Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Informationen i den här artikeln kan hjälpa dig att tilldela användare inbyggda eller anpassade RBAC-roller (Rollbaserad åtkomstkontroll) till användare som administrerar din Intune-prenumeration. RBAC-roller tilldelas till grupper och inte enskilda användare.
Innan du tilldelar roller till grupper ska du se till att du har tillräckligt med grupper för de olika administrativa Intune-uppgifterna och granska medlemskapet för dessa grupper. Varje medlem i en grupp som har tilldelats en RBAC-roll får de behörigheter som tilldelats av den rollen. Behörigheter från flera grupper är kumulativa för en användare och det finns inga alternativ för att neka specifika behörigheter. Du kan dock använda omfångstaggar med RBAC för att begränsa omfattningen av vad olika grupper av individer kan visa och hantera.
Viktigt
Microsoft avråder från att använda konton med behörigheter på Intune-administratörsnivå för daglig hantering när mindre privilegierade roller räcker. Intune-administratörsbehörigheter krävs dock under den första Intune-installationen för uppgifter som:
- Lägg till användare i Intune som fungerar som Intune-administratörer. (Se Lägg till användare)
- Skapa grupper av användare som delar liknande administrativa uppgifter. (Se Lägg till grupper)
- Tilldela RBAC-roller till grupper av användare, vilket ger varje grupp endast de behörigheter som krävs för att utföra sina dagliga uppgifter. (Den här artikeln)
När du har slutfört de här stegen växlar du till ett konto med endast de behörigheter som krävs för löpande administration för att upprätthålla principen om lägsta behörighet.
RBAC-behörigheter som krävs för att tilldela roller
Om du vill hantera RBAC-roller och tilldelningar i Intune måste ditt konto ha någon av följande behörighetsuppsättningar:
Den inbyggda Intune-rollen som Intune-rolladministratör. Minst privilegierad inbyggd roll
En anpassad roll som innehåller följande kategorier och kategoribehörigheter:
Roller:
- Tilldela
- Skapa
- Radera
- Läsa
- Update
Organisation:
- Läsa
Obs!
Förbättrad säkerhet: Godkännande av flera Admin stöder nu rollbaserad åtkomstkontroll. När den här inställningen är aktiverad måste en andra administratör godkänna ändringar i roller. Dessa ändringar kan omfatta uppdateringar av rollbehörigheter, administratörsgrupper eller medlemsgruppstilldelningar. Ändringen börjar gälla först efter godkännandet. Den här processen med dubbel auktorisering skyddar din organisation mot obehöriga eller oavsiktliga ändringar av rollbaserad åtkomstkontroll. Mer information finns i Använda godkännande för flera Admin i Intune.
Distribuera Intune-rolltilldelningar
Innan du distribuerar Intune-roller bör du känna till Om Intune-rolltilldelningar som innehåller information om flera aspekter av Rolltilldelningar i Intune.
Logga in på administrationscentret för Microsoft Intune och gå till Innehavaradministrationsroller>>Alla roller.
På sidan Intune-roller – Alla roller hittar du alla Intune-roller som är tillgängliga att tilldela i din klientorganisation. Varje roll har en typ som identifierar den som antingen en inbyggd roll som tillhandahålls av Intune eller en anpassad Intune-roll som skapats av din organisation.
Välj den roll som du vill tilldela och välj sedan Tilldelningar>+ Tilldela.
På sidan Grundläggande anger du ett Namn och en valfri Beskrivning och väljer sedan Nästa.
På sidan Admin grupper väljer du Lägg till grupper och sedan en grupp som innehåller de användare som du vill tilldela rollbehörigheterna till.
Tips
När du tilldelar en roll till en grupp får varje medlem i den gruppen de behörigheter som tilldelats av den rollen. Tilldela endast roller till grupper som du känner till medlemskapet för och som inte inkluderar användare som inte ska få de administratörsbehörigheter som tillhandahålls av rollen.
Obs!
Om din klientorganisation tillåter olicensierade administratörer gäller Rolltilldelningar i Intune endast för direkta medlemmar i den tilldelade säkerhetsgruppen. Medlemmar i kapslade grupper får inte dessa tilldelningar som standard. Men om en användare i en kapslad grupp har en Intune-licens får den användaren Intune-rollen.
Välj Nästa.
På sidan Omfång (grupper) lägger du till grupper som endast innehåller de användare eller enheter som medlemmarna i de Admin grupper som du valde i föregående steg ska kunna hanteras. Välj sedan Nästa.
Obs!
Grupperna Alla användare och Alla enheter är virtuella Intune-grupper, inte Microsoft Entra säkerhetsgrupper. Därför kan du inte använda dem som överordnade för Microsoft Entra säkerhetsgrupper i omfångstilldelningar (grupper). Om du vill tilldela Alla användare och Alla enheter och specifika Microsoft Entra säkerhetsgrupper lägger du till dem separat. Annars har administratörer inte åtkomst till specifika Microsoft Entra användargrupper även om rollens omfång (grupper) är inställt på Alla användare.
Kapsling stöds för Microsoft Entra säkerhetsgrupper.
På sidan Omfång (taggar) väljer du taggar där den här rolltilldelningen tillämpas. Välj Nästa.
Obs!
När du definierar omfångsgrupper och sedan tilldelar en omfångstagg kan administratörer endast rikta in sig på grupper som anges i omfånget (grupper) för rolltilldelningen.
På sidan Granska + skapa väljer du Skapa när du är klar.
Den nya tilldelningen visas i listan över tilldelningar.