Condividi tramite


Controllo degli accessi in base al ruolo con Microsoft Intune.

Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. Assegnando ruoli agli utenti Intune, è possibile limitare ciò che possono visualizzare e modificare. Ogni ruolo dispone di un set di autorizzazioni che determinano quali utenti con tale ruolo possono accedere e modificare all'interno dell'organizzazione.

Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle autorizzazioni seguenti in Microsoft Entra ID:

  • Amministratore globale
  • amministratore del servizio Intune (noto anche come amministratore Intune)

Ruoli

Un ruolo definisce il set di autorizzazioni concesse agli utenti assegnati a tale ruolo. È possibile usare sia i ruoli predefiniti che i ruoli personalizzati. I ruoli predefiniti coprono alcuni scenari di Intune comuni. È possibile creare ruoli personalizzati con il set esatto di autorizzazioni necessarie. Diversi ruoli Microsoft Entra hanno le autorizzazioni per Intune. Per visualizzare un ruolo nell'interfaccia di amministrazione Intune, passare aRuoli>di amministrazione> tenantTutti i ruoli> scelgono un ruolo. È possibile gestire il ruolo nelle pagine seguenti:

  • Proprietà: il nome, la descrizione, le autorizzazioni e i tag di ambito per il ruolo.
  • Assegnazioni: elenco di assegnazioni di ruolo che definiscono quali utenti hanno accesso a quali utenti/dispositivi. Un ruolo può avere più assegnazioni e un utente può avere più assegnazioni.

Nota

Per poter amministrare Intune è necessario avere una licenza di Intune assegnata. In alternativa, è possibile consentire agli utenti senza licenza di amministrare Intune impostando Consenti l'accesso agli amministratori senza licenza su Sì.

Ruoli predefiniti

È possibile assegnare ruoli predefiniti ai gruppi senza ulteriori configurazioni. Non è possibile eliminare o modificare il nome, la descrizione, il tipo o le autorizzazioni di un ruolo predefinito.

  • Gestione applicazioni: gestisce applicazioni mobili e gestite, può leggere le informazioni sul dispositivo e visualizzare i profili di configurazione del dispositivo.
  • Endpoint Privilege Manager: gestisce i criteri di Endpoint Privilege Management nella console di Intune.
  • Lettore di privilegi endpoint: i lettori di privilegi endpoint possono visualizzare i criteri di Endpoint Privilege Management nella console di Intune.
  • Endpoint Security Manager: gestisce le funzionalità di sicurezza e conformità, ad esempio baseline di sicurezza, conformità del dispositivo, accesso condizionale e Microsoft Defender per endpoint.
  • Operatore help desk: esegue attività remote su utenti e dispositivi e può assegnare applicazioni o criteri a utenti o dispositivi.
  • Intune Amministratore ruolo: gestisce ruoli di Intune personalizzati e aggiunge assegnazioni per i ruoli di Intune predefiniti. È l'unico ruolo Intune che può assegnare autorizzazioni agli amministratori.
  • Policy and Profile Manager: gestisce i criteri di conformità, i profili di configurazione, la registrazione Apple, gli identificatori dei dispositivi aziendali e le baseline di sicurezza.
  • Gestione messaggi dell'organizzazione: gestisce i messaggi dell'organizzazione nella console di Intune.
  • Operatore di sola lettura: visualizza informazioni su utente, dispositivo, registrazione, configurazione e applicazione. Non è possibile apportare modifiche a Intune.
  • Amministratore dell'istituto di istruzione: gestisce Windows 10 dispositivi in Intune per l'istruzione.
  • Amministratore di CLOUD PC: un amministratore di Cloud PC ha accesso in lettura e scrittura a tutte le funzionalità di Cloud PC disponibili nell'area Cloud PC.
  • Lettore DI PC cloud: un lettore di PC cloud ha accesso in lettura a tutte le funzionalità di Cloud PC presenti nell'area Cloud PC.

Ruoli personalizzati

È possibile creare ruoli personalizzati con autorizzazioni personalizzate. Per altre informazioni sui ruoli personalizzati, vedere Creare un ruolo personalizzato.

Microsoft Entra ruoli con accesso Intune

ruolo Microsoft Entra Tutti i dati Intune Intune i dati di controllo
Amministratore globale Lettura/Scrittura Lettura/Scrittura
Amministratore del servizio Intune Lettura/Scrittura Lettura/Scrittura
Amministratore accesso condizionale Nessuno Nessuno
Amministratore della sicurezza Sola lettura (autorizzazioni amministrative complete per il nodo Endpoint Security) Sola lettura
Operatore della sicurezza Sola lettura Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza Sola lettura Sola lettura
Amministratore di conformità Nessuno Sola lettura
Amministratore dati di conformità Nessuno Sola lettura
Lettore globale (questo ruolo equivale al ruolo Intune operatore help desk) Sola lettura Sola lettura
Amministratore del supporto tecnico (questo ruolo equivale al ruolo Intune operatore help desk) Sola lettura Sola lettura
Amministratore che legge i report Nessuno Sola lettura

Consiglio

Intune mostra anche tre estensioni Microsoft Entra: Utenti, Gruppi e Accesso condizionale, che vengono controllate tramite Microsoft Entra controllo degli accessi in base al ruolo. Inoltre, l'amministratore dell'account utente esegue solo Microsoft Entra attività utente/gruppo e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Entra ID.

Assegnazioni di ruolo

Un'assegnazione di ruolo definisce:

  • quali utenti sono assegnati al ruolo
  • quali risorse possono vedere
  • quali risorse possono cambiare.

È possibile assegnare ruoli personalizzati e predefiniti agli utenti. Per avere un ruolo Intune, l'utente deve avere una licenza di Intune. Per visualizzare un'assegnazione di ruolo,scegliere Intune>Ruoli di amministrazione>> tenantTutti i ruoli>scelgono> un ruolo > Assegnazioni scegliere un'assegnazione. Nella pagina Proprietà è possibile modificare:

  • Nozioni di base: nome e descrizione delle assegnazioni.
  • Membri: tutti gli utenti dei gruppi di sicurezza di Azure elencati hanno l'autorizzazione per gestire gli utenti/dispositivi elencati in Ambito (Gruppi).
  • Ambito (Gruppi):i Gruppi di ambito sono Microsoft Entra gruppi di sicurezza di utenti o dispositivi o entrambi per i quali gli amministratori in tale assegnazione di ruolo sono limitati all'esecuzione di operazioni. Ad esempio, la distribuzione di un criterio o di un'applicazione a un utente o il blocco remoto di un dispositivo. Tutti gli utenti e i dispositivi in questi gruppi di sicurezza Microsoft Entra possono essere gestiti dagli utenti in Membri.
  • Ambito (tag):gli utenti nei membri possono visualizzare le risorse con gli stessi tag di ambito.

Nota

I tag di ambito sono valori di testo a mano libera definiti da un amministratore e quindi aggiunti a un'assegnazione di ruolo. Il tag di ambito aggiunto a un ruolo controlla la visibilità del ruolo stesso, mentre il tag di ambito aggiunto nell'assegnazione di ruolo limita la visibilità degli oggetti Intune (ad esempio criteri e app) o dei dispositivi solo agli amministratori in tale assegnazione di ruolo perché l'assegnazione di ruolo contiene uno o più tag di ambito corrispondenti.

Più assegnazioni di ruolo

Se un utente dispone di più assegnazioni di ruolo, autorizzazioni e tag di ambito, tali assegnazioni di ruolo si estendono a oggetti diversi come indicato di seguito:

  • Le autorizzazioni sono incrementali nel caso in cui due o più ruoli concedano autorizzazioni allo stesso oggetto. Un utente con autorizzazioni di lettura da un ruolo e lettura/scrittura da un altro ruolo, ad esempio, dispone di un'autorizzazione valida di lettura/scrittura (presupponendo che le assegnazioni per entrambi i ruoli siano destinate agli stessi tag di ambito).
  • Assegnare autorizzazioni e tag di ambito si applicano solo agli oggetti (ad esempio criteri o app) nell'ambito di assegnazione del ruolo (Gruppi). L'assegnazione di autorizzazioni e tag di ambito non si applica agli oggetti in altre assegnazioni di ruolo, a meno che l'altra assegnazione non le conceda in modo specifico.
  • Altre autorizzazioni, ad esempio Create, Read, Update, Delete, e i tag di ambito si applicano a tutti gli oggetti dello stesso tipo (come tutti i criteri o tutte le app) in una qualsiasi assegnazione dell'utente.
  • Le autorizzazioni e i tag di ambito per oggetti di tipi diversi,ad esempio criteri o app, non si applicano l'uno all'altro. Un'autorizzazione di lettura per un criterio, ad esempio, non fornisce un'autorizzazione di lettura per le app nelle assegnazioni dell'utente.
  • Quando non sono presenti tag di ambito o alcuni tag di ambito vengono assegnati da assegnazioni diverse, un utente può visualizzare solo i dispositivi che fanno parte di alcuni tag di ambito e non possono visualizzare tutti i dispositivi.

Passaggi successivi