Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune
Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie tym, kto ma dostęp do zasobów organizacji i co może zrobić z tymi zasobami. Przypisując role do użytkowników usługi Intune, możesz ograniczyć to, co widzą i zmieniają. Każda rola ma zestaw uprawnień, które określają, którzy użytkownicy z tą rolą mogą uzyskiwać dostęp i zmieniać się w organizacji.
Aby utworzyć, edytować lub przypisać role, konto musi mieć jedno z następujących uprawnień w identyfikatorze Microsoft Entra:
- Administrator globalny
- Administrator usługi Intune (znany również jako administrator usługi Intune)
Role
Rola definiuje zestaw uprawnień przyznanych użytkownikom przypisanym do tej roli. Można używać zarówno ról wbudowanych, jak i niestandardowych. Role wbudowane obejmują niektóre typowe scenariusze usługi Intune. Możesz utworzyć własne role niestandardowe z dokładnym zestawem uprawnień, których potrzebujesz. Kilka ról usługi Microsoft Entra ma uprawnienia do usługi Intune. Aby wyświetlić rolę w centrum administracyjnym usługi Intune, przejdź do pozycji Administracja dzierżawą>Role>Wszystkie role> wybierają rolę. Rolę można zarządzać na następujących stronach:
- Właściwości: nazwa, opis, uprawnienia i tagi zakresu dla roli.
- Przypisania: lista przypisań ról określających , którzy użytkownicy mają dostęp do użytkowników/urządzeń. Rola może mieć wiele przypisań, a użytkownik może mieć wiele przypisań.
Uwaga
Aby móc administrować usługą Intune, musisz mieć przypisaną licencję usługi Intune. Alternatywnie możesz zezwolić użytkownikom nielicencjonowanym na administrowanie usługą Intune, ustawiając ustawienie Zezwalaj na dostęp nielicencjonowanym administratorom na Wartość Tak.
Role wbudowane
Wbudowane role można przypisywać do grup bez dalszej konfiguracji. Nie można usunąć ani edytować nazwy, opisu, typu ani uprawnień wbudowanej roli.
- Menedżer aplikacji: zarządza aplikacjami mobilnymi i zarządzanymi, może odczytywać informacje o urządzeniu i wyświetlać profile konfiguracji urządzeń.
- Menedżer uprawnień punktu końcowego: zarządza zasadami zarządzania uprawnieniami punktu końcowego w konsoli usługi Intune.
- Czytelnik uprawnień punktu końcowego: czytelnicy uprawnień punktu końcowego mogą wyświetlać zasady zarządzania uprawnieniami punktu końcowego w konsoli usługi Intune.
- Endpoint Security Manager: zarządza funkcjami zabezpieczeń i zgodności, takimi jak punkty odniesienia zabezpieczeń, zgodność urządzeń, dostęp warunkowy i usługa Microsoft Defender dla punktu końcowego.
- Operator pomocy technicznej: wykonuje zadania zdalne na użytkownikach i urządzeniach oraz może przypisywać aplikacje lub zasady do użytkowników lub urządzeń.
- Administrator ról usługi Intune: zarządza niestandardowymi rolami usługi Intune i dodaje przypisania dla wbudowanych ról usługi Intune. Jest to jedyna rola usługi Intune, która może przypisywać uprawnienia administratorom.
- Menedżer zasad i profilów: zarządza zasadami zgodności, profilami konfiguracji, rejestracją firmy Apple, identyfikatorami urządzeń firmowych i punktami odniesienia zabezpieczeń.
- Menedżer komunikatów organizacyjnych: zarządza komunikatami organizacyjnymi w konsoli usługi Intune.
- Operator tylko do odczytu: wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w usłudze Intune.
- Administrator szkoły: zarządza urządzeniami z systemem Windows 10 w usłudze Intune for Education.
- Administrator komputera w chmurze: administrator komputera w chmurze ma dostęp do odczytu i zapisu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze Komputera w chmurze.
- Czytelnik komputera w chmurze: czytnik komputerów w chmurze ma dostęp do odczytu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
Role niestandardowe
Możesz tworzyć własne role z uprawnieniami niestandardowymi. Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Tworzenie roli niestandardowej.
Role usługi Microsoft Entra z dostępem do usługi Intune
| Rola Microsoft Entra | Wszystkie dane usługi Intune | Dane inspekcji usługi Intune |
|---|---|---|
| Administrator globalny | Odczyt/zapis | Odczyt/zapis |
| Administrator usługi Intune | Odczyt/zapis | Odczyt/zapis |
| Administrator dostępu warunkowego | Brak | Brak |
| Administrator zabezpieczeń | Tylko do odczytu (pełne uprawnienia administracyjne dla węzła Zabezpieczenia punktu końcowego) | Tylko do odczytu |
| Operator zabezpieczeń | Tylko do odczytu | Tylko do odczytu |
| Czytelnik zabezpieczeń | Tylko do odczytu | Tylko do odczytu |
| Administrator zgodności | Brak | Tylko do odczytu |
| Administrator danych zgodności | Brak | Tylko do odczytu |
| Czytelnik globalny (ta rola jest równoważna roli operatora pomocy technicznej usługi Intune) | Tylko do odczytu | Tylko do odczytu |
| Administrator pomocy technicznej (ta rola jest równoważna roli operatora pomocy technicznej usługi Intune) | Tylko do odczytu | Tylko do odczytu |
| Czytelnik raportów | Brak | Tylko do odczytu |
Porada
W usłudze Intune są również wyświetlane trzy rozszerzenia usługi Microsoft Entra: Użytkownicy, grupy i dostęp warunkowy, które są kontrolowane przy użyciu kontroli RBAC w usłudze Microsoft Entra. Ponadto administrator konta użytkownika wykonuje tylko działania użytkownika/grupy usługi Microsoft Entra i nie ma pełnych uprawnień do wykonywania wszystkich działań w usłudze Intune. Aby uzyskać więcej informacji, zobacz RBAC with Microsoft Entra ID (Kontrola dostępu oparta na rolach przy użyciu identyfikatora Entra firmy Microsoft).
Przypisania ról
Przypisanie roli definiuje:
- którzy użytkownicy są przypisani do roli
- jakie zasoby mogą zobaczyć
- jakie zasoby mogą ulec zmianie.
Możesz przypisać użytkownikom zarówno role niestandardowe, jak i wbudowane. Aby mieć przypisaną rolę usługi Intune, użytkownik musi mieć licencję usługi Intune. Aby wyświetlić przypisanie roli, wybierz pozycję Intune>Administracja dzierżawą>Role>Wszystkie role> wybierz przypisanie roli >Przypisania> . Na stronie Właściwości można edytować następujące elementy:
- Podstawy: nazwa i opis przypisań.
- Członkowie: Wszyscy użytkownicy w wymienionych grupach zabezpieczeń platformy Azure mają uprawnienia do zarządzania użytkownikami/urządzeniami wymienionymi w obszarze Zakres (grupy).
- Zakres (grupy): Grupy zakresów to grupy zabezpieczeń usługi Microsoft Entra użytkowników lub urządzeń, dla których administratorzy w tym przypisaniu roli są ograniczeni do wykonywania operacji. Na przykład wdrożenie zasad lub aplikacji dla użytkownika lub zdalne zablokowanie urządzenia. Wszyscy użytkownicy i urządzenia w tych grupach zabezpieczeń Microsoft Entra mogą być zarządzani przez użytkowników w obszarze Członkowie.
- Zakres (tagi): użytkownicy w członkach mogą zobaczyć zasoby, które mają te same tagi zakresu.
Uwaga
Tagi zakresu to dowolnie sformułowane wartości tekstowe definiowane przez administratora, a następnie dodaje je do przypisania roli. Tag zakresu dodany do roli kontroluje widoczność samej roli, podczas gdy tag zakresu dodany w przypisaniu roli ogranicza widoczność obiektów usługi Intune (takich jak zasady i aplikacje) lub urządzeń tylko administratorom w tym przypisaniu roli, ponieważ przypisanie roli zawiera co najmniej jeden pasujący tag zakresu.
Wiele przypisań ról
Jeśli użytkownik ma wiele przypisań ról, uprawnień i tagów zakresu, te przypisania ról rozciągają się na różne obiekty w następujący sposób:
- Uprawnienia są przyrostowe w przypadku, gdy co najmniej dwie role udzielają uprawnień do tego samego obiektu. Użytkownik z uprawnieniami odczytu z jednej roli i odczytu/zapisu z innej roli, na przykład, ma obowiązujące uprawnienia odczytu/zapisu (przy założeniu, że przypisania dla obu ról są przeznaczone dla tych samych tagów zakresu).
- Przypisywanie uprawnień i tagów zakresu ma zastosowanie tylko do obiektów (takich jak zasady lub aplikacje) w zakresie przypisania tej roli (grupy). Przypisywanie uprawnień i tagów zakresu nie ma zastosowania do obiektów w innych przypisań ról, chyba że inne przypisanie specjalnie je przyzna.
- Inne uprawnienia (takie jak Tworzenie, Odczyt, Aktualizacja, Usuwanie) i tagi zakresu mają zastosowanie do wszystkich obiektów tego samego typu (takich jak wszystkie zasady lub wszystkie aplikacje) w dowolnym przypisaniu użytkownika.
- Uprawnienia i tagi zakresu dla obiektów różnych typów (takich jak zasady lub aplikacje) nie mają zastosowania do siebie nawzajem. Na przykład uprawnienie do odczytu dla zasad nie zapewnia uprawnień do odczytu dla aplikacji w przypisaniach użytkownika.
- Jeśli nie ma żadnych tagów zakresu lub niektóre tagi zakresu są przypisane z różnych przypisań, użytkownik może zobaczyć tylko urządzenia, które są częścią niektórych tagów zakresu i nie widzą wszystkich urządzeń.