Anbindung an MECM
Zur Anbindung von MECM-Standorten wird ein Service-Account benötigt.
Die Ausführung der Web-Applikation erfolgt im Kontext des Service-Account (siehe IIS Konfiguration) und der Service-Account wird auch zur Anbindung der MECM-Standorte verwendet.
Berechtigungen
Für die Arbeit mit dem Intune Manager wird keine Configuration Manager Konsole benötigt.
Autorisierung und Ausführung aller Aktionen erfolgen über den SMS_Provider des jeweiligen MECM-Standortes.
Mit dem Intune Manager ist möglich, vorhandene MECM-Applikationen auszulesen und in Intune zu importieren. Hierfür werden folgende administrative Berechtigungen innerhalb von MECM werden benötigt:
- Applikation: Lesen
- Sammlung: Lesen; Ressource lesen;
- Site: Lesen
Die Bereitstellung dieser Rechte erfolgt am einfachsten durch den Import einer Sicherheitsrolle innerhalb der Configuration Manager Konsole:
Für den Import dieser Sicherheitsrolle kann dazu folgende XML-Datei verwendet werden:
<SMS_Roles>
<SMS_Role CopiedFromID="SMS0001R" RoleName="Intune Manager" RoleDescription="Intune Manager Role">
<Operations>
<Operation GrantedOperations="4097" ObjectTypeID="1" />
<Operation GrantedOperations="1" ObjectTypeID="6" />
<Operation GrantedOperations="1" ObjectTypeID="31" />
</Operations>
</SMS_Role>
</SMS_Roles>Anschließend wird der Service-Account den administrativen Benutzern hinzugefügt und ihm die zuvor erstellte Sicherheitsrolle zugeteilt.
Die Anbindung von Configuration Manager Sites erfolgt über die Datei appsettings.json.