Controllo degli accessi in base al ruolo (RBAC) con Microsoft IntuneRole-based administration control (RBAC) with Microsoft Intune

RBAC consente di controllare chi esegue varie attività di Intune all'interno dell'organizzazione e a chi si applicano queste attività.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. È possibile usare i ruoli predefiniti che coprono alcuni scenari comuni in Intune oppure creare ruoli personalizzati.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Un ruolo è definito da:A role is defined by:

  • Definizione del ruolo: nome del ruolo, risorse gestite dal ruolo e autorizzazioni concesse per ogni risorsa.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Membri: gruppi di utenti a cui vengono concesse le autorizzazioni.Members: The user groups that are granted the permissions.
  • Ambito: gruppi di utenti o dispositivi che i membri possono gestire.Scope: The user or device groups that the members can manage.
  • Assegnazione: dopo aver configurato la definizione, i membri e l'ambito, il ruolo viene assegnato.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Esempio di controllo RBAC di Intune

A partire dal nuovo portale di Azure, Azure Active Directory (Azure AD) offre due ruoli della directory che è possibile usare con Intune.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. A questi ruoli vengono concesse autorizzazioni complete per eseguire tutte le attività in Intune:These roles are granted full permission to perform all activities in Intune:

  • Amministratore globale: gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative di Azure AD, nonché ai servizi federati con Azure AD come Exchange Online, SharePoint Online e Skype for Business Online.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. La persona che si registra per il tenant di Azure AD diventa un amministratore globale.The person who signs up for the Azure AD tenant becomes a global administrator. Solo gli amministratori globali possono assegnare altri ruoli di amministratore di Azure AD.Only global administrators can assign other Azure AD administrator roles. Nell'organizzazione vi possono essere più amministratori globali.There can be more than one global administrator at your organization. Gli amministratori globali possono reimpostare la password per tutti gli utenti e tutti gli altri amministratori.Global admins can reset the password for any user and all other administrators.

  • Amministratore del servizio Intune: gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Intune quando il servizio è presente.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. Inoltre, se non sono presenti altre restrizioni di Azure prioritarie, questo ruolo offre la possibilità di gestire utenti e dispositivi, nonché di creare e gestire gruppi di Intune.Additionally, other than any superseding Azure restrictions, this role provides the ability to manage users, devices, and create and manage Intune groups.

  • Conditional Access Administrator (Amministratore di accesso condizionale): gli utenti con questo ruolo hanno solo le autorizzazioni per visualizzare, creare, modificare ed eliminare i criteri di accesso condizionale.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Importante

    Il ruolo Amministratore del servizio Intune non offre la possibilità di gestire le impostazioni di accesso condizionale di Azure AD.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Suggerimento

    Intune mostra inoltre tre estensioni di Azure AD, Utenti, Gruppi e Accesso condizionale, controllate tramite il controllo degli accessi in base al ruolo di Azure AD.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. Il ruolo Amministratore account utente, inoltre, consente di eseguire solo attività su utenti e gruppi di AAD e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Per altri dettagli, fare riferimento ad Assegnazione dei ruoli di amministratore in Azure Active Directory.Refer to RBAC with Azure AD for more details.

Ruoli creati nel portale classico di IntuneRoles created in the Intune classic portal

Solo gli utenti Amministratori del servizio con autorizzazioni "Completo" vengono inclusi nella migrazione dal portale classico di Intune a Intune nel portale di Azure.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. È necessario assegnare nuovamente gli utenti Amministratori del servizio di Intune con accesso "Sola lettura" o "Supporto tecnico" nei ruoli di Intune nel portale di Azure e rimuoverli dal portale classico.You need to re-assign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Importante

Potrebbe essere necessario mantenere l'accesso Amministratori del servizio Intune nel portale classico, se gli amministratori hanno ancora la necessità di gestire i PC con Intune.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PC’s using with Intune.

Ruoli predefinitiBuilt-in roles

I seguenti ruoli sono predefiniti in Intune ed è possibile assegnarli ai gruppi senza ulteriore configurazione:The following roles are built into Intune and you can assign them to groups with no further configuration:

  • Help Desk Operator (Operatore supporto tecnico): consente di eseguire attività remote su utenti e dispositivi e assegnare le applicazioni o i criteri a utenti o dispositivi.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Policy and Profile Manager (Gestione criteri e profili): consente di gestire i criteri di conformità, i profili di configurazione, la registrazione Apple e gli identificatori dei dispositivi aziendali.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.
  • Read Only Operator (Operatore sola lettura): consente di visualizzare informazioni su utenti, dispositivi, registrazione, configurazione e applicazioni.Read Only Operator: Views user, device, enrollment, configuration, and application information. Non consente di apportare modifiche a Intune.Cannot make changes to Intune.
  • Application Manager (Gestione applicazioni): consente di gestire le applicazioni per dispositivi mobili e gestite, di leggere le informazioni sui dispositivi e di visualizzare i profili di configurazione dei dispositivi.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune Role Administrator (Amministratore dei ruoli di Intune): consentire di gestire i ruoli di Intune personalizzati e di aggiungere assegnazioni per i ruoli di Intune predefiniti.Intune Role Administrator: Manages custom Intune roles and add assignments for built-in Intune roles. È l'unico ruolo di Intune che può assegnare autorizzazioni agli amministratori.It is the only Intune role that can assign permissions to Administrators.
  • School Administrator (Amministratore di istituto di istruzione): consente di gestire i dispositivi Windows 10 in Intune per Education e di eseguire le azioni seguenti:School Administrator: Manages Windows 10 devices in Intune for Education, and can take the following actions:
AutorizzazionePermission OperazioneOperation
Dati controlloAudit Data LetturaRead
DeviceConfigurationsDeviceConfigurations Assegnazione, creazione, eliminazione, lettura, aggiornamentoAssign, Create, Delete, Read, Update
Manager di registrazione dispositiviDevice Enrollment Managers Lettura, aggiornamentoRead, Update
Dispositivi gestitiManaged Devices Lettura, aggiornamentoRead, Update
App per dispositivi mobiliMobile apps Assegnazione, creazione, eliminazione, lettura, aggiornamentoAssign, Create, Delete, Read, Update
ReportsReports LetturaRead
Azioni remoteRemote Actions Pulizia PC, riavvio, blocco remoto, ritiro, sincronizzazione dispositivi, cancellazioneClean PC, Reboot, Remote Lock, Retire, Sync Devices, Wipe
OrganizzazioneOrganization LetturaRead

Per assegnare un ruolo predefinitoTo assign a built-in role

  1. Accedere al portale Azure.Sign into the Azure portal.

  2. Scegliere Tutti i servizi > Intune.Choose All services > Intune. Intune si trova nella sezione Monitoraggio e gestione.Intune is located in the Monitoring + Management section.

  3. Nel riquadro Intune scegliere Ruoli di Intune e quindi selezionare Tutti i ruoli.On the Intune pane, choose Intune roles, then select All roles.

  4. Nel riquadro Ruoli di Intune - Tutti i ruoli scegliere il ruolo predefinito da assegnare.On the Intune roles - All roles pane, choose the built-in role you want to assign.

  5. Nel riquadro <nome ruolo> - Panoramica scegliere Gestisci e quindi Assegnazioni.On the <role name> - Overview pane, choose Manage, then Assignments.

    Nota

    Non è possibile eliminare o modificare i ruoli predefinitiYou cannot delete or edit the built-in roles

  6. Nel riquadro del ruolo personalizzato scegliere Assegna.On the custom role pane, choose Assign.

  7. Nel riquadro Assegnazioni di ruolo immettere un nome e una descrizione (facoltativa) per l'assegnazione e quindi scegliere le opzioni seguenti:On the Role Assignments pane, enter a Name and optional Description for the assignment, and then choose the following:

    • Membri: selezionare un gruppo contenente l'utente a cui si vuole assegnare le autorizzazioni.Members - Select a group that contains the user you want to give the permissions to.
    • Ambito: selezionare un gruppo contenente gli utenti che il membro indicato in precedenza è autorizzato a gestire.Scope - Select a group containing the users who the member above will be allowed to manage.
  8. Al termine, fare clic su OK.When you are done, click OK. La nuova assegnazione viene visualizzata nell'elenco di assegnazioni.The new assignment is displayed in the list of assignments.

Tabella del controllo RBAC di IntuneIntune RBAC table

Ruoli personalizzatiCustom roles

È possibile creare un ruolo personalizzato che include le autorizzazioni necessarie per un ruolo professionale specifico.You can create a custom role that includes any permissions required for a specific job function. Ad esempio, se un gruppo del reparto IT gestisce le applicazioni, i criteri e i profili di configurazione, è possibile aggiungere tutte queste autorizzazioni insieme in un ruolo personalizzato.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Importante

Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Amministratore globaleGlobal Administrator
  • Amministratore del servizio IntuneIntune Service Administrator

Per creare un ruolo personalizzatoTo create a custom role

  1. Accedere al portale di Azure con le credenziali di Intune.Sign into the Azure portal with your Intune credentials.

  2. Scegliere Tutti i servizi dal menu a sinistra e quindi digitare Intune nel filtro della casella di testo.Choose All services from the left menu, then type Intune in the text box filter.

  3. Scegliere Intune. Verrà aperto il dashboard di Intune. Scegliere Ruolo di Intune.Choose Intune, the Intune Dashboard opens, choose Intune roles.

  4. Nel riquadro Ruoli di Intune scegliere Tutti i ruoli e quindi scegliere Aggiungi personalizzato.On the Intune roles pane, choose All roles, choose Add custom.

  5. Nel riquadro Aggiungi un ruolo personalizzato immettere un nome e una descrizione per il nuovo ruolo e quindi fare clic su Autorizzazioni.On the Add Custom Role pane, enter a name and description for the new role, then click Permissions.

  6. Nel riquadro Autorizzazioni scegliere le autorizzazioni da usare con il ruolo.On the Permissions pane, choose the permissions you want to use with this role. Usare la tabella del controllo RBAC di Intune per decidere le autorizzazioni da applicare.Use the Intune RBAC table to help you decide which permissions you want to apply.

  7. Al termine, scegliere OK.When you are done, choose OK.

  8. Nel riquadro Aggiungi un ruolo personalizzato fare clic su Crea.On the Add Custom Role pane, click Create. Il nuovo ruolo verrà visualizzato nell'elenco del riquadro Ruoli di Intune- Tutti i ruoli.The new role is displayed in the list on the Intune roles - All roles pane.

Per assegnare un ruolo personalizzatoTo assign a custom role

  1. Nel riquadro Ruoli di Intune - Tutti i ruoli scegliere il ruolo personalizzato da assegnare.On the Intune roles - All roles pane, choose the custom role you want to assign.

  2. Nel riquadro <nome ruolo> - Panoramica scegliere Gestisci e quindi Assegnazioni.On the <role name> - Overview pane, choose Manage, then Assignments. In questo riquadro è anche possibile modificare o eliminare ruoli esistenti.On this pane, you can also edit or delete existing roles.

  3. Nel riquadro del ruolo personalizzato scegliere Assegna.On the custom role pane, choose Assign.

  4. Nel riquadro Assegnazioni di ruolo immettere un nome e una descrizione (facoltativa) per l'assegnazione e quindi scegliere le opzioni seguenti:On the Role Assignments pane, enter a Name and optional Description for the assignment, and then choose the following:

    • Membri: selezionare un gruppo contenente l'utente a cui si vuole assegnare le autorizzazioni.Members - Select a group that contains the user you want to give the permissions to.
    • Ambito: selezionare un gruppo contenente gli utenti che il membro indicato in precedenza è autorizzato a gestire.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Al termine, fare clic su OK.When you are done, click OK. La nuova assegnazione viene visualizzata nell'elenco di assegnazioni.The new assignment is displayed in the list of assignments.

Passaggi successiviNext steps

Usare il ruolo di operatore del supporto tecnico con il portale per la risoluzione dei problemiUse the Intune Helpdesk operator role with the troubleshooting portal

Vedere ancheSee also

Assegnare i ruoli con Azure ADAssign roles using Azure AD