Controllo degli accessi in base al ruolo (RBAC) con IntuneRole-based administration control (RBAC) with Intune

RBAC consente di controllare chi esegue varie attività di Intune all'interno dell'organizzazione e a chi si applicano queste attività.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. È possibile usare i ruoli predefiniti che coprono alcuni scenari comuni in Intune oppure creare ruoli personalizzati.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Un ruolo è definito da:A role is defined by:

  • Definizione del ruolo: nome del ruolo, risorse gestite dal ruolo e autorizzazioni concesse per ogni risorsa.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Membri: gruppi di utenti a cui vengono concesse le autorizzazioni.Members: The user groups that are granted the permissions.
  • Ambito: gruppi di utenti o dispositivi che i membri possono gestire.Scope: The user or device groups that the members can manage.
  • Assegnazione: dopo aver configurato la definizione, i membri e l'ambito, il ruolo viene assegnato.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Esempio di controllo RBAC di Intune

A partire dal nuovo portale di Azure, Azure Active Directory (Azure AD) offre due ruoli della directory che è possibile usare con Intune.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. A questi ruoli vengono concesse autorizzazioni complete per eseguire tutte le attività in Intune:These roles are granted full permission to perform all activities in Intune:

  • Amministratore globale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative di Azure AD, nonché ai servizi federati con Azure AD come Exchange Online, SharePoint Online e Skype for Business Online.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. La persona che si registra per il tenant di Azure AD diventa un amministratore globale.The person who signs up for the Azure AD tenant becomes a global administrator. Solo gli amministratori globali possono assegnare altri ruoli di amministratore di Azure AD.Only global administrators can assign other Azure AD administrator roles. Nell'organizzazione vi possono essere più amministratori globali.There can be more than one global administrator at your organization. Gli amministratori globali possono reimpostare la password per tutti gli utenti e tutti gli altri amministratori.Global admins can reset the password for any user and all other administrators.

  • Amministratore del servizio Intune: gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Intune quando il servizio è presente.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. Questo ruolo include inoltre la possibilità di gestire utenti e dispositivi, nonché di creare e gestire gruppi.Additionally, this role provides the ability to manage users, devices, and create and manage groups.

  • Conditional Access Administrator (Amministratore di accesso condizionale): gli utenti con questo ruolo hanno solo le autorizzazioni per visualizzare, creare, modificare ed eliminare i criteri di accesso condizionale.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Importante

    Il ruolo Amministratore del servizio Intune non offre la possibilità di gestire le impostazioni di accesso condizionale di Azure AD.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Suggerimento

    Intune mostra inoltre tre estensioni di Azure AD, Utenti, Gruppi e Accesso condizionale, controllate tramite il controllo degli accessi in base al ruolo di Azure AD.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. Il ruolo Amministratore account utente, inoltre, consente di eseguire solo attività su utenti e gruppi di AAD e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Per altri dettagli, fare riferimento ad Assegnazione dei ruoli di amministratore in Azure Active Directory.Refer to RBAC with Azure AD for more details.

Ruoli creati nel portale classico di IntuneRoles created in the Intune classic portal

Solo gli utenti Amministratori del servizio con autorizzazioni "Completo" vengono inclusi nella migrazione dal portale classico di Intune a Intune nel portale di Azure.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. È necessario assegnare nuovamente gli utenti Amministratori del servizio di Intune con accesso "Sola lettura" o "Supporto tecnico" nei ruoli di Intune nel portale di Azure e rimuoverli dal portale classico.You need to re-assign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Importante

Potrebbe essere necessario mantenere l'accesso Amministratori del servizio Intune nel portale classico, se gli amministratori hanno ancora la necessità di gestire i PC con Intune.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PC’s using with Intune.

Ruoli predefinitiBuilt-in roles

I seguenti ruoli sono predefiniti in Intune ed è possibile assegnarli ai gruppi senza ulteriore configurazione:The following roles are built into Intune and you can assign them to groups with no further configuration:

  • Help Desk Operator (Operatore supporto tecnico): consente di eseguire attività remote su utenti e dispositivi e assegnare le applicazioni o i criteri a utenti o dispositivi.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Policy and Profile Manager (Gestione criteri e profili): consente di gestire i criteri di conformità, i profili di configurazione, la registrazione Apple e gli identificatori dei dispositivi aziendali.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.
  • Read Only Operator (Operatore sola lettura): consente di visualizzare informazioni su utenti, dispositivi, registrazione, configurazione e applicazioni.Read Only Operator: Views user, device, enrollment, configuration, and application information. Non consente di apportare modifiche a Intune.Cannot make changes to Intune.
  • Application Manager (Gestione applicazioni): consente di gestire le applicazioni per dispositivi mobili e gestite e di leggere le informazioni sui dispositivi.Application Manager: Manages mobile and managed applications, and can read device information.

Per assegnare un ruolo predefinitoTo assign a built-in role

  1. In Ruoli di Intune scegliere il ruolo predefinito da assegnare.On the Intune roles, choose the built-in role you want to assign.

  2. Nel pannello <nome ruolo> - Proprietà scegliere Gestisci e quindi Assegnazioni.On the <role name> - Properties blade, choose Manage, then Assignments.

    Nota

    Non è possibile eliminare o modificare i ruoli predefinitiYou cannot delete or edit the built-in roles

  3. Nel pannello del ruolo personalizzato scegliere Assegna.On the custom role blade, choose Assign.

  4. Nel pannello Assegnazioni di ruolo immettere un nome e una descrizione facoltativa per l'assegnazione e quindi scegliere le operazioni seguenti:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Membri: selezionare un gruppo contenente l'utente a cui si vuole assegnare le autorizzazioni.Members - Select a group that contains the user you want to give the permissions to.
    • Ambito: selezionare un gruppo contenente gli utenti che il membro indicato in precedenza è autorizzato a gestire.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Al termine, fare clic su OK.When you are done, click OK. La nuova assegnazione viene visualizzata nell'elenco di assegnazioni.The new assignment is displayed in the list of assignments.

Tabella del controllo RBAC di IntuneIntune RBAC table

Ruoli personalizzatiCustom roles

È possibile creare un ruolo personalizzato che include le autorizzazioni necessarie per un ruolo professionale specifico.You can create a custom role that includes any permissions required for a specific job function. Ad esempio, se un gruppo del reparto IT gestisce le applicazioni, i criteri e i profili di configurazione, è possibile aggiungere tutte queste autorizzazioni insieme in un ruolo personalizzato.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Importante

Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Amministratore globaleGlobal Administrator
  • Amministratore del servizio IntuneIntune Service Administrator

Per creare un ruolo personalizzatoTo create a custom role

  1. Accedere al portale di Azure con le credenziali di Intune.Sign into the Azure portal with your Intune credentials.

  2. Scegliere Altri servizi dal menu a sinistra e quindi digitare Intune nel filtro della casella di testo.Choose More services from the left menu, then type Intune in the text box filter.

  3. Scegliere Intune. Verrà aperto il dashboard di Intune. Scegliere Ruolo di Intune.Choose Intune, the Intune Dashboard opens, choose Intune roles.

  4. Nel pannello Ruoli di Intune scegliere Ruoli di Intune e quindi scegliere Aggiungi personalizzato.On the Intune roles blade, choose Intune roles, choose Add custom.

  5. Nel pannello Aggiungi un ruolo personalizzato immettere un nome e una descrizione per il nuovo ruolo e quindi fare clic su Autorizzazioni.On the Add Custom Role blade, enter a name and description for the new role, then click Permissions.

  6. Nel pannello Autorizzazioni scegliere le autorizzazioni da usare con questo ruolo.On the Permissions blade, choose the permissions you want to use with this role. Usare la tabella del controllo RBAC di Intune per decidere le autorizzazioni da applicare.Use the Intune RBAC table to help you decide which permissions you want to apply.

  7. Al termine, scegliere OK.When you are done, choose OK.

  8. Nel pannello Aggiungi ruolo personalizzato fare clic su Crea.On the Add Custom Role blade, click Create. Il nuovo ruolo verrà visualizzato nell'elenco del pannello Ruoli di Intune.The new role is displayed in the list on the Intune roles blade.

Per assegnare un ruolo personalizzatoTo assign a custom role

  1. In Ruoli di Intune scegliere il ruolo personalizzato da assegnare.On the Intune roles, choose the custom role you want to assign.

  2. Nel pannello <nome ruolo> - Proprietà scegliere Gestisci e quindi Assegnazioni.On the <role name> - Properties blade, choose Manage, then Assignments. In questo pannello è anche possibile modificare o eliminare i ruoli esistenti.On this blade, you can also edit or delete existing roles.

  3. Nel pannello del ruolo personalizzato scegliere Assegna.On the custom role blade, choose Assign.

  4. Nel pannello Assegnazioni di ruolo immettere un nome e una descrizione facoltativa per l'assegnazione e quindi scegliere le operazioni seguenti:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Membri: selezionare un gruppo contenente l'utente a cui si vuole assegnare le autorizzazioni.Members - Select a group that contains the user you want to give the permissions to.
    • Ambito: selezionare un gruppo contenente gli utenti che il membro indicato in precedenza è autorizzato a gestire.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Al termine, fare clic su OK.When you are done, click OK. La nuova assegnazione viene visualizzata nell'elenco di assegnazioni.The new assignment is displayed in the list of assignments.

Passaggi successiviNext steps

Usare il ruolo di operatore del supporto tecnico con il portale per la risoluzione dei problemiUse the Intune Helpdesk operator role with the troubleshooting portal

Vedere ancheSee also

Assegnare i ruoli con Azure ADAssign roles using Azure AD