Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Att skydda åtkomsten till din organisation är ett viktigt säkerhetssteg. Den här artikeln beskriver grundläggande information om hur du använder Microsoft Intune rollbaserade åtkomstkontroller (RBAC), som är ett tillägg till Microsoft Entra ID RBAC-kontroller. Efterföljande artiklar kan hjälpa dig att distribuera Intune RBAC i din organisation.
Med Intune RBAC kan du bevilja detaljerade behörigheter till dina administratörer för att styra vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Genom att tilldela Intune RBAC-roller och följa principer för åtkomst med lägsta behörighet kan dina administratörer utföra sina tilldelade uppgifter på endast de användare och enheter som de ska ha behörighet att hantera.
RBAC-roller
Varje Intune RBAC-roll anger en uppsättning behörigheter som är tillgängliga för användare som tilldelats den rollen. Behörigheter består av en eller flera hanteringskategorier som Enhetskonfiguration eller Granskningsdata och uppsättningar med åtgärder som kan vidtas, till exempel Läsa, Skriva, Uppdatera och Ta bort. Tillsammans definierar de omfattningen av administrativ åtkomst och behörigheter inom Intune.
Intune innehåller både inbyggda och anpassade roller. Inbyggda roller är desamma i alla klienter och tillhandahålls för att hantera vanliga administrativa scenarier, medan anpassade roller som du skapar tillåter specifika behörigheter efter behov av en administratör. Dessutom innehåller flera Microsoft Entra roller behörigheter i Intune.
Om du vill visa en roll i Intune administrationscenter går du till Innehavaradministrationsroller>>Alla roller> och väljer en roll. Du kan sedan hantera den rollen via följande sidor:
- Egenskaper: Namn, beskrivning, behörigheter och omfångstaggar för rollen. Du kan också visa namn, beskrivning och behörigheter för inbyggda roller i den här dokumentationen med inbyggda rollbehörigheter.
- Tilldelningar: Välj en tilldelning för en roll om du vill visa information om den, inklusive de grupper och omfång som tilldelningen innehåller. En roll kan ha flera tilldelningar och en användare kan ta emot flera tilldelningar.
Obs!
I juni 2021 började Intune stödja olicensierade administratörer. Användarkonton som skapats efter den här ändringen kan administrera Intune utan en tilldelad licens. Konton som skapats före den här ändringen kräver fortfarande en licens för att hantera Intune.
Inbyggda roller
En Intune administratör med tillräcklig behörighet kan tilldela någon av de Intune rollerna till användargrupper. Inbyggda roller beviljar specifika behörigheter som krävs för att utföra administrativa uppgifter som överensstämmer med rollens syfte. Intune stöder inte redigeringar av beskrivning, typ eller behörigheter för en inbyggd roll.
- Application Manager: Hanterar mobila och hanterade program, kan läsa enhetsinformation och kan visa enhetskonfigurationsprofiler.
- Endpoint Privilege Manager: Hanterar principer för hantering av slutpunktsprivilegier i Intune-konsolen.
- Slutpunktsbehörighetsläsare: Slutpunktsprivilegier läsare kan visa principer för hantering av slutpunktsprivilegier i Intune-konsolen.
- Endpoint Security Manager: Hanterar säkerhets- och efterlevnadsfunktioner, till exempel säkerhetsbaslinjer, enhetsefterlevnad, villkorsstyrd åtkomst och Microsoft Defender för Endpoint.
- Supportansvarig: Utför fjärruppgifter på användare och enheter och kan tilldela program eller principer till användare eller enheter.
- Intune rolladministratör: Hanterar anpassade Intune roller och lägger till tilldelningar för inbyggda Intune roller. Det är den enda Intune rollen som kan tilldela behörigheter till administratörer.
- Princip- och profilhanterare: Hanterar efterlevnadsprinciper, konfigurationsprofiler, Apple-registrering, företagsenhetsidentifierare och säkerhetsbaslinjer.
- Skrivskyddad operatör: Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune.
- Skoladministratör: Hanterar Windows 10 enheter i Intune for Education.
När din klientorganisation innehåller en prenumeration på Windows 365 för att stödja molndatorer hittar du även följande Cloud PC-roller i Intune administrationscenter. De här rollerna är inte tillgängliga som standard och innehåller behörigheter i Intune för uppgifter som rör molndatorer. Mer information om dessa roller finns i Inbyggda roller för Cloud PC i Windows 365-dokumentationen.
- Cloud PC-administratör: En molndatoradministratör har läs- och skrivåtkomst till alla Cloud PC-funktioner som finns i området Molndator.
- Cloud PC-läsare: En Cloud PC-läsare har läsåtkomst till alla Cloud PC-funktioner i området Cloud PC.
Anpassade roller
Du kan skapa egna anpassade Intune roller för att endast ge administratörer de specifika behörigheter som krävs för deras uppgifter. Dessa anpassade roller kan innehålla alla Intune RBAC-behörigheter, vilket ger förfinad administratörsåtkomst och stöd för principen om minst privilegierad åtkomst i organisationen.
Microsoft Entra roller med Intune åtkomst
Intune RBAC-behörigheter är en delmängd av Microsoft Entra RBAC-behörigheter. Som en delmängd finns det vissa Entra-roller som innehåller behörigheter i Intune. De flesta Entra ID roller som har åtkomst till Intune betraktas som privilegierade roller. Användningen och tilldelningen av privilegierade roller bör begränsas och inte användas för dagliga administrativa uppgifter inom Intune.
Microsoft rekommenderar att du följer principen om lägsta behörighet genom att endast tilldela den lägsta behörighet som krävs för att en administratör ska kunna utföra sina uppgifter. För att stödja den här principen använder du Intune inbyggda RBAC-roller för dagliga Intune administrativa uppgifter och undviker att använda Entra-roller som har åtkomst till Intune.
I följande tabell identifieras de Entra-roller som har åtkomst till Intune och de Intune behörigheter som de innehåller.
| Microsoft Entra roll | Alla Intune data | Intune granskningsdata |
|---|---|---|
|
Läsa/skriva | Läsa/skriva |
|
för tjänstadministratör |
Läsa/skriva | Läsa/skriva |
|
villkorlig åtkomst |
Inga | Inga |
|
säkerhetsadministratör |
Skrivskyddad (fullständiga administrativa behörigheter för noden Endpoint Security) | Skrivskyddad |
|
|
Skrivskyddad | Skrivskyddad |
|
säkerhetsläsare |
Skrivskyddad | Skrivskyddad |
| Efterlevnadsadministratör | Ingen | Skrivskyddad |
| Administratör för efterlevnadsdata | Ingen | Skrivskyddad |
|
(den här rollen motsvarar rollen Intune supportansvarig) |
Skrivskyddad | Skrivskyddad |
| Ikonen supportadministratör (den här rollen motsvarar rollen Intune supportansvarig) |
Skrivskyddad | Skrivskyddad |
| Rapportläsare | Ingen | Skrivskyddad |
Förutom Entra-roller med behörighet inom Intune är följande tre områden i Intune direkta tillägg av Entra: Användare, Grupper och Villkorsstyrd åtkomst. Instanser av dessa objekt och konfigurationer som görs inifrån Intune finns i Entra. Som Entra-objekt kan de hanteras av Entra-administratörer med tillräcklig behörighet som beviljas av en Entra-roll. På samma sätt kan Intune administratörer med tillräcklig behörighet för Intune visa och hantera dessa objekttyper som skapas i Entra.
Privileged Identity Management för Intune
När du använder Entra ID Privileged Identity Management (PIM) kan du hantera när en användare kan använda de behörigheter som tillhandahålls av en Intune RBAC-roll eller rollen Intune-administratör från Entra ID.
Intune stöder två metoder för rollhöjning. Det finns prestanda och minsta möjliga behörighetsskillnader mellan de två metoderna.
Metod 1: Skapa en jit-princip (just-in-time) med Microsoft Entra Privileged Identity Management (PIM) för den Microsoft Entra inbyggda Intune-administratörsrollen och tilldela den ett administratörskonto.
Metod 2: Använd Privileged Identity Management (PIM) för grupper med en Intune RBAC-rolltilldelning. Mer information om hur du använder PIM för grupper med Intune RBAC-roller finns i: Konfigurera Microsoft Intune just-in-time-administratörsåtkomst med Microsoft Entra PIM för grupper | Microsoft Community Hub
När du använder PIM-höjning för rollen Intune administratör från Entra ID sker höjningen vanligtvis inom 10 sekunder. PIM-gruppersbaserad höjning för Intune inbyggda eller anpassade roller tar vanligtvis upp till 15 minuter att tillämpa.
Om Intune rolltilldelningar
Både Intune anpassade och inbyggda roller tilldelas till användargrupper. En tilldelad roll gäller för varje användare i gruppen och definierar:
- vilka användare som har tilldelats rollen
- vilka resurser de kan se
- vilka resurser de kan ändra.
Varje grupp som har tilldelats en Intune roll bör endast innehålla användare som har behörighet att utföra de administrativa uppgifterna för den rollen.
- Om en minst privilegierad inbyggd roll ger för höga privilegier eller behörigheter bör du överväga att använda en anpassad roll för att begränsa omfattningen av administrativ åtkomst.
- När du planerar rolltilldelningar bör du överväga resultatet av en användare med flera rolltilldelningar.
För att en användare ska kunna tilldelas en Intune roll och ha åtkomst till att administrera Intune behöver de ingen Intune licens så länge deras konto skapades i Entra efter juni 2021. Konton som skapats före juni 2021 måste tilldelas en licens för att använda Intune.
Om du vill visa en befintlig rolltilldelning väljer du Intune>Aktiverande administrationsroller>>Alla roller> väljer en roll >Tilldelningar> väljer en tilldelning. På sidan Egenskaper för tilldelningar kan du redigera:
Grunderna: Tilldelningens namn och beskrivning.
Medlemmar: Medlemmar är de grupper som konfigureras på sidan Admin Grupper när du skapar en rolltilldelning. Alla användare i de angivna Azure-säkerhetsgrupperna har behörighet att hantera de användare och enheter som anges i Omfång (grupper).
Omfång (grupper): Använd omfång (grupper) för att definiera de grupper av användare och enheter som en administratör med den här rolltilldelningen kan hantera. Administrativa användare med den här rolltilldelningen kan använda de behörigheter som tilldelas av rollen för att hantera varje användare eller enhet i rolltilldelningarnas definierade omfångsgrupper.
Tips
När du konfigurerar en omfångsgrupp begränsar du åtkomsten genom att bara välja de säkerhetsgrupper som inkluderar den användare och de enheter som en administratör med den här rolltilldelningen ska hantera. För att säkerställa att administratörer med den här rollen inte kan rikta in sig på alla användare eller alla enheter väljer du inte Lägg till alla användare eller Lägg till alla enheter.
Omfångstaggar: Administrativa användare som har tilldelats den här rolltilldelningen kan se de resurser som har samma omfångstaggar.
Obs!
Omfångstaggar är frihandsfigurstextvärden som en administratör definierar och sedan lägger till i en rolltilldelning. Omfångstaggen som läggs till i en roll styr synligheten för själva rollen, medan omfångstaggen som läggs till i rolltilldelning begränsar synligheten för Intune objekt som principer, appar eller enheter till endast administratörer i rolltilldelningen eftersom rolltilldelningen innehåller en eller flera matchande omfångstaggar.
Flera rolltilldelningar
Om en användare har flera rolltilldelningar, behörigheter och omfångstaggar utökas dessa rolltilldelningar till olika objekt enligt följande:
- Behörigheter är inkrementella om två eller flera roller beviljar behörigheter till samma objekt. En användare med läsbehörigheter från en roll och Läsa/skriva från en annan roll har till exempel en gällande behörighet för Läs/skriva (förutsatt att tilldelningarna för båda rollerna är inriktade på samma omfångstaggar).
- Tilldela behörigheter och omfångstaggar gäller endast för objekten (t.ex. principer eller appar) i den rollens tilldelningsomfång (grupper). Tilldela behörigheter och omfångstaggar gäller inte för objekt i andra rolltilldelningar om inte den andra tilldelningen uttryckligen beviljar dem.
- Andra behörigheter (till exempel Skapa, Läsa, Uppdatera, Ta bort) och omfångstaggar gäller för alla objekt av samma typ (till exempel alla principer eller alla appar) i någon av användarens tilldelningar.
- Behörigheter och omfångstaggar för objekt av olika typer (till exempel principer eller appar) gäller inte för varandra. En läsbehörighet för en princip ger till exempel inte läsbehörighet till appar i användarens tilldelningar.
- När det inte finns några omfångstaggar eller omfångstaggar har tilldelats från olika tilldelningar kan en användare bara se enheter som ingår i vissa omfångstaggar och inte kan se alla enheter.
Övervaka RBAC-tilldelningar
Detta och de tre underavsnitten pågår
I Intune administrationscenter kan du gå till Innehavaradministratörsroller> och expandera Övervaka för att hitta flera vyer som kan hjälpa dig att identifiera de behörigheter som olika användare har i din Intune klientorganisation. I en komplex administrativ miljö kan du till exempel använda vyn Admin behörigheter för att ange ett konto så att du kan se dess aktuella omfång för administrativa privilegier.
Mina behörigheter
När du väljer den här noden visas en kombinerad lista över aktuella Intune RBAC-kategorier och behörigheter som ditt konto beviljas. Den här kombinerade listan innehåller alla behörigheter från alla rolltilldelningar, men inte vilka rolltilldelningar som ger dem eller vilket gruppmedlemskap de har tilldelats.
Roller efter behörighet
Med den här vyn kan du se information om en specifik Intune RBAC-kategori och behörighet, och genom vilka rolltilldelningar och till vilka grupper som kombinationen görs tillgängliga.
Kom igång genom att välja en Intune behörighetskategori och sedan en specifik behörighet från den kategorin. Administrationscentret visar sedan en lista över instanser som leder till att behörigheten tilldelas som innehåller:
- Rollvisningsnamn – namnet på den inbyggda eller anpassade RBAC-rollen som ger behörigheten.
- Visningsnamn för rolltilldelning – namnet på rolltilldelningen som tilldelar rollen till grupper av användare.
- Gruppnamn – namnet på den grupp som tar emot rolltilldelningen.
Admin behörigheter
Använd noden Admin behörigheter för att identifiera de specifika behörigheter som ett konto för närvarande beviljas.
Börja med att ange ett användarkonto . Så länge användaren har Intune behörigheter tilldelade till sitt konto, visar Intune den fullständiga listan över de behörigheter som identifieras av Kategori och Behörighet.
