Controle de acesso baseado em função (RBAC) com Microsoft Intune

O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos. Ao atribuir funções aos usuários do Intune, é possível limitar o que eles podem ver e alterar. Cada função tem um conjunto de permissões que determinam o que os usuários com essa função podem acessar e alterar dentro de sua organização.

Para criar, editar ou atribuir funções, sua conta deve ter uma das seguintes permissões no Azure Active Directory:

  • Administrador Global
  • Administrador de Serviços do Intune (também conhecido como Administrador do Intune)

Funções

Uma função define o conjunto de permissões concedido aos usuários atribuídos a essa função. É possível usar as funções internas e personalizadas. As funções internas abordam alguns cenários comuns do Intune. É possível criar suas próprias funções personalizadas com o conjunto exato de permissões necessárias. Várias funções do Azure Active Directory têm permissões para o Intune. Para ver uma função, escolhaFunções> deadministração> de locatário do Endpoint Manager>Todas as funções> escolhem uma função. Você poderá gerenciar a função de gerenciamento nas seguintes páginas:

  • Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função.
  • Atribuições: uma lista de atribuições de função definir quais usuários têm acesso a quais usuários/dispositivos. Uma função pode ter várias atribuições e um usuário pode estar em várias atribuições.

Observação

É preciso ter uma licença do Intune atribuída para poder administrar o Intune. Como alternativa, você pode permitir que usuários não licenciados administram o Intune definindo Permitir acesso a administradores não licenciados como Sim.

Funções internas

Você pode atribuir funções internas a grupos sem configuração adicional. Não é possível excluir nem editar o nome, a descrição, o tipo ou as permissões de uma função interna.

  • Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
  • Gerenciador de Segurança do Ponto de extremidade: gerencia recursos de segurança e conformidade, como linhas de base de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Ponto de Extremidade.
  • Operador Somente Leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
  • Administrator Escolar: gerencia Windows 10 dispositivos no Intune para Educação.
  • Política e Gerenciador de Perfis: gerencia políticas de conformidade, perfis de configuração, registro da Apple, identificadores de dispositivo corporativo e linhas de base de segurança.
  • Operador do Suporte Técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
  • Administrador de Funções do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
  • Administrador de PC na Nuvem: um Administrador de PC na Nuvem tem acesso de leitura e gravação a todos os recursos do PC na nuvem localizados na folha PC na nuvem.
  • Leitor de PC na Nuvem: um Leitor de PC na Nuvem tem acesso de leitura para todos os recursos do PC na Nuvem localizados na folha PC na nuvem.

Funções personalizadas

É possível criar suas próprias funções com permissões personalizadas. Para saber mais informações sobre funções personalizadas, confira Criar uma função personalizada.

Funções do Azure Active Directory com o acesso do Intune

Função do Azure Active Directory Todos os dados do Intune Dados de auditoria do Intune
Administrador Global Leitura/gravação Leitura/gravação
Administrador de Serviços do Intune Leitura/gravação Leitura/gravação
Administrador de Acesso Condicional Nenhum Nenhum
Administrador de Segurança Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade) Somente leitura
Operador de Segurança Somente leitura Somente leitura
Leitor de Segurança Somente leitura Somente leitura
Administrador de Conformidade Nenhum Somente leitura
Administrador de Dados de Conformidade Nenhum Somente leitura
Leitor Global (essa função é equivalente à função operador do Help Desk Intune) Somente Leitura Somente Leitura
Leitor de Relatórios Somente Leitura Nenhum

Dica

O Intune também mostra três extensões do Azure AD: Usuários, Grupose Acesso Condicional, que são controladas usando o RBAC do Azure Active Directory. Além disso, o Administrador de Contas de Usuário apenas realiza as atividades do usuário/grupo do AAD e não tem permissões totais para realizar todas as atividades no Intune. Para saber mais, confira RBAC com o Azure AD.

Atribuições de função

Uma atribuição de função define:

  • quais usuários são atribuídos à função
  • quais recursos eles podem ver
  • quais recursos eles podem alterar.

É possível atribuir funções internas e personalizadas a seus usuários. Para receber uma função do Intune, o usuário deve ter uma licença do Intune. Para ver uma atribuição de função, escolha Intune>Funções de administraçãoTenant>> Todas as funções > escolhem uma função> Atribuições > escolher uma atribuição. Na página Propriedades, você poderá editar:

  • Informações básicas: o nome e a descrição das atribuições.
  • Membros: todos os usuários nos grupos de segurança do Azure listados têm permissão para gerenciar os usuários/dispositivos listados no Escopo (Grupos).
  • Escopo (Grupos): os Grupos de escopo são grupos de segurança do Azure AD de usuários ou dispositivos, ou ambos, nos quais os administradores nessa atribuição de função estão limitados a executar operações. Por exemplo, a implantação de uma política ou aplicativo para um usuário ou bloqueio remoto de um dispositivo. Todos os usuários e dispositivos nesses grupos de segurança do Azure AD podem ser gerenciados pelos usuários em Membros.
  • Escopo (Marcas): os usuários em membros podem ver os recursos que têm as mesmas marcas de escopo.

Observação

As Marcas de escopo são valores de texto de forma livre que um administrador define e, em seguida, adiciona a uma Atribuição de função. A marca de escopo adicionada a uma função controla a visibilidade da função em si, enquanto a que é adicionada à atribuição de função limita a visibilidade de objetos do Intune (como políticas e aplicativos) ou dispositivos somente para administradores nessa atribuição de função, porque ela contém uma ou mais marcas de escopo correspondentes.

Várias atribuições de função

Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:

  • Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
  • Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
  • Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.

Próximas etapas