Sdílet prostřednictvím

Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT

  • Článek

Pomocí řízení přístupu na základě role a značek oboru můžete zajistit, aby měli správní správci správný přístup a viditelnost k požadovaným Intune objektům. Role určují, k jakým objektům mají správci přístupu přístup. Značky oboru určují, které objekty můžou správci zobrazit.

Řekněme například, že správce regionální kanceláře Seattle má roli Správce zásad a profilů. Chcete, aby tento správce viděl a spravil jenom profily a zásady, které se vztahují jenom na zařízení v Seattlu. Pokud chcete nastavit tento přístup, proveďte následující:

  1. Vytvořte značku oboru s názvem Seattle.
  2. Vytvořte přiřazení role pro roli Správce zásad a profilů pomocí:
    • Členové (Skupiny) = skupina zabezpečení s názvem Správci IT v Seattlu. Všichni správci v této skupině budou mít oprávnění ke správě zásad a profilů pro uživatele a zařízení v oboru (Skupiny).
    • Obor (Skupiny) = skupina zabezpečení s názvem Seattle users. Všichni uživatelé nebo zařízení v této skupině můžou mít své profily a zásady spravované správci v části Členové (Skupiny).
    • Obor (značky) = Seattle. Správci v členu (Skupiny) můžou zobrazit Intune objekty, které mají také značku oboru Seattle.
  3. Přidejte značku rozsahu Seattle do zásad a profilů, ke kterým mají mít správci v části Členové (Skupiny) přístup.
  4. Přidejte značku rozsahu Seattle na zařízení, která chcete zobrazit správcům v části Členové (Skupiny).

Výchozí značka oboru

Výchozí značka oboru se automaticky přidá do všech neoznačené objekty, které podporují značky oboru.

Výchozí funkce značky oboru je podobná funkci rozsahů zabezpečení v Microsoft Configuration Manager.

Poznámka

Při konfiguraci nebo úpravě zásad Intune nemusí některé typy zásad zobrazit stránku konfigurace Značky oboru, pokud pro tenanta neexistují žádné vlastní definované značky oboru. Pokud možnost Značka oboru nevidíte, ujistěte se, že je kromě výchozí značky oboru definovaná alespoň jedna značka.

Vytvoření značky oboru

Vytvoření, aktualizace nebo odstranění značek oboru vyžaduje, aby správce přiřadil roli Globální správce nebo Intune Adminstrator Entra ID. Správci se značkou oboru v přiřazení role nemůžou aktualizovat ani odstranit značku oboru z hlavního seznamu značek oboru.

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Obor (značky)>Vytvořit.

  2. Na stránce Základy zadejte Název a volitelný popis. Zvolte Další.

  3. Na stránce Přiřazení zvolte skupiny obsahující zařízení, kterým chcete přiřadit tuto značku oboru. Zvolte Další.

  4. Na stránce Zkontrolovat a vytvořit zvolte Vytvořit.

    Důležité

    Přiřazení značek automatického oboru přepíše ručně přiřazené značky oboru. Pokud je zařízení přiřazeno více značek oboru prostřednictvím přiřazení skupiny, použijí se všechny značky oboru.

Přiřazení značky oboru k roli

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Všechny role> zvolte přiřazení> role >Přiřadit.

  2. Na stránce Základy zadejte Název přiřazení a Popis. Zvolte Další.

  3. Na stránce Správa Skupiny zvolte Přidat skupiny a vyberte skupiny, které chcete použít jako součást tohoto přiřazení. Uživatelé v těchto skupinách budou mít oprávnění ke správě uživatelů a zařízení v oboru (Skupiny). Zvolte Další.

    Snímek obrazovky s vybranými skupinami členů

  4. Na stránce Rozsah Skupiny vyberte jednu z následujících možností pro Zahrnuté skupiny:

    • Přidat skupiny: Vyberte skupiny obsahující uživatele nebo zařízení, které chcete spravovat. Všechny uživatele nebo zařízení ve vybraných skupinách budou spravovat uživatelé v Správa Skupiny.
    • Přidat všechny uživatele: Všechny uživatele můžou spravovat uživatelé v Správa Skupiny.
    • Přidat všechna zařízení: Všechna zařízení můžou spravovat uživatelé v Správa Skupiny.

  5. Zvolte Další.

  6. Na stránce Značky oboru vyberte značky, které chcete přidat do této role. Uživatelé v Správa Skupiny budou mít přístup k Intune objektům, které mají také stejnou značku oboru. Roli můžete přiřadit maximálně 100 značek oboru.

  7. Zvolte Další a přejděte na stránku Zkontrolovat a vytvořit a pak zvolte Vytvořit.

Přiřazení značek oboru k jiným objektům

U objektů, které podporují značky oboru, se značky oboru obvykle zobrazují v části Vlastnosti. Pokud chcete například přiřadit značku oboru konfiguračnímu profilu, postupujte takto:

  1. V Centru pro správu Microsoft Intune zvolte Zařízení>Spravovat zařízení>Konfigurace> zvolte profil.

  2. Zvolte Obor vlastností>(značky)>Upravit>Vyberte značky> oboru a zvolte značky, které chcete přidat do profilu. Objektu můžete přiřadit maximálně 100 značek oboru.

  3. Zvolte Vybrat>Zkontrolovat a uložit.

Podrobnosti o značce oboru

Při práci se značkami oboru si pamatujte tyto podrobnosti:

  • Značky oboru můžete přiřadit Intune typu objektu, pokud tenant může mít více verzí tohoto objektu (například přiřazení rolí nebo aplikace). Následující Intune objekty jsou výjimkami z tohoto pravidla a v současné době nepodporují značky oboru:
    • Identifikátory zařízení corp
    • Zařízení Autopilot
    • Umístění dodržování předpisů zařízením
    • Zařízení Jamf
  • Aplikace a elektronické knihy programu VPP (Volume Purchase Program) přidružené k tokenu VPP dědí značky oboru přiřazené k přidruženému tokenu VPP.
  • Když správce vytvoří objekt v Intune, přiřadí se k novému objektu automaticky všechny značky oboru přiřazené danému správci.
  • Intune RBAC se nevztahuje na Microsoft Entra role. Role Intune Service Admins a Global Admins tak mají úplný přístup správce k Intune bez ohledu na to, jaké značky oboru mají.
  • Pokud přiřazení role nemá značku oboru, může správce IT zobrazit všechny objekty na základě oprávnění správců IT. Správci, kteří nemají žádné značky oboru, mají v podstatě všechny značky oboru.
  • Můžete přiřadit jenom značku oboru, kterou máte ve svých přiřazeních rolí.
  • Můžete cílit jenom na skupiny, které jsou uvedené v oboru (Skupiny) přiřazení role.
  • Pokud máte k vaší roli přiřazenou značku oboru, nemůžete u objektu Intune odstranit všechny značky oboru. Vyžaduje se alespoň jedna značka oboru.

Další kroky

Zjistěte, jak se značky oboru chovají, když existuje více přiřazení rolí. Spravujte své role a profily.