Berechtigungen
Übersicht
Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff zu Microsoft Intune- und Microsoft Entra ID-Daten über die Microsoft Graph API und Security Copilot-Plugins. Es ist darauf ausgelegt, Konfigurationseinstellungen, Gerätezuweisungen und Richtlinienkonformität zu analysieren, ohne Änderungen an Ihrer Umgebung vorzunehmen.
So funktioniert es
Der Agent verbindet sich sicher mit Ihrem Tenant über Microsoft Graph API-Endpunkte, um Intune- und Entra ID-Daten abzurufen. Er verarbeitet diese Informationen, um den Zustand der Konfiguration, die Abdeckungsrate der Zuweisungen und die Übereinstimmung mit den Compliance-Anforderungen zu bewerten.
Alle Interaktionen folgen diesen Grundsätzen:
Schreibgeschützter Zugriff: Der Agent kann Konfigurationen nicht ändern, erstellen oder löschen.
Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen verwendet, um Intune- und Entra ID-Daten zu lesen.
Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und kann in Microsoft Entra überprüft werden.
Erforderliche Entra ID-Rollen
Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:
Intune Reader
Bietet schreibgeschützten Zugriff auf Intune-Konfigurationen, Compliance- und Gerätedaten.
Directory Reader
Gewährt schreibgeschützten Zugriff auf Entra ID-Benutzer, Gruppen und Verzeichnisinformationen.
Security Reader
Ermöglicht Einblick in Sicherheitsinformationen und Berichte ohne Änderungsrechte.
Diese Rollen folgen dem Prinzip der geringsten Berechtigung. Passen Sie sie basierend auf den Sicherheits- und Governance-Richtlinien Ihrer Organisation an.
Transparenz beim Datenzugriff
Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.
Intune-Konfigurationsprofile und -Richtlinien
Schreibgeschützt
Zur Analyse von Bereitstellungskonfigurationen, Compliance-Einstellungen und Richtlinienstatus.
Geräte- und Benutzerzuweisungen
Schreibgeschützt
Zur Erstellung von Erkenntnissen zu Zielgruppen, Compliance und Konfigurationsabdeckung.
Entra ID-Verzeichnisdaten
Schreibgeschützt
Zur Korrelation von Benutzer-, Gruppen- und Gerätebeziehungen für Berichte.
Sicherheitseinblicke und Warnungen
Schreibgeschützt
Zur Verbesserung der Sichtbarkeit potenzieller Fehlkonfigurationen oder Compliance-Risiken.
Datenverarbeitung:
Der Agent nicht ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze.
Der gesamte Datenzugriff ist auf die Microsoft Graph API mithilfe delegierter oder Anwendungsberechtigungen.
Alle Zugriffsaktivitäten werden protokolliert in Microsoft Entra-Auditprotokollen zur Nachverfolgbarkeit und Compliance.
Agenteneinstellungen
Der Agent unterstützt konfigurierbare Parameter, um Umfang und Tiefe der Analyse anzupassen.
Scope
Geräte, Richtlinien, Zuweisungen
Legt fest, welche Intune-Bereiche in die Analyse einbezogen werden.
Modus
schnell, standard, tief
Definiert die Analysetiefe und Kompromisse bei der Leistung.
• schnell — Grundlegender Überblick über Konfigurationen.
• standard — Ausgewogene Analyse mit den meisten Metriken (empfohlen).
• tief — Detaillierte Prüfung mit erweiterten Berichten und Gegenprüfungen.
Stellen Sie sicher, dass dem Administratorkonto vor dem Ausführen des Agents alle erforderlichen Rollen zugewiesen sind.
Sicherheits- und Compliance-Überlegungen
Die gesamte Kommunikation mit Microsoft Graph wird mithilfe von HTTPS verschlüsselt und durch Microsoft-Identitätsdienste abgesichert.
Der Agent hält sich an Microsofts Zero Trust und Prinzip der minimalen Rechtevergabe .
Der Zugriff kann jederzeit überprüft oder widerrufen werden über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.
Nächste Schritte
Überprüfen Sie, ob dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.
Überprüfen Sie die Richtlinien Ihrer Organisation zur geringsten Berechtigung und Rollenvergabe.
Zuletzt aktualisiert
War das hilfreich?