Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. Door rollen toe te wijzen aan uw Intune gebruikers, kunt u beperken wat ze kunnen zien en wijzigen. Elke rol heeft een set machtigingen die bepalen welke gebruikers met die rol toegang hebben tot en kunnen wijzigen binnen uw organisatie.
Als u rollen wilt maken, bewerken of toewijzen, moet uw account een van de volgende machtigingen hebben in Microsoft Entra ID:
- Hoofdbeheerder
- Intune-servicebeheerder (ook wel Intune-beheerder genoemd)
Rollen
Een rol definieert de set machtigingen die wordt verleend aan gebruikers die aan die rol zijn toegewezen. U kunt zowel de ingebouwde als de aangepaste rollen gebruiken. Ingebouwde rollen omvatten enkele veelvoorkomende Intune scenario's. U kunt uw eigen aangepaste rollen maken met de exacte set machtigingen die u nodig hebt. Verschillende Microsoft Entra rollen hebben machtigingen om te Intune. Als u een rol wilt zien in het Intune-beheercentrum, gaat u naar Tenantbeheerrollen>>Alle rollen> kiezen een rol. U kunt de rol beheren op de volgende pagina's:
- Eigenschappen: de naam, beschrijving, machtigingen en bereiktags voor de rol.
- Toewijzingen: een lijst met roltoewijzingen die definiƫren welke gebruikers toegang hebben tot welke gebruikers/apparaten. Een rol kan meerdere toewijzingen hebben en een gebruiker kan zich in meerdere toewijzingen bevinden.
Opmerking
Als u Intune wilt beheren, moet u een Intune-licentie hebben toegewezen. U kunt ook toestaan dat niet-gelicentieerde gebruikers Intune beheren door Toegang verlenen aan niet-gelicentieerde beheerders in te stellen op Ja.
Ingebouwde rollen
U kunt ingebouwde rollen toewijzen aan groepen zonder verdere configuratie. U kunt de naam, beschrijving, type of machtigingen van een ingebouwde rol niet verwijderen of bewerken.
- Toepassingsbeheer: beheert mobiele en beheerde toepassingen, kan apparaatgegevens lezen en kan apparaatconfiguratieprofielen weergeven.
- Endpoint Privilege Manager: beheert beleidsregels voor Endpoint Privilege Management in de Intune-console.
- Lezer voor eindpuntbevoegdheden: Lezers van eindpuntbevoegdheden kunnen Endpoint Privilege Management-beleid bekijken in de Intune-console.
- Endpoint Security Manager: beheert beveiligings- en nalevingsfuncties, zoals beveiligingsbasislijnen, apparaatcompatibiliteit, voorwaardelijke toegang en Microsoft Defender voor Eindpunt.
- Helpdeskmedewerker: voert externe taken uit op gebruikers en apparaten en kan toepassingen of beleidsregels toewijzen aan gebruikers of apparaten.
- Intune rolbeheerder: beheert aangepaste Intune rollen en voegt toewijzingen toe voor ingebouwde Intune rollen. Dit is de enige Intune rol die machtigingen kan toewijzen aan beheerders.
- Beleids- en profielbeheer: beheert nalevingsbeleid, configuratieprofielen, Apple-inschrijving, bedrijfsapparaat-id's en beveiligingsbasislijnen.
- Organisatieberichtenbeheer: beheert organisatieberichten in Intune console.
- Alleen-lezenoperator: hiermee worden gebruikers-, apparaat-, inschrijvings-, configuratie- en toepassingsgegevens weergegeven. Kan geen wijzigingen aanbrengen in Intune.
- Schoolbeheerder: beheert Windows 10 apparaten in Intune voor onderwijs.
- Cloud-pc-beheerder: een cloud-pc-beheerder heeft lees- en schrijftoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.
- Cloud-pc-lezer: Een cloud-pc-lezer heeft leestoegang tot alle cloud-pc-functies die zich in het gebied Cloud-pc bevinden.
Aangepaste rollen
U kunt uw eigen rollen maken met aangepaste machtigingen. Zie Een aangepaste rol maken voor meer informatie over aangepaste rollen.
Microsoft Entra rollen met Intune toegang
Microsoft Entra rol | Alle Intune gegevens | Intune auditgegevens |
---|---|---|
Hoofdbeheerder | Lezen/schrijven | Lezen/schrijven |
Intune-servicebeheerder | Lezen/schrijven | Lezen/schrijven |
Beheerder van voorwaardelijke toegang | Geen | Geen |
Beveiligingsbeheerder | Alleen-lezen (volledige beheerdersmachtigingen voor Endpoint Security-knooppunt) | Alleen-lezen |
Beveiligingsoperator | Alleen-lezen | Alleen-lezen |
Beveiligingslezer | Alleen-lezen | Alleen-lezen |
Beheerder voor naleving | Geen | Alleen-lezen |
Beheerder van nalevingsgegevens | Geen | Alleen-lezen |
Globale lezer (deze rol is gelijk aan de rol Intune helpdeskmedewerker) | Alleen-lezen | Alleen-lezen |
Helpdeskbeheerder (deze rol is gelijk aan de rol Intune helpdeskmedewerker) | Alleen-lezen | Alleen-lezen |
Rapportenlezer | Geen | Alleen-lezen |
Tip
Intune toont ook drie Microsoft Entra-extensies: Gebruikers, Groepen en voorwaardelijke toegang, die worden beheerd met Microsoft Entra RBAC. Bovendien voert de beheerder van het gebruikersaccount alleen Microsoft Entra gebruikers-/groepsactiviteiten uit en beschikt hij niet over volledige machtigingen om alle activiteiten in Intune uit te voeren. Zie RBAC met Microsoft Entra ID voor meer informatie.
Roltoewijzingen
Een roltoewijzing definieert:
- welke gebruikers zijn toegewezen aan de rol
- welke resources ze kunnen zien
- welke resources ze kunnen wijzigen.
U kunt zowel aangepaste als ingebouwde rollen toewijzen aan uw gebruikers. Als u een Intune-rol wilt toewijzen, moet de gebruiker een Intune-licentie hebben. Als u een roltoewijzing wilt zien, kiest u Intune>TenantbeheerRollen>>Alle rollen> kiezen een rolToewijzingen>> kies een toewijzing. Op de pagina Eigenschappen kunt u het volgende bewerken:
- Basisbeginselen: de naam en beschrijving van de toewijzingen.
- Leden: alle gebruikers in de vermelde Azure-beveiligingsgroepen zijn gemachtigd om de gebruikers/apparaten te beheren die worden vermeld in Bereik (Groepen).
- Bereik (Groepen): Bereik Groepen Microsoft Entra beveiligingsgroepen van gebruikers of apparaten of beide waarvoor beheerders in die roltoewijzing zijn beperkt tot het uitvoeren van bewerkingen. Bijvoorbeeld de implementatie van een beleid of toepassing voor een gebruiker of het op afstand vergrendelen van een apparaat. Alle gebruikers en apparaten in deze Microsoft Entra beveiligingsgroepen kunnen worden beheerd door de gebruikers in Leden.
- Bereik (tags): gebruikers in Leden kunnen de resources zien die dezelfde bereiktags hebben.
Opmerking
Bereiktags zijn vrije tekstwaarden die een beheerder definieert en vervolgens toevoegt aan een roltoewijzing. De bereiktag die is toegevoegd aan een rol, bepaalt de zichtbaarheid van de rol zelf, terwijl de bereiktag die is toegevoegd aan roltoewijzing de zichtbaarheid van Intune objecten (zoals beleid en apps) of apparaten beperkt tot alleen beheerders in die roltoewijzing, omdat de roltoewijzing een of meer overeenkomende bereiktags bevat.
Meerdere roltoewijzingen
Als een gebruiker meerdere roltoewijzingen, machtigingen en bereiktags heeft, worden deze roltoewijzingen als volgt uitgebreid naar verschillende objecten:
- Machtigingen zijn incrementeel in het geval dat twee of meer rollen machtigingen verlenen aan hetzelfde object. Een gebruiker met leesmachtigingen van de ene rol en lezen/schrijven van een andere rol heeft bijvoorbeeld een effectieve machtiging lezen/schrijven (ervan uitgaande dat de toewijzingen voor beide rollen dezelfde bereiktags hebben).
- Toewijzingsmachtigingen en bereiktags zijn alleen van toepassing op de objecten (zoals beleid of apps) in het toewijzingsbereik van die rol (Groepen). Toewijzingsmachtigingen en bereiktags zijn niet van toepassing op objecten in andere roltoewijzingen, tenzij de andere toewijzing deze specifiek verleent.
- Andere machtigingen (zoals Maken, Lezen, Bijwerken, Verwijderen) en bereiktags zijn van toepassing op alle objecten van hetzelfde type (zoals alle beleidsregels of alle apps) in een van de toewijzingen van de gebruiker.
- Machtigingen en bereiktags voor objecten van verschillende typen (zoals beleid of apps), zijn niet van toepassing op elkaar. Een leesmachtiging voor een beleid biedt bijvoorbeeld geen leesmachtiging voor apps in de toewijzingen van de gebruiker.
- Wanneer er geen bereiktags zijn of sommige bereiktags zijn toegewezen vanuit verschillende toewijzingen, kan een gebruiker alleen apparaten zien die deel uitmaken van bepaalde bereiktags en niet alle apparaten zien.