Поделиться через

Назначение Microsoft Intune ролей для управления доступом на основе ролей

Сведения, приведенные в этой статье, помогут вам назначить пользователей Microsoft Intune встроенные или настраиваемые роли управления доступом на основе ролей (RBAC) пользователям, которые управляют вашей подпиской на Intune. Роли RBAC назначаются группам, а не отдельным пользователям.

Перед назначением ролей группам убедитесь, что у вас достаточно групп для различных Intune административных задач, и проверьте членство в этих группах. Каждый член группы, которому назначена роль RBAC, получает разрешения, предоставленные этой ролью. Разрешения из нескольких групп являются накопительными для пользователя, и нет вариантов для запрета определенных разрешений. Однако вы можете использовать теги области с RBAC, чтобы ограничить область того, что различные группы пользователей могут просматривать и управлять ими.

Важно!

Корпорация Майкрософт не рекомендует использовать учетные записи с Intune разрешениями уровня администратора для ежедневного управления, если достаточно ролей с меньшими привилегиями. Однако разрешения администратора Intune необходимы во время начальной настройки Intune для таких задач, как:

  • Добавьте пользователей в Intune, которые выступают в качестве администраторов Intune. (См . раздел Добавление пользователей)
  • Создайте группы пользователей, которые совместно используют аналогичные административные обязанности. (См . раздел Добавление групп)
  • Назначьте роли RBAC группам пользователей, предоставляя каждой группе только разрешения, необходимые для выполнения повседневных задач. (Эта статья)

После выполнения этих действий переключитесь на учетную запись с разрешениями, необходимыми для текущего администрирования, чтобы обеспечить соблюдение принципа минимальных привилегий.

Разрешения RBAC, необходимые для назначения ролей

Для управления ролями и назначениями RBAC в Intune учетная запись должна иметь один из следующих наборов разрешений:

  • Встроенная роль Intune администратора роли Intune. Встроенная роль с наименьшими привилегиями

  • Настраиваемая роль, которая включает следующие категории и разрешения категорий:

    Роли:

    • Назначение
    • Создание
    • Удалить
    • Чтение
    • Обновление

    Организация:

    • Чтение

Развертывание назначений ролей Intune

Прежде чем развертывать Intune роли, ознакомьтесь с разделом Сведения о назначениях ролей Intune, в котором содержатся сведения о нескольких аспектах назначения Intune ролей.

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Администрирование> клиентаРоли>Все роли.

  2. На странице Intune роли — все роли можно найти все Intune роли, которые можно назначить в клиенте. У каждой роли есть тип, который определяет ее как встроенную роль, предоставляемую Intune, или настраиваемую роль Intune, созданную вашей организацией.

    Выберите роль, которую вы хотите назначить, а затем выберите Назначения>+ Назначить.

  3. На странице Основные сведения введите имя и необязательное описание, а затем нажмите кнопку Далее.

  4. На странице группы Администратор выберите Добавить группы, а затем выберите группу, содержащую пользователей, которым требуется назначить разрешения на роли.

    Совет

    При назначении роли группе каждый член этой группы получает разрешения, предоставленные этой ролью. Назначьте роли только группам, членство в которых известно и в которые не входят пользователи, которые не должны получать права администратора, предоставляемые ролью.

    Нажмите кнопку Далее.

  5. На странице Область (группы) добавьте группы, содержащие только пользователей или устройства, которыми должны управлять члены групп Администратор, выбранных на предыдущем шаге. Затем выберите Далее.

    Примечание.

    Группы Все пользователи и Все устройстваявляются Intune виртуальными группами, а не Microsoft Entra группами безопасности. Поэтому их нельзя использовать в качестве родителей для Microsoft Entra групп безопасности в назначениях области (группы). Чтобы назначить всех пользователей и все устройства, а также определенные Microsoft Entra группы безопасности, добавьте их отдельно. В противном случае администраторы не будут иметь доступа к определенным Microsoft Entra группам пользователей, даже если для области (группы) роли задано значение Все пользователи.

    Вложение поддерживается для Microsoft Entra групп безопасности.

  6. На странице Область (теги) выберите теги, в которых применяется это назначение роли. Нажмите кнопку Далее.

    Примечание.

    При определении область групп и последующем назначении тега область администраторы могут ориентироваться только на группы, перечисленные в области (группы) назначения роли.

  7. На странице Проверка и создание нажмите кнопку Создать.

Новое назначение появится в списке назначений.

Связанные материалы