RBAC Rollen & Berechtigungskonzept
Wer darf was im Kunden-Tenant? Rollenbasierte Zugriffskontrolle (Role-Based Access Control) nach dem Least Privilege Prinzip — der Concat Standard für sichere und nachvollziehbare Administration.
Grundprinzip: Kein Benutzer und kein Administrator erhält mehr Rechte, als für seine Aufgabe zwingend erforderlich sind. Dauerhafte globale Admin-Rechte sind nicht zulässig — Ausnahme: Break-Glass Accounts.
Rollen-Ăśbersicht
Intune & Entra ID Rollen-Matrix
| Rolle | Intune | Entra ID | Defender | M365 Admin | Beschreibung | Typischer Inhaber |
|---|---|---|---|---|---|---|
| Global Admin | Voll | Voll | Voll | Voll | Nur Break-Glass, nie für Tagesgeschäft | Break-Glass Accounts (2x) |
| Intune Administrator | Voll | Lesen | Lesen | Eingeschränkt | Vollzugriff auf alle Intune-Funktionen | Concat Technical Lead / Senior Consultant |
| Helpdesk Operator | Eingeschränkt | Lesen | Lesen | Eingeschränkt | Passwort-Reset, Geräte-Aktionen, User-Info lesen | 1st Level Support / Kunden-IT |
| Security Administrator | Security Policies | Lesen | Voll | Lesen | Verwaltet Defender, ASR Rules, Security Baselines | Security Team / SOC |
| Security Reader | Lesen | Lesen | Lesen | Lesen | Nur lesend — für Reporting, Audits und Compliance | Compliance Officer / CISO |
| Cloud Device Administrator | Geräte-Aktionen | Geräte verwalten | Keine | Keine | BitLocker-Keys auslesen, Geräte aktivieren/deaktivieren, LAPS-Passwörter lesen | 2nd Level Support |
| App Manager | Apps only | Keine | Keine | Keine | Custom Intune RBAC-Rolle: Nur App-Verwaltung | App-Packaging Team |
| Autopilot Manager | Enrollment only | Keine | Keine | Keine | Custom Intune RBAC-Rolle: Nur Autopilot-Geräte verwalten | Logistik / Hardware-Team |
Custom Intune RBAC-Rollen (Concat Standard)
Neben den Built-in Entra ID Rollen konfiguriert der Concat Standard zusätzliche Custom RBAC-Rollen direkt in Intune, um granulare Berechtigungen abzubilden:
App Manager
| Berechtigung | Zugriff |
|---|---|
| Mobile Apps | Create, Read, Update, Delete, Assign |
| Managed Apps | Read |
| Device Configurations | Read |
| Organization | Read |
Scope: Alle Windows-Geräte
Zweck: Das App-Packaging-Team kann Apps erstellen, hochladen, testen und zuweisen — ohne Zugriff auf Geräte-Konfigurationen, Security Policies oder User-Daten.
Autopilot Manager
| Berechtigung | Zugriff |
|---|---|
| Enrollment Programs | Create, Read, Update, Delete |
| Corporate Device Identifiers | Create, Read, Update, Delete |
| Device Configurations | Read |
| Organization | Read |
Scope: Alle Windows-Geräte
Zweck: Das Hardware-/Logistik-Team kann Autopilot-Geräte importieren und Profile zuweisen — ohne Zugriff auf Apps, Policies oder User-Daten.
Helpdesk Operator (Custom, erweitert)
| Berechtigung | Zugriff |
|---|---|
| Remote Tasks | Sync, Restart, Wipe, Retire, BitLocker Key Rotation |
| Managed Devices | Read |
| Mobile Apps | Read |
| Organization | Read |
Scope: Alle verwalteten Geräte
Zweck: Der 1st Level Support kann Geräte-Aktionen durchführen und den Status prüfen — ohne Konfigurationen verändern zu können.
Least Privilege Prinzip
Regeln fĂĽr den Produktivbetrieb
| Regel | Details |
|---|---|
| Globale Admins | Maximal 2 Personen + 2 Break-Glass Accounts. Für Tagesgeschäft werden rollenspezifische Berechtigungen verwendet. |
| Tagesgeschäft | Die Rolle Intune Administrator ist die höchste Berechtigung für den regulären Betrieb. |
| Support | Helpdesk Operator — kann Passwort-Resets und Geräte-Aktionen durchführen, aber keine Policies ändern. |
| Reporting | Security Reader — nur lesend, für Dashboards, Compliance-Reports und Audit-Nachweise. |
| Kein Direct Assignment | Rollen werden immer ĂĽber Sicherheitsgruppen zugewiesen, nie direkt an einzelne User. |
| Scope Tags | Bei Multi-Standort-Kunden werden Intune Scope Tags verwendet, um den Zugriff auf bestimmte Gerätegruppen einzuschränken. |
Privileged Identity Management (PIM)
Voraussetzung: PIM erfordert eine Entra ID P2 Lizenz (enthalten in M365 E5 oder als Add-on). Bei Kunden mit E3/P1 werden die Rollen ohne PIM, aber mit strikter Dokumentation und regelmäßigen Access Reviews verwaltet.
Was ist PIM?
PIM ermöglicht die Just-in-Time (JIT) Aktivierung von Admin-Rollen. Statt dauerhaft zugewiesener Berechtigungen aktivieren Administratoren ihre Rolle nur bei Bedarf — zeitlich begrenzt und mit Begründung.
PIM-Konfiguration (Concat Standard)
| Einstellung | Wert |
|---|---|
| Maximale Aktivierungsdauer | 8 Stunden |
| MFA bei Aktivierung | Erforderlich |
| BegrĂĽndung bei Aktivierung | Erforderlich (Ticket-Nummer angeben) |
| Genehmigung erforderlich | Ja, fĂĽr Global Admin und Security Administrator |
| Benachrichtigungen | E-Mail an Security-Team bei jeder Aktivierung |
| Access Reviews | Alle 90 Tage fĂĽr alle privilegierten Rollen |
PIM einrichten
Eligible Assignments konfigurieren
Entra ID Admin Center → Identity Governance → Privileged Identity Management → Entra ID roles.
FĂĽr jede Rolle, die ĂĽber PIM verwaltet werden soll:
- Assignment type: Eligible (nicht Active!)
- Betroffene User/Gruppen zuweisen
Activation Settings konfigurieren
FĂĽr jede Rolle unter Settings:
- Maximum activation duration: 8 Stunden
- On activation, require: Azure MFA
- Require justification on activation: Ja
- Require approval: Ja (fĂĽr Global Admin / Security Admin)
- Approvers: IT-Leitung oder Security Team festlegen
Notification Settings konfigurieren
- Send email when eligible members activate this role: Ja
- Empfänger: Security-Team und IT-Leitung
- Send email when members are assigned as eligible: Ja
Access Reviews einrichten
Identity Governance → Access Reviews → New access review:
- Scope: Privilegierte Rollen (Intune Admin, Security Admin, Global Admin)
- Frequency: Alle 90 Tage
- Reviewers: IT-Leitung oder CISO
- Auto-Apply: Ja — nicht bestätigte Zuweisungen werden automatisch entfernt
RBAC fĂĽr Managed Service Provider (MSP / GDAP)
Wenn Concat als Managed Service Provider den Tenant des Kunden betreut, gelten zusätzliche Regeln:
GDAP (Granular Delegated Admin Privileges)
| Einstellung | Wert |
|---|---|
| Relationship Duration | Max. 730 Tage (danach Renewal erforderlich) |
| Rollen fĂĽr Concat | Intune Administrator, Security Reader, Helpdesk Operator |
| Ausgeschlossene Rollen | Global Admin wird nie via GDAP vergeben |
| Kunden-Zustimmung | Kunde muss GDAP-Beziehung explizit im Admin Center genehmigen |
DAP vs. GDAP: Die veraltete DAP-Methode (Delegated Admin Privileges) gewährt automatisch Global Admin-Rechte und ist ein erhebliches Sicherheitsrisiko. Alle neuen Kundenbeziehungen müssen über GDAP mit granularen Rollen eingerichtet werden. Bestehende DAP-Beziehungen sind zeitnah auf GDAP zu migrieren.
Azure Lighthouse (fĂĽr Azure-Ressourcen)
Falls Concat zusätzlich Azure-Ressourcen des Kunden verwaltet (z. B. Azure Virtual Desktop, Log Analytics), wird Azure Lighthouse für die delegierte Verwaltung eingesetzt.
Rollen fĂĽr den Support-Alltag
Welche Rolle fĂĽr welche Aufgabe?
| Operative Aufgabe | Mindestrolle | Referenz |
|---|---|---|
| Passwort zurücksetzen | Helpdesk Operator | — |
| MFA-Methoden zurĂĽcksetzen | Authentication Administrator | Runbook 3.3 |
| Gerät wipen / retiren | Helpdesk Operator (Custom) | Runbook 1.2 |
| BitLocker Recovery Key auslesen | Cloud Device Administrator | Runbook 3.1 |
| LAPS-Passwort auslesen | Cloud Device Administrator | Runbook 3.2 |
| Autopilot-Geräte importieren | Autopilot Manager (Custom) | Runbook 1.1 |
| Win32-App erstellen/zuweisen | App Manager (Custom) | Runbook 2.1 |
| Conditional Access Policy bearbeiten | Conditional Access Administrator | Entra ID Setup |
| Security Baselines ändern | Security Administrator | Security Baselines |
| Defender-Alerts untersuchen | Security Operator | Defender Konfiguration |
| Update-Ring pausieren | Intune Administrator | Runbook 4.2 |
| Expedited Update deployen | Intune Administrator | Runbook 4.1 |
| User-Account sofort sperren | User Administrator + Intune Admin | Runbook 3.4 |
| Break-Glass Account verwenden | Global Admin (physischer Zugriff) | Runbook 3.5 |
RBAC-Rolle zuweisen
Entra ID Built-in Rolle zuweisen
Sicherheitsgruppe erstellen
Entra ID Admin Center → Groups → New group:
- Type: Security
- Name:
ROL-IntuneAdmins,ROL-HelpdeskOperators, etc. - Members: Betroffene User hinzufĂĽgen
Rolle der Gruppe zuweisen
Entra ID → Roles and administrators → Rolle auswählen (z. B. Intune Administrator) → Add assignments → Sicherheitsgruppe auswählen.
Bei PIM: Assignment type auf „Eligible” setzen (nicht „Active”).
Zuweisung dokumentieren
RBAC-Matrix im Kunden-Wiki aktualisieren. Jede Rollenzuweisung muss nachvollziehbar dokumentiert sein (wer, wann, warum, durch wen genehmigt).
Custom Intune RBAC-Rolle erstellen
Custom Role erstellen
Intune Admin Center → Tenant administration → Roles → Create role.
Name und Beschreibung vergeben (z. B. App Manager – Concat Standard).
Berechtigungen konfigurieren
Nur die minimal erforderlichen Berechtigungen aktivieren (siehe Tabellen oben).
Beispiel fĂĽr App Manager:
- âś… Mobile Apps: Create, Read, Update, Delete, Assign
- âś… Managed Apps: Read
- ❌ Device Configurations: Kein Zugriff
- ❌ Enrollment: Kein Zugriff
Scope Tags zuweisen (optional)
Bei Multi-Standort-Kunden können Scope Tags verwendet werden, um den Zugriff auf bestimmte Gerätegruppen einzuschränken (z. B. nur Geräte des Standorts München).
Rolle einer Gruppe zuweisen
Assignments → Add Scope Group (welche Geräte/User darf die Rolle verwalten?) → Add Members (wer erhält die Rolle?) → Group auswählen.
Scope Tags (Multi-Standort / Multi-Team)
Scope Tags ermöglichen eine horizontale Trennung der Verwaltung innerhalb eines einzelnen Intune-Tenants. Sie sind besonders relevant für:
- Multi-Standort-Kunden (z. B. Standort MĂĽnchen vs. Standort Hamburg)
- Multi-Team-Setups (z. B. Concat Team vs. Kunden-IT)
- Mandantentrennung innerhalb eines gemeinsamen Tenants
Scope Tag Konfiguration
Scope Tags erstellen
Intune Admin Center → Tenant administration → Roles → Scope tags → Create.
Beispiel:
| Scope Tag | Beschreibung |
|---|---|
LOC-Munich | Geräte und Policies für Standort München |
LOC-Hamburg | Geräte und Policies für Standort Hamburg |
TEAM-Concat | Von Concat verwaltete Konfigurationen |
TEAM-Internal | Von der Kunden-IT verwaltete Konfigurationen |
Scope Tags an Objekte zuweisen
Bei jeder Configuration Policy, App, Compliance Policy, etc. den passenden Scope Tag setzen:
- Policy erstellen/bearbeiten → Tab „Scope tags” → Tag zuweisen
Scope Tags in RBAC-Rollen integrieren
Bei der Rollenzuweisung (Custom oder Built-in): Scope Tags der Rolle zuweisen. Der Admin sieht dann nur Objekte mit dem passenden Tag.
Default Scope Tag: Jedes Objekt in Intune hat automatisch den Default Scope Tag. Admins ohne explizite Scope-Tag-Zuweisung sehen nur Objekte mit dem Default Tag. Planen Sie die Tag-Struktur vor dem produktiven Rollout.
Regelmäßige Überprüfung (Access Reviews)
Vierteljährlicher RBAC-Audit
Alle 90 Tage muss eine ĂśberprĂĽfung der vergebenen Rollen durchgefĂĽhrt werden:
| PrĂĽfpunkt | Erwartetes Ergebnis |
|---|---|
| Anzahl Global Admins | Max. 2 Personen + 2 Break-Glass |
| Inactive Admin Accounts | Keine inaktiven Admin-Accounts (> 30 Tage ohne Login) |
| PIM-Nutzung | Alle privilegierten Rollen werden via PIM aktiviert (keine permanenten Active Assignments) |
| Gruppenbasierte Zuweisung | Keine Direct Assignments — alles über Sicherheitsgruppen |
| Scope Tags | Korrekt zugewiesen, keine „verwaisten” Tags |
| GDAP-Beziehungen | Aktiv und mit korrekten Rollen (keine DAP-Altlasten) |
| Custom Roles | Berechtigungen noch aktuell und Least Privilege konform |
| Dokumentation | RBAC-Matrix im Wiki ist aktuell |
Automatisierung: PIM Access Reviews können automatisch konfiguriert werden (siehe PIM-Konfiguration oben). Nicht bestätigte Zuweisungen werden nach Ablauf der Review-Frist automatisch entfernt.