Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nalRole-based administration control (RBAC) with Microsoft Intune

Az RBAC lehetővé teszi annak szabályozását, hogy a cégen belül ki hajthat végre különböző Intune-feladatokat, és kikre vonatkozhatnak az adott feladatok.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. A beépített szerepköröket bizonyos gyakori Intune-os helyzetekben használhatja, de saját szerepköröket is létrehozhat.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Egy szerepkört a következők határoznak meg:A role is defined by:

  • Szerepkör-definíció: a szerepkör neve, a szerepkör által kezelt erőforrások és az egyes erőforrásokhoz rendelt engedélyek.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Tagok: Az engedélyekkel rendelkező felhasználói csoportok.Members: The user groups that are granted the permissions.
  • Hatókör: Azon felhasználói vagy eszközcsoportok, amelyeket a tagok kezelhetnek.Scope: The user or device groups that the members can manage.
  • Feladat: A definíció, a tagok és a hatókör konfigurálása után feladat rendelhető a szerepkörköz.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Példa az Intune-beli RBAC felépítésére

Az új Azure Portaltól kezdődően az Azure Active Directory (Azure AD) két, Intune-nal használható címtárbeli szerepkört kínál fel.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. Ezek a szerepkörök teljes körű engedélyt biztosítanak minden Intune-beli tevékenységhez:These roles are granted full permission to perform all activities in Intune:

  • Globális rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférnek az Azure AD minden felügyeleti funkciójához, valamint olyan, az Azure AD-val összevont szolgáltatásokhoz is, mint az Exchange Online, a SharePoint Online és a Skype Vállalati online verzió.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. Az a személy lesz globális rendszergazda, aki regisztrált az Azure AD-bérlőre.The person who signs up for the Azure AD tenant becomes a global administrator. Csak a globális rendszergazdák oszthatnak ki további Azure AD-rendszergazdai szerepköröket.Only global administrators can assign other Azure AD administrator roles. A szervezetnek egynél több globális rendszergazdája is lehet.There can be more than one global administrator at your organization. A globális rendszergazdák bármely felhasználó és az összes többi rendszergazda jelszavát is alaphelyzetbe állíthatják.Global admins can reset the password for any user and all other administrators.

  • Intune-beli szolgáltatás-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók az Intune-szolgáltatás megléte esetén globális engedélyt kapnak az Intune-ban.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. A szerepkör emellett, ha nincsenek érvényben az Azure-ban ezt felülíró korlátozások, feljogosít a felhasználók és eszközök felügyeletére, valamint Intune-csoportok létrehozására és felügyeletére.Additionally, other than any superseding Azure restrictions, this role provides the ability to manage users, devices, and create and manage Intune groups.

  • Feltételes hozzáférésű rendszergazda: A felhasználók ezzel a szerepkörrel csak a feltételes hozzáférési szabályzatok megtekintésére, létrehozására és törlésére rendelkeznek jogosultságokkal.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Fontos

    Az Intune-beli szolgáltatás-rendszergazdai szerepkör nem teszi lehetővé az Azure AD feltételes hozzáférési beállításainak felügyeletét.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Tipp

    Az Intune-ban három olyan Azure AD-bővítmény látható (Felhasználók, Csoportok és Feltételes hozzáférés), amelyeket az Azure AD RBAC segítségével szabályozhat.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. A Felhasználóifiók-adminisztrátori szerepkör csak az Azure AD-felhasználói vagy -csoporttevékenységek végrehajtására jogosít fel, és nem biztosít teljes körű engedélyt az összes Intune-beli tevékenységhez.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. További információkért tekintse meg a Szerepköralapú hozzáférés-vezérlés (RBAC) az Azure AD-vel című cikket.Refer to RBAC with Azure AD for more details.

Klasszikus Intune-portálon létrehozott szerepkörökRoles created in the Intune classic portal

Csak a „Teljes körű” engedéllyel rendelkező Intune-beli szolgáltatás-rendszergazdákat migrálja a rendszer a klasszikus Intune-portálról az Azure Portalbeli Intune-ba.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Az Intune-beli szolgáltatás-rendszergazdákat „Csak olvasási" vagy „Ügyfélszolgálat" hozzáféréssel újra hozzá kell rendelni az Azure Portalon található Intune-szerepkörökhöz, és el kell távolítani őket a klasszikus portálról.You need to re-assign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Fontos

Az Intune-beli szolgáltatás-rendszergazdai szerepkör hozzáférését szükség esetén fenn lehet tartani a klasszikus portálon, ha a rendszergazdáknak Windows rendszerű gépek Intune-alapú felügyeletéhez továbbra is hozzá kell férniük ahhoz.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PC’s using with Intune.

Beépített szerepkörökBuilt-in roles

A következő szerepköröket beépített szerepkörként tartalmazza az Intune, és további konfiguráció nélkül rendelhetők hozzá a csoportokhoz:The following roles are built into Intune and you can assign them to groups with no further configuration:

  • Ügyfélszolgálat: Távoli feladatokat hajt végre felhasználókon és eszközökön, valamint alkalmazásokat és szabályzatokat rendelhet hozzájuk.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Szabályzat- és profilkezelő: A megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt és a céges eszközazonosítókat kezeli.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.
  • Csak olvasási jogosultságú operátor: Megtekintheti a felhasználókra, regisztrációra, konfigurációra és alkalmazásokra vonatkozó információkat.Read Only Operator: Views user, device, enrollment, configuration, and application information. Az Intune-ban nem hajthat végre változtatásokat.Cannot make changes to Intune.
  • Alkalmazáskezelő: Kezeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilokat.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune-szerepkörök adminisztrátora: Egyéni Intune-szerepköröket felügyel, és beépített Intune-szerepkörökhöz adhat hozzá hozzárendeléseket.Intune Role Administrator: Manages custom Intune roles and add assignments for built-in Intune roles. Ez az egyetlen olyan Intune-szerepkör, amely engedélyeket tud hozzárendelni rendszergadákhoz.It is the only Intune role that can assign permissions to Administrators.
  • Iskolai rendszergazda: Az Intune for Education Windows 10-eszközeit kezeli, és az alábbi műveleteket hajthatja végre:School Administrator: Manages Windows 10 devices in Intune for Education, and can take the following actions:
EngedélyPermission MűködésOperation
AdatnaplózásAudit Data OlvasásRead
DeviceConfigurationsDeviceConfigurations Hozzárendelés, létrehozás, törlés, olvasás, frissítésAssign, Create, Delete, Read, Update
Eszközregisztráció-kezelőkDevice Enrollment Managers Olvasás, frissítésRead, Update
Kezelt eszközökManaged Devices Olvasás, frissítésRead, Update
MobilalkalmazásokbanMobile apps Hozzárendelés, létrehozás, törlés, olvasás, frissítésAssign, Create, Delete, Read, Update
ReportsReports OlvasásRead
Távoli műveletekRemote Actions Számítógép megtisztítása, újraindítás, távoli zárolás, kivonás, eszközszinkronizálás, törlésClean PC, Reboot, Remote Lock, Retire, Sync Devices, Wipe
SzervezetOrganization OlvasásRead

Beépített szerepkör hozzárendeléseTo assign a built-in role

  1. Jelentkezzen be az Azure Portal webhelyre.Sign into the Azure portal.

  2. Válassza a Minden szolgáltatás > Intune lehetőséget.Choose All services > Intune. Az Intune a Figyelés + felügyelet szakaszban található.Intune is located in the Monitoring + Management section.

  3. Az Intune panelen válassza a Szerepkörök > Minden szerepkör lehetőséget.On the Intune pane, choose Roles > All roles.

  4. Válassza ki a hozzárendelni kívánt szerepkört az Intune-szerepkörök – Minden szerepkör panelen.On the Intune roles - All roles pane, choose the built-in role you want to assign.

  5. A <szerepkör neve> – Áttekintés panelen kattintson a Kezelés, majd a Hozzárendelések elemre.On the <role name> - Overview pane, choose Manage, then Assignments.

    Megjegyzés

    A beépített szerepkörök nem törölhetők és nem szerkeszthetőkYou cannot delete or edit the built-in roles

  6. Kattintson a Hozzárendelés elemre az Egyéni szerepkör panelen.On the custom role pane, choose Assign.

  7. A Szerepkör-hozzárendelések panelen adja meg a hozzárendelés nevét és választható leírását, és válassza ki a következőket:On the Role Assignments pane, enter a Name and optional Description for the assignment, and then choose the following:

    • Tagok – Válasszon ki egy csoportot, amely tartalmazza azt a felhasználót, akinek meg szeretné adni az engedélyeket.Members - Select a group that contains the user you want to give the permissions to.
    • Hatókör – Válassza ki az azon felhasználókat tartalmazó csoportot, akik kezelése a fenti tag számára engedélyezett lesz.Scope - Select a group containing the users who the member above will be allowed to manage.
  8. Amikor elkészült, kattintson az OKgombra.When you are done, click OK. Az új hozzárendelés megjelenik a hozzárendelések listájában.The new assignment is displayed in the list of assignments.

Intune-os RBAC-táblázatIntune RBAC table

Egyéni szerepkörökCustom roles

Egyéni szerepkört is létrehozhat, amely az adott munkakörhöz szükséges összes engedélyt tartalmazza.You can create a custom role that includes any permissions required for a specific job function. Például ha egy IT-részleg alkalmazásokat, szabályzatokat, és konfigurációs profilokat kezel, mindezeket az engedélyeket együtt adhatja meg egy egyéni szerepkör segítségével.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Fontos

A szerepkörök létrehozásához, szerkesztéséhez vagy hozzárendeléséhez a fióknak rendelkeznie kell a következő jogosultságok egyikével az Azure AD-ben:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Globális rendszergazdaGlobal Administrator
  • Intune-beli szolgáltatás-rendszergazdaIntune Service Administrator

Egyéni szerepkör létrehozásaTo create a custom role

  1. Jelentkezzen be az Azure Portalon az Intune-os hitelesítő adataival.Sign into the Azure portal with your Intune credentials.

  2. Válassza a bal oldali menü Minden szolgáltatás pontját, majd írja be a szűrő szövegmezőbe az Intune nevet.Choose All services from the left menu, then type Intune in the text box filter.

  3. Válassza az Intune > Szerepkörök > Minden szerepkör > Egyéni szerepkör hozzáadása lehetőséget.Choose Intune > Roles > All roles > Add custom.

  4. Az Egyéni szerepkör hozzáadása panelen adja meg az új szerepkör nevét és leírását, majd kattintson az Engedélyek elemre.On the Add Custom Role pane, enter a name and description for the new role, then click Permissions.

  5. Az Engedélyek panelen válassza ki az ehhez a szerepkörhöz használni kívánt engedélyeket.On the Permissions pane, choose the permissions you want to use with this role. Az Intune-os RBAC-táblázat segít eldönteni, hogy milyen engedélyeket alkalmazzon.Use the Intune RBAC table to help you decide which permissions you want to apply.

  6. Ha elkészült, válassza az OK elemet.When you are done, choose OK.

  7. Az Egyéni szerepkör hozzáadása panelen kattintson a Létrehozás elemre.On the Add Custom Role pane, click Create. Az új szerepkör megjelenik az Intune-szerepkörök – Minden szerepkör panel listájában.The new role is displayed in the list on the Intune roles - All roles pane.

Egyéni szerepkör hozzárendeléseTo assign a custom role

  1. Válassza ki a hozzárendelni kívánt egyéni szerepkört az Intune-szerepkörök – Minden szerepkör panelen.On the Intune roles - All roles pane, choose the custom role you want to assign.

  2. A <szerepkör neve> – Áttekintés panelen kattintson a Kezelés, majd a Hozzárendelések elemre.On the <role name> - Overview pane, choose Manage, then Assignments. A panelen szerkesztheti és törölheti is a meglévő szerepköröket.On this pane, you can also edit or delete existing roles.

  3. Kattintson a Hozzárendelés elemre az Egyéni szerepkör panelen.On the custom role pane, choose Assign.

  4. A Szerepkör-hozzárendelések panelen adja meg a hozzárendelés nevét és választható leírását, és válassza ki a következőket:On the Role Assignments pane, enter a Name and optional Description for the assignment, and then choose the following:

    • Tagok – Válasszon ki egy csoportot, amely tartalmazza azt a felhasználót, akinek meg szeretné adni az engedélyeket.Members - Select a group that contains the user you want to give the permissions to.
    • Hatókör – Válassza ki az azon felhasználókat tartalmazó csoportot, akik kezelése a fenti tag számára engedélyezett lesz.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Amikor elkészült, kattintson az OKgombra.When you are done, click OK. Az új hozzárendelés megjelenik a hozzárendelések listájában.The new assignment is displayed in the list of assignments.

További lépésekNext steps

Az Intune Ügyfélszolgálat szerepkörének használata a hibaelhárítási portállalUse the Intune Helpdesk operator role with the troubleshooting portal

Lásd még:See also

Szerepkörök hozzárendelése az Azure AD használatávalAssign roles using Azure AD