Anbindung an MECM
Zur Anbindung von MECM-Standorten wird ein Service-Account benötigt.
Die Ausführung der Web-Applikation erfolgt im Kontext des Service-Account (siehe IIS Konfiguration) und der Service-Account wird auch zur Anbindung der MECM-Standorte verwendet.
Berechtigungen
Für die Arbeit mit dem Intune Manager wird keine Configuration Manager Konsole benötigt.
Autorisierung und Ausführung aller Aktionen erfolgen über den SMS_Provider des jeweiligen MECM-Standortes.
Mit dem Intune Manager ist möglich, vorhandene MECM-Applikationen auszulesen und in Intune zu importieren. Hierfür werden folgende administrative Berechtigungen innerhalb von MECM werden benötigt:
- Applikation: Lesen
- Sammlung: Lesen; Ressource lesen;
- Site: Lesen
Die Bereitstellung dieser Rechte erfolgt am einfachsten durch den Import einer Sicherheitsrolle innerhalb der Configuration Manager Konsole:
Für den Import dieser Sicherheitsrolle kann dazu folgende XML-Datei verwendet werden:
<SMS_Roles>
<SMS_Role CopiedFromID="SMS0001R" RoleName="Intune Manager" RoleDescription="Intune Manager Role">
<Operations>
<Operation GrantedOperations="4097" ObjectTypeID="1" />
<Operation GrantedOperations="1" ObjectTypeID="6" />
<Operation GrantedOperations="1" ObjectTypeID="31" />
</Operations>
</SMS_Role>
</SMS_Roles>
Anschließend wird der Service-Account den administrativen Benutzern hinzugefügt und ihm die zuvor erstellte Sicherheitsrolle zugeteilt.
Im Arbeitsbereich Administravie Users kann der administrativen Benutzer angelgt werden.
Im Kontext-Menü Add User or Group öffnen.
Mit Browse den Service-Account auswählen der Berechtigt werden soll.
In diesem Beispiel wurde der System-Account des Server auf dem der Intune Manager installiert ist verwendet.
Nachdem der Account ausgewählt wurde kann mit Add die Berechtigung ausgewählt werden.
Hier muss die zuvor erstelle Rolle Intune Manager ausgewählt werden.
Abschließend muss der Punkt All instances of the objects that are related to the assigned security roles ausgewählt werden.
Dann kann der administrative Benutzer mit OK erstellt werden.
Die Anbindung von Configuration Manager Sites erfolgt über die Datei appsettings.json.