Řízení přístupu na základě role (RBAC) v Microsoft Intune
Řízení přístupu na základě role (RBAC) pomáhá spravovat, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky může dělat. Přiřazením rolí uživatelům Intune můžete omezit, co můžou zobrazit a změnit. Každá role má sadu oprávnění, která určují, ke kterým uživatelům s danou rolí může v organizaci přistupovat a měnit je.
Pokud chcete vytvářet, upravovat nebo přiřazovat role, musí mít váš účet jedno z následujících oprávnění v Microsoft Entra ID:
- Globální správce
- Správce služeb Intune (označovaný také jako správce Intune)
Role
Role definuje sadu oprávnění udělených uživatelům přiřazeným k této roli. Můžete použít předdefinované i vlastní role. Předdefinované role pokrývají některé běžné scénáře Intune. Můžete vytvořit vlastní role s přesnou sadou potřebných oprávnění. Několik rolí Microsoft Entra má oprávnění k Intune. Pokud chcete zobrazit roli v Centru pro správu Intune, přejděte do části Správa>tenanta Role>Všechny role> zvolte roli. Roli můžete spravovat na následujících stránkách:
- Vlastnosti: Název, popis, oprávnění a značky oboru pro roli.
- Přiřazení: Seznam přiřazení rolí definujících , kteří uživatelé mají přístup ke kterým uživatelům nebo zařízením. Role může mít více přiřazení a uživatel může být ve více přiřazeních.
Poznámka
Abyste mohli spravovat Intune, musíte mít přiřazenou licenci Intune. Případně můžete uživatelům bez licence povolit správu Intune tak, že nastavíte Povolit přístup nelicencovaným správcům na Ano.
Předdefinované role
Předdefinované role můžete skupinám přiřazovat bez další konfigurace. Nemůžete odstranit ani upravit název, popis, typ nebo oprávnění předdefinované role.
- Správce aplikací: Spravuje mobilní a spravované aplikace, může číst informace o zařízení a zobrazit konfigurační profily zařízení.
- Správce oprávnění koncového bodu: Spravuje zásady správy oprávnění koncového bodu v konzole Intune.
- Čtenář oprávnění koncového bodu: Čtenáři oprávnění koncových bodů můžou zobrazit zásady správy oprávnění koncového bodu v konzole Intune.
- Endpoint Security Manager: Spravuje funkce zabezpečení a dodržování předpisů, jako jsou standardní hodnoty zabezpečení, dodržování předpisů zařízením, podmíněný přístup a Microsoft Defender for Endpoint.
- Operátor helpdesku: Provádí vzdálené úlohy na uživatelích a zařízeních a může uživatelům nebo zařízením přiřazovat aplikace nebo zásady.
- Správce role Intune: Spravuje vlastní role Intune a přidává přiřazení pro předdefinované role Intune. Je to jediná role Intune, která může přiřazovat oprávnění správcům.
- Správce zásad a profilů: Spravuje zásady dodržování předpisů, konfigurační profily, registraci Apple, identifikátory podnikových zařízení a standardní hodnoty zabezpečení.
- Správce organizačních zpráv: Spravuje zprávy organizace v konzole Intune.
- Operátor jen pro čtení: Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nejde dělat změny.
- Správce školy: Spravuje zařízení s Windows 10 v Intune for Education.
- Správce cloudových počítačů: Správce cloudového počítače má přístup ke čtení a zápisu ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
- Cloud PC Reader: Cloud PC Reader má přístup ke čtení ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
Vlastní role
Můžete vytvořit vlastní role s vlastními oprávněními. Další informace o vlastních rolích najdete v tématu Vytvoření vlastní role.
Role Microsoft Entra s přístupem k Intune
Role Microsoft Entra | Všechna data Intune | Data auditu Intune |
---|---|---|
Globální správce | Pro čtení i zápis | Pro čtení i zápis |
Správce služeb Intune | Pro čtení i zápis | Pro čtení i zápis |
Správce podmíněného přístupu | Žádné | Žádné |
Správce zabezpečení | Jen pro čtení (úplná oprávnění správce pro uzel Endpoint Security) | Jen pro čtení |
Operátor zabezpečení | Jen pro čtení | Jen pro čtení |
Čtenář zabezpečení | Jen pro čtení | Jen pro čtení |
Správce dodržování předpisů | Žádné | Jen pro čtení |
Správce dat dodržování předpisů | Žádné | Jen pro čtení |
Globální čtenář (tato role je ekvivalentní roli operátora technické podpory Intune) | Jen pro čtení | Jen pro čtení |
Správce helpdesku (Tato role je ekvivalentní roli operátora technické podpory Intune) | Jen pro čtení | Jen pro čtení |
Čtenář sestav | Žádné | Jen pro čtení |
Tip
Intune také zobrazuje tři rozšíření Microsoft Entra: Uživatelé, Skupiny a Podmíněný přístup, která se řídí pomocí Microsoft Entra RBAC. Kromě toho správce uživatelských účtů provádí pouze aktivity uživatelů nebo skupin Microsoft Entra a nemá úplná oprávnění k provádění všech aktivit v Intune. Další informace najdete v tématu RBAC s ID Microsoft Entra.
Přiřazení rolí
Přiřazení role definuje:
- kteří uživatelé jsou přiřazeni k roli
- jaké prostředky vidí
- jaké prostředky můžou změnit.
Uživatelům můžete přiřadit vlastní i předdefinované role. Aby měl uživatel přiřazenou roli Intune, musí mít licenci Intune. Pokud chcete zobrazit přiřazení role, zvolteSpráva> tenanta Intune>Role>Všechny role> zvolte roli >Přiřazení> zvolte přiřazení. Na stránce Vlastnosti můžete upravit:
- Základy: Název a popis zadání.
- Členové: Všichni uživatelé v uvedených skupinách zabezpečení Azure mají oprávnění ke správě uživatelů a zařízení uvedených v části Rozsah (Skupiny).
- Obor (skupiny):Skupiny oborů jsou skupiny zabezpečení uživatelů nebo zařízení Microsoft Entra nebo obojí, pro které jsou správci v přiřazení role omezeni na provádění operací. Například nasazení zásady nebo aplikace pro uživatele nebo vzdálené uzamčení zařízení. Všechny uživatele a zařízení v těchto skupinách zabezpečení Microsoft Entra můžou spravovat uživatelé v části Členové.
- Obor (značky):Uživatelé v části Členové můžou zobrazit prostředky, které mají stejné značky oboru.
Poznámka
Značky oboru jsou volné textové hodnoty, které správce definuje a pak přidá do přiřazení role. Značka oboru přidaná k roli řídí viditelnost samotné role, zatímco značka oboru přidaná v přiřazení role omezuje viditelnost objektů Intune (jako jsou zásady a aplikace) nebo zařízení jenom na správce v daném přiřazení role, protože přiřazení role obsahuje jednu nebo více odpovídajících značek oboru.
Více přiřazení rolí
Pokud má uživatel více přiřazení rolí, oprávnění a značek oboru, rozšíří se tato přiřazení rolí na různé objekty následujícím způsobem:
- Oprávnění jsou přírůstková v případě, že dvě nebo více rolí udělují oprávnění ke stejnému objektu. Uživatel s oprávněním ke čtení z jedné role a čtení a zápisu z jiné role má například efektivní oprávnění pro čtení a zápis (za předpokladu, že přiřazení obou rolí cílí na stejné značky oboru).
- Přiřazení oprávnění a značky oboru se vztahují pouze na objekty (jako jsou zásady nebo aplikace) v oboru přiřazení dané role (skupiny). Přiřazení oprávnění a značky oboru se nevztahují na objekty v jiných přiřazeních rolí, pokud je jiné přiřazení výslovně neudělí.
- Další oprávnění (například Vytvořit, Číst, Aktualizovat, Odstranit) a značky oboru se vztahují na všechny objekty stejného typu (například všechny zásady nebo všechny aplikace) v jakémkoli přiřazení uživatele.
- Oprávnění a značky oboru pro objekty různých typů (jako jsou zásady nebo aplikace) se na sebe navzájem nevztahují. Oprávnění ke čtení zásad například neposkytuje oprávnění ke čtení aplikacím v přiřazeních uživatele.
- Pokud neexistují žádné značky oboru nebo jsou některé značky oboru přiřazené z různých přiřazení, uživatel může zobrazit jenom zařízení, která jsou součástí některých značek oboru a nemůžou zobrazit všechna zařízení.