Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Schützen des Zugriffs auf Ihre organization ist ein wesentlicher Sicherheitsschritt. In diesem Artikel werden grundlegende Details zur Verwendung Microsoft Intune rollenbasierten Zugriffssteuerungen (Role-Based Access Controls, RBAC) vorgestellt, die eine Erweiterung von Microsoft Entra ID RBAC-Steuerelementen sind. In den folgenden Artikeln können Sie Intune RBAC in Ihrem organization bereitstellen.
Mit Intune RBAC können Sie Ihren Administratoren präzise Berechtigungen erteilen, um zu steuern, wer Zugriff auf die Ressourcen Ihrer organization hat und was sie mit diesen Ressourcen tun können. Wenn Sie Intune RBAC-Rollen zuweisen und die Prinzipien des Zugriffs mit den geringsten Rechten befolgen, können Ihre Administratoren ihre zugewiesenen Aufgaben nur für die Benutzer und Geräte ausführen, die sie verwalten können sollen.
RBAC-Rollen
Jede Intune RBAC-Rolle gibt einen Satz von Berechtigungen an, die für Benutzer verfügbar sind, die dieser Rolle zugewiesen sind. Berechtigungen bestehen aus einer oder mehreren Verwaltungskategorien wie Gerätekonfiguration oder Überwachungsdaten sowie aus Aktionen, die wie Lesen, Schreiben, Aktualisieren und Löschen ausgeführt werden können. Zusammen definieren sie den Umfang des administrativen Zugriffs und der Berechtigungen innerhalb Intune.
Intune umfasst sowohl integrierte als auch benutzerdefinierte Rollen. Integrierte Rollen sind in allen Mandanten identisch und werden für gängige Verwaltungsszenarien bereitgestellt, während benutzerdefinierte Rollen, die Sie erstellen, bestimmte Berechtigungen zulassen, die von einem Administrator benötigt werden. Darüber hinaus enthalten mehrere Microsoft Entra Rollen Berechtigungen innerhalb Intune.
Um eine Rolle im Intune Admin Center anzuzeigen, wechseln Sie zuMandantenverwaltungsrollen>>Alle Rollen>, und wählen Sie eine Rolle aus. Sie können diese Rolle dann über die folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle. Sie können auch den Namen, die Beschreibung und die Berechtigungen integrierter Rollen in dieser Dokumentation unter Integrierte Rollenberechtigungen anzeigen.
- Zuweisungen: Wählen Sie eine Zuweisung für eine Rolle aus, um Details dazu anzuzeigen, einschließlich der Gruppen und Bereiche, die die Zuweisung umfasst. Eine Rolle kann über mehrere Zuweisungen verfügen, und ein Benutzer kann mehrere Zuweisungen erhalten.
Hinweis
Im Juni 2021 begann Intune, nicht lizenzierte Administratoren zu unterstützen. Benutzerkonten, die nach dieser Änderung erstellt wurden, können Intune ohne zugewiesene Lizenz verwalten. Konten, die vor dieser Änderung erstellt wurden, und Administratorkonten in einer geschachtelten Sicherheitsgruppe, die einer Rolle zugewiesen ist, benötigen weiterhin eine Lizenz zum Verwalten Intune.
Integrierte Rollen
Ein Intune-Administrator mit ausreichenden Berechtigungen kann Benutzergruppen jede der Intune Rollen zuweisen. Integrierte Rollen gewähren bestimmte Berechtigungen, die zum Ausführen von Verwaltungsaufgaben erforderlich sind, die dem Zweck der Rolle entsprechen. Intune unterstützt keine Änderungen an der Beschreibung, dem Typ oder den Berechtigungen einer integrierten Rolle.
- Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.
- Endpoint Privilege Manager: Verwaltet Endpoint Privilege Management Richtlinien in der Intune-Konsole.
- Endpunktberechtigungsleser: Leser von Endpunktberechtigungen können Endpoint Privilege Management Richtlinien in der Intune-Konsole anzeigen.
- Endpoint Security Manager: Verwaltet Sicherheits- und Compliancefeatures wie Sicherheitsbaselines, Gerätekonformität, bedingten Zugriff und Microsoft Defender for Endpoint.
- Helpdeskoperator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.
- Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.
- Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.
- Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen. Kann keine Änderungen in Intune vornehmen.
- Schuladministrator: Schuladministratoren verwalten Apps, Einstellungen und Geräte für ihre Gruppen in Intune für Bildungseinrichtungen. Sie können Remoteaktionen auf Geräten ausführen, z. B. sie remote sperren, neu starten und aus der Verwaltung ausmustern.
Wenn Ihr Mandant ein Abonnement für Windows 365 zur Unterstützung von Cloud-PCs enthält, werden im Intune Admin Center auch die folgenden Cloud-PC-Rollen angezeigt. Diese Rollen sind standardmäßig nicht verfügbar und enthalten Berechtigungen in Intune für Aufgaben im Zusammenhang mit Cloud-PCs. Weitere Informationen zu diesen Rollen finden Sie unter Integrierte Cloud-PC-Rollen in der Windows 365-Dokumentation.
- Cloud-PC-Administrator: Ein Cloud-PC-Administrator hat Lese - und Schreibzugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
- Cloud-PC-Reader: Ein Cloud-PC-Leser verfügt über Lesezugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
Benutzerdefinierte Rollen
Sie können eigene benutzerdefinierte Intune Rollen erstellen, um Administratoren nur die spezifischen Berechtigungen zu erteilen, die für ihre Aufgaben erforderlich sind. Diese benutzerdefinierten Rollen können jede Intune RBAC-Berechtigung enthalten, was einen optimierten Administratorzugriff und die Unterstützung des Prinzips des zugriffs mit den geringsten Rechten innerhalb des organization ermöglicht.
Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Microsoft Entra von Rollen mit Intune Zugriff
Intune RBAC-Berechtigungen sind eine Teilmenge Microsoft Entra RBAC-Berechtigungen. Als Teilmenge gibt es einige Microsoft Entra Rollen, die Berechtigungen in Intune enthalten. Die meisten Entra ID-Rollen, die Zugriff auf Intune haben, gelten als privilegierte Rollen. Die Verwendung und Zuweisung privilegierter Rollen sollte eingeschränkt und nicht für tägliche Verwaltungsaufgaben innerhalb Intune verwendet werden.
Microsoft empfiehlt, das Prinzip der geringsten Berechtigungen zu befolgen, indem nur die mindestens erforderlichen Berechtigungen zugewiesen werden, damit ein Administrator seine Aufgaben ausführen kann. Um dieses Prinzip zu unterstützen, verwenden Sie die integrierten RBAC-Rollen von Intune für tägliche Intune administrative Aufgaben, und vermeiden Sie die Verwendung Microsoft Entra Rollen, die Zugriff auf Intune haben.
In der folgenden Tabelle sind die Microsoft Entra Rollen, die Zugriff auf Intune haben, sowie die Intune Berechtigungen aufgeführt, die darin enthalten sind.
| Microsoft Entra Rolle | Alle Intune-Daten | Intune-Überwachungsdaten |
|---|---|---|
|
Lesen/Schreiben | Lesen/Schreiben |
| Intune Service Administrator |
Lesen/Schreiben | Lesen/Schreiben |
|
für bedingten Zugriff" |
Keine | Keine |
|
|
Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten) | Schreibgeschützt |
| Symbol "Security Operator Privileged label" (Sicherheitsoperator |
Schreibgeschützt | Schreibgeschützt |
|
" für Sicherheitsleseberechtigte |
Schreibgeschützt | Schreibgeschützt |
| Complianceadministrator | Keine | Schreibgeschützt |
| Compliancedatenadministrator | Keine | Schreibgeschützt |
|
|
Schreibgeschützt | Schreibgeschützt |
|
" des Helpdeskadministrators (Diese Rolle entspricht der Rolle Intune Helpdeskoperator) |
Schreibgeschützt | Schreibgeschützt |
| Berichteleser | Keine | Schreibgeschützt |
Zusätzlich zu den Microsoft Entra Rollen mit Berechtigung innerhalb Intune sind die folgenden drei Bereiche der Intune direkte Erweiterungen von Microsoft Entra: Benutzer, Gruppen und bedingter Zugriff. Instanzen dieser Objekte und Konfigurationen, die in Intune erstellt wurden, sind in Microsoft Entra vorhanden. Wie Microsoft Entra-Objekte können sie von Microsoft Entra Administratoren mit ausreichenden Berechtigungen verwaltet werden, die von einer Microsoft Entra Rolle gewährt werden. Ebenso können Intune Administratoren mit ausreichenden Berechtigungen für Intune diese Objekttypen anzeigen und verwalten, die in Microsoft Entra erstellt werden.
Globale Administrator- und Intune administratorrollen
Die Rolle "Globaler Administrator" ist eine integrierte Rolle in Microsoft Entra und hat Vollzugriff auf Microsoft Intune. Globale Administratoren haben Zugriff auf administrative Features in Microsoft Entra ID und Auf Dienste, die Microsoft Entra Identitäten verwenden, einschließlich Microsoft Intune.
So verringern Sie das Risiko:
Verwenden Sie nicht die Rolle "Globaler Administrator" in Intune. Microsoft empfiehlt nicht, die Rolle "Globaler Administrator" zum Verwalten oder Verwalten von Intune zu verwenden.
Es gibt einige Features in Intune, die die Rolle "Globaler Administrator" erfordern, z. B. einige MTD-Connectors (Mobile Threat Defense). Verwenden Sie in diesen Fällen nur bei Bedarf die Rolle "Globaler Administrator", und entfernen Sie sie dann, wenn die Aufgabe abgeschlossen ist.
Verwenden Sie die Intune integrierten Rollen, oder erstellen Sie benutzerdefinierte Rollen, um Intune zu verwalten.
Weisen Sie die am wenigsten privilegierte Intune Rolle zu, die für den Administrator für seine Aufgaben erforderlich ist.
Weitere Informationen zur Rolle "globaler Microsoft Entra-Administrator" finden Sie unter Microsoft Entra integrierte Rollen – Globaler Administrator.
Die Rolle Intune administrator ist eine integrierte Rolle in Microsoft Entra und wird auch als Intune-Dienstadministratorrolle bezeichnet. Es verfügt über einen eingeschränkten Berechtigungsbereich zum Verwalten und Verwalten von Intune sowie zum Verwalten verwandter Features wie Benutzer- und Gruppenverwaltung. Diese Rolle eignet sich für Administratoren, die nur Intune verwalten müssen.
So verringern Sie das Risiko:
- Weisen Sie die Rolle Intune administrator nur nach Bedarf zu. Wenn eine integrierte Intune Rolle vorhanden ist, die die Anforderungen des Administrators erfüllt, weisen Sie diese Rolle anstelle der Rolle Intune Administrator zu. Weisen Sie immer die am wenigsten privilegierte Intune Rolle zu, die für den Administrator erforderlich ist, um seine Aufgaben auszuführen.
- Erstellen Sie benutzerdefinierte Rollen , um den Berechtigungsbereich für Ihre Administratoren weiter einzuschränken.
Erweiterte Sicherheitskontrollen:
Die Multi-Admin-Genehmigung unterstützt jetzt die rollenbasierte Zugriffssteuerung. Wenn diese Einstellung aktiviert ist, muss ein zweiter Administrator Änderungen an Rollen genehmigen. Diese Änderungen können Aktualisierungen von Rollenberechtigungen, Administratorgruppen oder Mitgliedsgruppenzuweisungen umfassen. Die Änderung wird erst nach der Genehmigung wirksam. Dieser Prozess der dualen Autorisierung schützt Ihre organization vor nicht autorisierten oder versehentlichen Änderungen der rollenbasierten Zugriffssteuerung. Weitere Informationen finden Sie unter Verwenden der Genehmigung für mehrere Admin in Intune.
Weitere Informationen zur Rolle "Microsoft Entra Intune Administrator" finden Sie unter Microsoft Entra integrierte Rollen – Intune Administrator.
Privileged Identity Management für Intune
Wenn Sie Entra ID Privileged Identity Management (PIM) verwenden, können Sie verwalten, wann ein Benutzer die Von einer Intune RBAC-Rolle bereitgestellten Berechtigungen oder die Rolle Intune Administrator aus Entra ID verwenden kann.
Intune unterstützt zwei Methoden der Rollenerweiterung. Es gibt Unterschiede bei der Leistung und den geringsten Berechtigungen zwischen den beiden Methoden.
Methode 1: Erstellen Sie eine JIT-Richtlinie (Just-in-Time) mit Microsoft Entra Privileged Identity Management (PIM) für die Microsoft Entra integrierte rolle Intune Administrator, und weisen Sie ihr ein Administratorkonto zu.
Methode 2: Verwenden sie Privileged Identity Management (PIM) für Gruppen mit einer Intune RBAC-Rollenzuweisung. Weitere Informationen zur Verwendung von PIM für Gruppen mit Intune RBAC-Rollen finden Sie unter Konfigurieren Microsoft Intune Just-in-Time-Administratorzugriffs mit Microsoft Entra PIM für Gruppen | Microsoft Community Hub
Wenn Sie PIM-Rechteerweiterungen für die rolle "Intune Administrator" von Entra ID verwenden, erfolgt die Erhöhung in der Regel innerhalb von 10 Sekunden. Pim-Gruppenbasierte Rechteerweiterungen für die integrierten oder benutzerdefinierten Rollen von Intune dauern in der Regel bis zu 15 Minuten.
Informationen zu Intune Rollenzuweisungen
Sowohl Intune benutzerdefinierte als auch integrierte Rollen werden Gruppen von Benutzern zugewiesen. Eine zugewiesene Rolle gilt für jeden Benutzer in der Gruppe und definiert Folgendes:
- die einer Rolle zugewiesenen Benutzer
- die Ressourcen, die diese sehen können
- die Ressourcen, die diese ändern können
Jede Gruppe, der eine Intune Rolle zugewiesen ist, sollte nur Benutzer enthalten, die zum Ausführen der Administrativen Aufgaben für diese Rolle autorisiert sind.
- Wenn eine integrierte Rolle mit den geringsten Berechtigungen übermäßige Berechtigungen oder Berechtigungen gewährt, sollten Sie erwägen, eine benutzerdefinierte Rolle zu verwenden, um den Umfang des Administratorzugriffs einzuschränken.
- Berücksichtigen Sie beim Planen von Rollenzuweisungen die Ergebnisse eines Benutzers mit mehreren Rollenzuweisungen.
Damit einem Benutzer eine Intune Rolle zugewiesen wird und er Zugriff auf die Verwaltung Intune hat, benötigt er keine Intune Lizenz, wenn sein Konto nach Juni 2021 in Entra erstellt wurde. Konten, die vor Juni 2021 erstellt wurden, müssen ihnen eine Lizenz zugewiesen werden, um Intune verwenden zu können.
Um eine vorhandene Rollenzuweisung anzuzeigen, wählen Sie Intune>Mandantenverwaltungsrollen>>Alle Rollen> eine Rolle > auswählen Zuweisungen> eine Zuweisung auswählen aus. Auf der Seite Zuweisungseigenschaften können Sie Folgendes bearbeiten:
Grundlagen: Der Name und die Beschreibung der Zuweisungen.
Mitglieder: Mitglieder sind die Gruppen, die beim Erstellen einer Rollenzuweisung auf der Seite Admin Gruppen konfiguriert werden. Alle Benutzer in den aufgelisteten Azure Sicherheitsgruppen verfügen über die Berechtigung zum Verwalten der Benutzer und Geräte, die unter Bereich (Gruppen) aufgeführt sind.
Bereich (Gruppen): Verwenden Sie Bereich (Gruppen), um die Gruppen von Benutzern und Geräten zu definieren, die ein Administrator mit dieser Rollenzuweisung verwalten kann. Administratoren mit dieser Rollenzuweisung können die von der Rolle gewährten Berechtigungen verwenden, um jeden Benutzer oder jedes Gerät innerhalb der definierten Bereichsgruppen der Rollenzuweisungen zu verwalten.
Tipp
Wenn Sie eine Bereichsgruppe konfigurieren, beschränken Sie den Zugriff, indem Sie nur die Sicherheitsgruppen auswählen, die den Benutzer und die Geräte enthalten, die ein Administrator mit dieser Rollenzuweisung verwalten soll. Um sicherzustellen, dass Administratoren mit dieser Rolle nicht auf alle Benutzer oder alle Geräte abzielen können, wählen Sie nicht Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus.
Wenn Sie eine Ausschlussgruppe für eine Zuweisung wie eine Richtlinie oder App-Zuweisung angeben, muss sie entweder in einer der RBAC-Zuweisungsbereichsgruppen geschachtelt sein oder separat als Bereichsgruppe in der RBAC-Rollenzuweisung aufgeführt werden.
Bereichstags: Administratoren, denen diese Rollenzuweisung zugewiesen ist, können die Ressourcen mit den gleichen Bereichstags sehen.
Hinweis
Bereichstags sind Freihandform-Textwerte, die ein Administrator definiert und dann einer Rollenzuweisung hinzufügt. Das bereichsbezogene Tag, das einer Rolle hinzugefügt wird, steuert die Sichtbarkeit der Rolle selbst. Das in der Rollenzuweisung hinzugefügte Bereichstag schränkt die Sichtbarkeit von Intune Objekten wie Richtlinien, Apps oder Geräten nur auf Administratoren in dieser Rollenzuweisung ein, da die Rollenzuweisung mindestens einen übereinstimmenden Bereichstag enthält.
Mehrere Rollenzuweisungen
Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:
- Berechtigungen sind inkrementell, wenn zwei oder mehr Rollen Berechtigungen für dasselbe Objekt gewähren. Ein Benutzer mit Leseberechtigungen aus einer Rolle und Lese-/Schreibberechtigungen aus einer anderen Rolle verfügt beispielsweise über die effektive Berechtigung Lesen/Schreiben (vorausgesetzt, die Zuweisungen für beide Rollen sind auf dieselben Bereichstags ausgerichtet).
- Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind. Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.
- Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.
- Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.
- Wenn keine Bereichstags vorhanden sind oder einige Bereichstags aus unterschiedlichen Zuweisungen zugewiesen sind, kann ein Benutzer nur Geräte sehen, die Teil einiger Bereichstags sind, und nicht alle Geräte.
Überwachen von RBAC-Zuweisungen
Dies und die drei Unterabschnitte sind in Bearbeitung.
Im Intune Admin Center können Sie zu Mandantenadministratorrollen> wechseln und Überwachen erweitern, um mehrere Ansichten zu finden, die Ihnen helfen können, die Berechtigungen zu identifizieren, die verschiedene Benutzer in Ihrem Intune Mandanten haben. In einer komplexen Administrativen Umgebung können Sie beispielsweise die Ansicht Admin Berechtigungen verwenden, um ein Konto anzugeben, damit Sie dessen aktuellen Umfang von Administratorrechten anzeigen können.
Meine Berechtigungen
Wenn Sie diesen Knoten auswählen, wird eine kombinierte Liste der aktuellen Intune RBAC-Kategorien und Berechtigungen angezeigt, die Ihrem Konto gewährt werden. Diese kombinierte Liste enthält alle Berechtigungen aus allen Rollenzuweisungen, aber nicht, welche Rollenzuweisungen sie bereitstellen oder durch welche Gruppenmitgliedschaft sie zugewiesen sind.
Rollen nach Berechtigung
In dieser Ansicht können Sie Details zu einer bestimmten Intune RBAC-Kategorie und -Berechtigung anzeigen, über welche Rollenzuweisungen und welche Gruppen diese Kombination verfügbar gemacht wird.
Wählen Sie zunächst eine Intune Berechtigungskategorie und dann eine bestimmte Berechtigung aus dieser Kategorie aus. Das Admin Center zeigt dann eine Liste der Instanzen an, die zu der Zuweisung dieser Berechtigung führen, die Folgendes umfasst:
- Rollenanzeigename : Der Name der integrierten oder benutzerdefinierten RBAC-Rolle, die die Berechtigung gewährt.
- Anzeigename der Rollenzuweisung : Der Name der Rollenzuweisung, die die Rolle Gruppen von Benutzern zuweist.
- Gruppenname : Der Name der Gruppe, die diese Rollenzuweisung erhält.
Admin Berechtigungen
Verwenden Sie den Knoten Admin Berechtigungen, um die spezifischen Berechtigungen zu identifizieren, die einem Konto derzeit gewährt werden.
Geben Sie zunächst ein Benutzerkonto an. Solange der Benutzer über Intune Berechtigungen verfügt, die für sein Konto zugewiesen sind, zeigt Intune die vollständige Liste dieser Berechtigungen an, die durch Kategorie und Berechtigung identifiziert werden.
