diff --git a/config/intune_permissions.php b/config/intune_permissions.php
index 62c8215..935c368 100644
--- a/config/intune_permissions.php
+++ b/config/intune_permissions.php
@@ -85,7 +85,7 @@
     // 3. Cache leeren: php artisan cache:clear
     // 4. Optional: Live-Check auf Tenant-Detailseite ausführen
     'granted_stub' => [
-        // Tatsächlich granted (aus Entra ID Screenshot):
+        // Tatsächlich granted (aus Entra ID):
         'Device.Read.All',
         'DeviceManagementConfiguration.Read.All',
         'DeviceManagementConfiguration.ReadWrite.All',
@@ -94,6 +94,10 @@
         'Directory.Read.All',
         'User.Read',
         'DeviceManagementScripts.ReadWrite.All',
+        
+        // Feature 004 - Assignments & Scope Tags (granted seit 2025-12-22):
+        'DeviceManagementRBAC.Read.All',  // Scope Tag Namen auflösen
+        'Group.Read.All',                  // Group Namen für Assignments auflösen
 
         // Required permissions (müssen in Entra ID granted werden):
         // Wenn diese fehlen, erscheinen sie als "missing" in der UI
@@ -102,12 +106,5 @@
         'DeviceManagementServiceConfig.ReadWrite.All',
         'Policy.Read.All',
         'Policy.ReadWrite.ConditionalAccess',
-        
-        // Feature 004 - Assignments & Scope Tags (NEU seit 2025-12-22):
-        // Diese Berechtigungen MÜSSEN in Azure AD hinzugefügt werden!
-        // Status wird als "missing" angezeigt, bis sie granted sind.
-        // Nach dem Hinzufügen: Verschiebe diese nach "Tatsächlich granted" (oben)
-        // 'DeviceManagementRBAC.Read.All',  // → Noch nicht granted
-        // 'Group.Read.All',                  // → Noch nicht granted
     ],
 ];