chore(004): Mark RBAC and Group permissions as granted

Moved DeviceManagementRBAC.Read.All and Group.Read.All from
'required' to 'granted' section after adding them in Azure AD.

These permissions are now active and will resolve:
- Scope tag IDs to display names
- Group IDs to group names for assignments

Next step: Create new backup to verify scope tag name resolution works.

config/intune_permissions.php

@@ -85,7 +85,7 @@
     // 3. Cache leeren: php artisan cache:clear
     // 4. Optional: Live-Check auf Tenant-Detailseite ausführen
     'granted_stub' => [
-        // Tatsächlich granted (aus Entra ID Screenshot):
+        // Tatsächlich granted (aus Entra ID):
         'Device.Read.All',
         'DeviceManagementConfiguration.Read.All',
         'DeviceManagementConfiguration.ReadWrite.All',
@@ -94,6 +94,10 @@
         'Directory.Read.All',
         'User.Read',
         'DeviceManagementScripts.ReadWrite.All',
+        
+        // Feature 004 - Assignments & Scope Tags (granted seit 2025-12-22):
+        'DeviceManagementRBAC.Read.All',  // Scope Tag Namen auflösen
+        'Group.Read.All',                  // Group Namen für Assignments auflösen
 
         // Required permissions (müssen in Entra ID granted werden):
         // Wenn diese fehlen, erscheinen sie als "missing" in der UI
@@ -102,12 +106,5 @@
         'DeviceManagementServiceConfig.ReadWrite.All',
         'Policy.Read.All',
         'Policy.ReadWrite.ConditionalAccess',
-        
-        // Feature 004 - Assignments & Scope Tags (NEU seit 2025-12-22):
-        // Diese Berechtigungen MÜSSEN in Azure AD hinzugefügt werden!
-        // Status wird als "missing" angezeigt, bis sie granted sind.
-        // Nach dem Hinzufügen: Verschiebe diese nach "Tatsächlich granted" (oben)
-        // 'DeviceManagementRBAC.Read.All',  // → Noch nicht granted
-        // 'Group.Read.All',                  // → Noch nicht granted
     ],
 ];