Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита доступа к организации — это важный шаг безопасности. В этой статье представлены основные сведения об использовании Microsoft Intune управления доступом на основе ролей (RBAC), которые являются расширением Microsoft Entra ID элементов управления RBAC. Последующие статьи помогут вам развернуть Intune RBAC в организации.
С помощью Intune RBAC вы можете предоставить администраторам детализированные разрешения, чтобы контролировать, кто имеет доступ к ресурсам вашей организации и что они могут делать с этими ресурсами. Назначая Intune роли RBAC и соблюдая принципы доступа с наименьшими привилегиями, администраторы могут выполнять назначенные им задачи только на тех пользователях и устройствах, которыми они должны иметь право управлять.
Роли RBAC
Каждая Intune роль RBAC задает набор разрешений, доступных пользователям, назначенным этой роли. Разрешения состоят из одной или нескольких категорий управления, таких как конфигурация устройства или данные аудита, а также наборы действий, которые можно выполнить, например чтение, запись, обновление и удаление. Вместе они определяют область административного доступа и разрешений в Intune.
Intune включает как встроенные, так и настраиваемые роли. Встроенные роли одинаковы во всех клиентах и предоставляются для решения распространенных административных сценариев, в то время как создаваемые настраиваемые роли разрешают определенные разрешения, необходимые администратору. Кроме того, несколько Microsoft Entra ролей включают разрешения в Intune.
Чтобы просмотреть роль в центре администрирования Intune, перейдите в раздел Администрирование> клиентаВсе>роли> и выберите роль. Затем вы можете управлять этой ролью на следующих страницах:
- Свойства. Имя, описание, тип, разрешения и теги области для роли. Вы также можете просмотреть имя, описание и разрешения встроенных ролей в этой документации в разделе Разрешения встроенных ролей.
- Назначения. Выберите назначение для роли, чтобы просмотреть сведения о нем, включая группы и области, которые включает назначение. Роль может иметь несколько назначений, а пользователь может получать несколько назначений.
Примечание.
В июне 2021 года Intune начала поддерживать нелицензированных администраторов. Учетные записи пользователей, созданные после этого изменения, могут администрировать Intune без назначенной лицензии. Учетным записям, созданным до этого изменения, по-прежнему требуется лицензия на управление Intune.
Встроенные роли
Администратор Intune с достаточными разрешениями может назначать любой из Intune ролей группам пользователей. Встроенные роли предоставляют определенные разрешения, необходимые для выполнения административных задач, которые соответствуют назначению роли. Intune не поддерживает изменения описания, типа или разрешений встроенной роли.
- Диспетчер приложений. Управляет мобильными и управляемыми приложениями. Может читать информацию об устройстве и просматривать его профили конфигурации.
- Endpoint Privilege Manager. Управляет политиками управления привилегиями конечных точек в консоли Intune.
- Читатель привилегий конечной точки. Читатели привилегий конечных точек могут просматривать политики управления привилегиями конечных точек в консоли Intune.
- Endpoint Security Manager. Управляет функциями безопасности и соответствия, такими как базовые показатели безопасности, соответствие устройств, условный доступ и Microsoft Defender для конечной точки.
- Оператор службы технической поддержки. Выполняет удаленные задачи для пользователей и устройств, а также может назначать пользователям и устройствам приложения или политики.
- Администратор ролей Intune. Управляет пользовательскими ролями Intune и добавляет назначения для встроенных ролей Intune. Это единственная роль Intune, позволяющая назначать разрешения для администраторов.
- Диспетчер политик и профилей. Управляет политикой соответствия требованиям, профилями конфигурации, регистрацией Apple, идентификаторами корпоративных устройств и базовыми показателями безопасности.
- Оператор с правами "только чтение". Просматривает сведения о пользователях, устройствах, регистрации, конфигурации и приложениях. Не может вносить изменения в Intune.
- Администратор учебного заведения. Управляет устройствами с Windows 10 в Intune для образовательных учреждений.
Если клиент включает подписку на Windows 365 для поддержки облачных компьютеров, вы также найдете следующие роли облачных компьютеров в Центре администрирования Intune. Эти роли недоступны по умолчанию и включают разрешения в Intune для задач, связанных с облачными компьютерами. Дополнительные сведения об этих ролях см. в статье Встроенные роли облачного компьютера в документации по Windows 365.
- Администратор облачных компьютеров. Администратор облачных компьютеров имеет доступ на чтение и запись ко всем функциям облачного компьютера, расположенным в области облачных компьютеров.
- Средство чтения облачных компьютеров. Средство чтения облачных компьютеров имеет доступ на чтение ко всем функциям облачных компьютеров, расположенным в области облачных компьютеров.
Настраиваемые роли
Вы можете создать собственные пользовательские роли Intune, чтобы предоставить администраторам только определенные разрешения, необходимые для их задач. Эти настраиваемые роли могут включать в себя любой Intune разрешения RBAC, что обеспечивает улучшенный доступ администратора и поддержку принципа доступа с наименьшими привилегиями в организации.
См . статью Создание настраиваемой роли.
Microsoft Entra роли с доступом к Intune
Intune разрешения RBAC — это подмножество разрешений Microsoft Entra RBAC. В качестве подмножества существуют некоторые роли Entra, которые включают разрешения в Intune. Большинство Entra ID ролей, имеющих доступ к Intune, считаются привилегированными ролями. Использование и назначение привилегированных ролей должно быть ограничено и не должно использоваться для ежедневных административных задач в Intune.
Корпорация Майкрософт рекомендует следовать принципу минимальных разрешений, назначая администратору только минимальные необходимые разрешения для выполнения своих обязанностей. Для поддержки этого принципа используйте встроенные роли RBAC Intune для ежедневных Intune административных задач и избегайте использования ролей Entra, имеющих доступ к Intune.
В следующей таблице указаны роли Entra, имеющие доступ к Intune, и разрешения Intune, которые они включают.
роль Microsoft Entra | Все данные в Intune | Данные аудита Intune |
---|---|---|
![]() |
Чтение и запись | Чтение и запись |
![]() |
Чтение и запись | Чтение и запись |
![]() |
Нет | Нет |
![]() |
Только чтение (полные административные разрешения для узла Endpoint Security) | Только чтение |
![]() |
Только чтение | Только чтение |
![]() |
Только чтение | Только чтение |
Администратор соответствия требованиям | Нет | Только чтение |
Администратор данных соответствия требованиям | Нет | Только чтение |
![]() |
Только чтение | Только чтение |
![]() |
Только чтение | Только чтение |
Читатель отчетов | Нет | Только чтение |
Помимо ролей Entra с разрешениями в Intune, следующие три области Intune являются прямыми расширениями Entra: пользователи, группы и условный доступ. Экземпляры этих объектов и конфигураций, выполненных из Intune существуют в Entra. Как объекты Entra, они могут управляться администраторами Entra с достаточными разрешениями, предоставленными ролью Entra. Аналогичным образом администраторы Intune с достаточными разрешениями для Intune могут просматривать эти типы объектов, созданные в Entra, и управлять ими.
управление привилегированными пользователями для Intune
При использовании Entra ID управление привилегированными пользователями (PIM) можно управлять тем, может ли пользователь использовать привилегии, предоставляемые ролью RBAC Intune или ролью администратора Intune из Entra ID.
Intune поддерживает два метода повышения ролей. Между этими двумя методами существуют различия в производительности и минимальных привилегиях.
Способ 1. Создайте JIT-политику с Microsoft Entra управление привилегированными пользователями (PIM) для Microsoft Entra встроенной роли администратора Intune и назначьте ей учетную запись администратора.
Способ 2. Использование управление привилегированными пользователями (PIM) для групп с назначением роли RBAC Intune. Дополнительные сведения об использовании PIM для групп с Intune ролями RBAC см. в статье Настройка Microsoft Intune JIT-доступа администратора с помощью Microsoft Entra PIM для групп | Центр сообщества Майкрософт
При использовании повышения прав PIM для роли администратора Intune из Entra ID повышение прав обычно происходит в течение 10 секунд. Повышение прав на основе групп PIM для встроенных или пользовательских ролей Intune обычно занимает до 15 минут.
Сведения о назначениях ролей Intune
Как Intune пользовательские, так и встроенные роли назначаются группам пользователей. Назначенная роль применяется к каждому пользователю в группе и определяет:
- какие пользователи назначены этой роли;
- какие ресурсы они могут видеть;
- какие ресурсы они могут менять.
Каждая группа, которым назначена Intune роль, должна включать только пользователей, которым разрешено выполнять административные задачи для этой роли.
- Если встроенная роль с наименьшими привилегиями предоставляет чрезмерные привилегии или разрешения, рассмотрите возможность использования настраиваемой роли для ограничения область административного доступа.
- При планировании назначений ролей учитывайте результаты пользователя с несколькими назначениями ролей.
Чтобы пользователю была назначена роль Intune и доступ к администрированию Intune, ему не требуется лицензия на Intune до тех пор, пока его учетная запись была создана в Entra после июня 2021 г. Учетным записям, созданным до июня 2021 года, требуется назначить лицензию на использование Intune.
Чтобы просмотреть существующее назначение ролей, выберите Intune>Роли>>администрирования> клиента. Все роли> выбирают роль > Назначения выберите назначение. На странице свойств назначений можно изменить:
Основные сведения: имена и описание назначений.
Участники. Участники — это группы, которые настраиваются на странице группы Администратор при создании назначения ролей. Все пользователи в перечисленных группах безопасности Azure имеют разрешение на управление пользователями и устройствами, перечисленными в разделе Область (группы).
Область (группы). Используйте область (группы), чтобы определить группы пользователей и устройств, которыми может управлять администратор с этим назначением роли. Пользователи с правами администратора с этим назначением роли могут использовать разрешения, предоставленные ролью, для управления каждым пользователем или устройством в рамках назначений ролей, определенных область группами.
Совет
При настройке группы область ограничьте доступ, выбрав только группы безопасности, включающие пользователей и устройства, которыми должен управлять администратор с назначением этой роли. Чтобы администраторы с этой ролью не могли ориентироваться на всех пользователей или все устройства, не выбирайте Добавить всех пользователей или Добавить все устройства.
Теги области. Пользователи с правами администратора, которым назначена эта роль, могут просматривать ресурсы с одинаковыми область тегами.
Примечание.
Теги области — это текстовые значения свободной формы, которые администратор определяет, а затем добавляет к назначению роли. Тег область, добавленный в роль, управляет видимостью самой роли, а тег область, добавленный в назначении ролей, ограничивает видимость Intune объектов, таких как политики, приложения или устройства, только администраторам в этом назначении ролей, так как назначение роли содержит один или несколько совпадающих тегов область.
Несколько назначений ролей
Если пользователь имеет несколько назначений ролей, разрешений и тегов области, эти назначения ролей распространяются на разные объекты следующим образом:
- Разрешения бывают добавочными в случае, когда две или более ролей предоставляют разрешения для одного и того же объекта. Например, пользователь с разрешениями на чтение от одной роли и чтение и запись из другой роли имеет действующее разрешение на чтение и запись (при условии, что назначения для обеих ролей предназначены для одного и того же область тегов).
- Разрешения назначений и теги области применяются только к объектам (например, политикам или приложениям) в области (группах) назначений этой роли. Разрешения назначений и теги области не применяются к объектам в других назначениях ролей, если другие назначения явно не предоставляют их.
- Другие разрешения (такие как создание, чтение, обновление, удаление) и теги областей применяются ко всем объектам одного типа (например, ко всем политикам или всем приложениям) в любых назначениях пользователей.
- Разрешения и теги области для объектов различных типов (например, политик или приложений) не применяются друг к другу. Например, разрешение на чтение для политики не предоставляет разрешение на чтение в приложениях в назначениях пользователя.
- Если нет тегов область или некоторые область теги назначены из разных назначений, пользователь может видеть только устройства, которые являются частью некоторых тегов область и не могут видеть все устройства.
Мониторинг назначений RBAC
Этот и три подраздела находятся в процессе выполнения
В центре администрирования Intune можно перейти враздел Ролиадминистратора> клиента и развернуть элемент Монитор, чтобы найти несколько представлений, которые помогут вам определить разрешения, которые разные пользователи имеют в вашем Intune клиенте. Например, в сложной административной среде можно использовать представление разрешений Администратор, чтобы указать учетную запись, чтобы просмотреть ее текущую область административных привилегий.
Мои разрешения
При выборе этого узла отобразится объединенный список текущих Intune категорий и разрешений RBAC, предоставленных вашей учетной записи. В этом объединенном списке содержатся все разрешения от всех назначений ролей, но не сведения о том, какие назначения ролей предоставляют их или каким членством в группах они назначены.
Роли по разрешениям
В этом представлении можно просмотреть сведения о конкретной Intune категории и разрешениях RBAC, а также о назначениях ролей, а также о группах, которым предоставляется такое сочетание.
Чтобы приступить к работе, выберите категорию разрешений Intune, а затем конкретное разрешение из этой категории. Затем в Центре администрирования отображается список экземпляров, которые приводят к назначению этого разрешения, в том числе:
- Отображаемое имя роли — имя встроенной или настраиваемой роли RBAC, которая предоставляет разрешение.
- Отображаемое имя назначения роли — имя назначения роли, которая назначает роль группам пользователей.
- Имя группы — имя группы, которая получает это назначение роли.
разрешения Администратор
Используйте узел Администратор разрешений, чтобы определить конкретные разрешения, предоставленные учетной записи в данный момент.
Начните с указания учетной записи пользователя . Пока пользователь имеет Intune разрешения, назначенные его учетной записи, Intune отображает полный список этих разрешений, определенных по категориям и разрешениям.