Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Informationen in diesem Artikel können Ihnen dabei helfen, Benutzern, die Ihr Intune-Abonnement verwalten, integrierte oder benutzerdefinierte Rollen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Microsoft Intune zuzuweisen. RBAC-Rollen werden Gruppen und nicht einzelnen Benutzern zugewiesen.
Bevor Sie Gruppen Rollen zuweisen, stellen Sie sicher, dass Sie über ausreichende Gruppen für die verschiedenen administrativen Intune-Aufgaben verfügen, und überprüfen Sie die Mitgliedschaft dieser Gruppen. Jedes Mitglied einer Gruppe, dem eine RBAC-Rolle zugewiesen ist, erhält die von dieser Rolle gewährten Berechtigungen. Berechtigungen aus mehreren Gruppen sind für einen Benutzer kumulativ, und es gibt keine Optionen zum Verweigern bestimmter Berechtigungen. Sie können bereichsbezogene Tags jedoch mit RBAC verwenden , um den Umfang dessen einzuschränken, was verschiedene Gruppen von Personen anzeigen und verwalten können.
Wichtig
Microsoft rät davon ab, Konten mit Berechtigungen auf Intune-Administratorebene für die tägliche Verwaltung zu verwenden, wenn Rollen mit geringeren Berechtigungen ausreichen. Intune-Administratorberechtigungen sind jedoch während der ersten Intune-Einrichtung für Aufgaben erforderlich, z. B.:
- Fügen Sie Intune Benutzer hinzu, die als Ihre Intune-Administratoren fungieren. (Siehe Hinzufügen von Benutzern)
- Erstellen Sie Gruppen von Benutzern, die ähnliche administrative Aufgaben gemeinsam haben. (Siehe Hinzufügen von Gruppen)
- Weisen Sie Gruppen von Benutzern RBAC-Rollen zu, und stellen Sie jeder Gruppe nur die Berechtigungen zur Verfügung, die zum Ausführen ihrer täglichen Aufgaben erforderlich sind. (Dieser Artikel)
Nachdem Sie diese Schritte ausgeführt haben, wechseln Sie zu einem Konto mit nur den Berechtigungen, die für die laufende Verwaltung erforderlich sind, um das Prinzip der geringsten Rechte einzuhalten.
RBAC-Berechtigungen, die zum Zuweisen von Rollen erforderlich sind
Zum Verwalten von RBAC-Rollen und -Zuweisungen in Intune muss Ihr Konto über einen der folgenden Berechtigungssätze verfügen:
Die integrierte Intune-Rolle des Intune-Rollenadministrators. Integrierte Rolle mit den geringsten Rechten
Eine benutzerdefinierte Rolle, die die folgenden Kategorien und Kategorieberechtigungen enthält:
Rollen:
- Zuweisen
- Erstellen
- Löschen
- Lesen
- Aktualisieren
Organisation:
- Lesen
Hinweis
Erweiterte Sicherheit: Die Mehr-Admin-Genehmigung unterstützt jetzt die rollenbasierte Zugriffssteuerung. Wenn diese Einstellung aktiviert ist, muss ein zweiter Administrator Änderungen an Rollen genehmigen. Diese Änderungen können Aktualisierungen von Rollenberechtigungen, Administratorgruppen oder Mitgliedsgruppenzuweisungen umfassen. Die Änderung wird erst nach der Genehmigung wirksam. Dieser Prozess der dualen Autorisierung schützt Ihre organization vor nicht autorisierten oder versehentlichen Änderungen der rollenbasierten Zugriffssteuerung. Weitere Informationen finden Sie unter Verwenden der Genehmigung für mehrere Admin in Intune.
Bereitstellen von Intune-Rollenzuweisungen
Bevor Sie Intune-Rollen bereitstellen, sollten Sie sich mit Informationen zu Intune-Rollenzuweisungen vertraut machen, die Details zu verschiedenen Aspekten von Intune-Rollenzuweisungen bereitstellen.
Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Mandantenverwaltungsrollen>>Alle Rollen.
Auf der Seite Intune-Rollen – Alle Rollen finden Sie alle Intune-Rollen, die in Ihrem Mandanten zugewiesen werden können. Jede Rolle verfügt über einen Typ, der sie entweder als integrierte Rolle identifiziert, die von Intune bereitgestellt wird, oder als benutzerdefinierte Intune-Rolle, die von Ihrem organization erstellt wurde.
Wählen Sie die Rolle aus, die Sie zuweisen möchten, und wählen Sie dann Zuweisungen>+ Zuweisen aus.
Geben Sie auf der Seite Grundlagen einen Namen und optional eine Beschreibung ein, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Admin Gruppendie Option Gruppen hinzufügen aus, und wählen Sie dann eine Gruppe aus, die die Benutzer enthält, denen Sie die Rollenberechtigungen zuweisen möchten.
Tipp
Wenn Sie einer Gruppe eine Rolle zuweisen, erhält jedes Mitglied dieser Gruppe die von dieser Rolle gewährten Berechtigungen. Weisen Sie Rollen nur Gruppen zu, für die Sie die Mitgliedschaft kennen und die keine Benutzer enthalten, die nicht die von der Rolle bereitgestellten Administratorrechte erhalten sollen.
Hinweis
Wenn Ihr Mandant nicht lizenzierte Administratoren zulässt, gelten Intune-Rollenzuweisungen nur für direkte Mitglieder der zugewiesenen Sicherheitsgruppe. Mitglieder geschachtelter Gruppen erhalten diese Zuweisungen standardmäßig nicht. Wenn ein Benutzer in einer geschachtelten Gruppe jedoch über eine Intune-Lizenz verfügt, erhält dieser Benutzer die Intune-Rolle.
Wählen Sie Weiter aus.
Fügen Sie auf der Seite Bereich (Gruppen) Gruppen hinzu, die nur die Benutzer oder Geräte enthalten, die die Mitglieder der Admin Gruppen, die Sie im vorherigen Schritt ausgewählt haben, verwalten dürfen. Klicken Sie dann auf Weiter.
Hinweis
Die Gruppen Alle Benutzer und Alle Geräte sind virtuelle Intune-Gruppen, nicht Microsoft Entra Sicherheitsgruppen. Daher können Sie sie nicht als übergeordnete Elemente für Microsoft Entra Sicherheitsgruppen in Bereichszuweisungen (Gruppen) verwenden. Um Alle Benutzer und Alle Geräte und bestimmte Microsoft Entra Sicherheitsgruppen zuzuweisen, fügen Sie diese separat hinzu. Andernfalls haben Administratoren keinen Zugriff auf bestimmte Microsoft Entra Benutzergruppen, auch wenn der Bereich (Gruppen) der Rolle auf Alle Benutzer festgelegt ist.
Die Schachtelung wird für Microsoft Entra Sicherheitsgruppen unterstützt.
Wählen Sie auf der Seite Bereich (Tags) Tags aus, auf die diese Rollenzuweisung angewendet wird. Wählen Sie Weiter aus.
Hinweis
Wenn Sie Bereichsgruppen definieren und dann ein Bereichstag zuweisen, können Administratoren nur Zielgruppen verwenden, die im Bereich (Gruppen) der Rollenzuweisung aufgeführt sind.
Wählen Sie auf der Seite Überprüfen + erstellen die Option Erstellen aus, wenn Sie fertig sind.
Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.