Szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Intune
A szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelheti, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. A szerepkörök Intune felhasználókhoz való hozzárendelésével korlátozhatja, hogy mit láthatnak és módosíthatnak. Minden szerepkör rendelkezik engedélyekkel, amelyek meghatározzák, hogy az adott szerepkörrel rendelkező felhasználók milyen hozzáféréssel és módosításokkal rendelkezhetnek a szervezeten belül.
Szerepkörök létrehozásához, szerkesztéséhez vagy hozzárendeléséhez a fióknak az alábbi engedélyek egyikével kell rendelkeznie a Microsoft Entra ID:
- Globális rendszergazda
- Intune szolgáltatásadminisztrátor (más néven Intune-rendszergazda)
Szerepkörök
A szerepkör határozza meg az adott szerepkörhöz rendelt felhasználók számára megadott engedélyeket. A beépített és az egyéni szerepköröket is használhatja. A beépített szerepkörök néhány gyakori Intune forgatókönyvet fednek le. Létrehozhat saját egyéni szerepköröket a szükséges engedélyek pontos készletével. Számos Microsoft Entra szerepkör rendelkezik Intune engedéllyel. Ha meg szeretne jeleníteni egy szerepkört a Intune Felügyeleti központban, lépjen a Bérlőfelügyeleti>szerepkörök>Minden szerepkör> szerepkör kiválasztása elemre. A szerepkört a következő oldalakon kezelheti:
- Tulajdonságok: A szerepkör neve, leírása, engedélyei és hatókörcímkéi.
- Hozzárendelések: Szerepkör-hozzárendelések listája, amely meghatározza, hogy mely felhasználók mely felhasználókhoz/eszközökhöz férhetnek hozzá. Egy szerepkör több hozzárendeléssel is rendelkezhet, és egy felhasználó több hozzárendelésben is lehet.
Megjegyzés:
A Intune felügyeletéhez Intune licenccel kell rendelkeznie. Másik lehetőségként engedélyezheti, hogy a licenccel nem rendelkező felhasználók felügyelhessék a Intune, ha a Nem licencelt rendszergazdák hozzáférésének engedélyezése beállítást Igen értékre állítja.
Beépített szerepkörök
A beépített szerepköröket további konfigurálás nélkül is hozzárendelheti a csoportokhoz. Beépített szerepkör nevét, leírását, típusát vagy engedélyeit nem törölheti és nem szerkesztheti.
- Alkalmazáskezelő: Felügyeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilokat.
- Végponti jogosultságkezelő: A végponti jogosultságkezelési szabályzatokat a Intune konzolon kezeli.
- Végpontjogosultság-olvasó: A végpontjogosultság-olvasók megtekinthetik a végpontjogosultság-kezelési szabályzatokat a Intune konzolon.
- Endpoint Security Manager: Kezeli a biztonsági és megfelelőségi funkciókat, például a biztonsági alapkonfigurációkat, az eszközmegfelelőségeket, a feltételes hozzáférést és a Végponthoz készült Microsoft Defender.
- Ügyfélszolgálati operátor: Távoli feladatokat hajt végre a felhasználókon és az eszközökön, és alkalmazásokat vagy szabályzatokat rendelhet felhasználókhoz vagy eszközökhöz.
- Intune szerepkör-rendszergazda: Egyéni Intune szerepköröket kezel, és hozzárendeli a beépített Intune szerepköröket. Ez az egyetlen Intune szerepkör, amely engedélyeket rendelhet a rendszergazdákhoz.
- Szabályzat- és profilkezelő: Felügyeli a megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt, a vállalati eszközazonosítókat és a biztonsági alapkonfigurációkat.
- Szervezeti üzenetek kezelője: A Intune konzolon kezeli a szervezeti üzeneteket.
- Csak olvasható operátor: Megtekinti a felhasználó, az eszköz, a regisztráció, a konfiguráció és az alkalmazás adatait. Nem lehet módosítani a Intune.
- Iskolai rendszergazda: Az Intune for Educationben kezeli Windows 10 eszközöket.
- Felhőalapú pc-rendszergazda: A felhőalapú pc-rendszergazdák olvasási és írási hozzáféréssel rendelkeznek a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
- Felhőalapú PC-olvasó: A felhőalapú PC-olvasó olvasási hozzáféréssel rendelkezik a Felhőalapú PC területen található összes felhőalapú PC-funkcióhoz.
Egyéni szerepkörök
Létrehozhat saját szerepköröket egyéni engedélyekkel. További információ az egyéni szerepkörökről: Egyéni szerepkör létrehozása.
Intune hozzáféréssel rendelkező szerepkörök Microsoft Entra
| Microsoft Entra szerepkör | Minden Intune adat | Intune naplózási adatok |
|---|---|---|
| Globális rendszergazda | Olvasás/írás | Olvasás/írás |
| Intune-szolgáltatásgazda | Olvasás/írás | Olvasás/írás |
| Feltételes hozzáférés rendszergazdája | Egyikre sem. | Egyikre sem. |
| Biztonsági rendszergazda | Írásvédett (végpontbiztonsági csomópont teljes rendszergazdai engedélyei) | Csak olvasható |
| Biztonsági operátor | Csak olvasható | Csak olvasható |
| Biztonsági olvasó | Csak olvasható | Csak olvasható |
| Megfelelőségi rendszergazda | Egyikre sem. | Csak olvasható |
| Megfelelőségi adatadminisztrátor | Egyikre sem. | Csak olvasható |
| Globális olvasó (ez a szerepkör egyenértékű az Intune Ügyfélszolgálati operátor szerepkörével) | Csak olvasható | Csak olvasható |
| Ügyfélszolgálati rendszergazda (ez a szerepkör egyenértékű a Intune Ügyfélszolgálati operátor szerepkörével) | Csak olvasható | Csak olvasható |
| Jelentésolvasó | Egyikre sem. | Csak olvasható |
Tipp
Intune három Microsoft Entra bővítményt is tartalmaz: felhasználókat, csoportokat és feltételes hozzáférést, amelyeket Microsoft Entra RBAC-vel szabályozhat. Emellett a felhasználói fiók rendszergazdája csak Microsoft Entra felhasználói/csoporttevékenységeket hajt végre, és nem rendelkezik teljes körű engedélyekkel az Intune összes tevékenységének elvégzéséhez. További információ: RBAC és Microsoft Entra ID.
Szerepkör-hozzárendelések
A szerepkör-hozzárendelés a következőket határozza meg:
- mely felhasználók vannak hozzárendelve a szerepkörhöz
- milyen erőforrásokat láthatnak
- milyen erőforrásokat módosíthatnak.
Egyéni és beépített szerepköröket is hozzárendelhet a felhasználókhoz. Intune szerepkör hozzárendeléséhez a felhasználónak Intune licenccel kell rendelkeznie. A szerepkör-hozzárendelések megtekintéséhez válassza a Intune>Tenant felügyeleti>szerepkörök>Minden szerepkör> szerepkört kiválaszt egy szerepkört> A hozzárendelések > kiválasztanak egy hozzárendelést. A Tulajdonságok lapon szerkesztheti a következőt:
- Alapvető beállítások: A hozzárendelések neve és leírása.
- Tagok: A felsorolt Azure-biztonsági csoportok összes felhasználója rendelkezik engedéllyel a hatókörben (csoportokban) felsorolt felhasználók/eszközök kezelésére.
- Hatókör (csoportok): A hatókörcsoportok Microsoft Entra felhasználók vagy eszközök biztonsági csoportjai, vagy mindkettő, amelyek esetében a szerepkör-hozzárendelésben szereplő rendszergazdák csak műveleteket hajtanak végre. Például egy szabályzat vagy alkalmazás üzembe helyezése egy felhasználó számára, vagy egy eszköz távoli zárolása. Az ezekben a Microsoft Entra biztonsági csoportokban lévő összes felhasználót és eszközt a tagok felhasználói kezelhetik.
- Hatókör (címkék): A tagok felhasználói megtekinthetik az azonos hatókörcímkékkel rendelkező erőforrásokat.
Megjegyzés:
A hatókörcímkék olyan szabadkébeli szöveges értékek, amelyeket a rendszergazda definiál, majd hozzáad egy szerepkör-hozzárendeléshez. A szerepkörhöz hozzáadott hatókörcímke maga a szerepkör láthatóságát szabályozza, míg a szerepkör-hozzárendelésben hozzáadott hatókörcímke korlátozza Intune objektumok (például szabályzatok és alkalmazások) vagy eszközök láthatóságát csak az adott szerepkör-hozzárendelés rendszergazdái számára, mert a szerepkör-hozzárendelés egy vagy több egyező hatókörcímkét tartalmaz.
Több szerepkör-hozzárendelés
Ha egy felhasználó több szerepkör-hozzárendeléssel, engedélyekkel és hatókörcímkével rendelkezik, ezek a szerepkör-hozzárendelések a következőképpen terjednek ki a különböző objektumokra:
- Az engedélyek növekményesek abban az esetben, ha két vagy több szerepkör ad engedélyeket ugyanahhoz az objektumhoz. Egy olyan felhasználó, aki olvasási engedéllyel rendelkezik egy szerepkörből, és például olvasási/írási engedéllyel rendelkezik egy másik szerepkörből, érvényes olvasási/írási engedéllyel rendelkezik (feltéve, hogy mindkét szerepkör hozzárendelései ugyanazt a hatókörcímkéket célzik).
- Az engedélyek és hatókörcímkék hozzárendelése csak az adott szerepkör hozzárendelési hatókörében (csoportokban) lévő objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozik. Az engedélyek és hatókörcímkék hozzárendelése nem vonatkozik más szerepkör-hozzárendelések objektumaira, kivéve, ha a másik hozzárendelés kifejezetten megadja őket.
- Más engedélyek (például Létrehozás, Olvasás, Frissítés, Törlés) és hatókörcímkék a felhasználó hozzárendeléseinek minden azonos típusú objektumára (például az összes szabályzatra vagy alkalmazásra) vonatkoznak.
- A különböző típusú objektumokra (például szabályzatokra vagy alkalmazásokra) vonatkozó engedélyek és hatókörcímkék nem vonatkoznak egymásra. Egy szabályzat olvasási engedélye például nem biztosít Olvasás engedélyt a felhasználó hozzárendeléseiben lévő alkalmazások számára.
- Ha nincsenek hatókörcímkék, vagy egyes hatókörcímkék különböző hozzárendelésekhez vannak hozzárendelve, a felhasználók csak bizonyos hatókörcímkék részét képező eszközöket láthatják, és nem láthatják az összes eszközt.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: