Condividi tramite

Assegnare ruoli Microsoft Intune per il controllo degli accessi in base al ruolo

Le informazioni contenute in questo articolo consentono di assegnare utenti Microsoft Intune ruoli predefiniti o personalizzati di controllo degli accessi in base al ruolo agli utenti che amministrano la sottoscrizione Intune. I ruoli controllo degli accessi in base al ruolo vengono assegnati ai gruppi e non ai singoli utenti.

Prima di assegnare ruoli ai gruppi, assicurarsi di disporre di gruppi sufficienti per le diverse attività amministrative Intune ed esaminare l'appartenenza a tali gruppi. Ogni membro di un gruppo a cui viene assegnato un ruolo controllo degli accessi in base al ruolo riceve le autorizzazioni concesse da tale ruolo. Le autorizzazioni di più gruppi sono cumulative per un utente e non sono disponibili opzioni per negare autorizzazioni specifiche. È tuttavia possibile usare i tag di ambito con controllo degli accessi in base al ruolo per limitare l'ambito di ciò che i diversi gruppi di utenti possono visualizzare e gestire.

Importante

Microsoft consiglia di non usare account con autorizzazioni a livello di amministratore Intune per la gestione quotidiana quando sono sufficienti ruoli con privilegi inferiori. Tuttavia, Intune autorizzazioni di amministratore sono necessarie durante l'installazione iniziale Intune per attività quali:

  • Aggiungere utenti a Intune che fungono da amministratori Intune. (Vedere Aggiungere utenti)
  • Creare gruppi di utenti che condividono compiti amministrativi simili. (Vedere Aggiungere gruppi)
  • Assegnare ruoli controllo degli accessi in base al ruolo a gruppi di utenti, fornendo a ogni gruppo solo le autorizzazioni necessarie per eseguire le attività quotidiane. (Questo articolo)

Dopo aver completato questi passaggi, passare a un account con solo le autorizzazioni necessarie per l'amministrazione in corso per mantenere il principio dei privilegi minimi.

Autorizzazioni per il controllo degli accessi in base al ruolo necessarie per assegnare i ruoli

Per gestire i ruoli e le assegnazioni del controllo degli accessi in base al ruolo in Intune, l'account deve avere uno dei set di autorizzazioni seguenti:

  • Il Intune ruolo predefinito di amministratore del ruolo Intune. Ruolo predefinito con privilegi minimi

  • Ruolo personalizzato che include le categorie e le autorizzazioni di categoria seguenti:

    Ruoli:

    •               Assegna                 
    • Creare
    • Elimina
    • Lettura
    • Update

    Organizzazione:

    • Lettura

Distribuire Intune assegnazioni di ruolo

Prima di distribuire Intune ruoli, acquisire familiarità con Informazioni sulle assegnazioni di ruolo Intune che fornisce informazioni dettagliate su diversi aspetti degli assegnatari di ruolo Intune.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune e passare aRuoli>di amministrazione> tenantTutti i ruoli.

  2. Nella pagina Intune ruoli - Tutti i ruoli è possibile trovare tutti i ruoli Intune disponibili per l'assegnazione nel tenant. Ogni ruolo ha un tipo che lo identifica come ruolo predefinito fornito da Intune o come ruolo di Intune personalizzato creato dall'organizzazione.

    Selezionare il ruolo da assegnare e quindi selezionare Assegnazioni>+ Assegna.

  3. Nella pagina Informazioni di base immettere un nome e una descrizione facoltativa e quindi selezionare Avanti.

  4. Nella pagina Amministrazione Gruppi selezionare Aggiungi gruppi e quindi scegliere un gruppo contenente gli utenti a cui si desidera assegnare le autorizzazioni dei ruoli.

    Consiglio

    Quando si assegna un ruolo a un gruppo, ogni membro di tale gruppo riceve le autorizzazioni concesse da tale ruolo. Assegnare ruoli solo ai gruppi per i quali si conosce l'appartenenza e che non includono utenti che non devono ricevere i privilegi amministrativi forniti dal ruolo.

    Seleziona Avanti.

  5. Nella pagina Ambito (gruppi) aggiungere gruppi che contengono solo gli utenti o i dispositivi che i membri del Amministrazione Gruppi selezionati nel passaggio precedente devono essere autorizzati a gestire. Selezionare quindi Avanti.

    Nota

    I gruppi Tutti gli utenti e Tutti i dispositivi sono Intune gruppi virtuali, non Microsoft Entra gruppi di sicurezza. Pertanto, non è possibile usarli come elementi padre per Microsoft Entra gruppi di sicurezza nelle assegnazioni di ambito (gruppi). Per assegnare Tutti gli utenti e Tutti i dispositivi e gruppi di sicurezza Microsoft Entra specifici, aggiungerli separatamente. In caso contrario, gli amministratori non avranno accesso a gruppi di utenti Microsoft Entra specifici anche se l'ambito (gruppi) del ruolo è impostato su Tutti gli utenti.

    L'annidamento è supportato per Microsoft Entra gruppi di sicurezza.

  6. Nella pagina Ambito (tag) scegliere i tag in cui viene applicata l'assegnazione di ruolo. Seleziona Avanti.

    Nota

    Quando si definiscono i gruppi di ambito e quindi si assegna un tag di ambito, gli amministratori possono selezionare solo i gruppi di destinazione elencati nell'ambito (gruppi) dell'assegnazione di ruolo.

  7. Al termine, nella pagina Rivedi e crea selezionare Crea.

La nuova assegnazione viene visualizzata nell'elenco delle assegnazioni.

Contenuto correlato