Controlo de acesso baseado em funções (RBAC) com Microsoft Intune
O controlo de acesso baseado em funções (RBAC) ajuda-o a gerir quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos. Ao atribuir funções aos seus utilizadores Intune, pode limitar o que podem ver e alterar. Cada função tem um conjunto de permissões que determinam quais os utilizadores com essa função que podem aceder e alterar dentro da sua organização.
Para criar, editar ou atribuir funções, a sua conta tem de ter uma das seguintes permissões no Azure AD:
- Administrador Global
- Administrador de serviço intune (também conhecido como Administrador Intune)
Para conselhos e sugestões sobre o Intune RBAC, pode consultar esta série de cinco vídeos que mostram exemplos e passos: 1, 2, 3, 4, 5.
Funções
Uma função define o conjunto de permissões concedidas aos utilizadores afetos a essa função. Pode utilizar tanto os papéis incorporados como personalizados. Os papéis incorporados cobrem alguns cenários comuns de Intune. Pode criar as suas próprias funções personalizadas com o conjunto exato de permissões de que necessita. Vários papéis Azure Ative Directory têm permissões para Intune. Para ver um papel, escolha > Funções de administração intune Inquilino Todas as > > funções > escolher um papel. Pode gerir o papel nas seguintes páginas:
- Propriedades: O nome, descrição, permissões e etiquetas de âmbito para o papel.
- Atribuições: Uma lista de atribuições de funções que definem os utilizadores a que os utilizadores/dispositivos têm acesso. Uma função pode ter várias atribuições, e um utilizador pode estar em várias atribuições.
Nota
Para poder administrar o Intune tem de ter uma licença Intune atribuída. Em alternativa, pode permitir que utilizadores não licenciados aduminem Intune, definindo Permitir o acesso a administradores não licenciados a Sim.
Funções incorporadas
Pode atribuir funções incorporadas a grupos sem configuração adicional. Não é possível excluir ou editar o nome, descrição, tipo ou permissões de um papel incorporado.
- Gestor de Aplicações: gere aplicações móveis e geridas, pode ler as informações do dispositivo e ver os perfis de configuração do dispositivo.
- Endpoint Security Manager: Gere funcionalidades de segurança e conformidade, tais como linhas de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Endpoint.
- Operador de Mesa de Ajuda: Executa tarefas remotas em utilizadores e dispositivos e pode atribuir aplicações ou políticas aos utilizadores ou dispositivos.
- Administrador de funções intune: Gere funções intune personalizadas e adiciona atribuições para funções intune incorporadas. É o único papel intune que pode atribuir permissões aos Administradores.
- Policy and Profile Manager: Gere a política de conformidade, perfis de configuração, inscrição da Apple, identificadores de dispositivos corporativos e linhas de base de segurança.
- Operador Só de Leitura: vê as informações do utilizador, do dispositivo, da inscrição, da configuração e da aplicação. Não posso fazer alterações no Intune.
- Administrador Escolar: Gere Windows 10 dispositivos em Intune for Education.
Funções personalizadas
Pode criar os seus próprios papéis com permissões personalizadas. Para obter mais informações sobre funções personalizadas, consulte Criar um papel personalizado.
Azure Ative Directory papéis com acesso intune
| Azure Ative Directory papel | Todos os dados do Intune | Dados de auditoria intune |
|---|---|---|
| Administrador Global | Leitura/escrita | Leitura/escrita |
| Administrador de Serviços do Intune | Leitura/escrita | Leitura/escrita |
| Administrador de acesso condicional | Nenhuma | Nenhuma |
| Administrador de Segurança | Leia apenas (permissões administrativas completas para nó de segurança endpoint) | Só de leitura |
| Operador de Segurança | Só de leitura | Só de leitura |
| Leitor de Segurança | Só de leitura | Só de leitura |
| Administrador de Conformidade | Nenhuma | Só de leitura |
| Administrador de Dados de Conformidade | Nenhuma | Só de leitura |
| Leitor Global | Só de Leitura | Só de Leitura |
| Leitor de Relatórios | Só de Leitura | Nenhuma |
Dica
Intune também mostra três extensões AD AZure: Utilizadores, Grupos e Acesso Condicional, que são controladas usando Azure AD RBAC. Além disso, o Administrador da Conta de Utilizador só executa as atividades do utilizador/grupo do AAD e não tem permissões completas para executar todas as atividades no Intune. Para mais informações, consulte o RBAC com Azure AD.
Atribuições de funções
Uma tarefa de função define:
- que os utilizadores são atribuídos ao papel
- que recursos podem ver
- que recursos podem mudar.
Pode atribuir papéis personalizados e incorporados aos seus utilizadores. Para ser atribuído um papel Intune, o utilizador deve ter uma licença Intune. Para ver uma atribuição de funções, escolha > Funções de administração intune Inquilino Todas as > > funções > escolher um papel > Atribuições > escolher uma atribuição. Na página Propriedades pode editar:
- Fundamentos: O nome e descrição das atribuições.
- Membros: Todos os utilizadores dos grupos de segurança Azure listados têm permissão para gerir os utilizadores/dispositivos listados no Âmbito (Grupos).
- Âmbito (Grupos): Todos os utilizadores/dispositivos destes grupos de segurança Azure podem ser geridos pelos utilizadores dos Membros.
- Âmbito (Tags): Os utilizadores em Membros podem ver os recursos que têm as mesmas etiquetas de âmbito.
Atribuições múltiplas de papéis
Se um utilizador tiver múltiplas atribuições de funções, permissões e etiquetas de âmbito, essas atribuições de funções estendem-se a diferentes objetos da seguinte forma:
- Atribuir permissões e etiquetas de âmbito aplicam-se apenas aos objetos (como políticas ou aplicações) no âmbito de atribuição dessa função Scope (Grupos). Atribuir permissões e etiquetas de âmbito não se aplicam a objetos em outras atribuições de funções, a menos que a outra atribuição especificamente as conceda.
- Outras permissões (como Criar, Ler, Atualizar, Excluir) e etiquetas de âmbito aplicam-se a todos os objetos do mesmo tipo (como todas as políticas ou todas as aplicações) em qualquer uma das atribuições do utilizador.
- Permissões e etiquetas de âmbito para objetos de diferentes tipos (como políticas ou aplicações), não se aplicam uns aos outros. Uma permissão de Ler para uma política, por exemplo, não fornece uma permissão de Ler para aplicações nas atribuições do utilizador.