Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nalRole-based access control (RBAC) with Microsoft Intune

Az RBAC lehetővé teszi annak szabályozását, hogy a cégen belül ki hajthat végre különböző Intune-feladatokat, és kikre vonatkozhatnak az adott feladatok.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. A beépített szerepköröket bizonyos gyakori Intune-os helyzetekben használhatja, de saját szerepköröket is létrehozhat.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Egy szerepkört a következők határoznak meg:A role is defined by:

  • Szerepkör-definíció: A szerepkör által kezelt erőforrások és az egyes erőforrásokhoz rendelt engedélyek neve.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • A tagok: A felhasználói csoportok, amelyek az engedélyekkel.Members: The user groups that are granted the permissions.
  • Hatókör (csoportok): A felhasználói vagy eszközcsoportok, hogy a tagok kezelhetnek.Scope (Groups): The user or device groups that the members can manage.
  • Hatókör (címkék): Ha a szerepkör-hozzárendelés alkalmazandó címkék.Scope (Tags): Tags where the role assignment applies.
  • Hozzárendelés: Ha a definíció, a tagok és a hatókör konfigurálása megtörtént, a szerepkör van hozzárendelve.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Példa az Intune-beli RBAC felépítésére

Az új Azure Portaltól kezdődően az Azure Active Directory (Azure AD) két, Intune-nal használható címtárbeli szerepkört kínál fel.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. Ezek a szerepkörök teljes körű engedélyt biztosítanak minden Intune-beli tevékenységhez:These roles are granted full permission to perform all activities in Intune:

  • Globális rendszergazda: Ezzel a szerepkörrel rendelkező felhasználók hozzáférhetnek az Azure AD minden felügyeleti funkciójához, valamint szolgáltatások, amely val összevont, az Azure AD, mint például az Exchange Online, SharePoint Online és Skype vállalati online.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. Az a személy lesz globális rendszergazda, aki regisztrált az Azure AD-bérlőre.The person who signs up for the Azure AD tenant becomes a global administrator. Csak a globális rendszergazdák oszthatnak ki további Azure AD-rendszergazdai szerepköröket.Only global administrators can assign other Azure AD administrator roles. A szervezetnek egynél több globális rendszergazdája is lehet.There can be more than one global administrator at your organization. A globális rendszergazdák bármely felhasználó és az összes többi rendszergazda jelszavát is alaphelyzetbe állíthatják.Global admins can reset the password for any user and all other administrators.

  • Az Intune szolgáltatás-rendszergazda: Ezzel a szerepkörrel rendelkező felhasználók az Intune globális engedélyekkel rendelkeznek, ha a szolgáltatás nem található.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. A szerepkör emellett, ha nincsenek érvényben az Azure-ban ezt felülíró korlátozások, feljogosít a felhasználók és eszközök felügyeletére, valamint Intune-csoportok létrehozására és felügyeletére.Additionally, other than any superseding Azure restrictions, this role provides the ability to manage users, devices, and create and manage Intune groups.

  • Feltételes hozzáférésű rendszergazda: Ezzel a szerepkörrel rendelkező felhasználók csak engedélye megtekintése, létrehozása, módosítása és törlése a feltételes hozzáférési szabályzatokat.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Fontos

    Az Intune-beli szolgáltatás-rendszergazdai szerepkör nem teszi lehetővé az Azure AD feltételes hozzáférési beállításainak felügyeletét.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings.

    Az Intune-szerepkörhöz hozzárendelni, a felhasználó Intune-licenccel kell rendelkeznie.To be assigned an Intune role, the user must have an Intune license.

    Tipp

    Intune-ban három olyan Azure AD-bővítmény látható: Felhasználók, csoportok, és feltételes hozzáférési, amely Azure AD RBAC segítségével szabályozhat.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. A Felhasználóifiók-adminisztrátori szerepkör csak az Azure AD-felhasználói vagy -csoporttevékenységek végrehajtására jogosít fel, és nem biztosít teljes körű engedélyt az összes Intune-beli tevékenységhez.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. További információkért lásd: az Azure AD RBAC.For more information, see RBAC with Azure AD.

Klasszikus Intune-portálon létrehozott szerepkörökRoles created in the Intune classic portal

Csak a „Teljes körű” engedéllyel rendelkező Intune-beli szolgáltatás-rendszergazdákat migrálja a rendszer a klasszikus Intune-portálról az Azure Portalbeli Intune-ba.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Intune-ban kell újbóli szolgáltatás-rendszergazdák felhasználók "Csak Olvasás" vagy "Ügyfélszolgálat" hozzáféréssel az Intune-szerepkörök az Azure Portalon, és távolítsa el őket a klasszikus portálról.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Fontos

Szüksége lehet az Intune szolgáltatás-rendszergazda hozzáférést tartani a klasszikus portálon, ha a rendszergazdák továbbra is hozzáférhetnek a számítógépek az Intune-nal kezelheti.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Beépített szerepkörökBuilt-in roles

Beépített szerepkörök további konfiguráció nélkül csoportokhoz is hozzárendelhet.You can assign built-in roles to groups without further configuration. Nem lehet törölni, vagy szerkesztheti egy beépített szerepkör.You can't delete or edit a built-in role.

  • Ügyfélszolgálat: A felhasználók és eszközök távoli feladatokat hajtja végre, és alkalmazásokat és szabályzatokat rendelhet a felhasználókhoz vagy eszközökhöz.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.

  • A házirend- és Profilkezelő: Megfelelőségi szabályzat, a konfigurációs profilokat, az Apple-regisztráció és a cégeseszköz-azonosítók kezeli.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.

  • Csak olvasási operátor: Nézetek felhasználói, eszköz, regisztráció, konfigurációs és alkalmazással kapcsolatos adatok.Read Only Operator: Views user, device, enrollment, configuration, and application information. Az Intune-hoz nem végezhet módosításokat.Can't make changes to Intune.

  • Application Manager: Kezeli a mobil- és felügyelt alkalmazásokat, olvashatja az eszközadatokat, és megtekintheti az eszközkonfigurációs profilok.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.

  • Intune-rendszergazda szerepkör: Egyéni Intune-szerepkörök kezeli, és hozzáadja a beépített Intune-szerepkörök hozzárendeléseit.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. A csak az Intune-szerepkör, amely a rendszergazdák engedélyeket rendelhet.It's the only Intune role that can assign permissions to Administrators.

  • Iskolai rendszergazda: Kezeli a Windows 10 rendszerű eszközökhöz az az Intune for Education, és a következő műveleteket hajthatja végre:School Administrator: Manages Windows 10 devices in Intune for Education, and can take the following actions:

    EngedélyPermission MűveletOperation
    AdatnaplózásAudit Data OlvasásRead
    DeviceConfigurationsDeviceConfigurations Hozzárendelés, létrehozás, törlés, olvasás, frissítésAssign, Create, Delete, Read, Update
    Eszközregisztráció-kezelőkDevice Enrollment Managers Olvasás, frissítésRead, Update
    Kezelt eszközökManaged Devices Olvasás, frissítésRead, Update
    MobilalkalmazásokbanMobile apps Hozzárendelés, létrehozás, törlés, olvasás, frissítésAssign, Create, Delete, Read, Update
    ReportsReports OlvasásRead
    Távoli műveletekRemote Actions Számítógép megtisztítása, újraindítás, távoli zárolás, kivonás, eszközszinkronizálás, törlésClean PC, Reboot, Remote Lock, Retire, Sync Devices, Wipe
    SzervezetOrganization OlvasásRead

Beépített szerepkör hozzárendeléseTo assign a built-in role

  1. Jelentkezzen be az Azure Portalra.Sign into the Azure portal.

  2. Válassza a Minden szolgáltatás > Intune lehetőséget.Choose All services > Intune. Az Intune a Figyelés + felügyelet szakaszban található.Intune is located in the Monitoring + Management section.

  3. Az a Intune panelen válassza a szerepkörök > minden szerepkör.On the Intune blade, choose Roles > All roles.

  4. Az a az Intune-szerepkörök – minden szerepkör panelen válassza ki a hozzárendelni kívánt szerepkört.On the Intune roles - All roles blade, choose the built-in role you want to assign.

  5. Az a <szerepkörnév>- áttekintése panelen válassza a kezelés > hozzárendelések.On the <role name> - Overview blade, choose Manage > Assignments.

  6. Kattintson a Hozzárendelés elemre az Egyéni szerepkör panelen.On the custom role blade, choose Assign.

  7. Az a szerepkör-hozzárendelések panelen adjon meg egy hozzárendelés neve és választható hozzárendelés leírása a hozzárendelés.On the Role Assignments blade, enter an Assignment name and optional Assignment description for the assignment.

  8. A tagok (csoportok), válasszon egy csoportot, amely tartalmazza azt a felhasználót szeretne adni az engedélyeket.For Members (Groups), choose a group that contains the user you want to give the permissions to.

  9. A hatókör (csoportok), válassza ki a csoport tartalmazza a felhasználókat, akik a fenti tag kezelése engedélyezve lesz.For Scope (Groups), choose a group containing the users who the member above will be allowed to manage.

  10. A hatókör (címkék), válassza ki a címkét, ahol a szerepkör-hozzárendelési alkalmazza.For Scope (Tags), choose tags where this role assigment will be applied.

  11. Ha elkészült, válassza az OK gombot.When you're done, choose OK. Az új hozzárendelés megjelenik a hozzárendelések listájában.The new assignment is displayed in the list of assignments.

Intune-os RBAC-táblázatIntune RBAC table

Egyéni szerepkörökCustom roles

Egyéni szerepkört is létrehozhat, amely az adott munkakörhöz szükséges összes engedélyt tartalmazza.You can create a custom role that includes any permissions required for a specific job function. Például ha egy IT-részleg alkalmazásokat, szabályzatokat, és konfigurációs profilokat kezel, mindezeket az engedélyeket együtt adhatja meg egy egyéni szerepkör segítségével.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Fontos

A szerepkörök létrehozásához, szerkesztéséhez vagy hozzárendeléséhez a fióknak rendelkeznie kell a következő jogosultságok egyikével az Azure AD-ben:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Globális rendszergazdaGlobal Administrator
  • Intune-beli szolgáltatás-rendszergazdaIntune Service Administrator

Egyéni szerepkör létrehozásaTo create a custom role

  1. Jelentkezzen be az Azure Portalon az Intune-os hitelesítő adataival.Sign into the Azure portal with your Intune credentials.

  2. Válassza a bal oldali menü Minden szolgáltatás pontját, majd írja be a szűrő szövegmezőbe az Intune nevet.Choose All services from the left menu, then type Intune in the text box filter.

  3. Válasszon Intune > szerepkörök > minden szerepkör > Hozzáadás.Choose Intune > Roles > All roles > Add.

  4. Az Egyéni szerepkör hozzáadása panelen adja meg az új szerepkör nevét és leírását, majd kattintson az Engedélyek elemre.On the Add Custom Role blade, enter a name and description for the new role, then click Permissions.

  5. Az Engedélyek panelen válassza ki az ehhez a szerepkörhöz használni kívánt engedélyeket.On the Permissions blade, choose the permissions you want to use with this role. Az Intune-os RBAC-táblázat segít eldönteni, hogy milyen engedélyeket alkalmazzon.Use the Intune RBAC table to help you decide which permissions you want to apply.

  6. Az a hatókör (címkék) panelen válassza ki a címkét, ahol az egyéni szerepkör alkalmazza.On the Scope (Tags) blade, choose tags where this custom role will be applied.

  7. Ha elkészült, válassza az OK gombot.When you're done, choose OK.

  8. Az Egyéni szerepkör hozzáadása panelen kattintson a Létrehozás elemre.On the Add Custom Role blade, click Create. Az új szerepkör megjelenik a listában a az Intune-szerepkörök – minden szerepkör panelen.The new role is displayed in the list on the Intune roles - All roles blade.

Egyéni szerepkör hozzárendeléseTo assign a custom role

Ugyanazokat a lépéseket követve beépített szerepkör hozzárendelése , és válassza ki az egyéni szerepkör.Follow the same steps as To assign a built-in role and select the custom role.

További lépésekNext steps

Az Intune Ügyfélszolgálat szerepkörének használata a hibaelhárítási portállalUse the Intune Helpdesk operator role with the troubleshooting portal

Lásd még:See also

Szerepkörök hozzárendelése az Azure AD használatávalAssign roles using Azure AD