Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сведения, приведенные в этой статье, помогут вам назначить пользователей Microsoft Intune встроенные или настраиваемые роли управления доступом на основе ролей (RBAC) пользователям, которые управляют вашей подпиской на Intune. Роли RBAC назначаются группам, а не отдельным пользователям.
Перед назначением ролей группам убедитесь, что у вас достаточно групп для различных Intune административных задач, и проверьте членство в этих группах. Каждый член группы, которому назначена роль RBAC, получает разрешения, предоставленные этой ролью. Разрешения из нескольких групп являются накопительными для пользователя, и нет вариантов для запрета определенных разрешений. Однако вы можете использовать теги области с RBAC, чтобы ограничить область того, что различные группы пользователей могут просматривать и управлять ими.
Примечание.
Если администратор принадлежит к нескольким назначениям ролей, которые используют разные теги область, поведение Intune по умолчанию объединяет разрешения для этих назначений. Это может привести к более широкому доступу, чем предполагалось. Чтобы понять или изменить это поведение, см . статью Поведение разрешений в назначениях ролей.
Важно!
Корпорация Майкрософт не рекомендует использовать учетные записи с Intune разрешениями уровня администратора для ежедневного управления, если достаточно ролей с меньшими привилегиями. Однако разрешения администратора Intune необходимы во время начальной настройки Intune для таких задач, как:
- Добавьте пользователей в Intune, которые выступают в качестве администраторов Intune. (См . раздел Добавление пользователей)
- Создайте группы пользователей, которые совместно используют аналогичные административные обязанности. (См . раздел Добавление групп)
- Назначьте роли RBAC группам пользователей, предоставляя каждой группе только разрешения, необходимые для выполнения повседневных задач. (Эта статья)
После выполнения этих действий переключитесь на учетную запись с разрешениями, необходимыми для текущего администрирования, чтобы обеспечить соблюдение принципа минимальных привилегий.
Разрешения RBAC, необходимые для назначения ролей
Для управления ролями и назначениями RBAC в Intune учетная запись должна иметь один из следующих наборов разрешений:
Встроенная роль Intune администратора роли Intune. Встроенная роль с наименьшими привилегиями
Настраиваемая роль, которая включает следующие разрешения и действия:
Роли:
- Назначение
- Создание
- Удалить
- Чтение
- Обновление
Организация:
- Чтение
Примечание.
Расширенная безопасность. Утверждение нескольких Администратор теперь поддерживает управление доступом на основе ролей. Если этот параметр включен, второй администратор должен утвердить изменения ролей. Эти изменения могут включать обновления разрешений ролей, групп администраторов или назначений групп участников. Изменение вступает в силу только после утверждения. Этот процесс двойной авторизации помогает защитить организацию от несанкционированных или случайных изменений управления доступом на основе ролей. Дополнительные сведения см. в разделе Использование утверждения нескольких Администратор в Intune.
Развертывание назначений ролей Intune
Прежде чем развертывать Intune роли, ознакомьтесь с разделом Сведения о назначениях ролей Intune, в котором содержатся сведения о нескольких аспектах назначения Intune ролей.
Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Администрирование> клиентаРоли>Все роли.
На странице Intune роли — все роли можно найти все Intune роли, которые можно назначить в клиенте. У каждой роли есть тип, который определяет ее как встроенную роль, предоставляемую Intune, или настраиваемую роль Intune, созданную вашей организацией.
Выберите роль, которую вы хотите назначить, а затем выберите Назначения>+ Назначить.
На странице Основные сведения введите имя и необязательное описание, а затем нажмите кнопку Далее.
На странице группы Администратор выберите Добавить группы, а затем выберите группу, содержащую пользователей, которым требуется назначить разрешения на роли.
Совет
При назначении роли группе каждый член этой группы получает разрешения, предоставленные этой ролью. Назначьте роли только группам, членство в которых известно и в которые не входят пользователи, которые не должны получать права администратора, предоставляемые ролью.
Примечание.
Если клиент разрешает нелицензированные администраторы, Intune назначения ролей применяются только к непосредственным членам назначенной группы безопасности. Члены вложенных групп не получают эти назначения по умолчанию. Однако если пользователь во вложенной группе имеет лицензию на Intune, он получит роль Intune.
Нажмите кнопку Далее.
На странице Область (группы) добавьте группы, содержащие только пользователей или устройства, которыми должны управлять члены групп Администратор, выбранных на предыдущем шаге. Затем выберите Далее.
Примечание.
Группы Все пользователи и Все устройстваявляются Intune виртуальными группами, а не Microsoft Entra группами безопасности. Поэтому их нельзя использовать в качестве родителей для Microsoft Entra групп безопасности в назначениях области (группы). Чтобы назначить всех пользователей и все устройства, а также определенные Microsoft Entra группы безопасности, добавьте их отдельно. В противном случае администраторы не будут иметь доступа к определенным Microsoft Entra группам пользователей, даже если для области (группы) роли задано значение Все пользователи.
Вложение поддерживается для Microsoft Entra групп безопасности.
На странице Область (теги) выберите теги, в которых применяется это назначение роли. Нажмите кнопку Далее.
Примечание.
При определении область групп и последующем назначении тега область администраторы могут ориентироваться только на группы, перечисленные в области (группы) назначения роли.
На странице Проверка и создание нажмите кнопку Создать.
Новое назначение появится в списке назначений.