Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren welke personen toegang hebben tot resources van uw organisatie en wat ze kunnen doen met deze resources. Door het toewijzen van rollen aan uw Intune-gebruikers kunt u beperken wat ze kunnen bekijken en wijzigen. Elke rol heeft een set machtigingen om te bepalen waartoe gebruikers met deze rol in uw organisatie toegang hebben en welke wijzigingen zij kunnen aanbrengen.
Als u rollen wilt maken, bewerken of toewijzen, moet uw account een van de volgende machtigingen hebben in Azure AD:
- Globale beheerder
- Intune-servicebeheerder (ook wel bekend als Intune-beheerder)
Voor advies en suggesties over Intune RBAC kunt u de volgende vijf video's bekijken, waarin voorbeelden en procedures worden getoond: 1, 2, 3, 4, 5.
Rollen
Met een rol wordt bepaald welke set machtigingen aan gebruikers wordt verleend die zijn toegewezen aan die rol. U kunt zowel ingebouwde als aangepaste rollen gebruiken. Ingebouwde rollen hebben betrekking op bepaalde algemene Intune-scenario's. U kunt uw eigen aangepaste rollen maken met de exacte set machtigingen die u nodig hebt. Meerdere Azure Active Directory-rollen hebben machtigingen voor Intune. Als u een rol wilt zien, kiest u Intune-tenantbeheerrollen > > > Alle rollen > een rol te kiezen. U kunt de rol beheren op de volgende pagina's:
- Eigenschappen: de naam, beschrijving, machtigingen en bereiktags voor de rol.
- Toewijzingen: een lijst met roltoewijzingen waarin wordt gedefinieerd welke gebruikers toegang hebben tot welke gebruikers/apparaten. Een rol kan over meerdere toewijzingen beschikken, en een gebruiker kan zich in meerdere toewijzingen bevinden.
Notitie
Als u Intune wilt beheren, moet er een Intune-licentie zijn toegewezen. U kunt ook toestaan dat niet-gelicentieerde gebruikers Intune beheren door Toegang tot niet-gelicentieerde beheerders toestaan in te stellen op Ja.
Ingebouwde rollen
U kunt ingebouwde rollen toewijzen aan groepen zonder verdere configuratie. U kunt de naam, de beschrijving, het type of de machtigingen van een ingebouwde rol niet verwijderen of bewerken.
- Toepassingsbeheerder: hiermee beheert u mobiele en beheerde toepassingen, kunt u apparaatgegevens lezen en kunt u apparaatconfiguratieprofielen weergeven.
- Endpoint Security Manager: beheert beveiligings- en nalevingsfuncties, zoals beveiligingsbasislijnen, apparaat naleving, voorwaardelijke toegang en Microsoft Defender for Endpoint.
- Helpdesk-medewerker: voert externe taken uit voor gebruikers en apparaten en kan toepassingen of beleid toewijzen aan gebruikers of apparaten.
- Beheerder Intune-rol: hiermee beheert u aangepaste Intune-rollen en voegt u toewijzingen toe voor ingebouwde Intune-rollen. Het is de enige rol in Intune die machtigingen aan beheerders kan toewijzen.
- Beleid- en profielbeheerder: Hiermee worden het nalevingsbeleid, de configuratieprofielen, de Apple-inschrijving en id's van bedrijfsapparaten en beveiligingsbasislijnen beheerd.
- Operator met alleen-lezenmachtiging: kan alleen gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergeven. Kan geen wijzigingen aan Intune aanbrengen.
- School Administrator: Hiermee worden Windows 10-apparaten beheerd in Intune for Education.
Aangepaste rollen
U kunt uw eigen rollen maken met aangepaste machtigingen. Zie Een aangepaste rol makenvoor meer informatie over aangepaste rollen.
Azure Active Directory-rollen met Intune-toegang
| Azure Active Directory-rol | Alle Intune-gegevens | Controlegegevens voor Intune |
|---|---|---|
| Hoofdbeheerder | Lezen/schrijven | Lezen/schrijven |
| Intune-servicebeheerder | Lezen/schrijven | Lezen/schrijven |
| Beheerder van voorwaardelijke toegang | Geen | Geen |
| Beveiligingsbeheer | Alleen-lezen (volledige beheerdersmachtigingen voor Endpoint Security-knooppunt) | Alleen-lezen |
| Beveiligingsoperator | Alleen-lezen | Alleen-lezen |
| Beveiligingslezer | Alleen-lezen | Alleen-lezen |
| Beheerder voor naleving | Geen | Alleen-lezen |
| Beheerder voor nalevingsgegevens | Geen | Alleen-lezen |
| Algemene lezer | Alleen lezen | Alleen lezen |
| Rapportenlezer | Alleen-lezen | Geen |
Tip
Intune bevat ook drie Azure AD-uitbreidingen: Gebruikers, Groepen en Voorwaardelijke toegang, die worden beheerd met Azure AD RBAC. Bovendien voert de Beheerder van gebruikersaccounts alleen activiteiten van AAD-gebruikers of -groepen uit en beschikt deze niet over volledige machtigingen voor het uitvoeren van alle activiteiten in Intune. Zie RBAC met Azure AD voor meer informatie.
Roltoewijzingen
Met een roltoewijzing wordt gedefinieerd:
- Welke gebruikers aan de rol zijn toegewezen.
- Welke resources ze kunnen zien.
- Welke resources ze kunnen wijzigen.
U kunt aangepaste en ingebouwde rollen toewijzen aan uw gebruikers. Alleen aan gebruikers met een Intune-licentie kan een Intune-rol worden toegewezen. Als u een roltoewijzing wilt zien, kiest u Intune-tenantbeheerrollen Alle rollen > kies een rol > > > > Toewijzingen > een toewijzing te kiezen. Op de pagina Eigenschappen kunt u het volgende bewerken:
- Basisprincipes: de naam en beschrijving van de toewijzingen.
- Leden: Alle gebruikers in vermelde Azure-beveiligingsgroepen hebben een machtiging voor het beheren van de gebruikers/apparaten die in Bereik (groepen) worden vermeld.
- Bereik (groepen) : Alle gebruikers/apparaten in deze Azure-beveiligingsgroepen kunnen worden beheerd door de gebruikers in Leden.
- Bereik (tags) : Gebruikers in Leden kunnen de resources zien die over dezelfde bereiktags beschikken.
Meervoudige roltoewijzingen
Als een gebruiker meerdere roltoewijzingen, machtigingen en bereiktags heeft, worden deze roltoewijzingen als volgt uitgebreid naar verschillende objecten:
- Toegewezen machtigingen en bereiktags zijn alleen van toepassing op de objecten (zoals beleid of apps) in het bereik van deze roltoewijzing (groepen). Toegewezen machtigingen en bereiktags zijn niet van toepassing op objecten in andere roltoewijzingen, tenzij de andere toewijzing deze specifiek verleent.
- Andere machtigingen (zoals maken, lezen, bijwerken en verwijderen) en bereiktags zijn van toepassing op alle objecten van hetzelfde type (zoals alle beleidsregels of alle apps) in een van de toewijzingen van de gebruiker.
- Machtigingen en bereiktags voor objecten van verschillende typen (zoals beleid of apps), zijn niet van toepassing op elkaar. Een leesmachtiging voor een beleidsregel, bijvoorbeeld, biedt geen leesmachtiging voor apps in toewijzingen van de gebruiker.