Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het beveiligen van de toegang tot uw organisatie is een essentiële beveiligingsstap. In dit artikel worden basisinformatie geïntroduceerd voor het gebruik van Microsoft Intune op rollen gebaseerd toegangsbeheer (RBAC), een uitbreiding van Microsoft Entra ID RBAC-besturingselementen. Volgende artikelen kunnen u helpen bij het implementeren van Intune RBAC in uw organisatie.
Met Intune RBAC kunt u gedetailleerde machtigingen verlenen aan uw beheerders om te bepalen wie toegang heeft tot de resources van uw organisatie en wat ze met deze resources kunnen doen. Door Intune RBAC-rollen toe te wijzen en zich te houden aan de principes van minimale toegangsrechten, kunnen uw beheerders hun toegewezen taken alleen uitvoeren op gebruikers en apparaten die ze moeten kunnen beheren.
RBAC-rollen
Elke Intune RBAC-rol geeft een set machtigingen op die beschikbaar is voor gebruikers die aan die rol zijn toegewezen. Machtigingen bestaan uit een of meer beheercategorieën, zoals Apparaatconfiguratie of Auditgegevens, en sets acties die kunnen worden uitgevoerd, zoals Lezen, Schrijven, Bijwerken en Verwijderen. Samen definiëren ze het bereik van beheerderstoegang en machtigingen binnen Intune.
Intune bevat zowel ingebouwde als aangepaste rollen. Ingebouwde rollen zijn in alle tenants hetzelfde en zijn beschikbaar voor algemene beheerscenario's, terwijl aangepaste rollen die u maakt, specifieke machtigingen toestaan als een beheerder dat nodig heeft. Daarnaast bevatten verschillende Microsoft Entra rollen machtigingen binnen Intune.
Als u een rol wilt weergeven in het Intune-beheercentrum, gaat u naarTenantbeheerrollen>>Alle rollen> en selecteert u een rol. U kunt die rol vervolgens beheren via de volgende pagina's:
- Eigenschappen: de naam, beschrijving, machtigingen en bereiktags voor de rol. U kunt ook de naam, beschrijving en machtigingen van ingebouwde rollen bekijken in deze documentatie op Ingebouwde rolmachtigingen.
- Toewijzingen: selecteer een toewijzing voor een rol om details over de rol weer te geven, inclusief de groepen en bereiken die de toewijzing bevat. Een rol kan meerdere toewijzingen hebben en een gebruiker kan meerdere toewijzingen ontvangen.
Opmerking
In juni 2021 is Intune begonnen met het ondersteunen van beheerders zonder licentie. Gebruikersaccounts die na deze wijziging zijn gemaakt, kunnen Intune beheren zonder een toegewezen licentie. Accounts die vóór deze wijziging zijn gemaakt, hebben nog steeds een licentie nodig om Intune te beheren.
Ingebouwde rollen
Een Intune-beheerder met voldoende machtigingen kan een van de Intune rollen toewijzen aan groepen gebruikers. Ingebouwde rollen verlenen specifieke machtigingen die nodig zijn voor het uitvoeren van beheertaken die overeenkomen met het doel van de rol. Intune biedt geen ondersteuning voor het bewerken van de beschrijving, het type of de machtigingen van een ingebouwde rol.
- Toepassingsbeheer: beheert mobiele en beheerde toepassingen, kan apparaatgegevens lezen en kan apparaatconfiguratieprofielen weergeven.
- Endpoint Privilege Manager: beheert beleidsregels voor Endpoint Privilege Management in de Intune-console.
- Lezer voor eindpuntbevoegdheden: Lezers van eindpuntbevoegdheden kunnen Endpoint Privilege Management-beleid bekijken in de Intune-console.
- Endpoint Security Manager: beheert beveiligings- en nalevingsfuncties, zoals beveiligingsbasislijnen, apparaatcompatibiliteit, voorwaardelijke toegang en Microsoft Defender voor Eindpunt.
- Helpdeskmedewerker: voert externe taken uit op gebruikers en apparaten en kan toepassingen of beleidsregels toewijzen aan gebruikers of apparaten.
- Intune rolbeheerder: beheert aangepaste Intune rollen en voegt toewijzingen toe voor ingebouwde Intune rollen. Dit is de enige Intune rol die machtigingen kan toewijzen aan beheerders.
- Beleids- en profielbeheer: beheert nalevingsbeleid, configuratieprofielen, Apple-inschrijving, bedrijfsapparaat-id's en beveiligingsbasislijnen.
- Alleen-lezenoperator: hiermee worden gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergegeven. Kan geen wijzigingen aanbrengen in Intune.
- Schoolbeheerder: beheert Windows 10 apparaten in Intune voor onderwijs.
Wanneer uw tenant een abonnement op Windows 365 voor ondersteuning van cloud-pc's bevat, vindt u ook de volgende cloud-pc-rollen in het Intune-beheercentrum. Deze rollen zijn niet standaard beschikbaar en bevatten machtigingen in Intune voor taken die betrekking hebben op cloud-pc's. Zie Ingebouwde cloud-pc-rollen in de documentatie voor Windows 365 voor meer informatie over deze rollen.
- Cloud-pc-beheerder: een cloud-pc-beheerder heeft lees- en schrijftoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.
- Cloud-pc-lezer: Een cloud-pc-lezer heeft leestoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.
Aangepaste rollen
U kunt uw eigen aangepaste Intune-rollen maken om beheerders alleen de specifieke machtigingen te verlenen die nodig zijn voor hun taken. Deze aangepaste rollen kunnen elke Intune RBAC-machtiging bevatten, waardoor verfijnde beheerderstoegang en ondersteuning voor het principe van toegang met minimale bevoegdheden binnen de organisatie mogelijk zijn.
Microsoft Entra rollen met Intune toegang
Intune RBAC-machtigingen zijn een subset van Microsoft Entra RBAC-machtigingen. Als subset zijn er enkele Entra-rollen die machtigingen bevatten binnen Intune. De meeste Entra ID rollen die toegang hebben tot Intune worden beschouwd als bevoorrechte rollen. Het gebruik en de toewijzing van bevoorrechte rollen moet worden beperkt en niet worden gebruikt voor dagelijkse beheertaken binnen Intune.
Microsoft raadt aan het principe van minimale machtigingen te volgen door alleen de minimaal vereiste machtigingen toe te wijzen voor een beheerder om zijn taken uit te voeren. Ter ondersteuning van dit principe gebruikt u de ingebouwde RBAC-rollen van Intune voor dagelijkse Intune beheertaken en vermijdt u het gebruik van Entra-rollen die toegang hebben tot Intune.
In de volgende tabel worden de Entra-rollen geïdentificeerd die toegang hebben tot Intune en de Intune machtigingen die ze bevatten.
Microsoft Entra rol | Alle Intune gegevens | Intune auditgegevens |
---|---|---|
![]() |
Lezen/schrijven | Lezen/schrijven |
Intune Pictogram van ![]() |
Lezen/schrijven | Lezen/schrijven |
![]() |
Geen | Geen |
Pictogram van ![]() |
Alleen-lezen (volledige beheerdersmachtigingen voor Endpoint Security-knooppunt) | Alleen-lezen |
Pictogram beveiligingsoperator ![]() |
Alleen-lezen | Alleen-lezen |
![]() |
Alleen-lezen | Alleen-lezen |
Beheerder voor naleving | Geen | Alleen-lezen |
Beheerder van nalevingsgegevens | Geen | Alleen-lezen |
Pictogram van een bevoegd ![]() |
Alleen-lezen | Alleen-lezen |
Pictogram van ![]() |
Alleen-lezen | Alleen-lezen |
Rapportenlezer | Geen | Alleen-lezen |
Naast de Entra-rollen met machtigingen binnen Intune, zijn de volgende drie gebieden van Intune directe uitbreidingen van Entra: Gebruikers, Groepen en voorwaardelijke toegang. Exemplaren van deze objecten en configuraties die zijn gemaakt vanuit Intune bestaan in Entra. Als Entra-objecten kunnen ze worden beheerd door Entra-beheerders met voldoende machtigingen die zijn verleend door een Entra-rol. Op dezelfde manier kunnen Intune beheerders met voldoende machtigingen voor Intune deze objecttypen bekijken en beheren die zijn gemaakt in Entra.
Privileged Identity Management voor Intune
Wanneer u Entra ID Privileged Identity Management (PIM) gebruikt, kunt u beheren wanneer een gebruiker de bevoegdheden van een Intune RBAC-rol of de rol Intune Administrator van Entra ID kan gebruiken.
Intune ondersteunt twee methoden voor rolverhoging. Er zijn prestatie- en minimale bevoegdhedenverschillen tussen de twee methoden.
Methode 1: Maak een Just-In-Time-beleid (JIT) met Microsoft Entra Privileged Identity Management (PIM) voor de ingebouwde Microsoft Entra Intune beheerdersrol en wijs deze een beheerdersaccount toe.
Methode 2: Gebruik Privileged Identity Management (PIM) voor groepen met een Intune RBAC-roltoewijzing. Zie voor meer informatie over het gebruik van PIM voor groepen met Intune RBAC-rollen: Microsoft Intune Just-In-Time-beheerderstoegang configureren met Microsoft Entra PIM voor groepen | Microsoft Community Hub
Wanneer u PIM-verhoging gebruikt voor de rol Intune Administrator van Entra ID, vindt verhoging doorgaans plaats binnen 10 seconden. Het kan tot 15 minuten duren voordat de ingebouwde of aangepaste rollen van pim-groepen voor de ingebouwde of aangepaste rollen van Intune zijn toegepast.
Over Intune roltoewijzingen
Zowel Intune aangepaste als ingebouwde rollen worden toegewezen aan groepen gebruikers. Een toegewezen rol is van toepassing op elke gebruiker in de groep en definieert:
- welke gebruikers zijn toegewezen aan de rol
- welke resources ze kunnen zien
- welke resources ze kunnen wijzigen.
Elke groep waaraan een Intune rol is toegewezen, moet alleen gebruikers bevatten die gemachtigd zijn om de beheertaken voor die rol uit te voeren.
- Als een ingebouwde rol met de minste bevoegdheden overmatige bevoegdheden of machtigingen verleent, kunt u overwegen een aangepaste rol te gebruiken om het bereik van beheerderstoegang te beperken.
- Houd bij het plannen van roltoewijzingen rekening met de resultaten van een gebruiker met meerdere roltoewijzingen.
Voor een gebruiker die een Intune rol wil toewijzen en toegang heeft tot het beheren van Intune, heeft hij geen Intune licentie nodig zolang het account na juni 2021 in Entra is gemaakt. Accounts die vóór juni 2021 zijn gemaakt, moeten een licentie krijgen om Intune te gebruiken.
Als u een bestaande roltoewijzing wilt weergeven, kiest u Intune>TenantbeheerRollen>>Alle rollen> kiezen een rol >Toewijzingen> kies een toewijzing. Op de pagina Eigenschappen van toewijzingen kunt u het volgende bewerken:
Basisbeginselen: de naam en beschrijving van de toewijzingen.
Leden: Leden zijn de groepen die zijn geconfigureerd op de pagina Beheer Groepen bij het maken van een roltoewijzing. Alle gebruikers in de vermelde Azure-beveiligingsgroepen zijn gemachtigd om de gebruikers en apparaten te beheren die worden vermeld in Bereik (groepen).
Bereik (groepen): gebruik Bereik (groepen) om de groepen gebruikers en apparaten te definiëren die een beheerder met deze roltoewijzing kan beheren. Gebruikers met beheerdersrechten met deze roltoewijzing kunnen de machtigingen die door de rol worden verleend, gebruiken om elke gebruiker of apparaat binnen de gedefinieerde bereikgroepen voor roltoewijzingen te beheren.
Tip
Wanneer u een bereikgroep configureert, beperkt u de toegang door alleen de beveiligingsgroepen te selecteren die de gebruiker en apparaten bevatten die een beheerder met deze roltoewijzing moet beheren. Als u ervoor wilt zorgen dat beheerders met deze rol niet alle gebruikers of alle apparaten kunnen targeten, selecteert u niet Alle gebruikers toevoegen of Alle apparaten toevoegen.
Bereiktags: gebruikers met beheerdersrechten aan wie deze roltoewijzing is toegewezen, kunnen de resources met dezelfde bereiktags zien.
Opmerking
Bereiktags zijn vrije tekstwaarden die een beheerder definieert en vervolgens toevoegt aan een roltoewijzing. De bereiktag die is toegevoegd aan een rol, bepaalt de zichtbaarheid van de rol zelf, terwijl de bereiktag die is toegevoegd in roltoewijzing de zichtbaarheid van Intune objecten zoals beleid, apps of apparaten beperkt tot alleen beheerders in die roltoewijzing, omdat de roltoewijzing een of meer overeenkomende bereiktags bevat.
Meerdere roltoewijzingen
Als een gebruiker meerdere roltoewijzingen, machtigingen en bereiktags heeft, worden deze roltoewijzingen als volgt uitgebreid naar verschillende objecten:
- Machtigingen zijn incrementeel in het geval dat twee of meer rollen machtigingen verlenen aan hetzelfde object. Een gebruiker met leesmachtigingen van de ene rol en lezen/schrijven van een andere rol heeft bijvoorbeeld een effectieve machtiging lezen/schrijven (ervan uitgaande dat de toewijzingen voor beide rollen dezelfde bereiktags hebben).
- Toewijzingsmachtigingen en bereiktags zijn alleen van toepassing op de objecten (zoals beleidsregels of apps) in het toewijzingsbereik (groepen) van die rol. Toewijzingsmachtigingen en bereiktags zijn niet van toepassing op objecten in andere roltoewijzingen, tenzij de andere toewijzing deze specifiek verleent.
- Andere machtigingen (zoals Maken, Lezen, Bijwerken, Verwijderen) en bereiktags zijn van toepassing op alle objecten van hetzelfde type (zoals alle beleidsregels of alle apps) in een van de toewijzingen van de gebruiker.
- Machtigingen en bereiktags voor objecten van verschillende typen (zoals beleid of apps), zijn niet van toepassing op elkaar. Een leesmachtiging voor een beleid biedt bijvoorbeeld geen leesmachtiging voor apps in de toewijzingen van de gebruiker.
- Wanneer er geen bereiktags zijn of sommige bereiktags zijn toegewezen vanuit verschillende toewijzingen, kan een gebruiker alleen apparaten zien die deel uitmaken van bepaalde bereiktags en niet alle apparaten zien.
RBAC-toewijzingen bewaken
Dit en de drie subsecties worden uitgevoerd
In het Intune-beheercentrum kunt u naar Tenantbeheerdersrollen> gaan en Bewaken uitvouwen om verschillende weergaven te vinden die u kunnen helpen bij het identificeren van de machtigingen die verschillende gebruikers hebben in uw Intune tenant. In een complexe beheeromgeving kunt u bijvoorbeeld de weergave Beheer machtigingen gebruiken om een account op te geven, zodat u het huidige bereik van beheerdersbevoegdheden kunt zien.
Mijn machtigingen
Wanneer u dit knooppunt selecteert, ziet u een gecombineerde lijst met de huidige Intune RBAC-categorieën en machtigingen die aan uw account zijn verleend. Deze gecombineerde lijst bevat alle machtigingen van alle roltoewijzingen, maar niet welke roltoewijzingen deze bieden of door welk groepslidmaatschap ze zijn toegewezen.
Rollen per machtiging
In deze weergave ziet u details over een specifieke Intune RBAC-categorie en -machtiging, en via welke roltoewijzingen en aan welke groepen die combinatie beschikbaar wordt gesteld.
Als u wilt beginnen, selecteert u een Intune machtigingscategorie en vervolgens een specifieke machtiging uit die categorie. Het beheercentrum geeft vervolgens een lijst weer met exemplaren die ertoe leiden dat die machtiging wordt toegewezen, waaronder:
- Weergavenaam van rol : de naam van de ingebouwde of aangepaste RBAC-rol die de machtiging verleent.
- Weergavenaam roltoewijzing : de naam van de roltoewijzing waarmee de rol wordt toegewezen aan groepen gebruikers.
- Groepsnaam : de naam van de groep die die roltoewijzing ontvangt.
machtigingen voor Beheer
Gebruik het knooppunt Beheer machtigingen om de specifieke machtigingen te identificeren die momenteel aan een account worden verleend.
Geef eerst een gebruikersaccount op. Zolang de gebruiker Intune machtigingen heeft toegewezen aan het account, geeft Intune de volledige lijst met die machtigingen weer die zijn geïdentificeerd door Categorie en Machtiging.