Controllo degli accessi in base al ruolo con Microsoft Intune

Il controllo degli accessi in base al ruolo consente di gestire gli utenti che hanno accesso alle risorse dell'organizzazione e le operazioni che possono eseguire con queste risorse. L'assegnazione di ruoli agli utenti di Intune permette di limitare che cosa possono visualizzare e modificare. Ogni ruolo è associato a un set di autorizzazioni che determinano quali utenti che hanno tale ruolo possono accedere e che cosa possono modificare all'interno dell'organizzazione.

Per creare, modificare o assegnare ruoli, l'account deve disporre di una delle seguenti autorizzazioni in Azure AD:

  • Amministratore globale
  • Amministratore del servizio Intune (noto anche come amministratore di Intune)

Per consigli e suggerimenti sul controllo degli accessi in base al ruolo di Intune, è possibile vedere questa serie di cinque video che presentano esempi e procedure dettagliate: 1, 2, 3, 4, 5.

Ruoli

Un ruolo definisce il set di autorizzazioni concesse agli utenti assegnati al ruolo. È possibile usare ruoli sia predefiniti sia personalizzati. I ruoli predefiniti sono utili in alcuni scenari di Intune comuni. È possibile creare ruoli personalizzati con il set esatto di autorizzazioni necessarie. Diversi ruoli di Azure Active Directory hanno autorizzazioni per Intune. Per visualizzare un ruolo, scegliere Ruoli di amministrazione tenant di Intune > > > Tutti i > scegliere un ruolo. È possibile gestire il ruolo nelle pagine seguenti:

  • Proprietà: nome, descrizione, autorizzazioni e tag di ambito per il ruolo.
  • Assegnazioni: elenco di assegnazioni di ruolo che definiscono gli utenti che hanno accesso a determinati utenti/dispositivi. Un ruolo può avere più assegnazioni e un utente può essere incluso in più assegnazioni.

Nota

Per poter amministrare Intune, è necessario avere una licenza di Intune assegnata. In alternativa, è possibile consentire agli utenti senza licenza di amministrare Intune impostando Consenti l'accesso agli amministratori senza licenza su Sì.

Ruoli predefiniti

È possibile assegnare ruoli predefiniti a gruppi senza ulteriore configurazione. Non è possibile eliminare o modificare il nome, la descrizione, il tipo o le autorizzazioni di un ruolo predefinito.

  • Application Manager (Gestione applicazioni): consente di gestire le applicazioni per dispositivi mobili e gestite, di leggere le informazioni sui dispositivi e di visualizzare i profili di configurazione dei dispositivi.
  • Endpoint Security Manager: gestisce le funzionalità di sicurezza e conformità, ad esempio le baseline di sicurezza, la conformità dei dispositivi, l'accesso condizionale e Microsoft Defender per endpoint.
  • Help Desk Operator (Operatore help desk): consente di eseguire attività remote su utenti e dispositivi e assegnare applicazioni o criteri a utenti o dispositivi.
  • Intune Role Administrator (Amministratore dei ruoli di Intune): consentire di gestire i ruoli di Intune personalizzati e di aggiungere assegnazioni per i ruoli di Intune predefiniti. È l'unico ruolo di Intune che può assegnare autorizzazioni agli amministratori.
  • Policy and Profile Manager (Gestione criteri e profili): gestisce i criteri di conformità, i profili di configurazione, la registrazione Apple, gli identificatori dei dispositivi aziendali e le baseline di sicurezza.
  • Read Only Operator (Operatore sola lettura): consente di visualizzare informazioni su utenti, dispositivi, registrazione, configurazione e applicazioni. Non consente di apportare modifiche a Intune.
  • School Administrator (Amministratore di istituto di istruzione): Gestisce i dispositivi Windows 10 in Intune per Education.

Ruoli personalizzati

È possibile creare ruoli personalizzati con autorizzazioni personalizzate. Per altre informazioni sui ruoli personalizzati, vedere Creare un ruolo personalizzato.

Ruoli di Azure Active Directory con accesso in Intune

Ruolo di Azure Active Directory Tutti i dati di Intune Dati di controllo di Intune
Amministratore globale Lettura/Scrittura Lettura/Scrittura
Amministratore del servizio Intune Lettura/Scrittura Lettura/Scrittura
Amministratore accesso condizionale Nessuno Nessuno
Amministratore della protezione Sola lettura (autorizzazioni amministrative complete per il nodo Endpoint Security) Sola lettura
Operatore di sicurezza Sola lettura Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza Sola lettura Sola lettura
Amministratore di conformità Nessuno Sola lettura
Amministratore dati di conformità Nessuno Sola lettura
Ruolo con autorizzazioni di lettura globali Sola lettura Sola lettura
Lettore di report Sola lettura Nessuno

Suggerimento

Intune mostra inoltre tre estensioni di Azure AD: Utenti, Gruppi e Accesso condizionale, controllate tramite il controllo degli accessi in base al ruolo di Azure AD. Il ruolo Amministratore account utente, inoltre, consente di eseguire solo attività su utenti e gruppi di AAD e non dispone delle autorizzazioni complete per eseguire tutte le attività in Intune. Per altre informazioni, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.

Assegnazioni di ruoli

Un'assegnazione di ruolo definisce:

  • Quali utenti sono assegnati al ruolo
  • Quali risorse possono essere visualizzate dagli utenti
  • Quali risorse possono essere modificate dagli utenti

È possibile assegnare ruoli sia predefiniti sia personalizzati agli utenti. Per potergli assegnare un ruolo di Intune, l'utente deve avere una licenza di Intune. Per visualizzare un'assegnazione di ruolo, scegliere Ruoli di amministrazione tenant di Intune Tutti i ruoli > scegliere un ruolo > > > > assegnazioni > scegliere un'assegnazione. Nella pagina Proprietà è possibile modificare:

  • Informazioni di base: nome e descrizione delle assegnazioni.
  • Membri: tutti gli utenti nei gruppi di sicurezza di Azure elencati hanno l'autorizzazione necessaria per gestire gli utenti/i dispositivi elencati in Ambito (gruppi).
  • Ambito (gruppi) : tutti gli utenti/i dispositivi in questi gruppi di sicurezza di Azure possono essere gestiti dagli utenti in Membri.
  • Ambito (tag) : Gli utenti in Membri possono visualizzare le risorse che hanno gli stessi tag di ambito.

Più assegnazioni di ruolo

Se un utente ha più assegnazioni di ruolo, autorizzazioni e tag di ambito, queste assegnazioni di ruolo si estendono ai diversi oggetti in questo modo:

  • Le autorizzazioni di assegnazione e i tag di ambito si applicano solo agli oggetti, come criteri o app, all'interno dell'assegnazione del ruolo Ambito (gruppi). Le autorizzazioni di assegnazione e i tag di ambito non si applicano a oggetti in altre assegnazioni di ruolo, a meno che non vengano concesse in modo specifico dall'altra assegnazione.
  • Le altre autorizzazioni (ad esempio Creazione, Lettura, Aggiornamento ed Eliminazione) si applicano a tutti gli oggetti dello stesso tipo (come tutti i criteri o tutte le app) in qualsiasi assegnazione dell'utente.
  • Le autorizzazioni e i tag di ambito per oggetti di tipi diversi, come criteri o app, non si applicano le une alle altre. Un'autorizzazione di lettura per i criteri, ad esempio, non fornisce un'autorizzazione di lettura per le app nelle assegnazioni dell'utente.

Passaggi successivi