Управление доступом на основе ролей (RBAC) в Microsoft Intune

Управление доступом на основе ролей (RBAC) помогает управлять доступом пользователей к ресурсам вашей организации и выполнению операций с этими ресурсами. Назначая роли пользователям Intune, можно ограничить их права на просмотр и изменение. Каждая роль имеет набор разрешений, которые определяют, что пользователи с этой ролью могут просматривать и изменять в вашей организации.

Для создания, изменения и назначения ролей учетная запись должна иметь одно из следующих разрешений в Azure AD:

  • Глобальный администратор
  • Администратор службы Intune (или администратор Intune)

Роли

Роль определяет набор разрешений для пользователей, назначенных этой роли. Можно использовать встроенные и пользовательские роли. Встроенные роли предназначены для распространенных сценариев Intune. Вы можете создавать собственные настраиваемые роли с точным набором необходимых разрешений. Несколько ролей Azure Active Directory имеют разрешения для Intune. Чтобы просмотреть роль, выберите Endpoint Manager > Администрирование клиентов > Роли > Все роли > выберите роль. Управлять ролью можно на следующих страницах.

  • Свойства. Имя, описание, тип, разрешения и теги области для роли.
  • Назначения. Список назначения ролей, определяющий, какие пользователи имеют доступ к каким пользователям или устройствам. Роль может иметь несколько назначений, и пользователь может быть в нескольких назначениях.

Примечание

Для администрирования Intune вам должна быть назначена лицензия Intune. Либо можно разрешить нелицензированным пользователям администрировать Intune, задав для параметра Разрешить доступ администраторам без лицензии значение "Да".

Встроенные роли

Встроенные роли можно назначить группам без дальнейшей настройки. Невозможно удалить или изменить имя, описание, тип или разрешения встроенной роли.

  • Диспетчер приложений. Управляет мобильными и управляемыми приложениями. Может читать информацию об устройстве и просматривать его профили конфигурации.
  • Диспетчер безопасности конечной точки. Управляет функциями обеспечения безопасности и соответствия требованиям, такими как базовые показатели безопасности, соответствие устройств требованиям, условный доступ и Microsoft Defender для конечной точки.
  • Оператор с правами "только чтение". Просматривает сведения о пользователях, устройствах, регистрации, конфигурации и приложениях. Не может вносить изменения в Intune.
  • Администратор учебного заведения. Управляет устройствами с Windows 10 в Intune для образовательных учреждений.
  • Диспетчер политик и профилей. Управляет политикой соответствия требованиям, профилями конфигурации, регистрацией Apple, идентификаторами корпоративных устройств и базовыми показателями безопасности.
  • Оператор службы технической поддержки. Выполняет удаленные задачи для пользователей и устройств, а также может назначать пользователям и устройствам приложения или политики.
  • Администратор ролей Intune. Управляет пользовательскими ролями Intune и добавляет назначения для встроенных ролей Intune. Это единственная роль Intune, позволяющая назначать разрешения для администраторов.
  • Администратор облачного ПК. Администратор облачного компьютера имеет доступ на чтение и запись ко всем функциям облачных компьютеров, расположенным в колонке "Облачный компьютер".
  • Читатель облачного ПК. Читатель облачного компьютера имеет доступ на чтение ко всем функциям облачных компьютеров, расположенным в колонке "Облачный компьютер".

Настраиваемые роли

Вы можете создавать собственные роли с настраиваемыми разрешениями. Дополнительные сведения о настраиваемых ролях см. в разделе Создание настраиваемых ролей.

Роли Azure Active Directory с доступом к Intune

Роль Azure Active Directory Все данные в Intune Данные аудита Intune
Глобальный администратор Чтение и запись Чтение и запись
Администратор службы Intune Чтение и запись Чтение и запись
Администратор условного доступа Нет Нет
Администратор безопасности Только чтение (полные административные разрешения для узла Endpoint Security) Только чтение
Оператор безопасности Только чтение Только чтение
Читатель сведений о безопасности Только чтение Только чтение
Администратор соответствия требованиям Нет Только чтение
Администратор данных соответствия требованиям Нет Только чтение
Глобальный читатель Только чтение Только чтение
Читатель отчетов Только чтение Нет

Совет

Кроме того, в Intune реализовано три расширения Azure AD: Пользователи, Группы и Условный доступ, которые управляются с помощью RBAC Azure AD. Администратор учетных записей пользователей выполняет только действия, связанные с пользователями или группами AAD, и не имеет полных разрешений на выполнение любых операций в Intune. Дополнительные сведения см. в статье RBAC в Azure AD.

Назначения ролей

Назначение ролей определяет:

  • какие пользователи назначены этой роли;
  • какие ресурсы они могут видеть;
  • какие ресурсы они могут менять.

Вы можете назначать пользователям пользовательские и встроенные роли. Пользователю может быть назначена роль Intune только при наличии лицензии Intune. Чтобы просмотреть назначение ролей, выберите Intune > Администрирование клиентов > Роли > Все роли > выберите роль > Назначение > выберите назначение. На странице Свойства можно изменить:

  • Основные сведения: имена и описание назначений.
  • Участники. Все пользователи в перечисленных группах безопасности Azure имеют разрешение на управление пользователями и устройствами, указанными в области (группах).
  • Область (группы): группы области действия — это группы безопасности Azure AD, состоящие из пользователей или устройств или и того, и другого, в отношении которых и только их администраторы в этом назначении роли могут выполнять операции. Например, развертывание политики или приложения для пользователя или удаленная блокировка устройства. Всеми пользователями и устройствами в этих группах безопасности Azure AD могут управлять пользователи с ролью участника.
  • Область (теги). Пользователи с ролью участника могут просматривать ресурсы, которые имеют те же теги области.

Примечание

Теги области — это текстовые значения произвольной формы, которые администратор определяет, а затем добавляет к назначению роли. Тег области, добавленный к роли, управляет видимостью самой роли, в то время как тег области, добавленный в назначение роли, ограничивает видимость объектов Intune (таких как политики и приложения) или устройств только администраторами в этом назначении роли, поскольку назначение роли содержит один или более соответствующих тегов области.

Несколько назначений ролей

Если пользователь имеет несколько назначений ролей, разрешений и тегов области, эти назначения ролей распространяются на разные объекты следующим образом:

  • Разрешения назначений и теги области применяются только к объектам (например, политикам или приложениям) в области (группах) назначений этой роли. Разрешения назначений и теги области не применяются к объектам в других назначениях ролей, если другие назначения явно не предоставляют их.
  • Другие разрешения (такие как создание, чтение, обновление, удаление) и теги областей применяются ко всем объектам одного типа (например, ко всем политикам или всем приложениям) в любых назначениях пользователей.
  • Разрешения и теги области для объектов различных типов (например, политик или приложений) не применяются друг к другу. Например, разрешение на чтение для политики не предоставляет разрешение на чтение в приложениях в назначениях пользователя.

Дальнейшие действия