Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le informazioni contenute in questo articolo consentono di assegnare agli utenti ruoli predefiniti di Microsoft Intune o di controllo degli accessi in base al ruolo personalizzati agli utenti che amministrano la sottoscrizione di Intune. I ruoli controllo degli accessi in base al ruolo vengono assegnati ai gruppi e non ai singoli utenti.
Prima di assegnare ruoli ai gruppi, assicurarsi di disporre di gruppi sufficienti per le diverse attività amministrative di Intune ed esaminare l'appartenenza a tali gruppi. Ogni membro di un gruppo a cui viene assegnato un ruolo controllo degli accessi in base al ruolo riceve le autorizzazioni concesse da tale ruolo. Le autorizzazioni di più gruppi sono cumulative per un utente e non sono disponibili opzioni per negare autorizzazioni specifiche. È tuttavia possibile usare i tag di ambito con controllo degli accessi in base al ruolo per limitare l'ambito di ciò che i diversi gruppi di utenti possono visualizzare e gestire.
Importante
Microsoft consiglia di non usare account con autorizzazioni a livello di amministratore di Intune per la gestione quotidiana quando sono sufficienti ruoli con privilegi inferiori. Tuttavia, le autorizzazioni di amministratore di Intune sono necessarie durante l'installazione iniziale di Intune per attività come:
- Aggiungere utenti a Intune che fungono da amministratori di Intune. (Vedere Aggiungere utenti)
- Creare gruppi di utenti che condividono compiti amministrativi simili. (Vedere Aggiungere gruppi)
- Assegnare ruoli controllo degli accessi in base al ruolo a gruppi di utenti, fornendo a ogni gruppo solo le autorizzazioni necessarie per eseguire le attività quotidiane. (Questo articolo)
Dopo aver completato questi passaggi, passare a un account con solo le autorizzazioni necessarie per l'amministrazione in corso per mantenere il principio dei privilegi minimi.
Autorizzazioni per il controllo degli accessi in base al ruolo necessarie per assegnare i ruoli
Per gestire i ruoli e le assegnazioni del controllo degli accessi in base al ruolo in Intune, l'account deve avere uno dei set di autorizzazioni seguenti:
Ruolo predefinito di Intune dell'amministratore del ruolo di Intune. Ruolo predefinito con privilegi minimi
Ruolo personalizzato che include le categorie e le autorizzazioni di categoria seguenti:
Ruoli:
- Assegna
- Creare
- Elimina
- Lettura
- Update
Organizzazione:
- Lettura
Nota
Sicurezza avanzata: l'approvazione multi Amministrazione supporta ora il controllo degli accessi in base al ruolo. Quando questa impostazione è attivata, un secondo amministratore deve approvare le modifiche ai ruoli. Queste modifiche possono includere aggiornamenti alle autorizzazioni di ruolo, ai gruppi di amministratori o alle assegnazioni di gruppi di membri. La modifica ha effetto solo dopo l'approvazione. Questo processo di doppia autorizzazione consente di proteggere l'organizzazione da modifiche non autorizzate o accidentali del controllo degli accessi in base al ruolo. Per altre informazioni, vedere Use Multi Amministrazione Approval in Intune.For more information, see Use Multi Amministrazione Approval in Intune.
Distribuire le assegnazioni di ruolo di Intune
Prima di distribuire i ruoli di Intune, acquisire familiarità con Informazioni sulle assegnazioni di ruolo di Intune , che fornisce informazioni dettagliate su diversi aspetti degli assegnatari di ruolo di Intune.
Accedere all'interfaccia di amministrazione di Microsoft Intune e passare aRuoli>di amministrazione> tenantTutti i ruoli.
Nella pagina Ruoli di Intune - Tutti i ruoli è possibile trovare tutti i ruoli di Intune disponibili per l'assegnazione nel tenant. Ogni ruolo ha un tipo che lo identifica come ruolo predefinito fornito da Intune o come ruolo di Intune personalizzato creato dall'organizzazione.
Selezionare il ruolo da assegnare e quindi selezionare Assegnazioni>+ Assegna.
Nella pagina Informazioni di base immettere un nome e una descrizione facoltativa e quindi selezionare Avanti.
Nella pagina Amministrazione Gruppi selezionare Aggiungi gruppi e quindi scegliere un gruppo contenente gli utenti a cui si desidera assegnare le autorizzazioni dei ruoli.
Consiglio
Quando si assegna un ruolo a un gruppo, ogni membro di tale gruppo riceve le autorizzazioni concesse da tale ruolo. Assegnare ruoli solo ai gruppi per i quali si conosce l'appartenenza e che non includono utenti che non devono ricevere i privilegi amministrativi forniti dal ruolo.
Nota
Se il tenant consente amministratori senza licenza, le assegnazioni di ruolo di Intune si applicano solo ai membri diretti del gruppo di sicurezza assegnato. I membri dei gruppi annidati non ricevono queste assegnazioni per impostazione predefinita. Tuttavia, se un utente in un gruppo annidato ha una licenza di Intune, tale utente riceverà il ruolo Intune.
Seleziona Avanti.
Nella pagina Ambito (gruppi) aggiungere gruppi che contengono solo gli utenti o i dispositivi che i membri del Amministrazione Gruppi selezionati nel passaggio precedente devono essere autorizzati a gestire. Selezionare quindi Avanti.
Nota
I gruppi Tutti gli utenti e Tutti i dispositivi sono gruppi virtuali di Intune, non Microsoft Entra gruppi di sicurezza. Pertanto, non è possibile usarli come elementi padre per Microsoft Entra gruppi di sicurezza nelle assegnazioni di ambito (gruppi). Per assegnare Tutti gli utenti e Tutti i dispositivi e gruppi di sicurezza Microsoft Entra specifici, aggiungerli separatamente. In caso contrario, gli amministratori non avranno accesso a gruppi di utenti Microsoft Entra specifici anche se l'ambito (gruppi) del ruolo è impostato su Tutti gli utenti.
L'annidamento è supportato per Microsoft Entra gruppi di sicurezza.
Nella pagina Ambito (tag) scegliere i tag in cui viene applicata l'assegnazione di ruolo. Seleziona Avanti.
Nota
Quando si definiscono i gruppi di ambito e quindi si assegna un tag di ambito, gli amministratori possono selezionare solo i gruppi di destinazione elencati nell'ambito (gruppi) dell'assegnazione di ruolo.
Al termine, nella pagina Rivedi e crea selezionare Crea.
La nuova assegnazione viene visualizzata nell'elenco delle assegnazioni.