Controle de acesso baseado em função (RBAC) com Microsoft Intune

Proteger o acesso à sua organização é um passo de segurança essencial. Este artigo apresenta detalhes fundamentais para utilizar Microsoft Intune controlos de acesso baseados em funções (RBAC), que são uma extensão de Microsoft Entra ID controlos RBAC. Os artigos subsequentes podem ajudá-lo a implementar Intune RBAC na sua organização.

Com Intune RBAC, pode conceder permissões granulares aos seus administradores para controlar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Ao atribuir Intune funções RBAC e aderir a princípios de menor acesso privilegiado, os seus administradores podem realizar as tarefas atribuídas apenas nos utilizadores e dispositivos que devem ter capacidade para gerir.

Funções RBAC

Cada Intune função RBAC especifica um conjunto de permissões que estão disponíveis para os utilizadores atribuídos a essa função. As permissões são compostas por uma ou mais categorias de gestão, como Configuração do dispositivo ou Dados de auditoria, e conjuntos de ações que podem ser realizadas como Leitura, Escrita, Atualização e Eliminação. Em conjunto, definem o âmbito do acesso administrativo e das permissões no Intune.

Intune inclui funções incorporadas e personalizadas. As funções incorporadas são as mesmas em todos os inquilinos e são fornecidas para abordar cenários administrativos comuns, enquanto as funções personalizadas que cria permitem permissões específicas, conforme necessário, por um administrador. Além disso, várias funções de Microsoft Entra incluem permissões no Intune.

Para ver uma função no centro de administração do Intune, aceda aFunções> de administração> deinquilinos Todas as funções> e selecione uma função. Em seguida, pode gerir essa função através das seguintes páginas:

• Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função. Também pode ver o nome, a descrição e as permissões das funções incorporadas nesta documentação em Permissões de funções incorporadas.
• Atribuições: selecione uma atribuição para uma função para ver detalhes sobre a mesma, incluindo os grupos e âmbitos que a atribuição inclui. Uma função pode ter múltiplas atribuições e um utilizador pode receber várias atribuições.

Observação

Em junho de 2021, Intune começaram a apoiar administradores não licenciados. As contas de utilizador criadas após esta alteração podem administrar Intune sem uma licença atribuída. As contas criadas antes desta alteração ainda necessitam de uma licença para gerir Intune.

Funções internas

Um administrador Intune com permissões suficientes pode atribuir qualquer uma das funções Intune a grupos de utilizadores. As funções incorporadas concedem permissões específicas necessárias para realizar tarefas administrativas que se alinham com a finalidade da função. Intune não suporta edições à descrição, tipo ou permissões de uma função incorporada.

• Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
• Endpoint Privilege Manager: gere as políticas de Endpoint Privilege Management na consola do Intune.
• Leitor de Privilégios de Ponto Final: os Leitores de Privilégios de Ponto Final podem ver as políticas de Endpoint Privilege Management na consola do Intune.
• Endpoint Security Manager: gere funcionalidades de segurança e conformidade, tais como linhas de base de segurança, conformidade do dispositivo, Acesso Condicional e Microsoft Defender para Ponto de Extremidade.
• Operador do Suporte Técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
• Administrador de Funções do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
• Política e Gerenciador de Perfis: gerencia políticas de conformidade, perfis de configuração, registro da Apple, identificadores de dispositivo corporativo e linhas de base de segurança.
• Operador Somente Leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
• Administrator Escolar: gerencia Windows 10 dispositivos no Intune para Educação.

Quando o seu inquilino inclui uma subscrição para Windows 365 para suportar PCs na Cloud, também encontrará as seguintes funções de PC na Cloud no centro de administração do Intune. Estas funções não estão disponíveis por predefinição e incluem permissões no Intune para tarefas relacionadas com PCs na Cloud. Para obter mais informações sobre estas funções, veja Funções incorporadas do Cloud PC na documentação do Windows 365.

• Administrador de PC na Cloud: um Administrador de PC na Cloud tem acesso de Leitura e Escrita a todas as funcionalidades do CLOUD PC localizadas na área do PC na Cloud.
• Leitor de PC na Cloud: um Leitor de PC na Cloud tem acesso de Leitura a todas as funcionalidades do CLOUD PC localizadas na área do CLOUD PC.

Funções personalizadas

Pode criar as suas próprias funções de Intune personalizadas para conceder aos administradores apenas as permissões específicas necessárias para as respetivas tarefas. Estas funções personalizadas podem incluir qualquer Intune permissão RBAC, permitindo acesso de administrador refinado e suporte para o princípio de acesso com menos privilégios dentro da organização.

Veja Criar uma função personalizada.

Microsoft Entra funções com acesso Intune

Intune permissões RBAC são um subconjunto de permissões RBAC Microsoft Entra. Como subconjunto, existem algumas funções de Entra que incluem permissões no Intune. A maioria das funções Entra ID que têm acesso a Intune são consideradas funções privilegiadas. A utilização e atribuição de funções com privilégios deve ser limitada e não deve ser utilizada para tarefas administrativas diárias no Intune.

A Microsoft recomenda seguir o princípio das permissões mínimas ao atribuir apenas as permissões mínimas necessárias para que um administrador efetue as suas funções. Para suportar este princípio, utilize as funções RBAC incorporadas do Intune para tarefas administrativas diárias Intune e evite utilizar funções Entra que tenham acesso a Intune.

A tabela seguinte identifica as funções entra que têm acesso a Intune e as permissões Intune que incluem.

Microsoft Entra função	Todos os dados do Intune	Dados de auditoria do Intune
Ícone de Administrador Global	Leitura/gravação	Leitura/gravação
Intune de Administrador de Serviços	Leitura/gravação	Leitura/gravação
Ícone de de Administrador de Acesso Condicional	Nenhum	Nenhum
Ícone etiqueta de Administrador de Segurança	Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade)	Somente leitura
Ícone do Operador de Segurança	Somente leitura	Somente leitura
Ícone do Leitor de Segurança	Somente leitura	Somente leitura
Administrador de Conformidade	Nenhum	Somente leitura
Administrador de Dados de Conformidade	Nenhum	Somente leitura
Ícone de de Leitor Global (esta função é equivalente à função operador de suporte técnico Intune)	Somente Leitura	Somente Leitura
Ícone etiqueta do administrador de suporte técnico (esta função é equivalente à função operador de suporte técnico Intune)	Somente Leitura	Somente Leitura
Leitor de Relatórios	Nenhum	Somente Leitura

Além das funções Entra com permissão no Intune, as três áreas seguintes do Intune são extensões diretas de Entra: Utilizadores, Grupos e Acesso Condicional. As instâncias destes objetos e configurações efetuadas a partir de Intune existem no Entra. Como objetos Entra, podem ser geridos por administradores de Entra com permissões suficientes concedidas por uma função de Entra. Da mesma forma, Intune administradores com permissões suficientes para Intune podem ver e gerir estes tipos de objeto criados no Entra.

Privileged Identity Management para Intune

Quando utiliza Entra ID Privileged Identity Management (PIM), pode gerir quando um utilizador pode utilizar os privilégios fornecidos por uma função RBAC Intune ou a função de Administrador Intune de Entra ID.

Intune suporta dois métodos de elevação de função. Existem diferenças de desempenho e de privilégios mínimos entre os dois métodos.

• Método 1: crie uma política just-in-time (JIT) com Microsoft Entra Privileged Identity Management (PIM) para a função de Administrador Intune incorporada Microsoft Entra e atribua-lhe uma conta de administrador.

• Método 2: utilize Privileged Identity Management (PIM) para Grupos com uma atribuição de função RBAC Intune. Para obter mais informações sobre como utilizar o PIM para Grupos com Intune funções RBAC, veja: Configurar Microsoft Intune acesso de administrador just-in-time com Microsoft Entra PIM para Grupos | Microsoft Community Hub

Quando utiliza a elevação de PIM para a função de Administrador Intune de Entra ID, a elevação ocorre normalmente no prazo de 10 segundos. Normalmente, a elevação baseada em Grupos PIM para as funções incorporadas ou personalizadas do Intune demora até 15 minutos a aplicar.

Acerca Intune atribuições de funções

Tanto Intune funções personalizadas como incorporadas são atribuídas a grupos de utilizadores. Uma função atribuída aplica-se a cada utilizador no grupo e define:

• quais usuários são atribuídos à função
• quais recursos eles podem ver
• quais recursos eles podem alterar.

Cada grupo a que é atribuída uma função de Intune deve incluir apenas os utilizadores autorizados a efetuar as tarefas administrativas para essa função.

• Se uma função incorporada com menos privilégios conceder privilégios ou permissões excessivos, considere a utilização de uma função personalizada para limitar o âmbito do acesso administrativo.
• Ao planear atribuições de funções, considere os resultados de um utilizador com várias atribuições de funções.

Para que um utilizador tenha uma função de Intune atribuída e tenha acesso para administrar Intune, não necessita de uma licença de Intune, desde que a conta tenha sido criada no Entra após junho de 2021. As contas criadas antes de junho de 2021 requerem a atribuição de uma licença para utilizar Intune.

Para ver uma atribuição de função existente, selecione> Intune Definições de administração>Detentores>Todas as funções> selecionam uma função >Atribuições> escolher uma atribuição. Na página Propriedades das atribuições, pode editar:

• Informações básicas: o nome e a descrição das atribuições.

• Membros: os membros são os grupos que estão configurados na página grupos de Administração ao criar uma atribuição de função. Todos os utilizadores nos grupos de segurança do Azure listados têm permissão para gerir os utilizadores e dispositivos listados no Âmbito (Grupos).

• Âmbito (Grupos): utilize o Âmbito (Grupos) para definir os grupos de utilizadores e dispositivos que um administrador com esta atribuição de função pode gerir. Os utilizadores administrativos com esta atribuição de função podem utilizar as permissões concedidas pela função para gerir todos os utilizadores ou dispositivos nos grupos de âmbito definidos pelas atribuições de funções.

  Dica

  Quando configura um grupo de âmbito, limite o acesso ao selecionar apenas os grupos de segurança que incluem o utilizador e os dispositivos que um administrador com esta atribuição de função deve gerir. Para garantir que os administradores com esta função não conseguem direcionar todos os utilizadores ou todos os dispositivos, não selecione Adicionar todos os utilizadores ou Adicionar todos os dispositivos.

• Etiquetas de Âmbito: os utilizadores administrativos a quem foi atribuída esta atribuição de função podem ver os recursos que têm as mesmas etiquetas de âmbito.

Observação

As Etiquetas de Âmbito são valores de texto de forma livre que um administrador define e, em seguida, adiciona a uma atribuição de função. A etiqueta de âmbito adicionada a uma função controla a visibilidade da própria função, enquanto a etiqueta de âmbito adicionada na atribuição de função limita a visibilidade de Intune objetos, como políticas, aplicações ou dispositivos, a apenas administradores nessa atribuição de função porque a atribuição de função contém uma ou mais etiquetas de âmbito correspondentes.

Várias atribuições de função

Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:

• As permissões são incrementais no caso de duas ou mais funções concederem permissões para o mesmo objeto. Um utilizador com permissões de Leitura de uma função e Leitura/escrita de outra função, por exemplo, tem uma permissão efetiva de Leitura/Escrita (assumindo que as atribuições para ambas as funções visam as mesmas etiquetas de âmbito).
• Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
• Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
• Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.
• Quando não existem etiquetas de âmbito ou algumas etiquetas de âmbito são atribuídas a partir de atribuições diferentes, um utilizador só pode ver dispositivos que fazem parte de algumas etiquetas de âmbito e não conseguem ver todos os dispositivos.

Monitorizar atribuições RBAC

Esta e as três subsecções estão em curso

No centro de administração do Intune, pode aceder aFunções de Administrador > de Inquilinose expandir o Monitor para encontrar várias vistas que o podem ajudar a identificar as permissões que diferentes utilizadores têm no seu inquilino Intune. Por exemplo, num ambiente administrativo complexo, pode utilizar a vista de permissões Administração para especificar uma conta para que possa ver o âmbito atual dos privilégios administrativos.

As minhas permissões

Quando seleciona este nó, é-lhe apresentada uma lista combinada das categorias e permissões RBAC atuais Intune que a sua conta é concedida. Esta lista combinada inclui todas as permissões de todas as atribuições de funções, mas não as atribuições de funções que lhes fornecem ou a associação a grupos a que são atribuídas.

Funções por permissão

Com esta vista, pode ver detalhes sobre uma categoria e permissão RBAC específicas Intune e através das atribuições de funções e para que grupos essa combinação é disponibilizada.

Para começar, selecione um Intune categoria de permissão e, em seguida, uma Permissão específica dessa categoria. Em seguida, o centro de administração apresenta uma lista de instâncias que levam à atribuição dessa permissão que inclui:

• Nome a apresentar da função – o nome da função RBAC incorporada ou personalizada que concede a permissão.
• Nome a apresentar da atribuição de função – o nome da atribuição de função que atribui a função a grupos de utilizadores.
• Nome do grupo – o nome do grupo que recebe essa atribuição de função.

permissões de Administração

Utilize o nó de permissões Administração para identificar as permissões específicas concedidas atualmente por uma conta.

Comece por especificar uma Conta de utilizador . Desde que o utilizador tenha Intune permissões atribuídas à conta, Intune apresenta a lista completa dessas permissões identificadas por Categoria e Permissão.

Próximas etapas

• Atribuir uma função a um usuário
• Criar uma função personalizada