Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune

Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente sie sehen und ändern können. Jeder Rolle sind Berechtigungen zugewiesen, die festlegen, auf welche Elemente Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen können und welche Elemente sie ändern können.

Zum Erstellen, Bearbeiten oder Zuweisen von Rollen muss Ihr Konto über eine der folgenden Berechtigungen in Microsoft Entra ID verfügen:

  • Globaler Administrator
  • Intune-Dienstadministrator (auch als Intune-Administrator bezeichnet)

Rollen

Eine Rolle definiert die Berechtigungen, die den ihr zugewiesenen Benutzern gewährt werden. Sie können sowohl integrierte als auch benutzerdefinierte Rollen verwenden. Integrierte Rollen decken einige häufige Szenarios in Intune ab. Sie können aber auch Ihre eigenen benutzerdefinierten Rollen mit den gewünschten Berechtigungen erstellen. Mehrere Microsoft Entra-Rollen verfügen über Berechtigungen für Intune. Um eine Rolle im Intune Admin Center anzuzeigen, wechseln Sie zu Mandantenverwaltungsrollen>>Alle Rollen> wählen eine Rolle aus. Sie können die Rolle auf den folgenden Seiten verwalten:

  • Eigenschaften: Name, Beschreibung, Typ, Zuweisungen und Bereichsmarkierungen für die Rolle.
  • Zuweisungen: Eine Liste mit Rollenzuweisungen, in der definiert wird, welche Benutzer Zugriff auf welche Benutzer/Geräte haben. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.

Hinweis

Um Intune verwalten zu können, muss Ihnen eine Intune-Lizenz zugewiesen sein. Alternativ können Sie nicht lizenzierten Benutzern die Verwaltung von Intune erlauben, indem Sie Zugriff für Administratoren ohne Lizenz zulassen auf „Ja“ festlegen.

Integrierte Rollen

Sie können Gruppen ohne weitere Konfiguration integrierte Rollen zuweisen. Sie können den Namen, die Beschreibung, den Typ oder die Berechtigungen einer integrierten Rolle löschen oder bearbeiten.

  • Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.
  • Endpoint Privilege Manager: Verwaltet Richtlinien für die Verwaltung von Endpunktberechtigungen in der Intune-Konsole.
  • Endpunktberechtigungsleser: Leser von Endpunktberechtigungen können Endpunktberechtigungsverwaltungsrichtlinien in der Intune-Konsole anzeigen.
  • Endpunktsicherheits-Manager: Verwaltet Sicherheits- und Konformitätsfeatures, wie z. B. Sicherheitsbaselines, Gerätekonformität, bedingter Zugriff und Microsoft Defender für Endpunkt.
  • Helpdeskoperator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.
  • Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.
  • Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.
  • Organisationsnachrichten-Manager: Verwaltet Organisationsnachrichten in der Intune-Konsole.
  • Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen. Kann keine Änderungen in Intune vornehmen.
  • Administrator für Bildungseinrichtungen: Verwaltet Windows 10 Geräte in Intune für Bildungseinrichtungen.
  • Cloud-PC-Administrator: Ein Cloud-PC-Administrator hat Lese- und Schreibzugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.
  • Cloud-PC-Reader: Ein Cloud-PC-Leser hat Lesezugriff auf alle Cloud-PC-Features, die sich im Cloud-PC-Bereich befinden.

Benutzerdefinierte Rollen

Sie können mithilfe von benutzerdefinierten Berechtigungen Ihre eigenen Rollen erstellen. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Create a custom role (Erstellen von benutzerdefinierten Rollen).

Microsoft Entra-Rollen mit Intune-Zugriff

Microsoft Entra-Rolle Alle Intune-Daten Intune-Überwachungsdaten
Globaler Administrator Lesen/Schreiben Lesen/Schreiben
Intune-Dienstadministrator Lesen/Schreiben Lesen/Schreiben
Administrator für bedingten Zugriff Keine Keine
Sicherheitsadministrator Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten) Schreibgeschützt
Sicherheitsoperator Schreibgeschützt Schreibgeschützt
Sicherheitsleseberechtigter Schreibgeschützt Schreibgeschützt
Complianceadministrator Keine Schreibgeschützt
Compliancedatenadministrator Keine Schreibgeschützt
Globaler Leser (Diese Rolle entspricht der Rolle " Intune-Helpdeskoperator ") Schreibgeschützt Schreibgeschützt
Helpdeskadministrator (diese Rolle entspricht der Rolle " Intune-Helpdeskoperator ") Schreibgeschützt Schreibgeschützt
Berichteleser Keine Schreibgeschützt

Tipp

Intune zeigt auch drei Microsoft Entra-Erweiterungen an: Benutzer, Gruppen und bedingter Zugriff, die mithilfe von Microsoft Entra RBAC gesteuert werden. Darüber hinaus führt der Benutzerkontoadministrator nur Microsoft Entra-Benutzer-/Gruppenaktivitäten aus und verfügt nicht über vollständige Berechtigungen zum Ausführen aller Aktivitäten in Intune. Weitere Informationen finden Sie unter RBAC mit Microsoft Entra ID.

Rollenzuweisungen

Eine Rollenzuweisung definiert Folgendes:

  • die einer Rolle zugewiesenen Benutzer
  • die Ressourcen, die diese sehen können
  • die Ressourcen, die diese ändern können

Sie können Ihren Benutzern sowohl benutzerdefinierte als auch integrierte Rollen zuweisen. Um einer Intune-Rolle zugewiesen zu werden, muss der Benutzer über eine Intune-Lizenz verfügen. Um eine Rollenzuweisung anzuzeigen, wählen Sie Intune>Mandantenverwaltungsrollen>>Alle Rollen> rollen auswählen >Zuweisungen> eine Zuweisung auswählen aus. Auf der Seite Eigenschaften können Sie Folgendes bearbeiten:

  • Grundlagen: Der Name und die Beschreibung der Zuweisungen.
  • Mitglieder: Alle Benutzer in den aufgelisteten Azure-Sicherheitsgruppen haben die Berechtigung, die Benutzer/Geräte zu verwalten, die in „Bereich (Gruppen)“ aufgelistet sind.
  • Bereich (Gruppen): Bereichsgruppen sind Microsoft Entra-Sicherheitsgruppen von Benutzern oder Geräten oder beides, für die Administratoren in dieser Rollenzuweisung auf die Ausführung von Vorgängen beschränkt sind. Beispielsweise die Bereitstellung einer Richtlinie oder Anwendung für einen Benutzer oder das Remotesperren eines Geräts. Alle Benutzer und Geräte in diesen Microsoft Entra-Sicherheitsgruppen können von den Benutzern in "Mitglieder" verwaltet werden.
  • Bereich (Tags): Benutzer, die unter „Mitglieder“ aufgeführt sind, können die Ressourcen sehen, die dieselben Bereichsmarkierungen aufweisen.

Hinweis

Bereichstags sind Freihandformtextwerte, die ein Administrator definiert und dann einer Rollenzuweisung hinzufügt. Das in einer Rolle hinzugefügte Bereichstag steuert die Sichtbarkeit der Rolle selbst, während das in der Rollenzuweisung hinzugefügte Bereichstag die Sichtbarkeit von Intune Objekten (z. B. Richtlinien und Apps) oder Geräten auf Administratoren in dieser Rollenzuweisung beschränkt, da die Rollenzuweisung mindestens ein übereinstimmendes Bereichstag enthält.

Mehrere Rollenzuweisungen

Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:

  • Berechtigungen sind inkrementell, wenn zwei oder mehr Rollen Berechtigungen für dasselbe Objekt gewähren. Ein Benutzer mit Leseberechtigungen aus einer Rolle und Lese-/Schreibberechtigungen aus einer anderen Rolle verfügt beispielsweise über die effektive Berechtigung Lesen/Schreiben (vorausgesetzt, die Zuweisungen für beide Rollen sind auf dieselben Bereichstags ausgerichtet).
  • Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind. Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.
  • Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.
  • Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.
  • Wenn keine Bereichstags vorhanden sind oder einige Bereichstags aus unterschiedlichen Zuweisungen zugewiesen sind, kann ein Benutzer nur Geräte sehen, die Teil einiger Bereichstags sind, und nicht alle Geräte.

Nächste Schritte