Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal
A szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelheti, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. Ha szerepköröket rendel az Intune-felhasználókhoz, korlátozhatja, hogy mit láthatnak és módosíthatnak. Minden szerepkör rendelkezik engedélyekkel, amelyek meghatározzák, hogy az adott szerepkörrel rendelkező felhasználók milyen hozzáféréssel és módosításokkal rendelkezhetnek a szervezeten belül.
Szerepkörök létrehozásához, szerkesztéséhez vagy hozzárendeléséhez a fióknak az alábbi engedélyek egyikével kell rendelkeznie a Microsoft Entra-azonosítóban:
- Globális rendszergazda
- Intune-szolgáltatásadminisztrátor (más néven Intune-rendszergazda)
Szerepkörök
A szerepkör határozza meg az adott szerepkörhöz rendelt felhasználók számára megadott engedélyeket. A beépített és az egyéni szerepköröket is használhatja. A beépített szerepkörök néhány gyakori Intune-forgatókönyvre vonatkoznak. Létrehozhat saját egyéni szerepköröket a szükséges engedélyek pontos készletével. Számos Microsoft Entra-szerepkör rendelkezik intune-engedélyekkel. Ha meg szeretne tekinteni egy szerepkört az Intune Felügyeleti központban, lépjen a Bérlőfelügyeleti>szerepkörök>Minden szerepkör> szerepkör kiválasztása elemre. A szerepkört a következő oldalakon kezelheti:
- Tulajdonságok: A szerepkör neve, leírása, engedélyei és hatókörcímkéi.
- Hozzárendelések: Szerepkör-hozzárendelések listája, amely meghatározza, hogy mely felhasználók mely felhasználókhoz/eszközökhöz férhetnek hozzá. Egy szerepkör több hozzárendeléssel is rendelkezhet, és egy felhasználó több hozzárendelésben is lehet.
Megjegyzés:
Az Intune felügyeletéhez intune-licenccel kell rendelkeznie. Másik lehetőségként engedélyezheti, hogy a licenccel nem rendelkező felhasználók felügyelhessék az Intune-t, ha a Nem licencelt rendszergazdák hozzáférésének engedélyezése beállítást Igen értékre állítja.
Beépített szerepkörök
A beépített szerepköröket további konfigurálás nélkül is hozzárendelheti a csoportokhoz. Beépített szerepkör nevét, leírását, típusát vagy engedélyeit nem törölheti és nem szerkesztheti.
- Alkalmazáskezelő: Felügyeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilokat.
- Végponti jogosultságkezelő: Az Intune-konzol végponti jogosultságkezelési szabályzatait kezeli.
- Végpontjogosultság-olvasó: A végponti jogosultságok olvasói megtekinthetik a végpontjogosultság-kezelési szabályzatokat az Intune-konzolon.
- Endpoint Security Manager: Felügyeli a biztonsági és megfelelőségi funkciókat, például a biztonsági alapkonfigurációkat, az eszközmegfelelőségeket, a feltételes hozzáférést és a Végponthoz készült Microsoft Defendert.
- Ügyfélszolgálati operátor: Távoli feladatokat hajt végre a felhasználókon és az eszközökön, és alkalmazásokat vagy szabályzatokat rendelhet felhasználókhoz vagy eszközökhöz.
- Intune szerepkör-rendszergazda: Egyéni Intune-szerepköröket kezel, és hozzárendeléseket ad hozzá a beépített Intune-szerepkörökhöz. Ez az egyetlen Olyan Intune-szerepkör, amely engedélyeket rendelhet a rendszergazdákhoz.
- Szabályzat- és profilkezelő: Felügyeli a megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt, a vállalati eszközazonosítókat és a biztonsági alapkonfigurációkat.
- Szervezeti üzenetek kezelője: A szervezeti üzenetek kezelése az Intune-konzolon.
- Csak olvasható operátor: Megtekinti a felhasználó, az eszköz, a regisztráció, a konfiguráció és az alkalmazás adatait. Nem lehet módosítani az Intune-t.
- Iskolai rendszergazda: Windows 10-eszközöket kezel az Intune for Educationben.
- Felhőalapú pc-rendszergazda: A felhőalapú pc-rendszergazdák olvasási és írási hozzáféréssel rendelkeznek a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
- Felhőalapú PC-olvasó: A felhőalapú PC-olvasó olvasási hozzáféréssel rendelkezik a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
Egyéni szerepkörök
Létrehozhat saját szerepköröket egyéni engedélyekkel. További információ az egyéni szerepkörökről: Egyéni szerepkör létrehozása.
Microsoft Entra-szerepkörök Intune-hozzáféréssel
| Microsoft Entra szerepkör | Minden Intune-adat | Az Intune naplózási adatai |
|---|---|---|
| Globális rendszergazda | Olvasás/írás | Olvasás/írás |
| Intune-szolgáltatásgazda | Olvasás/írás | Olvasás/írás |
| Feltételes hozzáférés rendszergazdája | Egyikre sem. | Egyikre sem. |
| Biztonsági rendszergazda | Írásvédett (végpontbiztonsági csomópont teljes rendszergazdai engedélyei) | Csak olvasható |
| Biztonsági operátor | Csak olvasható | Csak olvasható |
| Biztonsági olvasó | Csak olvasható | Csak olvasható |
| Megfelelőségi rendszergazda | Egyikre sem. | Csak olvasható |
| Megfelelőségi adatadminisztrátor | Egyikre sem. | Csak olvasható |
| Globális olvasó (Ez a szerepkör egyenértékű az Intune ügyfélszolgálati operátori szerepkörével) | Csak olvasható | Csak olvasható |
| Ügyfélszolgálati rendszergazda (Ez a szerepkör egyenértékű az Intune ügyfélszolgálati operátori szerepkörével) | Csak olvasható | Csak olvasható |
| Jelentésolvasó | Egyikre sem. | Csak olvasható |
Tipp
Az Intune három Microsoft Entra-bővítményt is bemutat: felhasználókat, csoportokat és feltételes hozzáférést, amelyeket a Microsoft Entra RBAC-vel vezérelhet. Emellett a felhasználói fiókadminisztrátor csak a Microsoft Entra felhasználói/csoporttevékenységeit hajtja végre, és nem rendelkezik teljes körű engedélyekkel az Intune-ban végzett összes tevékenység végrehajtásához. További információ: RBAC és Microsoft Entra ID.
Szerepkör-hozzárendelések
A szerepkör-hozzárendelés a következőket határozza meg:
- mely felhasználók vannak hozzárendelve a szerepkörhöz
- milyen erőforrásokat láthatnak
- milyen erőforrásokat módosíthatnak.
Egyéni és beépített szerepköröket is hozzárendelhet a felhasználókhoz. Intune-szerepkör hozzárendeléséhez a felhasználónak Intune-licenccel kell rendelkeznie. A szerepkör-hozzárendelések megtekintéséhez válassza az Intune>Bérlőfelügyeleti>szerepkörök>Minden szerepkör> kiválaszt egy szerepkört >Hozzárendelések> válasszon ki egy hozzárendelést. A Tulajdonságok lapon szerkesztheti a következőt:
- Alapvető beállítások: A hozzárendelések neve és leírása.
- Tagok: A felsorolt Azure-biztonsági csoportok összes felhasználója rendelkezik engedéllyel a hatókörben (csoportokban) felsorolt felhasználók/eszközök kezelésére.
- Hatókör (csoportok): A hatókörcsoportok felhasználók vagy eszközök Microsoft Entra biztonsági csoportjai, vagy mindkettő, amelyek esetében a szerepkör-hozzárendelésben szereplő rendszergazdák csak műveleteket hajtanak végre. Például egy szabályzat vagy alkalmazás üzembe helyezése egy felhasználó számára, vagy egy eszköz távoli zárolása. Az ezekben a Microsoft Entra biztonsági csoportokban lévő összes felhasználót és eszközt a tagok felhasználói kezelhetik.
- Hatókör (címkék): A tagok felhasználói megtekinthetik az azonos hatókörcímkékkel rendelkező erőforrásokat.
Megjegyzés:
A hatókörcímkék olyan szabadkébeli szöveges értékek, amelyeket a rendszergazda definiál, majd hozzáad egy szerepkör-hozzárendeléshez. A szerepkörhöz hozzáadott hatókörcímke maga a szerepkör láthatóságát szabályozza, míg a szerepkör-hozzárendelésben hozzáadott hatókörcímke korlátozza az Intune-objektumok (például szabályzatok és alkalmazások) vagy eszközök láthatóságát csak az adott szerepkör-hozzárendelésben szereplő rendszergazdák számára, mert a szerepkör-hozzárendelés egy vagy több egyező hatókörcímkét tartalmaz.
Több szerepkör-hozzárendelés
Ha egy felhasználó több szerepkör-hozzárendeléssel, engedélyekkel és hatókörcímkével rendelkezik, ezek a szerepkör-hozzárendelések a következőképpen terjednek ki a különböző objektumokra:
- Az engedélyek növekményesek abban az esetben, ha két vagy több szerepkör ad engedélyeket ugyanahhoz az objektumhoz. Egy olyan felhasználó, aki olvasási engedéllyel rendelkezik egy szerepkörből, és például olvasási/írási engedéllyel rendelkezik egy másik szerepkörből, érvényes olvasási/írási engedéllyel rendelkezik (feltéve, hogy mindkét szerepkör hozzárendelései ugyanazt a hatókörcímkéket célzik).
- Az engedélyek és hatókörcímkék hozzárendelése csak az adott szerepkör hozzárendelési hatókörében (csoportokban) lévő objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozik. Az engedélyek és hatókörcímkék hozzárendelése nem vonatkozik más szerepkör-hozzárendelések objektumaira, kivéve, ha a másik hozzárendelés kifejezetten megadja őket.
- Más engedélyek (például Létrehozás, Olvasás, Frissítés, Törlés) és hatókörcímkék a felhasználó hozzárendeléseinek minden azonos típusú objektumára (például az összes szabályzatra vagy alkalmazásra) vonatkoznak.
- A különböző típusú objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozó engedélyek és hatókörcímkék nem vonatkoznak egymásra. Egy szabályzat olvasási engedélye például nem biztosít Olvasás engedélyt a felhasználó hozzárendeléseiben lévő alkalmazások számára.
- Ha nincsenek hatókörcímkék, vagy egyes hatókörcímkék különböző hozzárendelésekhez vannak hozzárendelve, a felhasználók csak bizonyos hatókörcímkék részét képező eszközöket láthatják, és nem láthatják az összes eszközt.