Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Schützen des Zugriffs auf Ihre organization ist ein wesentlicher Sicherheitsschritt. In diesem Artikel werden grundlegende Details für die Verwendung der rollenbasierten Zugriffssteuerung (Role-Based Access Controls, RBAC) von Microsoft Intune vorgestellt, die eine Erweiterung von Microsoft Entra ID RBAC-Steuerelementen sind. Nachfolgende Artikel helfen Ihnen bei der Bereitstellung von Intune RBAC in Ihrem organization.
Mit Intune RBAC können Sie Ihren Administratoren präzise Berechtigungen erteilen, um zu steuern, wer Zugriff auf die Ressourcen Ihrer organization hat und was sie mit diesen Ressourcen tun können. Wenn Sie Intune RBAC-Rollen zuweisen und die Prinzipien des Zugriffs mit den geringsten Rechten befolgen, können Ihre Administratoren ihre zugewiesenen Aufgaben nur auf den Benutzern und Geräten ausführen, die sie verwalten können sollen.
RBAC-Rollen
Jede RBAC-Rolle von Intune gibt einen Satz von Berechtigungen an, die für Benutzer verfügbar sind, die dieser Rolle zugewiesen sind. Berechtigungen bestehen aus einer oder mehreren Verwaltungskategorien wie Gerätekonfiguration oder Überwachungsdaten sowie aus Aktionen, die wie Lesen, Schreiben, Aktualisieren und Löschen ausgeführt werden können. Zusammen definieren sie den Umfang des administrativen Zugriffs und der Berechtigungen in Intune.
Intune umfasst sowohl integrierte als auch benutzerdefinierte Rollen. Integrierte Rollen sind in allen Mandanten identisch und werden für gängige Verwaltungsszenarien bereitgestellt, während benutzerdefinierte Rollen, die Sie erstellen, bestimmte Berechtigungen zulassen, die von einem Administrator benötigt werden. Darüber hinaus enthalten mehrere Microsoft Entra Rollen Berechtigungen in Intune.
Um eine Rolle im Intune Admin Center anzuzeigen, wechseln Sie zu Mandantenverwaltungsrollen>>Alle Rollen>, und wählen Sie eine Rolle aus. Sie können diese Rolle dann über die folgenden Seiten verwalten:
- Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle. Sie können auch den Namen, die Beschreibung und die Berechtigungen integrierter Rollen in dieser Dokumentation unter Integrierte Rollenberechtigungen anzeigen.
- Zuweisungen: Wählen Sie eine Zuweisung für eine Rolle aus, um Details dazu anzuzeigen, einschließlich der Gruppen und Bereiche, die die Zuweisung umfasst. Eine Rolle kann über mehrere Zuweisungen verfügen, und ein Benutzer kann mehrere Zuweisungen erhalten.
Hinweis
Im Juni 2021 hat Intune damit begonnen, nicht lizenzierte Administratoren zu unterstützen. Benutzerkonten, die nach dieser Änderung erstellt wurden, können Intune ohne zugewiesene Lizenz verwalten. Konten, die vor dieser Änderung erstellt wurden, benötigen weiterhin eine Lizenz zum Verwalten von Intune.
Integrierte Rollen
Ein Intune-Administrator mit ausreichenden Berechtigungen kann Intune-Rollen Gruppen von Benutzern zuweisen. Integrierte Rollen gewähren bestimmte Berechtigungen, die zum Ausführen von Verwaltungsaufgaben erforderlich sind, die dem Zweck der Rolle entsprechen. Intune unterstützt keine Änderungen an Beschreibung, Typ oder Berechtigungen einer integrierten Rolle.
- Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.
- Endpoint Privilege Manager: Verwaltet Richtlinien für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole.
- Endpunktberechtigungsleser: Leser von Endpunktberechtigungen können Endpunktberechtigungsverwaltungsrichtlinien in der Intune-Konsole anzeigen.
- Endpoint Security Manager: Verwaltet Sicherheits- und Compliancefeatures wie Sicherheitsbaselines, Gerätekonformität, bedingten Zugriff und Microsoft Defender for Endpoint.
- Helpdeskoperator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.
- Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.
- Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.
- Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen. Kann keine Änderungen in Intune vornehmen.
- Schuladministrator: Schuladministratoren verwalten Apps, Einstellungen und Geräte für ihre Gruppen in Intune for Education. Sie können Remoteaktionen auf Geräten ausführen, z. B. sie remote sperren, neu starten und aus der Verwaltung ausmustern.
Wenn Ihr Mandant ein Abonnement für Windows 365 zur Unterstützung von Cloud-PCs enthält, werden im Intune Admin Center auch die folgenden Cloud-PC-Rollen angezeigt. Diese Rollen sind standardmäßig nicht verfügbar und enthalten Berechtigungen in Intune für Aufgaben im Zusammenhang mit Cloud-PCs. Weitere Informationen zu diesen Rollen finden Sie unter Integrierte Cloud-PC-Rollen in der Windows 365-Dokumentation.
- Cloud-PC-Administrator: Ein Cloud-PC-Administrator hat Lese - und Schreibzugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
- Cloud-PC-Reader: Ein Cloud-PC-Leser verfügt über Lesezugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
Benutzerdefinierte Rollen
Sie können eigene benutzerdefinierte Intune-Rollen erstellen, um Administratoren nur die spezifischen Berechtigungen zu erteilen, die für ihre Aufgaben erforderlich sind. Diese benutzerdefinierten Rollen können eine beliebige RBAC-Berechtigung von Intune enthalten, was einen optimierten Administratorzugriff und die Unterstützung des Prinzips des zugriffs mit den geringsten Rechten innerhalb des organization ermöglicht.
Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Microsoft Entra Rollen mit Intune-Zugriff
Intune-RBAC-Berechtigungen sind eine Teilmenge Microsoft Entra RBAC-Berechtigungen. Als Teilmenge gibt es einige Microsoft Entra Rollen, die Berechtigungen in Intune enthalten. Die meisten Entra ID Rollen, die Zugriff auf Intune haben, gelten als privilegierte Rollen. Die Verwendung und Zuweisung privilegierter Rollen sollte eingeschränkt und nicht für tägliche administrative Aufgaben in Intune verwendet werden.
Microsoft empfiehlt, das Prinzip der geringsten Berechtigungen zu befolgen, indem nur die mindestens erforderlichen Berechtigungen zugewiesen werden, damit ein Administrator seine Aufgaben ausführen kann. Um dieses Prinzip zu unterstützen, verwenden Sie die integrierten RBAC-Rollen von Intune für tägliche administrative Intune-Aufgaben, und vermeiden Sie die Verwendung Microsoft Entra Rollen, die Zugriff auf Intune haben.
In der folgenden Tabelle sind die Microsoft Entra Rollen, die Zugriff auf Intune haben, und die darin enthaltenen Intune-Berechtigungen aufgeführt.
| Microsoft Entra Rolle | Alle Intune-Daten | Intune-Überwachungsdaten |
|---|---|---|
|
Lesen/Schreiben | Lesen/Schreiben |
|
" des Intune-Dienstadministrators |
Lesen/Schreiben | Lesen/Schreiben |
|
für bedingten Zugriff" |
Keine | Keine |
|
|
Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten) | Schreibgeschützt |
| Symbol "Security Operator Privileged label" (Sicherheitsoperator |
Schreibgeschützt | Schreibgeschützt |
|
" für Sicherheitsleseberechtigte |
Schreibgeschützt | Schreibgeschützt |
| Complianceadministrator | Keine | Schreibgeschützt |
| Compliancedatenadministrator | Keine | Schreibgeschützt |
|
(Diese Rolle entspricht der Rolle "Intune-Helpdeskoperator") |
Schreibgeschützt | Schreibgeschützt |
|
" des Helpdeskadministrators (Diese Rolle entspricht der Rolle "Intune-Helpdeskoperator") |
Schreibgeschützt | Schreibgeschützt |
| Berichteleser | Keine | Schreibgeschützt |
Zusätzlich zu den Microsoft Entra Rollen mit Berechtigung in Intune sind die folgenden drei Bereiche von Intune direkte Erweiterungen von Microsoft Entra: Benutzer, Gruppen und bedingter Zugriff. Instanzen dieser Objekte und Konfigurationen, die in Intune erstellt wurden, sind in Microsoft Entra vorhanden. Wie Microsoft Entra-Objekte können sie von Microsoft Entra Administratoren mit ausreichenden Berechtigungen verwaltet werden, die von einer Microsoft Entra Rolle gewährt werden. Ebenso können Intune-Administratoren mit ausreichenden Berechtigungen für Intune diese Objekttypen anzeigen und verwalten, die in Microsoft Entra erstellt wurden.
Globale Administrator- und Intune-Administratorrollen
Die Rolle "Globaler Administrator" ist eine integrierte Rolle in Microsoft Entra und hat Vollzugriff auf Microsoft Intune. Globale Administratoren haben Zugriff auf Administrative Features in Microsoft Entra-ID und Auf Dienste, die Microsoft Entra Identitäten verwenden, einschließlich Microsoft Intune.
So verringern Sie das Risiko:
Verwenden Sie nicht die Rolle "Globaler Administrator" in Intune. Microsoft empfiehlt nicht, die Rolle "Globaler Administrator" zum Verwalten oder Verwalten von Intune zu verwenden.
Es gibt einige Features in Intune, die die Rolle "Globaler Administrator" erfordern, z. B. einige MTD-Connectors (Mobile Threat Defense). Verwenden Sie in diesen Fällen nur bei Bedarf die Rolle "Globaler Administrator", und entfernen Sie sie dann, wenn die Aufgabe abgeschlossen ist.
Verwenden Sie die integrierten Intune-Rollen , oder erstellen Sie benutzerdefinierte Rollen , um Intune zu verwalten.
Weisen Sie die Intune-Rolle mit den geringsten Berechtigungen zu, die für den Administrator erforderlich ist, um seine Aufgaben zu erledigen.
Weitere Informationen zur Rolle "globaler Microsoft Entra-Administrator" finden Sie unter Microsoft Entra integrierte Rollen – Globaler Administrator.
Die Intune-Administratorrolle ist eine integrierte Rolle in Microsoft Entra und wird auch als Intune-Dienstadministratorrolle bezeichnet. Es verfügt über einen begrenzten Berechtigungsbereich zum Verwalten und Verwalten von Intune sowie zum Verwalten verwandter Features wie Benutzer- und Gruppenverwaltung. Diese Rolle eignet sich für Administratoren, die nur Intune verwalten müssen.
So verringern Sie das Risiko:
- Weisen Sie die Intune-Administratorrolle nur nach Bedarf zu. Wenn eine integrierte Intune-Rolle vorhanden ist, die den Anforderungen des Administrators entspricht, weisen Sie diese Rolle anstelle der Intune-Administratorrolle zu. Weisen Sie immer die Intune-Rolle mit den geringsten Berechtigungen zu, die für den Administrator erforderlich ist, um seine Aufgaben auszuführen.
- Erstellen Sie benutzerdefinierte Rollen , um den Berechtigungsbereich für Ihre Administratoren weiter einzuschränken.
Erweiterte Sicherheitskontrollen:
Die Multi-Admin-Genehmigung unterstützt jetzt die rollenbasierte Zugriffssteuerung. Wenn diese Einstellung aktiviert ist, muss ein zweiter Administrator Änderungen an Rollen genehmigen. Diese Änderungen können Aktualisierungen von Rollenberechtigungen, Administratorgruppen oder Mitgliedsgruppenzuweisungen umfassen. Die Änderung wird erst nach der Genehmigung wirksam. Dieser Prozess der dualen Autorisierung schützt Ihre organization vor nicht autorisierten oder versehentlichen Änderungen der rollenbasierten Zugriffssteuerung. Weitere Informationen finden Sie unter Verwenden der Genehmigung für mehrere Admin in Intune.
Weitere Informationen zur rolle "Microsoft Entra Intune-Administrator" finden Sie unter Microsoft Entra integrierten Rollen – Intune-Administrator.
Privileged Identity Management für Intune
Wenn Sie Entra ID Privileged Identity Management (PIM) verwenden, können Sie verwalten, wann ein Benutzer die Berechtigungen verwenden kann, die von einer Intune RBAC-Rolle oder der Intune-Administratorrolle aus Entra ID bereitgestellt werden.
Intune unterstützt zwei Methoden der Rollenerweiterung. Es gibt Unterschiede bei der Leistung und den geringsten Berechtigungen zwischen den beiden Methoden.
Methode 1: Erstellen Sie eine Just-in-Time-Richtlinie (JIT) mit Microsoft Entra Privileged Identity Management (PIM) für die Microsoft Entra integrierte Intune-Administratorrolle, und weisen Sie ihr ein Administratorkonto zu.
Methode 2: Verwenden sie Privileged Identity Management (PIM) für Gruppen mit einer RBAC-Rollenzuweisung in Intune. Weitere Informationen zur Verwendung von PIM für Gruppen mit Intune-RBAC-Rollen finden Sie unter Konfigurieren des Just-In-Time-Administratorzugriffs von Microsoft Intune mit Microsoft Entra PIM für Gruppen | Microsoft Community Hub
Wenn Sie PIM-Rechteerweiterungen für die Rolle "Intune-Administrator" aus Entra ID verwenden, erfolgt die Erhöhung in der Regel innerhalb von 10 Sekunden. Pim-Gruppenbasierte Rechteerweiterungen für die integrierten oder benutzerdefinierten Rollen von Intune dauern in der Regel bis zu 15 Minuten.
Informationen zu Intune-Rollenzuweisungen
Sowohl benutzerdefinierte als auch integrierte Intune-Rollen werden Gruppen von Benutzern zugewiesen. Eine zugewiesene Rolle gilt für jeden Benutzer in der Gruppe und definiert Folgendes:
- die einer Rolle zugewiesenen Benutzer
- die Ressourcen, die diese sehen können
- die Ressourcen, die diese ändern können
Jede Gruppe, der eine Intune-Rolle zugewiesen ist, sollte nur Benutzer enthalten, die zum Ausführen der Administrativen Aufgaben für diese Rolle autorisiert sind.
- Wenn eine integrierte Rolle mit den geringsten Berechtigungen übermäßige Berechtigungen oder Berechtigungen gewährt, sollten Sie erwägen, eine benutzerdefinierte Rolle zu verwenden, um den Umfang des Administratorzugriffs einzuschränken.
- Berücksichtigen Sie beim Planen von Rollenzuweisungen die Ergebnisse eines Benutzers mit mehreren Rollenzuweisungen.
Damit einem Benutzer eine Intune-Rolle zugewiesen wird und Zugriff auf die Verwaltung von Intune hat, ist keine Intune-Lizenz erforderlich , wenn sein Konto nach Juni 2021 in Entra erstellt wurde. Konten, die vor Juni 2021 erstellt wurden, erfordern eine Zuweisung einer Lizenz für die Verwendung von Intune.
Um eine vorhandene Rollenzuweisung anzuzeigen, wählen Sie Intune>Mandantenverwaltungsrollen>>Alle Rollen> rollen auswählen >Zuweisungen> eine Zuweisung auswählen aus. Auf der Seite Zuweisungseigenschaften können Sie Folgendes bearbeiten:
Grundlagen: Der Name und die Beschreibung der Zuweisungen.
Mitglieder: Mitglieder sind die Gruppen, die beim Erstellen einer Rollenzuweisung auf der Seite Admin Gruppen konfiguriert werden. Alle Benutzer in den aufgeführten Azure-Sicherheitsgruppen verfügen über die Berechtigung zum Verwalten der Benutzer und Geräte, die unter Bereich (Gruppen) aufgeführt sind.
Bereich (Gruppen): Verwenden Sie Bereich (Gruppen), um die Gruppen von Benutzern und Geräten zu definieren, die ein Administrator mit dieser Rollenzuweisung verwalten kann. Administratoren mit dieser Rollenzuweisung können die von der Rolle gewährten Berechtigungen verwenden, um jeden Benutzer oder jedes Gerät innerhalb der definierten Bereichsgruppen der Rollenzuweisungen zu verwalten.
Tipp
Wenn Sie eine Bereichsgruppe konfigurieren, beschränken Sie den Zugriff, indem Sie nur die Sicherheitsgruppen auswählen, die den Benutzer und die Geräte enthalten, die ein Administrator mit dieser Rollenzuweisung verwalten soll. Um sicherzustellen, dass Administratoren mit dieser Rolle nicht auf alle Benutzer oder alle Geräte abzielen können, wählen Sie nicht Alle Benutzer hinzufügen oder Alle Geräte hinzufügen aus.
Wenn Sie eine Ausschlussgruppe für eine Zuweisung wie eine Richtlinie oder App-Zuweisung angeben, muss sie entweder in einer der RBAC-Zuweisungsbereichsgruppen geschachtelt sein oder separat als Bereichsgruppe in der RBAC-Rollenzuweisung aufgeführt werden.
Bereichstags: Administratoren, denen diese Rollenzuweisung zugewiesen ist, können die Ressourcen mit den gleichen Bereichstags sehen.
Hinweis
Bereichstags sind Freihandform-Textwerte, die ein Administrator definiert und dann einer Rollenzuweisung hinzufügt. Das bereichsbezogene Tag, das einer Rolle hinzugefügt wird, steuert die Sichtbarkeit der Rolle selbst. Das in der Rollenzuweisung hinzugefügte Bereichstag schränkt die Sichtbarkeit von Intune-Objekten wie Richtlinien, Apps oder Geräten nur auf Administratoren in dieser Rollenzuweisung ein, da die Rollenzuweisung mindestens ein übereinstimmende Bereichstag enthält.
Mehrere Rollenzuweisungen
Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:
- Berechtigungen sind inkrementell, wenn zwei oder mehr Rollen Berechtigungen für dasselbe Objekt gewähren. Ein Benutzer mit Leseberechtigungen aus einer Rolle und Lese-/Schreibberechtigungen aus einer anderen Rolle verfügt beispielsweise über die effektive Berechtigung Lesen/Schreiben (vorausgesetzt, die Zuweisungen für beide Rollen sind auf dieselben Bereichstags ausgerichtet).
- Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind. Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.
- Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.
- Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.
- Wenn keine Bereichstags vorhanden sind oder einige Bereichstags aus unterschiedlichen Zuweisungen zugewiesen sind, kann ein Benutzer nur Geräte sehen, die Teil einiger Bereichstags sind, und nicht alle Geräte.
Überwachen von RBAC-Zuweisungen
Dies und die drei Unterabschnitte sind in Bearbeitung.
Im Intune Admin Center können Sie zu Mandantenadministratorrollen> wechseln und Überwachen erweitern, um mehrere Ansichten zu finden, die Ihnen helfen können, die Berechtigungen zu identifizieren, die verschiedene Benutzer in Ihrem Intune-Mandanten haben. In einer komplexen Administrativen Umgebung können Sie beispielsweise die Ansicht Admin Berechtigungen verwenden, um ein Konto anzugeben, damit Sie dessen aktuellen Umfang von Administratorrechten anzeigen können.
Meine Berechtigungen
Wenn Sie diesen Knoten auswählen, wird eine kombinierte Liste der aktuellen Intune RBAC-Kategorien und Berechtigungen angezeigt, die Ihrem Konto gewährt werden. Diese kombinierte Liste enthält alle Berechtigungen aus allen Rollenzuweisungen, aber nicht, welche Rollenzuweisungen sie bereitstellen oder durch welche Gruppenmitgliedschaft sie zugewiesen sind.
Rollen nach Berechtigung
In dieser Ansicht können Sie Details zu einer bestimmten Intune RBAC-Kategorie und -Berechtigung anzeigen, über die Rollenzuweisungen und für welche Gruppen diese Kombination verfügbar gemacht wird.
Wählen Sie zunächst eine Intune-Berechtigungskategorie und dann eine bestimmte Berechtigung aus dieser Kategorie aus. Das Admin Center zeigt dann eine Liste der Instanzen an, die zu der Zuweisung dieser Berechtigung führen, die Folgendes umfasst:
- Rollenanzeigename : Der Name der integrierten oder benutzerdefinierten RBAC-Rolle, die die Berechtigung gewährt.
- Anzeigename der Rollenzuweisung : Der Name der Rollenzuweisung, die die Rolle Gruppen von Benutzern zuweist.
- Gruppenname : Der Name der Gruppe, die diese Rollenzuweisung erhält.
Admin Berechtigungen
Verwenden Sie den Knoten Admin Berechtigungen, um die spezifischen Berechtigungen zu identifizieren, die einem Konto derzeit gewährt werden.
Geben Sie zunächst ein Benutzerkonto an. Solange dem Benutzer Intune-Berechtigungen für sein Konto zugewiesen sind, zeigt Intune die vollständige Liste dieser Berechtigungen an, die durch Kategorie und Berechtigung identifiziert werden.
