierte und eingebaute Intune-Rollen verwalten können. |
| Richtlinien- und Profilmanager | Weisen Sie die Rolle des Richtlinien- und Profilmanagers den Benutzern zu, die Konformitätsrichtlinien, Konfigurationsprofile und Registrierung bei Apple verwalten. |
| Operator für „Schreibgeschützt“ | Weisen Sie Benutzern, die nur Benutzer, Geräte, Anmeldedetails und Konfigurationen anzeigen können, die Rolle des Operators für „Schreibgeschützt“ zu. |
| Schuladministrator | Benutzern die Schuladministratorrolle zuweisen, um vollen Zugriff auf die Verwaltung von Windows 10-11 und iOS-Geräten, -Apps und -Konfigurationen in Intune for Education zu erhalten. |
| Cloud-PC-Administrator | Ein Cloud-PC-Administrator hat Lese- und Schreibzugriff auf alle Cloud-PC-Funktionen, die sich innerhalb des Cloud-PC-Blades befinden. |
| Cloud PC Lesegerät | Ein Cloud PC Lesegerät hat Lesezugriff auf alle Cloud PC Funktionen, die sich im Cloud PC Blade befinden. |
Benutzerdefinierte Microsoft Intune-Rollen
Sie können in Intune benutzerdefinierte Rollen erstellen, die alle für eine bestimmte Arbeitsfunktion erforderlichen Berechtigungen enthalten. Wenn beispielsweise eine IT-Abteilungsgruppe Anwendungen, Richtlinien und Konfigurationsprofile verwaltet, können Sie alle diese Berechtigungen gemeinsam einer benutzerdefinierten Rolle hinzufügen. Nachdem Sie eine benutzerdefinierte Rolle erstellt haben, können Sie sie allen Benutzern zuweisen, die diese Berechtigungen benötigen.
Wie bei integrierten Rollen muss Ihr Konto zum Erstellen, Bearbeiten oder Zuweisen von Rollen über eine der folgenden Berechtigungen in Microsoft Entra ID verfügen:
- Globaler Administrator
- Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).
So erstellen Sie eine benutzerdefinierte Rolle:
Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen > Erstellen aus.
Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für die neue Rolle ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Berechtigungen auf die Berechtigungen, die Sie mit dieser Rolle verwenden möchten.
Wählen Sie auf der Seite Bereich (Markierungen) die Tags für diese Rolle aus. Wenn diese Rolle einem Benutzer zugewiesen wird, kann dieser Benutzer auf Ressourcen zugreifen, die ebenfalls über diese Tags verfügen. Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Die neue Rolle wird in der Liste auf dem Blatt Intune-Rollen – Alle Rollen angezeigt.
So kopieren Sie eine Rolle:
Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen > aus, aktivieren Sie das Kontrollkästchen für eine Rolle in der Liste >Duplizieren.
Geben Sie auf der Seite Grundeinstellungen einen Namen ein. Stellen Sie sicher, dass Sie einen eindeutigen Namen verwenden.
Alle Berechtigungen und Bereichstags der ursprünglichen Rolle werden bereits ausgewählt. Sie können anschließend den Namen, die Beschreibung, die Berechtigungen und den Geltungsbereich (Tags) der doppelten Rolle ändern.
Nachdem Sie alle gewünschten Änderungen vorgenommen haben, klicken Sie auf Weiter, um auf die Seite Bewerten + erstellen weitergeleitet zu werden. Wählen Sie Erstellen aus.
Hinweis
Um Intune verwalten zu können, muss Ihnen eine Intune-Lizenz zugewiesen sein. Alternativ können Sie nicht lizenzierten Benutzern die Verwaltung von Intune gestatten, indem Sie die Option Zugriff für nicht lizenzierte Administratoren zulassen auf Ja setzen.
Zuweisen einer Rolle
Sie können einem Intune-Benutzer eine integrierte oder benutzerdefinierte Rolle zuweisen. Zum Erstellen, Bearbeiten oder Zuweisen von Rollen muss Ihr Konto über eine der folgenden Berechtigungen in Microsoft Entra ID verfügen:
- Globaler Administrator
- Intune Service Administrator (auch bekannt als Intune Administrator, aber nicht zu verwechseln mit der eingebauten Intune Role Administrator Rolle).
Wählen Sie im Microsoft Intune Admin Center Mandantenverwaltungsrollen >> Alle Rollen aus.
Wählen Sie die integrierte Rolle aus, die Sie Zuweisungen > + > Zuweisen möchten.
Geben Sie auf der Seite Grundlagen einen Zuordnungsnamen und optional eine Zuordnungsbeschreibung ein und wählen Sie dann Weiter.
Wählen Sie auf der SeiteAdministratorgruppen die Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen erteilen möchten. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Bereich (Gruppen) eine Gruppe aus, die die Benutzer und Geräte enthält, die das Mitglied oben verwalten darf. Sie haben auch die Möglichkeit, alle Benutzer oder alle Geräte auszuwählen. Wählen Sie Weiter aus.
Hinweis
Alle Benutzer und Alle Geräte sind virtuelle Intune-Gruppen und nicht Microsoft Entra Sicherheitsgruppen. Daher können Sie sie für Bereichszuweisungszwecke (Gruppen) nicht als übergeordnete Elemente Microsoft Entra Sicherheitsgruppen verwenden. Wenn Sie sowohl Alle Benutzer als auch Alle Geräte sowie bestimmte Microsoft Entra Sicherheitsgruppen für Bereichszuweisungen (Gruppen) benötigen, müssen Sie diese separat mit separaten Zuweisungen hinzufügen. Andernfalls hat der Administrator in dieser Rolle keinen Zugriff auf bestimmte Microsoft Entra Benutzergruppen, wenn die Zuweisung Bereich (Gruppen) für eine Rolle auf Alle Benutzer festgelegt ist. Für Microsoft Entra Sicherheitsgruppen wird die Schachtelung unterstützt.
Wählen Sie auf der Seite Bereich (Markierungen) die Markierungen aus, bei denen diese Rollenzuweisung angewendet wird. Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Überprüfen + erstellen auf Erstellen. Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.
Hinweis
Wenn Sie Bereichsgruppen erstellen und ein Bereichs-Tag zuweisen, können Sie nur auf Gruppen abzielen, die im Bereich (Gruppen) Ihrer Rollenzuweisung aufgeführt sind.
Delegierte Administration für Microsoft-Partner
Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie, dass sie dies tun, z. B. wenn sie Ihre Online-organization für Sie einrichten und verwalten.
Ein Partner kann die folgenden Rollen zuweisen:
Vollständige Verwaltung mit Berechtigungen, die jenen eines globalen Administrators entsprechen, mit der Ausnahme, dass die mehrstufige Authentifizierung über das Partner Center verwaltet wird.
Eingeschränkte Verwaltung mit Berechtigungen, die jenen eines Helpdesk-Administrators entsprechen.
Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Dieser Vorgang wird von einem autorisierten Partner initiiert. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.
Siehe auch
Ressourcen für Microsoft-Partner, die mit kleinen und mittleren Unternehmen arbeiten
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für