Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Proteger o acesso à sua organização é um passo de segurança essencial. Este artigo apresenta detalhes fundamentais para a utilização de controlos de acesso baseados em funções (RBAC) do Microsoft Intune, que são uma extensão de Microsoft Entra controlos RBAC de ID. Os artigos subsequentes podem ajudá-lo a implementar o RBAC do Intune na sua organização.
Com o RBAC do Intune, pode conceder permissões granulares aos seus administradores para controlar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Quando atribui funções RBAC do Intune e segue os princípios de acesso com menos privilégios, os administradores podem realizar as tarefas atribuídas apenas nos utilizadores e dispositivos que devem ter capacidade para gerir.
Funções RBAC
Cada função RBAC do Intune especifica um conjunto de permissões que estão disponíveis para os utilizadores atribuídos a essa função. As permissões são compostas por uma ou mais categorias de gestão, como Configuração do dispositivo ou Dados de auditoria, e conjuntos de ações que podem ser realizadas como Leitura, Escrita, Atualização e Eliminação. Em conjunto, definem o âmbito do acesso administrativo e das permissões no Intune.
O Intune inclui funções incorporadas e personalizadas. As funções incorporadas são as mesmas em todos os inquilinos e são fornecidas para abordar cenários administrativos comuns, enquanto as funções personalizadas que cria permitem permissões específicas, conforme necessário, por um administrador. Além disso, várias funções de Microsoft Entra incluem permissões no Intune.
Para ver uma função no centro de administração do Intune, aceda aFunções> de administração> deinquilinos Todas as funções> e selecione uma função. Em seguida, pode gerir essa função através das seguintes páginas:
- Propriedades: o nome, a descrição, as permissões e as marcas de escopo da função. Também pode ver o nome, a descrição e as permissões das funções incorporadas nesta documentação em Permissões de funções incorporadas.
- Atribuições: selecione uma atribuição para uma função para ver detalhes sobre a mesma, incluindo os grupos e âmbitos que a atribuição inclui. Uma função pode ter múltiplas atribuições e um utilizador pode receber várias atribuições.
Observação
Em junho de 2021, o Intune começou a apoiar administradores não licenciados. As contas de utilizador criadas após esta alteração podem administrar o Intune sem uma licença atribuída. As contas criadas antes desta alteração e as contas de administrador num grupo de segurança aninhado atribuído a uma função ainda necessitam de uma licença para gerir o Intune.
Funções internas
Um administrador do Intune com permissões suficientes pode atribuir qualquer uma das funções do Intune a grupos de utilizadores. As funções incorporadas concedem permissões específicas necessárias para realizar tarefas administrativas que se alinham com a finalidade da função. O Intune não suporta edições à descrição, tipo ou permissões de uma função incorporada.
- Gerenciador de Aplicativos: gerencia os aplicativos móveis e gerenciados, pode ler as informações do dispositivo e pode exibir os perfis de configuração do dispositivo.
- Endpoint Privilege Manager: gere Gerenciamento de privilégios de ponto de extremidade políticas na consola do Intune.
- Leitor de Privilégios de Ponto Final: os Leitores de Privilégios de Ponto Final podem ver Gerenciamento de privilégios de ponto de extremidade políticas na consola do Intune.
- Endpoint Security Manager: gere funcionalidades de segurança e conformidade, tais como linhas de base de segurança, conformidade do dispositivo, Acesso Condicional e Microsoft Defender para Ponto de Extremidade.
- Operador do Suporte Técnico: realiza tarefas remotas em usuários e dispositivos e pode atribuir aplicativos ou políticas a usuários ou dispositivos.
- Administrador de Funções do Intune: gerencia funções personalizadas do Intune e adiciona atribuições a funções internas do Intune. É a única função do Intune que pode atribuir permissões a Administradores.
- Política e Gerenciador de Perfis: gerencia políticas de conformidade, perfis de configuração, registro da Apple, identificadores de dispositivo corporativo e linhas de base de segurança.
- Operador Somente Leitura: exibe informações de usuário, dispositivo, registro, configuração e aplicativo. Não é possível fazer alterações no Intune.
- Administrador da Escola: os Administradores escolares gerem aplicações, definições e dispositivos para os respetivos grupos no Intune for Education. Podem realizar ações remotas em dispositivos, incluindo bloqueá-los remotamente, reiniciá-los e retirá-los da gestão.
Quando o seu inquilino inclui uma subscrição para Windows 365 para suportar PCs na Cloud, também verá as seguintes funções de PC na Cloud no centro de administração do Intune. Estas funções não estão disponíveis por predefinição e incluem permissões no Intune para tarefas relacionadas com PCs na Cloud. Para obter mais informações sobre estas funções, veja Funções incorporadas do Cloud PC na documentação do Windows 365.
- Administrador de PC na Cloud: um Administrador de PC na Cloud tem acesso de Leitura e Escrita a todas as funcionalidades do CLOUD PC localizadas na área do PC na Cloud.
- Leitor de PC na Cloud: um Leitor de PC na Cloud tem acesso de Leitura a todas as funcionalidades do CLOUD PC localizadas na área do CLOUD PC.
Funções personalizadas
Pode criar as suas próprias funções personalizadas do Intune para conceder aos administradores apenas as permissões específicas necessárias para as respetivas tarefas. Estas funções personalizadas podem incluir qualquer permissão RBAC do Intune, permitindo acesso de administrador refinado e suporte para o princípio de acesso com menos privilégios dentro da organização.
Veja Criar uma função personalizada.
Microsoft Entra funções com acesso ao Intune
As permissões RBAC do Intune são um subconjunto de permissões RBAC Microsoft Entra. Como subconjunto, existem algumas funções Microsoft Entra que incluem permissões no Intune. A maioria das Entra ID funções que têm acesso ao Intune são consideradas funções privilegiadas. A utilização e atribuição de funções com privilégios devem ser limitadas e não devem ser utilizadas para tarefas administrativas diárias no Intune.
A Microsoft recomenda seguir o princípio das permissões mínimas ao atribuir apenas as permissões mínimas necessárias para que um administrador efetue as suas funções. Para suportar este princípio, utilize as funções RBAC incorporadas do Intune para tarefas administrativas diárias do Intune e evite utilizar Microsoft Entra funções que têm acesso ao Intune.
A tabela seguinte identifica as funções Microsoft Entra que têm acesso ao Intune e as permissões do Intune que incluem.
| Microsoft Entra função | Todos os dados do Intune | Dados de auditoria do Intune |
|---|---|---|
Ícone  de Administrador Global |
Leitura/gravação | Leitura/gravação |
| Ícone de do Administrador de Serviços do Intune |
Leitura/gravação | Leitura/gravação |
| Ícone de de Administrador de Acesso Condicional |
Nenhum | Nenhum |
| Ícone etiqueta de Administrador de Segurança |
Somente leitura (permissões administrativas completas para o nó de Segurança do Ponto de Extremidade) | Somente leitura |
| Ícone do Operador de Segurança |
Somente leitura | Somente leitura |
| Ícone do Leitor de Segurança |
Somente leitura | Somente leitura |
| Administrador de Conformidade | Nenhum | Somente leitura |
| Administrador de Dados de Conformidade | Nenhum | Somente leitura |
| Ícone de de Leitor Global (esta função é equivalente à função operador do Suporte Técnico do Intune) |
Somente Leitura | Somente Leitura |
| Ícone etiqueta do administrador de suporte técnico (esta função é equivalente à função operador do Suporte Técnico do Intune) |
Somente Leitura | Somente Leitura |
| Leitor de Relatórios | Nenhum | Somente Leitura |
Além das funções Microsoft Entra com permissão no Intune, as três áreas seguintes do Intune são extensões diretas de Microsoft Entra: Utilizadores, Grupos e Acesso Condicional. As instâncias destes objetos e configurações feitas a partir do Intune existem no Microsoft Entra. Como objetos Microsoft Entra, podem ser geridos por Microsoft Entra administradores com permissões suficientes concedidas por uma função de Microsoft Entra. Da mesma forma, os administradores do Intune com permissões suficientes para o Intune podem ver e gerir estes tipos de objeto criados no Microsoft Entra.
Funções de Administrador Global e Administrador do Intune
A função de Administrador Global é uma função incorporada no Microsoft Entra e tem acesso total ao Microsoft Intune. Os administradores globais têm acesso a funcionalidades administrativas no Microsoft Entra ID e serviços que utilizam identidades Microsoft Entra, incluindo o Microsoft Intune.
Para reduzir o risco:
Não utilize a função de Administrador Global no Intune. A Microsoft não recomenda a utilização da função de Administrador Global para administrar ou gerir o Intune.
Existem algumas funcionalidades no Intune que requerem a função de Administrador Global, como alguns conectores de defesa contra ameaças para dispositivos móveis (MTD). Nestes casos, utilize a função Administrador Global apenas quando necessário e, em seguida, remova-a quando a tarefa estiver concluída.
Utilize as funções incorporadas do Intune ou crie funções personalizadas para administrar e gerir o Intune.
Atribua a função menos privilegiada do Intune necessária para que o administrador efetue as respetivas tarefas.
Para saber mais sobre a função de Administrador Global do Microsoft Entra, veja Microsoft Entra funções incorporadas – Administrador Global.
A função administrador do Intune é uma função incorporada no Microsoft Entra e também é conhecida como função de Administrador de Serviços do Intune. Tem um âmbito limitado de permissões para administrar e gerir o Intune e gerir funcionalidades relacionadas, como a gestão de utilizadores e grupos. Esta função é adequada para administradores que apenas precisam de administrar o Intune.
Para reduzir o risco:
- Atribua a função de Administrador do Intune apenas conforme necessário. Se existir uma função incorporada do Intune que satisfaça as necessidades do administrador, atribua essa função em vez da função de Administrador do Intune. Atribua sempre a função menos privilegiada do Intune necessária para que o administrador efetue as respetivas tarefas.
- Crie funções personalizadas para limitar ainda mais o âmbito das permissões para os seus administradores.
Controlos de Segurança Melhorados:
A Aprovação multi Administração suporta agora o controlo de acesso baseado em funções. Quando esta definição está ativada, um segundo administrador tem de aprovar as alterações às funções. Estas alterações podem incluir atualizações para permissões de função, grupos de administradores ou atribuições de grupos de membros. A alteração só entra em vigor após a aprovação. Este processo de autorização dupla ajuda a proteger a sua organização contra alterações de controlo de acesso baseadas em funções não autorizadas ou acidentais. Para obter mais informações, veja Utilizar a Aprovação multi Administração no Intune.
Para saber mais sobre a Microsoft Entra função de Administrador do Intune, veja Microsoft Entra funções incorporadas – Administrador do Intune.
Privileged Identity Management para o Intune
Quando utiliza Entra ID Privileged Identity Management (PIM), pode gerir quando um utilizador pode utilizar os privilégios fornecidos por uma função RBAC do Intune ou a função de Administrador do Intune de Entra ID.
O Intune suporta dois métodos de elevação de funções. Existem diferenças de desempenho e de privilégios mínimos entre os dois métodos.
Método 1: criar uma política just-in-time (JIT) com Microsoft Entra Privileged Identity Management (PIM) para a Microsoft Entra função de Administrador do Intune incorporada e atribuí-la uma conta de administrador.
Método 2: utilize Privileged Identity Management (PIM) para Grupos com uma atribuição de função RBAC do Intune. Para obter mais informações sobre como utilizar o PIM para Grupos com funções RBAC do Intune, veja: Configurar o acesso de administrador just-in-time do Microsoft Intune com Microsoft Entra PIM para Grupos | Microsoft Community Hub
Quando utiliza a elevação de PIM para a função de Administrador do Intune a partir de Entra ID, a elevação ocorre normalmente dentro de 10 segundos. Normalmente, a elevação baseada em Grupos PIM para as funções incorporadas ou personalizadas do Intune demora até 15 minutos a aplicar.
Acerca das atribuições de funções do Intune
As funções personalizadas e incorporadas do Intune são atribuídas a grupos de utilizadores. Uma função atribuída aplica-se a cada utilizador no grupo e define:
- quais usuários são atribuídos à função
- quais recursos eles podem ver
- quais recursos eles podem alterar.
Cada grupo a que é atribuída uma função do Intune deve incluir apenas os utilizadores autorizados a efetuar as tarefas administrativas para essa função.
- Se uma função incorporada com menos privilégios conceder privilégios ou permissões excessivos, considere utilizar uma função personalizada para limitar o âmbito do acesso administrativo.
- Ao planear atribuições de funções, considere os resultados de um utilizador com várias atribuições de funções.
Para que um utilizador tenha uma função do Intune atribuída e tenha acesso para administrar o Intune, não necessita de uma licença do Intune se a conta tiver sido criada no Entra após junho de 2021. As contas criadas antes de junho de 2021 requerem a atribuição de uma licença para utilizar o Intune.
Para ver uma atribuição de função existente, selecioneFunções> deadministração> de inquilinos do IntuneTodas as funções> selecionam > uma função >Atribuições> escolher uma atribuição. Na página Propriedades das atribuições, pode editar:
Informações básicas: o nome e a descrição das atribuições.
Membros: os membros são os grupos que estão configurados na página grupos de Administração ao criar uma atribuição de função. Todos os utilizadores nos grupos de segurança do Azure listados têm permissão para gerir os utilizadores e dispositivos listados no Âmbito (Grupos).
Âmbito (Grupos): utilize o Âmbito (Grupos) para definir os grupos de utilizadores e dispositivos que um administrador com esta atribuição de função pode gerir. Os utilizadores administrativos com esta atribuição de função podem utilizar as permissões concedidas pela função para gerir todos os utilizadores ou dispositivos nos grupos de âmbito definidos pelas atribuições de funções.
Dica
Quando configura um grupo de âmbito, limite o acesso ao selecionar apenas os grupos de segurança que incluem o utilizador e os dispositivos que um administrador com esta atribuição de função deve gerir. Para garantir que os administradores com esta função não conseguem direcionar todos os utilizadores ou todos os dispositivos, não selecione Adicionar todos os utilizadores ou Adicionar todos os dispositivos.
Se especificar um grupo de exclusão para uma atribuição, como uma atribuição de política ou de aplicação, este tem de ser aninhado num dos grupos de âmbito de atribuição RBAC ou tem de ser listado separadamente como um grupo de âmbito na atribuição de função RBAC.
Etiquetas de Âmbito: os utilizadores administrativos a quem foi atribuída esta atribuição de função podem ver os recursos que têm as mesmas etiquetas de âmbito.
Observação
As Etiquetas de Âmbito são valores de texto de forma livre que um administrador define e, em seguida, adiciona a uma atribuição de função. A etiqueta de âmbito adicionada numa função controla a visibilidade da própria função. A etiqueta de âmbito adicionada na atribuição de funções limita a visibilidade dos objetos do Intune, como políticas, aplicações ou dispositivos, a apenas administradores nessa atribuição de função porque a atribuição de função contém uma ou mais etiquetas de âmbito correspondentes.
Várias atribuições de função
Se um usuário tiver várias atribuições de função, permissões e marcas de escopo, essas atribuições de função se estenderão a diferentes objetos, da seguinte maneira:
- As permissões são incrementais no caso de duas ou mais funções concederem permissões para o mesmo objeto. Um utilizador com permissões de Leitura de uma função e Leitura/escrita de outra função, por exemplo, tem uma permissão efetiva de Leitura/Escrita (assumindo que as atribuições para ambas as funções visam as mesmas etiquetas de âmbito).
- Permissões de atribuição e marcas de escopo se aplicam somente aos objetos (como políticas ou aplicativos) no escopo (grupos) da atribuição dessa função. Permissões de atribuição e marcas de escopo não se aplicam a objetos em outras atribuições de função, a menos que outra atribuição as conceda especificamente.
- Outras permissões (como de criação, leitura, atualização e exclusão) e marcas de escopo se aplicam a todos os objetos do mesmo tipo (como todas as políticas ou todos os aplicativos), em qualquer uma das atribuições do usuário.
- Permissões e marcas de escopo para objetos de tipos diferentes (como políticas ou aplicativos) não se aplicam umas às outras. Uma permissão de leitura para uma política, por exemplo, não fornece uma permissão de leitura a aplicativos nas atribuições do usuário.
- Quando não existem etiquetas de âmbito ou algumas etiquetas de âmbito são atribuídas a partir de atribuições diferentes, um utilizador só pode ver dispositivos que fazem parte de algumas etiquetas de âmbito e não conseguem ver todos os dispositivos.
Monitorizar atribuições RBAC
Esta e as três subsecções estão em curso
No centro de administração do Intune, pode aceder aFunções de Administrador > de inquilinose expandir o Monitor para encontrar várias vistas que o podem ajudar a identificar as permissões que diferentes utilizadores têm no seu inquilino do Intune. Por exemplo, num ambiente administrativo complexo, pode utilizar a vista de permissões Administração para especificar uma conta para que possa ver o âmbito atual dos privilégios administrativos.
As minhas permissões
Quando seleciona este nó, vê uma lista combinada das categorias e permissões rbac atuais do Intune que a sua conta é concedida. Esta lista combinada inclui todas as permissões de todas as atribuições de funções, mas não as atribuições de funções que lhes fornecem ou a associação a grupos a que estão atribuídas.
Funções por permissão
Com esta vista, pode ver detalhes sobre uma categoria e permissão RBAC do Intune específicas, e através das atribuições de funções e para que grupos essa combinação é disponibilizada.
Para começar, selecione uma Categoria de permissão do Intune e, em seguida, uma Permissão específica dessa categoria. Em seguida, o centro de administração apresenta uma lista de instâncias que levam à atribuição dessa permissão que inclui:
- Nome a apresentar da função – o nome da função RBAC incorporada ou personalizada que concede a permissão.
- Nome a apresentar da atribuição de função – o nome da atribuição de função que atribui a função a grupos de utilizadores.
- Nome do grupo – o nome do grupo que recebe essa atribuição de função.
permissões de Administração
Utilize o nó de permissões Administração para identificar as permissões específicas concedidas atualmente por uma conta.
Comece por especificar uma Conta de utilizador . Desde que o utilizador tenha permissões do Intune atribuídas à conta, o Intune apresenta a lista completa dessas permissões identificadas por Categoria e Permissão.
