> For the complete documentation index, see [llms.txt](https://agents.glueckkanja.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://agents.glueckkanja.com/de/agents/assignment-insights/permissions.md).

# Berechtigungen

### Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten.\
Der Agent verwendet **schreibgeschützten Zugriff** zu Microsoft Intune- und Microsoft Entra ID-Daten über die **Microsoft Graph API und Security Copilot-Plugins.**\
Es ist darauf ausgelegt, Konfigurationseinstellungen, Gerätezuweisungen und Richtlinienkonformität zu analysieren, ohne Änderungen an Ihrer Umgebung vorzunehmen.

***

### So funktioniert es

Der Agent verbindet sich sicher mit Ihrem Tenant über Microsoft Graph API-Endpunkte, um Intune- und Entra ID-Daten abzurufen.\
Er verarbeitet diese Informationen, um den Zustand der Konfiguration, die Abdeckungsrate der Zuweisungen und die Übereinstimmung mit den Compliance-Anforderungen zu bewerten.

Alle Interaktionen folgen diesen Grundsätzen:

* **Schreibgeschützter Zugriff:** Der Agent kann Konfigurationen nicht ändern, erstellen oder löschen.
* **Prinzip der minimalen Rechtevergabe:** Es werden nur die minimal erforderlichen Berechtigungen verwendet, um Intune- und Entra ID-Daten zu lesen.
* **Transparenz:** Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und kann in Microsoft Entra überprüft werden.

***

### Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

| Rolle                | Beschreibung                                                                                    |
| -------------------- | ----------------------------------------------------------------------------------------------- |
| **Intune Reader**    | Bietet schreibgeschützten Zugriff auf Intune-Konfigurationen, Compliance- und Gerätedaten.      |
| **Directory Reader** | Gewährt schreibgeschützten Zugriff auf Entra ID-Benutzer, Gruppen und Verzeichnisinformationen. |
| **Security Reader**  | Ermöglicht Einblick in Sicherheitsinformationen und Berichte ohne Änderungsrechte.              |

{% hint style="info" %}
Diese Rollen folgen dem Prinzip der geringsten Berechtigung. Passen Sie sie basierend auf den Sicherheits- und Governance-Richtlinien Ihrer Organisation an.
{% endhint %}

***

### Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

| Datentyp                                          | Zugriffslevel    | Zweck                                                                                           |
| ------------------------------------------------- | ---------------- | ----------------------------------------------------------------------------------------------- |
| **Intune-Konfigurationsprofile und -Richtlinien** | Schreibgeschützt | Zur Analyse von Bereitstellungskonfigurationen, Compliance-Einstellungen und Richtlinienstatus. |
| **Geräte- und Benutzerzuweisungen**               | Schreibgeschützt | Zur Erstellung von Erkenntnissen zu Zielgruppen, Compliance und Konfigurationsabdeckung.        |
| **Entra ID-Verzeichnisdaten**                     | Schreibgeschützt | Zur Korrelation von Benutzer-, Gruppen- und Gerätebeziehungen für Berichte.                     |
| **Sicherheitseinblicke und Warnungen**            | Schreibgeschützt | Zur Verbesserung der Sichtbarkeit potenzieller Fehlkonfigurationen oder Compliance-Risiken.     |

**Datenverarbeitung:**

* Der Agent **nicht** ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze.
* Der gesamte Datenzugriff ist auf die **Microsoft Graph API** mithilfe delegierter oder Anwendungsberechtigungen.
* Alle Zugriffsaktivitäten werden protokolliert in **Microsoft Entra-Auditprotokollen** zur Nachverfolgbarkeit und Compliance.

***

### Agenteneinstellungen

Der Agent unterstützt konfigurierbare Parameter, um Umfang und Tiefe der Analyse anzupassen.

| Einstellung | Optionen                               | Beschreibung                                                                                                                                                                                                                                                                                                                     |
| ----------- | -------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Scope**   | `Geräte`, `Richtlinien`, `Zuweisungen` | Legt fest, welche Intune-Bereiche in die Analyse einbezogen werden.                                                                                                                                                                                                                                                              |
| **Modus**   | `schnell`, `standard`, `tief`          | <p>Definiert die Analysetiefe und Kompromisse bei der Leistung.<br>• <code>schnell</code> — Grundlegender Überblick über Konfigurationen.<br>• <code>standard</code> — Ausgewogene Analyse mit den meisten Metriken (empfohlen).<br>• <code>tief</code> — Detaillierte Prüfung mit erweiterten Berichten und Gegenprüfungen.</p> |

{% hint style="info" %}
Stellen Sie sicher, dass dem Administratorkonto vor dem Ausführen des Agents alle erforderlichen Rollen zugewiesen sind.
{% endhint %}

***

### Sicherheits- und Compliance-Überlegungen

* Die gesamte Kommunikation mit Microsoft Graph wird mithilfe von HTTPS verschlüsselt und durch Microsoft-Identitätsdienste abgesichert.
* Der Agent hält sich an Microsofts **Zero Trust** und **Prinzip der minimalen Rechtevergabe** .
* Der Zugriff kann jederzeit überprüft oder widerrufen werden über **Entra ID-Rollenzuweisungen** oder **Verwaltung von Anwendungszustimmungen**.

***

### Nächste Schritte

* Überprüfen Sie, ob dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.
* Überprüfen Sie die Richtlinien Ihrer Organisation zur geringsten Berechtigung und Rollenvergabe.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://agents.glueckkanja.com/de/agents/assignment-insights/permissions.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.