Control de acceso basado en roles (RBAC) con Microsoft Intune
El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Mediante la asignación de roles a los usuarios de Intune, puede limitar lo que pueden ver y cambiar. Cada rol tiene un conjunto de permisos que determinan a qué pueden acceder y qué pueden cambiar dentro de la organización los usuarios con dicho rol.
Para crear, editar o asignar roles, la cuenta debe tener uno de los siguientes permisos en Azure AD:
- Administrador global
- Administrador del servicio Intune (también conocido como Administrador de Intune)
Funciones
Un rol define el conjunto de permisos concedidos a los usuarios que están asignados a ese rol. Puede usar tanto los roles integrados como roles personalizados. Los roles integrados abarcan algunos escenarios comunes de Intune. También puede crear sus propios roles personalizados con el conjunto de permisos que exactamente necesita. Varios roles de Azure Active Directory tienen permisos para Intune. Para ver un rol en el centro de administración de Intune, vaya aRoles> de administración> deinquilinos Todos los roles> elijan un rol. Podrá administrar el rol en las siguientes páginas:
- Propiedades: el nombre, la descripción, los permisos y las etiquetas de ámbito para el rol.
- Asignaciones: una lista de asignaciones de roles que definen qué usuarios tienen acceso a qué usuarios o dispositivos. Un rol puede tener varias asignaciones y un usuario puede tener varias asignaciones.
Nota:
Para poder administrar Intune, debe tener asignada una licencia de Intune. Como alternativa, puede permitir que los usuarios sin licencia administren Intune estableciendo Allow access to unlicensed admins (Permitir el acceso a administradores sin licencia) en Yes (Sí).
Roles integrados
Puede asignar roles integrados a los grupos sin ninguna configuración adicional. No se puede eliminar o editar el nombre, la descripción, el tipo o los permisos de un rol integrado.
- Administrador de aplicaciones: permite administrar las aplicaciones móviles y administradas, leer la información del dispositivo y ver los perfiles de configuración del dispositivo.
- Administrador de privilegios de punto de conexión: administra las directivas de administración de privilegios de punto de conexión en la consola de Intune.
- Lector de privilegios de punto de conexión: los lectores de privilegios de punto de conexión pueden ver las directivas de administración de privilegios de punto de conexión en la consola de Intune.
- Administrador de puntos de conexión: administra las características de seguridad y cumplimiento, como las líneas de base de seguridad, el cumplimiento de dispositivos, el acceso condicional y Microsoft Defender para punto de conexión.
- Departamento de soporte técnico: realiza tareas remotas relacionadas con usuarios y dispositivos y puede asignar aplicaciones o directivas a usuarios o dispositivos.
- Administrador de roles de Intune: permite administrar los roles de Intune personalizados y agregar las asignaciones de roles de Intune integrados. Esta es la única función de Intune que permite asignar permisos a los administradores.
- Administrador de directivas y perfiles: administra la directiva de cumplimiento, los perfiles de configuración, la inscripción de Apple, los identificadores de dispositivos corporativos y las líneas base de seguridad.
- Administrador de mensajes de la organización: administra los mensajes de la organización en Intune consola.
- Operador de solo lectura: ve información sobre usuarios, dispositivos, inscripciones, configuraciones y aplicaciones. No puede realizar cambios en Intune.
- Administrador de escuela:administra dispositivos Windows 10 en Intune for Education.
- Administrador de EQUIPOS en la nube: un administrador de EQUIPOS en la nube tiene acceso de lectura y escritura a todas las características de PC en la nube ubicadas en la hoja PC en la nube.
- Lector de PC en la nube: un lector de EQUIPOS en la nube tiene acceso de lectura a todas las características de PC en la nube ubicadas en la hoja PC en la nube.
Roles personalizados
Puede crear sus propios roles con permisos personalizados. Para obtener más información sobre los roles personalizados, vea Creación de un rol personalizado.
Roles de Azure Active Directory con acceso a Intune
| Rol de Azure Active Directory | Todos los datos de Intune | Datos de auditoría de Intune |
|---|---|---|
| Administrador global | Lectura y escritura | Lectura y escritura |
| Administrador del servicio de Intune | Lectura y escritura | Lectura y escritura |
| Administrador de acceso condicional | Ninguno | Ninguno |
| Administrador de seguridad | Solo lectura (permisos administrativos completos para el nodo Seguridad de puntos de conexión) | Solo lectura |
| Operador de seguridad | Solo lectura | Solo lectura |
| Lector de seguridad | Solo lectura | Solo lectura |
| Administrador de cumplimiento | Ninguno | Solo lectura |
| Administrador de datos de cumplimiento | Ninguno | Solo lectura |
| Lector global (este rol es equivalente al rol Intune operador del departamento de soporte técnico) | Solo lectura | Solo lectura |
| Administrador del departamento de soporte técnico (este rol es equivalente al rol Intune operador del departamento de soporte técnico) | Solo lectura | Solo lectura |
| Lector de informes | Ninguno | Solo lectura |
Sugerencia
Intune también muestra tres extensiones de Azure AD: usuarios, grupos y acceso condicional que se controlan mediante RBAC en Azure AD. Además, el administrador de cuentas de usuario solo realiza actividades de usuario o grupo de AAD y no tiene permisos completos para realizar todas las actividades en Intune. Para más información, vea RBAC con Azure AD.
Asignaciones de roles
Una asignación de roles define:
- Qué usuarios están asignados al rol.
- Qué recursos pueden ver.
- Qué recursos pueden cambiar.
Puede asignar a los usuarios tanto roles personalizados como integrados. Para asignar un rol de Intune a un usuario, este debe tener una licencia de Intune. Para ver una asignación de roles, elija Intune>Roles> de administración> deinquilinos Todos los roles> elijan una >> asignación. En la página Propiedades, puede editar:
- Aspectos básicos: el nombre y la descripción de las asignaciones.
- Miembros: todos los usuarios de los grupos de seguridad de Azure mostrados tienen permiso para administrar los usuarios o los dispositivos que aparecen en Ámbito (grupos).
- Ámbito (grupos):los grupos de ámbitos son grupos de seguridad de Azure AD de usuarios o dispositivos, o ambos, para los que los administradores de esa asignación de roles están limitados a realizar operaciones. Por ejemplo, la implementación de una directiva o aplicación en un usuario o el bloqueo remoto de un dispositivo. Todos los usuarios y dispositivos de estos grupos de seguridad de Azure AD pueden ser administrados por los usuarios de Miembros.
- Ámbito (etiquetas): los usuarios de Miembros pueden ver los recursos que tienen las mismas etiquetas de ámbito.
Nota:
Las etiquetas de ámbito son valores de texto de forma libre que un administrador define y, a continuación, agrega a una Asignación de roles. La etiqueta de ámbito agregada a un rol controla la visibilidad del propio rol, mientras que la etiqueta de ámbito agregada en la asignación de roles limita la visibilidad de los objetos de Intune (como directivas y aplicaciones) o los dispositivos solo a los administradores de esa asignación de roles porque la asignación de roles contiene una o varias etiquetas de ámbito coincidentes.
Múltiples asignaciones de roles
Si un usuario tiene varias asignaciones de roles, los permisos y las etiquetas de ámbito de estas asignaciones de roles se amplían a diferentes objetos, como se indica a continuación:
- Los permisos de asignación y las etiquetas de ámbito solo se aplican a los objetos (como directivas o aplicaciones) del Ámbito (grupos) de la asignación de ese rol. Los permisos de asignación y las etiquetas de ámbito no se aplican a los objetos de otras asignaciones de roles, a menos que la otra asignación los conceda específicamente.
- Otros permisos (por ejemplo, los de creación, lectura, actualización y eliminación) y las etiquetas de ámbito se aplican a todos los objetos del mismo tipo (como todas las directivas o aplicaciones) en cualquiera de las asignaciones del usuario.
- Los permisos y las etiquetas de ámbito para objetos de tipos diferentes (como directivas o aplicaciones) no se aplican entre sí. Por ejemplo, un permiso de lectura para una directiva no proporciona un permiso de lectura a las aplicaciones de las asignaciones del usuario.
- En caso de que no haya etiquetas de ámbito y algunas etiquetas de ámbito asignadas desde diferentes asignaciones, el usuario solo podrá ver los dispositivos que forman parte de algunas etiquetas de ámbito y no podrán ver todos los dispositivos.