Intune rollenbasierte Zugriffssteuerung für mandantenseitig angefügte Clients
Gilt für: Configuration Manager (Current Branch)
Ab Configuration Manager Version 2207 können Sie Intune rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, wenn Sie über das Microsoft Intune Admin Center mit mandantengebundenen Geräten interagieren. Wenn Sie beispielsweise Intune als rollenbasierte Zugriffssteuerungsautorität verwenden, benötigt ein Benutzer mit der Rolle Helpdeskoperator keine zugewiesene Sicherheitsrolle oder zusätzliche Berechtigungen von Configuration Manager. Intune rollenbasierte Zugriffssteuerung verwaltet die Berechtigungen für alle in der Cloud angefügten Geräteseiten im Microsoft Intune Admin Center, z. B. gerätebasierte Zeitleiste, CMPivot und Skripts.
Wichtig
Derzeit ist jede Erzwingung Intune rollenbasierten Zugriffssteuerung zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center optional. Es wird empfohlen, dass alle Administratoren mit mit der Cloud verbundenen Configuration Manager Umgebungen damit beginnen, die rollenbasierten Zugriffssteuerungsberechtigungen von Intune zu überprüfen.
Die drei allgemeinen Schritte zum Konfigurieren von Intune als rollenbasierte Zugriffssteuerungsautorität für mandantenseitig angefügte Geräte sind:
- Deaktivieren Sie über die Configuration Manager-Konsole die Erzwingung Configuration Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients.
- Aktivieren Sie Intune die Verwaltung der Benutzerberechtigungen für in die Cloud angefügte Geräte.
- Überprüfen Sie in Intune rollenbasierte Zugriffssteuerungsberechtigungen für in die Cloud angefügte Geräte.
Voraussetzungen
- Configuration Manager Version 2207 oder höher
- An Mandanten angefügte Geräte
Begrenzungen
- Derzeit wird die Bereichsdefinition nicht unterstützt, wenn nur Intune rollenbasierte Zugriffssteuerung für zum Anzeigen und Ausführen von Aktionen auf mandantenseitig angefügten Geräten aus dem Microsoft Intune Admin Center verwendet wird.
- Derzeit ist die Seite Softwareupdates für reine Cloudbenutzer nicht verfügbar, wenn sie den frühen Updatering von Configuration Manager Version 2207 verwenden.
Deaktivieren der Erzwingung Configuration Manager rollenbasierten Zugriffssteuerung für in die Cloud angefügte Clients
Verwenden Sie die folgenden Anweisungen, um Intune rollenbasierte Zugriffssteuerung für die Mandantenanfügung anstelle Configuration Manager rollenbasierten Zugriffssteuerung zu verwenden:
Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung>Cloud Services>Cloudanfügen.
Der Speicherort der option für die rollenbasierte Zugriffssteuerung hängt davon ab, ob Ihre Umgebung bereits in die Cloud angefügt ist oder nicht.
- Wenn Ihre Umgebung bereits in die Cloud angefügt ist, öffnen Sie die Eigenschaften für CoMgmtSettingsProd. Wenn Sie keine Geräte in das Admin Center hochgeladen haben, konfigurieren Sie diese Option zuerst. Weitere Informationen finden Sie unter Cloudanfügung aktivieren.
- Wenn Ihre Umgebung nicht in die Cloud angefügt ist, wählen Sie Cloudanfügung konfigurieren aus, um den Assistenten für die Cloudanfügungskonfiguration zu öffnen.
Deaktivieren Sie auf der Registerkarte Upload konfigurieren oder im Assistenten das Kontrollkästchen für die folgende Option unter der Überschrift Rollenbasierte Access Control:
Erzwingen Configuration Manager RBAC für Cloudkonsolenanforderungen, die mit Configuration Manager interagieren
Wählen Sie OK aus, um die Änderung an den CoMgmtSettingsProd-Eigenschaften zu speichern, oder fahren Sie fort, um den Cloudanfügungs-Assistenten abzuschließen.
Aktivieren der rollenbasierten Zugriffssteuerung über Intune
Führen Sie die folgenden Schritte aus, um Intune zum Verwalten von Benutzerberechtigungen für in die Cloud angefügte Geräte zu aktivieren:
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich als Benutzer an, der über die Berechtigung Rollen/Aktualisieren verfügt. Weitere Informationen zur Berechtigung finden Sie unter Benutzerdefinierte Rollenberechtigungen in Intune.
- Wählen Sie Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager aus.
- Wählen Sie im Banner Sie können auch Benutzerberechtigungen über Intune verwalten aus. Klicken Sie hier, um mehr über diese Option zu erfahren.
- Das Flyout Use Intune RBAC (RBAC verwenden) wird angezeigt.
- Wählen Sie ein für die Option RBAC verwenden Intune aus, und wählen Sie dann Übernehmen aus.
- Es kann etwa 10 Minuten dauern, bis die Änderung wirksam wird.
Überprüfen der Berechtigungen der rollenbasierten Zugriffssteuerung aus Intune
Sobald Intune auf die rollenbasierte Zugriffssteuerungsautorität festgelegt ist, überprüfen Sie die Berechtigungen für Ihre Rollen. Bei Bedarf können Sie diese Berechtigungen benutzerdefinierten Rollen hinzufügen, die Sie in Intune erstellt haben.
- Öffnen Sie das Microsoft Intune Admin Center, und melden Sie sich an.
- Wählen Sie Mandantenverwaltungsrollen>aus.
- Wählen Sie eine Rolle aus, z. B . Anwendungs-Manager, und überprüfen Sie die Berechtigungen für in die Cloud angefügte Geräte. Bearbeiten Sie bei Bedarf die Berechtigungen für alle benutzerdefinierten Rollen, die Sie in Intune erstellt haben.
Die folgenden Intune Berechtigungen steuern den Zugriff auf die Configuration Manager in die Cloud angefügten Geräte:
| Berechtigung | Beschreibung | Intune integrierten Rollen mit der Berechtigung |
|---|---|---|
| In die Cloud angefügte Geräte\Sammlungen anzeigen | Zeigt die Seite Sammlungen für Configuration Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ressourcen-Explorer anzeigen | Zeigt die Seite Ressourcen-Explorer für Configuration Manager an die Cloud angefügten Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\View Zeitleiste | Zeigt die Zeitachsenseite für Configuration Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Softwareupdates anzeigen | Zeigt die Seite "Softwareupdates" für Configuration Manager in die Cloud angeschlossenen Geräten an | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skripts anzeigen | Zeigt die Seite Skripts für Configuration Manager an die Cloud angefügten Geräten an. | Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Skript ausführen | Zeigt die Aktion Skript ausführen an und ermöglicht es dem Benutzer, Skripts auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. | Schuladministrator, Helpdesk-Operator |
| In die Cloud angefügte Geräte\CMPivot-Abfrage ausführen | Zeigt die CMPivot-Seite für Configuration Manager in die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Schuladministrator, Helpdeskoperator |
| In die Cloud angefügte Geräte\Clientdetails anzeigen | Zeigt die Seite "Clientdetails" für Configuration Manager in die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Endpoint Security Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Anwendungen anzeigen | Zeigt die Seite "Anwendungen" für Configuration Manager an die Cloud angeschlossenen Geräten an. | Anwendungs-Manager, Schreibgeschützter Operator, Schuladministrator, Richtlinienprofil-Manager, Helpdesk-Operator |
| In die Cloud angefügte Geräte\Ausführen von Anwendungsaktionen | Zeigt Anwendungsaktionen auf der Seite Anwendungen an und ermöglicht es dem Benutzer, Anwendungsaktionen auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. | Anwendungs-Manager, Schuladministrator, Helpdesk-Operator |
| Remoteaufgaben/Rotieren von BitLockerKeys (Vorschau) | Initiiert eine Schlüsselrotation für BitLocker-Wiederherstellungskennwörter auf dem Gerät. Zeigt die Seite Wiederherstellungsschlüssel für Configuration Manager an die Cloud angeschlossenen Geräten an. | Endpoint Security Manager, Helpdeskoperator |
Häufig gestellte Fragen
Ich habe reine Cloudbenutzer, die Zugriff auf Mandantengeräte in Intune benötigen. Erhalten sie dadurch Zugriff?
Ja. Wenn ein Benutzer nur in der Cloud arbeitet und sich in diesem Szenario in Microsoft Entra ID befindet und auf Intune zugreifen kann, erhält er mit Intune RBAC Zugriff auf geräte, die an mandantengebunden sind.
Was geschieht, wenn mehrere Configuration Manager Hierarchien mit meinem Mandanten verbunden sind?
Die Einstellung RBAC verwenden Intune im Microsoft Intune Admin Center gilt für alle Configuration Manager Hierarchien, die im Mandanten aufgeführt sind.
Was geschieht, wenn die einstellungen Configuration Manager und Intune nicht übereinstimmen?
Wenn die Umschaltfläche RBAC Intune verwenden in Intune auf Aus festgelegt ist, wird Configuration Manager rollenbasierter Zugriff erzwungen, auch wenn die Configuration Manager RBAC für Die Interaktion mit der Cloudkonsole erzwingen Configuration Manager Kontrollkästchen ist deaktiviert. Das Deaktivieren der Option Erzwingen Configuration Manager RBAC für Cloudkonsolenanforderungen, die mit Configuration Manager interagieren, hat keine Auswirkungen, bis die Umschaltfläche RBAC Intune verwenden in Intune auf Ein festgelegt ist.
Was geschieht, wenn meine Testhierarchie für die Verwendung von Intune RBAC konfiguriert ist, meine Produktionshierarchie jedoch nicht ist und sich im selben Mandanten befindet?
Die Einstellung RBAC verwenden Intune gilt für alle Configuration Manager Hierarchien, die im Mandanten aufgeführt sind. Reine Cloudbenutzer können auf mandantenseitig angefügte Geräte zugreifen, die aus der Testhierarchie hochgeladen werden, da Sie auch das Kontrollkästchen deaktiviert haben, um Configuration Manager RBAC zu erzwingen. Wenn ein rein cloudbasierter Benutzer versucht, auf ein aus der Produktionsumgebung hochgeladenes Gerät mit Mandantenanfügung zuzugreifen, erhält er einen Fehler, da Produktionsgeräte Configuration Manager RBAC erzwingen. Der reine Cloudbenutzer erhält einen Fehler ähnlich der folgenden Meldung: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Nächste Schritte
- Überprüfen der Zeitleiste für ein in die Cloud angeschlossenes Gerät
- Ausführen einer CMPivot-Abfrage auf einem in die Cloud angefügten Gerät