Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpieczanie dostępu do organizacji jest istotnym krokiem zabezpieczeń. W tym artykule przedstawiono podstawowe informacje dotyczące korzystania z kontroli dostępu opartej na rolach (RBAC) usługi Microsoft Intune, które są rozszerzeniem kontrolek RBAC Microsoft Entra identyfikatora. Kolejne artykuły mogą ułatwić wdrożenie kontroli dostępu opartej na rolach usługi Intune w organizacji.
Dzięki kontroli dostępu opartej na rolach usługi Intune możesz przyznać administratorom szczegółowe uprawnienia do kontrolowania, kto ma dostęp do zasobów organizacji i co mogą zrobić z tymi zasobami. Po przypisaniu ról RBAC usługi Intune i przestrzeganiu zasad najmniejszego dostępu do uprawnień administratorzy mogą wykonywać przydzielone im zadania tylko na tych użytkownikach i urządzeniach, których powinni mieć uprawnienia do zarządzania.
Role RBAC
Każda rola RBAC usługi Intune określa zestaw uprawnień, które są dostępne dla użytkowników przypisanych do tej roli. Uprawnienia składają się z co najmniej jednej kategorii zarządzania, takiej jak konfiguracja urządzenia lub dane inspekcji, oraz zestawy akcji, które można wykonać, takie jak odczyt, zapis, aktualizacja i usuwanie. Razem definiują zakres dostępu administracyjnego i uprawnień w usłudze Intune.
Usługa Intune obejmuje zarówno role wbudowane, jak i niestandardowe. Role wbudowane są takie same we wszystkich dzierżawach i są udostępniane w celu rozwiązywania typowych scenariuszy administracyjnych, podczas gdy utworzone role niestandardowe zezwalają na określone uprawnienia zgodnie z potrzebami administratora. Ponadto kilka ról Microsoft Entra obejmuje uprawnienia w usłudze Intune.
Aby wyświetlić rolę w centrum administracyjnym usługi Intune, przejdź do pozycjiRole> administracyjne >dzierżawyWszystkie role> i wybierz rolę. Następnie możesz zarządzać tą rolą za pośrednictwem następujących stron:
- Właściwości: nazwa, opis, uprawnienia i tagi zakresu dla roli. W tej dokumentacji można również wyświetlić nazwę, opis i uprawnienia wbudowanych ról w obszarze Wbudowane uprawnienia roli.
- Przypisania: wybierz przypisanie dla roli, aby wyświetlić szczegółowe informacje na jej temat, w tym grupy i zakresy, które obejmuje przypisanie. Rola może mieć wiele przypisań, a użytkownik może otrzymać wiele przypisań.
Uwaga
W czerwcu 2021 r. usługa Intune zaczęła obsługiwać nielicencjonowanych administratorów. Konta użytkowników utworzone po tej zmianie mogą administrować usługą Intune bez przypisanej licencji. Konta utworzone przed tą zmianą i konta administratorów w zagnieżdżonej grupie zabezpieczeń przypisanej do roli nadal wymagają licencji na zarządzanie usługą Intune.
Role wbudowane
Administrator usługi Intune z wystarczającymi uprawnieniami może przypisać dowolną z ról usługi Intune do grup użytkowników. Role wbudowane udzielają określonych uprawnień niezbędnych do wykonywania zadań administracyjnych zgodnych z przeznaczeniem roli. Usługa Intune nie obsługuje edycji opisu, typu ani uprawnień wbudowanej roli.
- Menedżer aplikacji: zarządza aplikacjami mobilnymi i zarządzanymi, może odczytywać informacje o urządzeniu i wyświetlać profile konfiguracji urządzeń.
- Endpoint Privilege Manager: zarządza zasadami Zarządzanie Uprawnieniami Punktów Końcowych w konsoli usługi Intune.
- Czytelnik uprawnień punktu końcowego: czytelnicy uprawnień punktu końcowego mogą wyświetlać zasady Zarządzanie Uprawnieniami Punktów Końcowych w konsoli usługi Intune.
- Endpoint Security Manager: zarządza funkcjami zabezpieczeń i zgodności, takimi jak punkty odniesienia zabezpieczeń, zgodność urządzeń, dostęp warunkowy i Ochrona punktu końcowego w usłudze Microsoft Defender.
- Operator pomocy technicznej: wykonuje zadania zdalne na użytkownikach i urządzeniach oraz może przypisywać aplikacje lub zasady do użytkowników lub urządzeń.
- Administrator ról usługi Intune: zarządza niestandardowymi rolami usługi Intune i dodaje przypisania dla wbudowanych ról usługi Intune. Jest to jedyna rola usługi Intune, która może przypisywać uprawnienia administratorom.
- Menedżer zasad i profilów: zarządza zasadami zgodności, profilami konfiguracji, rejestracją firmy Apple, identyfikatorami urządzeń firmowych i punktami odniesienia zabezpieczeń.
- Operator tylko do odczytu: wyświetla informacje o użytkowniku, urządzeniu, rejestracji, konfiguracji i aplikacji. Nie można wprowadzić zmian w usłudze Intune.
- Administrator szkoły: Administratorzy szkoły zarządzają aplikacjami, ustawieniami i urządzeniami dla swoich grup w usłudze Intune for Education. Mogą oni wykonywać zdalne akcje na urządzeniach, w tym zdalnie je blokować, ponownie uruchamiać i wycofywać z zarządzania.
Gdy dzierżawa zawiera subskrypcję Windows 365 do obsługi komputerów w chmurze, w centrum administracyjnym usługi Intune zostaną również wyświetlone następujące role komputerów w chmurze. Te role nie są domyślnie dostępne i obejmują uprawnienia w usłudze Intune do zadań związanych z komputerami w chmurze. Aby uzyskać więcej informacji na temat tych ról, zobacz Role wbudowane w usłudze Cloud PC w dokumentacji Windows 365.
- Administrator komputera w chmurze: administrator komputera w chmurze ma dostęp do odczytu i zapisu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
- Czytelnik komputerów w chmurze: czytnik komputerów w chmurze ma dostęp do odczytu do wszystkich funkcji komputera w chmurze znajdujących się w obszarze komputera w chmurze.
Role niestandardowe
Możesz utworzyć własne niestandardowe role usługi Intune, aby przyznać administratorom tylko określone uprawnienia wymagane do wykonywania zadań. Te role niestandardowe mogą obejmować dowolne uprawnienie RBAC usługi Intune, co pozwala na dopracowany dostęp administratora i obsługę zasady dostępu o najniższych uprawnieniach w organizacji.
Zobacz Tworzenie roli niestandardowej.
Microsoft Entra ról z dostępem do usługi Intune
Uprawnienia kontroli dostępu opartej na rolach w usłudze Intune są podzbiorem Microsoft Entra uprawnień RBAC. W ramach podzestawu istnieją pewne role Microsoft Entra, które obejmują uprawnienia w usłudze Intune. Większość ról Tożsamość Entra, które mają dostęp do usługi Intune, jest traktowana jako role uprzywilejowane. Użycie i przypisanie ról uprzywilejowanych powinno być ograniczone i nie powinno być używane do codziennych zadań administracyjnych w usłudze Intune.
Firma Microsoft zaleca stosowanie zasady najmniejszych uprawnień, przypisując administratorowi tylko minimalne wymagane uprawnienia do wykonywania swoich obowiązków. Aby obsługiwać tę zasadę, użyj wbudowanych ról RBAC usługi Intune do codziennych zadań administracyjnych usługi Intune i unikaj używania ról Microsoft Entra, które mają dostęp do usługi Intune.
W poniższej tabeli zidentyfikowano role Microsoft Entra, które mają dostęp do usługi Intune, oraz dołączono do nich uprawnienia usługi Intune.
| rola Microsoft Entra | Wszystkie dane usługi Intune | Dane inspekcji usługi Intune |
|---|---|---|
 globalnego |
Odczyt/zapis | Odczyt/zapis |
|
administratora usługi Intune |
Odczyt/zapis | Odczyt/zapis |
|
dostępu warunkowego |
Brak | Brak |
|
zabezpieczeń |
Tylko do odczytu (pełne uprawnienia administracyjne dla węzła Zabezpieczenia punktu końcowego) | Tylko do odczytu |
|
operatora zabezpieczeń |
Tylko do odczytu | Tylko do odczytu |
|
zabezpieczeń |
Tylko do odczytu | Tylko do odczytu |
| Administrator zgodności | Brak | Tylko do odczytu |
| Administrator danych zgodności | Brak | Tylko do odczytu |
|
(ta rola jest równoważna roli Operatora pomocy technicznej usługi Intune) |
Tylko do odczytu | Tylko do odczytu |
|
administratora pomocy technicznej (ta rola jest równoważna roli Operatora pomocy technicznej usługi Intune) |
Tylko do odczytu | Tylko do odczytu |
| Czytelnik raportów | Brak | Tylko do odczytu |
Oprócz ról Microsoft Entra z uprawnieniami w usłudze Intune następujące trzy obszary usługi Intune to bezpośrednie rozszerzenia Microsoft Entra: Użytkownicy, grupy i dostęp warunkowy. Wystąpienia tych obiektów i konfiguracji z poziomu usługi Intune istnieją w Microsoft Entra. W miarę Microsoft Entra obiektów mogą być one zarządzane przez administratorów Microsoft Entra z wystarczającymi uprawnieniami udzielonymi przez rolę Microsoft Entra. Podobnie administratorzy usługi Intune z wystarczającymi uprawnieniami dla usługi Intune mogą wyświetlać te typy obiektów utworzone w Microsoft Entra i zarządzać nimi.
Role administratora globalnego i administratora usługi Intune
Rola administratora globalnego jest wbudowaną rolą w Microsoft Entra i ma pełny dostęp do usługi Microsoft Intune. Administratorzy globalni mają dostęp do funkcji administracyjnych w usłudze Microsoft Entra ID oraz usług korzystających z tożsamości Microsoft Entra, w tym usługi Microsoft Intune.
Aby zmniejszyć ryzyko:
Nie używaj roli administratora globalnego w usłudze Intune. Firma Microsoft nie zaleca używania roli administratora globalnego do administrowania usługą Intune ani zarządzania nią.
W usłudze Intune istnieją pewne funkcje, które wymagają roli administratora globalnego, takie jak niektóre łączniki usługi Mobile Threat Defense (MTD). W takich przypadkach użyj roli administratora globalnego tylko w razie potrzeby, a następnie usuń ją po zakończeniu zadania.
Użyj wbudowanych ról usługi Intune lub utwórz role niestandardowe do administrowania usługą Intune i zarządzania nią.
Przypisz najmniej uprzywilejowaną rolę usługi Intune niezbędną do wykonywania zadań przez administratora.
Aby dowiedzieć się więcej na temat roli administratora globalnego Microsoft Entra, zobacz Microsoft Entra role wbudowane — administrator globalny.
Rola administratora usługi Intune jest wbudowaną rolą w Microsoft Entra i jest również znana jako rola administratora usługi Intune. Ma ograniczony zakres uprawnień do administrowania usługą Intune i zarządzania nimi oraz zarządzania powiązanymi funkcjami, takimi jak zarządzanie użytkownikami i grupami. Ta rola jest odpowiednia dla administratorów, którzy muszą administrować tylko usługą Intune.
Aby zmniejszyć ryzyko:
- Przypisz rolę administratora usługi Intune tylko w razie potrzeby. Jeśli istnieje wbudowana rola usługi Intune , która spełnia potrzeby administratora, przypisz tę rolę zamiast roli administratora usługi Intune. Zawsze przypisz najmniej uprzywilejowaną rolę usługi Intune niezbędną do wykonywania zadań przez administratora.
- Tworzenie ról niestandardowych w celu dalszego ograniczenia zakresu uprawnień dla administratorów.
Rozszerzone mechanizmy kontroli zabezpieczeń:
Zatwierdzanie wielu Administracja obsługuje teraz kontrolę dostępu opartą na rolach. Gdy to ustawienie jest włączone, drugi administrator musi zatwierdzić zmiany ról. Te zmiany mogą obejmować aktualizacje uprawnień ról, grup administratorów lub przypisań grup członkowskich. Zmiana wchodzi w życie dopiero po zatwierdzeniu. Ten proces podwójnej autoryzacji pomaga chronić organizację przed nieautoryzowanymi lub przypadkowymi zmianami kontroli dostępu na podstawie ról. Aby uzyskać więcej informacji, zobacz Use Multi Administracja Approval in Intune (Używanie zatwierdzania wielu Administracja w usłudze Intune).
Aby dowiedzieć się więcej na temat roli administratora usługi Intune Microsoft Entra, zobacz Microsoft Entra role wbudowane — Administrator usługi Intune.
Privileged Identity Management dla usługi Intune
Jeśli używasz Tożsamość Entra Privileged Identity Management (PIM), możesz zarządzać tym, kiedy użytkownik może korzystać z uprawnień udostępnianych przez rolę RBAC usługi Intune lub rolę administratora usługi Intune z Tożsamość Entra.
Usługa Intune obsługuje dwie metody podniesienia uprawnień roli. Istnieją różnice między wydajnością i najniższymi uprawnieniami między tymi dwiema metodami.
Metoda 1. Utwórz zasady just in time (JIT) z Microsoft Entra Privileged Identity Management (PIM) dla Microsoft Entra wbudowanej roli administratora usługi Intune i przypisz je do konta administratora.
Metoda 2. Wykorzystanie Privileged Identity Management (PIM) dla grup z przypisaniem roli RBAC usługi Intune. Aby uzyskać więcej informacji na temat korzystania z usługi PIM dla grup z rolami RBAC usługi Intune, zobacz: Konfigurowanie dostępu administratora just in time w usłudze Microsoft Intune przy użyciu usługi MICROSOFT ENTRA PIM dla grup | Microsoft Community Hub
Jeśli używasz podniesienia poziomu usługi PIM dla roli administratora usługi Intune z Tożsamość Entra, podniesienie uprawnień zwykle odbywa się w ciągu 10 sekund. Podniesienie uprawnień na podstawie grup USŁUGI PIM dla wbudowanych lub niestandardowych ról usługi Intune zwykle trwa do 15 minut.
Informacje o przypisaniach ról usługi Intune
Zarówno role niestandardowe, jak i wbudowane usługi Intune są przypisywane do grup użytkowników. Przypisana rola ma zastosowanie do każdego użytkownika w grupie i definiuje:
- którzy użytkownicy są przypisani do roli
- jakie zasoby mogą zobaczyć
- jakie zasoby mogą ulec zmianie.
Każda grupa, której przypisano rolę usługi Intune, powinna obejmować tylko użytkowników uprawnionych do wykonywania zadań administracyjnych dla tej roli.
- Jeśli rola wbudowana o najniższym poziomie uprawnień przyznaje nadmierne uprawnienia lub uprawnienia, rozważ użycie roli niestandardowej w celu ograniczenia zakresu dostępu administracyjnego.
- Podczas planowania przypisań ról należy wziąć pod uwagę wyniki użytkownika z wieloma przypisaniami ról.
Aby użytkownik miał przypisaną rolę usługi Intune i miał dostęp do administrowania usługą Intune, nie wymaga licencji usługi Intune , jeśli jego konto zostało utworzone w usłudze Entra po czerwcu 2021 r. Konta utworzone przed czerwcem 2021 r. wymagają przypisania licencji do korzystania z usługi Intune.
Aby wyświetlić istniejące przypisanie roli, wybierz pozycję Intune>Administracja dzierżawą>Role>Wszystkie role> wybierz przypisanie roli >Przypisania> . Na stronie Właściwości przypisań można edytować następujące elementy:
Podstawy: nazwa i opis przypisań.
Członkowie: Członkowie to grupy skonfigurowane na stronie grupy Administracja podczas tworzenia przypisania roli. Wszyscy użytkownicy w wymienionych grupach zabezpieczeń platformy Azure mają uprawnienia do zarządzania użytkownikami i urządzeniami wymienionymi w obszarze Zakres (grupy).
Zakres (grupy): użyj zakresu (grup), aby zdefiniować grupy użytkowników i urządzeń, które może zarządzać administrator z tym przypisaniem roli. Użytkownicy administracyjni z tym przypisaniem roli mogą używać uprawnień przyznanych przez rolę do zarządzania każdym użytkownikiem lub urządzeniem w ramach zdefiniowanych grup zakresów przypisań ról.
Porada
Podczas konfigurowania grupy zakresu ogranicz dostęp, wybierając tylko grupy zabezpieczeń, które obejmują użytkownika i urządzenia, które powinien zarządzać administrator z tym przypisaniem roli. Aby upewnić się, że administratorzy z tą rolą nie mogą kierować do wszystkich użytkowników ani wszystkich urządzeń, nie wybieraj pozycji Dodaj wszystkich użytkowników ani Dodaj wszystkie urządzenia.
Jeśli określisz grupę wykluczania dla przypisania, takiego jak przypisanie zasad lub aplikacji, musi ona być zagnieżdżona w jednej z grup zakresów przypisania RBAC lub musi być oddzielnie wymieniona jako grupa zakresu w przypisaniu roli RBAC.
Tagi zakresu: Użytkownicy administracyjni, do których przypisano to przypisanie roli, mogą zobaczyć zasoby, które mają te same tagi zakresu.
Uwaga
Tagi zakresu to dowolnie sformułowane wartości tekstowe definiowane przez administratora, a następnie dodaje je do przypisania roli. Tag zakresu dodany do roli kontroluje widoczność samej roli. Tag zakresu dodany w przypisaniu roli ogranicza widoczność obiektów usługi Intune, takich jak zasady, aplikacje lub urządzenia, tylko dla administratorów w tym przypisaniu roli, ponieważ przypisanie roli zawiera co najmniej jeden pasujący tag zakresu.
Wiele przypisań ról
Jeśli użytkownik ma wiele przypisań ról, uprawnień i tagów zakresu, te przypisania ról rozciągają się na różne obiekty w następujący sposób:
- Uprawnienia są przyrostowe w przypadku, gdy co najmniej dwie role udzielają uprawnień do tego samego obiektu. Użytkownik z uprawnieniami odczytu z jednej roli i odczytu/zapisu z innej roli, na przykład, ma obowiązujące uprawnienia odczytu/zapisu (przy założeniu, że przypisania dla obu ról są przeznaczone dla tych samych tagów zakresu).
- Przypisywanie uprawnień i tagów zakresu ma zastosowanie tylko do obiektów (takich jak zasady lub aplikacje) w zakresie przypisania tej roli (grupy). Przypisywanie uprawnień i tagów zakresu nie ma zastosowania do obiektów w innych przypisań ról, chyba że inne przypisanie specjalnie je przyzna.
- Inne uprawnienia (takie jak Tworzenie, Odczyt, Aktualizacja, Usuwanie) i tagi zakresu mają zastosowanie do wszystkich obiektów tego samego typu (takich jak wszystkie zasady lub wszystkie aplikacje) w dowolnym przypisaniu użytkownika.
- Uprawnienia i tagi zakresu dla obiektów różnych typów (takich jak zasady lub aplikacje) nie mają zastosowania do siebie nawzajem. Na przykład uprawnienie do odczytu dla zasad nie zapewnia uprawnień do odczytu dla aplikacji w przypisaniach użytkownika.
- Jeśli nie ma żadnych tagów zakresu lub niektóre tagi zakresu są przypisane z różnych przypisań, użytkownik może zobaczyć tylko urządzenia, które są częścią niektórych tagów zakresu i nie widzą wszystkich urządzeń.
Monitorowanie przypisań RBAC
To i trzy podsekcje są w toku
W centrum administracyjnym usługi Intune możesz przejść do obszaruRoleadministratora> dzierżawy i rozwinąć pozycję Monitor, aby znaleźć kilka widoków, które mogą pomóc w zidentyfikowaniu uprawnień, które mają różni użytkownicy w dzierżawie usługi Intune. Na przykład w złożonym środowisku administracyjnym można użyć widoku uprawnień Administracja, aby określić konto, aby zobaczyć jego bieżący zakres uprawnień administracyjnych.
Moje uprawnienia
Po wybraniu tego węzła zostanie wyświetlona połączona lista bieżących kategorii rbac usługi Intune i uprawnień przyznanych kontu. Ta połączona lista zawiera wszystkie uprawnienia ze wszystkich przypisań ról, ale nie do których przypisań ról je udostępniają lub przez które członkostwo w grupie są przypisane.
Role według uprawnień
W tym widoku można wyświetlić szczegółowe informacje o określonej kategorii i uprawnieniach RBAC usługi Intune oraz o tym, za pomocą których przypisań ról i do których grup ta kombinacja jest udostępniana.
Aby rozpocząć, wybierz kategorię uprawnień usługi Intune, a następnie określone uprawnienie z tej kategorii. Następnie centrum administracyjne wyświetla listę wystąpień, które prowadzą do przypisania tego uprawnienia, która obejmuje:
- Nazwa wyświetlana roli — nazwa wbudowanej lub niestandardowej roli RBAC, która udziela uprawnień.
- Nazwa wyświetlana przypisania roli — nazwa przypisania roli, która przypisuje rolę do grup użytkowników.
- Nazwa grupy — nazwa grupy, która otrzymuje to przypisanie roli.
uprawnienia Administracja
Użyj węzła uprawnień Administracja, aby zidentyfikować określone uprawnienia, którym obecnie udzielono konta.
Zacznij od określenia konta użytkownika . Tak długo, jak użytkownik ma uprawnienia usługi Intune przypisane do swojego konta, usługa Intune wyświetla pełną listę tych uprawnień zidentyfikowanych przez kategorię i uprawnienia.
