Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения, приведенные в этой статье, помогут назначить пользователям встроенные роли Microsoft Intune или пользовательского управления доступом на основе ролей (RBAC) пользователям, которые администрируют вашу подписку Intune. Роли RBAC назначаются группам, а не отдельным пользователям.
Перед назначением ролей группам убедитесь, что у вас достаточно групп для различных административных задач Intune, и проверьте членство в этих группах. Каждый член группы, которому назначена роль RBAC, получает разрешения, предоставленные этой ролью. Разрешения из нескольких групп являются накопительными для пользователя, и нет вариантов для запрета определенных разрешений. Однако вы можете использовать теги области с RBAC, чтобы ограничить область того, что различные группы пользователей могут просматривать и управлять ими.
Важно!
Корпорация Майкрософт не рекомендует использовать учетные записи с разрешениями уровня администратора Intune для ежедневного управления, если достаточно ролей с меньшими привилегиями. Однако разрешения администратора Intune необходимы во время начальной установки Intune для таких задач, как:
- Добавьте в Intune пользователей, которые выступают в качестве администраторов Intune. (См . раздел Добавление пользователей)
- Создайте группы пользователей, которые совместно используют аналогичные административные обязанности. (См . раздел Добавление групп)
- Назначьте роли RBAC группам пользователей, предоставляя каждой группе только разрешения, необходимые для выполнения повседневных задач. (Эта статья)
После выполнения этих действий переключитесь на учетную запись с разрешениями, необходимыми для текущего администрирования, чтобы обеспечить соблюдение принципа минимальных привилегий.
Разрешения RBAC, необходимые для назначения ролей
Для управления ролями и назначениями RBAC в Intune учетная запись должна иметь один из следующих наборов разрешений:
Встроенная роль Intune администратора ролей Intune. Встроенная роль с наименьшими привилегиями
Настраиваемая роль, которая включает следующие категории и разрешения категорий:
Роли:
- Назначение
- Создание
- Удалить
- Чтение
- Обновление
Организация:
- Чтение
Примечание.
Расширенная безопасность. Утверждение нескольких Администратор теперь поддерживает управление доступом на основе ролей. Если этот параметр включен, второй администратор должен утвердить изменения ролей. Эти изменения могут включать обновления разрешений ролей, групп администраторов или назначений групп участников. Изменение вступает в силу только после утверждения. Этот процесс двойной авторизации помогает защитить организацию от несанкционированных или случайных изменений управления доступом на основе ролей. Дополнительные сведения см. в разделе Использование утверждения нескольких Администратор в Intune.
Развертывание назначений ролей Intune
Прежде чем развертывать роли Intune, ознакомьтесь с разделом О назначениях ролей Intune , в котором содержатся сведения о нескольких аспектах назначения ролей Intune.
Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Администрирование> клиентаРоли>Все роли.
На странице Роли Intune — все роли можно найти все роли Intune, которые можно назначить в клиенте. Каждая роль имеет тип , который определяет ее как встроенную роль, предоставляемую Intune, или настраиваемую роль Intune, созданную вашей организацией.
Выберите роль, которую вы хотите назначить, а затем выберите Назначения>+ Назначить.
На странице Основные сведения введите имя и необязательное описание, а затем нажмите кнопку Далее.
На странице группы Администратор выберите Добавить группы, а затем выберите группу, содержащую пользователей, которым требуется назначить разрешения на роли.
Совет
При назначении роли группе каждый член этой группы получает разрешения, предоставленные этой ролью. Назначьте роли только группам, членство в которых известно и в которые не входят пользователи, которые не должны получать права администратора, предоставляемые ролью.
Примечание.
Если в клиенте разрешены нелицензированные администраторы, назначения ролей Intune применяются только к непосредственным членам назначенной группы безопасности. Члены вложенных групп не получают эти назначения по умолчанию. Однако если пользователь во вложенной группе имеет лицензию Intune, он получит роль Intune.
Нажмите кнопку Далее.
На странице Область (группы) добавьте группы, содержащие только пользователей или устройства, которыми должны управлять члены групп Администратор, выбранных на предыдущем шаге. Затем выберите Далее.
Примечание.
Группы Все пользователи и Все устройства являются виртуальными группами Intune, а не Microsoft Entra группами безопасности. Поэтому их нельзя использовать в качестве родителей для Microsoft Entra групп безопасности в назначениях области (группы). Чтобы назначить всех пользователей и все устройства, а также определенные Microsoft Entra группы безопасности, добавьте их отдельно. В противном случае администраторы не будут иметь доступа к определенным Microsoft Entra группам пользователей, даже если для области (группы) роли задано значение Все пользователи.
Вложение поддерживается для Microsoft Entra групп безопасности.
На странице Область (теги) выберите теги, в которых применяется это назначение роли. Нажмите кнопку Далее.
Примечание.
При определении область групп и последующем назначении тега область администраторы могут ориентироваться только на группы, перечисленные в области (группы) назначения роли.
На странице Проверка и создание нажмите кнопку Создать.
Новое назначение появится в списке назначений.