Controle de acesso baseado em função (RBAC) com Microsoft Intune
O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos. Ao atribuir funções aos usuários do Intune, é possível limitar o que eles podem ver e alterar. Cada função tem um conjunto de permissões que determinam o que os usuários com essa função podem acessar e alterar dentro de sua organização.
Para criar, editar ou atribuir funções, a sua conta tem de ter uma das seguintes permissões no Microsoft Entra ID:
- Administrador Global
- Administrador de Serviços do Intune (também conhecido como Administrador do Intune)
Funções
Uma função define o conjunto de permissões concedido aos usuários atribuídos a essa função. É possível usar as funções internas e personalizadas. As funções internas abordam alguns cenários comuns do Intune. É possível criar suas próprias funções personalizadas com o conjunto exato de permissões necessárias. Várias funções do Microsoft Entra têm permissões para o Intune. Para ver uma função no centro de administração do Intune, aceda aFunções> de administração> deinquilinos Todas as funções> selecionam uma função. Você poderá gerenciar a função de gerenciamento nas seguintes páginas:
- Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função.
- Atribuições: uma lista de atribuições de função definir quais usuários têm acesso a quais usuários/dispositivos. Uma função pode ter várias atribuições e um usuário pode estar em várias atribuições.
Observação
É preciso ter uma licença do Intune atribuída para poder administrar o Intune. Como alternativa, você pode permitir que usuários não licenciados administram o Intune definindo Permitir acesso a administradores não licenciados como Sim.
Funções internas
Você pode atribuir funções internas a grupos sem configuração adicional. Não é possível excluir nem editar o nome, a descrição, o tipo ou as permissões de uma função interna.
- Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
- Endpoint Privilege Manager: gere as políticas de Endpoint Privilege Management na consola do Intune.
- Leitor de Privilégios de Ponto Final: os Leitores de Privilégios de Ponto Final podem ver as políticas de Endpoint Privilege Management na consola do Intune.
- Gerenciador de Segurança do Ponto de extremidade: gerencia recursos de segurança e conformidade, como linhas de base de segurança, conformidade do dispositivo, acesso condicional e Microsoft Defender para Ponto de Extremidade.
- Operador do Suporte Técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
- Administrador de Funções do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
- Política e Gerenciador de Perfis: gerencia políticas de conformidade, perfis de configuração, registro da Apple, identificadores de dispositivo corporativo e linhas de base de segurança.
- Gestor de Mensagens Organizacionais: gere mensagens organizacionais na consola do Intune.
- Operador Somente Leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
- Administrator Escolar: gerencia Windows 10 dispositivos no Intune para Educação.
- Administrador de PC na Cloud: um Administrador de PC na Cloud tem acesso de leitura e escrita a todas as funcionalidades do CLOUD PC localizadas na área do CLOUD PC.
- Leitor de PC na Cloud: um Leitor de PC na Cloud tem acesso de leitura a todas as funcionalidades do CLOUD PC localizadas na área do CLOUD PC.
Funções personalizadas
É possível criar suas próprias funções com permissões personalizadas. Para saber mais informações sobre funções personalizadas, confira Criar uma função personalizada.
Funções do Microsoft Entra com acesso ao Intune
| Função Microsoft Entra | Todos os dados do Intune | Dados de auditoria do Intune |
|---|---|---|
| Administrador Global | Leitura/gravação | Leitura/gravação |
| Administrador de Serviços do Intune | Leitura/gravação | Leitura/gravação |
| Administrador de Acesso Condicional | Nenhum | Nenhum |
| Administrador de Segurança | Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade) | Somente leitura |
| Operador de Segurança | Somente leitura | Somente leitura |
| Leitor de Segurança | Somente leitura | Somente leitura |
| Administrador de Conformidade | Nenhum | Somente leitura |
| Administrador de Dados de Conformidade | Nenhum | Somente leitura |
| Leitor Global (esta função é equivalente à função operador de suporte técnico do Intune) | Somente Leitura | Somente Leitura |
| Administrador de suporte técnico (esta função é equivalente à função operador do Suporte Técnico do Intune) | Somente Leitura | Somente Leitura |
| Leitor de Relatórios | Nenhum | Somente Leitura |
Dica
O Intune também mostra três extensões do Microsoft Entra: Utilizadores, Grupos e Acesso Condicional, que são controladas através do RBAC do Microsoft Entra. Além disso, o Administrador de Conta de Utilizador só realiza atividades de utilizador/grupo do Microsoft Entra e não tem permissões completas para realizar todas as atividades no Intune. Para obter mais informações, veja RBAC com o Microsoft Entra ID.
Atribuições de função
Uma atribuição de função define:
- quais usuários são atribuídos à função
- quais recursos eles podem ver
- quais recursos eles podem alterar.
É possível atribuir funções internas e personalizadas a seus usuários. Para receber uma função do Intune, o usuário deve ter uma licença do Intune. Para ver uma atribuição de função, selecioneFunções> deadministração> de inquilinos do IntuneTodas as funções> selecionam > uma função >Atribuições> escolher uma atribuição. Na página Propriedades , pode editar:
- Informações básicas: o nome e a descrição das atribuições.
- Membros: todos os usuários nos grupos de segurança do Azure listados têm permissão para gerenciar os usuários/dispositivos listados no Escopo (Grupos).
- Âmbito (Grupos): os Grupos de Âmbito são grupos de segurança do Microsoft Entra de utilizadores ou dispositivos ou ambos para os quais os administradores nessa atribuição de função estão limitados à realização de operações. Por exemplo, implementação de uma política ou aplicação para um utilizador ou bloqueio remoto de um dispositivo. Todos os utilizadores e dispositivos nestes grupos de segurança do Microsoft Entra podem ser geridos pelos utilizadores em Membros.
- Escopo (Marcas): os usuários em membros podem ver os recursos que têm as mesmas marcas de escopo.
Observação
As Marcas de escopo são valores de texto de forma livre que um administrador define e, em seguida, adiciona a uma Atribuição de função. A marca de escopo adicionada a uma função controla a visibilidade da função em si, enquanto a que é adicionada à atribuição de função limita a visibilidade de objetos do Intune (como políticas e aplicativos) ou dispositivos somente para administradores nessa atribuição de função, porque ela contém uma ou mais marcas de escopo correspondentes.
Várias atribuições de função
Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:
- As permissões são incrementais no caso de duas ou mais funções concederem permissões para o mesmo objeto. Um utilizador com permissões de Leitura de uma função e Leitura/escrita de outra função, por exemplo, tem uma permissão efetiva de Leitura/Escrita (assumindo que as atribuições para ambas as funções visam as mesmas etiquetas de âmbito).
- Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
- Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
- Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.
- Quando não existem etiquetas de âmbito ou algumas etiquetas de âmbito são atribuídas a partir de atribuições diferentes, um utilizador só pode ver dispositivos que fazem parte de algumas etiquetas de âmbito e não conseguem ver todos os dispositivos.