Amministrazione ruoli per Intune nel interfaccia di amministrazione di Microsoft 365
L'abbonamento a Microsoft 365 o Office 365 include un set di ruoli di amministratore che è possibile assegnare a qualsiasi utente dell'organizzazione usando l’interfaccia di amministrazione di Microsoft 365. Ogni ruolo di amministratore è associato a funzioni aziendali comuni e assegna le autorizzazioni per eseguire determinate attività nelle interfacce di amministrazione. Questi ruoli sono solo un sottoinsieme di tutti i ruoli disponibili nel centro di amministrazione di Intune, che include altri ruoli specifici per Intune stesso.
Prima di aggiungere ruoli Intune specifici, i ruoli devono essere assegnati in Azure AD. Per visualizzare questi ruoli, accedere all'interfaccia di amministrazione> Microsoft Intune Ruoli > di amministrazione > del tenant Tutti i ruoli >**. È possibile gestire il ruolo nelle pagine seguenti:
- Proprietà: nome, descrizione, autorizzazioni e tag di ambito per il ruolo.
- Assegnazioni: elenco di assegnazioni di ruolo che definiscono quali utenti hanno accesso a quali utenti o dispositivi. Un ruolo può avere più assegnazioni e un utente può avere più assegnazioni.
Informazioni sul controllo degli accessi in base ai ruoli in Intune
Il controllo degli accessi basato sui ruoli (RBAC) consente di gestire chi ha accesso alle risorse dell'organizzazione e cosa può fare con tali risorse. Assegnando ruoli agli utenti di Intune, è possibile limitare ciò che possono visualizzare e modificare. Esistono ruoli integrati e personalizzati e ogni ruolo ha una serie di autorizzazioni che determinano ciò a cui gli utenti con quel ruolo possono accedere o modificare all'interno dell'organizzazione. Le seguenti informazioni riguardano entrambi i tipi di ruoli in Intune.
Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:
- Amministratore globale
- Amminstratore di servizi Intune (noto anche come Amministratore Intune, ma da non confondere con il ruolo integrato di Amministratore di ruoli Intune).
Ulteriori informazioni sui ruoli di Azure Active Directory e RBAC.
Ruoli integrati in Microsoft Intune
I ruoli integrati utilizzano regole predefinite basate su scenari comuni di Intune. In alternativa, i ruoli personalizzati si basano su regole rigorosamente definite dall'utente.
Ecco i ruoli predefiniti che è possibile assegnare:
| Ruolo di amministratore | A chi è opportuno assegnare questo ruolo? |
|---|---|
| Gestione applicazioni | Assegnare il ruolo gestione applicazioni agli utenti che gestiscono il ciclo di vita dell'applicazione per le app per dispositivi mobili, configurano le app gestite da criteri e visualizzano le informazioni e i profili di configurazione del dispositivo. |
| Operatore help desk | Assegnare il ruolo Operatore help desk agli utenti che assegnano app e criteri agli utenti e ai dispositivi. |
| Amministratore ruolo Intune | Assegnare il ruolo Amministratore ruolo Intune agli utenti che possono assegnare le autorizzazioni di Intune ad altri amministratori e gestire i ruoli personalizzati e predefiniti di Intune. |
| Gestione criteri e profili | Assegnare il ruolo Gestione criteri e profili agli utenti che gestiscono criteri di conformità, profili di configurazione e iscrizioni Apple. |
| Operatore di sola lettura | Assegnare il ruolo Operatore di sola lettura agli utenti che possono solo visualizzare utenti, dispositivi, dettagli di iscrizione e configurazioni. |
| Amministratore dell'istituto di istruzione | Assegnare il ruolo Amministratore dell'istituto di istruzione agli utenti per fornire accesso completo per la gestione di app, configurazioni e dispositivi Windows 10-11 e iOS in Intune per Education. |
| Amministratore di Cloud PC | Un amministratore di Cloud PC ha accesso in lettura e scrittura a tutte le funzioni di Cloud PC situate all'interno del blade di Cloud PC. |
| Lettore PC cloud | Un lettore di Cloud PC ha accesso in lettura a tutte le funzioni di Cloud PC situate all'interno del blade di Cloud PC. |
Microsoft Intune ruoli personalizzati
È possibile creare ruoli personalizzati in Intune che includono tutte le autorizzazioni necessarie per una specifica funzione lavorativa. Ad esempio, se un gruppo del reparto IT gestisce applicazioni, criteri e profili di configurazione, è possibile aggiungere tutte queste autorizzazioni in un ruolo personalizzato. Dopo aver creato un ruolo personalizzato, è possibile assegnarlo a tutti gli utenti che necessitano di tali autorizzazioni.
Come per i ruoli integrati, per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:
- Amministratore globale
- Amminstratore di servizi Intune (noto anche come Amministratore Intune, ma da non confondere con il ruolo integrato di Amministratore di ruoli Intune).
Per creare un ruolo personalizzato:
Nell'interfaccia di amministrazione Microsoft Intune scegliere Ruoli > di amministrazione > tenant Tutti i ruoli > Crea.
Nella pagina Informazioni di base immettere un nome e una descrizione per il nuovo ruolo, quindi scegliere Avanti.
Nella pagina Autorizzazioni scegliere le autorizzazioni da usare con questo ruolo.
Nella pagina Ambito (tag) scegliere i tag per questo ruolo. Quando questo ruolo viene assegnato a un utente, tale utente può accedere alle risorse che hanno anche questi tag. Scegliere Avanti.
Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo ruolo viene visualizzato nell'elenco dei ruoli Intune - Tutti i ruoli.
Per copiare un ruolo:
Nell'interfaccia di amministrazione Microsoft Intune scegliere Ruoli > di amministrazione > tenant Tutti i ruoli > selezionare la casella di controllo per un ruolo nell'elenco >Duplica.
Nella pagina Informazioni di base immettere un nome. Assicurarsi di usare un nome univoco.
Tutte le autorizzazioni e i tag di ambito del ruolo originale saranno già selezionati. Successivamente, è possibile modificare il nome, la descrizione, le autorizzazioni e l'ambito (tag) del ruolo duplicato.
Dopo aver apportato tutte le modifiche desiderate, scegliere Avanti per passare alla pagina Rivedi e crea. Selezionare Crea.
Nota
Per poter amministrare Intune è necessario avere una licenza di Intune assegnata. In alternativa, è possibile consentire agli utenti senza licenza di amministrare Intune impostando Consenti l'accesso agli amministratori senza licenza su Sì.
Come assegnare un ruolo
È possibile assegnare un ruolo predefinito o personalizzato a un utente di Intune. Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:
- Amministratore globale
- Amminstratore di servizi Intune (noto anche come Amministratore Intune, ma da non confondere con il ruolo integrato di Amministratore di ruoli Intune).
Nell'interfaccia di amministrazione Microsoft Intune scegliere Ruoli > di amministrazione > tenant Tutti i ruoli.
Scegliere il ruolo predefinito da assegnare > a Assegnazioni > + Assegna.
Nella pagina Informazioni di base immettere un nome di assegnazione e una descrizione facoltativa dell'assegnazione, quindi scegliere Avanti.
Nella pagina Gruppi di amministratori selezionare il gruppo che contiene l'utente a cui si vuole dare l'autorizzazione. Scegliere Avanti.
Nella pagina Ambito (gruppi) scegliere un gruppo contenente gli utenti e i dispositivi che il membro precedente sarà autorizzato a gestire. È anche possibile scegliere tutti gli utenti o tutti i dispositivi. Scegliere Avanti.
Nota
Tutti gli utenti e Tutti i dispositivi sono gruppi virtuali Intune e non gruppi di sicurezza Azure Active Directory (Azure AD). Di conseguenza, ai fini dell'assegnazione dell'Ambito (Gruppi), non è possibile utilizzarli come genitori di gruppi di sicurezza Azure AD. Se sono necessari sia Tutti gli utenti e Tutti i dispositivi che specifici gruppi di sicurezza Azure AD per le assegnazioni di Ambito (Gruppi), è necessario aggiungerli separatamente con assegnazioni distinte. Altrimenti, anche se l'assegnazione dell'Ambito (Gruppi) per un ruolo è impostata su Tutti gli utenti, l'amministratore di questo ruolo non avrà accesso a specifici gruppi di utenti di Azure AD. Per i gruppi di sicurezza Azure AD è supportata la nidificazione.
Nella pagina Ambito (tag) scegliere i tag in cui verrà applicata questa assegnazione di ruolo. Scegliere Avanti.
Nella pagina Revisione + Creazione, al termine, scegliere Crea. La nuova assegnazione viene visualizzata nell'elenco delle assegnazioni.
Nota
Quando si creano gruppi di ambito e si assegna un tag di ambito, si può puntare solo ai gruppi elencati nell'ambito (gruppi) dell'assegnazione del ruolo.
Amministrazione con delega per partner Microsoft
Se si collabora con un partner Microsoft, è possibile assegnargli un ruolo di amministratore. Il partner a sua volta può assegnare un ruolo di amministratore ad altri utenti della propria azienda o di quella con cui collabora. È possibile che lo facciano, ad esempio, se stanno configurando e gestendo l'organizzazione online.
Un partner può assegnare questi ruoli:
Amministrazione completa, con privilegi equivalenti a un amministratore globale, ad eccezione della gestione dell'autenticazione a più fattori tramite il Centro per i partner.
Amministrazione limitata: questo ruolo dispone di privilegi equivalenti a quelli del ruolo di amministratore di supporto tecnico.
Prima che il partner possa assegnare questi ruoli agli utenti, è necessario aggiungerlo come amministratore con delega al proprio account. Il processo viene avviato da un partner autorizzato, che invia un messaggio di posta elettronica nel quale richiede l'autorizzazione ad agire come amministratore con delega. Per istruzioni, vedere Autorizzare o rimuovere relazioni con i partner.
Contenuto correlato
Informazioni sui ruoli di amministratore di Microsoft 365 (articolo)
Assegnare ruoli di amministratore (articolo)
Report sulle attività nell'interfaccia di amministrazione di Microsoft 365 (aticolo)