Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune
Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Genom att tilldela roller till dina Intune användare kan du begränsa vad de kan se och ändra. Varje roll har en uppsättning behörigheter som avgör vilka användare med den rollen som kan komma åt och ändra i din organisation.
Om du vill skapa, redigera eller tilldela roller måste ditt konto ha någon av följande behörigheter i Microsoft Entra ID:
- Global administratör
- Intune-tjänstadministratör (kallas även Intune-administratör)
- En Intune roll med rollbehörigheter
Roller
En roll definierar den uppsättning behörigheter som beviljas till användare som tilldelats den rollen. Du kan använda både de inbyggda och anpassade rollerna. Inbyggda roller omfattar några vanliga Intune scenarier. Du kan skapa egna anpassade roller med exakt den uppsättning behörigheter som du behöver. Flera Microsoft Entra roller har behörighet att Intune. Om du vill se en roll i Intune administrationscenter går du till Innehavaradministrationsroller>>Alla roller> väljer en roll. Du kan hantera rollen på följande sidor:
- Egenskaper: Namn, beskrivning, behörigheter och omfångstaggar för rollen.
- Tilldelningar: En lista över rolltilldelningar som definierar vilka användare som har åtkomst till vilka användare/enheter. En roll kan ha flera tilldelningar och en användare kan vara i flera tilldelningar.
Obs!
För att kunna administrera Intune måste du ha tilldelats en Intune licens. Du kan också tillåta att icke-licensierade användare administrerar Intune genom att ange Tillåt åtkomst till olicensierade administratörer till Ja.
Inbyggda roller
Du kan tilldela inbyggda roller till grupper utan ytterligare konfiguration. Du kan inte ta bort eller redigera namn, beskrivning, typ eller behörigheter för en inbyggd roll.
- Application Manager: Hanterar mobila och hanterade program, kan läsa enhetsinformation och kan visa enhetskonfigurationsprofiler.
- Endpoint Privilege Manager: Hanterar principer för hantering av slutpunktsprivilegier i Intune-konsolen.
- Slutpunktsbehörighetsläsare: Slutpunktsprivilegier läsare kan visa principer för hantering av slutpunktsprivilegier i Intune-konsolen.
- Endpoint Security Manager: Hanterar säkerhets- och efterlevnadsfunktioner, till exempel säkerhetsbaslinjer, enhetsefterlevnad, villkorsstyrd åtkomst och Microsoft Defender för Endpoint.
- Supportansvarig: Utför fjärruppgifter på användare och enheter och kan tilldela program eller principer till användare eller enheter.
- Intune rolladministratör: Hanterar anpassade Intune roller och lägger till tilldelningar för inbyggda Intune roller. Det är den enda Intune rollen som kan tilldela behörigheter till administratörer.
- Princip- och profilhanterare: Hanterar efterlevnadsprinciper, konfigurationsprofiler, Apple-registrering, företagsenhetsidentifierare och säkerhetsbaslinjer.
- Chef för organisationsmeddelanden: Hanterar organisationsmeddelanden i Intune-konsolen.
- Skrivskyddad operatör: Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune.
- Skoladministratör: Hanterar Windows 10 enheter i Intune for Education.
- Cloud PC-administratör: En molndatoradministratör har läs- och skrivåtkomst till alla Cloud PC-funktioner som finns i området Cloud PC.
- Cloud PC-läsare: En Cloud PC-läsare har läsåtkomst till alla Cloud PC-funktioner som finns i cloud pc-området.
Anpassade roller
Du kan skapa egna roller med anpassade behörigheter. Mer information om anpassade roller finns i Skapa en anpassad roll.
Microsoft Entra roller med Intune åtkomst
Microsoft rekommenderar att du följer principen om lägsta behörighet genom att endast tilldela den lägsta behörighet som krävs för att en administratör ska kunna utföra sina uppgifter. Global administratör och Intune tjänstadministratör är privilegierade roller och tilldelningen bör begränsas.
| Microsoft Entra roll | Alla Intune data | Intune granskningsdata |
|---|---|---|
| Global administratör | Läsa/skriva | Läsa/skriva |
| Intune-tjänstadministratör | Läsa/skriva | Läsa/skriva |
| Administratör för villkorsstyrd åtkomst | Inga | Inga |
| Säkerhetsadministratör | Skrivskyddad (fullständiga administrativa behörigheter för noden Endpoint Security) | Skrivskyddad |
| Säkerhetsoperatör | Skrivskyddad | Skrivskyddad |
| Säkerhetsläsare | Skrivskyddad | Skrivskyddad |
| Efterlevnadsadministratör | Ingen | Skrivskyddad |
| Administratör för efterlevnadsdata | Ingen | Skrivskyddad |
| Global läsare (den här rollen motsvarar rollen Intune supportansvarig) | Skrivskyddad | Skrivskyddad |
| Supportadministratör (den här rollen motsvarar rollen Intune supportansvarig) | Skrivskyddad | Skrivskyddad |
| Rapportläsare | Ingen | Skrivskyddad |
Tips
Intune visar även tre Microsoft Entra tillägg: Användare, Grupper och villkorlig åtkomst, som styrs med hjälp av Microsoft Entra RBAC. Dessutom utför användarkontoadministratören endast Microsoft Entra användar-/gruppaktiviteter och har inte fullständig behörighet att utföra alla aktiviteter i Intune. Mer information finns i RBAC med Microsoft Entra ID.
Privileged Identity Management för Intune
Intune stöder två metoder för rollhöjning. Det finns prestanda och minsta möjliga behörighetsskillnader mellan de två metoderna.
Metod 1: Skapa en jit-princip (just-in-time) med Microsoft Entra Privileged Identity Management (PIM) för den Microsoft Entra inbyggda Intune-administratörsrollen och tilldela den ett administratörskonto.
Metod 2: Använd Privileged Identity Management (PIM) för Grupper med en Intune RBAC-rolltilldelning. Mer information om hur du använder PIM för Grupper med Intune RBAC-roller finns i: Konfigurera Microsoft Intune just-in-time-administratörsåtkomst med Microsoft Entra PIM för Grupper | Microsoft Community Hub
När du använder PIM-höjning för Microsoft Entra ID inbyggd Intune administratörsroll sker höjningen vanligtvis inom 10 sekunder. PIM-Grupper-baserad höjning för Intune anpassade roller kan ta upp till 15 minuter att tillämpa.
Rolltilldelningar
En rolltilldelning definierar:
- vilka användare som har tilldelats rollen
- vilka resurser de kan se
- vilka resurser de kan ändra.
Du kan tilldela både anpassade och inbyggda roller till dina användare som är administratörer i Intune. För att tilldelas en Intune roll måste användaren ha en Intune licens. Om du vill se en rolltilldelning väljer du Intune>Aktiverande administrationsroller>>Alla roller> väljer en roll >Tilldelningar> väljer en tilldelning. På sidan Egenskaper kan du redigera:
- Grunderna: Tilldelningens namn och beskrivning.
- Medlemmar: Alla användare i de angivna Azure-säkerhetsgrupperna har behörighet att hantera de användare/enheter som anges i Omfång (Grupper).
- Omfång (Grupper): Omfång Grupper är Microsoft Entra säkerhetsgrupper med användare eller enheter eller båda för vilka administratörer i rolltilldelningen är begränsade till att utföra åtgärder på. Till exempel distribution av en princip eller ett program till en användare eller fjärrlåsning av en enhet. Alla användare och enheter i dessa Microsoft Entra säkerhetsgrupper kan hanteras av användarna i Medlemmar.
- Omfångstaggar: Användare i medlemmar kan se de resurser som har samma omfångstaggar.
Obs!
Omfångstaggar är frihandsfigurstextvärden som en administratör definierar och sedan lägger till i en rolltilldelning. Omfångstaggen som läggs till i en roll styr synligheten för själva rollen, medan omfångstaggen som läggs till i rolltilldelning begränsar synligheten för Intune objekt (till exempel principer och appar) eller enheter till endast administratörer i rolltilldelningen eftersom rolltilldelningen innehåller en eller flera matchande omfångstaggar.
Flera rolltilldelningar
Om en användare har flera rolltilldelningar, behörigheter och omfångstaggar utökas dessa rolltilldelningar till olika objekt enligt följande:
- Behörigheter är inkrementella om två eller flera roller beviljar behörigheter till samma objekt. En användare med läsbehörigheter från en roll och Läsa/skriva från en annan roll har till exempel en gällande behörighet för Läs/skriva (förutsatt att tilldelningarna för båda rollerna är inriktade på samma omfångstaggar).
- Tilldela behörigheter och omfångstaggar gäller endast för objekten (t.ex. principer eller appar) i den rollens tilldelningsomfång (Grupper). Tilldela behörigheter och omfångstaggar gäller inte för objekt i andra rolltilldelningar om inte den andra tilldelningen uttryckligen beviljar dem.
- Andra behörigheter (till exempel Skapa, Läsa, Uppdatera, Ta bort) och omfångstaggar gäller för alla objekt av samma typ (till exempel alla principer eller alla appar) i någon av användarens tilldelningar.
- Behörigheter och omfångstaggar för objekt av olika typer (till exempel principer eller appar) gäller inte för varandra. En läsbehörighet för en princip ger till exempel inte läsbehörighet till appar i användarens tilldelningar.
- När det inte finns några omfångstaggar eller omfångstaggar har tilldelats från olika tilldelningar kan en användare bara se enheter som ingår i vissa omfångstaggar och inte kan se alla enheter.