Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Att skydda åtkomsten till din organisation är ett viktigt säkerhetssteg. Den här artikeln innehåller grundläggande information om hur du använder rollbaserade åtkomstkontroller i Microsoft Intune (RBAC), som är ett tillägg till Microsoft Entra RBAC-kontroller för ID. Efterföljande artiklar kan hjälpa dig att distribuera Intune RBAC i din organisation.
Med Intune RBAC kan du bevilja detaljerade behörigheter till dina administratörer för att styra vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. När du tilldelar Intune RBAC-roller och följer principerna för åtkomst med minst behörighet kan dina administratörer utföra sina tilldelade uppgifter på endast de användare och enheter som de ska ha behörighet att hantera.
RBAC-roller
Varje Intune RBAC-roll anger en uppsättning behörigheter som är tillgängliga för användare som tilldelats den rollen. Behörigheter består av en eller flera hanteringskategorier som Enhetskonfiguration eller Granskningsdata och uppsättningar med åtgärder som kan vidtas, till exempel Läsa, Skriva, Uppdatera och Ta bort. Tillsammans definierar de omfattningen av administrativ åtkomst och behörigheter i Intune.
Intune innehåller både inbyggda och anpassade roller. Inbyggda roller är desamma i alla klienter och tillhandahålls för att hantera vanliga administrativa scenarier, medan anpassade roller som du skapar tillåter specifika behörigheter efter behov av en administratör. Dessutom innehåller flera Microsoft Entra roller behörigheter i Intune.
Om du vill visa en roll i Administrationscenter för Intune går du till Innehavaradministrationsroller>>Alla roller> och väljer en roll. Du kan sedan hantera den rollen via följande sidor:
- Egenskaper: Namn, beskrivning, behörigheter och omfångstaggar för rollen. Du kan också visa namn, beskrivning och behörigheter för inbyggda roller i den här dokumentationen med inbyggda rollbehörigheter.
- Tilldelningar: Välj en tilldelning för en roll om du vill visa information om den, inklusive de grupper och omfång som tilldelningen innehåller. En roll kan ha flera tilldelningar och en användare kan ta emot flera tilldelningar.
Obs!
I juni 2021 började Intune stödja olicensierade administratörer. Användarkonton som skapats efter den här ändringen kan administrera Intune utan en tilldelad licens. Konton som skapats före den här ändringen och administratörskonton i en kapslad säkerhetsgrupp som tilldelats en roll kräver fortfarande en licens för att hantera Intune.
Inbyggda roller
En Intune-administratör med tillräcklig behörighet kan tilldela någon av Intune-rollerna till användargrupper. Inbyggda roller beviljar specifika behörigheter som krävs för att utföra administrativa uppgifter som överensstämmer med rollens syfte. Intune stöder inte redigeringar av beskrivning, typ eller behörigheter för en inbyggd roll.
- Application Manager: Hanterar mobila och hanterade program, kan läsa enhetsinformation och kan visa enhetskonfigurationsprofiler.
- Endpoint Privilege Manager: Hanterar Hantering av slutpunktsprivilegier principer i Intune-konsolen.
- Slutpunktsbehörighetsläsare: Slutpunktsbehörighetsläsare kan visa Hantering av slutpunktsprivilegier principer i Intune-konsolen.
- Endpoint Security Manager: Hanterar säkerhets- och efterlevnadsfunktioner, till exempel säkerhetsbaslinjer, enhetsefterlevnad, villkorsstyrd åtkomst och Microsoft Defender för Endpoint.
- Supportansvarig: Utför fjärruppgifter på användare och enheter och kan tilldela program eller principer till användare eller enheter.
- Intune-rolladministratör: Hanterar anpassade Intune-roller och lägger till tilldelningar för inbyggda Intune-roller. Det är den enda Intune-rollen som kan tilldela behörigheter till administratörer.
- Princip- och profilhanterare: Hanterar efterlevnadsprinciper, konfigurationsprofiler, Apple-registrering, företagsenhetsidentifierare och säkerhetsbaslinjer.
- Skrivskyddad operatör: Visar information om användare, enhet, registrering, konfiguration och program. Det går inte att göra ändringar i Intune.
- Skoladministratör: Skoladministratörer hanterar appar, inställningar och enheter för sina grupper i Intune for Education. De kan vidta fjärråtgärder på enheter, inklusive fjärrlåsa dem, starta om dem och dra tillbaka dem från hanteringen.
När din klientorganisation innehåller en prenumeration på Windows 365 för att stödja molndatorer visas även följande Cloud PC-roller i Intune-administrationscentret. De här rollerna är inte tillgängliga som standard och innehåller behörigheter i Intune för uppgifter som rör molndatorer. Mer information om dessa roller finns i Inbyggda roller för Cloud PC i Windows 365-dokumentationen.
- Cloud PC-administratör: En molndatoradministratör har läs- och skrivåtkomst till alla Cloud PC-funktioner som finns i området Molndator.
- Cloud PC-läsare: En Cloud PC-läsare har läsåtkomst till alla Cloud PC-funktioner i området Cloud PC.
Anpassade roller
Du kan skapa egna anpassade Intune-roller för att endast ge administratörer de specifika behörigheter som krävs för deras uppgifter. Dessa anpassade roller kan innehålla alla Intune RBAC-behörigheter, vilket ger förfinad administratörsåtkomst och stöd för principen om minst privilegierad åtkomst i organisationen.
Microsoft Entra roller med Intune-åtkomst
Intune RBAC-behörigheter är en delmängd av Microsoft Entra RBAC-behörigheter. Som en delmängd finns det några Microsoft Entra roller som innehåller behörigheter i Intune. De flesta Entra ID roller som har åtkomst till Intune betraktas som privilegierade roller. Användningen och tilldelningen av privilegierade roller bör begränsas och inte användas för dagliga administrativa uppgifter i Intune.
Microsoft rekommenderar att du följer principen om lägsta behörighet genom att endast tilldela den lägsta behörighet som krävs för att en administratör ska kunna utföra sina uppgifter. För att stödja den här principen använder du Intunes inbyggda RBAC-roller för dagliga administrativa uppgifter i Intune och undviker att använda Microsoft Entra roller som har åtkomst till Intune.
I följande tabell identifieras de Microsoft Entra roller som har åtkomst till Intune och de Intune-behörigheter som de innehåller.
| Microsoft Entra roll | Alla Intune-data | Intune-granskningsdata |
|---|---|---|
|
Läsa/skriva | Läsa/skriva |
|
intune-tjänstadministratör |
Läsa/skriva | Läsa/skriva |
|
villkorlig åtkomst |
Inga | Inga |
|
säkerhetsadministratör |
Skrivskyddad (fullständiga administrativa behörigheter för noden Endpoint Security) | Skrivskyddad |
|
|
Skrivskyddad | Skrivskyddad |
|
säkerhetsläsare |
Skrivskyddad | Skrivskyddad |
| Efterlevnadsadministratör | Ingen | Skrivskyddad |
| Administratör för efterlevnadsdata | Ingen | Skrivskyddad |
|
(den här rollen motsvarar rollen Supportansvarig för Intune) |
Skrivskyddad | Skrivskyddad |
| Ikonen supportadministratör (den här rollen motsvarar rollen Supportansvarig för Intune) |
Skrivskyddad | Skrivskyddad |
| Rapportläsare | Ingen | Skrivskyddad |
Förutom de Microsoft Entra roller med behörighet i Intune är följande tre områden i Intune direkta tillägg av Microsoft Entra: Användare, Grupper och Villkorsstyrd åtkomst. Instanser av dessa objekt och konfigurationer som görs inifrån Intune finns i Microsoft Entra. Som Microsoft Entra objekt kan de hanteras av Microsoft Entra administratörer med tillräcklig behörighet som beviljas av en Microsoft Entra roll. På samma sätt kan Intune-administratörer med tillräcklig behörighet för Intune visa och hantera dessa objekttyper som skapas i Microsoft Entra.
Roller som global administratör och Intune-administratör
Rollen Global administratör är en inbyggd roll i Microsoft Entra och har fullständig åtkomst till Microsoft Intune. Globala administratörer har åtkomst till administrativa funktioner i Microsoft Entra-ID och tjänster som använder Microsoft Entra identiteter, inklusive Microsoft Intune.
Så här minskar du risken:
Använd inte rollen Global administratör i Intune. Microsoft rekommenderar inte att du använder rollen Global administratör för att administrera eller hantera Intune.
Det finns vissa funktioner i Intune som kräver rollen Global administratör, till exempel vissa MTD-anslutningsappar (Mobile Threat Defense). I dessa fall använder du bara rollen Global administratör när det behövs och tar sedan bort den när uppgiften är klar.
Använd inbyggda Intune-roller eller skapa anpassade roller för att administrera och hantera Intune.
Tilldela den minst privilegierade Intune-rollen som krävs för att administratören ska kunna utföra sina uppgifter.
Mer information om rollen Microsoft Entra global administratör finns i Microsoft Entra inbyggda roller – Global administratör.
Intune-administratörsrollen är en inbyggd roll i Microsoft Entra och kallas även intune-tjänstadministratörsrollen. Den har ett begränsat omfång av behörigheter för att administrera och hantera Intune och hantera relaterade funktioner, till exempel användar- och grupphantering. Den här rollen är lämplig för administratörer som bara behöver administrera Intune.
Så här minskar du risken:
- Tilldela intune-administratörsrollen endast efter behov. Om det finns en inbyggd Intune-roll som uppfyller administratörens behov tilldelar du den rollen i stället för Intune-administratörsrollen. Tilldela alltid den minst privilegierade Intune-roll som krävs för att administratören ska kunna utföra sina uppgifter.
- Skapa anpassade roller för att ytterligare begränsa behörighetsområdet för dina administratörer.
Förbättrade säkerhetskontroller:
Godkännande för flera Admin stöder nu rollbaserad åtkomstkontroll. När den här inställningen är aktiverad måste en andra administratör godkänna ändringar i roller. Dessa ändringar kan omfatta uppdateringar av rollbehörigheter, administratörsgrupper eller medlemsgruppstilldelningar. Ändringen börjar gälla först efter godkännandet. Den här processen med dubbel auktorisering skyddar din organisation mot obehöriga eller oavsiktliga ändringar av rollbaserad åtkomstkontroll. Mer information finns i Använda godkännande för flera Admin i Intune.
Mer information om rollen Microsoft Entra Intune-administratör finns i Microsoft Entra inbyggda roller – Intune-administratör.
Privileged Identity Management för Intune
När du använder Entra ID Privileged Identity Management (PIM) kan du hantera när en användare kan använda de behörigheter som tillhandahålls av en Intune RBAC-roll eller Intune-administratörsrollen från Entra ID.
Intune stöder två metoder för rollhöjning. Det finns prestanda och minsta möjliga behörighetsskillnader mellan de två metoderna.
Metod 1: Skapa en jit-princip (just-in-time) med Microsoft Entra Privileged Identity Management (PIM) för Microsoft Entra inbyggda Intune-administratörsrollen och tilldela den ett administratörskonto.
Metod 2: Använd Privileged Identity Management (PIM) för grupper med en Rolltilldelning för Intune RBAC. Mer information om hur du använder PIM för grupper med Intune RBAC-roller finns i: Konfigurera just-in-time-administratörsåtkomst i Microsoft Intune med Microsoft Entra PIM för grupper | Microsoft Community Hub
När du använder PIM-höjning för Intune-administratörsrollen från Entra ID sker höjningen vanligtvis inom 10 sekunder. PIM-grupper-baserad höjning för Intunes inbyggda eller anpassade roller tar vanligtvis upp till 15 minuter att tillämpa.
Om Rolltilldelningar i Intune
Både anpassade och inbyggda Intune-roller tilldelas till användargrupper. En tilldelad roll gäller för varje användare i gruppen och definierar:
- vilka användare som har tilldelats rollen
- vilka resurser de kan se
- vilka resurser de kan ändra.
Varje grupp som har tilldelats en Intune-roll bör endast innehålla användare som har behörighet att utföra de administrativa uppgifterna för den rollen.
- Om en minst privilegierad inbyggd roll ger för höga privilegier eller behörigheter kan du överväga att använda en anpassad roll för att begränsa omfattningen av administrativ åtkomst.
- När du planerar rolltilldelningar bör du överväga resultatet av en användare med flera rolltilldelningar.
För att en användare ska kunna tilldelas en Intune-roll och ha åtkomst till att administrera Intune behöver de ingen Intune-licens om deras konto skapades i Entra efter juni 2021. Konton som skapats före juni 2021 måste tilldelas en licens för att använda Intune.
Om du vill visa en befintlig rolltilldelning väljer du Intune>Innehavaradministrationsroller>>Alla roller> väljer en roll >Tilldelningar> väljer en tilldelning. På sidan Egenskaper för tilldelningar kan du redigera:
Grunderna: Tilldelningens namn och beskrivning.
Medlemmar: Medlemmar är de grupper som konfigureras på sidan Admin Grupper när du skapar en rolltilldelning. Alla användare i de angivna Azure-säkerhetsgrupperna har behörighet att hantera de användare och enheter som anges i Omfång (grupper).
Omfång (grupper): Använd omfång (grupper) för att definiera de grupper av användare och enheter som en administratör med den här rolltilldelningen kan hantera. Administrativa användare med den här rolltilldelningen kan använda de behörigheter som tilldelas av rollen för att hantera varje användare eller enhet i rolltilldelningarnas definierade omfångsgrupper.
Tips
När du konfigurerar en omfångsgrupp begränsar du åtkomsten genom att bara välja de säkerhetsgrupper som inkluderar den användare och de enheter som en administratör med den här rolltilldelningen ska hantera. För att säkerställa att administratörer med den här rollen inte kan rikta in sig på alla användare eller alla enheter väljer du inte Lägg till alla användare eller Lägg till alla enheter.
Om du anger en exkluderingsgrupp för en tilldelning, till exempel en princip- eller apptilldelning, måste den antingen vara kapslad i någon av RBAC-tilldelningsomfångsgrupperna, eller så måste den anges separat som en omfångsgrupp i RBAC-rolltilldelningen.
Omfångstaggar: Administrativa användare som har tilldelats den här rolltilldelningen kan se de resurser som har samma omfångstaggar.
Obs!
Omfångstaggar är frihandsfigurstextvärden som en administratör definierar och sedan lägger till i en rolltilldelning. Omfångstaggen som läggs till i en roll styr synligheten för själva rollen. Omfångstaggen som läggs till i rolltilldelning begränsar synligheten för Intune-objekt, till exempel principer, appar eller enheter till endast administratörer i rolltilldelningen eftersom rolltilldelningen innehåller en eller flera matchande omfångstaggar.
Flera rolltilldelningar
Om en användare har flera rolltilldelningar, behörigheter och omfångstaggar utökas dessa rolltilldelningar till olika objekt enligt följande:
- Behörigheter är inkrementella om två eller flera roller beviljar behörigheter till samma objekt. En användare med läsbehörigheter från en roll och Läsa/skriva från en annan roll har till exempel en gällande behörighet för Läs/skriva (förutsatt att tilldelningarna för båda rollerna är inriktade på samma omfångstaggar).
- Tilldela behörigheter och omfångstaggar gäller endast för objekten (t.ex. principer eller appar) i den rollens tilldelningsomfång (grupper). Tilldela behörigheter och omfångstaggar gäller inte för objekt i andra rolltilldelningar om inte den andra tilldelningen uttryckligen beviljar dem.
- Andra behörigheter (till exempel Skapa, Läsa, Uppdatera, Ta bort) och omfångstaggar gäller för alla objekt av samma typ (till exempel alla principer eller alla appar) i någon av användarens tilldelningar.
- Behörigheter och omfångstaggar för objekt av olika typer (till exempel principer eller appar) gäller inte för varandra. En läsbehörighet för en princip ger till exempel inte läsbehörighet till appar i användarens tilldelningar.
- När det inte finns några omfångstaggar eller omfångstaggar har tilldelats från olika tilldelningar kan en användare bara se enheter som ingår i vissa omfångstaggar och inte kan se alla enheter.
Övervaka RBAC-tilldelningar
Detta och de tre underavsnitten pågår
I administrationscentret för Intune kan du gå till Innehavaradministratörsroller> och expandera Övervaka för att hitta flera vyer som kan hjälpa dig att identifiera de behörigheter som olika användare har i din Intune-klientorganisation. I en komplex administrativ miljö kan du till exempel använda vyn Admin behörigheter för att ange ett konto så att du kan se dess aktuella omfång för administrativa privilegier.
Mina behörigheter
När du väljer den här noden visas en kombinerad lista över aktuella RBAC-kategorier och behörigheter för Intune som ditt konto har beviljats. Den här kombinerade listan innehåller alla behörigheter från alla rolltilldelningar, men inte vilka rolltilldelningar som ger dem eller vilket gruppmedlemskap de har tilldelats.
Roller efter behörighet
Med den här vyn kan du se information om en specifik Intune RBAC-kategori och behörighet, och genom vilka rolltilldelningar och till vilka grupper som kombinationen görs tillgängliga.
Kom igång genom att välja en Intune-behörighetskategori och sedan en specifik Behörighet från den kategorin. Administrationscentret visar sedan en lista över instanser som leder till att behörigheten tilldelas som innehåller:
- Rollvisningsnamn – namnet på den inbyggda eller anpassade RBAC-rollen som ger behörigheten.
- Visningsnamn för rolltilldelning – namnet på rolltilldelningen som tilldelar rollen till grupper av användare.
- Gruppnamn – namnet på den grupp som tar emot rolltilldelningen.
Admin behörigheter
Använd noden Admin behörigheter för att identifiera de specifika behörigheter som ett konto för närvarande beviljas.
Börja med att ange ett användarkonto . Så länge användaren har Tilldelats Intune-behörigheter till sitt konto visar Intune den fullständiga listan över de behörigheter som identifieras av Kategori och Behörighet.
