Controle de acesso baseado em função (RBAC) com Microsoft Intune
O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos. Ao atribuir funções aos usuários do Intune, é possível limitar o que eles podem ver e alterar. Cada função tem um conjunto de permissões que determinam o que os usuários com essa função podem acessar e alterar dentro de sua organização.
Para criar, editar ou atribuir funções, sua conta deve ter uma das seguintes permissões no Microsoft Entra ID:
- Administrador Global
- Administrador de Serviços do Intune (também conhecido como Administrador do Intune)
Funções
Uma função define o conjunto de permissões concedido aos usuários atribuídos a essa função. É possível usar as funções internas e personalizadas. As funções internas abordam alguns cenários comuns do Intune. É possível criar suas próprias funções personalizadas com o conjunto exato de permissões necessárias. Várias funções Microsoft Entra têm permissões para Intune. Para ver uma função no centro de administração Intune, acesseFunções> de administração> de locatárioTodas as funções> escolhem uma função. Você poderá gerenciar a função de gerenciamento nas seguintes páginas:
- Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função.
- Atribuições: uma lista de atribuições de função definir quais usuários têm acesso a quais usuários/dispositivos. Uma função pode ter várias atribuições e um usuário pode estar em várias atribuições.
Observação
É preciso ter uma licença do Intune atribuída para poder administrar o Intune. Como alternativa, você pode permitir que usuários não licenciados administram o Intune definindo Permitir acesso a administradores não licenciados como Sim.
Funções internas
Você pode atribuir funções internas a grupos sem configuração adicional. Não é possível excluir nem editar o nome, a descrição, o tipo ou as permissões de uma função interna.
- Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
- Endpoint Privilege Manager: gerencia políticas de Gerenciamento de Privilégios de Ponto de Extremidade no console Intune.
- Leitor de Privilégios do Ponto de Extremidade: os leitores de privilégios de ponto de extremidade podem exibir políticas de Gerenciamento de Privilégios do Ponto de Extremidade no console Intune.
- Gerenciador de Segurança do Ponto de extremidade: gerencia recursos de segurança e conformidade, como linhas de base de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Ponto de Extremidade.
- Operador do Suporte Técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
- Administrador de Funções do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
- Política e Gerenciador de Perfis: gerencia políticas de conformidade, perfis de configuração, registro da Apple, identificadores de dispositivo corporativo e linhas de base de segurança.
- Gerenciador de Mensagens Organizacionais: gerencia mensagens organizacionais em Intune console.
- Operador Somente Leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
- Administrator Escolar: gerencia Windows 10 dispositivos no Intune para Educação.
- Administrador de PC na nuvem: um administrador de pc na nuvem tem acesso de leitura e gravação a todos os recursos do Cloud PC localizados na área de PC na nuvem.
- Leitor de PC na Nuvem: um Leitor de PC na Nuvem tem acesso de leitura a todos os recursos do Cloud PC localizados na área de CLOUD PC.
Funções personalizadas
É possível criar suas próprias funções com permissões personalizadas. Para saber mais informações sobre funções personalizadas, confira Criar uma função personalizada.
Microsoft Entra funções com acesso Intune
| Microsoft Entra função | Todos os dados do Intune | Dados de auditoria do Intune |
|---|---|---|
| Administrador Global | Leitura/gravação | Leitura/gravação |
| Administrador de Serviços do Intune | Leitura/gravação | Leitura/gravação |
| Administrador de Acesso Condicional | Nenhum | Nenhum |
| Administrador de Segurança | Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade) | Somente leitura |
| Operador de Segurança | Somente leitura | Somente leitura |
| Leitor de Segurança | Somente leitura | Somente leitura |
| Administrador de Conformidade | Nenhum | Somente leitura |
| Administrador de Dados de Conformidade | Nenhum | Somente leitura |
| Leitor Global (essa função é equivalente à função operador do Help Desk Intune) | Somente Leitura | Somente Leitura |
| Administrador do Helpdesk (essa função é equivalente à função operador do Help Desk Intune) | Somente Leitura | Somente Leitura |
| Leitor de Relatórios | Nenhum | Somente Leitura |
Dica
Intune também mostra três extensões Microsoft Entra: Usuários, Grupos e Acesso Condicional, que são controlados usando Microsoft Entra RBAC. Além disso, o Administrador da Conta de Usuário executa apenas Microsoft Entra atividades de usuário/grupo e não tem permissões completas para executar todas as atividades no Intune. Para obter mais informações, consulte RBAC com Microsoft Entra ID.
Atribuições de função
Uma atribuição de função define:
- quais usuários são atribuídos à função
- quais recursos eles podem ver
- quais recursos eles podem alterar.
É possível atribuir funções internas e personalizadas a seus usuários. Para receber uma função do Intune, o usuário deve ter uma licença do Intune. Para ver uma atribuição de função, escolha Intune>Funções de administraçãoTenant>> Todas as funções > escolhem uma função> Atribuições > escolher uma atribuição. Na página Propriedades , você pode editar:
- Informações básicas: o nome e a descrição das atribuições.
- Membros: todos os usuários nos grupos de segurança do Azure listados têm permissão para gerenciar os usuários/dispositivos listados no Escopo (Grupos).
- Escopo (Grupos): Os Grupos de Escopo são Microsoft Entra grupos de segurança de usuários ou dispositivos ou ambos para os quais os administradores nessa atribuição de função estão limitados a executar operações. Por exemplo, implantação de uma política ou aplicativo para um usuário ou bloqueio remoto de um dispositivo. Todos os usuários e dispositivos nesses Microsoft Entra grupos de segurança podem ser gerenciados pelos usuários em Membros.
- Escopo (Marcas): os usuários em membros podem ver os recursos que têm as mesmas marcas de escopo.
Observação
As Marcas de escopo são valores de texto de forma livre que um administrador define e, em seguida, adiciona a uma Atribuição de função. A marca de escopo adicionada a uma função controla a visibilidade da função em si, enquanto a que é adicionada à atribuição de função limita a visibilidade de objetos do Intune (como políticas e aplicativos) ou dispositivos somente para administradores nessa atribuição de função, porque ela contém uma ou mais marcas de escopo correspondentes.
Várias atribuições de função
Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:
- As permissões são incrementais no caso em que duas ou mais funções concedem permissões ao mesmo objeto. Um usuário com permissões de leitura de uma função e Leitura/gravação de outra função, por exemplo, tem uma permissão efetiva de Leitura/gravação (supondo que as atribuições para ambas as funções destinem-se às mesmas marcas de escopo).
- Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
- Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
- Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.
- Quando não há marcas de escopo ou algumas marcas de escopo são atribuídas de atribuições diferentes, um usuário só pode ver dispositivos que fazem parte de algumas marcas de escopo e não podem ver todos os dispositivos.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de