Berechtigungen
Übersicht
Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet Lesezugriff auf Microsoft Intune- und Microsoft Entra ID-Daten über die Microsoft Graph-API und Security Copilot-Plugins. Sie wurde entwickelt, um Konfigurationseinstellungen, Gerätezuweisungen und Richtlinienkonformität zu analysieren, ohne Änderungen an Ihrer Umgebung vorzunehmen.
Funktionsweise
Der Agent verbindet sich sicher mit Ihrem Mandanten über Microsoft Graph-API-Endpunkte, um Intune- und Entra-ID-Daten abzurufen. Er verarbeitet diese Informationen, um den Konfigurationszustand, die Abdeckungsrate von Zuweisungen und die Übereinstimmung mit Richtlinien zu bewerten.
Alle Interaktionen folgen diesen Grundsätzen:
Schreibgeschützter Zugriff: Der Agent kann Konfigurationen nicht ändern, erstellen oder löschen.
Minimalprinzip (Least Privilege): Es werden nur die minimal erforderlichen Berechtigungen verwendet, um Intune- und Entra-ID-Daten zu lesen.
Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph-API-Endpunkte und kann in Microsoft Entra geprüft werden.
Erforderliche Entra ID-Rollen
Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:
Intune-Leser
Bietet schreibgeschützten Zugriff auf Intune-Konfigurations-, Compliance- und Gerätedaten.
Verzeichnis-Leser
Gewährt schreibgeschützten Zugriff auf Entra-ID-Benutzer, -Gruppen und Verzeichnisinformationen.
Security Reader
Ermöglicht Einblick in Sicherheitserkenntnisse und Berichte ohne Änderungsrechte.
Diese Rollen folgen dem Prinzip der minimalen Berechtigung. Passen Sie sie basierend auf den Sicherheits- und Governance-Richtlinien Ihrer Organisation an.
Transparenz beim Datenzugriff
Die folgende Tabelle legt dar, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.
Intune-Konfigurationsprofile und -Richtlinien
Schreibgeschützt
Um Bereitstellungskonfigurationen, Compliance-Einstellungen und den Richtlinienstatus zu analysieren.
Geräte- und Benutzerzuweisungen
Schreibgeschützt
Um Erkenntnisse über Zielausrichtung, Compliance und Abdeckungsgrad von Konfigurationen zu erstellen.
Entra-ID-Verzeichnisdaten
Schreibgeschützt
Um Benutzer-, Gruppen- und Gerätebeziehungen für Berichte zu korrelieren.
Sicherheitsinformationen und -warnungen
Schreibgeschützt
Um die Sichtbarkeit potenzieller Fehlkonfigurationen oder Compliance-Risiken zu verbessern.
Datenverarbeitung:
Der Agent ändert oder exportiert keine Kundendaten außerhalb der Mandantengrenze.
Der gesamte Datenzugriff ist auf das folgende beschränkt Microsoft Graph-API Alle Zugriffe sind auf das
Alle Zugriffsaktivitäten werden protokolliert in Microsoft Entra-Prüfprotokollen zur Nachverfolgbarkeit und Einhaltung.
Agenteneinstellungen
Der Agent unterstützt konfigurierbare Parameter, um Umfang und Tiefe der Analyse anzupassen.
Umfang
Geräte, Richtlinien, Zuweisungen
Legt fest, welche Intune-Bereiche in die Analyse einbezogen werden.
Modus
schnell, standard, tief
Definiert die Analysetiefe und Performance-Kompromisse.
• schnell — Grundlegender Überblick über Konfigurationen.
• standard — Ausgewogene Analyse mit den meisten Metriken (empfohlen).
• tief — Detaillierte Prüfung mit erweiterten Berichten und Quervergleichen.
Stellen Sie sicher, dass alle erforderlichen Rollen dem Administratorkonto zugewiesen sind, bevor Sie den Agenten ausführen.
Sicherheits- und Compliance-Überlegungen
Sicherheits- und Compliance-Überlegungen
Der Agent hält sich an die Zero-Trust und Prinzipien des geringsten Privilegs .
Zugriffe können jederzeit über Entra ID-Rollenassignments oder Verwaltung der Anwendungszustimmung.
Nächste Schritte
Überprüfen Sie, ob das Administratorkonto alle erforderlichen Rollen zugewiesen hat.
Prüfen Sie die Richtlinien Ihrer Organisation zu minimalen Berechtigungen und Rollenvergabe.
Zuletzt aktualisiert
War das hilfreich?