Usar el control de acceso basado en roles (RBAC) y las etiquetas de ámbito para TI distribuida
Puede usar el control de acceso basado en rol y las etiquetas de ámbito para asegurarse de que los administradores adecuados tienen el acceso y la visibilidad correctos a los objetos de Intune necesarios. Los roles determinan qué administradores de acceso tienen a qué objetos. Las etiquetas de ámbito determinan qué objetos pueden ver los administradores.
Por ejemplo, supongamos que un administrador de la oficina regional de Seattle tiene el rol Administrador de directivas y perfiles. Quiere que este administrador vea y administre solo los perfiles y las directivas que solo se aplican a los dispositivos de Seattle. Para configurar este acceso, haga lo siguiente:
- Cree una etiqueta de ámbito denominada Seattle.
- Cree una asignación de roles para el rol Administrador de perfiles y directivas con:
- Miembros (Grupos) = Un grupo de seguridad denominado Administradores de TI de Seattle. Todos los administradores de este grupo tendrán permiso para administrar directivas y perfiles para usuarios o dispositivos en el ámbito (Grupos).
- Ámbito (Grupos) = Un grupo de seguridad denominado Usuarios de Seattle. Todos los usuarios o dispositivos de este grupo pueden tener sus perfiles y directivas administrados por los administradores de los miembros (Grupos).
- Ámbito (etiquetas) = Seattle. Los administradores del miembro (Grupos) pueden ver Intune objetos que también tienen la etiqueta de ámbito de Seattle.
- Agregue la etiqueta de ámbito de Seattle a las directivas y perfiles a los que desea que los administradores de Miembros (Grupos) tengan acceso.
- Agregue la etiqueta de ámbito de Seattle a los dispositivos que desee que estén visibles para los administradores en miembros (Grupos).
Etiqueta de ámbito predeterminada
La etiqueta de ámbito predeterminada se agrega automáticamente a todos los objetos sin etiqueta que admiten etiquetas de ámbito.
La característica de etiqueta de ámbito predeterminada es similar a la característica de ámbitos de seguridad de Microsoft Configuration Manager.
Nota:
Al configurar o editar directivas de Intune, es posible que algunos tipos de directivas no muestren la página de configuración Etiquetas de ámbito si no hay etiquetas de ámbito definidas personalizadas para el inquilino. Si no ve la opción Etiqueta de ámbito, asegúrese de que se haya definido al menos una etiqueta además de la etiqueta de ámbito predeterminada.
Para crear una etiqueta de ámbito
La creación, actualización o eliminación de etiquetas de ámbito requiere que un administrador tenga asignado el rol De administrador global o Intune administrador de entrad. Los administradores con una etiqueta de ámbito en su asignación de roles no pueden actualizar ni eliminar la etiqueta de ámbito de la lista maestra de etiquetas de ámbito.
En el centro de administración de Microsoft Intune, elija Ámbito deroles> de administración> deinquilinos (etiquetas)>Crear.
En la página Aspectos básicos , proporcione un nombre y una descripción opcional. Elija Siguiente.
En la página Asignaciones , elija los grupos que contienen los dispositivos a los que desea asignar esta etiqueta de ámbito. Elija Siguiente.
En la página Revisar y crear , elija Crear.
Importante
Las asignaciones de etiquetas de ámbito automático sobrescribirán las etiquetas de ámbito asignadas manualmente. Si a un dispositivo se le asignan varias etiquetas de ámbito mediante la asignación de grupos, se aplicarán todas las etiquetas de ámbito.
Para asignar una etiqueta de ámbito a un rol
En el centro de administración de Microsoft Intune, elijaRoles> de administración >deinquilinos Todos los roles> elija un rol >Asignación de asignaciones>.
En la página Aspectos básicos , proporcione un nombre de asignación y una descripción. Elija Siguiente.
En la página Administración Grupos, elija Agregar grupos y seleccione los grupos que desee como parte de esta asignación. Los usuarios de estos grupos tendrán permisos para administrar usuarios o dispositivos en el ámbito (Grupos). Elija Siguiente.
En la página Ámbito Grupos, seleccione una de las siguientes opciones para Grupos incluidos:
- Agregar grupos: seleccione los grupos que contienen los usuarios o dispositivos que desea administrar. Todos los usuarios o dispositivos de los grupos seleccionados serán administrados por los usuarios de la Administración Grupos.
- Agregar todos los usuarios: los usuarios de la Administración Grupos pueden administrar todos los usuarios.
- Agregar todos los dispositivos: los usuarios de la Administración Grupos pueden administrar todos los dispositivos.
Elija Siguiente
En la de identificación ámbito, seleccione las etiquetas que quiere agregar a este rol. Los usuarios de la Administración Grupos tendrán acceso a Intune objetos que también tienen la misma etiqueta de ámbito. Puede asignar un máximo de 100 etiquetas de ámbito a un rol.
Elija Siguiente para ir a la página Revisar y crear y, a continuación, elija Crear.
Asignación de etiquetas de ámbito a otros objetos
En el caso de los objetos que admiten etiquetas de ámbito, las etiquetas de ámbito suelen aparecer en Propiedades. Por ejemplo, para asignar una etiqueta de ámbito a un perfil de configuración, siga estos pasos:
En el centro de administración de Microsoft Intune, elija Dispositivos>Administrar dispositivos>Configuración> elija un perfil.
Elija Propiedades>Ámbito (etiquetas)>Editar>Seleccione etiquetas> de ámbito y elija las etiquetas que desea agregar al perfil. Puede asignar un máximo de 100 etiquetas de ámbito a un objeto.
Elija Seleccionar>Revisar y guardar.
Detalles de la etiqueta de ámbito
Al trabajar con etiquetas de ámbito, recuerde estos detalles:
- Puede asignar etiquetas de ámbito a un tipo de objeto Intune si el inquilino puede tener varias versiones de ese objeto (como asignaciones de roles o aplicaciones).
Los siguientes objetos Intune son excepciones a esta regla y actualmente no admiten etiquetas de ámbito:
- Identificadores de dispositivo de corp
- Dispositivos Autopilot
- Ubicaciones de cumplimiento de dispositivos
- Dispositivos Jamf
- Las aplicaciones del Programa de compras por volumen (VPP) y los libros electrónicos asociados al token de VPP heredan las etiquetas de ámbito asignadas al token de VPP asociado.
- Cuando un administrador crea un objeto en Intune, todas las etiquetas de ámbito asignadas a ese administrador se asignarán automáticamente al nuevo objeto.
- Intune RBAC no se aplica a los roles de Microsoft Entra. Por lo tanto, los roles administradores de servicios Intune y administradores globales tienen acceso de administrador completo a Intune independientemente de las etiquetas de ámbito que tengan.
- Si una asignación de roles no tiene ninguna etiqueta de ámbito, ese administrador de TI puede ver todos los objetos en función de los permisos de los administradores de TI. Los administradores que no tienen etiquetas de ámbito básicamente tienen todas las etiquetas de ámbito.
- Solo puede asignar una etiqueta de ámbito que tenga en las asignaciones de roles.
- Solo puede dirigirse a grupos que aparecen en el ámbito (Grupos) de la asignación de roles.
- Si tiene una etiqueta de ámbito asignada a su rol, no puede eliminar todas las etiquetas de ámbito de un objeto Intune. Se requiere al menos una etiqueta de ámbito.
Pasos siguientes
Obtenga información sobre cómo se comportan las etiquetas de ámbito cuando hay varias asignaciones de roles. Administre los roles y perfiles.