Assegnare le autorizzazioni di amministratoreAssign admin permissions

Gli utenti assegnati come amministratori in Intune per Education possono gestire i gruppi di utenti e dispositivi.People assigned as admins in Intune for Education can manage user and device groups. È importante concedere queste autorizzazioni solo a utenti qualificati, per ridurre il rischio di modifiche non autorizzate o accidentali in Intune per Education.It's important to only give these permissions to qualified individuals, to reduce the risk of unauthorized or accidental changes in Intune for Education. Gli utenti con autorizzazioni di amministratore possono solo visualizzare e apportare modifiche ai gruppi assegnati.Users with admin permissions can only see and make changes to the groups you assign them.

Gli amministratori del gruppo possono:Group admins can:

  • Visualizzare le informazioni su dispositivi, utenti e app.View information about devices, users, and apps.
  • Assegnare, creare, eliminare, visualizzare e aggiornare le impostazioni del dispositivo e dell'utente.Assign, create, delete, view, and update device and user settings.
  • Assegnare, creare, eliminare, visualizzare e aggiornare le app.Assign, create, delete, view, and update apps.
  • Visualizzare i rapporti.View reports.
  • Eseguire azioni remote sui dispositivi, inclusa la reimpostazione delle impostazioni predefinite, il riavvio, il blocco di un dispositivo sbloccato e la forzatura di una sincronizzazione.Take remote actions on devices, including resetting to factory settings, rebooting, locking an unlocked device, and forcing a sync.
  • Creare, eliminare, visualizzare e aggiornare il certificato push MDM iOS, i token del server MDM iOS e i token VPP iOS.Create, delete, view, and update the iOS MDM Push Certificate, iOS MDM server tokens, and iOS VPP tokens.
  • Assegnare ed eliminare un profilo di registrazione avviato dall'utente Apple.Assign and delete an Apple user-initiated enrollment profile.
  • Assegnare ed eliminare i profili di distribuzione di Windows Autopilot.Assign and delete Windows Autopilot deployment profiles.
  • Avviare una sincronizzazione sui dispositivi registrati con il servizio Windows Autopilot.Initiate a sync on devices registered with the Windows Autopilot service.
  • Assegnare gli utenti ai dispositivi registrati con il servizio Windows Autopilot.Assign users to devices registered with the Windows Autopilot service.
  • Elimina i dispositivi registrati con il servizio Windows Autopilot.Delete devices registered with the Windows Autopilot service.

Creazione di ruoli personalizzatiBuilding custom roles

Tutte le autorizzazioni necessarie per utilizzare Intune per Education sono incluse nel ruolo di amministratore dell'Istituto di istruzione predefinito.All the permissions needed to use Intune for Education are included in the built-in School Admin role. Se si vuole creare un ruolo personalizzato che consenta l'accesso a Intune per Education, è possibile duplicare il ruolo di amministratore dell'Istituto di istruzione predefinito e aggiungere/rimuovere le autorizzazioni per creare il ruolo desiderato.If you want to build a custom role that allows access to Intune for Education, you can duplicate the built-in School Admin role and add/remove permissions to create the role you want.

Per creare un set personalizzato di autorizzazioni di amministratore, passare all'esperienza di gestione completa in Microsoft Intune e passare a ruoli di Amministrazione tenant > Roles.To build a custom set of admin permissions, switch to the full management experience in Microsoft Intune and go to Tenant administration > Roles. Per ulteriori informazioni sull'accesso basato sui ruoli, vedere controllo degli accessi in base al ruolo (RBAC) con Microsoft Intune.For more information about role-based access, see Role-based access control (RBAC) with Microsoft Intune.

Assegnare amministratori ai gruppiAssign group admins

Esistono due modi per assegnare gli amministratori di gruppo in Intune per Education:There are two ways to assign group admins in Intune for Education:

  • Selezionare un dispositivo o un gruppo di utenti, quindi aggiungere nuovi membri del gruppo come amministratori.Select a device or user group, and then add new group members as admins.
  • Selezionare un gruppo di amministratori e quindi aggiungere un dispositivo o un gruppo di utenti per gli amministratori da gestire.Select an admin group, and then add a device or user group for the admins to manage.

Aggiungere i membri del gruppo come amministratoriAdd group members as admins

Completare questi passaggi per aggiungere amministratori a un dispositivo o a un gruppo di utenti.Complete these steps to add admins to a device or user group.

  1. Dal Dashboard selezionare gruppi.From the dashboard, select Groups.
  2. Scegliere un gruppo.Choose a group.
  3. Passare a Admins > Admins di questo gruppo.Go to Admins > Admins of this group.
  4. Selezionare Add Admins.Select Add admins.
  5. Scegliere un gruppo.Choose a group.
  6. Selezionare Aggiungi gruppi.Select Add groups.

Aggiungere un gruppo da gestireAdd a group to manage

Completare questi passaggi per assegnare un dispositivo o un gruppo di utenti a un gruppo di amministratori.Complete these steps to assign a device or user group to a group of admins.

  1. Scegliere un gruppo.Choose a group.
  2. Passare a amministratori > gestiti da questo gruppo.Go to Admins > Managed by this group.
  3. Selezionare Aggiungi gruppi da gestire.Select Add groups to manage.
  4. Scegliere un gruppo.Choose a group.
  5. Selezionare Aggiungi gruppi.Select Add groups.

Rimuovere le autorizzazioni di amministratoreRemove admin permissions

Per rimuovere le autorizzazioni di amministratore dagli utenti della scuola, è possibile effettuare una delle seguenti operazioni:To remove admin permissions from people in your school, you can either:

  • Selezionare un dispositivo o un gruppo di utenti e rimuovere gli amministratori associati.Select a device or user group and remove the associated admins.
  • Selezionare un gruppo di amministratori e rimuovere un dispositivo o un gruppo di utenti associato.Select an admin group and remove an associated device or user group.

Rimuovere gli amministratoriRemove admins

Completare questi passaggi per rimuovere un gruppo di amministratori da un dispositivo o un gruppo di utenti.Complete these steps to remove a group of admins from a device or user group.

  1. Dal Dashboard selezionare gruppi.From the dashboard, select Groups.
  2. Scegliere un gruppo.Choose a group.
  3. Passare a Admins > Admins di questo gruppo.Go to Admins > Admins of this group.
  4. Selezionare uno o più gruppi.Select one or more groups.
  5. Selezionare Rimuovi amministratori.Select Remove admins.

Rimuovi gruppo di dispositivi o utentiRemove device or user group

Completare questi passaggi per rimuovere un dispositivo o un gruppo di utenti da un gruppo di amministratori.Complete these steps to remove a device or user group from a group of admins.

  1. Dal Dashboard selezionare gruppi.From the dashboard, select Groups.
  2. Scegliere un gruppo.Choose a group.
  3. Passare a amministratori > gestiti da questo gruppo.Go to Admins > Managed by this group.
  4. Selezionare uno o più gruppi.Select one or more groups.
  5. Selezionare Rimuovi gruppi.Select Remove groups.

Limita l'accesso ai token VPP iOSRestrict iOS VPP token access

Se ci si trova in un quartiere della scuola che dispone di dispositivi iOS in più posizioni, è consigliabile limitare l'accesso ai token VPP per selezionare gli amministratori.If you're in a school district that has iOS devices at multiple locations, it’s a good idea to restrict VPP token access to select admins. Questi token saranno accessibili solo agli amministratori se il token è stato aggiunto all'elenco di token con restrizioni del gruppo.These tokens will only be accessible to admins if the token has been added to their group's restricted token list.

  1. Dal Dashboard selezionare gruppi.From the dashboard, select Groups.
  2. Scegliere un gruppo.Choose a group.
  3. Per visualizzare gli amministratori del gruppo corrente, selezionare Admins di questo gruppo.To view admins of the current group, select Admins of this group. Per visualizzare i gruppi che questo gruppo può gestire, selezionare gestito da questo gruppo.To view groups that this group can manage, select Managed by this group.
  4. Selezionare un gruppo di amministratori > l'icona più ellissi > limitare l'accesso amministratore.Select an admin group > the More ellipses icon > Restrict admin access. Verranno visualizzati due elenchi aggiuntivi:Two additional lists appear:
    • L'elenco superiore Mostra tutti i token VPP limitati.The top list shows all restricted VPP tokens. È possibile accedere a questi token e alle app associate solo dal gruppo selezionato.These tokens and their associated apps can only be accessed by the selected group.
    • L'elenco inferiore Mostra tutti i token VPP senza restrizioni.The bottom list shows all unrestricted VPP tokens. È possibile accedere a questi token e alle app associate da chiunque disponga di autorizzazioni di amministratore.These tokens and their associated apps can be accessed by anyone with admin permissions.
  5. Per aggiungere un token all'elenco con restrizioni del gruppo, è possibile eseguire una delle operazioni seguenti:To add a token to the group's restricted list you can either:
    • Usare la barra di ricerca per trovare un token.Use the search bar to find a token. Selezionare il token nei risultati della ricerca.Select the token from the search results.
    • Trovare un token nell'elenco senza restrizioni e selezionare limita a questi amministratori.Find a token in the unrestricted list and select Restrict to these admins.
  6. Selezionare Salva.Select Save.

Ora che il token fa parte dell'elenco di amministratori con restrizioni, solo questi amministratori possono visualizzare e gestire il token e le app associate.Now that the token is a part of the admins' restricted list, only these admins can see and manage the token and its associated apps. Ripetere questi passaggi per ogni gruppo per limitare tutti i token VPP ai rispettivi amministratori.Repeat these steps for each group to restrict all VPP tokens to their respective admins.