Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz

Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a Intune rendszergazdái a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a várhatóan kezelni kívánt Intune objektumokhoz. A szerepkörök határozzák meg, hogy mely objektumokhoz milyen hozzáférési rendszergazdák férhetnek hozzá. A hatókörcímkék határozzák meg, hogy a rendszergazdák mely objektumokat láthatják.

Tegyük fel például, hogy egy seattle-i regionális iroda rendszergazdája rendelkezik a Házirend és a Profilkezelő szerepkörrel. Azt szeretné, hogy ez a rendszergazda csak azokat a profilokat és házirendeket lássa és kezelje, amelyek csak a seattle-i eszközökre vonatkoznak, amelyek a seattle-i irodában található eszközök egy csoportjára vonatkoznak. A hozzáférés beállításához a következőt kell tenni:

  1. Hozzon létre egy Seattle nevű hatókörcímkét.
  2. Hozzon létre egy szerepkör-hozzárendelést a Policy és a Profile Manager szerepkörhöz a következőkkel:
    • Tagok (csoportok) = Seattle-i informatikai rendszergazdák nevű biztonsági csoport. A csoport összes rendszergazdája jogosult a hatókörben (csoportokban) lévő felhasználók/eszközök szabályzatainak és profiljainak kezelésére.
    • Scope (Groups) = Seattle users (Seattle-felhasználók) nevű biztonsági csoport. A csoport összes felhasználója/eszköze rendelkezhet a tagok (csoportok) rendszergazdái által kezelt profilokkal és szabályzatokkal.
    • Scope (Tags) = Seattle. A tag (csoportok) rendszergazdái láthatják Intune olyan objektumokat, amelyek seattle-i hatókörcímkével is rendelkeznek.
  3. Adja hozzá a Seattle-hatókör címkét azokhoz a szabályzatokhoz és profilokhoz, amelyekhez hozzáférést szeretne biztosítani a tagok (csoportok) rendszergazdáinak.
  4. Adja hozzá a Seattle-hatókör címkét azokhoz az eszközökhöz, amelyeket látni szeretne a tagok (csoportok) rendszergazdái számára.

Alapértelmezett hatókörcímke

A rendszer automatikusan hozzáadja az alapértelmezett hatókörcímkét minden olyan címkézetlen objektumhoz, amely támogatja a hatókörcímkéket.

Az alapértelmezett hatókörcímke-funkció hasonló az Microsoft Configuration Manager biztonsági hatókörök szolgáltatásához.

Megjegyzés:

Intune házirendek konfigurálásakor vagy szerkesztésekor előfordulhat, hogy egyes szabályzattípusok nem jelenítik meg a Hatókörcímkék konfigurációs lapot, ha nincsenek egyéni hatókörcímkék a bérlőhöz. Ha nem látja a Hatókörcímke beállítást, győződjön meg arról, hogy az alapértelmezett hatókörcímke mellett legalább egy címke meg van határozva.

Hatókörcímke létrehozása

A hatókörcímkék létrehozásához, frissítéséhez vagy törléséhez egy rendszergazda Intune Rendszergazda Microsoft Entra szerepkörrel kell rendelkeznie. Mivel ez egy kiemelt szerepkör, a Microsoft csak akkor javasolja a használatát, ha szükséges. A szerepkör-hozzárendelésben hatókörcímkével rendelkező rendszergazdák nem frissíthetik vagy törölhetik a hatókörcímkéket a hatókörcímkék főlistájából.

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök hatóköre>(címkék)>Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális leírást. Válassza a Tovább gombot.

  3. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek a hatókörcímkéhez hozzárendelni kívánt eszközöket tartalmazzák. Válassza a Tovább gombot.

  4. A Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget.

    Fontos

    Az automatikus hatókörcímkék hozzárendelései felülírják a manuálisan hozzárendelt hatókörcímkéket. Ha egy eszközhöz több hatókörcímke van hozzárendelve csoporthozzárendelésen keresztül, az összes hatókörcímke érvényes.

Hatókörcímke hozzárendelése szerepkörhöz

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlői felügyeleti>szerepkörök>Minden szerepkör> szerepkör hozzárendelése> szerepkört>.

  2. Az Alapvető beállítások lapon adja meg a hozzárendelés nevét és leírását. Válassza a Tovább gombot.

  3. A Rendszergazda Csoportok lapon válassza a Csoportok hozzáadása lehetőséget, és válassza ki a hozzárendelés részeként használni kívánt csoportokat. Az ezekben a csoportokban lévő felhasználók a hatókörben (csoportokban) kezelhetik a felhasználókat/eszközöket. Válassza a Tovább gombot.

    Képernyőkép a tagcsoportok kiválasztásáról.

  4. A Hatókörcsoportok lapon válassza az alábbi lehetőségek egyikét a Belefoglalt csoportokhoz:

    • Csoportok hozzáadása: Válassza ki a kezelni kívánt felhasználókat/eszközöket tartalmazó csoportokat. A kiválasztott csoportokban lévő összes felhasználót/eszközt a Rendszergazda-csoportok felhasználói kezelik.
    • Minden felhasználó hozzáadása: A Rendszergazda csoportok felhasználói az összes felhasználót kezelhetik.
    • Minden eszköz hozzáadása: A Rendszergazda csoportok felhasználói az összes eszközt kezelhetik.

    Tipp

    Ha kizáró csoportot ad meg egy hozzárendeléshez, például egy szabályzathoz vagy alkalmazás-hozzárendeléshez, akkor vagy az RBAC-hozzárendelés hatókörcsoportjainak egyikébe kell beágyazni, vagy külön kell szerepelnie hatókörcsoportként az RBAC-szerepkör-hozzárendelésben.

  5. Válassza a Tovább gombot

  6. A Hatókörcímkék lapon válassza ki a szerepkörhöz hozzáadni kívánt címkéket. A Rendszergazda csoportok felhasználói hozzáférhetnek Intune olyan objektumokhoz, amelyek hatókörcímkéje is azonos. Egy szerepkörhöz legfeljebb 100 hatókörcímkét rendelhet.

  7. A Tovább gombot választva lépjen a Véleményezés + létrehozás lapra, majd válassza a Létrehozás lehetőséget.

Hatókörcímkék hozzárendelése más objektumokhoz

A hatókörcímkéket támogató objektumok esetében a hatókörcímkék általában a Tulajdonságok területen jelennek meg. Ha például hatókörcímkét szeretne hozzárendelni egy konfigurációs profilhoz, kövesse az alábbi lépéseket:

  1. A Microsoft Intune Felügyeleti központban válassza az Eszközök>kezelése Eszközök>konfigurációja> lehetőséget, és válasszon egy profilt.

  2. Válassza a Tulajdonságok>hatóköre (Címkék)>Szerkesztés>Hatókörcímkék> kiválasztása lehetőséget, és válassza ki a profilhoz hozzáadni kívánt címkéket. Egy objektumhoz legfeljebb 100 hatókörcímkét rendelhet.

  3. Válassza azÁttekintés és mentéskiválasztása lehetőséget>.

Hatókörcímke részletei

A hatókörcímkék használatakor jegyezze meg ezeket a részleteket:

  • Hatókörcímkéket hozzárendelhet egy Intune objektumtípushoz, ha a bérlő az objektum több verziójával (például szerepkör-hozzárendelésekkel vagy alkalmazásokkal) rendelkezhet. A következő Intune objektumok kivételt képeznek a szabály alól, és jelenleg nem támogatják a hatókörcímkéket:
    • Vállalati eszközazonosítók
    • Windows Autopilot-eszközök
    • Eszközmegfelelési helyek
    • Jamf-eszközök
  • A VPP-jogkivonathoz társított Mennyiségi vásárlási program (VPP) alkalmazásai és ebookjai öröklik a társított VPP-jogkivonathoz rendelt hatókörcímkéket.
  • Amikor egy rendszergazda létrehoz egy objektumot Intune, a rendszer automatikusan hozzárendeli a rendszergazdához rendelt összes hatókörcímkét az új objektumhoz.
  • Intune RBAC nem vonatkozik Microsoft Entra szerepkörökre. Így a Intune szolgáltatásadminisztrátori szerepkör teljes körű rendszergazdai hozzáféréssel rendelkezik a Intune, függetlenül attól, hogy milyen hatókörcímkékkel rendelkeznek.
  • Ha egy szerepkör-hozzárendelés nem rendelkezik hatókörcímkével, az informatikai rendszergazda az informatikai rendszergazdák engedélyei alapján láthatja az összes objektumot. Azok a rendszergazdák, amelyek nem rendelkeznek hatókörcímkékkel, lényegében minden hatókörcímkével rendelkeznek.
  • Csak a szerepkör-hozzárendelésekben szereplő hatókörcímkét rendelheti hozzá.
  • Csak a szerepkör-hozzárendelés hatókörében (csoportjaiban) felsorolt célcsoportokat célozhatja meg.
  • Ha a szerepkörhöz hatókörcímke van hozzárendelve, nem törölheti az összes hatókörcímkét egy Intune objektumon. Legalább egy hatókörcímke szükséges.

Engedély viselkedése szerepkör-hozzárendelések között

A következő szakaszok ismertetik Intune meglévő és alapértelmezett viselkedését a hatókörön belüli engedélyek esetében, valamint egy továbbfejlesztett, nyilvános előzetes verzióra vonatkozó jóváhagyási viselkedést, amely egy későbbi kiadásban az összes bérlő alapértelmezett viselkedésévé válik.

Fontos

2026 márciusában a Intune bevezette a hatókörön belüli engedélyekre vonatkozó nyilvános előzetes verziót. Ez az új viselkedés megváltoztatja az engedélyek alkalmazásának módját, ha egy rendszergazda több szerepkör-hozzárendeléssel rendelkezik különböző hatókörcímkékkel. Amíg nem engedélyezi ezt a beállítást, a bérlő továbbra is az alapértelmezett viselkedést használja. Tekintse át mindkét viselkedést, és használja az Engedélyértékelési jelentést a jóváhagyás előtti hatás megértéséhez, mivel ez a változás nem vonható vissza.

Alapértelmezett viselkedés

Alapértelmezés szerint, ha egy rendszergazda több szerepkör-hozzárendeléshez tartozik, amelyek különböző hatókörcímkéket használnak, és ugyanazt az engedélykategóriát használják (például Mobilalkalmazások), Intune egyesíti az engedélyeket a hozzárendelések között. Ez azt eredményezheti, hogy egy rendszergazda a vártnál szélesebb körű hozzáférést kap. Például:

  • Az Alkalmazásgazdák biztonsági csoporthoz olyan szerepkör van hozzárendelve, amely csak olvasási engedélyeket biztosít a Mobile Apps számára, amelynek hatóköre a központra terjed ki, és csak olvasási hozzáférést biztosít számukra.
  • Ugyanahhoz a csoporthoz egy olyan szerepkör is hozzá van rendelve, amely teljes körű engedélyeket (Létrehozás, Olvasás, Frissítés, Törlés) biztosít a mobilalkalmazásokhoz, hatóköre pedig a regionális office.
  • Mivel mindkét hozzárendelés osztozik a Mobile Apps engedélykategórián, Intune egyesíteni őket. Ennek eredménye: Az alkalmazásadminisztrátori tagok teljes körű engedélyekkel rendelkeznek a Mobilalkalmazások szolgáltatáshoz mind a központi, mind a regionális irodában, nem pedig a Központ számára szánt írásvédett hozzáféréssel.

Ha nem ez a kívánt hozzáférés, az Engedélyek felmérése jelentéssel pontosan láthatja, hogyan változnak az aktuális hozzárendelések, mielőtt engedélyezi a hatókörön belüli engedélyeket.

Hatókörön belüli engedélyek (nyilvános előzetes verzió engedélyezése)

A nyilvános előzetes verzióban elérhető Hatókörön belüli engedélyek beállítással pontosan szabályozhatja, hogy az egyes rendszergazdák milyen műveleteket végezhetnek el az egyes hatókörcímkén belül. Ahelyett, hogy Intune csendesen egyesítenék az engedélyeket a szerepkör-hozzárendelések között, az egyes hozzárendelések engedélyei a saját hatókörükhöz tartoznak. A rendszergazdák pontosan a kívánt hozzáférést kapják, többé nem.

Ha a hatókörön belüli engedélyek engedélyezve vannak, az egyes szerepkör-hozzárendelések engedélyei csak a saját hatókörcímke-környezetükön belül érvényesek. Ugyanebben a példában az alkalmazás-rendszergazdák csak olvasási hozzáféréssel rendelkeznek a Központi címkével ellátott Mobilalkalmazásokhoz, és teljes körű engedélyekkel rendelkeznek a Regionális Irodával címkézett Mobilalkalmazásokhoz, pontosan a kívánt módon.

A hatókörrel rendelkező engedélyek engedélyezése egy egyszeri bérlői művelet, amelyet nem lehet visszavonni. A beállítás engedélyezése előtt az Engedélyek felmérése jelentéssel megtekintheti, hogy pontosan hogyan változnak az engedélyek a bérlő minden érintett rendszergazdájához. A jelentés a Bérlőfelügyeleti>szerepkörök>beállításai lapon érhető el, és igény szerint annyiszor futtatható.

A Hatókörön belüli engedélyek engedélyezéséhez lépjen a Bérlőfelügyeleti>szerepkörök>beállításai területre, és kapcsolja be a Hatókörön belüli engedélyek kapcsolót egy olyan fiókkal, amely az alábbi szerepkörök egyikével rendelkezik:

  • Egyéni Intune szerepkör (ajánlott) – Hozzon létre egy egyéni szerepkört, amely tartalmazza a Szervezetfrissítési műveletét. Ezt az engedélyt egyetlen beépített Intune szerepkör sem tartalmazza.
  • Intune Rendszergazda – Ez a Microsoft Entra szerepkör teljes olvasási/írási hozzáférést biztosít a Intune. Mivel ez egy kiemelt szerepkör, a Microsoft a legkevésbé emelt szintű egyéni Intune szerepkör használatát javasolja.

Engedélyértékelési jelentés

A hatókörön belüli engedélyek engedélyezése előtt az Engedélyek felmérése jelentéssel megtekintheti, hogy pontosan hogyan változnak az engedélyek a bérlőben lévő összes érintett rendszergazda esetében. A jelentés a bérlői felügyeleti>szerepkörök>beállításainál érhető el, és igény szerint futtatható a beállítás engedélyezése előtt vagy után.

A jelentés az egyes érintett biztonsági csoportokat, az érintett szerepköröket és hatókörcímkéket, valamint az aktuális (egyesített) engedélyek és a hatókörön belüli engedélyek engedélyezése után alkalmazandó engedélyek összehasonlítását jeleníti meg. Minden sor egy adott erőforrást jelöl, ahol engedélycsökkentés történne, és egy csoport több sorban is megjelenhet, ha a csökkentés egynél több erőforrástípusra vonatkozik. A beállítás engedélyezése előtt tekintse át az eredményeket, és azonosítsa az engedélycsökkentéseket, és tájékoztassa őket az érintett rendszergazdákkal.

Jelentésoszlopok:

  • Csoport: Az a biztonsági csoport, amelynek engedélyeit a szerepkör-hozzárendelések egyesítése befolyásolja.
  • Szerepkörök: Azok a szerepkörök, amelyek engedélyei jelenleg egyesítve vannak ehhez a csoporthoz, és a Régi engedélyek területen látható szélesebb körű hozzáférést eredményeznek.
  • Hatókörcímke: Az a hatókörcímke, ahol engedélycsökkentés történik. Csak a nettó csökkentéssel rendelkező hatókörcímkék jelennek meg.
  • Erőforrás: Az az erőforrástípus, amelyre a módosítás vonatkozik, például DeviceConfigurations.
  • Régi engedélyek: A csoport aktuális engedélyei ehhez az erőforráshoz, az engedélykategórián osztozó összes szerepkör-hozzárendelés egyesített eredményét tükrözve. Ezek az egyesített engedélyek jelenleg a hozzárendelések összes hatókörcímkéjében érvényesek.
  • Új engedélyek: Az adott hatókörcímkére vonatkozó engedélyek a Hatókörön belüli engedélyek engedélyezése után csak a hatókörcímkéhez társított szerepkör-hozzárendelés alapján lesznek érvényesek.

A jelentés kizárja a tag nélküli biztonsági csoportokat, és az engedélyegyesítés által nem érintett biztonsági csoportokat.

A bérlőre gyakorolt hatás áttekintése és a hatókörön belüli engedélyek engedélyezése:

  1. Lépjen a Bérlőfelügyeleti>szerepkörök>beállításai területre.

  2. Válassza a Jelentés létrehozása lehetőséget az Engedélyértékelési jelentés futtatásához.

    Tekintse át az eredményeket, szükség szerint módosítsa a szerepkör-hozzárendeléseket, és tájékoztassa az esetleges engedélycsökkentéseket az érintett rendszergazdáknak. A jelentést exportálhatja is az Excelbe offline véleményezés vagy megosztás céljából.

  3. Ha készen áll, engedélyezze a Hatókörön belüli engedélyek kapcsolót.

    Fontos

    Ne engedélyezze a hatókörön belüli engedélyeket, amíg készen nem áll a módosítás implementálására. A hatókörön belüli engedélyek engedélyezése egy olyan egyirányú művelet, amely nem vonható vissza.

Következő lépések

Megtudhatja, hogyan viselkednek a hatókörcímkék több szerepkör-hozzárendelés esetén. A szerepkörök és profilok kezelése.

  • Last updated on