Delen via


Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune

Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. Door rollen toe te wijzen aan uw Intune-gebruikers, kunt u beperken wat ze kunnen zien en wijzigen. Elke rol heeft een set machtigingen die bepalen welke gebruikers met die rol toegang hebben tot en kunnen wijzigen binnen uw organisatie.

Als u rollen wilt maken, bewerken of toewijzen, moet uw account een van de volgende machtigingen in Microsoft Entra ID hebben:

  • Hoofdbeheerder
  • Intune-servicebeheerder (ook wel Intune-beheerder genoemd)

Rollen

Een rol definieert de set machtigingen die wordt verleend aan gebruikers die aan die rol zijn toegewezen. U kunt zowel de ingebouwde als de aangepaste rollen gebruiken. Ingebouwde rollen omvatten enkele veelvoorkomende Intune-scenario's. U kunt uw eigen aangepaste rollen maken met de exacte set machtigingen die u nodig hebt. Verschillende Microsoft Entra-rollen hebben machtigingen voor Intune. Als u een rol wilt zien in het Intune-beheercentrum, gaat u naar Tenantbeheerrollen>>Alle rollen> kiezen een rol. U kunt de rol beheren op de volgende pagina's:

  • Eigenschappen: de naam, beschrijving, machtigingen en bereiktags voor de rol.
  • Toewijzingen: een lijst met roltoewijzingen die definiĆ«ren welke gebruikers toegang hebben tot welke gebruikers/apparaten. Een rol kan meerdere toewijzingen hebben en een gebruiker kan zich in meerdere toewijzingen bevinden.

Opmerking

Als u Intune wilt beheren, moet u een Intune-licentie hebben toegewezen. U kunt ook toestaan dat niet-gelicentieerde gebruikers Intune beheren door Toegang verlenen aan niet-gelicentieerde beheerders in te stellen op Ja.

Ingebouwde rollen

U kunt ingebouwde rollen toewijzen aan groepen zonder verdere configuratie. U kunt de naam, beschrijving, type of machtigingen van een ingebouwde rol niet verwijderen of bewerken.

  • Toepassingsbeheer: beheert mobiele en beheerde toepassingen, kan apparaatgegevens lezen en kan apparaatconfiguratieprofielen weergeven.
  • Endpoint Privilege Manager: beheert beleidsregels voor Endpoint Privilege Management in de Intune-console.
  • Lezer voor eindpuntbevoegdheden: Lezers van eindpuntbevoegdheden kunnen Endpoint Privilege Management-beleid bekijken in de Intune-console.
  • Endpoint Security Manager: beheert beveiligings- en nalevingsfuncties, zoals beveiligingsbasislijnen, apparaatcompatibiliteit, voorwaardelijke toegang en Microsoft Defender voor Eindpunt.
  • Helpdeskmedewerker: voert externe taken uit op gebruikers en apparaten en kan toepassingen of beleidsregels toewijzen aan gebruikers of apparaten.
  • Intune-rolbeheerder: beheert aangepaste Intune-rollen en voegt toewijzingen toe voor ingebouwde Intune-rollen. Dit is de enige Intune-rol die machtigingen kan toewijzen aan beheerders.
  • Beleids- en profielbeheer: beheert nalevingsbeleid, configuratieprofielen, Apple-inschrijving, bedrijfsapparaat-id's en beveiligingsbasislijnen.
  • Organisatieberichtenbeheer: hiermee beheert u organisatieberichten in de Intune-console.
  • Alleen-lezenoperator: hiermee worden gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergegeven. Kan geen wijzigingen aanbrengen in Intune.
  • Schoolbeheerder: beheert Windows 10-apparaten in Intune for Education.
  • Cloud-pc-beheerder: een cloud-pc-beheerder heeft lees- en schrijftoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.
  • Cloud-pc-lezer: Een cloud-pc-lezer heeft leestoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.

Aangepaste rollen

U kunt uw eigen rollen maken met aangepaste machtigingen. Zie Een aangepaste rol maken voor meer informatie over aangepaste rollen.

Microsoft Entra-rollen met Intune-toegang

Microsoft Entra-rol Alle Intune-gegevens Intune-controlegegevens
Hoofdbeheerder Lezen/schrijven Lezen/schrijven
Intune-servicebeheerder Lezen/schrijven Lezen/schrijven
Beheerder van voorwaardelijke toegang Geen Geen
Beveiligingsbeheerder Alleen-lezen (volledige beheerdersmachtigingen voor Endpoint Security-knooppunt) Alleen-lezen
Beveiligingsoperator Alleen-lezen Alleen-lezen
Beveiligingslezer Alleen-lezen Alleen-lezen
Beheerder voor naleving Geen Alleen-lezen
Beheerder van nalevingsgegevens Geen Alleen-lezen
Globale lezer (deze rol is gelijk aan de rol Intune-helpdeskmedewerker ) Alleen-lezen Alleen-lezen
Helpdeskbeheerder (deze rol is gelijk aan de rol Intune-helpdeskmedewerker ) Alleen-lezen Alleen-lezen
Rapportenlezer Geen Alleen-lezen

Tip

Intune toont ook drie Microsoft Entra-extensies: Gebruikers, Groepen en voorwaardelijke toegang, die worden beheerd met Microsoft Entra RBAC. Bovendien voert de beheerder van het gebruikersaccount alleen Activiteiten van Microsoft Entra-gebruikers/groepen uit en beschikt niet over volledige machtigingen om alle activiteiten in Intune uit te voeren. Zie RBAC met Microsoft Entra ID voor meer informatie.

Roltoewijzingen

Een roltoewijzing definieert:

  • welke gebruikers zijn toegewezen aan de rol
  • welke resources ze kunnen zien
  • welke resources ze kunnen wijzigen.

U kunt zowel aangepaste als ingebouwde rollen toewijzen aan uw gebruikers. Als u een Intune-rol wilt toewijzen, moet de gebruiker een Intune-licentie hebben. Als u een roltoewijzing wilt zien, kiest uIntune-tenantbeheerRollen>>>Alle rollen> kiezen een rolToewijzingen>> kies een toewijzing. Op de pagina Eigenschappen kunt u het volgende bewerken:

  • Basisbeginselen: de naam en beschrijving van de toewijzingen.
  • Leden: alle gebruikers in de vermelde Azure-beveiligingsgroepen zijn gemachtigd om de gebruikers/apparaten te beheren die worden vermeld in Bereik (groepen).
  • Bereik (groepen): Bereikgroepen zijn Microsoft Entra-beveiligingsgroepen van gebruikers of apparaten of beide waarvoor beheerders in die roltoewijzing zijn beperkt tot het uitvoeren van bewerkingen op. Bijvoorbeeld de implementatie van een beleid of toepassing voor een gebruiker of het op afstand vergrendelen van een apparaat. Alle gebruikers en apparaten in deze Microsoft Entra-beveiligingsgroepen kunnen worden beheerd door de gebruikers in Leden.
  • Bereik (tags): gebruikers in Leden kunnen de resources zien die dezelfde bereiktags hebben.

Opmerking

Bereiktags zijn vrije tekstwaarden die een beheerder definieert en vervolgens toevoegt aan een roltoewijzing. De bereiktag die is toegevoegd aan een rol, bepaalt de zichtbaarheid van de rol zelf, terwijl de bereiktag die is toegevoegd aan roltoewijzing de zichtbaarheid van Intune-objecten (zoals beleid en apps) of apparaten beperkt tot alleen beheerders in die roltoewijzing, omdat de roltoewijzing een of meer overeenkomende bereiktags bevat.

Meerdere roltoewijzingen

Als een gebruiker meerdere roltoewijzingen, machtigingen en bereiktags heeft, worden deze roltoewijzingen als volgt uitgebreid naar verschillende objecten:

  • Machtigingen zijn incrementeel in het geval dat twee of meer rollen machtigingen verlenen aan hetzelfde object. Een gebruiker met leesmachtigingen van de ene rol en lezen/schrijven van een andere rol heeft bijvoorbeeld een effectieve machtiging lezen/schrijven (ervan uitgaande dat de toewijzingen voor beide rollen dezelfde bereiktags hebben).
  • Toewijzingsmachtigingen en bereiktags zijn alleen van toepassing op de objecten (zoals beleidsregels of apps) in het toewijzingsbereik (groepen) van die rol. Toewijzingsmachtigingen en bereiktags zijn niet van toepassing op objecten in andere roltoewijzingen, tenzij de andere toewijzing deze specifiek verleent.
  • Andere machtigingen (zoals Maken, Lezen, Bijwerken, Verwijderen) en bereiktags zijn van toepassing op alle objecten van hetzelfde type (zoals alle beleidsregels of alle apps) in een van de toewijzingen van de gebruiker.
  • Machtigingen en bereiktags voor objecten van verschillende typen (zoals beleid of apps), zijn niet van toepassing op elkaar. Een leesmachtiging voor een beleid biedt bijvoorbeeld geen leesmachtiging voor apps in de toewijzingen van de gebruiker.
  • Wanneer er geen bereiktags zijn of sommige bereiktags zijn toegewezen vanuit verschillende toewijzingen, kan een gebruiker alleen apparaten zien die deel uitmaken van bepaalde bereiktags en niet alle apparaten zien.

Volgende stappen