Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Proteger el acceso a la organización es un paso de seguridad esencial. En este artículo se presentan los detalles básicos para usar los controles de acceso basado en rol (RBAC) de Microsoft Intune, que son una extensión de Microsoft Entra controles RBAC de identificador. Los artículos posteriores pueden ayudarle a implementar RBAC de Intune en su organización.
Con RBAC de Intune, puede conceder permisos pormenorizados a los administradores para controlar quién tiene acceso a los recursos de la organización y qué pueden hacer con esos recursos. Al asignar roles de RBAC de Intune y seguir los principios del acceso con privilegios mínimos, los administradores pueden realizar sus tareas asignadas solo en los usuarios y dispositivos que deben tener la capacidad de administrar.
RBAC Roles
Cada rol de RBAC de Intune especifica un conjunto de permisos que están disponibles para los usuarios asignados a ese rol. Los permisos se componen de una o varias categorías de administración, como Configuración del dispositivo o Datos de auditoría, y conjuntos de acciones que se pueden realizar como Lectura, Escritura, Actualización y Eliminación. Juntos, definen el ámbito del acceso administrativo y los permisos dentro de Intune.
Intune incluye roles integrados y personalizados. Los roles integrados son los mismos en todos los inquilinos y se proporcionan para abordar escenarios administrativos comunes, mientras que los roles personalizados creados permiten permisos específicos según sea necesario para un administrador. Además, varios roles de Microsoft Entra incluyen permisos en Intune.
Para ver un rol en el Centro de administración de Intune, vaya aRoles> de administración> deinquilinos Todos los roles> y seleccione un rol. A continuación, puede administrar ese rol a través de las páginas siguientes:
- Propiedades: el nombre, la descripción, los permisos y las etiquetas de ámbito para el rol. También puede ver el nombre, la descripción y los permisos de los roles integrados en esta documentación en Permisos de rol integrados.
- Asignaciones: seleccione una asignación para un rol para ver detalles sobre él, incluidos los grupos y ámbitos que incluye la asignación. Un rol puede tener varias asignaciones y un usuario puede recibir varias asignaciones.
Nota:
En junio de 2021, Intune comenzó a admitir administradores sin licencia. Las cuentas de usuario creadas después de este cambio pueden administrar Intune sin una licencia asignada. Las cuentas creadas antes de este cambio y las cuentas de administrador de un grupo de seguridad anidado asignado a un rol siguen necesitando una licencia para administrar Intune.
Roles integrados
Un administrador de Intune con permisos suficientes puede asignar cualquiera de los roles de Intune a grupos de usuarios. Los roles integrados conceden permisos específicos necesarios para realizar tareas administrativas que se alineen con el propósito del rol. Intune no admite modificaciones en la descripción, el tipo o los permisos de un rol integrado.
- Administrador de aplicaciones: permite administrar las aplicaciones móviles y administradas, leer la información del dispositivo y ver los perfiles de configuración del dispositivo.
- Administrador de privilegios de punto de conexión: administra las directivas de Administración con privilegios para puntos de conexión en la consola de Intune.
- Lector de privilegios de punto de conexión: los lectores de privilegios de punto de conexión pueden ver las directivas de Administración con privilegios para puntos de conexión en la consola de Intune.
- Endpoint Security Manager: administra las características de seguridad y cumplimiento, como líneas base de seguridad, cumplimiento de dispositivos, acceso condicional y Microsoft Defender para punto de conexión.
- Departamento de soporte técnico: realiza tareas remotas relacionadas con usuarios y dispositivos y puede asignar aplicaciones o directivas a usuarios o dispositivos.
- Administrador de roles de Intune: permite administrar los roles de Intune personalizados y agregar las asignaciones de roles de Intune integrados. Esta es la única función de Intune que permite asignar permisos a los administradores.
- Administrador de directivas y perfiles: administra la directiva de cumplimiento, los perfiles de configuración, la inscripción de Apple, los identificadores de dispositivos corporativos y las líneas base de seguridad.
- Operador de solo lectura: ve información sobre usuarios, dispositivos, inscripciones, configuraciones y aplicaciones. No puede realizar cambios en Intune.
- Administrador de la escuela: los administradores de la escuela administran aplicaciones, configuraciones y dispositivos para sus grupos en Intune for Education. Pueden realizar acciones remotas en los dispositivos, como bloquearlos de forma remota, reiniciarlos y retirarlos de la administración.
Cuando el inquilino incluye una suscripción a Windows 365 para admitir equipos en la nube, también verá los siguientes roles de equipo en la nube en el Centro de administración de Intune. Estos roles no están disponibles de forma predeterminada e incluyen permisos en Intune para las tareas relacionadas con los equipos en la nube. Para obtener más información sobre estos roles, consulte Roles integrados de PC en la nube en la documentación de Windows 365.
- Administrador de PC en la nube: un administrador de PC en la nube tiene acceso de lectura y escritura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.
- Lector de PC en la nube: un lector de PC en la nube tiene acceso de lectura a todas las características de PC en la nube ubicadas dentro del área de PC en la nube.
Roles personalizados
Puede crear sus propios roles personalizados de Intune para conceder a los administradores solo los permisos específicos necesarios para sus tareas. Estos roles personalizados pueden incluir cualquier permiso RBAC de Intune, lo que permite un acceso de administrador refinado y compatibilidad con el principio de acceso con privilegios mínimos dentro de la organización.
Consulte Creación de un rol personalizado.
Microsoft Entra roles con acceso a Intune
Los permisos de RBAC de Intune son un subconjunto de Microsoft Entra permisos de RBAC. Como subconjunto, hay algunos roles de Microsoft Entra que incluyen permisos en Intune. La mayoría de los roles Entra ID que tienen acceso a Intune se consideran roles con privilegios. El uso y la asignación de roles con privilegios deben ser limitados y no usarse para tareas administrativas diarias dentro de Intune.
Microsoft recomienda seguir el principio de permisos mínimos asignando solo los permisos mínimos necesarios para que un administrador realice sus tareas. Para admitir este principio, use los roles de RBAC integrados de Intune para tareas administrativas diarias de Intune y evite el uso de roles de Microsoft Entra que tengan acceso a Intune.
En la tabla siguiente se identifican los roles de Microsoft Entra que tienen acceso a Intune y los permisos de Intune que incluyen.
| rol Microsoft Entra | Todos los datos de Intune | Datos de auditoría de Intune |
|---|---|---|
Icono de  de administrador global |
Lectura y escritura | Lectura y escritura |
|
de administrador de servicios de Intune |
Lectura y escritura | Lectura y escritura |
|
de administrador de acceso condicional |
Ninguno | Ninguno |
| Icono de de administrador de seguridad |
Solo lectura (permisos administrativos completos para el nodo Seguridad de puntos de conexión) | Solo lectura |
| Icono de del operador de seguridad |
Solo lectura | Solo lectura |
| Icono de del lector de seguridad |
Solo lectura | Solo lectura |
| Administrador de cumplimiento | Ninguno | Solo lectura |
| Administrador de datos de cumplimiento | Ninguno | Solo lectura |
| Icono de de lector global (este rol es equivalente al rol de operador del departamento de soporte técnico de Intune) |
Solo lectura | Solo lectura |
|
de administrador del departamento de soporte técnico (este rol es equivalente al rol operador del departamento de soporte técnico de Intune) |
Solo lectura | Solo lectura |
| Lector de informes | Ninguno | Solo lectura |
Además de los roles de Microsoft Entra con permiso en Intune, las tres áreas siguientes de Intune son extensiones directas de Microsoft Entra: Usuarios, Grupos y Acceso condicional. Las instancias de estos objetos y configuraciones realizadas desde Intune existen en Microsoft Entra. Como Microsoft Entra objetos, los pueden administrar Microsoft Entra administradores con permisos suficientes concedidos por un rol de Microsoft Entra. De forma similar, los administradores de Intune con permisos suficientes para Intune pueden ver y administrar estos tipos de objetos que se crean en Microsoft Entra.
Roles de administrador global y administrador de Intune
El rol administrador global es un rol integrado en Microsoft Entra y tiene acceso total a Microsoft Intune. Los administradores globales tienen acceso a las características administrativas de Microsoft Entra id. y a los servicios que usan identidades de Microsoft Entra, incluido Microsoft Intune.
Para reducir el riesgo:
No use el rol de administrador global en Intune. Microsoft no recomienda usar el rol de administrador global para administrar o administrar Intune.
Hay algunas características en Intune que requieren el rol de administrador global, como algunos conectores de mobile threat defense (MTD). En estos casos, use el rol Administrador global solo cuando sea necesario y, a continuación, quítelo cuando se complete la tarea.
Use los roles integrados de Intune o cree roles personalizados para administrar y administrar Intune.
Asigne el rol de Intune con privilegios mínimos necesario para que el administrador realice sus tareas.
Para obtener más información sobre el rol de administrador global de Microsoft Entra, consulte Microsoft Entra roles integrados: administrador global.
El rol Administrador de Intune es un rol integrado en Microsoft Entra y también se conoce como rol administrador de servicios de Intune. Tiene un ámbito limitado de permisos para administrar y administrar Intune y administrar características relacionadas, como la administración de usuarios y grupos. Este rol es adecuado para administradores que solo necesitan administrar Intune.
Para reducir el riesgo:
- Asigne el rol Administrador de Intune solo según sea necesario. Si hay un rol integrado de Intune que satisface las necesidades del administrador, asigne ese rol en lugar del rol administrador de Intune. Asigne siempre el rol de Intune con privilegios mínimos necesario para que el administrador realice sus tareas.
- Cree roles personalizados para limitar aún más el ámbito de los permisos para los administradores.
Controles de seguridad mejorados:
La aprobación de varios Administración ahora admite el control de acceso basado en rol. Cuando esta configuración está activada, un segundo administrador debe aprobar los cambios en los roles. Estos cambios pueden incluir actualizaciones de permisos de rol, grupos de administradores o asignaciones de grupos de miembros. El cambio solo surte efecto después de la aprobación. Este proceso de autorización doble ayuda a proteger su organización frente a cambios de control de acceso no autorizados o accidentales basados en roles. Para obtener más información, consulte Uso de la aprobación de varios Administración en Intune.
Para obtener más información sobre el rol Microsoft Entra administrador de Intune, consulte Microsoft Entra roles integrados: administrador de Intune.
Privileged Identity Management para Intune
Al usar Entra ID Privileged Identity Management (PIM), puede administrar cuándo un usuario puede usar los privilegios proporcionados por un rol de RBAC de Intune o el rol administrador de Intune desde Entra ID.
Intune admite dos métodos de elevación de roles. Hay diferencias de rendimiento y privilegios mínimos entre los dos métodos.
Método 1: cree una directiva Just-In-Time (JIT) con Microsoft Entra Privileged Identity Management (PIM) para el rol de administrador de Intune integrado Microsoft Entra y asígnele una cuenta de administrador.
Método 2: Use Privileged Identity Management (PIM) para grupos con una asignación de roles RBAC de Intune. Para obtener más información sobre el uso de PIM para grupos con roles de RBAC de Intune, consulte Configuración del acceso de administrador Just-In-Time de Microsoft Intune con Microsoft Entra PIM para grupos | Centro de comunidad de Microsoft
Cuando se usa la elevación de PIM para el rol administrador de Intune desde Entra ID, la elevación suele producirse en 10 segundos. La elevación basada en grupos de PIM para los roles integrados o personalizados de Intune suele tardar hasta 15 minutos en aplicarse.
Acerca de las asignaciones de roles de Intune
Tanto los roles personalizados como los integrados de Intune se asignan a grupos de usuarios. Un rol asignado se aplica a cada usuario del grupo y define:
- Qué usuarios están asignados al rol.
- Qué recursos pueden ver.
- Qué recursos pueden cambiar.
Cada grupo al que se asigna un rol de Intune debe incluir solo los usuarios autorizados para realizar las tareas administrativas de ese rol.
- Si un rol integrado con privilegios mínimos concede privilegios o permisos excesivos, considere la posibilidad de usar un rol personalizado para limitar el ámbito del acceso administrativo.
- Al planear asignaciones de roles, tenga en cuenta los resultados de un usuario con varias asignaciones de roles.
Para que a un usuario se le asigne un rol de Intune y tenga acceso para administrar Intune, no necesita una licencia de Intune si su cuenta se creó en Entra después de junio de 2021. Las cuentas creadas antes de junio de 2021 requieren que se les asigne una licencia para usar Intune.
Para ver una asignación de roles existente, elijaRoles> deadministración> de inquilinos> de Intune>Todos los roles> elijan una asignación de roles>. En la página Propiedades de asignaciones, puede editar:
Aspectos básicos: el nombre y la descripción de las asignaciones.
Miembros: los miembros son los grupos configurados en la página Grupos de Administración al crear una asignación de roles. Todos los usuarios de los grupos de seguridad de Azure enumerados tienen permiso para administrar los usuarios y dispositivos que aparecen en Ámbito (grupos).
Ámbito (grupos): use Ámbito (grupos) para definir los grupos de usuarios y dispositivos que un administrador con esta asignación de roles puede administrar. Los usuarios administrativos con esta asignación de roles pueden usar los permisos concedidos por el rol para administrar cada usuario o dispositivo dentro de los grupos de ámbito definidos de asignaciones de roles.
Sugerencia
Al configurar un grupo de ámbito, limite el acceso seleccionando solo los grupos de seguridad que incluyen el usuario y los dispositivos que debe administrar un administrador con esta asignación de roles. Para asegurarse de que los administradores con este rol no pueden dirigirse a todos los usuarios o todos los dispositivos, no seleccione Agregar todos los usuarios ni Agregar todos los dispositivos.
Si especifica un grupo de exclusión para una asignación como una asignación de directiva o aplicación, debe anidarse en uno de los grupos de ámbito de asignación de RBAC o debe aparecer por separado como un grupo de ámbito en la asignación de roles RBAC.
Etiquetas de ámbito: los usuarios administrativos a los que se asigna esta asignación de roles pueden ver los recursos que tienen las mismas etiquetas de ámbito.
Nota:
Las etiquetas de ámbito son valores de texto de forma libre que un administrador define y, a continuación, se agregan a una asignación de roles. La etiqueta de ámbito agregada en un rol controla la visibilidad del propio rol. La etiqueta de ámbito agregada en la asignación de roles limita la visibilidad de los objetos de Intune, como directivas, aplicaciones o dispositivos, solo a los administradores de esa asignación de roles porque la asignación de roles contiene una o varias etiquetas de ámbito coincidentes.
Múltiples asignaciones de roles
Si un usuario tiene varias asignaciones de roles, los permisos y las etiquetas de ámbito de estas asignaciones de roles se amplían a diferentes objetos, como se indica a continuación:
- Los permisos son incrementales en el caso de que dos o más roles concedan permisos al mismo objeto. Un usuario con permisos de lectura de un rol y lectura y escritura de otro rol, por ejemplo, tiene un permiso efectivo de lectura y escritura (suponiendo que las asignaciones de ambos roles tengan como destino las mismas etiquetas de ámbito).
- Los permisos de asignación y las etiquetas de ámbito solo se aplican a los objetos (como directivas o aplicaciones) del Ámbito (grupos) de la asignación de ese rol. Los permisos de asignación y las etiquetas de ámbito no se aplican a los objetos de otras asignaciones de roles, a menos que la otra asignación los conceda específicamente.
- Otros permisos (por ejemplo, los de creación, lectura, actualización y eliminación) y las etiquetas de ámbito se aplican a todos los objetos del mismo tipo (como todas las directivas o aplicaciones) en cualquiera de las asignaciones del usuario.
- Los permisos y las etiquetas de ámbito para objetos de tipos diferentes (como directivas o aplicaciones) no se aplican entre sí. Por ejemplo, un permiso de lectura para una directiva no proporciona un permiso de lectura a las aplicaciones de las asignaciones del usuario.
- Cuando no hay etiquetas de ámbito o algunas etiquetas de ámbito se asignan desde diferentes asignaciones, un usuario solo puede ver los dispositivos que forman parte de algunas etiquetas de ámbito y no pueden ver todos los dispositivos.
Supervisión de asignaciones de RBAC
Esta y las tres subsecciones están en curso
En el Centro de administración de Intune, puede ir aRoles de administrador > de inquilinosy expandir Monitor para encontrar varias vistas que puedan ayudarle a identificar los permisos que tienen los distintos usuarios dentro del inquilino de Intune. Por ejemplo, en un entorno administrativo complejo, puede usar la vista de permisos de Administración para especificar una cuenta de modo que pueda ver su ámbito actual de privilegios administrativos.
Mis permisos
Al seleccionar este nodo, verá una lista combinada de las categorías y permisos de RBAC de Intune actuales que se conceden a su cuenta. Esta lista combinada incluye todos los permisos de todas las asignaciones de roles, pero no las asignaciones de roles que las proporcionan o por qué pertenencia a grupos se les asigna.
Roles por permiso
Con esta vista, puede ver detalles sobre una categoría y un permiso específicos de RBAC de Intune, y a través de qué asignaciones de roles y a qué grupos está disponible esa combinación.
Para empezar, seleccione una categoría de permisos de Intune y, a continuación, un permiso específico de esa categoría. A continuación, el centro de administración muestra una lista de instancias que conducen a que se asigne ese permiso que incluye:
- Nombre para mostrar del rol : el nombre del rol RBAC integrado o personalizado que concede el permiso.
- Nombre para mostrar de asignación de roles: nombre de la asignación de roles que asigna el rol a grupos de usuarios.
- Nombre del grupo : el nombre del grupo que recibe esa asignación de roles.
permisos de Administración
Use el nodo de permisos Administración para identificar los permisos específicos que se conceden actualmente a una cuenta.
Para empezar, especifique una cuenta de usuario . Siempre que el usuario tenga permisos de Intune asignados a su cuenta, Intune muestra la lista completa de esos permisos identificados por categoría y permiso.
