Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups

Warum dies wichtig ist

Privilegierte Intune-Rollen wie "Intune-Administrator" oder "Richtlinienmanager" sollten nur Benutzern in Gruppen zugewiesen werden, die vor versehentlichen Änderungen oder Löschungen geschützt sind. Ohne die Verwendung von Restricted Management Administrative Units (RMAUs) oder Rollen zuweisbaren Gruppen könnte ein Angreifer oder ein Benutzer mit übermäßigen Berechtigungen die Gruppenmitgliedschaft ändern, um unbefugten administrativen Zugriff auf Ihre Intune-Umgebung zu erhalten.

Was Aether365 prüft

Diese Prüfung stellt sicher, dass alle Intune-RBAC-Gruppen entweder in einer Administrative Unit mit aktiviertem eingeschränktem Management oder als Rollen zuweisbare Gruppen konfiguriert sind. Das Ergebnis wird im Aether365-Dashboard im Abschnitt "Intune-Sicherheitsprüfungen" angezeigt.

So beheben Sie das Problem

  1. Überprüfen Sie Ihre aktuellen Intune-Rollenzuweisungen und identifizieren Sie, welche Gruppen als Rollen zuweisbare Gruppen verwendet werden.
  2. Entscheiden Sie für jede Gruppe, ob Sie sie durch Aufnahme in eine Restricted Management Administrative Unit oder durch Kennzeichnung als Rollen zuweisbare Gruppe schützen möchten.
  3. So verwenden Sie eine RMAU: Erstellen oder wählen Sie eine Administrative Unit in Azure AD, aktivieren Sie das eingeschränkte Management für diese AU und fügen Sie die Intune-RBAC-Gruppe als Mitglied hinzu.
  4. So verwenden Sie eine Rollen zuweisbare Gruppe: Bearbeiten Sie in Azure AD die Eigenschaften der Gruppe und setzen Sie isAssignableToRole auf true. Beachten Sie, dass diese Einstellung dauerhaft ist und nicht rückgängig gemacht werden kann.
  5. Entfernen Sie alle direkten Benutzerzuweisungen von Intune-Rollen und weisen Sie Rollen nur über diese geschützten Gruppen zu.

Compliance

  • Rahmenwerk: Keinem spezifischen Compliance-Standard zugeordnet (Sonstiges)
  • Diese Prüfung entspricht den Microsoft-Best Practices zur Sicherung privilegierter Zugriffe und zur Reduzierung der Angriffsfläche für rollenbasierte Administration.

Verwandte Ressourcen

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.