RBAC (controle de acesso baseado em função) com o Microsoft IntuneRole-based access control (RBAC) with Microsoft Intune

O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que eles podem fazer com esses recursos.Role-based access control (RBAC) helps you manage who has access to your organization’s resources and what they can do with those resources. Ao atribuir funções aos usuários do Intune, é possível limitar o que eles podem ver e alterar.By assigning roles to your Intune users, you can limit what they can see and change. Cada função tem um conjunto de permissões que determinam o que os usuários com essa função podem acessar e alterar dentro de sua organização.Each role has a set of permissions that determine what users with that role can access and change within your organization.

Para criar, editar ou atribuir funções, sua conta deve ter uma das seguintes permissões no Azure AD:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Administrador GlobalGlobal Administrator
  • Administrador de Serviços do Intune (também conhecido como Administrador do Intune)Intune Service Administrator (also known as Intune Administrator)

Para dicas e sugestões sobre o RBAC do Intune, você pode conferir esta série de cinco vídeos que mostram os exemplos e explicações passo a passo: 1, 2, 3, 4, 5.For advice and suggestions about Intune RBAC, you can check out this series of five videos that showcase examples and walkthroughs: 1, 2, 3, 4, 5.

FunçõesRoles

Uma função define o conjunto de permissões concedido aos usuários atribuídos a essa função.A role defines the set of permissions granted to users assigned to that role. É possível usar as funções internas e personalizadas.You can use both the built-in and custom roles. As funções internas abordam alguns cenários comuns do Intune.Built-in roles cover some common Intune scenarios. É possível criar suas próprias funções personalizadas com o conjunto exato de permissões necessárias.You can create your own custom roles with the exact set of permissions you need. Várias funções do Azure Active Directory têm permissões para o Intune.Several Azure Active Directory roles have permissions to Intune. Para ver uma função, escolha Intune > Funções > Todas as funções > escolha uma função.To see a role, choose Intune > Roles > All roles > choose a role. Você verá as seguintes páginas:You’ll see the following pages:

  • Propriedades: o nome, a descrição, o tipo, as atribuições e as marcas de escopo para a função.Properties: The name, description, type, assignments, and scope tags for the role.
  • Permissões: lista um grande conjunto de alternâncias que definem quais permissões a função tem.Permissions: Lists a long set of toggles defining what permissions the role has.
  • Atribuições: uma lista das atribuições de função que define quais usuários têm acesso a quais usuários/dispositivos.Assignments: A list of role assignments defining which users have access to which users/devices. Uma função pode ter várias atribuições e um usuário pode estar em várias atribuições.A role can have multiple assignments, and a user can be in multiple assignments.

Funções internasBuilt-in roles

Você pode atribuir funções internas a grupos sem configuração adicional.You can assign built-in roles to groups without further configuration. Não é possível excluir nem editar o nome, a descrição, o tipo ou as permissões de uma função interna.You can't delete or edit the name, description, type, or permissions of a built-in role.

  • Operador de suporte técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • Política e Gerenciador de Perfis: gerencia a política de conformidade, os perfis de configuração, o registro da Apple, os identificadores de dispositivo corporativo e as linhas de base de segurança.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • Operador somente leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo.Read Only Operator: Views user, device, enrollment, configuration, and application information. Não é possível fazer alterações no Intune.Can't make changes to Intune.
  • Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Administrador de Função do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. É a única função do Intune que pode atribuir permissões a Administradores.It's the only Intune role that can assign permissions to Administrators.
  • Administrador de Escola: Gerencia dispositivos Windows 10 no Intune para Educação.School Administrator: Manages Windows 10 devices in Intune for Education.

Funções personalizadasCustom roles

É possível criar suas próprias funções com permissões personalizadas.You can create your own roles with custom permissions. Para saber mais informações sobre funções personalizadas, confira Criar uma função personalizada.For more information about custom roles, see Create a custom role.

Funções do Azure Active Directory com o acesso do IntuneAzure Active Directory roles with Intune access

Função do Azure Active DirectoryAzure Active Directory role Todos os dados do IntuneAll Intune data Dados de auditoria do IntuneIntune audit data
Administrador GlobalGlobal Administrator Leitura/gravaçãoRead/write Leitura/gravaçãoRead/write
Administrador de Serviços do IntuneIntune Service Administrator Leitura/gravaçãoRead/write Leitura/gravaçãoRead/write
Administrador de Acesso CondicionalConditional Access Administrator NenhumNone NenhumNone
Administrador de SegurançaSecurity Administrator Somente leituraRead only Somente leituraRead only
Operador de segurançaSecurity Operator Somente leituraRead only Somente leituraRead only
Leitor de segurançaSecurity Reader Somente leituraRead only Somente leituraRead only
Administrador de conformidadeCompliance Administrator NenhumNone Somente leituraRead only
Administrador de dados de conformidadeCompliance Data Administrator NenhumNone Somente leituraRead only
Leitor globalGlobal Reader Somente LeituraRead Only Somente LeituraRead Only

Dica

O Intune também mostra três extensões do Azure AD: Usuários, grupos e acesso condicional controlados com o uso do RBAC do Azure AD.Intune also shows three Azure AD extensions: Users, Groups, and Conditional Access, which are controlled using Azure AD RBAC. Além disso, o Administrador de Contas de Usuário apenas realiza as atividades do usuário/grupo do AAD e não tem permissões totais para realizar todas as atividades no Intune.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Para saber mais, confira RBAC com o Azure AD.For more information, see RBAC with Azure AD.

Funções criadas no Portal Clássico do IntuneRoles created in the Intune classic portal

Somente os usuários Administradores de Serviços do Intune com permissões "Totais" são migrados do Portal Clássico do Intune para o Portal do Azure.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Você deve reatribuir o acesso "Somente Leitura" ou "Assistência técnica" aos usuários Administradores de Serviços do Intune nas funções do Intune no portal do Azure e removê-los do portal clássico.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Importante

Talvez seja necessário manter o acesso de Administrador de Serviços do Intune no Portal Clássico, caso os administradores ainda precisem ter acesso para gerenciar computadores usando o Intune.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Atribuições de funçãoRole assignments

Uma atribuição de função define:A role assignment defines:

  • quais usuários são atribuídos à funçãowhich users are assigned to the role
  • quais recursos eles podem verwhat resources they can see
  • quais recursos eles podem alterar.what resources they can change.

É possível atribuir funções internas e personalizadas a seus usuários.You can assign both custom and built-in roles to your users. Para receber uma função do Intune, o usuário deve ter uma licença do Intune.To be assigned an Intune role, the user must have an Intune license. Para ver uma atribuição de função, escolha Intune > Funções > Todas as funções > escolha uma atribuição.To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. Você verá as seguintes páginas:You’ll see the following pages:

  • Propriedades: o nome, a descrição, a função, os membros, os escopos e as marcas da atribuição.Properties: The name, description, role, members, scopes, and tags of the assignment.
  • Membros: todos os usuários dos grupos listados no Azure têm permissão para gerenciar os usuários/dispositivos listados no Escopo (Grupos).Members: All users in the listed Azure security groups have permission to manage the users/devices that are listed in Scope (Groups).
  • Escopo (Grupos) : todos os usuários/dispositivos desses grupos de segurança do Azure podem ser gerenciados pelos usuários em Membros.Scope (Groups): All users/devices in these Azure security groups can be managed by the users in Members.
  • Escopo (Marcas) : os usuários em Membros podem ver os recursos que têm as mesmas marcas de escopo.Scope (Tags): Users in Members can see the resources that have the same scope tags.

Várias atribuições de funçãoMultiple role assignments

Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:If a user has multiple role assignments, permissions, and scope tags, those role assignments extend to different objects as follows:

  • Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no Escopo (Grupos) da atribuição dessa função.Assign permissions and scope tags only apply to the objects (like policies or apps) in that role’s assignment Scope (Groups). Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.Assign permissions and scope tags don’t apply to objects in other role assignments unless the other assignment specifically grants them.
  • Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.Other permissions (such as Create, Read, Update, Delete) and scope tags apply to all objects of the same type (like all policies or all apps) in any of the user’s assignments.
  • Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras.Permissions and scope tags for objects of different types (like policies or apps), don’t apply to each other. uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.A Read permission for a policy, for example, doesn’t provide a Read permission to apps in the user’s assignments.

Próximas etapasNext steps