Dieser Artikel wurde automatisch mit KI übersetzt und kann Fehler oder Ungenauigkeiten enthalten.

Berechtigungen

Übersicht

Diese Seite beschreibt das Berechtigungs- und Zugriffsmodell für diesen Agenten. Der Agent verwendet schreibgeschützten Zugriff zu Microsoft Intune- und Microsoft Entra ID-Daten über die Microsoft Graph API und Security Copilot-Plugins. Es ist darauf ausgelegt, Konfigurationseinstellungen, Gerätezuweisungen und Richtlinienkonformität zu analysieren, ohne Änderungen an Ihrer Umgebung vorzunehmen.


So funktioniert es

Der Agent verbindet sich sicher mit Ihrem Tenant über Microsoft Graph API-Endpunkte, um Intune- und Entra ID-Daten abzurufen. Er verarbeitet diese Informationen, um den Zustand der Konfiguration, die Abdeckungsrate der Zuweisungen und die Übereinstimmung mit den Compliance-Anforderungen zu bewerten.

Alle Interaktionen folgen diesen Grundsätzen:

  • Schreibgeschützter Zugriff: Der Agent kann Konfigurationen nicht ändern, erstellen oder löschen.

  • Prinzip der minimalen Rechtevergabe: Es werden nur die minimal erforderlichen Berechtigungen verwendet, um Intune- und Entra ID-Daten zu lesen.

  • Transparenz: Der gesamte Datenzugriff erfolgt über dokumentierte Graph API-Endpunkte und kann in Microsoft Entra überprüft werden.


Erforderliche Entra ID-Rollen

Weisen Sie dem Administratorkonto, das den Agenten installiert und ausführt, die folgenden Rollen zu:

Rolle
Beschreibung

Intune Reader

Bietet schreibgeschützten Zugriff auf Intune-Konfigurationen, Compliance- und Gerätedaten.

Directory Reader

Gewährt schreibgeschützten Zugriff auf Entra ID-Benutzer, Gruppen und Verzeichnisinformationen.

Security Reader

Ermöglicht Einblick in Sicherheitsinformationen und Berichte ohne Änderungsrechte.

Diese Rollen folgen dem Prinzip der geringsten Berechtigung. Passen Sie sie basierend auf den Sicherheits- und Governance-Richtlinien Ihrer Organisation an.


Transparenz beim Datenzugriff

Die folgende Tabelle beschreibt, auf welche Daten der Agent zugreifen kann und zu welchem Zweck.

Datentyp
Zugriffslevel
Zweck

Intune-Konfigurationsprofile und -Richtlinien

Schreibgeschützt

Zur Analyse von Bereitstellungskonfigurationen, Compliance-Einstellungen und Richtlinienstatus.

Geräte- und Benutzerzuweisungen

Schreibgeschützt

Zur Erstellung von Erkenntnissen zu Zielgruppen, Compliance und Konfigurationsabdeckung.

Entra ID-Verzeichnisdaten

Schreibgeschützt

Zur Korrelation von Benutzer-, Gruppen- und Gerätebeziehungen für Berichte.

Sicherheitseinblicke und Warnungen

Schreibgeschützt

Zur Verbesserung der Sichtbarkeit potenzieller Fehlkonfigurationen oder Compliance-Risiken.

Datenverarbeitung:

  • Der Agent nicht ändert oder exportiert Kundendaten außerhalb der Tenant-Grenze.

  • Der gesamte Datenzugriff ist auf die Microsoft Graph API mithilfe delegierter oder Anwendungsberechtigungen.

  • Alle Zugriffsaktivitäten werden protokolliert in Microsoft Entra-Auditprotokollen zur Nachverfolgbarkeit und Compliance.


Agenteneinstellungen

Der Agent unterstützt konfigurierbare Parameter, um Umfang und Tiefe der Analyse anzupassen.

Einstellung
Optionen
Beschreibung

Scope

Geräte, Richtlinien, Zuweisungen

Legt fest, welche Intune-Bereiche in die Analyse einbezogen werden.

Modus

schnell, standard, tief

Definiert die Analysetiefe und Kompromisse bei der Leistung. • schnell — Grundlegender Überblick über Konfigurationen. • standard — Ausgewogene Analyse mit den meisten Metriken (empfohlen). • tief — Detaillierte Prüfung mit erweiterten Berichten und Gegenprüfungen.

Stellen Sie sicher, dass dem Administratorkonto vor dem Ausführen des Agents alle erforderlichen Rollen zugewiesen sind.


Sicherheits- und Compliance-Überlegungen

  • Die gesamte Kommunikation mit Microsoft Graph wird mithilfe von HTTPS verschlüsselt und durch Microsoft-Identitätsdienste abgesichert.

  • Der Agent hält sich an Microsofts Zero Trust und Prinzip der minimalen Rechtevergabe .

  • Der Zugriff kann jederzeit überprüft oder widerrufen werden über Entra ID-Rollenzuweisungen oder Verwaltung von Anwendungszustimmungen.


Nächste Schritte

  • Überprüfen Sie, ob dem Administratorkonto alle erforderlichen Rollen zugewiesen sind.

  • Überprüfen Sie die Richtlinien Ihrer Organisation zur geringsten Berechtigung und Rollenvergabe.

Zuletzt aktualisiert

War das hilfreich?