Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A szervezethez való hozzáférés biztonságossá tétele alapvető biztonsági lépés. Ez a cikk az Microsoft Intune szerepköralapú hozzáférés-vezérlés (RBAC) használatának alapvető részleteit ismerteti, amelyek az Microsoft Entra ID RBAC-vezérlők bővítményei. A következő cikkek segíthetnek Intune RBAC üzembe helyezésében a szervezetben.
Az Intune RBAC-vel részletes engedélyeket adhat a rendszergazdáknak annak szabályozására, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. Ha Intune RBAC-szerepköröket rendel hozzá, és betartja a minimális jogosultsági hozzáférés alapelveit, a rendszergazdák csak azokkal a felhasználókkal és eszközökkel végezhetik el a hozzájuk rendelt feladatokat, amelyeket kezelniük kell.
RBAC-szerepkörök
Minden Intune RBAC-szerepkör meghatározza az adott szerepkörhöz rendelt felhasználók számára elérhető engedélyek készletét. Az engedélyek egy vagy több felügyeleti kategóriából állnak, például eszközkonfigurációból vagy naplózási adatokból, valamint olyan műveletekből, mint az Olvasás, az Írás, a Frissítés és a Törlés. Együtt határozzák meg a rendszergazdai hozzáférés hatókörét és az engedélyek hatókörét Intune.
Intune beépített és egyéni szerepköröket is tartalmaz. A beépített szerepkörök minden bérlőben azonosak, és a gyakori felügyeleti forgatókönyvek kezelésére szolgálnak, míg a létrehozott egyéni szerepkörök adott engedélyeket biztosítanak a rendszergazdák számára. Emellett több Microsoft Entra szerepkör is tartalmaz engedélyeket Intune.
Ha meg szeretne tekinteni egy szerepkört a Intune Felügyeleti központban, lépjen a Bérlőfelügyeleti>szerepkörök>Minden szerepkör> elemre, és válasszon ki egy szerepkört. Ezt a szerepkört a következő lapokon kezelheti:
- Tulajdonságok: A szerepkör neve, leírása, engedélyei és hatókörcímkéi. A beépített szerepkörök nevét, leírását és engedélyeit ebben a dokumentációban is megtekintheti a Beépített szerepkör-engedélyek szakaszban.
- Hozzárendelések: Válasszon ki egy hozzárendelést egy szerepkörhöz , hogy megtekinthesse annak részleteit, beleértve azokat a csoportokat és hatóköröket, amelyeket a hozzárendelés tartalmaz. Egy szerepkör több hozzárendeléssel is rendelkezhet, és egy felhasználó több hozzárendelést is kaphat.
Megjegyzés:
2021 júniusában Intune megkezdte a nem licencelt rendszergazdák támogatását. A módosítás után létrehozott felhasználói fiókok hozzárendelt licenc nélkül felügyelhetik Intune. A módosítás előtt létrehozott fiókokhoz továbbra is licencre van szükség a Intune kezeléséhez.
Beépített szerepkörök
A megfelelő engedélyekkel rendelkező Intune rendszergazdák a Intune szerepkörök bármelyikét hozzárendelhetik felhasználói csoportokhoz. A beépített szerepkörök a szerepkör céljának megfelelő felügyeleti feladatok végrehajtásához szükséges konkrét engedélyeket biztosítanak. Intune nem támogatja a beépített szerepkörök leírásának, típusának vagy engedélyeinek szerkesztését.
- Alkalmazáskezelő: Felügyeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilokat.
- Végponti jogosultságkezelő: A végponti jogosultságkezelési szabályzatokat a Intune konzolon kezeli.
- Végpontjogosultság-olvasó: A végpontjogosultság-olvasók megtekinthetik a végpontjogosultság-kezelési szabályzatokat a Intune konzolon.
- Endpoint Security Manager: Felügyeli a biztonsági és megfelelőségi funkciókat, például a biztonsági alapkonfigurációkat, az eszközmegfelelőségeket, a feltételes hozzáférést és a Végponthoz készült Microsoft Defender.
- Ügyfélszolgálati operátor: Távoli feladatokat hajt végre a felhasználókon és az eszközökön, és alkalmazásokat vagy szabályzatokat rendelhet felhasználókhoz vagy eszközökhöz.
- Intune szerepkör-rendszergazda: Egyéni Intune szerepköröket kezel, és hozzárendeli a beépített Intune szerepköröket. Ez az egyetlen Intune szerepkör, amely engedélyeket rendelhet a rendszergazdákhoz.
- Szabályzat- és profilkezelő: Felügyeli a megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt, a vállalati eszközazonosítókat és a biztonsági alapkonfigurációkat.
- Csak olvasható operátor: Megtekinti a felhasználó, az eszköz, a regisztráció, a konfiguráció és az alkalmazás adatait. Nem lehet módosítani a Intune.
- Iskolai rendszergazda: Az Intune for Educationben kezeli Windows 10 eszközöket.
Ha a bérlő Windows 365 előfizetést tartalmaz a felhőalapú számítógépek támogatásához, a következő felhőalapú PC-szerepköröket is megtalálja a Intune Felügyeleti központban. Ezek a szerepkörök alapértelmezés szerint nem érhetők el, és a felhőbeli számítógépekhez kapcsolódó feladatokhoz tartozó engedélyeket tartalmaznak Intune. További információ ezekről a szerepkörökről: Beépített felhőalapú pc-szerepkörök a Windows 365 dokumentációjában.
- Felhőalapú PC-rendszergazda: A felhőalapú PC-rendszergazdák olvasási és írási hozzáféréssel rendelkeznek a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
- Felhőalapú PC-olvasó: A felhőbeli PC-olvasó olvasási hozzáféréssel rendelkezik a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
Egyéni szerepkörök
Létrehozhat saját egyéni Intune szerepköröket, hogy csak a feladataikhoz szükséges engedélyeket adja meg a rendszergazdáknak. Ezek az egyéni szerepkörök bármilyen Intune RBAC-engedélyt tartalmazhatnak, amely lehetővé teszi a finomított rendszergazdai hozzáférést és a szervezeten belüli legalacsonyabb jogosultsági szintű hozzáférés elvének támogatását.
Lásd: Egyéni szerepkör létrehozása.
Intune hozzáféréssel rendelkező szerepkörök Microsoft Entra
Intune RBAC-engedélyek az RBAC-engedélyek Microsoft Entra részhalmazai. Részhalmazként vannak olyan Entra-szerepkörök, amelyek Intune engedélyeit tartalmazzák. A Intune hozzáféréssel rendelkező legtöbb Entra ID szerepkör kiemelt szerepkörnek minősül. Az emelt szintű szerepkörök használatát és hozzárendelését korlátozni kell, és nem szabad napi felügyeleti feladatokhoz használni Intune.
A Microsoft azt javasolja, hogy kövesse a minimális engedélyek elvét úgy, hogy csak a minimálisan szükséges engedélyeket rendeli hozzá a rendszergazda feladatainak elvégzéséhez. Az elv támogatásához használja Intune beépített RBAC-szerepköreit a napi Intune felügyeleti feladatokhoz, és kerülje a Intune hozzáféréssel rendelkező Entra-szerepkörök használatát.
Az alábbi táblázat a Intune hozzáféréssel rendelkező Entra-szerepköröket és a Intune engedélyeit tartalmazza.
A Intune engedélyekkel rendelkező Entra-szerepkörök mellett a Intune következő három területe az Entra közvetlen kiterjesztése: Felhasználók, Csoportok és Feltételes hozzáférés. Ezeknek az objektumoknak és konfigurációknak a példányai Intune belül léteznek az Entra-ban. Entra-objektumokként az Entra-rendszergazdák kezelhetik őket az Entra szerepkör által biztosított megfelelő engedélyekkel. Hasonlóképpen, Intune Intune számára megfelelő engedélyekkel rendelkező rendszergazdák megtekinthetik és kezelhetik az Entra-ban létrehozott objektumtípusokat.
Intune Privileged Identity Management
A Entra ID Privileged Identity Management (PIM) használatakor kezelheti, hogy egy felhasználó mikor használhatja az Intune RBAC-szerepkör vagy a Intune rendszergazdai szerepkör által biztosított jogosultságokat Entra ID.
Intune két szerepkörszint-emelési módszert támogat. A két módszer között teljesítménybeli és minimális jogosultsági különbségek vannak.
1. módszer: Hozzon létre egy igény szerinti (JIT) szabályzatot Microsoft Entra Privileged Identity Management (PIM) a Microsoft Entra beépített Intune Rendszergazda szerepkörhöz, és rendeljen hozzá egy rendszergazdai fiókot.
2. módszer: A Privileged Identity Management (PIM) használata Intune RBAC-szerepkör-hozzárendeléssel rendelkező csoportokhoz. További információ a PIM Intune RBAC-szerepkörökkel rendelkező csoportokhoz való használatáról: Microsoft Intune igény szerint történő rendszergazdai hozzáférés konfigurálása Microsoft Entra PIM for Groups használatával | Microsoft Community Hub
Ha a Intune rendszergazdai szerepkörhöz PIM-jogosultságszint-emelést használ Entra ID, a jogosultságszint-emelés általában 10 másodpercen belül megtörténik. A PIM-csoportokon alapuló jogosultságszint-emelés Intune beépített vagy egyéni szerepkörei esetében általában akár 15 percet is igénybe vehet.
A Intune szerepkör-hozzárendelések ismertetése
Mind Intune egyéni, mind beépített szerepkör hozzá van rendelve felhasználói csoportokhoz. A hozzárendelt szerepkör a csoport minden felhasználójára vonatkozik, és a következőket határozza meg:
- mely felhasználók vannak hozzárendelve a szerepkörhöz
- milyen erőforrásokat láthatnak
- milyen erőforrásokat módosíthatnak.
Minden Intune szerepkörhöz rendelt csoportnak csak az adott szerepkörhöz tartozó rendszergazdai feladatok végrehajtására jogosult felhasználókat kell tartalmaznia.
- Ha a legkevésbé emelt szintű beépített szerepkör túlzott jogosultságokat vagy engedélyeket biztosít, fontolja meg egy egyéni szerepkör használatát a rendszergazdai hozzáférés hatókörének korlátozásához.
- A szerepkör-hozzárendelések tervezésekor vegye figyelembe egy több szerepkör-hozzárendeléssel rendelkező felhasználó eredményeit.
Ahhoz, hogy egy felhasználóhoz hozzá lehessen rendelni egy Intune szerepkört, és hozzá tudjanak férni a Intune felügyeletéhez, nincs szükség Intune licencre, ha a fiókjuk 2021 júniusa után lett létrehozva az Entrán. A 2021 júniusa előtt létrehozott fiókokhoz licenc szükséges a Intune használatához.
Meglévő szerepkör-hozzárendelés megtekintéséhez válassza a Intune>Tenant felügyeleti>szerepkörök>Minden szerepkör> kiválaszt egy szerepkört >Hozzárendelések> válasszon ki egy hozzárendelést. A hozzárendelések tulajdonságai lapon szerkesztheti a következőt:
Alapvető beállítások: A hozzárendelések neve és leírása.
Tagok: A tagok azok a csoportok, amelyek a szerepkör-hozzárendelés létrehozásakor a Rendszergazda Csoportok lapon vannak konfigurálva. A felsorolt Azure-biztonsági csoportok összes felhasználója rendelkezik engedéllyel a hatókörben (csoportokban) felsorolt felhasználók és eszközök kezelésére.
Hatókör (csoportok): A Hatókör (csoportok) használatával meghatározhatja azokat a felhasználói és eszközcsoportokat, amelyeket az ezzel a szerepkör-hozzárendeléssel rendelkező rendszergazdák kezelhetnek. Az ezzel a szerepkör-hozzárendeléssel rendelkező rendszergazda felhasználók a szerepkör által megadott engedélyekkel kezelhetik a szerepkör-hozzárendelések által meghatározott hatókörcsoportokban lévő összes felhasználót vagy eszközt.
Tipp
Hatókörcsoport konfigurálásakor korlátozza a hozzáférést úgy, hogy csak azokat a biztonsági csoportokat választja ki, amelyek tartalmazzák azokat a felhasználókat és eszközöket, amelyeket a szerepkör-hozzárendeléssel rendelkező rendszergazdáknak kezelniük kell. Ha gondoskodni szeretne arról, hogy az ezzel a szerepkörrel rendelkező rendszergazdák ne célozhassanak meg minden felhasználót vagy eszközt, ne válassza az Összes felhasználó hozzáadása vagy Az összes eszköz hozzáadása lehetőséget.
Hatókörcímkék: A szerepkör-hozzárendeléshez hozzárendelt rendszergazda felhasználók láthatják az azonos hatókörcímkékkel rendelkező erőforrásokat.
Megjegyzés:
A hatókörcímkék olyan szabad formátumú szöveges értékek, amelyeket a rendszergazda definiál, majd hozzáad egy szerepkör-hozzárendeléshez. A szerepkörhöz hozzáadott hatókörcímke maga a szerepkör láthatóságát szabályozza, míg a szerepkör-hozzárendelésben hozzáadott hatókörcímke csak az adott szerepkör-hozzárendelés rendszergazdái számára korlátozza Intune objektumok, például szabályzatok, alkalmazások vagy eszközök láthatóságát, mert a szerepkör-hozzárendelés egy vagy több egyező hatókörcímkét tartalmaz.
Több szerepkör-hozzárendelés
Ha egy felhasználó több szerepkör-hozzárendeléssel, engedélyekkel és hatókörcímkével rendelkezik, ezek a szerepkör-hozzárendelések a következőképpen terjednek ki a különböző objektumokra:
- Az engedélyek növekményesek abban az esetben, ha két vagy több szerepkör ad engedélyeket ugyanahhoz az objektumhoz. Egy olyan felhasználó, aki olvasási engedéllyel rendelkezik egy szerepkörből, és például olvasási/írási engedéllyel rendelkezik egy másik szerepkörből, érvényes olvasási/írási engedéllyel rendelkezik (feltéve, hogy mindkét szerepkör hozzárendelései ugyanazt a hatókörcímkéket célzik).
- Az engedélyek és hatókörcímkék hozzárendelése csak az adott szerepkör hozzárendelési hatókörében (csoportokban) lévő objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozik. Az engedélyek és hatókörcímkék hozzárendelése nem vonatkozik más szerepkör-hozzárendelések objektumaira, kivéve, ha a másik hozzárendelés kifejezetten megadja őket.
- Más engedélyek (például Létrehozás, Olvasás, Frissítés, Törlés) és hatókörcímkék a felhasználó hozzárendeléseinek minden azonos típusú objektumára (például az összes szabályzatra vagy alkalmazásra) vonatkoznak.
- A különböző típusú objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozó engedélyek és hatókörcímkék nem vonatkoznak egymásra. Egy szabályzat olvasási engedélye például nem biztosít Olvasás engedélyt a felhasználó hozzárendeléseiben lévő alkalmazások számára.
- Ha nincsenek hatókörcímkék, vagy egyes hatókörcímkék különböző hozzárendelésekhez vannak hozzárendelve, a felhasználók csak bizonyos hatókörcímkék részét képező eszközöket láthatják, és nem láthatják az összes eszközt.
RBAC-hozzárendelések monitorozása
Ez és a három alszakasz folyamatban van
A Intune Felügyeleti központban lépjen a Bérlői rendszergazdai>szerepkörök területre, és bontsa ki a Figyelés elemet, hogy több olyan nézetet találjon, amelyek segíthetnek azonosítani a különböző felhasználók Intune bérlőn belüli engedélyeit. Összetett felügyeleti környezetben például az Rendszergazda engedélyek nézettel adhat meg egy fiókot, így megtekintheti a rendszergazdai jogosultságok aktuális hatókörét.
Saját engedélyek
A csomópont kiválasztásakor megjelenik a fiók által biztosított aktuális Intune RBAC-kategóriák és -engedélyek kombinált listája. Ez az egyesített lista tartalmazza az összes szerepkör-hozzárendelés összes engedélyét, de azt nem, hogy mely szerepkör-hozzárendelések biztosítják őket, illetve mely csoporttagság alapján vannak hozzárendelve.
Szerepkörök engedély szerint
Ebben a nézetben megtekintheti egy adott Intune RBAC-kategóriával és -engedéllyel kapcsolatos részleteket, valamint azt, hogy mely szerepkör-hozzárendelések és mely csoportok érhetők el.
Elsőként válasszon ki egy Intune engedélykategóriát, majd egy adott engedélyt az adott kategóriából. A Felügyeleti központ ekkor megjeleníti azoknak a példányoknak a listáját, amelyek az engedély hozzárendeléséhez vezetnek, beleértve a következőket:
- Szerepkör megjelenített neve – Annak a beépített vagy egyéni RBAC-szerepkörnek a neve, amely engedélyezi az engedélyt.
- Szerepkör-hozzárendelés megjelenítendő neve – Annak a szerepkör-hozzárendelésnek a neve, amely a szerepkört felhasználói csoportokhoz rendeli.
- Csoport neve – Annak a csoportnak a neve, amely megkapja a szerepkör-hozzárendelést.
Rendszergazda engedélyek
Az Rendszergazda engedélycsomópont használatával azonosíthatja azokat az engedélyeket, amelyeket a fiók jelenleg biztosít.
Először adjon meg egy felhasználói fiókot. Mindaddig, amíg a felhasználó Intune engedélyekkel rendelkezik a fiókjához, Intune megjeleníti a Kategória és engedély által azonosított engedélyek teljes listáját.