Rollenbasierte Zugriffssteuerung für Microsoft IntuneRole-based access control (RBAC) with Microsoft Intune

Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können.Role-based access control (RBAC) helps you manage who has access to your organization's resources and what they can do with those resources. Wenn Sie Ihren Intune-Benutzern Rollen zuweisen, können Sie einschränken, welche Elemente diese sehen und ändern können.By assigning roles to your Intune users, you can limit what they can see and change. Jeder Rolle sind Berechtigungen zugewiesen, die festlegen, auf welche Elemente Benutzer mit dieser Rolle innerhalb Ihrer Organisation zugreifen können und welche Elemente sie ändern können.Each role has a set of permissions that determine what users with that role can access and change within your organization.

Für das Erstellen, Bearbeiten oder Zuweisen von Rollen muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Globaler AdministratorGlobal Administrator
  • Intune-Dienstadministrator (auch als Intune-Administrator bezeichnet)Intune Service Administrator (also known as Intune Administrator)

Wenn Sie Tipps und Vorschläge zu Intune RBAC benötigen, können Sie sich diese Reihe von fünf Videos mit Beispielen und exemplarischen Vorgehensweisen ansehen: 1, 2, 3, 4, 5.For advice and suggestions about Intune RBAC, you can check out this series of five videos that showcase examples and walkthroughs: 1, 2, 3, 4, 5.

RollenRoles

Eine Rolle definiert die Berechtigungen, die den ihr zugewiesenen Benutzern gewährt werden.A role defines the set of permissions granted to users assigned to that role. Sie können sowohl integrierte als auch benutzerdefinierte Rollen verwenden.You can use both the built-in and custom roles. Integrierte Rollen decken einige häufige Szenarios in Intune ab.Built-in roles cover some common Intune scenarios. Sie können aber auch Ihre eigenen benutzerdefinierten Rollen mit den gewünschten Berechtigungen erstellen.You can create your own custom roles with the exact set of permissions you need. Mehrere Azure Active Directory-Rollen beinhalten den Zugriff auf Intune.Several Azure Active Directory roles have permissions to Intune. Wenn Sie eine Rolle abrufen möchten, klicken Sie auf Intune > Rollen > Alle Rollen, und wählen Sie eine Rolle aus.To see a role, choose Intune > Roles > All roles > choose a role. Dann werden die folgenden Seiten angezeigt:You'll see the following pages:

  • Eigenschaften: der Name, die Beschreibung, der Typ, die Zuweisungen und die Bereichsmarkierungen für die RolleProperties: The name, description, type, assignments, and scope tags for the role.
  • Berechtigungen: Listet eine Reihe von Optionen auf, die die Berechtigungen der jeweiligen Rolle definierenPermissions: Lists a long set of toggles defining what permissions the role has.
  • Zuweisungen: Eine Liste mit Rollenzuweisungen, in der definiert wird, welche Benutzer Zugriff auf welche Benutzer/Geräte haben.Assignments: A list of role assignments defining which users have access to which users/devices. Eine Rolle kann mehrere Zuweisungen aufweisen, und ein Benutzer kann Teil mehrerer Zuweisungen sein.A role can have multiple assignments, and a user can be in multiple assignments.

Integrierte RollenBuilt-in roles

Sie können Gruppen ohne weitere Konfiguration integrierte Rollen zuweisen.You can assign built-in roles to groups without further configuration. Sie können den Namen, die Beschreibung, den Typ oder die Berechtigungen einer integrierten Rolle löschen oder bearbeiten.You can't delete or edit the name, description, type, or permissions of a built-in role.

  • Helpdesk-Operator: Führt Remoteaufgaben für Benutzer und Geräte durch und kann Anwendungen oder Richtlinien Benutzern oder Geräten zuweisen.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Richtlinien- und Profil-Manager: Verwaltet Konformitätsrichtlinien, Konfigurationsprofile, die Apple-Registrierung, unternehmensbezogene Geräte-IDs und Sicherheitsbaselines.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • Operator mit beschränkter Leseberechtigung: Kann Benutzer-, Geräte-, Registrierungs-, Konfigurations- und Anwendungsinformationen anzeigen.Read Only Operator: Views user, device, enrollment, configuration, and application information. Kann keine Änderungen in Intune vornehmen.Can't make changes to Intune.
  • Anwendungs-Manager: Verwaltet mobile und verwaltete Anwendungen und kann Geräteinformationen lesen sowie Gerätekonfigurationsprofile anzeigen.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune-Rollenadministrator: Verwaltet benutzerdefinierte Intune-Rollen und fügt integrierten Intune-Rollen Aufgaben hinzu.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. Dies ist die einzige Intune-Rolle, die Administratoren Berechtigungen zuweisen kann.It's the only Intune role that can assign permissions to Administrators.
  • Schuladministrator: Verwaltet Windows 10-Geräte in Intune for Education.School Administrator: Manages Windows 10 devices in Intune for Education.
  • Endpunktsicherheits-Manager: Verwaltet Sicherheits- und Konformitätsfeatures, wie z. B. Sicherheitsbaselines, Gerätekonformität, bedingter Zugriff und Microsoft Defender für Endpunkt.Endpoint Security Manager: Manages security and compliance features, such as security baselines, device compliance, conditional access, and Microsoft Defender for Endpoint.

Benutzerdefinierte RollenCustom roles

Sie können mithilfe von benutzerdefinierten Berechtigungen Ihre eigenen Rollen erstellen.You can create your own roles with custom permissions. Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Create a custom role (Erstellen von benutzerdefinierten Rollen).For more information about custom roles, see Create a custom role.

Azure Active Directory-Rollen mit Zugriff auf IntuneAzure Active Directory roles with Intune access

Azure Active Directory-RolleAzure Active Directory role Alle Intune-DatenAll Intune data Intune-ÜberwachungsdatenIntune audit data
Globaler AdministratorGlobal Administrator Lesen/SchreibenRead/write Lesen/SchreibenRead/write
Intune-DienstadministratorIntune Service Administrator Lesen/SchreibenRead/write Lesen/SchreibenRead/write
Administrator für den bedingten ZugriffConditional Access Administrator KeineNone KeineNone
SicherheitsadministratorSecurity Administrator Schreibgeschützt (vollständige Administratorberechtigungen für den Endpunkt-Sicherheitsknoten)Read only (full administrative permissions for Endpoint Security node) SchreibgeschütztRead only
SicherheitsoperatorSecurity Operator SchreibgeschütztRead only SchreibgeschütztRead only
SicherheitsleseberechtigterSecurity Reader SchreibgeschütztRead only SchreibgeschütztRead only
ComplianceadministratorCompliance Administrator KeineNone SchreibgeschütztRead only
CompliancedatenadministratorCompliance Data Administrator KeineNone SchreibgeschütztRead only
Globaler LeserGlobal Reader Nur LeseberechtigungRead Only Nur LeseberechtigungRead Only
Meldet ReaderReports Reader Nur LeseberechtigungRead Only KeineNone

Tipp

Intune zeigt außerdem drei Azure AD-Erweiterungen an: Benutzer, Gruppen und Bedingter Zugriff, die mithilfe der rollenbasierten Zugriffssteuerung von Azure AD gesteuert werden.Intune also shows three Azure AD extensions: Users, Groups, and Conditional Access, which are controlled using Azure AD RBAC. Darüber hinaus führt der Benutzerkontoadministrator lediglich auf AAD-Benutzer- und Gruppen bezogene Aktivitäten aus und verfügt nicht über Vollzugriffsberechtigungen zum Ausführen aller Aktivitäten in Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Weitere Informationen finden Sie unter Berechtigungen der Administratorrolle in Azure Active Directory.For more information, see RBAC with Azure AD.

RollenzuweisungenRole assignments

Eine Rollenzuweisung definiert Folgendes:A role assignment defines:

  • die einer Rolle zugewiesenen Benutzerwhich users are assigned to the role
  • die Ressourcen, die diese sehen könnenwhat resources they can see
  • die Ressourcen, die diese ändern könnenwhat resources they can change.

Sie können Ihren Benutzern sowohl benutzerdefinierte als auch integrierte Rollen zuweisen.You can assign both custom and built-in roles to your users. Um einer Intune-Rolle zugewiesen zu werden, muss der Benutzer über eine Intune-Lizenz verfügen.To be assigned an Intune role, the user must have an Intune license. Wenn Sie eine Rollenzuweisung abrufen möchten, klicken Sie auf Intune > Rollen > Alle Rollen, und wählen Sie erst eine Rolle und dann eine Zuweisung aus.To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. Dann werden die folgenden Seiten angezeigt:You'll see the following pages:

  • Eigenschaften: der Name, die Beschreibung, die Rolle, die Mitglieder, die Bereiche und die Markierungen einer ZuweisungProperties: The name, description, role, members, scopes, and tags of the assignment.
  • Mitglieder: Alle Benutzer in den aufgelisteten Azure-Sicherheitsgruppen haben die Berechtigung, die Benutzer/Geräte zu verwalten, die in „Bereich (Gruppen)“ aufgelistet sind.Members: All users in the listed Azure security groups have permission to manage the users/devices that are listed in Scope (Groups).
  • Bereich (Gruppen) : Alle Benutzer/Geräte in diesen Azure-Sicherheitsgruppen können von den Benutzern verwaltet werden, die unter „Mitglieder“ aufgeführt sind.Scope (Groups): All users/devices in these Azure security groups can be managed by the users in Members.
  • Bereich (Tags) : Benutzer, die unter „Mitglieder“ aufgeführt sind, können die Ressourcen sehen, die dieselben Bereichsmarkierungen aufweisen.Scope (Tags): Users in Members can see the resources that have the same scope tags.

Mehrere RollenzuweisungenMultiple role assignments

Hat ein Benutzer mehrere Rollenzuweisungen, Berechtigungen und Bereichsmarkierungen, erstrecken sich diese Rollenzuweisungen wie folgt auf verschiedene Objekte:If a user has multiple role assignments, permissions, and scope tags, those role assignments extend to different objects as follows:

  • Zuweisungsberechtigungen und Bereichsmarkierungen gelten nur für die Objekte (etwa Richtlinien oder Apps), die in „Bereich (Gruppen)“ dieser Gruppe zugewiesen sind.Assign permissions and scope tags only apply to the objects (like policies or apps) in that role's assignment Scope (Groups). Zuweisungsberechtigungen und Bereichsmarkierungen gelten nicht für Objekte in anderen Rollenzuweisungen, es sei denn, sie werden in einer anderen Zuweisung explizit erteilt.Assign permissions and scope tags don't apply to objects in other role assignments unless the other assignment specifically grants them.
  • Andere Berechtigungen (etwa Erstellen, Lesen, Aktualisieren und Schreiben) und Bereichsmarkierungen gelten für alle Objekte desselben Typs (etwa alle Richtlinien oder alle Apps) in den Zuweisungen des Benutzers.Other permissions (such as Create, Read, Update, Delete) and scope tags apply to all objects of the same type (like all policies or all apps) in any of the user's assignments.
  • Berechtigungen und Bereichsmarkierungen für Objekte anderer Typen (etwa Richtlinien oder Apps) gelten nicht gegenseitig.Permissions and scope tags for objects of different types (like policies or apps), don't apply to each other. Eine Leseberechtigung für eine Richtlinie umfasst beispielsweise keine Leseberechtigung für Apps in den Zuweisungen des Benutzers.A Read permission for a policy, for example, doesn't provide a Read permission to apps in the user's assignments.

Nächste SchritteNext steps