Control de acceso basado en rol (RBAC) con Microsoft IntuneRole-based access control (RBAC) with Microsoft Intune

El control de acceso basado en rol (RBAC) le ayuda a administrar quién tiene acceso a los recursos de la organización y qué puede hacer con dichos recursos.Role-based access control (RBAC) helps you manage who has access to your organization’s resources and what they can do with those resources. Mediante la asignación de roles a los usuarios de Intune, puede limitar lo que pueden ver y cambiar.By assigning roles to your Intune users, you can limit what they can see and change. Cada rol tiene un conjunto de permisos que determinan a qué pueden acceder y qué pueden cambiar dentro de la organización los usuarios con dicho rol.Each role has a set of permissions that determine what users with that role can access and change within your organization.

Para crear, editar o asignar roles, la cuenta debe tener uno de los siguientes permisos en Azure AD:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Administrador globalGlobal Administrator
  • Administrador del servicio Intune (también conocido como Administrador de Intune)Intune Service Administrator (also known as Intune Administrator)

Para obtener consejos y sugerencias sobre la RBAC en Intune, puede ver esta serie de cinco vídeos en los que se muestran ejemplos y tutoriales: 1, 2, 3, 4, 5.For advice and suggestions about Intune RBAC, you can check out this series of five videos that showcase examples and walkthroughs: 1, 2, 3, 4, 5.

RolesRoles

Un rol define el conjunto de permisos concedidos a los usuarios que están asignados a ese rol.A role defines the set of permissions granted to users assigned to that role. Puede usar tanto los roles integrados como roles personalizados.You can use both the built-in and custom roles. Los roles integrados abarcan algunos escenarios comunes de Intune.Built-in roles cover some common Intune scenarios. También puede crear sus propios roles personalizados con el conjunto de permisos que exactamente necesita.You can create your own custom roles with the exact set of permissions you need. Varios roles de Azure Active Directory tienen permisos para Intune.Several Azure Active Directory roles have permissions to Intune. Para ver un rol, seleccione Intune > Roles > Todos los roles > elija un rol.To see a role, choose Intune > Roles > All roles > choose a role. Verá las páginas siguientes:You’ll see the following pages:

  • Propiedades: nombre, descripción, tipo, asignaciones y etiquetas de ámbito del rol.Properties: The name, description, type, assignments, and scope tags for the role.
  • Permisos: enumera un largo conjunto de conmutadores que definen qué permisos tiene el rol.Permissions: Lists a long set of toggles defining what permissions the role has.
  • Asignaciones: lista de asignaciones de roles que definen qué usuarios tienen acceso a qué usuarios o dispositivos.Assignments: A list of role assignments defining which users have access to which users/devices. Un rol puede tener varias asignaciones y un usuario puede tener varias asignaciones.A role can have multiple assignments, and a user can be in multiple assignments.

Roles integradosBuilt-in roles

Puede asignar roles integrados a los grupos sin ninguna configuración adicional.You can assign built-in roles to groups without further configuration. No se puede eliminar o editar el nombre, la descripción, el tipo o los permisos de un rol integrado.You can't delete or edit the name, description, type, or permissions of a built-in role.

  • Operador del departamento de soporte técnico: realiza tareas remotas relacionadas con usuarios y dispositivos y puede asignar aplicaciones o directivas a usuarios o dispositivos.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Administrador de directivas y perfiles: administra la directiva de cumplimiento, los perfiles de configuración, la inscripción de Apple, los identificadores de dispositivos corporativos y las líneas base de seguridad.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • Operador de solo lectura: ve información sobre usuarios, dispositivos, inscripciones, configuraciones y aplicaciones.Read Only Operator: Views user, device, enrollment, configuration, and application information. No puede realizar cambios en Intune.Can't make changes to Intune.
  • Administrador de aplicaciones: permite administrar las aplicaciones móviles y administradas, leer la información del dispositivo y ver los perfiles de configuración del dispositivo.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Administrador de roles de Intune: permite administrar los roles de Intune personalizados y agregar las asignaciones de roles de Intune integrados.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. Esta es la única función de Intune que permite asignar permisos a los administradores.It's the only Intune role that can assign permissions to Administrators.
  • Administrador de la escuela: administra dispositivos Windows 10 en Intune for Education.School Administrator: Manages Windows 10 devices in Intune for Education.

Roles personalizadosCustom roles

Puede crear sus propios roles con permisos personalizados.You can create your own roles with custom permissions. Para obtener más información sobre los roles personalizados, vea Creación de un rol personalizado.For more information about custom roles, see Create a custom role.

Roles de Azure Active Directory con acceso a IntuneAzure Active Directory roles with Intune access

Rol de Azure Active DirectoryAzure Active Directory role Todos los datos de IntuneAll Intune data Datos de auditoría de IntuneIntune audit data
Administrador globalGlobal Administrator Lectura y escrituraRead/write Lectura y escrituraRead/write
Administrador del servicio de IntuneIntune Service Administrator Lectura y escrituraRead/write Lectura y escrituraRead/write
Administrador de acceso condicionalConditional Access Administrator NingunoNone NingunoNone
Administrador de seguridadSecurity Administrator Solo lecturaRead only Solo lecturaRead only
Operador de seguridadSecurity Operator Solo lecturaRead only Solo lecturaRead only
Lector de seguridadSecurity Reader Solo lecturaRead only Solo lecturaRead only
Administrador de cumplimientoCompliance Administrator NingunoNone Solo lecturaRead only
Administrador de datos de cumplimientoCompliance Data Administrator NingunoNone Solo lecturaRead only
Lector globalGlobal Reader Solo lecturaRead Only Solo lecturaRead Only

Sugerencia

Intune también muestra tres extensiones de Azure AD: Usuarios, Grupos y Acceso condicional, que se controlan mediante RBAC en Azure AD.Intune also shows three Azure AD extensions: Users, Groups, and Conditional Access, which are controlled using Azure AD RBAC. Además, el administrador de cuentas de usuario solo realiza actividades de usuario o grupo de AAD y no tiene permisos completos para realizar todas las actividades en Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Para más información, vea RBAC con Azure AD.For more information, see RBAC with Azure AD.

Roles creados en el portal clásico de IntuneRoles created in the Intune classic portal

Solo los usuarios con roles de administradores del servicio de Intune con permisos "completos" pueden migrarse desde el portal clásico de Intune a Intune en Azure Portal.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Debe reasignar a los usuarios con roles de administradores del servicio de Intune y con los permisos "Solo lectura" o "Departamento de soporte técnico" a los roles de Intune en Azure Portal y eliminarlos del portal clásico.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Importante

Es posible que necesite mantener el acceso del administrador del servicio de Intune en el portal clásico en caso de que los administradores todavía necesiten acceder para administrar equipos con Intune.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Asignaciones de rolesRole assignments

Una asignación de roles define:A role assignment defines:

  • Qué usuarios están asignados al rol.which users are assigned to the role
  • Qué recursos pueden ver.what resources they can see
  • Qué recursos pueden cambiar.what resources they can change.

Puede asignar a los usuarios tanto roles personalizados como integrados.You can assign both custom and built-in roles to your users. Para asignar un rol de Intune a un usuario, este debe tener una licencia de Intune.To be assigned an Intune role, the user must have an Intune license. Para ver una asignación de roles, seleccione Intune > Roles > Todos los roles > elija un rol > elija una asignación.To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. Verá las páginas siguientes:You’ll see the following pages:

  • Propiedades: nombre, descripción, rol, miembros, ámbitos y etiquetas de la asignación.Properties: The name, description, role, members, scopes, and tags of the assignment.
  • Miembros: todos los usuarios de los grupos de seguridad de Azure mostrados tienen permiso para administrar los usuarios o los dispositivos que aparecen en Ámbito (grupos).Members: All users in the listed Azure security groups have permission to manage the users/devices that are listed in Scope (Groups).
  • Ámbito (grupos) : los usuarios de Miembros pueden administrar todos los usuarios o dispositivos de estos grupos de seguridad de Azure.Scope (Groups): All users/devices in these Azure security groups can be managed by the users in Members.
  • Ámbito (etiquetas) : los usuarios de Miembros pueden ver los recursos que tienen las mismas etiquetas de ámbito.Scope (Tags): Users in Members can see the resources that have the same scope tags.

Múltiples asignaciones de rolesMultiple role assignments

Si un usuario tiene varias asignaciones de roles, los permisos y las etiquetas de ámbito de estas asignaciones de roles se amplían a diferentes objetos, como se indica a continuación:If a user has multiple role assignments, permissions, and scope tags, those role assignments extend to different objects as follows:

  • Los permisos de asignación y las etiquetas de ámbito solo se aplican a los objetos (como directivas o aplicaciones) del Ámbito (grupos) de la asignación de ese rol.Assign permissions and scope tags only apply to the objects (like policies or apps) in that role’s assignment Scope (Groups). Los permisos de asignación y las etiquetas de ámbito no se aplican a los objetos de otras asignaciones de roles, a menos que la otra asignación los conceda específicamente.Assign permissions and scope tags don’t apply to objects in other role assignments unless the other assignment specifically grants them.
  • Otros permisos (por ejemplo, los de creación, lectura, actualización, eliminación) y las etiquetas de ámbito se aplican a todos los objetos del mismo tipo (como todas las directivas o todas las aplicaciones) en cualquiera de las asignaciones del usuario.Other permissions (such as Create, Read, Update, Delete) and scope tags apply to all objects of the same type (like all policies or all apps) in any of the user’s assignments.
  • Los permisos y las etiquetas de ámbito para objetos de tipos diferentes (como directivas o aplicaciones) no se aplican entre sí.Permissions and scope tags for objects of different types (like policies or apps), don’t apply to each other. Por ejemplo, un permiso de lectura para una directiva no proporciona un permiso de lectura a las aplicaciones de las asignaciones del usuario.A Read permission for a policy, for example, doesn’t provide a Read permission to apps in the user’s assignments.

Pasos siguientesNext steps