Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Proteger el acceso a la organización es un paso de seguridad esencial. En este artículo se presentan los detalles básicos para usar Microsoft Intune controles de acceso basado en rol (RBAC), que son una extensión de Microsoft Entra ID controles RBAC. Los artículos posteriores pueden ayudarle a implementar Intune RBAC en su organización.
Con Intune RBAC, puede conceder permisos pormenorizados a los administradores para controlar quién tiene acceso a los recursos de la organización y qué pueden hacer con esos recursos. Mediante la asignación de Intune roles de RBAC y la adhesión a los principios de acceso con privilegios mínimos, los administradores pueden realizar sus tareas asignadas solo en los usuarios y dispositivos que deben tener la capacidad de administrar.
RBAC Roles
Cada rol de RBAC de Intune especifica un conjunto de permisos que están disponibles para los usuarios asignados a ese rol. Los permisos se componen de una o varias categorías de administración, como Configuración del dispositivo o Datos de auditoría, y conjuntos de acciones que se pueden realizar como Lectura, Escritura, Actualización y Eliminación. Juntos, definen el ámbito del acceso administrativo y los permisos dentro de Intune.
Intune incluye roles integrados y personalizados. Los roles integrados son los mismos en todos los inquilinos y se proporcionan para abordar escenarios administrativos comunes, mientras que los roles personalizados creados permiten permisos específicos según sea necesario para un administrador. Además, varios roles de Microsoft Entra incluyen permisos dentro de Intune.
Para ver un rol en el centro de administración de Intune, vaya aRoles> de administración> deinquilinos Todos los roles> y seleccione un rol. A continuación, puede administrar ese rol a través de las páginas siguientes:
- Propiedades: el nombre, la descripción, los permisos y las etiquetas de ámbito para el rol. También puede ver el nombre, la descripción y los permisos de los roles integrados en esta documentación en Permisos de rol integrados.
- Asignaciones: seleccione una asignación para un rol para ver detalles sobre él, incluidos los grupos y ámbitos que incluye la asignación. Un rol puede tener varias asignaciones y un usuario puede recibir varias asignaciones.
Nota:
En junio de 2021, Intune comenzó a admitir administradores sin licencia. Las cuentas de usuario creadas después de este cambio pueden administrar Intune sin una licencia asignada. Las cuentas creadas antes de este cambio todavía requieren una licencia para administrar Intune.
Roles integrados
Un administrador de Intune con permisos suficientes puede asignar cualquiera de los roles de Intune a grupos de usuarios. Los roles integrados conceden permisos específicos necesarios para realizar tareas administrativas que se alineen con el propósito del rol. Intune no admite modificaciones en la descripción, el tipo o los permisos de un rol integrado.
- Administrador de aplicaciones: permite administrar las aplicaciones móviles y administradas, leer la información del dispositivo y ver los perfiles de configuración del dispositivo.
- Administrador de privilegios de punto de conexión: administra las directivas de administración de privilegios de punto de conexión en la consola de Intune.
- Lector de privilegios de punto de conexión: los lectores de privilegios de punto de conexión pueden ver las directivas de administración de privilegios de punto de conexión en la consola de Intune.
- Endpoint Security Manager: administra las características de seguridad y cumplimiento, como líneas base de seguridad, cumplimiento de dispositivos, acceso condicional y Microsoft Defender para punto de conexión.
- Departamento de soporte técnico: realiza tareas remotas relacionadas con usuarios y dispositivos y puede asignar aplicaciones o directivas a usuarios o dispositivos.
- Administrador de roles de Intune: permite administrar los roles de Intune personalizados y agregar las asignaciones de roles de Intune integrados. Esta es la única función de Intune que permite asignar permisos a los administradores.
- Administrador de directivas y perfiles: administra la directiva de cumplimiento, los perfiles de configuración, la inscripción de Apple, los identificadores de dispositivos corporativos y las líneas base de seguridad.
- Operador de solo lectura: ve información sobre usuarios, dispositivos, inscripciones, configuraciones y aplicaciones. No puede realizar cambios en Intune.
- Administrador de escuela:administra dispositivos Windows 10 en Intune for Education.
Cuando el inquilino incluye una suscripción a Windows 365 para admitir equipos en la nube, también encontrará los siguientes roles de pc en la nube en el centro de administración de Intune. Estos roles no están disponibles de forma predeterminada e incluyen permisos dentro de Intune para las tareas relacionadas con los equipos en la nube. Para obtener más información sobre estos roles, consulte Roles integrados de PC en la nube en la documentación de Windows 365.
- Administrador de PC en la nube: un administrador de PC en la nube tiene acceso de lectura y escritura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.
- Lector de PC en la nube: un lector de PC en la nube tiene acceso de lectura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.
Roles personalizados
Puede crear sus propios roles de Intune personalizados para conceder a los administradores solo los permisos específicos necesarios para sus tareas. Estos roles personalizados pueden incluir cualquier Intune permiso de RBAC, lo que permite un acceso de administrador refinado y compatibilidad con el principio de acceso con privilegios mínimos dentro de la organización.
Consulte Creación de un rol personalizado.
Microsoft Entra roles con acceso Intune
Intune permisos de RBAC son un subconjunto de permisos de RBAC de Microsoft Entra. Como subconjunto, hay algunos roles Entra que incluyen permisos dentro de Intune. La mayoría de los roles Entra ID que tienen acceso a Intune se consideran roles con privilegios. El uso y la asignación de roles con privilegios deben limitarse y no usarse para las tareas administrativas diarias dentro de Intune.
Microsoft recomienda seguir el principio de permisos mínimos asignando solo los permisos mínimos necesarios para que un administrador realice sus tareas. Para admitir este principio, use los roles de RBAC integrados de Intune para tareas administrativas Intune diarias y evite el uso de roles Entra que tengan acceso a Intune.
En la tabla siguiente se identifican los roles Entra que tienen acceso a Intune y los permisos de Intune que incluyen.
| rol Microsoft Entra | Todos los datos de Intune | Datos de auditoría de Intune |
|---|---|---|
Icono de  de administrador global |
Lectura y escritura | Lectura y escritura |
|
de administrador de servicios de Intune |
Lectura y escritura | Lectura y escritura |
|
de administrador de acceso condicional |
Ninguno | Ninguno |
| Icono de de administrador de seguridad |
Solo lectura (permisos administrativos completos para el nodo Seguridad de puntos de conexión) | Solo lectura |
| Icono de del operador de seguridad |
Solo lectura | Solo lectura |
| Icono de del lector de seguridad |
Solo lectura | Solo lectura |
| Administrador de cumplimiento | Ninguno | Solo lectura |
| Administrador de datos de cumplimiento | Ninguno | Solo lectura |
| Icono de de lector global (este rol es equivalente al rol Intune operador del departamento de soporte técnico) |
Solo lectura | Solo lectura |
|
del administrador del departamento de soporte técnico (este rol es equivalente al rol Intune operador del departamento de soporte técnico) |
Solo lectura | Solo lectura |
| Lector de informes | Ninguno | Solo lectura |
Además de los roles Entra con permiso dentro de Intune, las tres áreas siguientes de Intune son extensiones directas de Entra: Usuarios, Grupos y Acceso condicional. Las instancias de estos objetos y configuraciones realizadas desde dentro de Intune existen en Entra. Como objetos Entra, los administradores de Entra pueden administrarlos con permisos suficientes concedidos por un rol Entra. De forma similar, Intune administradores con permisos suficientes para Intune pueden ver y administrar estos tipos de objetos creados en Entra.
Privileged Identity Management para Intune
Al usar Entra ID Privileged Identity Management (PIM), puede administrar cuándo un usuario puede usar los privilegios proporcionados por un rol de RBAC de Intune o el rol de administrador de Intune de Entra ID.
Intune admite dos métodos de elevación de roles. Hay diferencias de rendimiento y privilegios mínimos entre los dos métodos.
Método 1: cree una directiva Just-In-Time (JIT) con Microsoft Entra Privileged Identity Management (PIM) para el Microsoft Entra rol integrado de administrador de Intune y asígnele una cuenta de administrador.
Método 2: Use Privileged Identity Management (PIM) para grupos con una asignación de roles de RBAC Intune. Para obtener más información sobre el uso de PIM para grupos con Intune roles de RBAC, consulte Configuración de Microsoft Intune acceso de administrador Just-In-Time con Microsoft Entra PIM para grupos | Centro de comunidad de Microsoft
Cuando se usa la elevación de PIM para el rol de administrador de Intune desde Entra ID, la elevación suele producirse en 10 segundos. La elevación basada en grupos de PIM para los roles integrados o personalizados de Intune normalmente tarda hasta 15 minutos en aplicarse.
Acerca de Intune asignaciones de roles
Tanto Intune roles personalizados como integrados se asignan a grupos de usuarios. Un rol asignado se aplica a cada usuario del grupo y define:
- Qué usuarios están asignados al rol.
- Qué recursos pueden ver.
- Qué recursos pueden cambiar.
Cada grupo al que se asigna un rol de Intune debe incluir solo los usuarios autorizados para realizar las tareas administrativas de ese rol.
- Si un rol integrado con privilegios mínimos concede privilegios o permisos excesivos, considere la posibilidad de usar un rol personalizado para limitar el ámbito del acceso administrativo.
- Al planear asignaciones de roles, tenga en cuenta los resultados de un usuario con varias asignaciones de roles.
Para que un usuario tenga asignado un rol de Intune y tenga acceso para administrar Intune, no requiere una licencia de Intune siempre que su cuenta se haya creado en Entra después de junio de 2021. Las cuentas creadas antes de junio de 2021 requieren que se les asigne una licencia para usar Intune.
Para ver una asignación de roles existente, elija Intune>Roles> de administración> deinquilinos Todos los roles> elijan una asignación de roles>.> En la página Propiedades de asignaciones, puede editar:
Aspectos básicos: el nombre y la descripción de las asignaciones.
Miembros: los miembros son los grupos configurados en la página Grupos de Administración al crear una asignación de roles. Todos los usuarios de los grupos de seguridad de Azure enumerados tienen permiso para administrar los usuarios y dispositivos que aparecen en Ámbito (grupos).
Ámbito (grupos): use Ámbito (grupos) para definir los grupos de usuarios y dispositivos que un administrador con esta asignación de roles puede administrar. Los usuarios administrativos con esta asignación de roles pueden usar los permisos concedidos por el rol para administrar cada usuario o dispositivo dentro de los grupos de ámbito definidos de asignaciones de roles.
Sugerencia
Al configurar un grupo de ámbito, limite el acceso seleccionando solo los grupos de seguridad que incluyen el usuario y los dispositivos que debe administrar un administrador con esta asignación de roles. Para asegurarse de que los administradores con este rol no pueden dirigirse a todos los usuarios o todos los dispositivos, no seleccione Agregar todos los usuarios ni Agregar todos los dispositivos.
Etiquetas de ámbito: los usuarios administrativos a los que se asigna esta asignación de roles pueden ver los recursos que tienen las mismas etiquetas de ámbito.
Nota:
Las etiquetas de ámbito son valores de texto de forma libre que un administrador define y, a continuación, se agregan a una asignación de roles. La etiqueta de ámbito agregada en un rol controla la visibilidad del propio rol, mientras que la etiqueta de ámbito agregada en la asignación de roles limita la visibilidad de Intune objetos como directivas, aplicaciones o dispositivos solo a los administradores de esa asignación de roles porque la asignación de roles contiene una o varias etiquetas de ámbito coincidentes.
Múltiples asignaciones de roles
Si un usuario tiene varias asignaciones de roles, los permisos y las etiquetas de ámbito de estas asignaciones de roles se amplían a diferentes objetos, como se indica a continuación:
- Los permisos son incrementales en el caso de que dos o más roles concedan permisos al mismo objeto. Un usuario con permisos de lectura de un rol y lectura y escritura de otro rol, por ejemplo, tiene un permiso efectivo de lectura y escritura (suponiendo que las asignaciones de ambos roles tengan como destino las mismas etiquetas de ámbito).
- Los permisos de asignación y las etiquetas de ámbito solo se aplican a los objetos (como directivas o aplicaciones) del Ámbito (grupos) de la asignación de ese rol. Los permisos de asignación y las etiquetas de ámbito no se aplican a los objetos de otras asignaciones de roles, a menos que la otra asignación los conceda específicamente.
- Otros permisos (por ejemplo, los de creación, lectura, actualización y eliminación) y las etiquetas de ámbito se aplican a todos los objetos del mismo tipo (como todas las directivas o aplicaciones) en cualquiera de las asignaciones del usuario.
- Los permisos y las etiquetas de ámbito para objetos de tipos diferentes (como directivas o aplicaciones) no se aplican entre sí. Por ejemplo, un permiso de lectura para una directiva no proporciona un permiso de lectura a las aplicaciones de las asignaciones del usuario.
- Cuando no hay etiquetas de ámbito o algunas etiquetas de ámbito se asignan desde diferentes asignaciones, un usuario solo puede ver los dispositivos que forman parte de algunas etiquetas de ámbito y no pueden ver todos los dispositivos.
Supervisión de asignaciones de RBAC
Esta y las tres subsecciones están en curso
En el centro de administración de Intune, puede ir aRoles de administrador> de inquilinos y expandir Monitor para buscar varias vistas que puedan ayudarle a identificar los permisos que tienen los distintos usuarios dentro de su inquilino de Intune. Por ejemplo, en un entorno administrativo complejo, puede usar la vista de permisos de Administración para especificar una cuenta de modo que pueda ver su ámbito actual de privilegios administrativos.
Mis permisos
Al seleccionar este nodo, se muestra una lista combinada de las categorías y permisos de RBAC de Intune actuales que se conceden a la cuenta. Esta lista combinada incluye todos los permisos de todas las asignaciones de roles, pero no las asignaciones de roles que las proporcionan ni por qué pertenencia a grupos se les asigna.
Roles por permiso
Con esta vista, puede ver detalles sobre un Intune categoría y permiso de RBAC específicos, y a través de qué asignaciones de roles y a qué grupos está disponible esa combinación.
Para empezar, seleccione una categoría de permiso de Intune y, a continuación, un permiso específico de esa categoría. A continuación, el centro de administración muestra una lista de instancias que conducen a que se asigne ese permiso que incluye:
- Nombre para mostrar del rol : el nombre del rol RBAC integrado o personalizado que concede el permiso.
- Nombre para mostrar de asignación de roles: nombre de la asignación de roles que asigna el rol a grupos de usuarios.
- Nombre del grupo : el nombre del grupo que recibe esa asignación de roles.
permisos de Administración
Use el nodo de permisos Administración para identificar los permisos específicos que se conceden actualmente a una cuenta.
Para empezar, especifique una cuenta de usuario . Siempre que el usuario tenga Intune permisos asignados a su cuenta, Intune muestra la lista completa de esos permisos identificados por categoría y permiso.
