Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpieczanie dostępu do organizacji jest istotnym krokiem zabezpieczeń. W tym artykule przedstawiono podstawowe informacje dotyczące używania Microsoft Intune kontroli dostępu opartej na rolach (RBAC), które są rozszerzeniem Tożsamość Microsoft Entra kontrolek RBAC. Kolejne artykuły mogą ułatwić wdrażanie Intune rbac w organizacji.
Dzięki Intune kontroli dostępu opartej na rolach możesz udzielić administratorom szczegółowych uprawnień do kontrolowania, kto ma dostęp do zasobów organizacji i co mogą zrobić z tymi zasobami. Przypisując Intune role RBAC i przestrzegając zasad dostępu z najniższymi uprawnieniami, administratorzy mogą wykonywać przydzielone im zadania tylko na tych użytkownikach i urządzeniach, których powinni mieć uprawnienia do zarządzania.
Role RBAC
Każda rola rbac Intune określa zestaw uprawnień, które są dostępne dla użytkowników przypisanych do tej roli. Uprawnienia składają się z co najmniej jednej kategorii zarządzania, takiej jak konfiguracja urządzenia lub dane inspekcji, oraz zestawy akcji, które można wykonać, takie jak odczyt, zapis, aktualizacja i usuwanie. Razem definiują zakres dostępu administracyjnego i uprawnień w ramach Intune.
Intune obejmuje role wbudowane i niestandardowe. Role wbudowane są takie same we wszystkich dzierżawach i są udostępniane w celu rozwiązywania typowych scenariuszy administracyjnych, podczas gdy utworzone role niestandardowe zezwalają na określone uprawnienia zgodnie z potrzebami administratora. Ponadto kilka ról Microsoft Entra obejmuje uprawnienia w Intune.
Aby wyświetlić rolę w centrum administracyjnym Intune, przejdź do pozycjiRole> administracyjne >dzierżawyWszystkie role> i wybierz rolę. Następnie możesz zarządzać tą rolą za pośrednictwem następujących stron:
- Właściwości: nazwa, opis, uprawnienia i tagi zakresu dla roli. W tej dokumentacji można również wyświetlić nazwę, opis i uprawnienia wbudowanych ról w obszarze Wbudowane uprawnienia roli.
- Przypisania: wybierz przypisanie dla roli, aby wyświetlić szczegółowe informacje na jej temat, w tym grupy i zakresy, które obejmuje przypisanie. Rola może mieć wiele przypisań, a użytkownik może otrzymać wiele przypisań.
Uwaga
W czerwcu 2021 r. Intune zaczął wspierać nielicencjonowanych administratorów. Konta użytkowników utworzone po tej zmianie mogą administrować Intune bez przypisanej licencji. Konta utworzone przed tą zmianą nadal wymagają licencji na zarządzanie Intune.
Role wbudowane
Administrator Intune z wystarczającymi uprawnieniami może przypisać dowolną z ról Intune do grup użytkowników. Role wbudowane udzielają określonych uprawnień niezbędnych do wykonywania zadań administracyjnych zgodnych z przeznaczeniem roli. Intune nie obsługuje edycji opisu, typu ani uprawnień wbudowanej roli.
- Menedżer aplikacji: zarządza aplikacjami mobilnymi i zarządzanymi, może odczytywać informacje o urządzeniu i wyświetlać profile konfiguracji urządzeń.
- Endpoint Privilege Manager: zarządza zasadami zarządzania uprawnieniami punktu końcowego w konsoli Intune.
- Czytelnik uprawnień punktu końcowego: czytelnicy uprawnień punktu końcowego mogą wyświetlać zasady zarządzania uprawnieniami punktu końcowego w konsoli Intune.
- Endpoint Security Manager: zarządza funkcjami zabezpieczeń i zgodności, takimi jak punkty odniesienia zabezpieczeń, zgodność urządzeń, dostęp warunkowy i Ochrona punktu końcowego w usłudze Microsoft Defender.
- Operator pomocy technicznej: wykonuje zadania zdalne na użytkownikach i urządzeniach oraz może przypisywać aplikacje lub zasady do użytkowników lub urządzeń.
- Intune Administrator ról: zarządza niestandardowymi rolami Intune i dodaje przypisania dla wbudowanych ról Intune. Jest to jedyna rola Intune, która może przypisywać uprawnienia administratorom.
- Menedżer zasad i profilów: zarządza zasadami zgodności, profilami konfiguracji, rejestracją firmy Apple, identyfikatorami urządzeń firmowych i punktami odniesienia zabezpieczeń.
- Operator tylko do odczytu: wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w Intune.
- Administrator szkoły: zarządza urządzeniami Windows 10 w Intune for Education.
Gdy dzierżawa zawiera subskrypcję Windows 365 do obsługi komputerów w chmurze, w centrum administracyjnym Intune znajdziesz również następujące role komputerów w chmurze. Te role nie są domyślnie dostępne i obejmują uprawnienia w Intune dla zadań związanych z komputerami w chmurze. Aby uzyskać więcej informacji na temat tych ról, zobacz Role wbudowane w usłudze Cloud PC w dokumentacji Windows 365.
- Administrator komputera w chmurze: administrator komputera w chmurze ma dostęp do odczytu i zapisu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
- Czytelnik komputerów w chmurze: czytnik komputerów w chmurze ma dostęp do odczytu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
Role niestandardowe
Możesz utworzyć własne niestandardowe role Intune, aby przyznać administratorom tylko określone uprawnienia wymagane do wykonywania zadań. Te role niestandardowe mogą obejmować wszelkie Intune uprawnienia RBAC, co pozwala na dopracowany dostęp administratora i obsługę zasady dostępu o najniższych uprawnieniach w organizacji.
Zobacz Tworzenie roli niestandardowej.
Microsoft Entra ról z dostępem Intune
Intune uprawnienia RBAC są podzbiorem Microsoft Entra uprawnień RBAC. W ramach podzestawu istnieją role Entra, które zawierają uprawnienia w Intune. Większość ról Tożsamość Entra, które mają dostęp do Intune, jest traktowana jako role uprzywilejowane. Użycie i przypisanie ról uprzywilejowanych powinno być ograniczone i nie powinno być używane do codziennych zadań administracyjnych w ramach Intune.
Firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień, przypisując administratorowi tylko minimalne wymagane uprawnienia do wykonywania swoich obowiązków. Aby obsługiwać tę zasadę, użyj wbudowanych ról RBAC Intune na potrzeby codziennych zadań administracyjnych Intune i unikaj używania ról Entra, które mają dostęp do Intune.
W poniższej tabeli zidentyfikowano role Entra, które mają dostęp do Intune, oraz uprawnienia Intune, które obejmują.
| rola Microsoft Entra | Wszystkie dane Intune | Intune danych inspekcji |
|---|---|---|
 globalnego |
Odczyt/zapis | Odczyt/zapis |
|
administratora usługi Intune |
Odczyt/zapis | Odczyt/zapis |
|
dostępu warunkowego |
Brak | Brak |
|
zabezpieczeń |
Tylko do odczytu (pełne uprawnienia administracyjne dla węzła Zabezpieczenia punktu końcowego) | Tylko do odczytu |
|
operatora zabezpieczeń |
Tylko do odczytu | Tylko do odczytu |
|
zabezpieczeń |
Tylko do odczytu | Tylko do odczytu |
| Administrator zgodności | Brak | Tylko do odczytu |
| Administrator danych zgodności | Brak | Tylko do odczytu |
|
(Ta rola jest równoważna roli operatora pomocy technicznej Intune) |
Tylko do odczytu | Tylko do odczytu |
|
administratora pomocy technicznej (ta rola jest równoważna roli operatora pomocy technicznej Intune) |
Tylko do odczytu | Tylko do odczytu |
| Czytelnik raportów | Brak | Tylko do odczytu |
Oprócz ról Entra z uprawnieniami w Intune następujące trzy obszary Intune są bezpośrednimi rozszerzeniami entry: użytkownicy, grupy i dostęp warunkowy. Wystąpienia tych obiektów i konfiguracji z poziomu Intune istnieją w usłudze Entra. Jako obiekty Entra mogą być zarządzane przez administratorów usługi Entra z wystarczającymi uprawnieniami udzielonymi przez rolę Entra. Podobnie administratorzy Intune mający wystarczające uprawnienia do Intune mogą wyświetlać te typy obiektów utworzone w usłudze Entra i zarządzać nimi.
Privileged Identity Management dla Intune
Jeśli używasz Tożsamość Entra Privileged Identity Management (PIM), możesz zarządzać tym, kiedy użytkownik może korzystać z uprawnień udostępnianych przez rolę rbac Intune lub rolę administratora Intune z Tożsamość Entra.
Intune obsługuje dwie metody podniesienia uprawnień roli. Istnieją różnice między wydajnością i najniższymi uprawnieniami między tymi dwiema metodami.
Metoda 1. Utwórz zasady just in time (JIT) z Microsoft Entra Privileged Identity Management (PIM) dla wbudowanej roli administratora Microsoft Entra Intune i przypisz je do konta administratora.
Metoda 2. Wykorzystanie Privileged Identity Management (PIM) dla grup z przypisaniem roli RBAC Intune. Aby uzyskać więcej informacji na temat korzystania z usługi PIM dla grup z rolami rbac Intune, zobacz: Konfigurowanie dostępu administratora just in time Microsoft Intune przy użyciu usługi PIM Microsoft Entra dla grup | Microsoft Community Hub
Jeśli używasz podniesienia poziomu usługi PIM dla roli administratora Intune z Tożsamość Entra, podniesienie uprawnień zwykle odbywa się w ciągu 10 sekund. Podniesienie uprawnień na podstawie grup USŁUGI PIM dla wbudowanych lub niestandardowych ról Intune zwykle trwa do 15 minut.
Informacje o przypisaniach ról Intune
Zarówno Intune role niestandardowe, jak i wbudowane są przypisywane do grup użytkowników. Przypisana rola ma zastosowanie do każdego użytkownika w grupie i definiuje:
- którzy użytkownicy są przypisani do roli
- jakie zasoby mogą zobaczyć
- jakie zasoby mogą ulec zmianie.
Każda grupa, do której przypisano rolę Intune, powinna obejmować tylko użytkowników uprawnionych do wykonywania zadań administracyjnych dla tej roli.
- Jeśli rola wbudowana o najniższym poziomie uprawnień przyznaje nadmierne uprawnienia lub uprawnienia, rozważ użycie roli niestandardowej w celu ograniczenia zakresu dostępu administracyjnego.
- Podczas planowania przypisań ról należy wziąć pod uwagę wyniki użytkownika z wieloma przypisaniami ról.
Aby użytkownik miał przypisaną rolę Intune i miał dostęp do administrowania Intune, nie wymaga licencji Intune, o ile jego konto zostało utworzone w usłudze Entra po czerwcu 2021 r. Konta utworzone przed czerwcem 2021 r. wymagają przypisania licencji na korzystanie z Intune.
Aby wyświetlić istniejące przypisanie roli, wybierz pozycję Intune>Dostępnerole> administracyjne >Wszystkie role> wybierz przypisanie roli >Przypisania>. Na stronie Właściwości przypisań można edytować następujące elementy:
Podstawy: nazwa i opis przypisań.
Członkowie: Członkowie to grupy skonfigurowane na stronie grupy Administracja podczas tworzenia przypisania roli. Wszyscy użytkownicy w wymienionych grupach zabezpieczeń platformy Azure mają uprawnienia do zarządzania użytkownikami i urządzeniami wymienionymi w obszarze Zakres (grupy).
Zakres (grupy): użyj zakresu (grup), aby zdefiniować grupy użytkowników i urządzeń, które może zarządzać administrator z tym przypisaniem roli. Użytkownicy administracyjni z tym przypisaniem roli mogą używać uprawnień przyznanych przez rolę do zarządzania każdym użytkownikiem lub urządzeniem w ramach zdefiniowanych grup zakresów przypisań ról.
Porada
Podczas konfigurowania grupy zakresu ogranicz dostęp, wybierając tylko grupy zabezpieczeń, które obejmują użytkownika i urządzenia, które powinien zarządzać administrator z tym przypisaniem roli. Aby upewnić się, że administratorzy z tą rolą nie mogą kierować do wszystkich użytkowników ani wszystkich urządzeń, nie wybieraj pozycji Dodaj wszystkich użytkowników ani Dodaj wszystkie urządzenia.
Tagi zakresu: Użytkownicy administracyjni, do których przypisano to przypisanie roli, mogą zobaczyć zasoby, które mają te same tagi zakresu.
Uwaga
Tagi zakresu to dowolnie sformułowane wartości tekstowe definiowane przez administratora, a następnie dodaje je do przypisania roli. Tag zakresu dodany do roli kontroluje widoczność samej roli, podczas gdy tag zakresu dodany w przypisaniu roli ogranicza widoczność obiektów Intune, takich jak zasady, aplikacje lub urządzenia, tylko administratorom w tym przypisaniu roli, ponieważ przypisanie roli zawiera co najmniej jeden pasujący tag zakresu.
Wiele przypisań ról
Jeśli użytkownik ma wiele przypisań ról, uprawnień i tagów zakresu, te przypisania ról rozciągają się na różne obiekty w następujący sposób:
- Uprawnienia są przyrostowe w przypadku, gdy co najmniej dwie role udzielają uprawnień do tego samego obiektu. Użytkownik z uprawnieniami odczytu z jednej roli i odczytu/zapisu z innej roli, na przykład, ma obowiązujące uprawnienia odczytu/zapisu (przy założeniu, że przypisania dla obu ról są przeznaczone dla tych samych tagów zakresu).
- Przypisywanie uprawnień i tagów zakresu ma zastosowanie tylko do obiektów (takich jak zasady lub aplikacje) w zakresie przypisania tej roli (grupy). Przypisywanie uprawnień i tagów zakresu nie ma zastosowania do obiektów w innych przypisań ról, chyba że inne przypisanie specjalnie je przyzna.
- Inne uprawnienia (takie jak Tworzenie, Odczyt, Aktualizacja, Usuwanie) i tagi zakresu mają zastosowanie do wszystkich obiektów tego samego typu (takich jak wszystkie zasady lub wszystkie aplikacje) w dowolnym przypisaniu użytkownika.
- Uprawnienia i tagi zakresu dla obiektów różnych typów (takich jak zasady lub aplikacje) nie mają zastosowania do siebie nawzajem. Na przykład uprawnienie do odczytu dla zasad nie zapewnia uprawnień do odczytu dla aplikacji w przypisaniach użytkownika.
- Jeśli nie ma żadnych tagów zakresu lub niektóre tagi zakresu są przypisane z różnych przypisań, użytkownik może zobaczyć tylko urządzenia, które są częścią niektórych tagów zakresu i nie widzą wszystkich urządzeń.
Monitorowanie przypisań RBAC
To i trzy podsekcje są w toku
W centrum administracyjnym Intune możesz przejść do obszaruRoleadministratora> dzierżawy i rozwinąć pozycję Monitor, aby znaleźć kilka widoków, które mogą ułatwić zidentyfikowanie uprawnień różnych użytkowników w ramach dzierżawy Intune. Na przykład w złożonym środowisku administracyjnym można użyć widoku uprawnień Administracja, aby określić konto, aby zobaczyć jego bieżący zakres uprawnień administracyjnych.
Moje uprawnienia
Po wybraniu tego węzła zostanie wyświetlona połączona lista bieżących Intune kategorii RBAC i uprawnień przyznanych kontu. Ta połączona lista zawiera wszystkie uprawnienia ze wszystkich przypisań ról, ale nie do których przypisań ról je udostępniają lub przez które członkostwo w grupie są przypisane.
Role według uprawnień
W tym widoku można wyświetlić szczegółowe informacje o określonej Intune kategorii RBAC i uprawnień, a także o tym, za pomocą których przypisań ról i do których grup ta kombinacja jest udostępniana.
Aby rozpocząć, wybierz kategorię uprawnień Intune, a następnie określone uprawnienie z tej kategorii. Następnie centrum administracyjne wyświetla listę wystąpień, które prowadzą do przypisania tego uprawnienia, która obejmuje:
- Nazwa wyświetlana roli — nazwa wbudowanej lub niestandardowej roli RBAC, która udziela uprawnień.
- Nazwa wyświetlana przypisania roli — nazwa przypisania roli, która przypisuje rolę do grup użytkowników.
- Nazwa grupy — nazwa grupy, która otrzymuje to przypisanie roli.
uprawnienia Administracja
Użyj węzła uprawnień Administracja, aby zidentyfikować określone uprawnienia, którym obecnie udzielono konta.
Zacznij od określenia konta użytkownika . Dopóki użytkownik ma uprawnienia Intune przypisane do swojego konta, Intune wyświetla pełną listę tych uprawnień zidentyfikowanych przez kategorię i uprawnienie.
