Compartir vía


Control de acceso basado en roles (RBAC) con Microsoft Intune

El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Mediante la asignación de roles a los usuarios de Intune, puede limitar lo que pueden ver y cambiar. Cada rol tiene un conjunto de permisos que determinan a qué pueden acceder y qué pueden cambiar dentro de la organización los usuarios con dicho rol.

Para crear, editar o asignar roles, la cuenta debe tener uno de los siguientes permisos en Microsoft Entra ID:

  • Administrador global
  • Administrador del servicio Intune (también conocido como Administrador de Intune)

Funciones

Un rol define el conjunto de permisos concedidos a los usuarios que están asignados a ese rol. Puede usar tanto los roles integrados como roles personalizados. Los roles integrados abarcan algunos escenarios comunes de Intune. También puede crear sus propios roles personalizados con el conjunto de permisos que exactamente necesita. Varios roles de Microsoft Entra tienen permisos para Intune. Para ver un rol en el Centro de administración de Intune, vaya aRoles> de administración> deinquilinos Todos los roles> elijan un rol. Podrá administrar el rol en las siguientes páginas:

  • Propiedades: el nombre, la descripción, los permisos y las etiquetas de ámbito para el rol.
  • Asignaciones: una lista de asignaciones de roles que definen qué usuarios tienen acceso a qué usuarios o dispositivos. Un rol puede tener varias asignaciones y un usuario puede tener varias asignaciones.

Nota:

Para poder administrar Intune, debe tener asignada una licencia de Intune. Como alternativa, puede permitir que los usuarios sin licencia administren Intune estableciendo Allow access to unlicensed admins (Permitir el acceso a administradores sin licencia) en Yes (Sí).

Roles integrados

Puede asignar roles integrados a los grupos sin ninguna configuración adicional. No se puede eliminar o editar el nombre, la descripción, el tipo o los permisos de un rol integrado.

  • Administrador de aplicaciones: permite administrar las aplicaciones móviles y administradas, leer la información del dispositivo y ver los perfiles de configuración del dispositivo.
  • Administrador de privilegios de punto de conexión: administra las directivas de administración de privilegios de punto de conexión en la consola de Intune.
  • Lector de privilegios de punto de conexión: los lectores de privilegios de punto de conexión pueden ver las directivas de administración de privilegios de punto de conexión en la consola de Intune.
  • Administrador de puntos de conexión: administra las características de seguridad y cumplimiento, como las líneas de base de seguridad, el cumplimiento de dispositivos, el acceso condicional y Microsoft Defender para punto de conexión.
  • Departamento de soporte técnico: realiza tareas remotas relacionadas con usuarios y dispositivos y puede asignar aplicaciones o directivas a usuarios o dispositivos.
  • Administrador de roles de Intune: permite administrar los roles de Intune personalizados y agregar las asignaciones de roles de Intune integrados. Esta es la única función de Intune que permite asignar permisos a los administradores.
  • Administrador de directivas y perfiles: administra la directiva de cumplimiento, los perfiles de configuración, la inscripción de Apple, los identificadores de dispositivos corporativos y las líneas base de seguridad.
  • Administrador de mensajes de la organización: administra los mensajes de la organización en la consola de Intune.
  • Operador de solo lectura: ve información sobre usuarios, dispositivos, inscripciones, configuraciones y aplicaciones. No puede realizar cambios en Intune.
  • Administrador de escuela:administra dispositivos Windows 10 en Intune for Education.
  • Administrador de PC en la nube: un administrador de PC en la nube tiene acceso de lectura y escritura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.
  • Lector de PC en la nube: un lector de PC en la nube tiene acceso de lectura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.

Roles personalizados

Puede crear sus propios roles con permisos personalizados. Para obtener más información sobre los roles personalizados, vea Creación de un rol personalizado.

Roles de Microsoft Entra con acceso a Intune

Rol De entrada de Microsoft Todos los datos de Intune Datos de auditoría de Intune
Administrador global Lectura y escritura Lectura y escritura
Administrador del servicio de Intune Lectura y escritura Lectura y escritura
Administrador de acceso condicional Ninguno Ninguno
Administrador de seguridad Solo lectura (permisos administrativos completos para el nodo Seguridad de puntos de conexión) Solo lectura
Operador de seguridad Solo lectura Solo lectura
Lector de seguridad Solo lectura Solo lectura
Administrador de cumplimiento Ninguno Solo lectura
Administrador de datos de cumplimiento Ninguno Solo lectura
Lector global (este rol es equivalente al rol operador del departamento de soporte técnico de Intune) Solo lectura Solo lectura
Administrador del departamento de soporte técnico (este rol es equivalente al rol operador del departamento de soporte técnico de Intune) Solo lectura Solo lectura
Lector de informes Ninguno Solo lectura

Sugerencia

Intune también muestra tres extensiones de Microsoft Entra: usuarios, grupos y acceso condicional, que se controlan mediante RBAC de Microsoft Entra. Además, el administrador de cuentas de usuario solo realiza actividades de grupo o usuario de Microsoft Entra y no tiene permisos completos para realizar todas las actividades en Intune. Para obtener más información, consulte RBAC con el identificador de Microsoft Entra.

Asignaciones de roles

Una asignación de roles define:

  • Qué usuarios están asignados al rol.
  • Qué recursos pueden ver.
  • Qué recursos pueden cambiar.

Puede asignar a los usuarios tanto roles personalizados como integrados. Para asignar un rol de Intune a un usuario, este debe tener una licencia de Intune. Para ver una asignación de roles, elijaRoles> deadministración> de inquilinos> de Intune>Todos los roles> elijan una asignación de roles>. En la página Propiedades , puede editar:

  • Aspectos básicos: el nombre y la descripción de las asignaciones.
  • Miembros: todos los usuarios de los grupos de seguridad de Azure mostrados tienen permiso para administrar los usuarios o los dispositivos que aparecen en Ámbito (grupos).
  • Ámbito (grupos): los grupos de ámbito son grupos de seguridad de Microsoft Entra de usuarios o dispositivos o ambos para los que los administradores de esa asignación de roles se limitan a realizar operaciones. Por ejemplo, la implementación de una directiva o aplicación en un usuario o el bloqueo remoto de un dispositivo. Los usuarios de Miembros pueden administrar todos los usuarios y dispositivos de estos grupos de seguridad de Microsoft Entra.
  • Ámbito (etiquetas): los usuarios de Miembros pueden ver los recursos que tienen las mismas etiquetas de ámbito.

Nota:

Las etiquetas de ámbito son valores de texto de forma libre que un administrador define y, a continuación, agrega a una Asignación de roles. La etiqueta de ámbito agregada a un rol controla la visibilidad del propio rol, mientras que la etiqueta de ámbito agregada en la asignación de roles limita la visibilidad de los objetos de Intune (como directivas y aplicaciones) o los dispositivos solo a los administradores de esa asignación de roles porque la asignación de roles contiene una o varias etiquetas de ámbito coincidentes.

Múltiples asignaciones de roles

Si un usuario tiene varias asignaciones de roles, los permisos y las etiquetas de ámbito de estas asignaciones de roles se amplían a diferentes objetos, como se indica a continuación:

  • Los permisos son incrementales en el caso de que dos o más roles concedan permisos al mismo objeto. Un usuario con permisos de lectura de un rol y lectura y escritura de otro rol, por ejemplo, tiene un permiso efectivo de lectura y escritura (suponiendo que las asignaciones de ambos roles tengan como destino las mismas etiquetas de ámbito).
  • Los permisos de asignación y las etiquetas de ámbito solo se aplican a los objetos (como directivas o aplicaciones) del Ámbito (grupos) de la asignación de ese rol. Los permisos de asignación y las etiquetas de ámbito no se aplican a los objetos de otras asignaciones de roles, a menos que la otra asignación los conceda específicamente.
  • Otros permisos (por ejemplo, los de creación, lectura, actualización y eliminación) y las etiquetas de ámbito se aplican a todos los objetos del mismo tipo (como todas las directivas o aplicaciones) en cualquiera de las asignaciones del usuario.
  • Los permisos y las etiquetas de ámbito para objetos de tipos diferentes (como directivas o aplicaciones) no se aplican entre sí. Por ejemplo, un permiso de lectura para una directiva no proporciona un permiso de lectura a las aplicaciones de las asignaciones del usuario.
  • Cuando no hay etiquetas de ámbito o algunas etiquetas de ámbito se asignan desde diferentes asignaciones, un usuario solo puede ver los dispositivos que forman parte de algunas etiquetas de ámbito y no pueden ver todos los dispositivos.

Siguientes pasos