Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zabezpečení přístupu k vaší organizaci je zásadním krokem zabezpečení. Tento článek představuje základní podrobnosti o používání Microsoft Intune řízení přístupu na základě role (RBAC), které jsou rozšířením Microsoft Entra ID řízení řízení přístupu na základě role. Následující články vám můžou pomoct s nasazením Intune RBAC ve vaší organizaci.
S Intune RBAC můžete správcům udělit podrobná oprávnění, aby mohli řídit, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky můžou dělat. Přiřazením Intune rolí RBAC a dodržováním principů přístupu s nejnižšími oprávněními můžou správci provádět přiřazené úkoly jenom na těch uživatelích a zařízeních, které by měli mít oprávnění spravovat.
Role RBAC
Každá Intune role RBAC určuje sadu oprávnění, která jsou k dispozici uživatelům přiřazeným k této roli. Oprávnění se skládají z jedné nebo několika kategorií správy, jako jsou konfigurace zařízení nebo data auditu, a sad akcí, které je možné provést, jako je čtení, zápis, aktualizace a odstranění. Společně definují rozsah přístupu pro správu a oprávnění v rámci Intune.
Intune zahrnuje předdefinované i vlastní role. Předdefinované role jsou ve všech tenantech stejné a poskytují se k řešení běžných scénářů správy, zatímco vlastní role, které vytvoříte, umožňují podle potřeby správce konkrétní oprávnění. Kromě toho několik rolí Microsoft Entra zahrnuje oprávnění v rámci Intune.
Pokud chcete zobrazit roli v Centru pro správu Intune, přejděte do části Správa>tenanta Role>Všechny role> a vyberte roli. Tuto roli pak můžete spravovat prostřednictvím následujících stránek:
- Vlastnosti: Název, popis, oprávnění a značky oboru pro roli. Název, popis a oprávnění předdefinovaných rolí si také můžete prohlédnout v této dokumentaci v části Předdefinovaná oprávnění rolí.
- Přiřazení: Výběrem přiřazení role zobrazíte podrobnosti o roli, včetně skupin a oborů, které přiřazení zahrnuje. Role může mít více přiřazení a uživatel může obdržet více přiřazení.
Poznámka
V červnu 2021 začala Intune podporovat nelicencované správce. Uživatelské účty vytvořené po této změně můžou spravovat Intune bez přiřazené licence. Účty vytvořené před touto změnou stále vyžadují licenci ke správě Intune.
Předdefinované role
Správce Intune s dostatečnými oprávněními může skupinám uživatelů přiřadit libovolnou Intune roli. Předdefinované role uděluje specifická oprávnění potřebná k provádění úloh správy, které odpovídají účelu role. Intune nepodporuje úpravy popisu, typu nebo oprávnění předdefinované role.
- Správce aplikací: Spravuje mobilní a spravované aplikace, může číst informace o zařízení a zobrazit konfigurační profily zařízení.
- Endpoint Privilege Manager: Spravuje zásady správy oprávnění koncového bodu v konzole Intune.
- Čtenář oprávnění koncového bodu: Čtenáři oprávnění koncových bodů můžou zobrazit zásady správy oprávnění koncových bodů v konzole Intune.
- Endpoint Security Manager: Spravuje funkce zabezpečení a dodržování předpisů, jako jsou standardní hodnoty zabezpečení, dodržování předpisů zařízením, podmíněný přístup a Microsoft Defender for Endpoint.
- Operátor helpdesku: Provádí vzdálené úlohy na uživatelích a zařízeních a může uživatelům nebo zařízením přiřazovat aplikace nebo zásady.
- správce Intune rolí: Spravuje vlastní role Intune a přidává přiřazení pro předdefinované Intune role. Je to jediná role Intune, která může přiřazovat oprávnění správcům.
- Správce zásad a profilů: Spravuje zásady dodržování předpisů, konfigurační profily, registraci Apple, identifikátory podnikových zařízení a standardní hodnoty zabezpečení.
- Operátor jen pro čtení: Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. Nelze provádět změny Intune.
- Správce školy: Spravuje Windows 10 zařízení v Intune for Education.
Pokud váš tenant zahrnuje předplatné pro Windows 365 pro podporu cloudových počítačů, najdete v Centru pro správu Intune také následující role cloudových počítačů. Tyto role nejsou ve výchozím nastavení dostupné a zahrnují oprávnění v rámci Intune pro úlohy související s cloudovými počítači. Další informace o těchto rolích najdete v tématu Předdefinované role cloudových počítačů v dokumentaci k Windows 365.
- Správce cloudových počítačů: Správce cloudového počítače má přístup ke čtení a zápisu ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
- Cloud PC Reader: Cloud PC Reader má přístup ke čtení ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
Vlastní role
Můžete vytvořit vlastní role Intune, které správcům udělí jenom konkrétní oprávnění potřebná k jejich úkolům. Tyto vlastní role můžou zahrnovat jakékoli Intune oprávnění RBAC, což umožňuje zpřesněný přístup správce a podporu principu přístupu s nejnižšími oprávněními v rámci organizace.
Microsoft Entra rolí s Intune přístupem
Intune oprávnění RBAC jsou podmnožinou Microsoft Entra oprávnění RBAC. Jako podmnožina existuje několik rolí Entra, které zahrnují oprávnění v rámci Intune. Většina Entra ID rolí, které mají přístup k Intune, se považuje za privilegované role. Použití a přiřazení privilegovaných rolí by mělo být omezené a nemělo by se používat pro každodenní úlohy správy v rámci Intune.
Microsoft doporučuje postupovat podle principu nejnižších oprávnění tím, že správci přiřadí jenom minimální požadovaná oprávnění, aby mohl plnit své povinnosti. Pokud chcete tento princip podporovat, používejte předdefinované role RBAC Intune pro každodenní Intune úlohy správy a vyhněte se používání rolí Entra, které mají přístup k Intune.
Následující tabulka uvádí role Entra, které mají přístup k Intune, a Intune oprávnění, která zahrnují.
| Microsoft Entra role | Všechna data Intune | Intune dat auditu |
|---|---|---|
 globálního správce |
Pro čtení i zápis | Pro čtení i zápis |
| Ikona správce služby Intune |
Pro čtení i zápis | Pro čtení i zápis |
|
správce podmíněného přístupu |
Žádné | Žádné |
|
správce zabezpečení |
Jen pro čtení (úplná oprávnění správce pro uzel Endpoint Security) | Jen pro čtení |
|
operátora zabezpečení |
Jen pro čtení | Jen pro čtení |
|
čtenáře zabezpečení |
Jen pro čtení | Jen pro čtení |
| Správce dodržování předpisů | Žádné | Jen pro čtení |
| Správce dat dodržování předpisů | Žádné | Jen pro čtení |
| Global Reader (Tato role odpovídá roli operátora helpdesku Intune) |
Jen pro čtení | Jen pro čtení |
|
správce helpdesku (tato role odpovídá roli operátora helpdesku Intune) |
Jen pro čtení | Jen pro čtení |
| Čtenář sestav | Žádné | Jen pro čtení |
Kromě rolí Entra s oprávněním v rámci Intune jsou následující tři oblasti Intune přímá rozšíření Entra: Uživatelé, Skupiny a Podmíněný přístup. Instance těchto objektů a konfigurací vytvořených v rámci Intune existují v Entra. Jako objekty Entra je můžou spravovat správci Entra s dostatečnými oprávněními udělenými rolí Entra. Podobně Intune správci s dostatečnými oprávněními pro Intune můžou zobrazit a spravovat tyto typy objektů, které jsou vytvořeny v nástroji Entra.
Privileged Identity Management pro Intune
Pokud používáte Entra ID Privileged Identity Management (PIM), můžete spravovat, kdy může uživatel používat oprávnění, která poskytuje role RBAC Intune nebo role správce Intune z Entra ID.
Intune podporuje dvě metody zvýšení oprávnění rolí. Mezi těmito dvěma metodami jsou rozdíly ve výkonu a nejnižších oprávněních.
Metoda 1: Vytvořte zásadu za běhu (JIT) s Microsoft Entra Privileged Identity Management (PIM) pro Microsoft Entra integrovanou roli správce Intune a přiřaďte jí účet správce.
Metoda 2: Využití Privileged Identity Management (PIM) pro skupiny s přiřazením role Intune RBAC. Další informace o používání PIM pro skupiny s rolemi RBAC Intune najdete v tématu Konfigurace přístupu správce Microsoft Intune za běhu pomocí Microsoft Entra PIM pro skupiny | Centrum komunity Microsoftu
Pokud pro roli správce Intune z Entra ID použijete zvýšení oprávnění PIM, obvykle k němu dojde během 10 sekund. Použití zvýšení oprávnění na základě skupin PIM pro předdefinované nebo vlastní role Intune obvykle trvá až 15 minut.
Informace o přiřazeních rolí Intune
Skupině uživatelů se přiřazují Intune vlastní i předdefinované role. Přiřazená role se vztahuje na každého uživatele ve skupině a definuje:
- kteří uživatelé jsou přiřazeni k roli
- jaké prostředky vidí
- jaké prostředky můžou změnit.
Každá skupina s přiřazenou rolí Intune by měla obsahovat jenom uživatele, kteří mají oprávnění provádět úlohy správy pro tuto roli.
- Pokud nejméně privilegovaná předdefinovaná role uděluje nadměrné oprávnění nebo oprávnění, zvažte použití vlastní role k omezení rozsahu přístupu pro správu.
- Při plánování přiřazení rolí vezměte v úvahu výsledky uživatele s více přiřazeními rolí.
Aby měl uživatel přiřazenou Intune roli a měl přístup ke správě Intune, nevyžaduje Intune licenci, pokud byl jeho účet vytvořen v Entře po červnu 2021. Účty vytvořené před červnem 2021 vyžadují přiřazení licence k používání Intune.
Pokud chcete zobrazit existující přiřazení role, zvolte Intune>Správa>tenantů Role>Všechny role> zvolte roli >Přiřazení> zvolte přiřazení. Na stránce Vlastnosti přiřazení můžete upravit:
Základy: Název a popis zadání.
Členové: Členové jsou skupiny, které jsou nakonfigurované na stránce Správa skupiny při vytváření přiřazení role. Všichni uživatelé v uvedených skupinách zabezpečení Azure mají oprávnění ke správě uživatelů a zařízení uvedených v části Rozsah (Skupiny).
Obor (Skupiny): Pomocí oboru (skupiny) můžete definovat skupiny uživatelů a zařízení, které může spravovat správce s tímto přiřazením role. Správci s tímto přiřazením role můžou používat oprávnění udělená rolí ke správě každého uživatele nebo zařízení v rámci skupin oborů definovaných přiřazeními rolí.
Tip
Když konfigurujete skupinu oborů, omezte přístup výběrem pouze skupin zabezpečení, které obsahují uživatele a zařízení, která by měl spravovat správce s tímto přiřazením role. Pokud chcete zajistit, aby správci s touto rolí nemohli cílit na všechny uživatele nebo všechna zařízení, nevybírejte Přidat všechny uživatele nebo Přidat všechna zařízení.
Značky oboru: Správci, kteří mají přiřazené toto přiřazení role, můžou zobrazit prostředky, které mají stejné značky oboru.
Poznámka
Značky oboru jsou textové hodnoty volného formátu, které správce definuje a pak přidá do přiřazení role. Značka oboru přidaná k roli řídí viditelnost samotné role, zatímco značka oboru přidaná v přiřazení role omezuje viditelnost Intune objektů, jako jsou zásady, aplikace nebo zařízení, pouze na správce v daném přiřazení role, protože přiřazení role obsahuje jednu nebo více odpovídajících značek oboru.
Více přiřazení rolí
Pokud má uživatel více přiřazení rolí, oprávnění a značek oboru, rozšíří se tato přiřazení rolí na různé objekty následujícím způsobem:
- Oprávnění jsou přírůstková v případě, že dvě nebo více rolí udělují oprávnění ke stejnému objektu. Uživatel s oprávněním ke čtení z jedné role a čtení a zápisu z jiné role má například efektivní oprávnění pro čtení a zápis (za předpokladu, že přiřazení obou rolí cílí na stejné značky oboru).
- Přiřazení oprávnění a značky oboru se vztahují pouze na objekty (jako jsou zásady nebo aplikace) v oboru přiřazení dané role (skupiny). Přiřazení oprávnění a značky oboru se nevztahují na objekty v jiných přiřazeních rolí, pokud je jiné přiřazení výslovně neudělí.
- Další oprávnění (například Vytvořit, Číst, Aktualizovat, Odstranit) a značky oboru se vztahují na všechny objekty stejného typu (například všechny zásady nebo všechny aplikace) v jakémkoli přiřazení uživatele.
- Oprávnění a značky oboru pro objekty různých typů (jako jsou zásady nebo aplikace) se na sebe navzájem nevztahují. Oprávnění ke čtení zásad například neposkytuje oprávnění ke čtení aplikacím v přiřazeních uživatele.
- Pokud neexistují žádné značky oboru nebo jsou některé značky oboru přiřazené z různých přiřazení, uživatel může zobrazit jenom zařízení, která jsou součástí některých značek oboru a nemůžou zobrazit všechna zařízení.
Monitorování přiřazení RBAC
Probíhá tato a tři dílčí části.
V Centru pro správu Intune můžete přejít na Role správce>tenanta a rozbalit monitorování a vyhledat několik zobrazení, která vám pomůžou identifikovat oprávnění, která mají různí uživatelé v rámci vašeho Intune tenanta. Například ve složitém prostředí pro správu můžete pomocí zobrazení Správa oprávnění zadat účet, abyste viděli jeho aktuální rozsah oprávnění pro správu.
Moje oprávnění
Když vyberete tento uzel, zobrazí se kombinovaný seznam aktuálních Intune kategorií RBAC a oprávnění, která jsou udělena vašemu účtu. Tento kombinovaný seznam obsahuje všechna oprávnění ze všech přiřazení rolí, ale ne to, která přiřazení rolí je poskytují nebo jakým členstvím ve skupině jsou přiřazena.
Role podle oprávnění
V tomto zobrazení můžete zobrazit podrobnosti o konkrétní Intune kategorii a oprávněních RBAC a o tom, jaká přiřazení rolí a pro které skupiny je tato kombinace dostupná.
Začněte tím, že vyberete Intune kategorii oprávnění a pak konkrétní oprávnění z této kategorie. Centrum pro správu pak zobrazí seznam instancí, které vedou k přiřazení tohoto oprávnění, který zahrnuje:
- Zobrazovaný název role – název předdefinované nebo vlastní role RBAC, která uděluje oprávnění.
- Zobrazovaný název přiřazení role – název přiřazení role, které přiřazuje roli skupinám uživatelů.
- Název skupiny – název skupiny, která obdrží přiřazení role.
Správa oprávnění
Pomocí uzlu oprávnění Správa identifikujte konkrétní oprávnění, která jsou účtu aktuálně udělena.
Začněte zadáním uživatelského účtu. Pokud má uživatel ke svému účtu přiřazená Intune oprávnění, Intune zobrazí úplný seznam oprávnění identifikovaných podle kategorie a oprávnění.
