Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichsmarkierung für verteilte IT

  • Artikel

Sie können die rollenbasierte Zugriffssteuerung und Bereichstags verwenden, um sicherzustellen, dass die richtigen Administratoren über den richtigen Zugriff und die richtige Sichtbarkeit für die erforderlichen Intune-Objekte verfügen. Rollen bestimmen, welchen Zugriff Administratoren auf welche Objekte haben. Bereichstags bestimmen, welche Objekte Administratoren sehen können.

Angenommen, ein Regionalbüroadministrator in Seattle verfügt über die Rolle Richtlinien- und Profil-Manager. Dieser Administrator soll nur die Profile und Richtlinien anzeigen und verwalten, die nur für Seattle-Geräte gelten. Um diesen Zugriff einzurichten, gehen Sie folgendermaßen vor:

  1. Erstellen Sie ein Bereichstag mit dem Namen Seattle.
  2. Erstellen Sie eine Rollenzuweisung für die Rolle Richtlinien- und Profil-Manager mit:
    • Mitglieder (Gruppen) = Eine Sicherheitsgruppe mit dem Namen Seattle IT-Administratoren. Alle Administratoren in dieser Gruppe verfügen über die Berechtigung zum Verwalten von Richtlinien und Profilen für Benutzer/Geräte im Bereich (Gruppen).
    • Bereich (Gruppen) = Eine Sicherheitsgruppe mit dem Namen Seattle-Benutzer. Alle Benutzer/Geräte in dieser Gruppe können ihre Profile und Richtlinien von den Administratoren in den Mitgliedern (Gruppen) verwalten lassen.
    • Bereich (Tags) = Seattle. Administratoren im Mitglied (Gruppen) können Intune-Objekte sehen, die ebenfalls über das Bereichstag Seattle verfügen.
  3. Fügen Sie das Bereichstag Seattle zu Richtlinien und Profilen hinzu, auf die Administratoren in Mitglieder (Gruppen) Zugriff haben sollen.
  4. Fügen Sie das Bereichstag Seattle zu Geräten hinzu, die für Administratoren in den Mitgliedern (Gruppen) sichtbar sein sollen.

Standardbereichstag

Das Standardbereichstag wird automatisch allen nicht markierten Objekten hinzugefügt, die Bereichstags unterstützen.

Das Standardfeature für Bereichstags ähnelt dem Sicherheitsbereichsfeature in Microsoft Configuration Manager.

Hinweis

Beim Konfigurieren oder Bearbeiten von Intune-Richtlinien zeigen einige Richtlinientypen möglicherweise nicht die Konfigurationsseite Bereichstags an, wenn keine benutzerdefinierten Bereichstags für den Mandanten vorhanden sind. Wenn die Option Bereichstag nicht angezeigt wird, stellen Sie sicher, dass mindestens ein Tag zusätzlich zum Standardbereichstag definiert wurde.

So erstellen Sie ein Bereichstag

  1. Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltung>Rollenbereich>(Tags)>Erstellen aus.

  2. Geben Sie auf der Seite Grundlagen einen Namen und optional eine Beschreibung an. Wählen Sie Weiter aus.

  3. Wählen Sie auf der Seite Zuweisungen die Gruppen aus, die die Geräte enthalten, denen Sie dieses Bereichstag zuweisen möchten. Wählen Sie Weiter aus.

  4. Wählen Sie auf der Seite Überprüfen + erstellendie Option Erstellen aus.

    Wichtig

    Automatische Bereichstagszuweisungen überschreiben manuell zugewiesene Bereichstags. Wenn einem Gerät mehrere Bereichstags über die Gruppenzuweisung zugewiesen werden, gelten alle Bereichstags.

So weisen Sie einer Rolle ein Bereichstag zu

  1. Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltungsrollen>>Alle Rollen> wählen Eine Rolle >Zuweisungen>Zuweisen aus.

  2. Geben Sie auf der Seite Grundlagen einen Zuweisungsnamen und eine Beschreibung an. Wählen Sie Weiter aus.

  3. Wählen Sie auf der Seite Admin Gruppendie Option Gruppen hinzufügen aus, und wählen Sie die Gruppen aus, die Sie als Teil dieser Zuweisung verwenden möchten. Benutzer in diesen Gruppen verfügen über Berechtigungen zum Verwalten von Benutzern/Geräten im Bereich (Gruppen). Wählen Sie Weiter aus.

    Screenshot: Ausgewählte Mitgliedsgruppen.

  4. Wählen Sie auf der Seite Bereichsgruppen eine der folgenden Optionen für Eingeschlossene Gruppen aus:

    • Gruppen hinzufügen: Wählen Sie die Gruppen aus, die die Benutzer/Geräte enthalten, die Sie verwalten möchten. Alle Benutzer/Geräte in den ausgewählten Gruppen werden von den Benutzern im Admin Gruppen verwaltet.
    • Alle Benutzer hinzufügen: Alle Benutzer können von den Benutzern im Admin Gruppen verwaltet werden.
    • Alle Geräte hinzufügen: Alle Geräte können von den Benutzern im Admin Gruppen verwaltet werden.

  5. Klicken Sie auf Weiter.

  6. Wählen Sie auf der Seite Bereichsmarkierungen die Markierungen aus, die Sie dieser Rolle hinzufügen möchten. Benutzer im Admin Gruppen haben Zugriff auf Intune-Objekte, die auch das gleiche Bereichstag aufweisen. Sie können einer Rolle maximal 100 Bereichstags zuweisen.

  7. Wählen Sie Weiter aus, um zur Seite Überprüfen + erstellen zu wechseln, und wählen Sie dann Erstellen aus.

Zuweisen von Bereichstags zu anderen Objekten

Für Objekte, die Bereichstags unterstützen, werden Bereichstags in der Regel unter Eigenschaften angezeigt. Führen Sie beispielsweise die folgenden Schritte aus, um einem Konfigurationsprofil ein Bereichstag zuzuweisen:

  1. Wählen Sie im Microsoft Intune Admin Centerdie Option Gerätekonfiguration>> Profil auswählen aus.

  2. Wählen Sie Eigenschaften>Bereich (Tags)>Bearbeiten>Bereichsmarkierungen> auswählen die Tags aus, die Sie dem Profil hinzufügen möchten. Sie können einem Objekt maximal 100 Bereichstags zuweisen.

  3. Wählen SieÜberprüfen + speichernauswählen> aus.

Details zum Bereichstag

Beachten Sie bei der Arbeit mit Bereichstags die folgenden Details:

  • Sie können einem Intune-Objekttyp Bereichstags zuweisen, wenn der Mandant mehrere Versionen dieses Objekts (z. B. Rollenzuweisungen oder Apps) aufweisen kann. Die folgenden Intune-Objekte sind Ausnahmen von dieser Regel und unterstützen derzeit keine Bereichstags:
    • Corp-Gerätebezeichner
    • Autopilot-Geräte
    • Gerätekonformitätsspeicherorte
    • Jamf-Geräte
  • VPP-Apps (Volume Purchase Program) und E-Books, die dem VPP-Token zugeordnet sind, erben die Bereichstags, die dem zugeordneten VPP-Token zugewiesen sind.
  • Wenn ein Administrator ein Objekt in Intune erstellt, werden dem neuen Objekt automatisch alle Bereichstags zugewiesen, die diesem Administrator zugewiesen sind.
  • Intune RBAC gilt nicht für Microsoft Entra Rollen. Die Rollen "Intune-Dienstadministratoren" und "Globale Administratoren" verfügen also unabhängig davon, welche Bereichstags sie besitzen, über vollzugriff auf Intune.
  • Wenn eine Rollenzuweisung kein Bereichstag aufweist, kann dieser IT-Administrator alle Objekte basierend auf den Berechtigungen der IT-Administratoren anzeigen. Administratoren ohne Bereichstags verfügen im Wesentlichen über alle Bereichstags.
  • Sie können nur ein Bereichstag zuweisen, das in Ihren Rollenzuweisungen enthalten ist.
  • Sie können nur Zielgruppen verwenden, die im Bereich (Gruppen) Ihrer Rollenzuweisung aufgeführt sind.
  • Wenn Ihrer Rolle ein Bereichstag zugewiesen ist, können Sie nicht alle Bereichstags in einem Intune-Objekt löschen. Mindestens ein Bereichstag ist erforderlich.

Nächste Schritte

Erfahren Sie, wie sich Bereichsmarkierungen verhalten, wenn mehrere Rollenzuweisungen vorhanden sind. Verwalten Sie Ihre Rollen und Profile.