Ciao e benvenuto ad un nuovo tutorial di ITSpecialist.news! Oggi affrontiamo un’esigenza concreta che molti avranno già incontrato: permettere a un operatore di help desk di visualizzare le chiavi di recovery BitLocker dei dispositivi Windows gestiti da Microsoft Intune.
📰 Cosa preferisci? Video o articolo?
Alcune note per sfruttare al meglio questo contenuto.
Se preferisci vedere il video per intero, facile: lo trovi qui sopra nell’intestazione.
Se preferisci leggere, facile anche in questo caso: continua pure la lettura qui. Per ogni passaggio ho inserito lo spezzone specifico di video, così vedrai solo le schermate che ti interessano, senza il mio faccione che parla.
In ogni caso, iscriviti alla newsletter per essere sicuro di non perderti nemmeno una nuova uscita dei miei tutorial.
Perfetto, iniziamo!
Basterà essere Help Desk Operators tramite Intune RBAC?
La nostra protagonista è Hazel, operatrice di help desk, che ha già il ruolo Help Desk Operator assegnato tramite RBAC di Intune. Ma… sarà sufficiente?
Anche se Hazel ha il ruolo corretto in Intune, non potrà visualizzare le chiavi BitLocker.
Il motivo? Questo permesso non è gestito da Intune, ma da Microsoft Entra.
In ottica Zero Trust Security, vediamo come dare i permessi minimi per dare possibilità ad Hazel di leggere le chiavi di recovery BitLocker dei dispositivi gestiti da Intune.
Ecco i passaggi.
🛠️ Creare un gruppo assegnabile a ruoli Entra
Per prima cosa, dobbiamo creare un gruppo di sicurezza che possa essere assegnato a ruoli Entra.
⚠️ Attenzione: questa opzione può essere attivata solo al momento della creazione del gruppo e non può essere modificata in seguito.
Una volta creato il gruppo, aggiungiamo Hazel come membro.
🧩 Creare il ruolo custom in Entra
Ora creiamo un ruolo personalizzato in Entra.
I permessi che ci interessano sono:
microsoft.directory/deviceBitLockerKeys/read
microsoft.directory/bitlockerKeys/metadata/readQuesto consente la lettura delle chiavi di recovery BitLocker associate ai dispositivi registrati in Entra.
🔗 Assegnare il ruolo al gruppo
Con il ruolo pronto e il gruppo creato, possiamo procedere con l’assegnazione del ruolo custom al gruppo che contiene Hazel.
Questo è il passaggio che abilita effettivamente la visualizzazione delle chiavi.
✅ Verifica: Hazel ora può vedere le chiavi?
Torniamo su Intune e accediamo con l’account di Hazel.
Questa volta, grazie al ruolo Entra, potrà visualizzare correttamente le chiavi BitLocker dei dispositivi.
📚 Documentazione allegata e link utili
Per approfondire l’argomento, ecco alcuni documenti ufficiali al profumo di pumpkin cake:
📬 Conclusioni
Abbiamo visto come un semplice ruolo Intune non sia sufficiente per accedere alle chiavi BitLocker, e come risolvere il problema con un ruolo custom in Entra.
Se ti è stato utile, iscriviti alla newsletter di ITSpecialist.News per ricevere altri contenuti pratici, guide e aggiornamenti dal mondo Microsoft 365.
Come sempre, grazie di avermi seguito fino a qui!
A presto… MITICI!
Riccardo
