Управление доступом на основе ролей (RBAC) в Microsoft Intune
Управление доступом на основе ролей (RBAC) помогает управлять доступом пользователей к ресурсам вашей организации и выполнению операций с этими ресурсами. Назначая роли пользователям Intune, можно ограничить их права на просмотр и изменение. Каждая роль имеет набор разрешений, которые определяют, что пользователи с этой ролью могут просматривать и изменять в вашей организации.
Для создания, изменения или назначения ролей ваша учетная запись должна иметь одно из следующих разрешений в идентификаторе Microsoft Entra:
- Глобальный администратор
- Администратор службы Intune (или администратор Intune)
Роли
Роль определяет набор разрешений для пользователей, назначенных этой роли. Можно использовать встроенные и пользовательские роли. Встроенные роли предназначены для распространенных сценариев Intune. Вы можете создавать собственные настраиваемые роли с точным набором необходимых разрешений. Несколько ролей Microsoft Entra имеют разрешения для Intune. Чтобы просмотреть роль в Центре администрирования Intune, перейдите в раздел Администрирование> клиентаРоли>Все роли> выбирают роль. Управлять ролью можно на следующих страницах.
- Свойства. Имя, описание, тип, разрешения и теги области для роли.
- Назначения. Список назначения ролей, определяющий, какие пользователи имеют доступ к каким пользователям или устройствам. Роль может иметь несколько назначений, и пользователь может быть в нескольких назначениях.
Примечание.
Для администрирования Intune вам должна быть назначена лицензия Intune. Либо можно разрешить нелицензированным пользователям администрировать Intune, задав для параметра Разрешить доступ администраторам без лицензии значение "Да".
Встроенные роли
Встроенные роли можно назначить группам без дальнейшей настройки. Невозможно удалить или изменить имя, описание, тип или разрешения встроенной роли.
- Диспетчер приложений. Управляет мобильными и управляемыми приложениями. Может читать информацию об устройстве и просматривать его профили конфигурации.
- Endpoint Privilege Manager. Управляет политиками управления привилегиями конечных точек в консоли Intune.
- Читатель привилегий конечной точки. Средства чтения привилегий конечных точек могут просматривать политики управления привилегиями конечных точек в консоли Intune.
- Диспетчер безопасности конечной точки. Управляет функциями обеспечения безопасности и соответствия требованиям, такими как базовые показатели безопасности, соответствие устройств требованиям, условный доступ и Microsoft Defender для конечной точки.
- Оператор службы технической поддержки. Выполняет удаленные задачи для пользователей и устройств, а также может назначать пользователям и устройствам приложения или политики.
- Администратор ролей Intune. Управляет пользовательскими ролями Intune и добавляет назначения для встроенных ролей Intune. Это единственная роль Intune, позволяющая назначать разрешения для администраторов.
- Диспетчер политик и профилей. Управляет политикой соответствия требованиям, профилями конфигурации, регистрацией Apple, идентификаторами корпоративных устройств и базовыми показателями безопасности.
- Диспетчер сообщений организации. Управляет сообщениями организации в консоли Intune.
- Оператор с правами "только чтение". Просматривает сведения о пользователях, устройствах, регистрации, конфигурации и приложениях. Не может вносить изменения в Intune.
- Администратор учебного заведения. Управляет устройствами с Windows 10 в Intune для образовательных учреждений.
- Администратор облачных компьютеров. Администратор облачных компьютеров имеет доступ на чтение и запись ко всем функциям облачного компьютера, расположенным в области облачных компьютеров.
- Средство чтения облачных компьютеров. Средство чтения облачных компьютеров имеет доступ на чтение ко всем функциям облачных компьютеров, расположенным в области облачных компьютеров.
Настраиваемые роли
Вы можете создавать собственные роли с настраиваемыми разрешениями. Дополнительные сведения о настраиваемых ролях см. в разделе Создание настраиваемых ролей.
Роли Microsoft Entra с доступом к Intune
Роль Microsoft Entra | Все данные в Intune | Данные аудита Intune |
---|---|---|
Глобальный администратор | Чтение и запись | Чтение и запись |
Администратор службы Intune | Чтение и запись | Чтение и запись |
Администратор условного доступа | Нет | Нет |
Администратор безопасности | Только чтение (полные административные разрешения для узла Endpoint Security) | Только чтение |
Оператор безопасности | Только чтение | Только чтение |
Читатель сведений о безопасности | Только чтение | Только чтение |
Администратор соответствия требованиям | Нет | Только чтение |
Администратор данных соответствия требованиям | Нет | Только чтение |
Глобальный читатель (эта роль эквивалентна роли оператора службы технической поддержки Intune) | Только чтение | Только чтение |
Администратор службы технической поддержки (эта роль эквивалентна роли оператора службы технической поддержки Intune) | Только чтение | Только чтение |
Читатель отчетов | Нет | Только чтение |
Совет
Intune также показывает три расширения Microsoft Entra: пользователи, группы и условный доступ, которые управляются с помощью Microsoft Entra RBAC. Кроме того, администратор учетных записей пользователей выполняет только действия пользователей или групп Microsoft Entra и не имеет полных разрешений на выполнение всех действий в Intune. Дополнительные сведения см. в разделе RBAC с идентификатором Microsoft Entra.
Назначения ролей
Назначение ролей определяет:
- какие пользователи назначены этой роли;
- какие ресурсы они могут видеть;
- какие ресурсы они могут менять.
Вы можете назначать пользователям пользовательские и встроенные роли. Пользователю может быть назначена роль Intune только при наличии лицензии Intune. Чтобы просмотреть назначение ролей, выберите Intune>Администрирование> клиентаРоли>Все роли> выбирают роль >Назначения> выберите назначение. На странице Свойства можно изменить:
- Основные сведения: имена и описание назначений.
- Участники. Все пользователи в перечисленных группах безопасности Azure имеют разрешение на управление пользователями и устройствами, указанными в области (группах).
- Область (группы): группы областей — это группы безопасности Microsoft Entra пользователей или устройств, для которых администраторы в этом назначении ролей могут выполнять операции. Например, развертывание политики или приложения для пользователя или удаленная блокировка устройства. Все пользователи и устройства в этих группах безопасности Microsoft Entra могут управляться пользователями в разделе Участники.
- Область (теги). Пользователи с ролью участника могут просматривать ресурсы, которые имеют те же теги области.
Примечание.
Теги области — это текстовые значения произвольной формы, которые администратор определяет, а затем добавляет к назначению роли. Тег области, добавленный к роли, управляет видимостью самой роли, в то время как тег области, добавленный в назначение роли, ограничивает видимость объектов Intune (таких как политики и приложения) или устройств только администраторами в этом назначении роли, поскольку назначение роли содержит один или более соответствующих тегов области.
Несколько назначений ролей
Если пользователь имеет несколько назначений ролей, разрешений и тегов области, эти назначения ролей распространяются на разные объекты следующим образом:
- Разрешения бывают добавочными в случае, когда две или более ролей предоставляют разрешения для одного и того же объекта. Например, пользователь с разрешениями на чтение от одной роли и чтение и запись из другой роли имеет действующее разрешение на чтение и запись (при условии, что назначения для обеих ролей предназначены для одних и того же тега области).
- Разрешения назначений и теги области применяются только к объектам (например, политикам или приложениям) в области (группах) назначений этой роли. Разрешения назначений и теги области не применяются к объектам в других назначениях ролей, если другие назначения явно не предоставляют их.
- Другие разрешения (такие как создание, чтение, обновление, удаление) и теги областей применяются ко всем объектам одного типа (например, ко всем политикам или всем приложениям) в любых назначениях пользователей.
- Разрешения и теги области для объектов различных типов (например, политик или приложений) не применяются друг к другу. Например, разрешение на чтение для политики не предоставляет разрешение на чтение в приложениях в назначениях пользователя.
- Если нет тегов области или некоторые теги области назначены из разных назначений, пользователь может видеть только устройства, которые являются частью некоторых тегов области и не могут видеть все устройства.