Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As informações neste artigo podem ajudá-lo a atribuir funções de controlo de acesso baseado em funções (RBAC) incorporadas ou personalizadas do Microsoft Intune aos utilizadores que administram a sua subscrição do Intune. As funções RBAC são atribuídas a grupos e não a utilizadores individuais.
Antes de atribuir funções a grupos, certifique-se de que tem grupos suficientes para as diferentes tarefas administrativas do Intune e reveja a associação desses grupos. Cada membro de um grupo a quem é atribuída uma função RBAC recebe as permissões concedidas por essa função. As permissões de vários grupos são cumulativas para um utilizador e não existem opções para negar permissões específicas. No entanto, pode utilizar Etiquetas de Âmbito com RBAC para limitar o âmbito do que os diferentes grupos de indivíduos podem ver e gerir.
Importante
A Microsoft aconselha a não utilizar contas com permissões ao nível do Administrador do Intune para gestão diária quando são suficientes funções com privilégios inferiores. No entanto, as permissões de Administrador do Intune são necessárias durante a configuração inicial do Intune para tarefas como:
- Adicione utilizadores ao Intune que servem como administradores do Intune. (Consulte Adicionar utilizadores)
- Crie grupos de utilizadores que partilham funções administrativas semelhantes. (Consulte Adicionar grupos)
- Atribua funções RBAC a grupos de utilizadores, fornecendo a cada grupo apenas as permissões necessárias para realizar as respetivas tarefas diárias. (Este artigo)
Depois de concluir estes passos, mude para uma conta com apenas as permissões necessárias para a administração contínua para manter o princípio do menor privilégio.
Permissões RBAC necessárias para atribuir funções
Para gerir funções e atribuições RBAC no Intune, a sua conta tem de ter um dos seguintes conjuntos de permissões:
A função incorporada do Intune do Administrador de Funções do Intune. Função incorporada com menos privilégios
Uma função personalizada que inclui as seguintes categorias e permissões de categoria:
Funções:
- Atribuir
- Criar
- Excluir
- Leitura
- Atualizar
Organização:
- Leitura
Observação
Segurança Avançada: a Aprovação multi Administração suporta agora o controlo de acesso baseado em funções. Quando esta definição está ativada, um segundo administrador tem de aprovar as alterações às funções. Estas alterações podem incluir atualizações para permissões de função, grupos de administradores ou atribuições de grupos de membros. A alteração só entra em vigor após a aprovação. Este processo de autorização dupla ajuda a proteger a sua organização contra alterações de controlo de acesso baseadas em funções não autorizadas ou acidentais. Para obter mais informações, veja Utilizar a Aprovação multi Administração no Intune.
Implementar atribuições de funções do Intune
Antes de implementar funções do Intune, familiarize-se com as atribuições de funções do Intune , que fornecem detalhes sobre vários aspetos das atribuições de funções do Intune.
Inicie sessão no centro de administração do Microsoft Intune e aceda aFunções> de administração> deinquilinos Todas as funções.
Na página Funções do Intune – Todas as funções , pode encontrar todas as funções do Intune que estão disponíveis para atribuir no seu Inquilino. Cada função tem um Tipo que a identifica como uma Função Incorporada fornecida pelo Intune ou uma função do Intune Personalizado criada pela sua organização.
Selecione a função que pretende atribuir e, em seguida, selecione Atribuições>+ Atribuir.
Na página Informações básicas , introduza um Nome e uma Descrição opcional e, em seguida, selecione Seguinte.
Na página Administração Grupos, selecione Adicionar grupos e, em seguida, selecione um grupo que contenha os utilizadores aos quais pretende atribuir as permissões de funções.
Dica
Quando atribui uma função a um grupo, cada membro desse grupo recebe as permissões concedidas por essa função. Atribua apenas funções a grupos para os quais conheça a associação e que não incluam utilizadores que não devem receber os privilégios administrativos fornecidos pela função.
Observação
Se o seu inquilino permitir administradores não licenciados, as atribuições de funções do Intune aplicam-se apenas aos membros diretos do grupo de segurança atribuído. Os membros de grupos aninhados não recebem estas atribuições por predefinição. No entanto, se um utilizador num grupo aninhado tiver uma licença do Intune, esse utilizador receberá a função intune.
Selecione Avançar.
Na página Âmbito (Grupos), adicione grupos que contenham apenas os utilizadores ou dispositivos que os membros dos Grupos de Administração que selecionou no passo anterior devem ter permissão para gerir. Em seguida, selecione Avançar.
Observação
Os grupos Todos os utilizadores e Todos os dispositivos são grupos virtuais do Intune, não Microsoft Entra grupos de segurança. Por conseguinte, não pode utilizá-los como encarregados de educação para Microsoft Entra grupos de segurança em atribuições de Âmbito (Grupos). Para atribuir Todos os utilizadores e Todos os dispositivos e grupos de segurança Microsoft Entra específicos, adicione-os separadamente. Caso contrário, os administradores não terão acesso a grupos de utilizadores Microsoft Entra específicos, mesmo que o Âmbito (Grupos) da função esteja definido como Todos os Utilizadores.
O aninhamento é suportado para grupos de segurança Microsoft Entra.
Na página Âmbito (Etiquetas), selecione etiquetas onde esta atribuição de função é aplicada. Selecione Avançar.
Observação
Quando define grupos de âmbito e, em seguida, atribui uma etiqueta de âmbito, os administradores só podem direcionar grupos listados no Âmbito (Grupos) da atribuição de função.
Na página Rever + Criar , quando terminar, selecione Criar.
A nova atribuição é exibida na lista de atribuições.