Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune
Med rollbaserad åtkomstkontroll (RBAC) kan du hantera vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Genom att tilldela roller till dina Intune-användare kan du begränsa vad de kan se och ändra. Varje roll har en uppsättning behörigheter som avgör vad användare med den rollen kan komma åt och ändra i din organisation.
För att kunna skapa, redigera eller tilldela roller måste ditt konto ha en av följande behörigheter i Azure AD:
- Global administratör
- Intune-tjänstadministratör (även kallat Intune-administratör)
Du kan titta på den här serien med fem videor med exempel och demonstrationer för råd och förslag om Intune RBAC: 1, 2, 3, 4, 5.
Roller
En roll definierar en den uppsättning behörigheter som beviljas till användare som tilldelas den rollen. Du kan använda både de inbyggda och de anpassade rollerna. Inbyggda roller omfattar några vanliga Intune-scenarier. Du kan skapa dina egna anpassade roller med den exakt uppsättning behörigheter som du behöver. Flera Azure Active Directory-roller har behörigheter till Intune. Om du vill se en roll väljer du Administrationsroller för Intune-klientorganisation > > > Alla roller > välja en roll. Du kan hantera rollen på följande sidor:
- Egenskaper: Rollens namn, beskrivning, behörigheter och omfångstaggar.
- Tilldelningar: En lista över rolltilldelningar som definierar vilka användare som har åtkomst till vilka användare/enheter. En roll kan ha flera tilldelningar och en användare kan vara i flera tilldelningar.
Anteckning
För att kunna administrera Intune måste du ha en tilldelad Intune-licens. Du kan också tillåta icke-licensierade användare att administrera Intune genom att ställa in Tillåt åtkomst för olicensierade administratörer på Ja.
Inbyggda roller
Du kan tilldela inbyggda roller till grupper utan ytterligare konfiguration. Du kan inte ta bort eller redigera namn, beskrivning, typ eller behörigheter för en inbyggd roll.
- Programhanterare: Hanterar mobila och hanterade program, kan läsa enhetsinformation och kan visa enhetsinformationsprofiler.
- Endpoint Security Manager: Hanterar säkerhets- och efterlevnadsfunktioner, till exempel säkerhetsbaslinjer, enhetsefterlevnad, villkorlig åtkomst och Microsoft Defender för slutpunkt.
- Supportavdelningen: Utför fjärråtgärder på användare och enheter och kan tilldela program eller principer till användare eller enheter.
- Administratör för Intune-roll: Hanterar anpassade Intune-roller och lägger till tilldelningar för inbyggda Intune-roller. Det är den enda Intune-rollen som kan tilldela behörigheter till administratörer.
- Princip- och profilhanterare: Hanterar principer för efterlevnad, konfigurationsprofiler, Apple-registrering, företagsenhetsidentifierare samt säkerhetsbaslinjer.
- Användare med skrivskydd: Visar information om användare, enhet, registrering, konfiguration och programmet. Kan inte göra ändringar i Intune.
- Skoladministratör: Hanterar Windows 10-enheter i Intune for Education.
Anpassade roller
Du kan skapa egna roller med anpassade behörigheter. Mer information om anpassade roller finns i Skapa en anpassad roll.
Azure Active Directory-roller med Intune-åtkomst
| Azure Active Directory-roll | Alla Intune-data | Intune-granskningsdata |
|---|---|---|
| Global administratör | Läsning/skrivning | Läsning/skrivning |
| Intune Service-administratör | Läsning/skrivning | Läsning/skrivning |
| Administratör för villkorsstyrd åtkomst | Inga | Inga |
| Säkerhetsadministratör | Skrivskyddad (fullständig administrativ behörighet för slutpunktssäkerhetsnoden) | Skrivskyddad |
| Säkerhetsoperatör | Skrivskyddad | Skrivskyddad |
| Säkerhetsläsare | Skrivskyddad | Skrivskyddad |
| Efterlevnadsadministratör | Inga | Skrivskyddad |
| Efterlevnadsdataadministratör | Inga | Skrivskyddad |
| Global läsare | Skrivskyddad | Skrivskyddad |
| Rapportläsare | Skrivskydd | Inget |
Tips
Intune visar också tre tillägg för Azure Active Directory: Användare, Grupper och Villkorlig åtkomst, som kontrolleras med hjälp av Azure Active Directory RBAC. Dessutom kan den Användarkontoadministratören endast utför aktiviteter för AAD-användare/-grupp och har inte fullständig behörighet att utföra alla aktiviteter i Intune. Mer information finns i RBAC med Azure Active Directory.
Rolltilldelningar
En rolltilldelning definierar:
- vilka användare som har tilldelats rollen
- vilka resurser de kan se
- vilka resurser de kan ändra.
Du kan tilldela användarna både anpassade och inbyggda roller. För att bli tilldelad en Intune-roll, måste användaren ha en Intune-licens. Om du vill se en rolltilldelning väljer du Administration av Intune-klientorganisation Roller Alla roller > väljer en roll > > > > tilldelningar > välja en tilldelning. På sidan Egenskaper kan du redigera:
- Grundläggande: Tilldelningars namn och beskrivning.
- Medlemmar: Alla användare i de angivna Azure-säkerhetsgrupperna har behörighet att hantera de användare/enheter som anges i Omfång (grupper).
- Omfång (grupper) : Alla användare/enheter i de här Azure- säkerhetsgrupperna kan hanteras av användarna i Medlemmar.
- Omfång (taggar) : Användare i Medlemmar kan se de resurser som har samma omfångstaggar.
Flera rolltilldelningar
Om en användare har flera rolltilldelningar, behörigheter och omfångstaggar, utökas dessa rolltilldelningarna till olika objekt på följande sätt:
- Tilldelningsbehörigheter och omfångstaggar gäller endast för objekten (till exempel principer eller appar) i rollens tilldelningsomfång (grupper). Tilldelningsbehörigheter och omfångstaggar gäller inte för objekt i andra rolltilldelningar, såvida inte den andra tilldelningen uttryckligen beviljar dem.
- Andra behörigheter (till exempel Skapa, Läsa, Uppdatera, Ta bort) och omfångstaggar gäller för alla objekt av samma typ (som alla principer eller alla appar) i alla tilldelningar för användaren.
- Behörigheter och omfångstaggar för olika typer av objekt (till exempel principer eller appar) gäller inte för varandra. Till exempel ger inte en läsbehörighet för en princip läsbehörighet till appar i användarens tilldelningar.