Verteilte IT-Umgebung mit vielen Administratoren im selben Microsoft Intune Mandanten

Viele Organisationen verwenden eine verteilte IT-Umgebung, in der sie über einen einzelnen Microsoft Intune Mandanten mit mehreren lokalen Administratoren verfügen. In diesem Artikel wird eine Möglichkeit zum Skalieren von Microsoft Intune beschrieben, um mehrere lokale Administratoren zu unterstützen, die ihre eigenen Benutzer und Geräte verwalten und ihre eigenen Richtlinien in einem einzelnen Microsoft Intune Mandanten erstellen. Es gibt keine richtige oder falsche Antwort darauf, wie viele Administratoren Sie in Ihrem Mandanten haben können. Der Artikel konzentriert sich auf Mandanten mit vielen lokalen Administratoren.

Verteilte IT wird in Systemen benötigt, in denen eine große Anzahl lokaler Administratoren eine Verbindung mit einem einzelnen Intune-Mandanten herstellt. Beispielsweise sind einige Schulsysteme so organisiert, dass Sie über einen lokalen Administrator für jede Schule im System oder in der Region verfügen. Manchmal kann es sich bei dieser verteilten Umgebung um 15 oder mehr unterschiedliche lokale Administratoren handeln, die ein Rollup auf dasselbe zentrale System oder Microsoft Intune Mandanten ausführen.

Jeder lokale Administrator kann Gruppen so einrichten, dass sie den Anforderungen seiner Organisation entsprechen. Der lokale Administrator erstellt in der Regel Gruppen und organisiert mehrere Benutzer oder Geräte nach geografischem Standort, Abteilung oder Hardwaremerkmalen. Die lokalen Administratoren verwenden diese Gruppen auch, um Aufgaben im großen Stil zu verwalten. Beispielsweise können die lokalen Administratoren Richtlinien für viele Benutzer festlegen oder Apps auf einer Gruppe von Geräten bereitstellen.

Rollen, die Sie kennen müssen

• Zentrales Team: Das zentrale Team oder die Gruppe umfasst die globalen Administratoren oder primären Administratoren in Ihrem Mandanten. Diese Administratoren können alle lokalen Administratoren überwachen und den lokalen Administratoren Anleitungen bereitstellen.

• Lokale Administratoren: Die lokalen Administratoren sind lokal und konzentrieren sich auf Richtlinien und Profile für ihre spezifischen Standorte. Schulen, Krankenhäuser usw.

Rollenbasierte Zugriffssteuerung

In diesem Abschnitt werden die verschiedenen Modelle kurz beschrieben und Richtlinien für jedes Modell zum Verwalten von Richtlinien, Profilen und Apps zwischen dem zentralen Team und den lokalen Administratoren vorgeschlagen. Die Modelle sind:

• Teildelegierungsmodell
• Vollständiges Delegierungsmodell
• Zentrales Modell
• Devolviertes Modell
• Hybridmodell

Teildelegierungsmodell

Das Teildelegierungsmodell schlägt die folgenden Richtlinien für die Richtlinienverwaltung zwischen dem zentralen Team und den lokalen Administratoren vor.

✔️ Berechtigungen

• Erstellen, Aktualisieren und Löschen von Berechtigungen für Richtlinien, Registrierungsprofile und Apps sollten vom zentralen Team verwaltet werden.
• Erteilen Sie den lokalen Administratoren nur Lese- und Zuweisungsberechtigungen.

✔️ Wiederverwenden

• Häufig konfigurierte Richtlinien, Registrierungsprofile und Apps sollten den lokalen Administratoren zur Verfügung gestellt werden, um sie so weit wie möglich wiederzuverwenden.
• Microsoft Intune verwendet viele gängige Konfigurationen, die in einige Kategorien fallen. Überprüfen Sie die Empfehlungen für App-Schutzrichtlinien.
• Als lokale Administratoren sollten das Onboarding der vorhandenen Richtlinien überprüfen und bei Bedarf wiederverwenden.

✔️ Ausnahmen

• Das zentrale Team kann bei Bedarf im Auftrag der lokalen Administratoren bestimmte neue Richtlinien, Registrierungsprofile und Apps als Ausnahmen erstellen. Zu diesen Ausnahmen gehören in der Regel alle Profiltypen, für die eindeutige Parameter erforderlich sind.

Ein Teildelegierungsmodell wird in diesen beiden Bereichen vorgeschlagen:

Gruppen- und Zuweisungsrichtlinien für lokale Administratoren: Welche bewährten Methoden müssen lokale Administratoren übernehmen, wenn Sie Gruppen für die Geräteverwaltung über Microsoft Intune organisieren? Weitere Informationen finden Sie im Artikel Gruppierung, Zielgruppenadressierung und Filterung in Intune: Empfehlungen für optimale Leistung – Microsoft Tech Community

Featurespezifische Richtlinien: Wie werden Richtlinien/Profile/Apps zwischen einer zentralen Autorität und den lokalen Administratoren mit bestimmten Berechtigungen für die verschiedenen Features verwaltet? Weitere Informationen finden Sie im Abschnitt Featurespezifische Richtlinien.

Vollständiges Delegierungsmodell

Das vollständige Delegierungsmodell schlägt die folgenden Richtlinien für die Richtlinienverwaltung zwischen dem zentralen Team und den lokalen Administratoren vor.

• Jeder lokale Administrator sollte über ein eigenes Bereichstag verfügen, um jedes Objekt zu trennen, das er vollständig verwaltet.
• Wenn der lokale Administrator nicht erstellen, aktualisieren oder löschen muss, gewähren Sie dem lokalen Administrator eine Rolle mit Lese- und Zuweisungsberechtigungen, und vermeiden Sie es, ihm eine andere Rolle mit vollständiger Berechtigung zuzuweisen. Mit diesem Ansatz können Sie die Kombination von Berechtigungen über Bereichstags hinweg vermeiden.
• Manchmal müssen die lokalen Administratoren möglicherweise ihre eigenen Richtlinien, Profile und Apps erstellen und gleichzeitig einige allgemeine Richtlinien, Profile und Apps freigeben. Erstellen Sie in solchen Fällen eine spezielle Gruppe, und weisen Sie dieser Gruppe die allgemeinen Richtlinien, Profile und Apps zu. Diese Gruppe sollte nicht in der Bereichsgruppe für einen lokalen Administrator enthalten sein. Bereichsgruppe. Dieser Ansatz verhindert, dass die Berechtigungen zum Erstellen, Aktualisieren und Löschen, die den lokalen Administratoren zugewiesen sind, auf diese allgemeinen Richtlinien, Profile und Apps angewendet werden.

Zentrales Modell

Im zentralen Modell verwaltet ein einzelnes lokales Administratorteam (übergeordnetes Team) mehrere untergeordnete Organisationen. Faktoren wie Geografie, Geschäftseinheit oder Größe können untergeordnete Organisationen in Beziehung setzen.

• Es wird nur ein Bereichstag verwendet, um alle verwalteten lokalen Administratoren abzudecken.

• Wenn möglich, sollte das lokale Administratorteam Zuweisungen für lokale Administratoren standardisieren und alle geräte zur Zuweisung in einer einzelnen Microsoft Entra Gruppe platzieren. Wenn es nicht möglich ist, eine einzelne Microsoft Entra Gruppe zu erstellen, kann das lokale Administratorteam verschiedene Microsoft Entra Gruppen erstellen, um unterschiedliche Zuweisungen vorzunehmen.

• Wenn ein anderes lokales Administratorteam eine Organisation verwaltet oder verschiebt, müssen die folgenden Schritte ausgeführt werden:

  • Alle Geräte und Benutzer der Organisation müssen aus allgemeinen Microsoft Entra Gruppen im Bereich des ursprünglichen lokalen Administratorteams extrahiert werden.

  • Für alle Richtlinien/Apps/Profile, die dieser Organisation eindeutig zugewiesen sind, muss ihr Bereichstag für das neue lokale Administratorteam aktualisiert werden.

Devolviertes Modell

Im devolvierten Modell werden mehrere lokale Administratoren (untergeordnete Administratoren) sowohl von ihrem dedizierten lokalen Administrator als auch von einem zwischengeschalteten lokalen Administratorteam verwaltet. Sowohl die übergeordneten als auch die untergeordneten Administratoren verfügen über eigene Bereichstags, um Verwaltungsgrenzen darzustellen.

• Wenn weniger als 50 untergeordnete Administratoren vorhanden sind, kann dem zwischengeschalteten lokalen Administratorteam Zugriff gewährt werden, indem alle Bereichstags der untergeordneten Elemente der RBAC-Rollenzuweisung des lokalen Zwischenadministratorteams zugewiesen werden.
• Wenn mehr als 50 untergeordnete Administratoren vorhanden sind, sollte dem zwischengeschalteten lokalen Administratorteam ein eigenes Bereichstag gewährt werden, um die gesamte Sammlung von untergeordneten Administratoren darzustellen, die sie überwachen.
• Neu erstellte Richtlinien unter den Bereichstags des untergeordneten Administrators müssen das Zwischentag von einer globalen Administratorrolle hinzugefügt haben, um zu verhindern, dass das lokale Zwischenadministratorteam an Sichtbarkeit verliert.

Hybridmodell

Im Hybridmodell wird derselbe übergeordnete Administrator sowohl im zentralen als auch im devolvierten Modell gleichzeitig verwendet. Für dieses Modell gibt es keine besonderen Empfehlungen.

Featurespezifische Richtlinien

Je nach den geschäftlichen Anforderungen für die einzelnen Features empfiehlt es sich in den richtlinien in diesem Abschnitt möglicherweise, Richtlinien pro lokalem Administrator zu erstellen und/oder die berechtigungen, die zum Erstellen von Objekten erforderlich sind, an die lokalen Administratoren zu delegieren.

Hinweis

Die Anleitung in diesem Abschnitt behandelt nicht jedes Feature, sondern nur die Bereiche, für die wir spezielle Anweisungen haben.

App-Schutz-Richtlinie

App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Weitere Informationen findest du unter richtlinien App-Schutz.

Die Richtlinien für App-Schutz Richtlinien sind wie folgt auf das zentrale Team und die lokalen Administratoren aufgeteilt:

Zentrales Team – Aufgaben

• Überprüfen Sie die Sicherheits- und Geschäftsanforderungen in den organization, und generieren Sie eine Reihe allgemeiner App-Schutz Richtlinien für lokale Administratoren.
• Überprüfen Sie die aufgeführten Empfehlungen, um zu ermitteln, welche Sicherheitskontrollen geeignet sind, bevor Sie App-Schutz Richtlinien erstellen.
• Verwenden Sie eine etablierte Methode für lokale Administratoren, um bei Bedarf angepasste App-Schutz-Richtlinien für bestimmte Geschäftsanforderungen anzufordern, bei denen die geschäftsspezifischen Anforderungen nicht mit den vorhandenen allgemeinen Richtlinien erfüllt werden können.
• Spezifische Empfehlungen zu jeder Konfigurationsstufe und zu den Mindestanforderungen für Apps, die geschützt werden müssen, finden Sie unter Datenschutzframework mit App-Schutz Richtlinien. Weitere Informationen finden Sie unter App-Schutz Richtlinien.

Lokale Administratoren: Berechtigungen und Aufgaben

• Stellen Sie Lese- und Zuweisungsberechtigungen bereit, aber keine Berechtigungen zum Erstellen, Aktualisieren und Löschen für verwaltete Apps, damit sie keine eigenen App-Schutz-Richtlinien erstellen können.
• Bereitstellen von Lese- und Zuweisungsberechtigungen für die Zuweisung von Anwendungskonfigurationsrichtlinien für ihre Apps.
• Geben Sie nur Lese- und Zuweisungsberechtigungen an, wenn unterschiedliche Schutzrichtlinien für verwaltete und nicht verwaltete Geräte vorhanden sind. Wenn das zentrale Team nur eine Richtlinie für beides anbieten möchte, ist keine Anwendungskonfigurationsrichtlinie erforderlich.
• Wenn die Anwendungskonfigurationsrichtlinie verwendet wird, wird empfohlen, die Anwendungskonfigurationsrichtlinie ausnahmslos allen App-Instanzen zuzuweisen.
• Wählen Sie aus allgemeinen App-Schutz Richtlinien aus. Lokale Administratoren können das zentrale Team nur bei Bedarf bitten, benutzerdefinierte App-Schutzrichtlinien als Ausnahme zu erstellen.
• Weitere Informationen findest du unter App-Schutz Richtlinien.

Kompatibilitätsrichtlinie

Konformitätsrichtlinien in Intune definieren die Regeln und Einstellungen, die Benutzer und Geräte erfüllen müssen, um konform zu sein. Weitere Informationen zu Konformitätsrichtlinien findest du unter Konformitätsrichtlinien.

Zentrales Team

Das zentrale Team sollte allgemeine Konformitätsrichtlinien für lokale Administratoren zur Auswahl erstellen und nur bei Bedarf Ausnahmerichtlinien erstellen. Weitere Informationen findest du unter Konformitätsrichtlinien. Das Erstellen von Richtlinien umfasst die Erstellung benutzerdefinierter Konformitätsrichtlinienskripts, da sie der gleichen Skalierung unterliegen wie die normale Konformitätsrichtlinie.

Weitere Informationen zum Erstellen einer Konformitätsrichtlinie finden Sie unter Konformitätsrichtlinien.

Lokale Administratoren

Stellen Sie lokalen Administratoren Lese- und Zuweisungsberechtigungen bereit, aber keine Berechtigungen zum Erstellen, Aktualisieren oder Löschen der Konformitätsrichtlinie. Die Lese- und Zuweisungsberechtigungen ermöglichen es ihnen, aus den allgemeinen Konformitätsrichtlinien auszuwählen, die vom zentralen Team erstellt wurden, und sie ihren Benutzern und Geräten zuzuweisen.

Gerätekonfiguration

In diesem Abschnitt:

• Geräteeinschränkungen und allgemeine Konfiguration
• Ressourcenzugriff
• Windows-Updateringe
• Featureupdates
• Qualitätsupdates.

Geräteeinschränkungen und allgemeine Konfiguration

• Erteilen Sie lokalen Administratoren die Berechtigung zum Erstellen, Aktualisieren und Löschen innerhalb ihres eigenen Bereichs.

• Verwenden Sie den Einstellungskatalog und die Sicherheitsbaselines im größtmöglichen Umfang anstelle von Profilen, die in der Liste Konfigurationsprofile erstellt wurden, um die Skalierung im Microsoft Intune Admin Center zu verringern.

• Im Allgemeinen sollte das zentrale Team versuchen, den Inhalt von Konfigurationen zentral zu überwachen und nach Möglichkeit viele doppelte Profile durch ein freigegebenes Profil zu ersetzen.

Ressourcenzugriff

Das Modell der vollständigen Delegierung wird empfohlen.

Windows-Updateringe

• Es wird empfohlen, Windows-Updateringe zentral zu verwalten. Das zentrale Team sollte so viele allgemeine Windows Update Ring-Richtlinien erstellen, wie sie benötigen, um die Varianz der lokalen Administratoren zu unterstützen.
• Die lokalen Administratoren sollten keine eigenen Windows-Updateringe erstellen. Wenn Sie an eine große Anzahl von Administratoren delegieren, kann die Gesamtzahl der Objekte groß und schwer zu verwalten sein. Bewährte Methoden variieren für jedes Feature. Weitere Informationen findest du unter Windows-Updateringe.

Featureupdates

Das Modell der vollständigen Delegierung wird empfohlen.

Qualitätsupdates.

Das Modell der vollständigen Delegierung wird empfohlen.

Zertifikate

• Es wird empfohlen, Berechtigungen über das zentrale Team zu verwenden, um Connectors nach Bedarf zu integrieren bzw. zu offboarden. Integrieren Sie Connectors für jeden lokalen Administrator, um die Zertifikatausstellung zu unterstützen.

• Erteilen Sie den lokalen Administratoren keine Berechtigung für UPDATE- oder DELETE-Connectors.

Anwendungen

Gewähren Sie lokalen Administratoren vollständige Berechtigungen zum Verwalten von Apps im Umfang ihres Umfangs.

In diesem Abschnitt:

• Apple Volume Purchase Program

• Windows

• Android

Weitere Informationen findest du unter Verwalten von Apps.

Apple Volume Purchase Program

Derzeit gibt es keine Skalierungsbedenken hinsichtlich der unterstützten Anzahl von Volumenkaufprogramm-Token. Weitere Informationen finden Sie unter Wie viele Token kann ich hochladen?.

Windows

• Lokale Administratoren können Win32-Apps nach Bedarf innerhalb der plattformübergreifenden Branchen-App und des Weblinklimits erstellen. Weitere Informationen findest du unter Win32-App-Verwaltung.

• Lokale Administratoren können bei Bedarf Microsoft Store für Unternehmen Apps (MSFB) erwerben.

  Hinweis

  Microsoft Store für Unternehmen wird eingestellt. Ab Windows 11 haben Sie eine neue Option für Ihre privaten volumenlizenzierten Apps. Weitere Informationen findest du unter Private App-Repository in Windows 11 und Aktualisieren auf Microsoft Intune Integration in den Microsoft Store unter Windows.

Android

• Lokale Administratoren sollten aus vorhandenen Store-Apps wählen oder das zentrale Team bitten, neue Android Store-Apps hinzuzufügen. Lokale Administratoren sollten keine neuen Android Store-Apps erstellen. Die Gesamtzahl der Objekte kann groß und schwer zu verwalten sein.

• Lokale Administratoren können branchenspezifische Android-Apps nach Bedarf innerhalb der plattformübergreifenden Branchen-App und des Weblinklimits erstellen.

• Das zentrale Team muss verwaltete Google Play-Apps hinzufügen.

  • Das zentrale Team kann nur verwaltete Google Play-Apps sehen, die im Land/der Region des Mandanten verfügbar sind. Wenn das zentrale Team eine verwaltete Google Play-App benötigt, die nur in einigen Ländern/Regionen verfügbar ist, muss es möglicherweise mit dem App-Entwickler zusammenarbeiten, um sie richtig aufzulisten.
  • Das zentrale Team sollte alle Inhalte im Zusammenhang mit verwalteten Google Play-Apps verwalten, einschließlich privater Apps, Web-Apps und Sammlungen. Wenn ein Kunde beispielsweise plant, den managed Google Play iframe zum Veröffentlichen privater Apps zu verwenden, muss er dies mit einem einzelnen Entwicklerkonto tun, das sich im Besitz des zentralen Teams befindet.
  • Das zentrale Team kann ein einzelnes Bereichstag als Managed Google Play-Bereichstag auswählen. Es verfügt über eine spezielle Dropdownliste auf der Seite "Verwalteter Google Play-Connector". Das Bereichstag gilt für alle verwalteten Google Play-Apps, nachdem das zentrale Team sie der Konsole hinzugefügt hat, gilt jedoch nicht rückwirkend für Apps, die bereits hinzugefügt wurden. Es wird dringend empfohlen, dass das zentrale Team das Bereichstag vor dem Hinzufügen von Apps festlegen und dann jedem regionalen Team, dem das Bereichstag zugewiesen wird, zugewiesen wird. Andernfalls können regionale Administratoren ihre verwalteten Google Play-Apps möglicherweise nicht sehen.

• Pro Gerät wird nur eine OEMConfig-Richtlinie unterstützt, mit Ausnahme von Zebra-Geräten. Bei Zebra-Geräten wird dringend empfohlen, dass Sie über die geringstmögliche Anzahl von Richtlinien verfügen, da die Zeit zum Erzwingen der Richtlinie additiv ist. Wenn Sie z. B. sechs Richtlinien mit der Annahme zuweisen, dass sie übereinander schichten, dauert es etwa 6x länger, um mit der Arbeit auf dem Gerät zu beginnen als eine einzelne Richtlinie.

Hinweis

Achten Sie beim Festlegen des Aktualisierungsmodus mit hoher Priorität für viele verschiedene Apps und Gruppen auf äußerste Vorsicht. Dies hat mehrere Gründe:

• Obwohl viele Apps auf den Modus mit hoher Priorität festgelegt werden können, kann jeweils nur ein App-Update installiert werden. Ein großes App-Update könnte möglicherweise viele kleinere Updates blockieren, bis die Installation der großen App abgeschlossen ist.
• Je nachdem, wann Apps neue Updates veröffentlichen, kann es zu einer plötzlichen Spitze der Netzwerknutzung kommen, wenn App-Releases zusammenfallen. Wenn Wi-Fi auf einigen Geräten nicht verfügbar ist, kann es auch zu einem Anstieg der Mobilfunknutzung kommen.
• Obwohl bereits von störenden Benutzeroberflächen gesprochen wurde, wächst das Problem, wenn immer mehr Apps auf den Updatemodus mit hoher Priorität festgelegt sind.

Weitere Informationen zu Skalierungsproblemen in Bezug auf Updates für verwaltete Google Play-Apps mit dem Updatemodus mit hoher Priorität erhalten Sie in diesem Techcommunity-Artikel.

Registrierungsprofile

In diesem Abschnitt:

• Autopilot
• Registrierungsseite status (ESP)
• Apple Business Manager (ABM)
• Android Enterprise-Profile
• Registrierungseinschränkungen
• Gerätekategorien

Autopilot

• Erteilen Sie lokalen Administratoren die Berechtigungen zum Lesen von Autopilot-Geräten und zum Hochladen neuer Autopilot-Geräte.
• Lokale Administratoren sollten keine Autopilot-Profile erstellen. Wenn Sie an eine große Anzahl von Administratoren delegieren, kann die Gesamtzahl der Objekte groß und schwer zu verwalten sein. Die bewährte Methode variiert je nach Featurebereich. Weitere Informationen zu Autopilot finden Sie unter Verwenden von Autopilot zum Registrieren von Windows-Geräten bei Intune.

Seite "Registrierungsstatus"

• Lokale Administratoren sollten aus vorhandenen Registrierungs- status-Seitenprofilen auswählen, die zugewiesen werden sollen, oder sie sollten das zentrale Team auffordern, nur bei Bedarf ein Ausnahmeprofil zu erstellen.
• Lokale Administratoren sollten keine Registrierungs- status-Seitenprofile erstellen. Wenn Sie an eine große Anzahl von Administratoren delegieren, kann die Gesamtzahl der Objekte groß und schwer zu verwalten sein. Die bewährte Methode variiert je nach Featurebereich. Weitere Informationen zur Seite "Registrierung status" findest du unter Einrichten der Seite "Registrierungsstatus".

Apple Business Manager

Wenn möglich, sollten lokalen Administratoren keine Berechtigungen zum Erstellen, Aktualisieren oder Löschen von Registrierungsprofilen gewährt werden. Wenn lokalen Administratoren Berechtigungen zum Erstellen von Apple Business Manager-Profilen erteilt werden, erhalten sie auch Berechtigungen zum Erstellen, Aktualisieren und Löschen in Autopilot. Lokale Administratoren sollten jedoch keine Autopilot-Profile erstellen.

Wenn Sie an eine große Anzahl von Administratoren delegieren, kann die Gesamtzahl der Objekte groß und schwer zu verwalten sein. Die bewährte Methode variiert je nach Featurebereich. Weitere Informationen findest du unter Verwenden von Apple Business Manager zum Registrieren von Apple-Geräten bei Intune.

Android Enterprise-Profile

• Das zentrale Team sollte unternehmenseigene Registrierungsprofile für dedizierte Android Enterprise-Geräte für jeden lokalen Administrator für die Gerätegruppierung erstellen.
• Wenn möglich, sollten lokalen Administratoren keine Berechtigungen zum Erstellen, Aktualisieren oder Löschen auf Android Enterprise-Geräten gewährt werden. Diese Einschränkungen verhindern, dass lokale Administratoren die mandantenweiten Android Enterprise-Einstellungen und das globale vollständig verwaltete Registrierungsprofil ändern.

Registrierungseinschränkungen

• Derselbe Berechtigungssatz gilt sowohl für gerätekonfigurations- als auch für registrierungseinschränkungen. Wenn Sie Berechtigungen zum Erstellen für die Gerätekonfiguration erteilen, gewähren Sie auch Berechtigungen zum Erstellen für Registrierungseinschränkungen. Lokale Administratoren sollten jedoch keine Berechtigung zum Erstellen von Registrierungseinschränkungsprofilen erhalten. Daher sollten sie angewiesen werden, keine neuen Profile für Registrierungseinschränkungen zu erstellen.

• Einschränkungen für die Registrierung von Geräten definieren, wie viele Geräte jeder Benutzer registrieren kann. Die Einschränkungen für gerätelimits für die Registrierung sollten alle möglichen Gerätegrenzwerte für lokale Administratoren abdecken, die sie freigeben können. Weitere Informationen findest du unter Was sind Registrierungseinschränkungen?

• Das zentrale Team sollte die Einschränkungen des Gerätetyps so weit wie möglich standardisieren und neue Einschränkungen hinzufügen, jedoch nur als besondere Ausnahmen, nachdem ein lokaler Administrator vorhandene Einschränkungen überprüft hat.

Gerätekategorien

Das Feature Gerätekategorien (Gerätegerätekategorien>) verfügt nicht über eine eigene Berechtigungsfamilie. Stattdessen werden seine Berechtigungen durch die unter Organisation festgelegten Berechtigungen gesteuert. Wechseln Sie zu Mandantenverwaltungsrollen>. Wählen Sie eine benutzerdefinierte oder integrierte Rolle und dann Eigenschaften aus. Hier können Sie Berechtigungen zuweisen, von denen eine Organisation ist. Wenn Sie Also Leseberechtigungen für Gerätekategorien benötigen, legen Sie Leseberechtigungen in Organisation fest.

Zentrale Teams können Gerätekategorien erstellen. Lokale Administratoren sollten jedoch nicht berechtigt sein, Gerätekategorien zu erstellen, zu aktualisieren oder zu löschen, da dies erfordern würde, dass ihnen Berechtigungen für die Organisation erteilt werden und ihnen Zugriff auf andere Features auf Mandantenebene gewährt werden, die von Organisationsberechtigungen gesteuert werden.

Weitere Informationen findest du unter Gerätekategorien.

Endpunktanalysen

• Das zentrale Team sollte so viele allgemeine Endpunktanalysebaselines erstellen, wie sie benötigen, um die Varianz der lokalen Administratoren zu unterstützen.
• Wenn möglich, sollten lokale Administratoren keine eigenen Endpoint Analytics-Baselines erstellen. Wenn Sie an eine große Anzahl von Administratoren delegieren, kann die Gesamtzahl der Objekte groß und schwer zu verwalten sein. Die bewährte Methode variiert je nach Featurebereich.
• Weitere Informationen finden Sie unter Konfigurieren von Einstellungen in der Endpunktanalyse.