Freigeben über

Hinzufügen von Benutzern und Gewähren von Administratorrechten für Intune

  • Artikel

Als Administrator können Sie Benutzer direkt oder durch Synchronisieren mit Ihrem lokalen Active Directory hinzufügen. Nach dem Hinzufügen und Aktivieren können Benutzer Geräte registrieren und auf Unternehmensressourcen zugreifen. Sie können Benutzern auch mehr Berechtigungen erteilen, einschließlich globaler Administrator - und Dienstadministratorberechtigungen .

Hinzufügen von Benutzern zu Intune

Sie können Ihrem Intune-Abonnement manuell Benutzer über die Microsoft 365 Admin Center, die Microsoft Entra Admin Center oder das Microsoft Intune Admin Center hinzufügen. Darüber hinaus kann ein Administrator Benutzerkonten bearbeiten, um Intune Lizenzen zuzuweisen. Sie können Lizenzen entweder im Microsoft 365 Admin Center oder im Microsoft Intune Admin Center zuweisen. Weitere Informationen zur Verwendung des Microsoft 365 Admin Centers finden Sie unter Hinzufügen von einzelnen Benutzern oder Massenhinzufügen von Benutzern zum Microsoft 365 Admin Center. Weitere Informationen zur Verwendung der Microsoft Entra Admin Center finden Sie unter Erstellen, Einladen und Löschen von Benutzern.

Hinzufügen einzelner Intune Benutzer im Microsoft Intune Admin Center

  1. Wählen Sie im Microsoft Intune Admin CenterBenutzer>Alle Benutzer>Neuer BenutzerNeuen Benutzer> erstellen aus.

  2. Fügen Sie auf der Registerkarte Grundlagen die folgenden Benutzerdetails hinzu:

    • Benutzerprinzipalname: Name des universellen Prinzips (Universal Principle Name, UPN), der in Microsoft Entra ID gespeichert ist, die für den Zugriff auf den Dienst verwendet wird.
    • E-Mail-Spitzname : Wenn Sie einen E-Mail-Spitznamen eingeben müssen, der sich von dem von Ihnen eingegebenen Benutzerprinzipalnamen unterscheidet, deaktivieren Sie die Option Vom Benutzerprinzipalnamen ableiten , und geben Sie dann den E-Mail-Spitznamen ein.
    • Anzeigename : Der Name des Benutzers, z. B. Chris Green oder Chris A. Green.
    • Kennwort : Fügen Sie ein Kennwort für den neuen Benutzer hinzu, oder wählen Sie aus, dass es automatisch generiert wird.
    • Konto aktiviert : Aktivieren Sie das Konto, nachdem es erstellt wurde. Wenn dieses Kontrollkästchen nicht aktiviert ist, wird die Anmeldung für diesen Benutzer blockiert. Dies kann nach der Benutzererstellung aktualisiert werden.

    Wählen Sie entweder die Schaltfläche Überprüfen + erstellen aus, um den neuen Benutzer zu erstellen, oder Klicken Sie auf Weiter: Eigenschaften , um den nächsten Abschnitt abzuschließen.

  3. Fügen Sie auf der Registerkarte Eigenschaften die folgenden Details hinzu:

    • Identität:
      • FirstName
      • Nachname
      • Benutzertyp : Wählen Sie entweder Mitglied oder Gast aus. Beide Benutzertypen sind intern für Ihre organization. Mitglieder sind in der Regel Vollzeitmitarbeiter in Ihrem organization. Gäste verfügen über ein Konto in Ihrem Mandanten, verfügen aber über Berechtigungen auf Gastebene. Es ist möglich, dass sie in Ihrem Mandanten vor der Verfügbarkeit der B2B-Zusammenarbeit erstellt wurden.
      • Autorisierungsinformationen : Sie können bis zu 5 Zertifikatbenutzer-IDs hinzufügen. Diese werden als Teil der zertifikatbasierten Authentifizierung verwendet und erfordern ein bestimmtes Format. Weitere Informationen finden Sie unter Zuordnung zum attribut certificateUserIds in Microsoft Entra ID.
    • Auftragsinformationen: Fügen Sie alle auftragsbezogenen Informationen hinzu, z. B. die Position des Benutzers, die Abteilung oder den Vorgesetzten.
    • Kontaktinformationen: Fügen Sie alle relevanten Kontaktinformationen für den Benutzer hinzu.
    • Jugendschutz: Für Organisationen wie K-12-Schulbezirke muss möglicherweise die Altersgruppe des Benutzers angegeben werden. Minderjährige sind 12 Jahre und unter, Nicht Erwachsene sind 13-18 Jahre alt und Erwachsene sind 18 Jahre und älter. Die Kombination aus Altersgruppe und Zustimmung, die von den Elternoptionen bereitgestellt wird, bestimmt die Klassifizierung der gesetzlichen Altersgruppe. Die Klassifizierung der gesetzlichen Altersgruppe kann den Zugriff und die Autorität des Benutzers einschränken.
    • Einstellungen: Unter Verwendungsspeicherort wird der globale Standort des Benutzers angegeben.

    Wählen Sie entweder die Schaltfläche Überprüfen + erstellen aus, um den neuen Benutzer zu erstellen, oder Klicken Sie auf Weiter: Zuweisungen , um den nächsten Abschnitt abzuschließen.

  4. Fügen Sie auf der Registerkarte Zuweisungen die folgenden Details hinzu: Sie können den Benutzer einer Verwaltungseinheit, Gruppe oder Microsoft Entra Rolle zuweisen, wenn das Konto erstellt wird. Sie können den Benutzer bis zu 20 Gruppen oder Rollen zuweisen. Sie können den Benutzer nur einer Verwaltungseinheit zuweisen. Zuweisungen können hinzugefügt werden, nachdem der Benutzer erstellt wurde.

    So weisen Sie dem neuen Benutzer eine Gruppe zu:

    1. Wählen Sie + Gruppe hinzufügen aus.
    2. Wählen Sie im angezeigten Menü bis zu 20 Gruppen aus der Liste aus, und wählen Sie die Schaltfläche Auswählen aus.
    3. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

    So weisen Sie dem neuen Benutzer eine Rolle zu:

    1. Wählen Sie + Rolle hinzufügen aus.
    2. Wählen Sie im angezeigten Menü bis zu 20 Rollen aus der Liste aus, und wählen Sie die Schaltfläche Auswählen aus .
    3. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

    So fügen Sie dem neuen Benutzer eine Verwaltungseinheit hinzu:

    1. Wählen Sie + Verwaltungseinheit hinzufügen aus.
    2. Wählen Sie im angezeigten Menü eine Verwaltungseinheit aus der Liste aus, und wählen Sie die Schaltfläche Auswählen aus.
    3. Wählen Sie die Schaltfläche Überprüfen + erstellen aus.

  5. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen die Details, um sicherzustellen, dass die Informationen korrekt sind und die Details die Überprüfung bestanden haben. Überprüfen Sie die Details, und wählen Sie die Schaltfläche Erstellen aus, wenn alles gut aussieht.

Hinweis

Wenn Sie von einem Office 365-Abonnement zu Microsoft 365 wechseln, befinden sich Ihre Benutzer und Gruppen bereits in Microsoft Entra ID. Intune verwendet die gleichen Microsoft Entra ID und kann die vorhandenen Benutzer und Gruppen verwenden.

Sie können auch Gastbenutzer zu Ihrem Intune Mandanten einladen. Weitere Informationen finden Sie unter Hinzufügen Microsoft Entra B2B-Zusammenarbeitsbenutzer im Microsoft Entra Admin Center.

Hinzufügen mehrerer Intune Benutzer im Microsoft Intune Admin Center

Sie können Intune Benutzern massenweise hinzufügen, indem Sie eine CSV-Datei hochladen, die die vollständige Liste der Benutzer enthält. Mit den folgenden Schritten können Sie mehrere Benutzer zu Intune hinzufügen:

  1. Melden Sie sich beim Microsoft Intune Admin Center mindestens als Benutzeradministrator an.
  2. Wählen Sie Benutzer>Alle Benutzer>Massenvorgänge>Massenerstellung aus. Der Bereich Massenerstellung von Benutzern wird angezeigt.
  3. Herunterladen, Bearbeiten und Hochladen einer CSV-Vorlage mit einer Liste der Benutzer, die Sie Intune hinzufügen möchten.

Die CSV-Datei ist eine durch Trennzeichen getrennte Wertliste, die in Editor oder Excel bearbeitet werden kann. Weitere Informationen zum Verwenden einer CSV-Datei zum Hinzufügen von Intune Benutzern finden Sie unter Massenerstellung von Benutzern in Microsoft Entra ID.

Hinweis

Sie können auch mehrere Gastbenutzer zu Ihrem Intune Mandanten einladen. Weitere Informationen finden Sie unter Tutorial: Masseneinladung Microsoft Entra B2B-Zusammenarbeitsbenutzern.

Löschen eines Benutzers aus Intune

Wenn ein Benutzer Ihre organization verlassen hat, können Sie sie aus Ihrem Intune Mandanten löschen. Bei Bedarf können Sie mehrere Benutzer mithilfe von Massenvorgängen löschen.

So löschen Sie einen einzelnen Benutzer aus Intune:

  1. Melden Sie sich beim Microsoft Intune Admin Center mindestens als Benutzeradministrator an.
  2. Navigieren Sie zu Benutzer>Alle Benutzer.
  3. Wählen Sie den Benutzer aus, den Sie löschen möchten.
  4. Klicken Sie auf Löschen.

So löschen Sie mehrere Benutzer aus Intune

  1. Melden Sie sich beim Microsoft Intune Admin Center mindestens als Benutzeradministrator an.
  2. Wählen Sie Benutzer>Alle Benutzer>Massenlöschvorgänge>massenlöschen aus. Der Bereich Massenlöschen von Benutzern wird angezeigt.
  3. Laden Sie eine CSV-Vorlage herunter, bearbeiten sie und laden Sie sie hoch, die eine Liste der Benutzer enthält, die Sie aus Intune löschen möchten.

Weitere Informationen finden Sie unter Massenlöschen von Benutzern in Microsoft Entra ID.

Gewähren von Administratorberechtigungen

Nachdem Sie Ihrem Intune-Abonnement Benutzer hinzugefügt haben, sollten Sie einigen Benutzern Administratorrechte gewähren. Befolgen Sie diese Schritte, um Administratorberechtigungen zu gewähren:

Gewähren von Administratorberechtigungen in Microsoft 365

  1. Melden Sie sich mit einem globalen Administratorkonto > beim admin Center an Microsoft Intune wählen Sie Benutzer>Aktive Benutzer> wählen den Benutzer aus, um Administratorberechtigungen zu erteilen.
  2. Wählen Sie im Benutzerbereich Rollen verwalten unter Rollen aus.
  3. Wählen Sie im Bereich Rollen verwalten die Administratorberechtigungen aus der Liste der verfügbaren Rollen, die Sie zuweisen möchten.
  4. Wählen Sie Änderungen speichern aus.

Erteilen von Administratorberechtigungen im Microsoft Intune Admin Center

  1. Melden Sie sich beim Microsoft Intune Admin Center mit einem globalen Administratorkonto >an. Benutzer> wählen Sie dann den Benutzer aus, dem Sie Administratorberechtigungen erteilen möchten.
  2. Wählen Sie Zugewiesene Rollen>Zuweisungen hinzufügen aus.
  3. Wählen Sie im Bereich Verzeichnisrollen die Rollen aus, die Sie dem Benutzer >Hinzufügen zuweisen möchten.

Typen von Administratoren

Weisen Sie Benutzern mindestens eine Administratorberechtigung zu. Diese Berechtigungen definieren den administrativen Bereich für Benutzer sowie die Aufgaben, die sie verwalten können. Administratorberechtigungen sind den verschiedenen Microsoft-Clouddiensten gemeinsam, und einige Berechtigungen werden möglicherweise nicht von allen Diensten unterstützt. Das Azure-Portal und das Microsoft 365 Admin Center führen jeweils eingeschränkte Administratorrollen auf, die von Intune nicht verwendet werden. Intune-Administratorberechtigungen enthalten folgende Optionen:

  • Globaler Administrator: (Microsoft 365 und Intune) Besitzt Zugriff auf alle Verwaltungsfunktionen in Intune. Standardmäßig wird die Person, die sich für Intune registriert, ein globaler Administrator. Globale Administratoren sind die einzigen Administratoren, die andere Administratorrollen zuweisen können. Sie können mehrere globale Administratoren in Ihrer Organisation benennen. Als bewährte Methode wird empfohlen, nur wenigen Personen in Ihrem Unternehmen diese Funktion zuzuweisen, um Risiken für Ihr Unternehmen so gering wie möglich zu halten.
  • Kennwortadministrator: (Microsoft 365 und Intune) Setzt Kennwörter zurück, verwaltet Serviceanfragen und überwacht den Dienststatus. Kennwortadministratoren sind auf das Zurücksetzen der Kennwörter von Benutzern beschränkt.
  • Dienstsupportadministrator: (Microsoft 365 und Intune) Öffnet Supportanfragen an Microsoft und überwacht das Servicedashboard und das Nachrichtencenter. Dienstadministratoren verfügen über die Berechtigung "Nur anzeigen" (neben dem Öffnen und Lesen von Supporttickets).
  • Rechnungsadministrator: (Microsoft 365 und Intune) Tätigt Erwerbe, verwaltet Abonnements, verwaltet Supporttickets und überwacht den Dienststatus.
  • Benutzeradministrator: (Microsoft 365 und Intune) Setzt Kennwörter zurück, überwacht den Dienststatus, kann Benutzerkonten hinzufügen oder löschen und verwaltet Serviceanfragen. Der Benutzerverwaltungsadministrator kann keine globalen Administratoren löschen, keine andere Administratorrollen erstellen und keine Kennwörter für andere Administratoren zurücksetzen.
  • Intune-Administrator: Alle globalen Intune-Administratorberechtigungen außer der Berechtigung zum Erstellen von Administratoren mit den Optionen von Verzeichnisrolle.

Das Konto, mit dem Sie Ihr Microsoft Intune-Abonnement erstellen, ist ein globaler Administrator. Als Best Practice empfiehlt es sich, für die täglichen Verwaltungsaufgaben keinen globalen Administrator zu verwenden. Ein Administrator benötigt zwar keine Intune-Lizenz für den Zugriff auf die Intune auf Azure-Portal, aber um bestimmte Verwaltungsaufgaben wie das Einrichten des Exchange-Dienstconnectors auszuführen, ist eine Intune-Lizenz erforderlich.

Für den Zugriff auf das Microsoft 365 Admin Center muss für Ihr Konto Anmeldung zulässig festgelegt sein. Legen Sie im Azure-Portal unter ProfilAnmeldung blockierenNein fest, um den Zugriff zu gewähren. Dieser Status unterscheidet sich vom Besitz einer Abonnementlizenz. Standardmäßig haben alle Benutzerkonten den Status Zugelassen. Benutzer ohne Administratorrechte können Intune-Kennwörter über das Microsoft 365 Admin Center zurücksetzen.

Synchronisieren von Active Directory und Hinzufügen von Benutzern zu Intune

Sie können die Verzeichnissynchronisierung konfigurieren, um Benutzerkonten aus Ihrem lokales Active Directory in Microsoft Entra zu importieren, einschließlich Intune Benutzer. Wenn Ihr lokales Active Directory-Dienst mit allen Ihren Microsoft Entra ID-basierten Diensten verbunden ist, vereinfacht die Verwaltung der Benutzeridentität. Sie können auch Features für die einmalige Anmeldung konfigurieren, um den Benutzer die Authentifizierung vertraut und problemlos zu gestalten. Wenn Sie denselben Microsoft Entra Mandanten mit mehreren Diensten verknüpfen, sind die zuvor synchronisierten Benutzerkonten für alle cloudbasierten Dienste verfügbar.

Stellen Sie sicher, dass Ihre AD-Administratoren Zugriff auf Ihr Microsoft Entra-Abonnement haben und für allgemeine AD- und Microsoft Entra-Aufgaben geschult sind.

So synchronisieren Sie lokale Benutzer mit Microsoft Entra ID

  • Um vorhandene Benutzer von lokales Active Directory zu Microsoft Entra ID zu verschieben, können Sie eine Hybrididentität einrichten. Hybrididentitäten sind in beiden Diensten vorhanden– lokal in AD und Microsoft Entra ID.

  • Sie können Active Directory-Benutzer auch über die Benutzeroberfläche oder mithilfe eines Skripts exportieren. Eine Internetsuche kann Ihnen helfen, die beste Option für Ihre organization zu finden.

  • Um Ihre Benutzerkonten mit Microsoft Entra ID zu synchronisieren, verwenden Sie den Microsoft Entra Connect-Assistenten. Der Microsoft Entra Connect-Assistent bietet eine vereinfachte und geführte Benutzeroberfläche zum Verbinden Ihrer lokalen Identitätsinfrastruktur mit der Cloud. Wählen Sie Ihre Topologie und Bedürfnisse aus (einzelne oder mehrere Verzeichnisse, Kennworthashsynchronisierung, Pass-Through-Authentifizierung oder Verbund). Der Assistent konfiguriert alle Komponenten, die für die erfolgreiche Verbindung nötig sind, und stellt sie bereit. Dazu gehören: Synchronisierungsdienste, Active Directory-Verbunddienste (AD FS) (AD FS) und das Microsoft Graph PowerShell-Modul.

Tipp

Microsoft Entra Connect umfasst Funktionen, die zuvor als Dirsync und Azure AD Sync veröffentlicht wurden. Erfahren Sie mehr über die Verzeichnisintegration. Informationen zum Synchronisieren von Benutzerkonten aus einem lokalen Verzeichnis mit Microsoft Entra ID finden Sie unter Ähnlichkeiten zwischen Active Directory und Microsoft Entra ID.