Szerepköralapú hozzáférés-vezérlés (RBAC) az Intune-nalRole-based administration control (RBAC) with Intune

Az RBAC lehetővé teszi annak szabályozását, hogy a cégen belül ki hajthat végre különböző Intune-feladatokat, és kikre vonatkozhatnak az adott feladatok.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. A beépített szerepköröket bizonyos gyakori Intune-os helyzetekben használhatja, de saját szerepköröket is létrehozhat.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Egy szerepkört a következők határoznak meg:A role is defined by:

  • Szerepkör-definíció: a szerepkör neve, a szerepkör által kezelt erőforrások és az egyes erőforrásokhoz rendelt engedélyek.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Tagok: Az engedélyekkel rendelkező felhasználói csoportok.Members: The user groups that are granted the permissions.
  • Hatókör: Azon felhasználói vagy eszközcsoportok, amelyeket a tagok kezelhetnek.Scope: The user or device groups that the members can manage.
  • Feladat: A definíció, a tagok és a hatókör konfigurálása után feladat rendelhető a szerepkörköz.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Példa az Intune-beli RBAC felépítésére

Az új Azure Portaltól kezdődően az Azure Active Directory (Azure AD) két, Intune-nal használható címtárbeli szerepkört kínál fel.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. Ezek a szerepkörök teljes körű engedélyt biztosítanak minden Intune-beli tevékenységhez:These roles are granted full permission to perform all activities in Intune:

  • Globális rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók hozzáférnek az Azure AD minden felügyeleti funkciójához, valamint olyan, az Azure AD-val összevont szolgáltatásokhoz is, mint az Exchange Online, a SharePoint Online és a Skype Vállalati online verzió.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. Az a személy lesz globális rendszergazda, aki regisztrált az Azure AD-bérlőre.The person who signs up for the Azure AD tenant becomes a global administrator. Csak a globális rendszergazdák oszthatnak ki további Azure AD-rendszergazdai szerepköröket.Only global administrators can assign other Azure AD administrator roles. A szervezetnek egynél több globális rendszergazdája is lehet.There can be more than one global administrator at your organization. A globális rendszergazdák bármely felhasználó és az összes többi rendszergazda jelszavát is alaphelyzetbe állíthatják.Global admins can reset the password for any user and all other administrators.

  • Intune-beli szolgáltatás-rendszergazda: Az ezzel a szerepkörrel rendelkező felhasználók az Intune-szolgáltatás megléte esetén globális engedélyt kapnak az Intune-ban.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. A szerepkör feljogosít a felhasználók és eszközök felügyeletére, valamint csoportok létrehozására és felügyeletére.Additionally, this role provides the ability to manage users, devices, and create and manage groups.

  • Feltételes hozzáférésű rendszergazda: A felhasználók ezzel a szerepkörrel csak a feltételes hozzáférési szabályzatok megtekintésére, létrehozására és törlésére rendelkeznek jogosultságokkal.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Fontos

    Az Intune-beli szolgáltatás-rendszergazdai szerepkör nem teszi lehetővé az Azure AD feltételes hozzáférési beállításainak felügyeletét.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Tipp

    Az Intune-ban három olyan Azure AD-bővítmény látható (Felhasználók, Csoportok és Feltételes hozzáférés), amelyeket az Azure AD RBAC segítségével szabályozhat.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. A Felhasználóifiók-adminisztrátori szerepkör csak az Azure AD-felhasználói vagy -csoporttevékenységek végrehajtására jogosít fel, és nem biztosít teljes körű engedélyt az összes Intune-beli tevékenységhez.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. További információkért tekintse meg a Szerepköralapú hozzáférés-vezérlés (RBAC) az Azure AD-vel című cikket.Refer to RBAC with Azure AD for more details.

Klasszikus Intune-portálon létrehozott szerepkörökRoles created in the Intune classic portal

Csak a „Teljes körű” engedéllyel rendelkező Intune-beli szolgáltatás-rendszergazdákat migrálja a rendszer a klasszikus Intune-portálról az Azure Portalbeli Intune-ba.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Az Intune-beli szolgáltatás-rendszergazdákat „Csak olvasási" vagy „Ügyfélszolgálat" hozzáféréssel újra hozzá kell rendelni az Azure Portalon található Intune-szerepkörökhöz, és el kell távolítani őket a klasszikus portálról.You need to re-assign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Fontos

Az Intune-beli szolgáltatás-rendszergazdai szerepkör hozzáférését szükség esetén fenn lehet tartani a klasszikus portálon, ha a rendszergazdáknak Windows rendszerű gépek Intune-alapú felügyeletéhez továbbra is hozzá kell férniük ahhoz.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PC’s using with Intune.

Beépített szerepkörökBuilt-in roles

A következő szerepköröket beépített szerepkörként tartalmazza az Intune, és további konfiguráció nélkül rendelhetők hozzá a csoportokhoz:The following roles are built into Intune and you can assign them to groups with no further configuration:

  • Ügyfélszolgálat: Távoli feladatokat hajt végre felhasználókon és eszközökön, valamint alkalmazásokat és szabályzatokat rendelhet hozzájuk.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Szabályzat- és profilkezelő: A megfelelőségi szabályzatot, a konfigurációs profilokat, az Apple-regisztrációt és a céges eszközazonosítókat kezeli.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.
  • Csak olvasási jogosultságú operátor: Megtekintheti a felhasználókra, regisztrációra, konfigurációra és alkalmazásokra vonatkozó információkat.Read Only Operator: Views user, device, enrollment, configuration, and application information. Az Intune-ban nem hajthat végre változtatásokat.Cannot make changes to Intune.
  • Alkalmazáskezelő: Kezeli a mobil- és felügyelt alkalmazásokat, és olvashatja az eszközadatokat.Application Manager: Manages mobile and managed applications, and can read device information.

Beépített szerepkör hozzárendeléseTo assign a built-in role

  1. Válassza ki a hozzárendelni kívánt szerepkört az Intune-szerepkörök listából.On the Intune roles, choose the built-in role you want to assign.

  2. A <szerepkör neve> – Tulajdonságok panelen kattintson a Felügyelet, majd a Hozzárendelések elemre.On the <role name> - Properties blade, choose Manage, then Assignments.

    Megjegyzés

    A beépített szerepkörök nem törölhetők és nem szerkeszthetőkYou cannot delete or edit the built-in roles

  3. Kattintson a Hozzárendelés elemre az Egyéni szerepkör panelen.On the custom role blade, choose Assign.

  4. A Szerepkör-hozzárendelések panelen adja meg a hozzárendelés nevét és választható leírását, és válassza ki a következőket:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Tagok – Válasszon ki egy csoportot, amely tartalmazza azt a felhasználót, akinek meg szeretné adni az engedélyeket.Members - Select a group that contains the user you want to give the permissions to.
    • Hatókör – Válassza ki az azon felhasználókat tartalmazó csoportot, akik kezelése a fenti tag számára engedélyezett lesz.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Amikor elkészült, kattintson az OKgombra.When you are done, click OK. Az új hozzárendelés megjelenik a hozzárendelések listájában.The new assignment is displayed in the list of assignments.

Intune-os RBAC-táblázatIntune RBAC table

Egyéni szerepkörökCustom roles

Egyéni szerepkört is létrehozhat, amely az adott munkakörhöz szükséges összes engedélyt tartalmazza.You can create a custom role that includes any permissions required for a specific job function. Például ha egy IT-részleg alkalmazásokat, szabályzatokat, és konfigurációs profilokat kezel, mindezeket az engedélyeket együtt adhatja meg egy egyéni szerepkör segítségével.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Fontos

A szerepkörök létrehozásához, szerkesztéséhez vagy hozzárendeléséhez a fióknak rendelkeznie kell a következő jogosultságok egyikével az Azure AD-ben:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Globális rendszergazdaGlobal Administrator
  • Intune-beli szolgáltatás-rendszergazdaIntune Service Administrator

Egyéni szerepkör létrehozásaTo create a custom role

  1. Jelentkezzen be az Azure Portalon az Intune-os hitelesítő adataival.Sign into the Azure portal with your Intune credentials.

  2. Válassza a bal oldali menü További szolgáltatások pontját, majd írja be a szűrő szövegmezőbe az Intune nevet.Choose More services from the left menu, then type Intune in the text box filter.

  3. Az Intune lehetőség választásával nyissa meg az Intune irányítópultot, és kattintson az Intune-szerepkörök elemre.Choose Intune, the Intune Dashboard opens, choose Intune roles.

  4. Az Intune-szerepkörök panelen kattintson az Intune-szerepkörök elemre, majd válassza az Egyéni hozzáadása lehetőséget.On the Intune roles blade, choose Intune roles, choose Add custom.

  5. Az Egyéni szerepkör hozzáadása panelen adja meg az új szerepkör nevét és leírását, majd kattintson az Engedélyek elemre.On the Add Custom Role blade, enter a name and description for the new role, then click Permissions.

  6. Az Engedélyek panelen válassza ki az ehhez a szerepkörhöz használni kívánt engedélyeket.On the Permissions blade, choose the permissions you want to use with this role. Az Intune-os RBAC-táblázat segít eldönteni, hogy milyen engedélyeket alkalmazzon.Use the Intune RBAC table to help you decide which permissions you want to apply.

  7. Ha elkészült, válassza az OK elemet.When you are done, choose OK.

  8. Az Egyéni szerepkör hozzáadása panelen kattintson a Létrehozás elemre.On the Add Custom Role blade, click Create. Az új szerepkör megjelenik az Intune-szerepkörök panel listájában.The new role is displayed in the list on the Intune roles blade.

Egyéni szerepkör hozzárendeléseTo assign a custom role

  1. Az Intune-szerepkörök listából válassza ki a hozzárendelni kívánt elemet.On the Intune roles, choose the custom role you want to assign.

  2. A <szerepkör neve> – Tulajdonságok panelen kattintson a Felügyelet, majd a Hozzárendelések elemre.On the <role name> - Properties blade, choose Manage, then Assignments. A panelen szerkesztheti és törölheti is a meglévő szerepköröket.On this blade, you can also edit or delete existing roles.

  3. Kattintson a Hozzárendelés elemre az Egyéni szerepkör panelen.On the custom role blade, choose Assign.

  4. A Szerepkör-hozzárendelések panelen adja meg a hozzárendelés nevét és választható leírását, és válassza ki a következőket:On the Role Assignments blade, enter a Name and optional Description for the assignment, and then choose the following:

    • Tagok – Válasszon ki egy csoportot, amely tartalmazza azt a felhasználót, akinek meg szeretné adni az engedélyeket.Members - Select a group that contains the user you want to give the permissions to.
    • Hatókör – Válassza ki az azon felhasználókat tartalmazó csoportot, akik kezelése a fenti tag számára engedélyezett lesz.Scope - Select a group containing the users who the member above will be allowed to manage.
  5. Amikor elkészült, kattintson az OKgombra.When you are done, click OK. Az új hozzárendelés megjelenik a hozzárendelések listájában.The new assignment is displayed in the list of assignments.

További lépésekNext steps

Az Intune Ügyfélszolgálat szerepkörének használata a hibaelhárítási portállalUse the Intune Helpdesk operator role with the troubleshooting portal

További információSee also

Szerepkörök hozzárendelése az Azure AD használatávalAssign roles using Azure AD