Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zabezpečení přístupu k vaší organizaci je zásadním krokem zabezpečení. Tento článek představuje základní podrobnosti o používání řízení přístupu na základě role (RBAC) v Microsoft Intune, které jsou rozšířením ovládacích prvků RBAC Microsoft Entra ID. Následující články vám můžou pomoct s nasazením Intune RBAC ve vaší organizaci.
S Intune RBAC můžete správcům udělit podrobná oprávnění, aby mohli řídit, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky může dělat. Když přiřadíte role RBAC v Intune a budete dodržovat zásady přístupu s nejnižšími oprávněními, můžou vaši správci provádět přiřazené úkoly jenom na těch uživatelích a zařízeních, která by měli mít oprávnění ke správě.
Role RBAC
Každá role Intune RBAC určuje sadu oprávnění, která jsou k dispozici uživatelům přiřazeným k této roli. Oprávnění se skládají z jedné nebo několika kategorií správy, jako jsou konfigurace zařízení nebo data auditu, a sad akcí, které je možné provést, jako je čtení, zápis, aktualizace a odstranění. Společně definují rozsah přístupu pro správu a oprávnění v rámci Intune.
Intune zahrnuje předdefinované i vlastní role. Předdefinované role jsou ve všech tenantech stejné a poskytují se k řešení běžných scénářů správy, zatímco vlastní role, které vytvoříte, umožňují podle potřeby správce konkrétní oprávnění. Kromě toho několik Microsoft Entra rolí zahrnuje oprávnění v rámci Intune.
Pokud chcete zobrazit roli v Centru pro správu Intune, přejděte na Správa>tenanta Role>Všechny role> a vyberte roli. Tuto roli pak můžete spravovat prostřednictvím následujících stránek:
- Vlastnosti: Název, popis, oprávnění a značky oboru pro roli. Název, popis a oprávnění předdefinovaných rolí si také můžete prohlédnout v této dokumentaci v části Předdefinovaná oprávnění rolí.
- Přiřazení: Výběrem přiřazení role zobrazíte podrobnosti o roli, včetně skupin a oborů, které přiřazení zahrnuje. Role může mít více přiřazení a uživatel může obdržet více přiřazení.
Poznámka
V červnu 2021 začala Intune podporovat nelicencované správce. Uživatelské účty vytvořené po této změně můžou spravovat Intune bez přiřazené licence. Účty vytvořené před touto změnou a účty správců ve vnořené skupině zabezpečení přiřazené k roli stále vyžadují licenci ke správě Intune.
Předdefinované role
Správce Intune s dostatečnými oprávněními může přiřadit libovolné role Intune skupinám uživatelů. Předdefinované role uděluje specifická oprávnění potřebná k provádění úloh správy, které odpovídají účelu role. Intune nepodporuje úpravy popisu, typu nebo oprávnění předdefinované role.
- Správce aplikací: Spravuje mobilní a spravované aplikace, může číst informace o zařízení a zobrazit konfigurační profily zařízení.
- Endpoint Privilege Manager: Spravuje zásady Správa oprávnění Endpoint v konzole Intune.
- Čtenář oprávnění koncového bodu: Čtenáři oprávnění koncových bodů můžou zobrazit zásady Správa oprávnění Endpoint v konzole Intune.
- Endpoint Security Manager: Spravuje funkce zabezpečení a dodržování předpisů, jako jsou standardní hodnoty zabezpečení, dodržování předpisů zařízením, podmíněný přístup a Microsoft Defender for Endpoint.
- Operátor helpdesku: Provádí vzdálené úlohy na uživatelích a zařízeních a může uživatelům nebo zařízením přiřazovat aplikace nebo zásady.
- Správce role Intune: Spravuje vlastní role Intune a přidává přiřazení pro předdefinované role Intune. Je to jediná role Intune, která může přiřazovat oprávnění správcům.
- Správce zásad a profilů: Spravuje zásady dodržování předpisů, konfigurační profily, registraci Apple, identifikátory podnikových zařízení a standardní hodnoty zabezpečení.
- Operátor jen pro čtení: Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nejde dělat změny.
- Správce školy: Správci školy spravují aplikace, nastavení a zařízení pro své skupiny v Intune for Education. Na zařízeních můžou provádět vzdálené akce, včetně vzdáleného uzamčení, restartování a vyřazení ze správy.
Pokud váš tenant zahrnuje předplatné Windows 365 pro podporu cloudových počítačů, zobrazí se v Centru pro správu Intune také následující role cloudových počítačů. Tyto role nejsou ve výchozím nastavení dostupné a zahrnují oprávnění v rámci Intune pro úlohy související s cloudovými počítači. Další informace o těchto rolích najdete v tématu Předdefinované role cloudových počítačů v dokumentaci k Windows 365.
- Správce cloudových počítačů: Správce cloudového počítače má přístup ke čtení a zápisu ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
- Cloud PC Reader: Cloud PC Reader má přístup ke čtení ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
Vlastní role
Můžete si vytvořit vlastní role Intune, které správcům udělují jenom konkrétní oprávnění potřebná k jejich úkolům. Tyto vlastní role můžou zahrnovat jakékoli oprávnění RBAC v Intune, což umožňuje zpřesněný přístup správce a podporu principu přístupu s nejnižšími oprávněními v rámci organizace.
Microsoft Entra rolí s přístupem k Intune
Oprávnění RBAC v Intune jsou podmnožinou Microsoft Entra oprávnění RBAC. Jako podmnožina existuje několik Microsoft Entra rolí, které zahrnují oprávnění v rámci Intune. Většina Entra ID rolí, které mají přístup k Intune, se považuje za privilegované role. Používání a přiřazení privilegovaných rolí by mělo být omezené a nemělo by se používat pro každodenní úlohy správy v rámci Intune.
Microsoft doporučuje postupovat podle principu nejnižších oprávnění tím, že správci přiřadí jenom minimální požadovaná oprávnění, aby mohl plnit své povinnosti. Pokud chcete tento princip podporovat, používejte předdefinované role RBAC Intune pro každodenní úlohy správy Intune a vyhněte se používání Microsoft Entra rolí, které mají přístup k Intune.
Následující tabulka uvádí Microsoft Entra rolí, které mají přístup k Intune, a oprávnění Intune, která zahrnují.
| Microsoft Entra role | Všechna data Intune | Data auditu Intune |
|---|---|---|
 globálního správce |
Pro čtení i zápis | Pro čtení i zápis |
|
správce služby Intune |
Pro čtení i zápis | Pro čtení i zápis |
|
správce podmíněného přístupu |
Žádné | Žádné |
|
správce zabezpečení |
Jen pro čtení (úplná oprávnění správce pro uzel Endpoint Security) | Jen pro čtení |
|
operátora zabezpečení |
Jen pro čtení | Jen pro čtení |
|
čtenáře zabezpečení |
Jen pro čtení | Jen pro čtení |
| Správce dodržování předpisů | Žádné | Jen pro čtení |
| Správce dat dodržování předpisů | Žádné | Jen pro čtení |
| Global Reader (Tato role je ekvivalentní roli operátora technické podpory Intune) |
Jen pro čtení | Jen pro čtení |
|
správce helpdesku (tato role je ekvivalentní roli operátora helpdesku Intune) |
Jen pro čtení | Jen pro čtení |
| Čtenář sestav | Žádné | Jen pro čtení |
Kromě Microsoft Entra rolí s oprávněními v Rámci Intune jsou přímé rozšíření Microsoft Entra následující tři oblasti Intune: Uživatelé, Skupiny a Podmíněný přístup. Instance těchto objektů a konfigurací vytvořených v Intune existují v Microsoft Entra. Jako Microsoft Entra objekty je můžou spravovat správci Microsoft Entra s dostatečnými oprávněními udělenými rolí Microsoft Entra. Podobně můžou tyto typy objektů vytvořené v Microsoft Entra zobrazit a spravovat správci Intune s dostatečnými oprávněními pro Intune.
Role globálního správce a správce Intune
Role globálního správce je předdefinovaná role v Microsoft Entra a má úplný přístup k Microsoft Intune. Globální správci mají přístup k funkcím pro správu v Microsoft Entra ID a službám, které používají Microsoft Entra identity, včetně Microsoft Intune.
Snížení rizika:
Nepoužívejte roli globálního správce v Intune. Microsoft nedoporučuje používat roli globálního správce ke správě nebo správě Intune.
V Intune existují některé funkce, které vyžadují roli globálního správce, například některé konektory ochrany před mobilními hrozbami (MTD). V těchto případech použijte roli Globální správce pouze v případě potřeby a po dokončení úkolu ji odeberte.
Ke správě a správě Intune použijte předdefinované role Intune nebo vytvořte vlastní role .
Přiřaďte nejméně privilegovanou roli Intune, která je potřebná k tomu, aby správce dělal své úkoly.
Další informace o Microsoft Entra roli globálního správce najdete v tématu Microsoft Entra předdefinovaných rolí – globální správce.
Role správce Intune je předdefinovaná role v Microsoft Entra a označuje se také jako role správce služeb Intune. Má omezený rozsah oprávnění ke správě a správě Intune a správě souvisejících funkcí, jako je správa uživatelů a skupin. Tato role je vhodná pro správce, kteří potřebují jenom spravovat Intune.
Snížení rizika:
- Roli Správce Intune přiřaďte jenom podle potřeby. Pokud existuje integrovaná role Intune , která vyhovuje potřebám správce, přiřaďte ji místo role Správce Intune. Vždy přiřaďte nejméně privilegovanou roli Intune, která je potřebná k tomu, aby správce dělal své úkoly.
- Vytvořte vlastní role pro další omezení rozsahu oprávnění pro správce.
Rozšířené ovládací prvky zabezpečení:
Multi Správa Approval teď podporuje řízení přístupu na základě role. Pokud je toto nastavení zapnuté, musí změny rolí schválit druhý správce. Tyto změny můžou zahrnovat aktualizace oprávnění rolí, skupin správců nebo přiřazení členských skupin. Změna se projeví až po schválení. Tento proces duální autorizace pomáhá chránit vaši organizaci před neoprávněnými nebo náhodnými změnami řízení přístupu na základě role. Další informace najdete v tématu Použití více Správa schválení v Intune.
Další informace o Microsoft Entra roli správce Intune najdete v tématu Microsoft Entra předdefinovaných rolí – správce Intune.
Privileged Identity Management pro Intune
Pokud používáte Entra ID Privileged Identity Management (PIM), můžete určit, kdy může uživatel používat oprávnění, která poskytuje role RBAC Intune nebo role správce Intune z Entra ID.
Intune podporuje dvě metody zvýšení oprávnění rolí. Mezi těmito dvěma metodami jsou rozdíly ve výkonu a nejnižších oprávněních.
Metoda 1: Vytvořte zásadu za běhu (JIT) s Microsoft Entra Privileged Identity Management (PIM) pro Microsoft Entra integrovanou roli správce Intune a přiřaďte jí účet správce.
Metoda 2: Využití Privileged Identity Management (PIM) pro skupiny s přiřazením role RBAC v Intune Další informace o používání PIM pro skupiny s rolemi RBAC v Intune najdete v tématu Konfigurace přístupu správce za běhu v Microsoft Intune s Microsoft Entra PIM pro skupiny | Centrum komunity Microsoftu
Pokud pro roli správce Intune z Entra ID použijete zvýšení oprávnění PIM, obvykle k němu dojde během 10 sekund. Použití zvýšení oprávnění na základě skupin PIM pro předdefinované nebo vlastní role Intune obvykle trvá až 15 minut.
Informace o přiřazení rolí Intune
Skupinám uživatelů se přiřazují vlastní i předdefinované role Intune. Přiřazená role se vztahuje na každého uživatele ve skupině a definuje:
- kteří uživatelé jsou přiřazeni k roli
- jaké prostředky vidí
- jaké prostředky můžou změnit.
Každá skupina s přiřazenou rolí Intune by měla obsahovat jenom uživatele, kteří mají oprávnění provádět úlohy správy pro tuto roli.
- Pokud nejméně privilegovaná předdefinovaná role uděluje nadměrné oprávnění nebo oprávnění, zvažte použití vlastní role k omezení rozsahu přístupu pro správu.
- Při plánování přiřazení rolí vezměte v úvahu výsledky uživatele s více přiřazeními rolí.
Aby měl uživatel přiřazenou roli Intune a měl přístup ke správě Intune, nevyžaduje licenci Intune, pokud byl jeho účet vytvořený v Entra po červnu 2021. Účty vytvořené před červnem 2021 vyžadují přiřazení licence k používání Intune.
Pokud chcete zobrazit existující přiřazení role, zvolteSpráva> tenanta Intune>Role>Všechny role> zvolte roli >Přiřazení> zvolit přiřazení. Na stránce Vlastnosti přiřazení můžete upravit:
Základy: Název a popis zadání.
Členové: Členové jsou skupiny, které jsou nakonfigurované na stránce Správa skupiny při vytváření přiřazení role. Všichni uživatelé v uvedených skupinách zabezpečení Azure mají oprávnění ke správě uživatelů a zařízení uvedených v části Rozsah (Skupiny).
Obor (Skupiny): Pomocí oboru (skupiny) můžete definovat skupiny uživatelů a zařízení, které může spravovat správce s tímto přiřazením role. Správci s tímto přiřazením role můžou používat oprávnění udělená rolí ke správě každého uživatele nebo zařízení v rámci skupin oborů definovaných přiřazeními rolí.
Tip
Když konfigurujete skupinu oborů, omezte přístup výběrem pouze skupin zabezpečení, které obsahují uživatele a zařízení, která by měl spravovat správce s tímto přiřazením role. Pokud chcete zajistit, aby správci s touto rolí nemohli cílit na všechny uživatele nebo všechna zařízení, nevybírejte Přidat všechny uživatele nebo Přidat všechna zařízení.
Pokud zadáte skupinu vyloučení pro přiřazení, jako je například zásada nebo přiřazení aplikace, musí být buď vnořená do jedné ze skupin oborů přiřazení RBAC, nebo musí být samostatně uvedená jako skupina oborů v přiřazení role RBAC.
Značky oboru: Správci, kteří mají přiřazené toto přiřazení role, můžou zobrazit prostředky, které mají stejné značky oboru.
Poznámka
Značky oboru jsou textové hodnoty volného formátu, které správce definuje a pak přidá do přiřazení role. Značka oboru přidaná k roli řídí viditelnost samotné role. Značka oboru přidaná v přiřazení role omezuje viditelnost objektů Intune, jako jsou zásady, aplikace nebo zařízení, jenom na správce v daném přiřazení role, protože přiřazení role obsahuje jednu nebo více odpovídajících značek oboru.
Více přiřazení rolí
Pokud má uživatel více přiřazení rolí, oprávnění a značek oboru, rozšíří se tato přiřazení rolí na různé objekty následujícím způsobem:
- Oprávnění jsou přírůstková v případě, že dvě nebo více rolí udělují oprávnění ke stejnému objektu. Uživatel s oprávněním ke čtení z jedné role a čtení a zápisu z jiné role má například efektivní oprávnění pro čtení a zápis (za předpokladu, že přiřazení obou rolí cílí na stejné značky oboru).
- Přiřazení oprávnění a značky oboru se vztahují pouze na objekty (jako jsou zásady nebo aplikace) v oboru přiřazení dané role (skupiny). Přiřazení oprávnění a značky oboru se nevztahují na objekty v jiných přiřazeních rolí, pokud je jiné přiřazení výslovně neudělí.
- Další oprávnění (například Vytvořit, Číst, Aktualizovat, Odstranit) a značky oboru se vztahují na všechny objekty stejného typu (například všechny zásady nebo všechny aplikace) v jakémkoli přiřazení uživatele.
- Oprávnění a značky oboru pro objekty různých typů (jako jsou zásady nebo aplikace) se na sebe navzájem nevztahují. Oprávnění ke čtení zásad například neposkytuje oprávnění ke čtení aplikacím v přiřazeních uživatele.
- Pokud neexistují žádné značky oboru nebo jsou některé značky oboru přiřazené z různých přiřazení, uživatel může zobrazit jenom zařízení, která jsou součástí některých značek oboru a nemůžou zobrazit všechna zařízení.
Monitorování přiřazení RBAC
Probíhá tato a tři dílčí části.
V Centru pro správu Intune můžete přejít na Role správce>tenanta a rozbalit monitorování a najít několik zobrazení, která vám můžou pomoct identifikovat oprávnění, která mají různí uživatelé v rámci vašeho tenanta Intune. Například ve složitém prostředí pro správu můžete pomocí zobrazení Správa oprávnění zadat účet, abyste viděli jeho aktuální rozsah oprávnění pro správu.
Moje oprávnění
Když vyberete tento uzel, zobrazí se kombinovaný seznam aktuálních kategorií intune RBAC a oprávnění udělených vašemu účtu. Tento kombinovaný seznam obsahuje všechna oprávnění ze všech přiřazení rolí, ale ne to, která přiřazení rolí je poskytují nebo podle jakého členství ve skupině jsou přiřazené.
Role podle oprávnění
V tomto zobrazení uvidíte podrobnosti o konkrétní kategorii a oprávněních Intune RBAC a o tom, jakým přiřazením rolí a kterým skupinám se tato kombinace zpřístupní.
Začněte tím, že vyberete kategorii oprávnění Intune a pak konkrétní oprávnění z této kategorie. Centrum pro správu pak zobrazí seznam instancí, které vedou k přiřazení tohoto oprávnění, který zahrnuje:
- Zobrazovaný název role – název předdefinované nebo vlastní role RBAC, která uděluje oprávnění.
- Zobrazovaný název přiřazení role – název přiřazení role, které přiřazuje roli skupinám uživatelů.
- Název skupiny – název skupiny, která obdrží přiřazení role.
Správa oprávnění
Pomocí uzlu oprávnění Správa identifikujte konkrétní oprávnění, která jsou účtu aktuálně udělena.
Začněte zadáním uživatelského účtu. Pokud má uživatel ke svému účtu přiřazená oprávnění Intune, Intune zobrazí úplný seznam oprávnění identifikovaných podle kategorií a oprávnění.
