Controllo degli accessi in base al ruolo con Microsoft Intune.

Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. Assegnando ruoli agli utenti Intune, è possibile limitare ciò che possono visualizzare e modificare. Ogni ruolo dispone di un set di autorizzazioni che determinano quali utenti con tale ruolo possono accedere e modificare all'interno dell'organizzazione.

Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:

  • Amministratore globale
  • amministratore del servizio Intune (noto anche come amministratore Intune)

Ruoli

Un ruolo definisce il set di autorizzazioni concesse agli utenti assegnati a tale ruolo. È possibile usare sia i ruoli predefiniti che i ruoli personalizzati. I ruoli predefiniti coprono alcuni scenari di Intune comuni. È possibile creare ruoli personalizzati con il set esatto di autorizzazioni necessarie. Diversi ruoli di Azure Active Directory hanno le autorizzazioni per Intune. Per visualizzare un ruolo, scegliereRuoli> diamministrazione> tenant di Endpoint Manager>Tutti i ruoli> scelgono un ruolo. È possibile gestire il ruolo nelle pagine seguenti:

  • Proprietà: il nome, la descrizione, le autorizzazioni e i tag di ambito per il ruolo.
  • Assegnazioni: elenco di assegnazioni di ruolo che definiscono quali utenti hanno accesso a quali utenti/dispositivi. Un ruolo può avere più assegnazioni e un utente può avere più assegnazioni.

Nota

Per poter amministrare Intune è necessario avere una licenza di Intune assegnata. In alternativa, è possibile consentire agli utenti senza licenza di amministrare Intune impostando Consenti l'accesso agli amministratori senza licenza su Sì.

Ruoli predefiniti

È possibile assegnare ruoli predefiniti ai gruppi senza ulteriori configurazioni. Non è possibile eliminare o modificare il nome, la descrizione, il tipo o le autorizzazioni di un ruolo predefinito.

  • Gestione applicazioni: gestisce applicazioni mobili e gestite, può leggere le informazioni sul dispositivo e visualizzare i profili di configurazione del dispositivo.
  • Endpoint Security Manager: gestisce le funzionalità di sicurezza e conformità, ad esempio baseline di sicurezza, conformità dei dispositivi, accesso condizionale e Microsoft Defender per endpoint.
  • Operatore di sola lettura: visualizza informazioni su utente, dispositivo, registrazione, configurazione e applicazione. Non è possibile apportare modifiche a Intune.
  • Amministratore dell'istituto di istruzione: gestisce Windows 10 dispositivi in Intune per l'istruzione.
  • Policy and Profile Manager: gestisce i criteri di conformità, i profili di configurazione, la registrazione Apple, gli identificatori dei dispositivi aziendali e le baseline di sicurezza.
  • Operatore help desk: esegue attività remote su utenti e dispositivi e può assegnare applicazioni o criteri a utenti o dispositivi.
  • Intune Amministratore ruolo: gestisce ruoli di Intune personalizzati e aggiunge assegnazioni per i ruoli di Intune predefiniti. È l'unico ruolo Intune che può assegnare autorizzazioni agli amministratori.
  • Amministratore di CLOUD PC: un amministratore di Cloud PC ha accesso in lettura e scrittura a tutte le funzionalità di Cloud PC disponibili nel pannello Cloud PC.
  • Lettore di PC cloud: un lettore di PC cloud ha accesso in lettura a tutte le funzionalità di Cloud PC disponibili nel pannello Cloud PC.

Ruoli personalizzati

È possibile creare ruoli personalizzati con autorizzazioni personalizzate. Per altre informazioni sui ruoli personalizzati, vedere Creare un ruolo personalizzato.

Ruoli di Azure Active Directory con accesso Intune

Ruolo di Azure Active Directory Tutti i dati Intune Intune i dati di controllo
Amministratore globale Lettura/Scrittura Lettura/Scrittura
Amministratore del servizio Intune Lettura/Scrittura Lettura/Scrittura
Amministratore accesso condizionale Nessuno Nessuno
Amministratore della sicurezza Sola lettura (autorizzazioni amministrative complete per il nodo Endpoint Security) Sola lettura
Operatore della sicurezza Sola lettura Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza Sola lettura Sola lettura
Amministratore di conformità Nessuno Sola lettura
Amministratore dati di conformità Nessuno Sola lettura
Lettore globale (questo ruolo equivale al ruolo Intune operatore help desk) Sola lettura Sola lettura
Lettore report Sola lettura Nessuno

Consiglio

Intune mostra anche tre estensioni di Azure AD: utenti, gruppi e accesso condizionale, che vengono controllati usando il controllo degli accessi in base al ruolo di Azure AD. Inoltre, l'amministratore dell'account utente esegue solo le attività utente/gruppo di AAD e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Azure AD.

Assegnazioni di ruolo

Un'assegnazione di ruolo definisce:

  • quali utenti sono assegnati al ruolo
  • quali risorse possono vedere
  • quali risorse possono cambiare.

È possibile assegnare ruoli personalizzati e predefiniti agli utenti. Per avere un ruolo Intune, l'utente deve avere una licenza di Intune. Per visualizzare un'assegnazione di ruolo,scegliere Intune>Ruoli di amministrazione>> tenantTutti i ruoli>scelgono> un ruolo > Assegnazioni scegliere un'assegnazione. Nella pagina Proprietà è possibile modificare:

  • Nozioni di base: nome e descrizione delle assegnazioni.
  • Membri: tutti gli utenti dei gruppi di sicurezza di Azure elencati hanno l'autorizzazione per gestire gli utenti/dispositivi elencati in Ambito (gruppi).
  • Ambito (gruppi): i gruppi di ambito sono gruppi di sicurezza di Azure AD di utenti o dispositivi o entrambi per i quali gli amministratori in tale assegnazione di ruolo sono limitati all'esecuzione di operazioni. Ad esempio, la distribuzione di un criterio o di un'applicazione a un utente o il blocco remoto di un dispositivo. Tutti gli utenti e i dispositivi in questi gruppi di sicurezza di Azure AD possono essere gestiti dagli utenti in Membri.
  • Ambito (tag):gli utenti nei membri possono visualizzare le risorse con gli stessi tag di ambito.

Nota

I tag di ambito sono valori di testo a mano libera definiti da un amministratore e quindi aggiunti a un'assegnazione di ruolo. Il tag di ambito aggiunto a un ruolo controlla la visibilità del ruolo stesso, mentre il tag di ambito aggiunto nell'assegnazione di ruolo limita la visibilità degli oggetti Intune (ad esempio criteri e app) o dei dispositivi solo agli amministratori in tale assegnazione di ruolo perché l'assegnazione di ruolo contiene uno o più tag di ambito corrispondenti.

Più assegnazioni di ruolo

Se un utente dispone di più assegnazioni di ruolo, autorizzazioni e tag di ambito, tali assegnazioni di ruolo si estendono a oggetti diversi come indicato di seguito:

  • Assegnare autorizzazioni e tag di ambito si applicano solo agli oggetti (ad esempio criteri o app) nell'ambito di assegnazione di tale ruolo (gruppi). L'assegnazione di autorizzazioni e tag di ambito non si applica agli oggetti in altre assegnazioni di ruolo, a meno che l'altra assegnazione non le conceda in modo specifico.
  • Altre autorizzazioni, ad esempio Create, Read, Update, Delete, e i tag di ambito si applicano a tutti gli oggetti dello stesso tipo (come tutti i criteri o tutte le app) in una qualsiasi assegnazione dell'utente.
  • Le autorizzazioni e i tag di ambito per oggetti di tipi diversi,ad esempio criteri o app, non si applicano l'uno all'altro. Un'autorizzazione di lettura per un criterio, ad esempio, non fornisce un'autorizzazione di lettura per le app nelle assegnazioni dell'utente.

Passaggi successivi