Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ihr Microsoft 365- oder Office 365-Abonnement verfügt über eine Reihe von Administratorrollen, die Sie benutzern in Ihrer organization mithilfe der Microsoft 365 Admin Center unter https://admin.microsoft.comzuweisen können. Jede Administratorrolle ist häufig genutzten Geschäftsfunktionen zugeordnet. Über diese Rollen erhalten Personen in Ihrer Organisation die Berechtigung zum Ausführen bestimmter Aufgaben in den Admin Centern. Daher sind diese Rollen nur eine Teilmenge aller im Intune-Administratorcenter verfügbaren Rollen, die zusätzliche, für Intune selbst spezifische Rollen umfassen.
Vor dem Hinzufügen bestimmter Intune Rollen müssen Rollen in Microsoft Entra ID zugewiesen werden. Um diese Rollen anzuzeigen, melden Sie sich beim Microsoft Intune Admin Center>Mandantenverwaltungsrollen>>Alle Rollen an. Sie können die Rolle auf den folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle.
- Zuweisungen: Eine Liste von Rollenzuweisungen, die festlegen, welche Benutzer Zugriff auf welche Benutzer oder Geräte haben. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.
Über rollenbasierte Zugriffskontrolle in Intune
Mit der rollenbasierten Zugriffskontrolle (RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und was er mit diesen Ressourcen tun darf. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente sie sehen und ändern können. Es gibt sowohl integrierte als auch benutzerdefinierte Rollen, und jede Rolle verfügt über eine Reihe von Berechtigungen, die festlegen, worauf Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen oder was sie ändern können. Die folgenden Informationen behandeln beide Arten von Rollen in Intune.
Zum Erstellen, Bearbeiten oder Zuweisen von Rollen muss Ihr Konto über den Intune-Dienstadministrator (auch als Intune Administrator bezeichnet, aber nicht mit der integrierten Rolle Intune Rollenadministrator verwechselt werden.)
Weitere Informationen finden Sie unter Microsoft Entra Rollen und RBAC.
In Microsoft Intune integrierte Rollen
Eingebaute Rollen verwenden vordefinierte Regeln, die auf gängigen Intune-Szenarien basieren. Alternativ dazu basieren benutzerdefinierte Rollen auf Regeln, die von Ihnen selbst festgelegt werden.
Hier sind die integrierten Rollen, die Sie zuweisen können:
Administratorrolle | Wem sollte diese Rolle zugewiesen werden? |
---|---|
Anwendungsmanager | Weisen Sie die Rolle „Anwendungsmanager“ Benutzern zu, die den Anwendungslebenszyklus für mobile Anwendungen verwalten, richtlinienverwaltete Anwendungen konfigurieren und Geräteinformationen und Konfigurationsprofile anzeigen. |
Helpdesk-Operator | Weisen Sie die Helpdesk-Operator-Rolle den Benutzern zu, die Benutzern und Geräten Anwendungen und Richtlinien zuweisen. |
Intune-Rollenadministrator | Weisen Sie den Intune-Rollenadministrator Benutzern zu, die anderen Administratoren Intune-Berechtigungen zuweisen und benutzerdefinierte und eingebaute Intune-Rollen verwalten können. |
Richtlinien- und Profilmanager | Weisen Sie die Rolle des Richtlinien- und Profilmanagers den Benutzern zu, die Konformitätsrichtlinien, Konfigurationsprofile und Registrierung bei Apple verwalten. |
Operator für „Schreibgeschützt“ | Weisen Sie Benutzern, die nur Benutzer, Geräte, Anmeldedetails und Konfigurationen anzeigen können, die Rolle des Operators für „Schreibgeschützt“ zu. |
Schuladministrator | Benutzern die Schuladministratorrolle zuweisen, um vollen Zugriff auf die Verwaltung von Windows 10-11 und iOS-Geräten, -Apps und -Konfigurationen in Intune for Education zu erhalten. |
Cloud-PC-Administrator | Ein Cloud-PC-Administrator hat Lese- und Schreibzugriff auf alle Cloud-PC-Funktionen, die sich innerhalb des Cloud-PC-Blades befinden. |
Cloud PC Lesegerät | Ein Cloud PC Lesegerät hat Lesezugriff auf alle Cloud PC Funktionen, die sich im Cloud PC Blade befinden. |
Benutzerdefinierte Microsoft Intune-Rollen
Sie können in Intune benutzerdefinierte Rollen erstellen, die alle für eine bestimmte Arbeitsfunktion erforderlichen Berechtigungen enthalten. Wenn beispielsweise eine IT-Abteilungsgruppe Anwendungen, Richtlinien und Konfigurationsprofile verwaltet, können Sie alle diese Berechtigungen gemeinsam einer benutzerdefinierten Rolle hinzufügen. Nachdem Sie eine benutzerdefinierte Rolle erstellt haben, können Sie sie allen Benutzern zuweisen, die diese Berechtigungen benötigen.
So erstellen Sie eine benutzerdefinierte Rolle:
Wählen Sie im Intune Admin CenterMandantenverwaltungsrollen>>Alle Rollen>Erstellen aus.
Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für die neue Rolle ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Berechtigungen auf die Berechtigungen, die Sie mit dieser Rolle verwenden möchten.
Wählen Sie auf der Seite Bereich (Markierungen) die Tags für diese Rolle aus. Wenn diese Rolle einem Benutzer zugewiesen wird, kann dieser Benutzer auf Ressourcen zugreifen, die ebenfalls über diese Tags verfügen. Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Die neue Rolle wird in der Liste auf dem Blatt Intune-Rollen – Alle Rollen angezeigt.
So kopieren Sie eine Rolle:
Wählen Sie im Intune Admin CenterMandantenverwaltungsrollen>Alle Rollen > aus, aktivieren Sie das Kontrollkästchen für eine Rolle in der Liste, und wählen Sie dann Duplizieren aus.>
Geben Sie auf der Seite Grundeinstellungen einen Namen ein. Stellen Sie sicher, dass Sie einen eindeutigen Namen verwenden.
Alle Berechtigungen und Bereichstags der ursprünglichen Rolle werden bereits ausgewählt. Sie können anschließend den Namen, die Beschreibung, die Berechtigungen und den Geltungsbereich (Tags) der doppelten Rolle ändern.
Nachdem Sie alle gewünschten Änderungen vorgenommen haben, klicken Sie auf Weiter, um auf die Seite Bewerten + erstellen weitergeleitet zu werden. Wählen Sie Erstellen aus.
Hinweis
Um Intune verwalten zu können, muss Ihnen eine Intune-Lizenz zugewiesen sein. Alternativ können Sie nicht lizenzierten Benutzern die Verwaltung von Intune gestatten, indem Sie die Option Zugriff für nicht lizenzierte Administratoren zulassen auf Ja setzen.
Zuweisen einer Rolle
Wählen Sie im Intune Admin CenterMandantenverwaltungsrollen>>Alle Rollen aus.
Wählen Sie die integrierte Rolle aus, die Sie zuweisen möchten, wählen Sie Zuweisungen und dann + Zuweisen aus.
Geben Sie auf der Seite Grundlagen einen Zuordnungsnamen und optional eine Zuordnungsbeschreibung ein und wählen Sie dann Weiter.
Wählen Sie auf der SeiteAdministratorgruppen die Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen erteilen möchten. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Bereich (Gruppen) eine Gruppe aus, die die Benutzer und Geräte enthält, die das Mitglied oben verwalten darf. Sie haben auch die Möglichkeit, alle Benutzer oder alle Geräte auszuwählen. Wählen Sie Weiter aus.
Hinweis
Alle Benutzer und Alle Geräte sind Intune virtuellen Gruppen und nicht Microsoft Entra Sicherheitsgruppen. Daher können Sie sie für Bereichszuweisungszwecke (Gruppen) nicht als übergeordnete Elemente Microsoft Entra Sicherheitsgruppen verwenden. Wenn Sie sowohl Alle Benutzer als auch Alle Geräte und bestimmte Microsoft Entra Sicherheitsgruppen für Bereichszuweisungen (Gruppen) benötigen, müssen Sie diese separat mit separaten Zuweisungen hinzufügen. Andernfalls hat der Administrator in dieser Rolle auch dann keinen Zugriff auf bestimmte Microsoft Entra Benutzergruppen, wenn die Bereichszuweisung (Gruppen) für eine Rolle auf Alle Benutzer festgelegt ist. Für Microsoft Entra Sicherheitsgruppen wird die Schachtelung unterstützt.
Wählen Sie auf der Seite Bereich (Markierungen) die Markierungen aus, bei denen diese Rollenzuweisung angewendet wird. Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Überprüfen + erstellen auf Erstellen. Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.
Hinweis
Wenn Sie Bereichsgruppen erstellen und ein Bereichs-Tag zuweisen, können Sie nur auf Gruppen abzielen, die im Bereich (Gruppen) Ihrer Rollenzuweisung aufgeführt sind.
Delegierte Administration für Microsoft-Partner
Wenn Sie mit einem Microsoft-Partner arbeiten, können Sie den entsprechenden Personen Administratorrollen zuweisen. Diese können wiederum Benutzern in Ihrem (oder deren) Unternehmen Administratorrollen zuweisen. Möglicherweise möchten Sie, dass sie dies tun, z. B. wenn sie Ihre Online-organization für Sie einrichten und verwalten.
Bevor der Partner diese Rollen Benutzern zuweisen kann, müssen Sie ihn als delegierten Administrator zu Ihrem Konto hinzufügen. Dieser Vorgang wird von einem autorisierten Partner initiiert. Der Partner fragt Sie in einer E-Mail-Nachricht, ob Sie ihm die Berechtigung erteilen möchten, als delegierter Administrator zu fungieren. Weitere Informationen hierzu finden Sie unter Autorisieren oder Entfernen von Partnerbeziehungen.
Siehe auch
Ressourcen für Microsoft-Partner, die mit kleinen und mittleren Unternehmen arbeiten