Controllo degli accessi in base al ruolo con Microsoft Intune.
Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. Assegnando ruoli agli utenti di Intune, è possibile limitare ciò che possono visualizzare e modificare. Ogni ruolo dispone di un set di autorizzazioni che determinano quali utenti con tale ruolo possono accedere e modificare all'interno dell'organizzazione.
Per creare, modificare o assegnare ruoli, l'account deve avere una delle autorizzazioni seguenti in Microsoft Entra ID:
- Amministratore globale
- Amministratore del servizio Intune (noto anche come amministratore di Intune)
Ruoli
Un ruolo definisce il set di autorizzazioni concesse agli utenti assegnati a tale ruolo. È possibile usare sia i ruoli predefiniti che i ruoli personalizzati. I ruoli predefiniti coprono alcuni scenari comuni di Intune. È possibile creare ruoli personalizzati con il set esatto di autorizzazioni necessarie. Diversi ruoli di Microsoft Entra hanno le autorizzazioni per Intune. Per visualizzare un ruolo nell'interfaccia di amministrazione di Intune, passare aRuoli> di amministrazione> tenantTutti i ruoli> scelgono un ruolo. È possibile gestire il ruolo nelle pagine seguenti:
- Proprietà: il nome, la descrizione, le autorizzazioni e i tag di ambito per il ruolo.
- Assegnazioni: elenco di assegnazioni di ruolo che definiscono quali utenti hanno accesso a quali utenti/dispositivi. Un ruolo può avere più assegnazioni e un utente può avere più assegnazioni.
Nota
Per poter amministrare Intune è necessario avere una licenza di Intune assegnata. In alternativa, è possibile consentire agli utenti senza licenza di amministrare Intune impostando Consenti l'accesso agli amministratori senza licenza su Sì.
Ruoli predefiniti
È possibile assegnare ruoli predefiniti ai gruppi senza ulteriori configurazioni. Non è possibile eliminare o modificare il nome, la descrizione, il tipo o le autorizzazioni di un ruolo predefinito.
- Gestione applicazioni: gestisce applicazioni mobili e gestite, può leggere le informazioni sul dispositivo e visualizzare i profili di configurazione del dispositivo.
- Endpoint Privilege Manager: gestisce i criteri di Endpoint Privilege Management nella console di Intune.
- Lettore di privilegi endpoint: i lettori di endpoint privilege possono visualizzare i criteri di Endpoint Privilege Management nella console di Intune.
- Endpoint Security Manager: gestisce le funzionalità di sicurezza e conformità, ad esempio baseline di sicurezza, conformità dei dispositivi, accesso condizionale e Microsoft Defender per endpoint.
- Operatore help desk: esegue attività remote su utenti e dispositivi e può assegnare applicazioni o criteri a utenti o dispositivi.
- Amministratore ruolo di Intune: gestisce i ruoli di Intune personalizzati e aggiunge assegnazioni per i ruoli predefiniti di Intune. È l'unico ruolo di Intune che può assegnare le autorizzazioni agli amministratori.
- Policy and Profile Manager: gestisce i criteri di conformità, i profili di configurazione, la registrazione Apple, gli identificatori dei dispositivi aziendali e le baseline di sicurezza.
- Gestione messaggi aziendali: gestisce i messaggi dell'organizzazione nella console di Intune.
- Operatore di sola lettura: visualizza informazioni su utente, dispositivo, registrazione, configurazione e applicazione. Non è possibile apportare modifiche a Intune.
- Amministratore dell'istituto di istruzione: gestisce i dispositivi Windows 10 in Intune per education.
- Amministratore di CLOUD PC: un amministratore di Cloud PC ha accesso in lettura e scrittura a tutte le funzionalità di Cloud PC disponibili nell'area Cloud PC.
- Lettore DI PC cloud: un lettore di PC cloud ha accesso in lettura a tutte le funzionalità di Cloud PC presenti nell'area Cloud PC.
Ruoli personalizzati
È possibile creare ruoli personalizzati con autorizzazioni personalizzate. Per altre informazioni sui ruoli personalizzati, vedere Creare un ruolo personalizzato.
Ruoli di Microsoft Entra con accesso a Intune
Ruolo Microsoft Entra | Tutti i dati di Intune | Dati di controllo di Intune |
---|---|---|
Amministratore globale | Lettura/Scrittura | Lettura/Scrittura |
Amministratore del servizio Intune | Lettura/Scrittura | Lettura/Scrittura |
Amministratore accesso condizionale | Nessuno | Nessuno |
Amministratore della sicurezza | Sola lettura (autorizzazioni amministrative complete per il nodo Endpoint Security) | Sola lettura |
Operatore della sicurezza | Sola lettura | Sola lettura |
Ruolo con autorizzazioni di lettura per la sicurezza | Sola lettura | Sola lettura |
Amministratore di conformità | Nessuno | Sola lettura |
Amministratore dati di conformità | Nessuno | Sola lettura |
Lettore globale (questo ruolo equivale al ruolo operatore help desk di Intune) | Sola lettura | Sola lettura |
Amministratore del supporto tecnico (questo ruolo equivale al ruolo operatore help desk di Intune) | Sola lettura | Sola lettura |
Amministratore che legge i report | Nessuno | Sola lettura |
Consiglio
Intune mostra anche tre estensioni di Microsoft Entra: utenti, gruppi e accesso condizionale, che vengono controllati usando il controllo degli accessi in base al ruolo di Microsoft Entra. Inoltre, l'amministratore dell'account utente esegue solo le attività utente/gruppo di Microsoft Entra e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con l'ID Microsoft Entra.
Assegnazioni di ruolo
Un'assegnazione di ruolo definisce:
- quali utenti sono assegnati al ruolo
- quali risorse possono vedere
- quali risorse possono cambiare.
È possibile assegnare ruoli personalizzati e predefiniti agli utenti. Per avere un ruolo in Intune, l'utente deve avere una licenza di Intune. Per visualizzare un'assegnazione di ruolo, scegliereRuoli>di amministrazione> tenant di Intune>Tutti i ruoli>scelgono> un ruolo > Assegnazioni scegliere un'assegnazione. Nella pagina Proprietà è possibile modificare:
- Nozioni di base: nome e descrizione delle assegnazioni.
- Membri: tutti gli utenti dei gruppi di sicurezza di Azure elencati hanno l'autorizzazione per gestire gli utenti/dispositivi elencati in Ambito (gruppi).
- Ambito (gruppi): i gruppi di ambito sono gruppi di sicurezza di Microsoft Entra di utenti o dispositivi o entrambi per i quali gli amministratori in tale assegnazione di ruolo sono limitati all'esecuzione di operazioni. Ad esempio, la distribuzione di un criterio o di un'applicazione a un utente o il blocco remoto di un dispositivo. Tutti gli utenti e i dispositivi in questi gruppi di sicurezza di Microsoft Entra possono essere gestiti dagli utenti in Membri.
- Ambito (tag):gli utenti nei membri possono visualizzare le risorse con gli stessi tag di ambito.
Nota
I tag di ambito sono valori di testo a mano libera definiti da un amministratore e quindi aggiunti a un'assegnazione di ruolo. Il tag di ambito aggiunto a un ruolo controlla la visibilità del ruolo stesso, mentre il tag di ambito aggiunto nell'assegnazione di ruolo limita la visibilità degli oggetti di Intune (ad esempio criteri e app) o dei dispositivi solo agli amministratori in tale assegnazione di ruolo perché l'assegnazione di ruolo contiene uno o più tag di ambito corrispondenti.
Più assegnazioni di ruolo
Se un utente dispone di più assegnazioni di ruolo, autorizzazioni e tag di ambito, tali assegnazioni di ruolo si estendono a oggetti diversi come indicato di seguito:
- Le autorizzazioni sono incrementali nel caso in cui due o più ruoli concedano autorizzazioni allo stesso oggetto. Un utente con autorizzazioni di lettura da un ruolo e lettura/scrittura da un altro ruolo, ad esempio, dispone di un'autorizzazione valida di lettura/scrittura (presupponendo che le assegnazioni per entrambi i ruoli siano destinate agli stessi tag di ambito).
- Assegnare autorizzazioni e tag di ambito si applicano solo agli oggetti (ad esempio criteri o app) nell'ambito di assegnazione di tale ruolo (gruppi). L'assegnazione di autorizzazioni e tag di ambito non si applica agli oggetti in altre assegnazioni di ruolo, a meno che l'altra assegnazione non le conceda in modo specifico.
- Altre autorizzazioni, ad esempio Create, Read, Update, Delete, e i tag di ambito si applicano a tutti gli oggetti dello stesso tipo (come tutti i criteri o tutte le app) in una qualsiasi assegnazione dell'utente.
- Le autorizzazioni e i tag di ambito per oggetti di tipi diversi,ad esempio criteri o app, non si applicano l'uno all'altro. Un'autorizzazione di lettura per un criterio, ad esempio, non fornisce un'autorizzazione di lettura per le app nelle assegnazioni dell'utente.
- Quando non sono presenti tag di ambito o alcuni tag di ambito vengono assegnati da assegnazioni diverse, un utente può visualizzare solo i dispositivi che fanno parte di alcuni tag di ambito e non possono visualizzare tutti i dispositivi.