Erstellen einer benutzerdefinierten Rolle in Intune
Sie können eine benutzerdefinierte Intune-Rolle erstellen, die alle für einen bestimmten Aufgabenbereich erforderlichen Berechtigungen enthält. Wenn beispielsweise eine IT-Abteilungsgruppe Anwendungen, Richtlinien und Konfigurationsprofile verwaltet, können Sie alle diese Berechtigungen gemeinsam einer benutzerdefinierten Rolle hinzufügen. Nachdem Sie eine benutzerdefinierte Rolle erstellt haben, können Sie sie allen Benutzern zuweisen, die diese Berechtigungen benötigen.
Zum Erstellen, Bearbeiten oder Zuweisen von Rollen muss Ihr Konto über eine der folgenden Berechtigungen in Microsoft Entra ID verfügen.
- Globaler Administrator
- Intune-Dienstadministrator
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
So erstellen Sie eine benutzerdefinierte Rolle
Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltungsrollen>>Alle Rollen>Erstellen aus.
Geben Sie auf der Seite Grundeinstellungen einen Namen und eine Beschreibung für die neue Rolle ein, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Berechtigungen auf die Berechtigungen, die Sie mit dieser Rolle verwenden möchten.
Wählen Sie auf der Seite Bereich (Markierungen) die Tags für diese Rolle aus. Wenn diese Rolle einem Benutzer zugewiesen wird, kann dieser Benutzer auf Ressourcen zugreifen, die ebenfalls über diese Tags verfügen. Wählen Sie Weiter aus.
Klicken Sie, wenn Sie fertig sind, auf der Seite Bewerten + erstellen auf Erstellen. Die neue Rolle wird in der Liste auf der Seite Intune Rollen – Alle Rollen angezeigt.
Kopieren einer Rolle
Sie können auch eine vorhandene Rolle kopieren.
Wählen Sie im Microsoft Intune Admin CenterMandantenverwaltungsrollen>>Alle Rollen> aus, aktivieren Sie das Kontrollkästchen für eine Rolle in der Liste >Duplizieren.
Geben Sie auf der Seite Grundeinstellungen einen Namen ein. Stellen Sie sicher, dass Sie einen eindeutigen Namen verwenden.
Alle Berechtigungen und Bereichstags aus der ursprünglichen Rolle sind bereits ausgewählt. Sie können später den Namen, die Beschreibung, die Berechtigungen und den Bereich (Tags) der doppelten Rolle ändern.
Nachdem Sie alle gewünschten Änderungen vorgenommen haben, wählen Sie Weiter aus, um zur Seite Überprüfen + erstellen zu gelangen. Wählen Sie Erstellen aus.
Benutzerdefinierte Rollenberechtigungen
Hinweis
Sie können VPP-Apps anzeigen und verwalten, wenn nur die Berechtigung Mobile Apps zugewiesen ist. Zuvor war die Berechtigung Verwaltete Apps erforderlich, um VPP-Apps anzuzeigen und zu verwalten. Diese Änderung gilt nicht für Intune für Education-Mandanten, die noch die Berechtigung Verwaltete Apps zuweisen müssen.
Bei der Erstellung von benutzerdefinierten Rollen sind die folgenden Berechtigungen verfügbar:
| Berechtigung | Beschreibung |
|---|---|
| Android FOTA/Assign | Weisen Sie Android-Firmware-Over-the-Air-Bereitstellungen (FOTA) Microsoft Entra Sicherheitsgruppen zu. |
| Android FOTA/Delete | Löschen und Abbrechen ausstehender FoTA-Bereitstellungen (Over-the-Air) der Android-Firmware und des Bereitstellungsverlaufs. |
| Android FOTA/Create | Erstellen und verwalten Sie alle Aspekte von Fota-Bereitstellungen (Over-the-Air) der Android-Firmware. |
| Android FOTA/Read | Anzeigen von Fota-Bereitstellungen (Over-the-Air) der Android-Firmware, einschließlich Verlauf und Berichterstellung. |
| Android FOTA/Update | Ändern Vorhandener FOTA-Bereitstellungen (Over-the-Air) der Android-Firmware und Abbrechen von Firmwarebereitstellungen. |
| Android Enterprise/Lesen | Zeigen Sie die Android Enterprise-Konfiguration an, die zum Synchronisieren von Anwendungen mit dem Play for Work-Speicher verwendet wird, oder zeigen Sie die Voraussetzungen für die Android for Work-Registrierung und die Registrierungsprofile an. |
| Android Enterprise/Update-App-Synchronisierung | Verwalten oder ändern Sie die Android Enterprise-Konfiguration, die zum Synchronisieren von Anwendungen mit dem Play for Work Store verwendet wird, oder synchronisieren Sie die Apps, die Sie aus dem Store genehmigt haben, mit Intune. |
| Android Enterprise/Update-Onboarding | Verwalten oder ändern Sie die Android Enterprise-Konfiguration, die zum Registrieren von Android for Work-Geräten oder zum Verwalten der Android for Work-Registrierungsprofile verwendet wird. |
| Android Enterprise/Update-Registrierungsprofile | Verwalten oder Ändern von AOSP- und Android for Work-Registrierungsprofilen für Gerätebesitzer, die zum Registrieren von Geräten verwendet werden. |
| App-Steuerung für Unternehmen/Zuweisen | Weisen Sie App Control for Business-Richtlinien Microsoft Entra Sicherheitsgruppen zu. - Mit dem Dienstrelease 2406 hinzugefügt. |
| App-Steuerung für Unternehmen/Erstellen | Erstellen Sie neue App Control for Business-Richtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| App-Steuerung für Unternehmen/Löschen | Löschen Sie neue App Control for Business-Richtlinien. |
| App-Steuerung für Unternehmen/Lesen | Lesen Sie App Control for Business-Richtlinien. |
| App Control for Business/Update | Ändern von App Control for Business-Richtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| App-Steuerung für Unternehmen/Berichte anzeigen | Generieren, Anzeigen oder Exportieren von Berichten für App Control for Business-Richtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Verringerung der Angriffsfläche/Zuweisung | Weisen Sie Microsoft Entra Sicherheitsgruppen Richtlinien zur Verringerung der Angriffsfläche zu. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Verringerung der Angriffsfläche/Erstellung | Erstellen Sie neue Richtlinien zur Verringerung der Angriffsfläche. |
| Verringerung/Löschen der Angriffsfläche | Löschen Sie neue Richtlinien zur Verringerung der Angriffsfläche. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Verringerung/Lesen der Angriffsfläche | Lesen Sie Richtlinien zur Verringerung der Angriffsfläche. |
| Verringerung/Aktualisierung der Angriffsfläche | Ändern von Richtlinien zur Verringerung der Angriffsfläche. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Verringerung der Angriffsfläche/Anzeigen von Berichten | Generieren, Anzeigen oder Exportieren von Berichten für Richtlinien zur Verringerung der Angriffsfläche. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Überwachungsdaten/Lesen | Anzeigen aller Intune-Auditdaten für diesen Mandanten. |
| Zertifikat-Connector/Ändern | Hinzufügen, Entfernen oder Ändern von Zertifikatconnectors, die zur Unterstützung der Zertifikatausstellung erforderlich sind. |
| Zertifikat-Connector/Lesen | Anzeigen von Zertifikat-Connectors, die zur Unterstützung der Zertifikatsausstellung erforderlich sind. |
| Verbindungseinstellungen für Chrome Enterprise/Löschen | Löschen der Chrome Enterprise-Verbindungseinstellungen der Organisation. |
| Chrome Enterprise/Lesen | Anzeigen der Chrome Enterprise-Verbindungseinstellungen der Organisation und der Gerätedetails für Chrome OS-Geräte. |
| Chrome Enterprise/Verbindungseinstellungen aktualisieren | Verwalten oder ändern der Chrome Enterprise-Verbindungseinstellungen der Organisation. |
| In die Cloud angeschlossene Geräte/Jetzt registrieren | Registriert ein berechtigtes CM-Gerät für die Co-Verwaltung. |
| In die Cloud angefügte Geräte/Sammlungen anzeigen | Zeigt die Seite Sammlungen für Configuration Manager an die Cloud angefügten Geräten an. |
| In die Cloud angefügte Geräte/Ressourcen-Explorer anzeigen | Zeigt die Seite Ressourcen-Explorer für Configuration Manager an die Cloud angefügten Geräten an. |
| In die Cloud angeschlossene Geräte/View Zeitleiste | Zeigt die Zeitachsenseite für Configuration Manager an die Cloud angeschlossenen Geräten an. |
| In die Cloud angeschlossene Geräte/Anzeigen von Softwareupdates | Zeigt die Seite "Softwareupdates" für Configuration Manager in die Cloud angeschlossenen Geräten an |
| In die Cloud angefügte Geräte/Skripts anzeigen | Zeigt die Seite Skripts für Configuration Manager an die Cloud angefügten Geräten an. |
| In die Cloud angefügte Geräte/Skript ausführen | Zeigt die Aktion Skript ausführen an und ermöglicht es dem Benutzer, Skripts auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. |
| In die Cloud angefügte Geräte/CMPivot-Abfrage ausführen | Zeigt die CMPivot-Seite für Configuration Manager in die Cloud angeschlossenen Geräten an. |
| In die Cloud angeschlossene Geräte/Clientdetails anzeigen | Zeigt die Seite "Clientdetails" für Configuration Manager in die Cloud angeschlossenen Geräten an. |
| In die Cloud angeschlossene Geräte/Anwendungen anzeigen | Zeigt die Seite "Anwendungen" für Configuration Manager an die Cloud angeschlossenen Geräten an. |
| In die Cloud angeschlossene Geräte/Ausführen von Anwendungsaktionen | Zeigt Anwendungsaktionen auf der Seite Anwendungen an und ermöglicht es dem Benutzer, Anwendungsaktionen auf Configuration Manager in der Cloud verbundenen Geräten auszuführen. |
| Bezeichner von Unternehmensgeräten/Erstellen | Erstellen neuer Bezeichner von Unternehmensgeräten oder Importieren einer CSV-Datei mit einer Liste von Bezeichnern von Unternehmensgeräten. |
| Bezeichner von Unternehmensgeräten/Löschen | Löschen der IMEI- oder Seriennummern, die als Bezeichner von Unternehmensgeräten verwendet werden. |
| Bezeichner von Unternehmensgeräten/Lesen | Anzeigen der IMEI- oder Seriennummern, die als Bezeichner von Unternehmensgeräten verwendet werden. |
| Bezeichner von Unternehmensgeräten/Update | Ändern der IMEI- oder Seriennummern, die als Unternehmensgeräte-IDs verwendet werden. |
| Anpassung/Zuweisen | Zuweisen von Anpassungsoptionen für das Unternehmensportal. |
| Anpassung/Erstellen | Erstellen der Anpassungsoptionen für das Unternehmensportal. |
| Anpassung/Löschen | Löschen der Anpassungsoptionen für das Unternehmensportal. |
| Anpassung/Lesen | Lesen von Anpassungsoptionen für das Unternehmensportal. |
| Anpassung/Update | Aktualisieren von Anpassungsoptionen für das Unternehmensportal. |
| Abgeleitete Anmeldeinformationen/Ändern | Konfigurieren der abgeleiteten Anmeldeinformationen für Ihren Microsoft Intune-Mandanten. |
| Abgeleitete Anmeldeinformationen/Lesen | Anzeigen der abgeleiteten Anmeldeinformationen für Ihren Microsoft Intune-Mandanten. |
| Gerätekonformitätsrichtlinien/Zuweisen | Weisen Sie Microsoft Entra Sicherheitsgruppen Gerätekonformitätsrichtlinien zu, und weisen Sie Microsoft Entra Sicherheitsgruppen lokalen Exchange-Zugriff zu. |
| Gerätekonformitätsrichtlinien/Erstellen | Erstellen neuer Gerätekompatibilitätsrichtlinien. |
| Gerätekonformitätsrichtlinien/Löschen | Löschen der Gerätekompatibilitätsrichtlinien oder des Exchange ActiveSync Connectors. |
| Gerätekonformitätsrichtlinien/Lesen | Zeigen Sie Gerätekonformitätsrichtlinien und die Liste der Exchange Active Sync Connectors an, oder zeigen Sie die Einstellungen für den lokalen Exchange-Zugriff an. |
| Gerätekonformitätsrichtlinien/Update | Ändern von Gerätekompatibilitätsrichtlinien, Exchange ActiveSync Connectors und lokaler Exchange-Zugriffseinstellungen. |
| Gerätekompatibilitätsrichtlinien/Berichte anzeigen | Anzeigen, Generieren und Exportieren von Gerätekompatibilitätsberichten. |
| Gerätekonfigurationen/Zuweisen | Weisen Sie Microsoft Entra Sicherheitsgruppen Gerätekonfigurationsprofile zu. |
| Gerätekonfigurationen/Erstellen | Erstellen Sie neue Gerätekonfigurationsprofile. |
| Gerätekonfigurationen/Löschen | Löschen sie Gerätekonfigurationsprofile. |
| Gerätekonfigurationen/Lesen | Anzeigen von Gerätekonfigurationsprofilen |
| Gerätekonfigurationen/Update | Ändern von Gerätekonfigurationsprofilen |
| Gerätekonfigurationen/Berichte anzeigen | Anzeigen, Generieren und Exportieren von Berichten und Berichten zur Gerätekonfiguration für Endpunktsicherheitsrichtlinien. |
| Geräteregistrierungsmanager/Lesen | Anzeigen der Liste der Konten des Geräteregistrierungs-Managers. |
| Geräteregistrierungs-Manager/Update | Erstellen neuer Konten für Geräteregistrierungs-Manager, oder löschen von Konten für Geräteregistrierungs-Manager. |
| Endpunktanalysen/Erstellen | Neue Baselines erstellen und Einstellungen für die Endpunktanalyse bearbeiten. |
| Endpunktanalysen/Löschen | Bearbeiten von Endpunktanalyseeinstellungen und Löschen von Baselines. |
| Endpunktanalysen/Lesen | Anzeigen von Endpunktanalyseergebnissen und Leistungsberichten. |
| Endpunktanalysen/Update | Bearbeiten von Endpunktanalyseeinstellungen und -baselines. |
| Endpunkterkennung und -antwort/zuweisen | Zuweisen von Endpunkterkennungs- und Reaktionsrichtlinien zu Microsoft Entra Sicherheitsgruppen. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Endpunkterkennung und -antwort/Erstellen | Erstellen Sie neue Endpunkterkennungs- und Antwortrichtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Endpunkterkennung und -antwort/Löschvorgang | Löschen von Endpunkterkennungs- und Antwortrichtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Endpunkterkennung und -antwort/lesen | Lesen Sie Endpunkterkennungs- und Antwortrichtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Endpunkterkennung und -antwort/Update | Ändern von Endpunkterkennungs- und Antwortrichtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Endpunkterkennung und -antwort/Berichte anzeigen | Generieren, Anzeigen oder Exportieren von Berichten für Endpunkterkennungs- und Antwortrichtlinien. - Mit dem Dienstrelease 2406 hinzugefügt. |
| Erstellen/Zuweisen von Richtlinien zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Zuweisen von Richtlinien für die Endpunktberechtigungsverwaltung (Endpoint Privilege Management, EPM). |
| Erstellen/Erstellen von Richtlinien zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Erstellen von EPM-Richtlinien (Endpoint Privilege Management). |
| Erstellen/Löschen von Richtlinien zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Löschen von EPM-Richtlinien (Endpoint Privilege Management). |
| Erstellen/Lesen von Richtlinien zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Lesen von EpM-Richtlinien (Endpoint Privilege Management). |
| Erstellen/Aktualisieren von Richtlinien zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Aktualisieren von EPM-Richtlinien (Endpoint Privilege Management). |
| Erstellen/Anzeigen von Berichten zur Verwaltung von Endpunktberechtigungen | Ermöglicht Administratoren das Anzeigen von EPM-Berichten (Endpoint Privilege Management). |
| Endpoint Protection/Lesen | Endpoint Protection-Berichte anzeigen. |
| Registrierungsprogramme/Profil zuweisen | Verwalten von Einstellungen für die Zuweisung von Windows Autopilot-Bereitstellungsprofilen. |
| Registrierungsprogramme/Gerät erstellen | Importieren von Apple-Geräten für das Programm zur Geräteregistrierung, Apple School oder Business Manager, Apple Configurator oder Windows Autopilot-Geräte. |
| Registrierungsprogramme/Profil erstellen | Erstellen neuer Profile für das Programm zur Geräteregistrierung, den Apple School Manager, den Apple Configurator oder den Windows Autopilot. |
| Registrierungsprogramme/Token erstellen | Herunterladen der Token-.pem-Datei für Apple-Programm zur Geräteregistrierung oder für Apple School Manager. |
| Registrierungsprogramme/Gerät löschen | Löschen von Apple-Geräten für das Programm zur Geräteregistrierung, Apple School oder Business Manager, Apple Configurator oder Windows Autopilot-Geräte. |
| Registrierungsprogramme/Profil löschen | Löschen Sie Profile für das Geräteregistrierungsprogramm, Apple School Manager, Apple Configurator oder Windows Autopilot. |
| Registrierungsprogramme/Token löschen | Löschen von Apple-Programm zur Geräteregistrierung oder Apple School Manager Token-.pem-Datei(en). |
| Registrierungsprogramme/Gerät lesen | Anzeigen von Apple-Geräten für das Programm zur Geräteregistrierung, Apple School Manager, Apple Configurator oder Windows Autopilot-Geräte. |
| Registrierungsprogramme/Profil lesen | Anzeigen neuer Profile für das Programm zur Geräteregistrierung, den Apple School Manager, den Apple Configurator oder den Windows Autopilot. |
| Registrierungsprogramme/Token lesen | Tokenstatus für das Apple-Programm zur Geräteregistrierung oder für den Apple School Manager anzeigen. |
| Registrierungsprogramme/Gerätesynchronisierung | Initiieren des Befehls "Synchronisieren" für Windows Autopilot-Geräte. |
| Registrierungsprogramme/Profil aktualisieren | Verwalten neuer Profile für das Programm zur Geräteregistrierung, den Apple School Manager, den Apple Configurator oder den Windows Autopilot. |
| Registrierungsprogramme/Update Token | Hochladen der Tokens für Apple-Registrierungsprogramme oder für Apple School Manager und Synchronisieren von Apple-Geräteregistrierungsprogrammen oder Apple School Manager-Geräten. |
| Filter/Erstellen | Neuen Filter erstellen. |
| Filter/Löschen | Filter löschen. |
| Filter/Lesen | Neue Filter. |
| Filter/Update | Filter bearbeiten. |
| Intune Data Warehouse-API/Lesen | Anzeigen aller Daten und Berichte aus dem Data Warehouse. Power BI oder andere Reporting Services können diese Daten verwenden. |
| Verwaltete Apps/Zuweisen | Weisen Sie Microsoft Entra Sicherheitsgruppen Anwendungsschutzrichtlinien zu. |
| Verwaltete Apps/Erstellen | Erstellen neuer Anwendungsschutzrichtlinien. |
| Verwaltete Apps/Löschen | Anwendungsschutzrichtlinien löschen. |
| Verwaltete Apps/Lesen | Anzeigen von Anwendungsschutzrichtlinien und -status. |
| Verwaltete Apps/Update | Ändern von Anwendungsschutzrichtlinien oder Löschen ausstehender Löschanfragen für geschützte Apps. |
| Verwaltete Apps/Löschen | Erstellen einer Löschanforderung, um selektiv Unternehmensdaten aus einer geschützten App zu entfernen. |
| Einstellungen/Update für die Bereinigung für verwaltete Geräte | Ändern Sie die Einstellungen für die Bereinigung verwalteter Geräte. |
| Verwaltete Geräte/Löschen | Löschen der von Intune verwalteten Geräte. Intune kann gelöschte Geräte nicht mehr verwalten, und das Gerät kann nicht mehr auf Unternehmensressourcen zugreifen. Unternehmensdaten können vom Gerät zurückgesetzt werden, wenn ein Benutzer versucht, nach dem Löschen einzuchecken. |
| Verwaltete Geräte/Lesen | Anzeigen der von Intune verwalteten Geräte. |
| Verwaltete Geräte/Abfrage | Ermöglicht Intune, ein verwaltetes Gerät abzufragen, um detaillierte Bestandsinformationen, Gerätestatus oder andere Eigenschaften eines verwalteten Geräts vom Gerät selbst abzurufen. |
| Verwaltete Geräte/Lesen | Anzeigen der von Intune verwalteten Geräte. |
| Verwaltete Geräte/Bios-Kennwort lesen | Lesen Sie das BIOS-Kennwort für Geräte mit verwalteter BIOS- und Firmwarekonfiguration. |
| Verwaltete Geräte/Primärbenutzer festlegen | Wählen, ändern oder entfernen Sie den primären Benutzer eines verwalteten Geräts. Diese Berechtigung muss in Kombination mit den Lese- und Aktualisierungsberechtigungen der verwalteten Geräte verwendet werden. |
| Verwaltete Geräte/Update | Ändern von Einstellungen oder Eigentumseigenschaften eines verwalteten Geräts. Diese Berechtigung aktiviert keine Remoteaktionen für Geräte. Um Remote-Aktionen auf dem Gerät auszuführen, gewähren Sie eine oder mehrere der Berechtigungen für Remote-Aufgaben. |
| Verwaltete Geräte/Berichte anzeigen | Generieren, Anzeigen oder Exportieren von Berichten für verwaltete Geräte. |
| Verwalteter Google Play Store/Ändern | Ändern der Einstellungen für die Synchronisierung von verwalteten Google Play-Apps mit Microsoft Intune. |
| Verwalteter Google Play Store/Lesen | Zeigen Sie die Einstellungen zum Synchronisieren von verwalteten Google Play-Apps mit Microsoft Intune an. |
| Microsoft Defender ATP/Lesen | Anzeigen der Verbindung zwischen Microsoft Intune und Microsoft Defender ATP. |
| Microsoft Store für Unternehmen/Ändern | Ändern der Einstellungen für die Synchronisierung von Microsoft Store für Unternehmen-Apps mit Microsoft Intune. |
| Microsoft Store für Unternehmen/Lesen | Anzeigen der Einstellungen für die Synchronisierung von Microsoft Store für Unternehmen-Apps mit Microsoft Intune. |
| Microsoft Tunnel Gateway/Erstellen | Microsoft Tunnel Gateway-Serverkonfigurationen und -Standorte erstellen. Zu den Serverkonfigurationen zählen Einstellungen für IP-Adressbereiche, DNS-Server, Ports und Split-Tunneling-Regeln. Standorte sind logische Gruppierungen mehrerer Server, die Microsoft Tunnel unterstützen. |
| Microsoft Tunnel Gateway/Löschen | Löschen der Microsoft Tunnel Gateway-Serverkonfigurationen und Standorte. Zu den Serverkonfigurationen zählen Einstellungen für IP-Adressbereiche, DNS-Server, Ports und Split-Tunneling-Regeln. Standorte sind logische Gruppierungen mehrerer Server, die Microsoft Tunnel unterstützen. |
| Microsoft Tunnel Gateway/Lesen | Microsoft Tunnel Gateway-Serverkonfigurationen und -Standorte anzeigen. Zu den Serverkonfigurationen zählen Einstellungen für IP-Adressbereiche, DNS-Server, Ports und Split-Tunneling-Regeln. Standorte sind logische Gruppierungen mehrerer Server, die Microsoft Tunnel unterstützen. |
| Microsoft Tunnel Gateway/Update | Microsoft Tunnel Gateway-Serverkonfigurationen und -Standorte aktualisieren. Zu den Serverkonfigurationen zählen Einstellungen für IP-Adressbereiche, DNS-Server, Ports und Split-Tunneling-Regeln. Standorte sind logische Gruppierungen mehrerer Server, die Microsoft Tunnel unterstützen. |
| Mobile Apps/Zuweisen | Weisen Sie Windows-, macOS- oder mobile Anwendungen oder eBooks Microsoft Entra Sicherheitsgruppen zu. |
| Mobile Anwendungen/Erstellen | Fügen Sie neue Windows-, macOS- oder mobile Anwendungen zu Intune hinzu, z. B. Store-Apps, Branchen-Apps, Weblinks oder integrierte Apps. Sie können auch Bücher hinzufügen, die Sie über das Apple Volume Purchase Program erworben haben, oder eBook-Kategorien hinzufügen. Sie können iOS VPP-Token, Windows Symantec-Zertifikate, Windows-Seitenladeschlüssel, App-Kategorien oder die Android for Work-Verbindung einrichten. |
| Mobile Apps/Löschen | Löschen Sie Windows-, macOS- oder mobile Anwendungen wie Store-Apps, Branchen-Apps, Weblinks oder integrierte Apps. Sie können auch Bücher löschen, die über das Apple Volume Purchase Program erworben wurden, oder eBook-Kategorien löschen. Sie können iOS-VPP-Token, Windows Symantec-Zertifikate, Windows Querladen von Schlüsseln, App-Kategorien oder die Android for Work-Verbindung verwalten. |
| Mobile Apps/Lesen | Anzeigen von Windows-, macOS- oder mobilen Anwendungen wie Store-Apps, Branchen-Apps, Weblinks oder integrierten Apps. Sie können auch Bücher anzeigen, die Sie über das Apple Volume Purchase Program erworben haben, oder eBook-Kategorien hinzufügen. Sie können iOS VPP-Token, Windows Symantec-Zertifikate, Windows-Seitenladeschlüssel, App-Kategorien oder die Android for Work-Verbindung anzeigen. |
| Mobile Apps/Beziehung | Erstellen Sie Beziehungen mit anderen verwalteten Apps mithilfe von Abhängigkeiten- und Ablösungsfeatures. Ohne diese Berechtigung können IT-Administratoren beim Erstellen oder Bearbeiten von Win32-Apps keine App-Abhängigkeits- oder Ablösungsbeziehungen hinzufügen. |
| Mobile Apps/Update | Verwalten sie Windows-, macOS- oder mobile Anwendungen wie Store-Apps, Branchen-Apps, Weblinks oder integrierte Apps. Sie können auch über das Apple Volume Purchase Program gekaufte Bücher verwalten oder eBook-Kategorien hinzufügen. Sie können iOS VPP-Token, Windows Symantec-Zertifikate, Windows-Seitenladeschlüssel, App-Kategorien oder die Android for Work-Verbindung verwalten. |
| Mobile Apps/Berichte anzeigen | Anzeigen von Berichten zu Windows-, macOS- oder mobilen Anwendungen wie Store-Apps, Branchen-Apps, Weblinks und integrierten Apps. |
| Mobile Threat Defense/Ändern | Hinzufügen, Entfernen oder Ändern der Mobile Threat Defense-Connectors zwischen Intune und den ausgewählten MTD-Anbietern |
| Mobile Threat Defense/Lesen | Anzeigen der Mobile Threat Defense-Connectors zwischen Intune und den von Ihnen gewählten MTD-Anbietern |
| Mehrstufige Admin-Genehmigung/Zugriffsrichtlinie erstellen | Erstellen Sie Zugriffsrichtlinien für die Multi-Admin-Genehmigung. |
| Zugriffsrichtlinie für mehr Admin Genehmigung/Löschung | Löschen Sie Zugriffsrichtlinien für die Genehmigung mehrerer Admin. |
| Genehmigungs-/Lesezugriffsrichtlinie für mehrere Admin | Lesezugriffsrichtlinien für multi-Admin-Genehmigung. |
| Zugriffsrichtlinie für mehr Admin Genehmigung/Aktualisierung | Aktualisieren Sie Zugriffsrichtlinien für die Genehmigung mehrerer Admin. |
| Organisation/Erstellen | Erstellen der Mandanteneinstellungen wie Gerätekategorien und Exchange-Connectors. |
| Organisation/Löschen | Löschen der Mandanteneinstellungen wie Gerätekategorien und Exchange-Connectors. |
| Organization/Lesen | Anzeigen der Mandanteneinstellungen wie Gerätekategorien und Exchange-Connectors. Diese Berechtigung ist erforderlich, um alle Registrierungsworkflows zu aktivieren. |
| Organisation/Update | Verwalten von Mandanteneinstellungen, Gerätekategorien und Exchange-Connectors. |
| Organisationsnachrichten/Erstellen | Erstellen sie Organisationsnachrichten. |
| Organisationsnachrichten/Lesen | Lesen von Organisationsnachrichten. |
| Organisationsmeldungen/Update | Meldungen der Organisation abbrechen. |
| Organisationsnachrichten/Löschen | Löscht Organisationsnachrichten. |
| Organisationsnachrichten/Zuweisen | Weisen Sie Organisationsnachrichten zu. |
| Organisationsnachrichten/Organisationsnachrichtensteuerung aktualisieren | Aktivieren oder blockieren Sie Organisationsnachrichten direkt von Microsoft, während Administratornachrichten angezeigt werden können. |
| Partnergeräteverwaltung/Ändern | Konfigurieren des Compliance-Connectors für Jamf. |
| Partnergeräteverwaltung/Lesen | Anzeigen des Compliance-Connectors für Jamf. |
| Richtliniensätze/Zuweisen | Weisen Sie Richtliniensätze Microsoft Entra Sicherheitsgruppen zu. |
| Richtliniensätze/Erstellen | Einen neuen Richtliniensatz erstellen. |
| Richtliniensätze/Löschen | Löschen von Richtliniensätzen. |
| Richtliniensätze/Lesen | Anzeigen von Richtliniensätzen. |
| Richtliniensätze/Update | Einen Richtliniensatz ändern oder einem Richtliniensatz Elemente hinzufügen. |
| Stille Zeitrichtlinien/Zuweisen | Weisen Sie Azure AD-Sicherheitsgruppen Ruhezeitrichtlinien zu. |
| Stille Zeitrichtlinien/Erstellen | Erstellen Sie neue Ruhezeitrichtlinien. |
| Ruhezeitrichtlinien/Löschen | Löschen von Ruhezeitrichtlinien. |
| Ruhezeitrichtlinien/Lesen | Anzeigen von Richtlinien für die Ruhezeit des Geräts. |
| Stille Zeitrichtlinien/Update | Ändern von Ruhezeitenrichtlinien. |
| Ruhezeitrichtlinien/Berichte anzeigen | Anzeigen, Generieren und Exportieren von Ruhezeitrichtlinienberichten. |
| Remoteunterstützungsconnectors/Lesen | Zeigen Sie die status des TeamViewer-Connectors und der Remotehilfe an. Diese Berechtigung ist nicht erforderlich, um Remoteunterstützungsanforderungen für Geräte zu initiieren. |
| Remoteunterstützungsconnectors/Update | Verwalten sie den Status des TeamViewer-Connectors und Remotehilfe. Diese Berechtigung erfordert auch, dass die Remoteunterstützungsconnectors Lesen-Berechtigung die status des TeamViewer-Connectors und Remotehilfe anzeigen. |
| Remoteunterstützungsconnectors/Berichte anzeigen | Anzeigen, Generieren und Exportieren Remotehilfe Sitzungen und Überwachen von Berichten. |
| Remotehilfe-App/Rechteerweiterung | Die Rechteerweiterung ermöglicht es dem Hilfsprogramm, UAC-Anmeldeinformationen einzugeben, wenn es auf dem Gerät des Freigebenden dazu aufgefordert wird, wenn Remotehilfe aktiviert ist. Durch das Aktivieren der Rechteerweiterung kann das Hilfsprogramm auch das Gerät des Freigebenden anzeigen und steuern, wenn der Freigaber dem Hilfsprogramm Zugriff gewährt. |
| Remotehilfe-App/Vollzugriff übernehmen | Mit Vollzugriff kann das Hilfsprogramm das Gerät des Freigebenden anzeigen und steuern, wenn Remotehilfe aktiviert ist. |
| Remotehilfe-App/unbeaufsichtigte Steuerung | Bei Android-Geräten startet die unbeaufsichtigte Steuerung Remotehilfe, sobald das Hilfsprogramm eine neue Sitzung auswählt, ohne dass ein Freigaber Zugriff gewähren muss. |
| Remotehilfe-App/Ansichtsbildschirm | Auf dem Bildschirm "Ansicht" kann das Hilfsprogramm das Gerät des Freigebenden anzeigen, wenn Remotehilfe aktiviert ist. |
| Remoteaufgaben/Aktivierungssperre umgehen | Entfernen der Aktivierungssperre von überwachten Geräten, ohne dass die Apple ID und das Kennwort des Benutzers erforderlich sind. Dies kann erforderlich sein, wenn ein Benutzer das Unternehmen verlässt und das Gerät zurückgibt. Ohne die Apple-ID und das Kennwort des Benutzers gibt es keine Möglichkeit, das Gerät erneut zu aktivieren. Oder Sie müssen während einer Geräteaktualisierung in Ihrem Unternehmen einige Geräte einer anderen Abteilung neu zuweisen. Sie können nur Geräte neu zuweisen, auf denen die Aktivierungssperre nicht aktiviert ist. Sie müssen außerdem über die Leseberechtigung für verwaltete Geräte verfügen, um Geräte im Azure-Portal anzuzeigen, bevor Sie diese Remoteaufgabe initiieren. |
| Remoteaufgaben/Organisationseinheit ändern | Verschieben eines Chrome Enterprise-Geräts in eine bestehende Organisationseinheit in Ihrer Google Workspace-Domäne. |
| Remoteaufgaben/PC bereinigen | Initiieren einer Aktion zum Neustart des Geräts. Diese Aktion entfernt alle Apps, die auf einem Windows 10-PC installiert sind und auf dem das Creators Update ausgeführt wird. Danach wird der PC automatisch auf die neueste Windows-Version aktualisiert. |
| Remoteaufgaben/Diagnose erfassen | Erfassen der Gerätediagnose |
| Remoteaufgaben/Modus für verlorene Geräte deaktivieren | Deaktivieren des Modus für verlorene Geräte für ein iOS-Gerät. |
| Remoteaufgaben/Modus für verlorene Geräte aktivieren | Starten Sie den Modus für verlorene oder gestohlene iOS-Geräte. In diesem Modus können Sie eine Meldung und eine Telefonnummer angeben, die auf dem Sperrbildschirm des Geräts angezeigt werden. Um den Modus für verlorene Geräte nutzen zu können, muss es sich bei dem Gerät um ein firmeneigenes iOS-Gerät im überwachten Modus handeln. |
| Remoteaufgaben/Windows IntuneAgent aktivieren | Windows Intune-Agent aktivieren. |
| Remoteaufgaben/Filevault-Schlüssel abrufen. | Abrufen des Mac Filevault-Schlüssels. |
| Remoteaufgaben/Configuration Manager-Aktion initiieren | Initiieren einer Remote-Aktion auf einem von Configuration Manager verwalteten Gerät. |
| Remoteaufgaben/Gerät suchen | Anzeigen des Standorts eines verlorenen oder gestohlenen unternehmenseigenen Geräts auf einer Karte. Kann überwachte iOS/iPadOS-Geräte, dedizierte Android-Geräte (COSU) und Windows-Geräte suchen. |
| Remoteaufgaben/Verwalten freigegebener Gerätebenutzer | Melden Sie den Benutzer mit der aktuellen Sitzung auf einem freigegebenen Gerät ab. Diese Aktion löscht keine Benutzer von einem freigegebenen Gerät, erzwingt jedoch, dass der Benutzer mit einer aktuellen Sitzung abgemeldet wird. |
| Remoteaufgaben/Remoteunterstützung anbieten | Initiieren Sie eine Remoteunterstützungssitzung mit dem Gerät eines Benutzers, indem Sie einen Remoteunterstützungsanbieter verwenden. Die Remoteunterstützungsoption für Ihren Anbieter muss für Ihren Mandanten aktiviert sein. |
| Remoteaufgaben/Ton für Modus für verlorene Geräte wiedergeben | Initiieren Sie den Ringsound im verlorenen Modus auf einem Gerät, das sich im MDM-Modus "Verloren" befindet. |
| Remoteaufgaben/Sound wiedergeben, um verlorene Geräte zu finden | Geben Sie einen Sound ab, um verlorene dedizierte Android-Geräte oder iOS-Geräte im MDM-Modus für verlorene Geräte zu finden. |
| Remoteaufgaben/Jetzt neu starten | Initiiert einen Geräteneustart. Dies führt zu einem Neustart des von Ihnen ausgewählten Geräts. Der Eigentümer des Geräts wird nicht automatisch über den Neustart benachrichtigt und kann Daten verlieren. |
| Remotetasks/MDM-Schlüssel wiederherstellen | Initiieren der Wiederherstellung des privaten Schlüssels des Mobile Geräteverwaltung-Zertifikats (MDM) mit TPM-Nachweis |
| Remotetasks/Gerätefirmwarekonfigurationsschnittstellenverwaltung entfernen. | Ermöglicht dem Administrator, das Entfernen des Geräts aus der Verwaltung der Gerätefirmwarekonfigurationsschnittstelle zu initiieren, bevor die Intune- und Autopilot-Einträge gelöscht werden. |
| Remoteaufgaben/Remotesperre | Mit der Geräteaktion Remotesperre wird ein Gerät gesperrt. Zum Entsperren des Geräts muss der Eigentümer des Geräts die entsprechende Kennung verwenden. Sie können Geräte remote sperren, für die eine PIN oder ein Kennwort festgelegt ist. Geräte, die nicht über eine PIN oder ein Kennwort verfügen, können nicht remote gesperrt werden. |
| Remoteaufgaben/Kennung zurücksetzen | Erzwingt die Löschung der Kennung und fordert den Benutzer des Geräts auf, eine neue Kennung festzulegen. Unterstützt von iOS-Geräten und bestimmten neueren Versionen von Android und Android for Work. Nicht unterstützt auf älteren Android-Versionen, macOS oder Windows. |
| Remoteaufgaben/Zurückziehen | Initiiert eine Zurückziehungsaktion für ein Gerät. Wird auch als Entfernen von Firmendaten bezeichnet. Die Aktion Firmendaten entfernen entfernt die Daten aus verwalteten Apps (falls zutreffend), Einstellungen und E-Mail-Profilen, die mithilfe von Intune zugewiesen wurden. Das Gerät wird aus der Intune-Verwaltung entfernt. Dies passiert, wenn das Gerät sich das nächste Mal eincheckt und die Remoteaktion Firmendaten entfernen empfängt. Bei diesem Befehl bleiben die persönlichen Daten des Benutzers auf dem Gerät erhalten. |
| Remoteaufgaben/App-Lizenzen widerrufen | Widerruft alle iOS VPP-Anwendungslizenzen, die dem Gerät zugeordnet sind. |
| Remoteaufgaben/Rotieren von BitLockerKeys (Vorschau) | Initiiert eine Schlüsselrotation für BitLocker-Wiederherstellungskennwörter auf dem Gerät. |
| Remoteaufgaben/Drehen des Filevault-Schlüssels. | Drehen des Mac-Filevault-Schlüssels. |
| Remotetasks/Rotieren des lokalen Admin Kennworts | Initiiert eine manuelle Rotation für das lokale Administratorkennwort auf dem Gerät. |
| Remotetasks/Ausführen der Konfigurationsaktualisierung anhalten | Initiieren der Aktualisierung der Konfiguration bei Bedarfspause |
| Remotetasks/Wartung ausführen | Proaktive Wartung bei Bedarf initiieren |
| Remoteaufgaben/Gibt die Remotegeräteaktion an, um den Mobile Geräteverwaltung-Nachweis (MDM) zu initiieren, wenn das Gerät dazu in der Lage ist. | |
| Remoteaufgaben/Benutzerdefinierte Benachrichtigungen senden | Ermöglicht Administratoren das Senden von benutzerdefinierten Benachrichtigungen an Geräte. Geräte empfangen Benachrichtigungen im Unternehmensportal. |
| Remoteaufgaben/Gerätename festlegen | Den Namen eines Geräts festlegen oder ändern. |
| Remoteaufgaben/Herunterfahren | Initiiert ein Herunterfahren des Geräts und schließt automatisch alle Anwendungen und ausgeführten Dienste und belässt das Gerät in einem ausgeschalteten Zustand. |
| Remoteaufgaben/Gerätesynchronisierung. | Initiiert einen Synchronisierungsvorgang auf dem Gerät und zwingt das ausgewählte Gerät, sich sofort bei Intune anzumelden. Wenn ein Gerät eingecheckt wird, empfängt es sofort alle ausstehenden Aktionen oder Richtlinien, die ihm zugewiesen sind. |
| Remoteaufgaben/Aktualisieren des Mobilfunkdatenplans | Aktivieren des Datentarifs für zellulare iOS/iPadOS-Geräte, die eSIM unterstützen. |
| Remoteaufgaben/Gerätekonto aktualisieren | Ermöglicht das Ändern des Gerätekontos, das mit Surface Hub-Geräten verknüpft ist, und das Festlegen von Authentifizierungsoptionen wie der Kennwortrotation. |
| Remoteaufgaben/Windows Defender | Initiiert eine Windows Defender Signaturaktualisierung. |
| Remoteaufgaben/Löschen | Initiiert eine Zurücksetzung des Geräts. Wird auch als Zurücksetzung auf die Werkseinstellungen bezeichnet. Die Aktion Zurücksetzung auf Werkseinstellungen setzt das Gerät auf die Werkseinstellungen zurück. Die Benutzerdaten werden beibehalten oder zurückgesetzt, je nachdem, ob Sie das Kontrollkästchen Registrierungszustand und Benutzerkonto beibehalten aktivieren oder nicht. |
| Rollen/Zuweisen | Zuweisen Intune integrierten oder benutzerdefinierten Rollen zu Microsoft Entra Sicherheitsgruppen |
| Rollen/Erstellen | Erstellen neuer benutzerdefinierter Intune-Rollen. Intune erstellt die integrierten Rollen automatisch. |
| Rollen/Löschen | Löschen einer benutzerdefinierten Intune-Rolle. Integrierte Rollen können nicht gelöscht werden. |
| Rollen/Lesen | Anzeigen von Berechtigungen, Rollenzuweisungen, Mitgliedsgruppen und Bereichsgruppen für alle integrierten oder benutzerdefinierten Intune Rollen. |
| Rollen/Update | Aktualisieren von benutzerdefinierte Rollenberechtigungen und Rollenzuweisungen für integrierte oder benutzerdefinierte Rollen. Rollenzuweisungen definieren den Administrator- und Endbenutzerbereich für die Rolle. |
| Sicherheitsbaselines/Zuweisen | Zuweisen von Sicherheitsbaselineprofilen zu Microsoft Entra Sicherheitsgruppen. |
| Sicherheitsbaselines/Erstellen | Erstellen Sie neue Sicherheitsbaselineprofile. |
| Sicherheitsbaselines/Löschen | Löschen von Sicherheitsbaselineprofilen. |
| Sicherheitsbaselines/Lesen | Anzeigen von Berichten zu Sicherheitsbaselineprofilen oder -profilen oder Vorlagenberichten für alle Arbeitsbereiche der Sicherheitsbaseline |
| Sicherheitsbaselines/Update | Aktualisieren von Sicherheitsbaselineprofilen. |
| Sicherheitsaufgaben/Lesen | Sicherheitsaufgaben anzeigen. |
| Sicherheitsaufgaben/Update | Sicherheitsaufgaben aktualisieren. |
| ServiceNow/Update-Connector | Aktualisieren Sie die ServiceNow-Verbindung. |
| ServiceNow/Incidents anzeigen | Anzeigen von Incidents aus ServiceNow. |
| Telekommunikationsausgaben/Lesen | Anzeigen der Einstellungen und des Status des Telekommunikationsausgabenpartner-Connectors. Das Connectorfeature für Telekommunikationskosten ist veraltet, und diese Berechtigung wird nach Juni 2025 nicht mehr unterstützt. |
| Telekommunikationsausgaben/Update | Ändern oder aktivieren des Verwaltungspartner-Connectors für Telekommunikationsausgaben. Das Connectorfeature für Telekommunikationskosten ist veraltet, und diese Berechtigung wird nach Juni 2025 nicht mehr unterstützt. |
| Mandantenanfügungen/Lesen | Anzeigen von Empfehlungen mit Mandantenanfügung. Empfehlungen sind Methoden zur Verbesserung der Websiteintegrität und geräteverwaltung. |
| Geschäftsbedingungen/Zuweisen | Weisen Sie geschäftsbedingungen Microsoft Entra Sicherheitsgruppen zu. |
| Geschäftsbedingungen/Erstellen | Erstellen neuer Geschäftsbedingungen. |
| Geschäftsbedingungen/Löschen | Löschen einer vorhandenen Geschäftsbedingung. |
| Geschäftsbedingungen/Lesen | Geschäftsbedingungen anzeigen. |
| Geschäftsbedingungen/Update | Verwalten vorhandener Geschäftsbedingungen, nicht jedoch von Zuweisungen. |
| Windows Enterprise-Zertifikat/Ändern | Hinzufügen, Entfernen oder Ändern des Code-Signatur-Zertifikats, das für die Verteilung von branchenspezifischen Apps an Ihre verwalteten Windows-Geräte verwendet wird. |
| Windows Enterprise-Zertifikat/Lesen | Anzeigen des Code-Signaturzertifikats, das zum Verteilen von branchenspezifischen Apps auf Ihren verwalteten Windows-Geräten verwendet wird. |