Rollenbasierte Zugriffssteuerung mit IntuneRole-based administration control (RBAC) with Intune

Mithilfe der rollenbasierten Zugriffssteuerung können Sie bestimmen, wer verschiedene Intune-Aufgaben in Ihrer Organisation ausführen darf und für wen diese Aufgaben gelten.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. Sie können entweder die integrierten Rollen verwenden, die einige allgemeine Intune-Szenarien abdecken, oder Sie können eigene Rollen erstellen.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Eine Rolle wird durch Folgendes definiert:A role is defined by:

  • Rollendefinition: Der Name einer Rolle, die von ihr verwalteten Ressourcen und die jeder Ressource erteilten Berechtigungen.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Mitglieder: Die Benutzergruppen, denen die Berechtigungen erteilt werden.Members: The user groups that are granted the permissions.
  • Bereich: Die Benutzer- bzw. Gerätegruppen, die die Mitglieder verwalten können.Scope: The user or device groups that the members can manage.
  • Zuweisung: Nachdem die Definition, Mitglieder und der Bereich konfiguriert wurden, wird die Rolle zugewiesen.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Beispiel für die rollenbasierte Zugriffssteuerung mit Intune

Beginnend mit dem neuen Azure-Portal bietet Azure Active Directory (Azure AD) zwei Verzeichnisrollen, die mit Intune verwendet werden können.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. Diese Rollen haben die Vollzugriffsberechtigung für alle Aktivitäten in Intune:These roles are granted full permission to perform all activities in Intune:

  • Globaler Administrator: Benutzer mit dieser Rolle haben Zugriff auf alle administrativen Funktionen in Azure AD sowie auf Dienste, die mit Azure AD einen Verbund bilden, wie z.B. Exchange Online, SharePoint Online und Skype for Business Online.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. Die Person, die sich für den Azure AD-Mandanten registriert, wird ein globaler Administrator.The person who signs up for the Azure AD tenant becomes a global administrator. Nur globale Administratoren können weitere Azure AD-Administratorrollen zuweisen.Only global administrators can assign other Azure AD administrator roles. Es kann mehr als einen globalen Administrator in Ihrem Unternehmen geben.There can be more than one global administrator at your organization. Globale Administratoren können das Kennwort aller Benutzer und aller anderen Administratoren zurücksetzen.Global admins can reset the password for any user and all other administrators.

  • Intune-Dienstadministrator: Benutzer mit dieser Rolle haben globale Berechtigungen in Intune, sobald der Dienst aktiviert ist.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. Diese Rolle bietet darüber hinaus die Möglichkeit zum Verwalten von Benutzern und Geräten sowie zum Erstellen und Verwalten von Gruppen.Additionally, this role provides the ability to manage users, devices, and create and manage groups.

  • Administrator für bedingten Zugriff: Benutzer mit dieser Rolle haben nur Berechtigungen, Richtlinien für den bedingten Zugriff anzuzeigen, zu erstellen, zu bearbeiten und zu löschen.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Wichtig

    Die Rolle „Intune-Dienstadministrator“ ermöglicht nicht das Verwalten der Azure AD-Einstellungen für bedingten Zugriff.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Tipp

    Intune zeigt außerdem drei Azure AD-Erweiterungen an, Benutzer, Gruppen und Bedingter Zugriff, die mithilfe der rollenbasierten Zugriffssteuerung von Azure AD gesteuert werden.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. Darüber hinaus führt der Benutzerkontoadministrator lediglich auf AAD-Benutzer- und Gruppen bezogene Aktivitäten aus und verfügt nicht über Vollzugriffsberechtigungen zum Ausführen aller Aktivitäten in Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Unter Rollenbasierte Zugriffssteuerung in Azure AD finden Sie weitere Details.Refer to RBAC with Azure AD for more details.

Im klassischen Intune-Portal erstellte RollenRoles created in the Intune classic portal

Nur Benutzer mit der Rolle Intune-Dienstadministrator mit Vollzugriffsberechtigung werden vom klassischen Intune-Portal zu Intune in Azure migriert.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Sie müssen Benutzer mit der Rolle Intune-Dienstadministrator mit der Zugriffsebene „Schreibgeschützt“ oder „Support“ Intune-Rollen im Azure-Portal neu zuweisen und aus dem klassischen Azure-Portal entfernen.You need to re-assign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Wichtig

Sie können den Zugriff für Intune-Dienstadministratoren im klassischen Portal ggf. beibehalten, wenn Ihre Administratoren weiterhin einen Zugriff zum Verwalten von PCs mit Intune benötigen.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PC’s using with Intune.

Integrierte RollenBuilt-in roles

Die folgenden Rollen sind in Intune integriert. Sie können sie ohne weitere Konfiguration Gruppen zuweisen:The following roles are built into Intune and you can assign them to groups with no further configuration:

  • Support: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung und unternehmensbezogene Geräte-IDs.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.
  • Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen.Read Only Operator: Views user, device, enrollment, configuration, and application information. Es können keine Änderungen in Intune vorgenommen werden.Cannot make changes to Intune.
  • Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen.Application Manager: Manages mobile and managed applications, and can read device information.

So weisen Sie eine integrierte Rolle zuTo assign a built-in role

  1. Wählen Sie auf der Seite Intune-Rollen die integrierte Rolle aus, die Sie zuweisen möchten.On the Intune roles, choose the built-in role you want to assign.

  2. Wählen Sie auf dem Blatt <Rollenname> – Eigenschaften erst Verwalten und dann Zuweisungen aus.On the <role name> - Properties blade, choose Manage, then Assignments.

    Hinweis

    Sie können die integrierten Rollen nicht löschen oder bearbeiten.You cannot delete or edit the built-in roles

  3. Wählen Sie auf dem Blatt „Benutzerdefinierte Rolle“ Zuweisen aus.On the custom role blade, choose Assign.

  4. Geben Sie auf dem Blatt Rollenzuweisungen einen Namen und eine optionale Beschreibung für die Zuweisung ein, und wählen Sie dann Folgendes aus:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Mitglieder: Wählen Sie eine Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen erteilen möchten.Members - Select a group that contains the user you want to give the permissions to.
    • Bereich: Wählen Sie eine Gruppe aus, die die Benutzer enthält, die das oben ausgewählte Mitglied verwalten soll.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Klicken Sie abschließend auf OK.When you are done, click OK. Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.The new assignment is displayed in the list of assignments.

Intune-Tabelle zur rollenbasierten ZugriffsteuerungIntune RBAC table

Benutzerdefinierte RollenCustom roles

Sie können eine benutzerdefinierte Sicherheitsrolle erstellen, die alle für einen bestimmten Aufgabenbereich erforderlichen Berechtigungen enthält.You can create a custom role that includes any permissions required for a specific job function. Wenn beispielsweise eine IT-Abteilungsgruppe Anwendungen, Richtlinien und Konfigurationsprofile verwaltet, können Sie alle diese Berechtigungen gemeinsam einer benutzerdefinierten Rolle hinzufügen.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Wichtig

Für das Erstellen, Bearbeiten oder Zuweisen von Rollen muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Globaler AdministratorGlobal Administrator
  • Intune-DienstadministratorIntune Service Administrator

So erstellen Sie eine benutzerdefinierte RolleTo create a custom role

  1. Melden Sie sich beim Azure-Portal mit Ihren Intune-Anmeldeinformationen an.Sign into the Azure portal with your Intune credentials.

  2. Wählen Sie im linken Menü Weitere Dienste aus, und geben Sie in das Filtertextfeld die Zeichenfolge Intune ein.Choose More services from the left menu, then type Intune in the text box filter.

  3. Wählen Sie Intune aus. Daraufhin wird das Intune-Dashboard geöffnet. Wählen Sie Intune-Rollen aus.Choose Intune, the Intune Dashboard opens, choose Intune roles.

  4. Wählen Sie auf dem Blatt Intune-Rollen wiederum Intune-Rollen und dann Benutzerdefiniert hinzufügen aus.On the Intune roles blade, choose Intune roles, choose Add custom.

  5. Geben Sie auf dem Blatt Benutzerdefinierte Rolle hinzufügen einen Namen und eine Beschreibung für die neue Rolle ein, und klicken Sie dann auf Berechtigungen.On the Add Custom Role blade, enter a name and description for the new role, then click Permissions.

  6. Wählen Sie auf dem Blatt Berechtigungen die Berechtigungen aus, die Sie mit dieser Rolle verwenden möchten.On the Permissions blade, choose the permissions you want to use with this role. Entscheiden Sie mithilfe der Tabelle zur rollenbasierten Zugriffssteuerung in Intune, welche Berechtigungen gelten sollen.Use the Intune RBAC table to help you decide which permissions you want to apply.

  7. Wählen Sie abschließend OK aus.When you are done, choose OK.

  8. Klicken Sie auf dem Blatt Benutzerdefinierte Rolle hinzufügen auf Erstellen.On the Add Custom Role blade, click Create. Die neue Rolle wird in der Liste auf dem Blatt Intune-Rollen angezeigt.The new role is displayed in the list on the Intune roles blade.

So weisen Sie eine benutzerdefinierte Rolle zuTo assign a custom role

  1. Wählen Sie auf der Seite Intune-Rollen die benutzerdefinierte Rolle aus, die Sie zuweisen möchten.On the Intune roles, choose the custom role you want to assign.

  2. Wählen Sie auf dem Blatt <Rollenname> – Eigenschaften erst Verwalten und dann Zuweisungen aus.On the <role name> - Properties blade, choose Manage, then Assignments. Sie können auf diesem Blatt auch vorhandene Rollen bearbeiten oder löschen.On this blade, you can also edit or delete existing roles.

  3. Wählen Sie auf dem Blatt „Benutzerdefinierte Rolle“ Zuweisen aus.On the custom role blade, choose Assign.

  4. Geben Sie auf dem Blatt Rollenzuweisungen einen Namen und eine optionale Beschreibung für die Zuweisung ein, und wählen Sie dann Folgendes aus:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Mitglieder: Wählen Sie eine Gruppe aus, die den Benutzer enthält, dem Sie die Berechtigungen erteilen möchten.Members - Select a group that contains the user you want to give the permissions to.
    • Bereich: Wählen Sie eine Gruppe aus, die die Benutzer enthält, die das oben ausgewählte Mitglied verwalten soll.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Klicken Sie abschließend auf OK.When you are done, click OK. Die neue Zuweisung wird in der Liste der Zuweisungen angezeigt.The new assignment is displayed in the list of assignments.

Nächste SchritteNext steps

Verwenden der Rolle „Intune-Support“ im Portal zur ProblembehandlungUse the Intune Helpdesk operator role with the troubleshooting portal

Weitere Informationen:See also

Zuweisen von Rollen mithilfe von Azure ADAssign roles using Azure AD