Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune

Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Genom att tilldela roller till dina Intune-användare kan du begränsa vad de kan se och ändra. Varje roll har en uppsättning behörigheter som avgör vilka användare med den rollen som kan komma åt och ändra i din organisation.

Om du vill skapa, redigera eller tilldela roller måste ditt konto ha någon av följande behörigheter i Microsoft Entra-ID:

  • Global administratör
  • Intune-tjänstadministratör (kallas även Intune-administratör)

Roller

En roll definierar den uppsättning behörigheter som beviljas till användare som tilldelats den rollen. Du kan använda både de inbyggda och anpassade rollerna. Inbyggda roller omfattar några vanliga Intune-scenarier. Du kan skapa egna anpassade roller med exakt den uppsättning behörigheter som du behöver. Flera Microsoft Entra roller har behörighet till Intune. Om du vill se en roll i Administrationscenter för Intune går du till Innehavaradministrationsroller>>Alla roller> väljer en roll. Du kan hantera rollen på följande sidor:

  • Egenskaper: Namn, beskrivning, behörigheter och omfångstaggar för rollen.
  • Tilldelningar: En lista över rolltilldelningar som definierar vilka användare som har åtkomst till vilka användare/enheter. En roll kan ha flera tilldelningar och en användare kan vara i flera tilldelningar.

Obs!

För att kunna administrera Intune måste du ha tilldelats en Intune licens. Du kan också tillåta att icke-licensierade användare administrerar Intune genom att ange Tillåt åtkomst till olicensierade administratörer till Ja.

Inbyggda roller

Du kan tilldela inbyggda roller till grupper utan ytterligare konfiguration. Du kan inte ta bort eller redigera namn, beskrivning, typ eller behörigheter för en inbyggd roll.

  • Application Manager: Hanterar mobila och hanterade program, kan läsa enhetsinformation och kan visa enhetskonfigurationsprofiler.
  • Endpoint Privilege Manager: Hanterar principer för hantering av slutpunktsprivilegier i Intune-konsolen.
  • Slutpunktsbehörighetsläsare: Slutpunktsprivilegier Läsare kan visa principer för hantering av slutpunktsprivilegier i Intune-konsolen.
  • Endpoint Security Manager: Hanterar säkerhets- och efterlevnadsfunktioner, till exempel säkerhetsbaslinjer, enhetsefterlevnad, villkorlig åtkomst och Microsoft Defender för Endpoint.
  • Supportansvarig: Utför fjärruppgifter på användare och enheter och kan tilldela program eller principer till användare eller enheter.
  • Intune-rolladministratör: Hanterar anpassade Intune-roller och lägger till tilldelningar för inbyggda Intune-roller. Det är den enda Intune-rollen som kan tilldela behörigheter till administratörer.
  • Princip- och profilhanterare: Hanterar efterlevnadsprinciper, konfigurationsprofiler, Apple-registrering, företagsenhetsidentifierare och säkerhetsbaslinjer.
  • Chef för organisationsmeddelanden: Hanterar organisationsmeddelanden i Intune-konsolen.
  • Skrivskyddad operatör: Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune.
  • Skoladministratör: Hanterar Windows 10 enheter i Intune for Education.
  • Cloud PC-administratör: En molndatoradministratör har läs- och skrivåtkomst till alla Cloud PC-funktioner som finns på bladet Cloud PC.
  • Cloud PC-läsare: En Cloud PC-läsare har läsbehörighet till alla Cloud PC-funktioner som finns på bladet Cloud PC.

Anpassade roller

Du kan skapa egna roller med anpassade behörigheter. Mer information om anpassade roller finns i Skapa en anpassad roll.

Microsoft Entra roller med Intune-åtkomst

Microsoft Entra roll Alla Intune-data Intune-granskningsdata
Global administratör Läsa/skriva Läsa/skriva
Intune-tjänstadministratör Läsa/skriva Läsa/skriva
Administratör för villkorsstyrd åtkomst Inga Inga
Säkerhetsadministratör Skrivskyddad (fullständiga administrativa behörigheter för noden Endpoint Security) Skrivskyddad
Säkerhetsoperatör Skrivskyddad Skrivskyddad
Säkerhetsläsare Skrivskyddad Skrivskyddad
Efterlevnadsadministratör Inga Skrivskyddad
Administratör för efterlevnadsdata Inga Skrivskyddad
Global läsare (den här rollen motsvarar rollen Supportansvarig för Intune) Skrivskyddad Skrivskyddad
Supportadministratör (den här rollen motsvarar rollen Supportansvarig för Intune) Skrivskyddad Skrivskyddad
Rapportläsare Inga Skrivskyddad

Tips

Intune visar också tre Microsoft Entra tillägg: Användare, grupper och villkorsstyrd åtkomst, som styrs med hjälp av Microsoft Entra RBAC. Dessutom utför användarkontoadministratören endast Microsoft Entra användar-/gruppaktiviteter och har inte fullständig behörighet att utföra alla aktiviteter i Intune. Mer information finns i RBAC med Microsoft Entra-ID.

Rolltilldelningar

En rolltilldelning definierar:

  • vilka användare som har tilldelats rollen
  • vilka resurser de kan se
  • vilka resurser de kan ändra.

Du kan tilldela både anpassade och inbyggda roller till dina användare. För att tilldelas en Intune-roll måste användaren ha en Intune-licens. Om du vill se en rolltilldelning väljer du Intune>Innehavaradministrationsroller>>Alla roller> väljer en roll >Tilldelningar> väljer en tilldelning. På sidan Egenskaper kan du redigera:

  • Grunderna: Tilldelningens namn och beskrivning.
  • Medlemmar: Alla användare i de angivna Azure-säkerhetsgrupperna har behörighet att hantera de användare/enheter som anges i Omfång (grupper).
  • Omfång (grupper): Omfångsgrupper är Microsoft Entra säkerhetsgrupper med användare eller enheter eller båda som administratörer i rolltilldelningen är begränsade till att utföra åtgärder på. Till exempel distribution av en princip eller ett program till en användare eller fjärrlåsning av en enhet. Alla användare och enheter i dessa Microsoft Entra säkerhetsgrupper kan hanteras av användarna i Medlemmar.
  • Omfång (taggar): Användare i medlemmar kan se de resurser som har samma omfångstaggar.

Obs!

Omfångstaggar är frihandsfigurstextvärden som en administratör definierar och sedan lägger till i en rolltilldelning. Omfångstaggen som läggs till i en roll styr synligheten för själva rollen, medan omfångstaggen som läggs till i rolltilldelning begränsar synligheten för Intune-objekt (till exempel principer och appar) eller enheter till endast administratörer i rolltilldelningen eftersom rolltilldelningen innehåller en eller flera matchande omfångstaggar.

Flera rolltilldelningar

Om en användare har flera rolltilldelningar, behörigheter och omfångstaggar utökas dessa rolltilldelningar till olika objekt enligt följande:

  • Behörigheter är inkrementella om två eller flera roller beviljar behörigheter till samma objekt. En användare med läsbehörigheter från en roll och Läsa/skriva från en annan roll har till exempel en gällande behörighet för Läs/skriva (förutsatt att tilldelningarna för båda rollerna är inriktade på samma omfångstaggar).
  • Tilldela behörigheter och omfångstaggar gäller endast för objekten (t.ex. principer eller appar) i den rollens tilldelningsomfång (grupper). Tilldela behörigheter och omfångstaggar gäller inte för objekt i andra rolltilldelningar om inte den andra tilldelningen uttryckligen beviljar dem.
  • Andra behörigheter (till exempel Skapa, Läsa, Uppdatera, Ta bort) och omfångstaggar gäller för alla objekt av samma typ (till exempel alla principer eller alla appar) i någon av användarens tilldelningar.
  • Behörigheter och omfångstaggar för objekt av olika typer (till exempel principer eller appar) gäller inte för varandra. En läsbehörighet för en princip ger till exempel inte läsbehörighet till appar i användarens tilldelningar.
  • Om det inte finns några omfångstaggar och vissa omfångstaggar som tilldelats från olika tilldelningar kan användaren bara se enheter som ingår i vissa omfångstaggar och inte kan se alla enheter.

Nästa steg