Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A szervezethez való hozzáférés biztonságossá tétele alapvető biztonsági lépés. Ez a cikk az Microsoft Intune szerepköralapú hozzáférés-vezérlés (RBAC) használatának alapvető részleteit ismerteti, amelyek az Microsoft Entra ID RBAC-vezérlők bővítményei. A következő cikkek segíthetnek Intune RBAC üzembe helyezésében a szervezetben.
Az Intune RBAC-vel részletes engedélyeket adhat a rendszergazdáknak annak szabályozására, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. Ha Intune RBAC-szerepköröket rendel hozzá, és betartja a minimális jogosultsági hozzáférés alapelveit, a rendszergazdák csak azokra a felhasználókra és eszközökre hajthatják végre a hozzájuk rendelt feladatokat, amelyeket kezelniük kell.
RBAC-szerepkörök
Minden Intune RBAC-szerepkör meghatározza az adott szerepkörhöz rendelt felhasználók számára elérhető engedélyek készletét. Az engedélyek egy vagy több felügyeleti kategóriából állnak, például eszközkonfigurációból vagy naplózási adatokból, valamint olyan műveletekből, mint az Olvasás, az Írás, a Frissítés és a Törlés. Együtt határozzák meg a rendszergazdai hozzáférés hatókörét és az engedélyek hatókörét Intune.
Intune beépített és egyéni szerepköröket is tartalmaz. A beépített szerepkörök minden bérlőben azonosak, és a gyakori felügyeleti forgatókönyvek kezelésére szolgálnak, míg a létrehozott egyéni szerepkörök adott engedélyeket biztosítanak a rendszergazdák számára. Emellett több Microsoft Entra szerepkör is tartalmaz engedélyeket Intune.
Ha meg szeretne tekinteni egy szerepkört a Intune Felügyeleti központban, lépjen a Bérlőfelügyeleti>szerepkörök>Minden szerepkör> elemre, és válasszon ki egy szerepkört. Ezt a szerepkört a következő lapokon kezelheti:
- Tulajdonságok: A szerepkör neve, leírása, engedélyei és hatókörcímkéi. A beépített szerepkörök nevét, leírását és engedélyeit ebben a dokumentációban is megtekintheti a Beépített szerepkör-engedélyek szakaszban.
- Hozzárendelések: Válasszon ki egy hozzárendelést egy szerepkörhöz , hogy megtekinthesse annak részleteit, beleértve azokat a csoportokat és hatóköröket, amelyeket a hozzárendelés tartalmaz. Egy szerepkör több hozzárendeléssel is rendelkezhet, és egy felhasználó több hozzárendelést is kaphat.
Megjegyzés:
2021 júniusában Intune megkezdte a nem licencelt rendszergazdák támogatását. A módosítás után létrehozott felhasználói fiókok hozzárendelt licenc nélkül felügyelhetik Intune. A módosítás előtt létrehozott fiókoknak és a szerepkörhöz rendelt beágyazott biztonsági csoportban lévő rendszergazdai fiókoknak továbbra is licencre van szükségük a Intune kezeléséhez.
Beépített szerepkörök
A megfelelő engedélyekkel rendelkező Intune rendszergazdák a Intune szerepkörök bármelyikét hozzárendelhetik felhasználói csoportokhoz. A beépített szerepkörök a szerepkör céljának megfelelő felügyeleti feladatok végrehajtásához szükséges konkrét engedélyeket biztosítanak. Intune nem támogatja a beépített szerepkörök leírásának, típusának vagy engedélyeinek szerkesztését.
- Alkalmazáskezelő: Felügyeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilokat.
- Végponti jogosultságkezelő: A Intune konzolon kezeli Végponti jogosultságkezelés szabályzatokat.
- Végpontjogosultság-olvasó: A végpontjogosultság-olvasók megtekinthetik Végponti jogosultságkezelés szabályzatokat a Intune konzolon.
- Endpoint Security Manager: Felügyeli a biztonsági és megfelelőségi funkciókat, például a biztonsági alapkonfigurációkat, az eszközmegfelelőségeket, a feltételes hozzáférést és a Végponthoz készült Microsoft Defender.
- Ügyfélszolgálati operátor: Távoli feladatokat hajt végre a felhasználókon és az eszközökön, és alkalmazásokat vagy szabályzatokat rendelhet felhasználókhoz vagy eszközökhöz.
- Intune szerepkör-rendszergazda: Egyéni Intune szerepköröket kezel, és hozzárendeli a beépített Intune szerepköröket. Ez az egyetlen Intune szerepkör, amely engedélyeket rendelhet a rendszergazdákhoz.
- Szabályzat- és profilkezelő: Felügyeli a megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt, a vállalati eszközazonosítókat és a biztonsági alapkonfigurációkat.
- Csak olvasható operátor: Megtekinti a felhasználó, az eszköz, a regisztráció, a konfiguráció és az alkalmazás adatait. Nem lehet módosítani a Intune.
- Iskolai rendszergazda: Az iskolai rendszergazdák az Intune Oktatási verzióban kezelik a csoportjaikhoz tartozó alkalmazásokat, beállításokat és eszközöket. Távoli műveleteket végezhetnek az eszközökön, például távolról zárolhatják őket, újraindíthatják őket, és eltávolíthatják őket a felügyeletből.
Ha a bérlő Windows 365 előfizetést tartalmaz a felhőalapú számítógépek támogatásához, a következő felhőalapú PC-szerepkörök is megjelennek a Intune Felügyeleti központban. Ezek a szerepkörök alapértelmezés szerint nem érhetők el, és a felhőbeli számítógépekhez kapcsolódó feladatokhoz tartozó engedélyeket tartalmaznak Intune. További információ ezekről a szerepkörökről: Beépített felhőalapú pc-szerepkörök a Windows 365 dokumentációjában.
- Felhőalapú PC-rendszergazda: A felhőalapú PC-rendszergazdák olvasási és írási hozzáféréssel rendelkeznek a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
- Felhőalapú PC-olvasó: A felhőbeli PC-olvasó olvasási hozzáféréssel rendelkezik a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
Egyéni szerepkörök
Létrehozhat saját egyéni Intune szerepköröket, hogy csak a feladataikhoz szükséges engedélyeket adja meg a rendszergazdáknak. Ezek az egyéni szerepkörök bármilyen Intune RBAC-engedélyt tartalmazhatnak, amely lehetővé teszi a finomított rendszergazdai hozzáférést és a szervezeten belüli legalacsonyabb jogosultsági szintű hozzáférés elvének támogatását.
Lásd: Egyéni szerepkör létrehozása.
Intune hozzáféréssel rendelkező szerepkörök Microsoft Entra
Intune RBAC-engedélyek az RBAC-engedélyek Microsoft Entra részhalmazai. Részhalmazként vannak olyan Microsoft Entra szerepkörök, amelyek Intune engedélyeket tartalmaznak. A Intune hozzáféréssel rendelkező legtöbb Entra azonosító szerepkör kiemelt szerepkörnek minősül. Az emelt szintű szerepkörök használatát és hozzárendelését korlátozni kell, és nem szabad napi felügyeleti feladatokhoz használni Intune.
A Microsoft azt javasolja, hogy kövesse a minimális engedélyek elvét úgy, hogy csak a minimálisan szükséges engedélyeket rendeli hozzá a rendszergazda feladatainak elvégzéséhez. Az elv támogatásához használja Intune beépített RBAC-szerepköreit a napi Intune felügyeleti feladatokhoz, és kerülje Microsoft Entra szerepkörök használatát, amelyek hozzáféréssel rendelkeznek a Intune.
Az alábbi táblázat a Intune hozzáféréssel rendelkező Microsoft Entra szerepköröket és a Intune engedélyeit tartalmazza.
| Microsoft Entra szerepkör | Minden Intune adat | Intune naplózási adatok |
|---|---|---|
Globális rendszergazda 
|
Olvasás/írás | Olvasás/írás |
| Intune rendszergazda
|
Olvasás/írás | Olvasás/írás |
| Feltételes hozzáférés rendszergazdája
|
Egyikre sem. | Egyikre sem. |
| Biztonsági rendszergazda
|
Írásvédett (végpontbiztonsági csomópont teljes rendszergazdai engedélyei) | Csak olvasható |
| Biztonsági operátor
|
Csak olvasható | Csak olvasható |
| Biztonsági olvasó
|
Csak olvasható | Csak olvasható |
| Megfelelőségi rendszergazda | Egyikre sem. | Csak olvasható |
| Megfelelőségi adatadminisztrátor | Egyikre sem. | Csak olvasható |
| Globális olvasó
|
Csak olvasható | Csak olvasható |
| Ügyfélszolgálati rendszergazda
(ez a szerepkör egyenértékű a Intune Ügyfélszolgálati operátor szerepkörével) |
Csak olvasható | Csak olvasható |
| Jelentésolvasó | Egyikre sem. | Csak olvasható |
A Intune engedélyekkel rendelkező Microsoft Entra szerepkörök mellett a Intune következő három területe a Microsoft Entra közvetlen kiterjesztése: Felhasználók, Csoportok és Feltételes hozzáférés. Ezeknek az objektumoknak és konfigurációknak a példányai Intune Microsoft Entra léteznek. Az Microsoft Entra-objektumokat Microsoft Entra rendszergazdák kezelhetik, és rendelkeznek egy Microsoft Entra szerepkör által biztosított megfelelő engedélyekkel. Hasonlóképpen, Intune Intune megfelelő engedélyekkel rendelkező rendszergazdák megtekinthetik és kezelhetik az Microsoft Entra-ben létrehozott objektumtípusokat.
Globális rendszergazdai és Intune rendszergazdai szerepkörök
A globális rendszergazdai szerepkör a Microsoft Entra beépített szerepköre, és teljes hozzáféréssel rendelkezik a Microsoft Intune. A globális rendszergazdák hozzáférhetnek a Microsoft Entra ID felügyeleti funkcióihoz, valamint az Microsoft Entra identitásokat használó szolgáltatásokhoz, beleértve a Microsoft Intune.
A kockázat csökkentése:
Ne használja a globális rendszergazda szerepkört a Intune. A Microsoft nem javasolja a globális rendszergazdai szerepkör használatát a Intune felügyeletéhez vagy kezeléséhez.
A Intune egyes funkcióihoz globális rendszergazdai szerepkörre van szükség, például néhány mobilfenyegetés-védelmi (MTD-) összekötőre. Ezekben az esetekben csak akkor használja a globális rendszergazdai szerepkört, ha szükséges, majd távolítsa el a feladat befejezésekor.
A Intune beépített szerepkörök használatával vagy egyéni szerepkörök létrehozásával felügyelheti és kezelheti Intune.
Rendelje hozzá a rendszergazda feladatai elvégzéséhez szükséges legkevésbé kiemelt Intune szerepkört.
A Microsoft Entra globális rendszergazdai szerepkörrel kapcsolatos további információkért lásd: Microsoft Entra beépített szerepkörök – Globális rendszergazda.
A Intune rendszergazdai szerepkör a Microsoft Entra beépített szerepköre. Globális olvasási/írási engedélyeket biztosít a Microsoft Intune, és kiemelt szerepkörként van besorolva. Bár a hatóköre szűkebb, mint a globális rendszergazdai szerepkör, még mindig meghaladja a szinte mindennapos Intune felügyeleti feladatokhoz szükséges mértéket. Ne használja ezt a szerepkört rutin adminisztrációhoz. Használjon helyette egy legalacsonyabb jogosultsági szintű beépített Intune szerepkört vagy egyéni szerepkört.
Megjegyzés:
A Microsoft Graph API és a Microsoft PowerShellben ez a szerepkör Intune szolgáltatásadminisztrátorként jelenik meg.
A kockázat csökkentése:
- Ne használja a Intune Rendszergazda szerepkört a napi Intune felügyelethez.
- Ehelyett rendeljen hozzá egy beépített Intune szerepkört vagy egy egyéni szerepkört. Ezek a szerepkörök csak az egyes feladatokhoz szükséges engedélyekre korlátozzák az engedélyeket.
- Ha a Intune Rendszergazda szerepkörre van szükség, csak a szükséges időtartamra rendelje hozzá, majd távolítsa el. Ha P2 vagy Microsoft Entra ID-kezelés licenccel rendelkezik Microsoft Entra ID, Privileged Identity Management (PIM) használatával időhöz kötött jogosultságszint-emelést biztosíthat ehhez a szerepkörhöz.
Továbbfejlesztett biztonsági vezérlők:
A több Rendszergazda jóváhagyás mostantól támogatja a szerepköralapú hozzáférés-vezérlést. Ha ez a beállítás be van kapcsolva, egy második rendszergazdának jóvá kell hagynia a szerepkörök módosításait. A módosítások közé tartozhatnak a szerepkör-engedélyek, a rendszergazdai csoportok vagy a tagcsoport-hozzárendelések frissítései. A módosítás csak a jóváhagyás után lép érvénybe. Ez a kettős engedélyezési folyamat segít megvédeni a szervezetet a szerepköralapú hozzáférés-vezérlés jogosulatlan vagy véletlen módosításaitól. További információ: Több Rendszergazda-jóváhagyás használata Intune.
A Microsoft Entra Intune Rendszergazda szerepkörrel kapcsolatos további információkért lásd: Microsoft Entra beépített szerepkörök – Intune rendszergazda.
Intune Privileged Identity Management
A Entra ID Privileged Identity Management (PIM) használatakor kezelheti, hogy a felhasználó mikor használhatja az Intune RBAC-szerepkör vagy a Intune rendszergazdai szerepkör által biztosított jogosultságokat Entra azonosítóból.
Intune két szerepkörszint-emelési módszert támogat. A két módszer között teljesítménybeli és minimális jogosultsági különbségek vannak.
1. módszer: Hozzon létre egy igény szerinti (JIT) szabályzatot Microsoft Entra Privileged Identity Management (PIM) a Microsoft Entra beépített Intune Rendszergazda szerepkörhöz, és rendeljen hozzá egy rendszergazdai fiókot.
2. módszer: A Privileged Identity Management (PIM) használata Intune RBAC-szerepkör-hozzárendeléssel rendelkező csoportokhoz. További információ a PIM Intune RBAC-szerepkörökkel rendelkező csoportokhoz való használatáról: Microsoft Intune igény szerint történő rendszergazdai hozzáférés konfigurálása Microsoft Entra PIM for Groups használatával | Microsoft Community Hub
Ha a Intune rendszergazdai szerepkörhöz PIM-jogosultságszint-emelést használ Entra azonosítóból, a jogosultságszint-emelés általában 10 másodpercen belül megtörténik. A PIM-csoportokon alapuló jogosultságszint-emelés Intune beépített vagy egyéni szerepkörei esetében általában akár 15 percet is igénybe vehet.
A Intune szerepkör-hozzárendelések ismertetése
Mind Intune egyéni, mind beépített szerepkör hozzá van rendelve felhasználói csoportokhoz. A hozzárendelt szerepkör a csoport minden felhasználójára vonatkozik, és a következőket határozza meg:
- mely felhasználók vannak hozzárendelve a szerepkörhöz
- milyen erőforrásokat láthatnak
- milyen erőforrásokat módosíthatnak.
Minden Intune szerepkörhöz rendelt csoportnak csak az adott szerepkörhöz tartozó rendszergazdai feladatok végrehajtására jogosult felhasználókat kell tartalmaznia.
- Ha a legkevésbé emelt szintű beépített szerepkör túlzott jogosultságokat vagy engedélyeket biztosít, fontolja meg egy egyéni szerepkör használatát a rendszergazdai hozzáférés hatókörének korlátozásához.
- A szerepkör-hozzárendelések tervezésekor vegye figyelembe egy több szerepkör-hozzárendeléssel rendelkező felhasználó eredményeit.
Ahhoz, hogy egy felhasználóhoz hozzá lehessen rendelni egy Intune szerepkört, és hozzáféréssel rendelkezzen a Intune felügyeletéhez, nincs szükség Intune licencre, ha a fiókja 2021 júniusa után lett létrehozva Entra. A 2021 júniusa előtt létrehozott fiókokhoz licenc szükséges a Intune használatához.
Meglévő szerepkör-hozzárendelés megtekintéséhez válassza a Intune>Tenant felügyeleti>szerepkörök>Minden szerepkör> kiválaszt egy szerepkört >Hozzárendelések> válasszon ki egy hozzárendelést. A hozzárendelések tulajdonságai lapon szerkesztheti a következőt:
Alapvető beállítások: A hozzárendelések neve és leírása.
Tagok: A tagok azok a csoportok, amelyek a szerepkör-hozzárendelés létrehozásakor a Rendszergazda Csoportok lapon vannak konfigurálva. A felsorolt Azure biztonsági csoportok összes felhasználója rendelkezik engedéllyel a hatókörben (csoportok) felsorolt felhasználók és eszközök kezelésére.
Hatókör (csoportok): A Hatókör (csoportok) használatával meghatározhatja azokat a felhasználói és eszközcsoportokat, amelyeket az ezzel a szerepkör-hozzárendeléssel rendelkező rendszergazdák kezelhetnek. Az ezzel a szerepkör-hozzárendeléssel rendelkező rendszergazda felhasználók a szerepkör által megadott engedélyekkel kezelhetik a szerepkör-hozzárendelések által meghatározott hatókörcsoportokban lévő összes felhasználót vagy eszközt.
Tipp
Hatókörcsoport konfigurálásakor korlátozza a hozzáférést úgy, hogy csak azokat a biztonsági csoportokat választja ki, amelyek tartalmazzák azokat a felhasználókat és eszközöket, amelyeket a szerepkör-hozzárendeléssel rendelkező rendszergazdáknak kezelniük kell. Ha gondoskodni szeretne arról, hogy az ezzel a szerepkörrel rendelkező rendszergazdák ne célozhassanak meg minden felhasználót vagy eszközt, ne válassza az Összes felhasználó hozzáadása vagy Az összes eszköz hozzáadása lehetőséget.
Ha kizáró csoportot ad meg egy hozzárendeléshez, például egy szabályzathoz vagy alkalmazás-hozzárendeléshez, akkor vagy az RBAC-hozzárendelés hatókörcsoportjainak egyikébe kell beágyazni, vagy külön kell szerepelnie hatókörcsoportként az RBAC-szerepkör-hozzárendelésben.
Hatókörcímkék: A szerepkör-hozzárendeléshez hozzárendelt rendszergazda felhasználók láthatják az azonos hatókörcímkékkel rendelkező erőforrásokat.
Megjegyzés:
A hatókörcímkék olyan szabad formátumú szöveges értékek, amelyeket a rendszergazda definiál, majd hozzáad egy szerepkör-hozzárendeléshez. A szerepkörhöz hozzáadott hatókörcímke szabályozza magának a szerepkörnek a láthatóságát. A szerepkör-hozzárendelésben hozzáadott hatókörcímke korlátozza Intune objektumok, például szabályzatok, alkalmazások vagy eszközök láthatóságát csak az adott szerepkör-hozzárendelésben szereplő rendszergazdák számára, mert a szerepkör-hozzárendelés egy vagy több egyező hatókörcímkét tartalmaz.
Több szerepkör-hozzárendelés
Ha egy felhasználó több szerepkör-hozzárendeléssel, engedélyekkel és hatókörcímkével rendelkezik, ezek a szerepkör-hozzárendelések a következőképpen terjednek ki a különböző objektumokra:
- Az engedélyek növekményesek abban az esetben, ha két vagy több szerepkör ad engedélyeket ugyanahhoz az objektumhoz. Egy olyan felhasználó, aki olvasási engedéllyel rendelkezik egy szerepkörből, és például olvasási/írási engedéllyel rendelkezik egy másik szerepkörből, érvényes olvasási/írási engedéllyel rendelkezik (feltéve, hogy mindkét szerepkör hozzárendelései ugyanazt a hatókörcímkéket célzik).
- Az engedélyek és hatókörcímkék hozzárendelése csak az adott szerepkör hozzárendelési hatókörében (csoportokban) lévő objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozik. Az engedélyek és hatókörcímkék hozzárendelése nem vonatkozik más szerepkör-hozzárendelések objektumaira, kivéve, ha a másik hozzárendelés kifejezetten megadja őket.
- Más engedélyek (például Létrehozás, Olvasás, Frissítés, Törlés) és hatókörcímkék a felhasználó hozzárendeléseinek minden azonos típusú objektumára (például az összes szabályzatra vagy alkalmazásra) vonatkoznak.
- A különböző típusú objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozó engedélyek és hatókörcímkék nem vonatkoznak egymásra. Egy szabályzat olvasási engedélye például nem biztosít Olvasás engedélyt a felhasználó hozzárendeléseiben lévő alkalmazások számára.
- Ha nincsenek hatókörcímkék, vagy egyes hatókörcímkék különböző hozzárendelésekhez vannak hozzárendelve, a felhasználók csak bizonyos hatókörcímkék részét képező eszközöket láthatják, és nem láthatják az összes eszközt.
Megjegyzés:
Ha egy rendszergazda több szerepkör-hozzárendeléssel rendelkezik, amelyek különböző hatókörcímkéket használnak, ez a viselkedés a kívántnál szélesebb körű hozzáférést eredményezhet. Intune tartalmaz egy előzetes verzióra vonatkozó jóváhagyási beállítást, amely megváltoztatja az engedélyek alkalmazását, hogy az egyes szerepkör-hozzárendelések engedélyei a saját hatókörcímkéje környezetében legyenek tárolva. A részletekért és a bérlőre gyakorolt hatás értékelésének lépéseiért lásd: Engedélyviselkedés szerepkör-hozzárendelések között.
RBAC-hozzárendelések monitorozása
A Intune-bérlőhöz rendelt engedélyek figyeléséhez és megértéséhez a Intune Felügyeleti központ több nézetet is tartalmaz. Lépjen a Bérlőfelügyeleti>szerepkörök elemre, és bontsa ki a Figyelés elemet a nézetek eléréséhez. Összetett felügyeleti környezetben például a Rendszergazda engedélyek nézettel megadhat egy fiókot, és megtekintheti a rendszergazdai jogosultságok aktuális hatókörét.
Saját engedélyek
A Saját engedélyek csomópont a bejelentkezett felhasználó hatályos engedélyeit jeleníti meg. Amikor kiválasztja ezt a csomópontot, megjelenik a fiók által biztosított aktuális Intune RBAC-kategóriák és -engedélyek kombinált listája. Ez az egyesített lista tartalmazza az összes szerepkör-hozzárendelés összes engedélyét, de nem azt, hogy mely szerepkör-hozzárendelések biztosítják őket, vagy hogy melyik csoporttagság alapján van hozzájuk rendelve.
Szerepkörök engedély szerint
A Szerepkörök engedélycsomóponton megtekintheti az egyes szerepkör-hozzárendelések által biztosított engedélyeket. Ebben a nézetben megtekintheti egy adott Intune RBAC-engedély részleteit, valamint azt, hogy mely szerepkör-hozzárendelések és mely csoportok számára érhető el ez a kombináció.
Első lépésként válasszon ki egy Intune engedélyt, majd válasszon egy adott műveletet az engedélyből. A Felügyeleti központ ekkor megjeleníti azoknak a példányoknak a listáját, amelyek az engedély hozzárendeléséhez vezetnek, beleértve a következőket:
- Szerepkör megjelenített neve: Annak a beépített vagy egyéni RBAC-szerepkörnek a neve, amely engedélyezi az engedélyt.
- Szerepkör-hozzárendelés megjelenített neve: Annak a szerepkör-hozzárendelésnek a neve, amely a szerepkört felhasználói csoportokhoz rendeli.
- Csoport neve: Annak a csoportnak a neve, amely megkapja a szerepkör-hozzárendelést.
Rendszergazda engedélyek
Az Rendszergazda engedélycsomópont áttekintést nyújt az aktuálisan megadott engedélyekről.
Először adjon meg egy felhasználói fiókot. Mindaddig, amíg a felhasználó Intune engedélyekkel rendelkezik a fiókjához, Intune megjeleníti az Engedélyek és műveletek által azonosított engedélyek teljes listáját.
