Řízení přístupu na základě role (RBAC) s Microsoft Intune
Řízení přístupu na základě role (RBAC) pomáhá spravovat, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky může dělat. Přiřazením rolí uživatelům Intune můžete omezit, co můžou zobrazit a změnit. Každá role má sadu oprávnění, která určují, ke kterým uživatelům s danou rolí může v organizaci přistupovat a měnit je.
Pokud chcete vytvářet, upravovat nebo přiřazovat role, váš účet musí mít v Microsoft Entra ID jedno z následujících oprávnění:
- Globální správce
- správce služby Intune (označovaný také jako správce Intune)
Role
Role definuje sadu oprávnění udělených uživatelům přiřazeným k této roli. Můžete použít předdefinované i vlastní role. Předdefinované role pokrývají některé běžné Intune scénáře. Můžete vytvořit vlastní role s přesnou sadou potřebných oprávnění. Několik Microsoft Entra rolí má oprávnění k Intune. Pokud chcete zobrazit roli v Centru pro správu Intune, přejděte do části Správa>tenanta Role>Všechny role> zvolit roli. Roli můžete spravovat na následujících stránkách:
- Vlastnosti: Název, popis, oprávnění a značky oboru pro roli.
- Přiřazení: Seznam přiřazení rolí definujících , kteří uživatelé mají přístup ke kterým uživatelům nebo zařízením. Role může mít více přiřazení a uživatel může být ve více přiřazeních.
Poznámka
Abyste mohli spravovat Intune musíte mít přiřazenou Intune licenci. Alternativně můžete povolit správu Intune nelicencovaným uživatelům nastavením možnosti Povolit přístup nelicencovaným správcům na Ano.
Předdefinované role
Předdefinované role můžete skupinám přiřazovat bez další konfigurace. Nemůžete odstranit ani upravit název, popis, typ nebo oprávnění předdefinované role.
- Správce aplikací: Spravuje mobilní a spravované aplikace, může číst informace o zařízení a zobrazit konfigurační profily zařízení.
- Endpoint Privilege Manager: Spravuje zásady správy oprávnění koncového bodu v konzole Intune.
- Čtenář oprávnění koncového bodu: Čtenáři oprávnění koncových bodů můžou zobrazit zásady správy oprávnění koncových bodů v konzole Intune.
- Endpoint Security Manager: Spravuje funkce zabezpečení a dodržování předpisů, jako jsou standardní hodnoty zabezpečení, dodržování předpisů zařízením, podmíněný přístup a Microsoft Defender for Endpoint.
- Operátor helpdesku: Provádí vzdálené úlohy na uživatelích a zařízeních a může uživatelům nebo zařízením přiřazovat aplikace nebo zásady.
- správce Intune rolí: Spravuje vlastní role Intune a přidává přiřazení pro předdefinované Intune role. Je to jediná role Intune, která může přiřazovat oprávnění správcům.
- Správce zásad a profilů: Spravuje zásady dodržování předpisů, konfigurační profily, registraci Apple, identifikátory podnikových zařízení a standardní hodnoty zabezpečení.
- Správce organizačních zpráv: Spravuje zprávy organizace v konzole Intune.
- Operátor jen pro čtení: Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. Nelze provádět změny Intune.
- Správce školy: Spravuje Windows 10 zařízení v Intune for Education.
- Správce cloudových počítačů: Správce cloudového počítače má přístup ke čtení a zápisu ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
- Cloud PC Reader: Cloud PC Reader má přístup ke čtení ke všem funkcím cloudových počítačů umístěným v oblasti Cloud PC.
Vlastní role
Můžete vytvořit vlastní role s vlastními oprávněními. Další informace o vlastních rolích najdete v tématu Vytvoření vlastní role.
Microsoft Entra rolí s Intune přístupem
| Microsoft Entra role | Všechna data Intune | Intune dat auditu |
|---|---|---|
| Globální správce | Pro čtení i zápis | Pro čtení i zápis |
| Správce služeb Intune | Pro čtení i zápis | Pro čtení i zápis |
| Správce podmíněného přístupu | Žádné | Žádné |
| Správce zabezpečení | Jen pro čtení (úplná oprávnění správce pro uzel Endpoint Security) | Jen pro čtení |
| Operátor zabezpečení | Jen pro čtení | Jen pro čtení |
| Čtenář zabezpečení | Jen pro čtení | Jen pro čtení |
| Správce dodržování předpisů | Žádné | Jen pro čtení |
| Správce dat dodržování předpisů | Žádné | Jen pro čtení |
| Globální čtenář (tato role je ekvivalentní roli operátora helpdesku Intune) | Jen pro čtení | Jen pro čtení |
| Správce helpdesku (Tato role je ekvivalentní roli operátora Intune helpdesku) | Jen pro čtení | Jen pro čtení |
| Čtenář sestav | Žádné | Jen pro čtení |
Tip
Intune také zobrazuje tři rozšíření Microsoft Entra: Uživatelé, Skupiny a Podmíněný přístup, která se řídí pomocí Microsoft Entra RBAC. Kromě toho správce uživatelských účtů provádí pouze Microsoft Entra aktivity uživatelů nebo skupin a nemá úplná oprávnění k provádění všech aktivit v Intune. Další informace najdete v tématu RBAC s Microsoft Entra ID.
Přiřazení rolí
Přiřazení role definuje:
- kteří uživatelé jsou přiřazeni k roli
- jaké prostředky vidí
- jaké prostředky můžou změnit.
Uživatelům můžete přiřadit vlastní i předdefinované role. Aby měl uživatel přiřazenou Intune roli, musí mít licenci Intune. Pokud chcete zobrazit přiřazení role, zvolte Intune>Tenant administrace>Role>Všechny role> zvolte roli >Přiřazení> zvolte přiřazení. Na stránce Vlastnosti můžete upravit:
- Základy: Název a popis zadání.
- Členové: Všichni uživatelé v uvedených skupinách zabezpečení Azure mají oprávnění ke správě uživatelů a zařízení uvedených v části Rozsah (Skupiny).
- Obor (skupiny): Skupiny oborů jsou Microsoft Entra skupiny zabezpečení uživatelů nebo zařízení nebo obojí, pro které jsou správci v přiřazení role omezeni na provádění operací. Například nasazení zásady nebo aplikace pro uživatele nebo vzdálené uzamčení zařízení. Všechny uživatele a zařízení v těchto Microsoft Entra skupinách zabezpečení můžou spravovat uživatelé v části Členové.
- Obor (značky):Uživatelé v části Členové můžou zobrazit prostředky, které mají stejné značky oboru.
Poznámka
Značky oboru jsou volné textové hodnoty, které správce definuje a pak přidá do přiřazení role. Značka oboru přidaná k roli řídí viditelnost samotné role, zatímco značka oboru přidaná v přiřazení role omezuje viditelnost Intune objektů (jako jsou zásady a aplikace) nebo zařízení pouze na správce v daném přiřazení role, protože přiřazení role obsahuje jednu nebo více odpovídajících značek oboru.
Více přiřazení rolí
Pokud má uživatel více přiřazení rolí, oprávnění a značek oboru, rozšíří se tato přiřazení rolí na různé objekty následujícím způsobem:
- Oprávnění jsou přírůstková v případě, že dvě nebo více rolí udělují oprávnění ke stejnému objektu. Uživatel s oprávněním ke čtení z jedné role a čtení a zápisu z jiné role má například efektivní oprávnění pro čtení a zápis (za předpokladu, že přiřazení obou rolí cílí na stejné značky oboru).
- Přiřazení oprávnění a značky oboru se vztahují pouze na objekty (jako jsou zásady nebo aplikace) v oboru přiřazení dané role (skupiny). Přiřazení oprávnění a značky oboru se nevztahují na objekty v jiných přiřazeních rolí, pokud je jiné přiřazení výslovně neudělí.
- Další oprávnění (například Vytvořit, Číst, Aktualizovat, Odstranit) a značky oboru se vztahují na všechny objekty stejného typu (například všechny zásady nebo všechny aplikace) v jakémkoli přiřazení uživatele.
- Oprávnění a značky oboru pro objekty různých typů (jako jsou zásady nebo aplikace) se na sebe navzájem nevztahují. Oprávnění ke čtení zásad například neposkytuje oprávnění ke čtení aplikacím v přiřazeních uživatele.
- Pokud neexistují žádné značky oboru nebo jsou některé značky oboru přiřazené z různých přiřazení, uživatel může zobrazit jenom zařízení, která jsou součástí některých značek oboru a nemůžou zobrazit všechna zařízení.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro