Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune
Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie tym, kto ma dostęp do zasobów organizacji i co może zrobić z tymi zasobami. Przypisując role do użytkowników Intune, możesz ograniczyć to, co widzą i zmieniają. Każda rola ma zestaw uprawnień, które określają, którzy użytkownicy z tą rolą mogą uzyskiwać dostęp i zmieniać się w organizacji.
Aby utworzyć, edytować lub przypisać role, konto musi mieć jedno z następujących uprawnień w Tożsamość Microsoft Entra:
- Administrator globalny
- administrator usługi Intune (znany również jako administrator Intune)
- Rola Intune z uprawnieniami roli
Role
Rola definiuje zestaw uprawnień przyznanych użytkownikom przypisanym do tej roli. Można używać zarówno ról wbudowanych, jak i niestandardowych. Role wbudowane obejmują niektóre typowe scenariusze Intune. Możesz utworzyć własne role niestandardowe z dokładnym zestawem uprawnień, których potrzebujesz. Kilka ról Microsoft Entra ma uprawnienia do Intune. Aby wyświetlić rolę w centrum administracyjnym Intune, przejdź do pozycji Administracja dzierżawą>Role>Wszystkie role> wybierają rolę. Rolę można zarządzać na następujących stronach:
- Właściwości: nazwa, opis, uprawnienia i tagi zakresu dla roli.
- Przypisania: lista przypisań ról określających , którzy użytkownicy mają dostęp do użytkowników/urządzeń. Rola może mieć wiele przypisań, a użytkownik może mieć wiele przypisań.
Uwaga
Aby móc administrować Intune, musisz mieć przypisaną licencję Intune. Alternatywnie możesz zezwolić użytkownikom nielicencjonowanym na administrowanie Intune, ustawiając ustawienie Zezwalaj na dostęp nielicencjonowanym administratorom na Wartość Tak.
Role wbudowane
Wbudowane role można przypisywać do grup bez dalszej konfiguracji. Nie można usunąć ani edytować nazwy, opisu, typu ani uprawnień wbudowanej roli.
- Menedżer aplikacji: zarządza aplikacjami mobilnymi i zarządzanymi, może odczytywać informacje o urządzeniu i wyświetlać profile konfiguracji urządzeń.
- Endpoint Privilege Manager: zarządza zasadami zarządzania uprawnieniami punktu końcowego w konsoli Intune.
- Czytelnik uprawnień punktu końcowego: czytelnicy uprawnień punktu końcowego mogą wyświetlać zasady zarządzania uprawnieniami punktu końcowego w konsoli Intune.
- Endpoint Security Manager: zarządza funkcjami zabezpieczeń i zgodności, takimi jak punkty odniesienia zabezpieczeń, zgodność urządzeń, dostęp warunkowy i Ochrona punktu końcowego w usłudze Microsoft Defender.
- Operator pomocy technicznej: wykonuje zadania zdalne na użytkownikach i urządzeniach oraz może przypisywać aplikacje lub zasady do użytkowników lub urządzeń.
- Intune Administrator ról: zarządza niestandardowymi rolami Intune i dodaje przypisania dla wbudowanych ról Intune. Jest to jedyna rola Intune, która może przypisywać uprawnienia administratorom.
- Menedżer zasad i profilów: zarządza zasadami zgodności, profilami konfiguracji, rejestracją firmy Apple, identyfikatorami urządzeń firmowych i punktami odniesienia zabezpieczeń.
- Menedżer komunikatów organizacyjnych: zarządza komunikatami organizacyjnymi w konsoli Intune.
- Operator tylko do odczytu: wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w Intune.
- Administrator szkoły: zarządza urządzeniami Windows 10 w Intune for Education.
- Administrator komputera w chmurze: administrator komputera w chmurze ma dostęp do odczytu i zapisu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze Komputera w chmurze.
- Czytelnik komputera w chmurze: czytnik komputerów w chmurze ma dostęp do odczytu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
Role niestandardowe
Możesz tworzyć własne role z uprawnieniami niestandardowymi. Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Tworzenie roli niestandardowej.
Microsoft Entra ról z dostępem Intune
Firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień, przypisując administratorowi tylko minimalne wymagane uprawnienia do wykonywania swoich obowiązków. Administrator globalny i administrator usługi Intune to role uprzywilejowane, a przypisanie powinno być ograniczone.
| rola Microsoft Entra | Wszystkie dane Intune | Intune danych inspekcji |
|---|---|---|
| Administrator globalny | Odczyt/zapis | Odczyt/zapis |
| Administrator usługi Intune | Odczyt/zapis | Odczyt/zapis |
| Administrator dostępu warunkowego | Brak | Brak |
| Administrator zabezpieczeń | Tylko do odczytu (pełne uprawnienia administracyjne dla węzła Zabezpieczenia punktu końcowego) | Tylko do odczytu |
| Operator zabezpieczeń | Tylko do odczytu | Tylko do odczytu |
| Czytelnik zabezpieczeń | Tylko do odczytu | Tylko do odczytu |
| Administrator zgodności | Brak | Tylko do odczytu |
| Administrator danych zgodności | Brak | Tylko do odczytu |
| Czytelnik globalny (ta rola jest równoważna roli operatora pomocy technicznej Intune) | Tylko do odczytu | Tylko do odczytu |
| Administrator pomocy technicznej (ta rola jest równoważna roli operatora pomocy technicznej Intune) | Tylko do odczytu | Tylko do odczytu |
| Czytelnik raportów | Brak | Tylko do odczytu |
Porada
Intune pokazuje również trzy rozszerzenia Microsoft Entra: Użytkownicy, Grupy i dostęp warunkowy, które są kontrolowane przy użyciu Microsoft Entra RBAC. Ponadto administrator konta użytkownika wykonuje tylko Microsoft Entra działań użytkownika/grupy i nie ma pełnych uprawnień do wykonywania wszystkich działań w Intune. Aby uzyskać więcej informacji, zobacz RBAC with Tożsamość Microsoft Entra (Kontrola dostępu oparta na rolach z Tożsamość Microsoft Entra).
Privileged Identity Management dla Intune
Intune obsługuje dwie metody podniesienia uprawnień roli. Istnieją różnice między wydajnością i najniższymi uprawnieniami między tymi dwiema metodami.
Metoda 1. Utwórz zasady just in time (JIT) z Microsoft Entra Privileged Identity Management (PIM) dla wbudowanej roli administratora Microsoft Entra Intune i przypisz je do konta administratora.
Metoda 2. Wykorzystanie Privileged Identity Management (PIM) do Grupy z przypisaniem roli RBAC Intune. Aby uzyskać więcej informacji na temat korzystania z usługi PIM dla Grupy z rolami rbac Intune, zobacz: Konfigurowanie dostępu administratora just in time Microsoft Intune przy użyciu usługi PIM Microsoft Entra dla Grupy | Microsoft Community Hub
W przypadku używania podniesienia poziomu usługi PIM dla Tożsamość Microsoft Entra wbudowanej roli administratora Intune podniesienie uprawnień zwykle odbywa się w ciągu 10 sekund. Zastosowanie podniesienia poziomu Grupy opartego na usłudze PIM dla ról niestandardowych Intune może potrwać do 15 minut.
Przypisania ról
Przypisanie roli definiuje:
- którzy użytkownicy są przypisani do roli
- jakie zasoby mogą zobaczyć
- jakie zasoby mogą ulec zmianie.
Możesz przypisać zarówno role niestandardowe, jak i wbudowane do użytkowników, którzy są administratorami w Intune. Aby mieć przypisaną rolę Intune, użytkownik musi mieć licencję Intune. Aby wyświetlić przypisanie roli, wybierz pozycję Intune>Dostępnerole> administracyjne >Wszystkie role> wybierz przypisanie roli >Przypisania>. Na stronie Właściwości można edytować następujące elementy:
- Podstawy: nazwa i opis przypisań.
- Członkowie: Wszyscy użytkownicy w wymienionych grupach zabezpieczeń platformy Azure mają uprawnienia do zarządzania użytkownikami/urządzeniami wymienionymi w obszarze Zakres (Grupy).
- Zakres (Grupy): Grupy zakresu są Microsoft Entra grup zabezpieczeń użytkowników lub urządzeń lub dla których administratorzy w tym przypisaniu roli są ograniczeni do wykonywania operacji. Na przykład wdrożenie zasad lub aplikacji dla użytkownika lub zdalne zablokowanie urządzenia. Wszyscy użytkownicy i urządzenia w tych grupach zabezpieczeń Microsoft Entra mogą być zarządzane przez użytkowników w obszarze Członkowie.
- Tagi zakresu: użytkownicy w członkach mogą zobaczyć zasoby, które mają te same tagi zakresu.
Uwaga
Tagi zakresu to dowolnie sformułowane wartości tekstowe definiowane przez administratora, a następnie dodaje je do przypisania roli. Tag zakresu dodany do roli kontroluje widoczność samej roli, natomiast tag zakresu dodany w przypisaniu roli ogranicza widoczność obiektów Intune (takich jak zasady i aplikacje) lub urządzeń tylko administratorom w tym przypisaniu roli, ponieważ przypisanie roli zawiera co najmniej jeden pasujący tag zakresu.
Wiele przypisań ról
Jeśli użytkownik ma wiele przypisań ról, uprawnień i tagów zakresu, te przypisania ról rozciągają się na różne obiekty w następujący sposób:
- Uprawnienia są przyrostowe w przypadku, gdy co najmniej dwie role udzielają uprawnień do tego samego obiektu. Użytkownik z uprawnieniami odczytu z jednej roli i odczytu/zapisu z innej roli, na przykład, ma obowiązujące uprawnienia odczytu/zapisu (przy założeniu, że przypisania dla obu ról są przeznaczone dla tych samych tagów zakresu).
- Przypisywanie uprawnień i tagów zakresu dotyczy tylko obiektów (takich jak zasady lub aplikacje) w zakresie przypisania tej roli (Grupy). Przypisywanie uprawnień i tagów zakresu nie ma zastosowania do obiektów w innych przypisań ról, chyba że inne przypisanie specjalnie je przyzna.
- Inne uprawnienia (takie jak Tworzenie, Odczyt, Aktualizacja, Usuwanie) i tagi zakresu mają zastosowanie do wszystkich obiektów tego samego typu (takich jak wszystkie zasady lub wszystkie aplikacje) w dowolnym przypisaniu użytkownika.
- Uprawnienia i tagi zakresu dla obiektów różnych typów (takich jak zasady lub aplikacje) nie mają zastosowania do siebie nawzajem. Na przykład uprawnienie do odczytu dla zasad nie zapewnia uprawnień do odczytu dla aplikacji w przypisaniach użytkownika.
- Jeśli nie ma żadnych tagów zakresu lub niektóre tagi zakresu są przypisane z różnych przypisań, użytkownik może zobaczyć tylko urządzenia, które są częścią niektórych tagów zakresu i nie widzą wszystkich urządzeń.