Intune control de acceso basado en rol para clientes conectados a inquilinos
Se aplica a: Configuration Manager (rama actual)
A partir de Configuration Manager versión 2207, puede usar Intune control de acceso basado en rol (RBAC) al interactuar con dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune. Por ejemplo, al usar Intune como entidad de control de acceso basada en rol, un usuario con el rol Operador del departamento de soporte técnico no necesita un rol de seguridad asignado ni permisos adicionales de Configuration Manager. Intune control de acceso basado en rol administra los permisos para todas las páginas de dispositivos conectados a la nube en el centro de administración de Microsoft Intune, como la escala de tiempo del dispositivo, CMPivot y scripts.
Importante
Actualmente, cualquier aplicación de Intune control de acceso basado en rol para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune es opcional. Se recomienda que todos los administradores con entornos de Configuration Manager conectados a la nube comiencen a comprobar los permisos de control de acceso basado en rol de Intune.
Los tres pasos de alto nivel para configurar Intune como entidad de control de acceso basada en rol para dispositivos conectados a inquilinos son:
- Desde la consola de Configuration Manager, deshabilite la aplicación de Configuration Manager control de acceso basado en rol para los clientes conectados a la nube.
- Desde Intune, habilite la administración de permisos de usuario para dispositivos conectados a la nube
- Desde Intune, compruebe los permisos de control de acceso basado en rol para dispositivos conectados a la nube.
Requisitos previos
- Configuration Manager versión 2207 o posterior
- Dispositivos conectados a inquilinos
Limitaciones
- Actualmente no se admite el ámbito cuando se usa solo Intune control de acceso basado en rol para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune.
- Actualmente, la página Actualizaciones de software no está disponible para los usuarios solo en la nube cuando se usa el anillo de actualización temprana de Configuration Manager versión 2207.
Deshabilitación de la aplicación de Configuration Manager control de acceso basado en rol para clientes conectados a la nube
Para usar Intune control de acceso basado en rol para la asociación de inquilinos en lugar de Configuration Manager control de acceso basado en rol, siga estas instrucciones:
En la consola de Configuration Manager, vaya a Administración>Cloud Services>Cloud Attach.
La ubicación de la opción de control de acceso basado en rol varía en función de si el entorno ya está conectado a la nube o no.
- Si el entorno ya está conectado a la nube, abra las propiedades de CoMgmtSettingsProd. Si no tiene dispositivos cargados en el centro de administración, configure primero esa opción. Para obtener más información, vea Habilitar la asociación en la nube.
- Si el entorno no está conectado a la nube, seleccione Configurar la conexión a la nube para abrir el Asistente para la configuración de conexión a la nube.
En la pestaña Configurar carga o en la página del asistente, desactive la casilla de la siguiente opción en el encabezado Access Control basado en roles:
Aplicar Configuration Manager RBAC para las solicitudes de consola en la nube que interactúan con Configuration Manager
Elija Aceptar para guardar el cambio en las propiedades de CoMgmtSettingsProd o continuar para completar el asistente de asociación a la nube.
Habilitación del control de acceso basado en rol desde Intune
Para habilitar Intune para administrar permisos de usuario para dispositivos conectados a la nube, siga estos pasos:
- Abra el centro de administración de Microsoft Intune e inicie sesión como un usuario que tenga el permiso Roles/Actualizar. Para obtener más información sobre el permiso, consulte permisos de rol personalizados en Intune.
- Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager.
- En el banner, seleccione También puede administrar los permisos de usuario desde Intune. Haga clic aquí para obtener más información sobre esta opción.
- Aparece el control flotante Usar Intune RBAC.
- Seleccione Activado en la opción Usar Intune RBAC y, a continuación, elija Aplicar.
- El cambio puede tardar unos 10 minutos en surtir efecto.
Comprobar los permisos de control de acceso basado en rol de Intune
Una vez que Intune esté establecido en la entidad de control de acceso basada en roles, compruebe los permisos de los roles. Si es necesario, puede agregar estos permisos a los roles personalizados que creó en Intune.
- Abra el centro de administración de Microsoft Intune e inicie sesión.
- Seleccione Roles de administración de>inquilinos.
- Seleccione un rol, como Application Manager, y revise los permisos enumerados para los dispositivos conectados a la nube. Si es necesario, edite los permisos de los roles personalizados que haya creado en Intune.
Los siguientes permisos de Intune controlan el acceso a los dispositivos conectados a la nube Configuration Manager:
| Permiso | Descripción | Intune roles integrados con el permiso |
|---|---|---|
| Dispositivos conectados a la nube\Ver colecciones | Muestra la página Colecciones para Configuration Manager dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver explorador de recursos | Muestra la página Explorador de recursos para Configuration Manager dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver escala de tiempo | Muestra la página Escala de tiempo de Configuration Manager dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver actualizaciones de software | Muestra la página Actualizaciones de software para Configuration Manager dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator |
| Dispositivos conectados a la nube\Ver scripts | Muestra la página Scripts para Configuration Manager dispositivos conectados a la nube | Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ejecutar script | Muestra la acción Ejecutar script y permite al usuario ejecutar scripts en Configuration Manager dispositivos conectados a la nube | Administrador de la escuela, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ejecutar consulta CMPivot | Muestra la página CMPivot para Configuration Manager dispositivos conectados a la nube | Administrador de seguridad de puntos de conexión, administrador educativo, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver detalles del cliente | Muestra la página Detalles del cliente para Configuration Manager dispositivos conectados a la nube | Administrador de aplicaciones, Administrador de seguridad de puntos de conexión, Operador de solo lectura, Administrador educativo, Administrador de perfiles de directivas, Operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver aplicaciones | Muestra la página Aplicaciones para Configuration Manager dispositivos conectados a la nube | Administrador de aplicaciones, operador de solo lectura, administrador educativo, administrador de perfiles de directivas, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Realizar acciones de aplicación | Muestra las acciones de la aplicación en la página Aplicaciones y permite al usuario realizar acciones de aplicación en Configuration Manager dispositivos conectados a la nube | Administrador de aplicaciones, administrador educativo, operador del departamento de soporte técnico |
| Tareas remotas/Rotar las claves de BitLockerKeys (versión preliminar) | Inicia una rotación de las claves para las contraseñas de recuperación de BitLocker en el dispositivo. Muestra la página Claves de recuperación para Configuration Manager dispositivos conectados a la nube. | Administrador de seguridad de puntos de conexión, operador del departamento de soporte técnico |
Preguntas frecuentes
Tengo usuarios solo en la nube que necesitan acceso a dispositivos conectados a inquilinos en Intune, ¿les dará acceso?
Sí. Cuando un usuario solo está en la nube, en este escenario, lo que significa que está en Microsoft Entra ID y puede acceder a Intune, el uso de Intune RBAC le dará acceso a los dispositivos conectados al inquilino.
¿Qué ocurre si tengo varias jerarquías de Configuration Manager conectadas a mi inquilino?
La opción Usar Intune RBAC en el centro de administración de Microsoft Intune se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino.
¿Qué ocurre si la configuración de Configuration Manager y Intune no coincide?
Si el botón de alternancia Usar Intune RBAC en Intune está establecido en Desactivado, se aplicará Configuration Manager acceso basado en rol, incluso si se aplica Configuration Manager RBAC para las solicitudes de consola en la nube que interactúan con Configuration Manager casilla está desactivada. Deshabilitar la opción Aplicar Configuration Manager RBAC para las solicitudes de consola en la nube que interactúan con Configuration Manager no tiene ningún efecto hasta que el botón de alternancia Usar Intune RBAC en Intune esté establecido en Activado.
¿Qué ocurre si mi jerarquía de pruebas está configurada para usar Intune RBAC, pero mi jerarquía de producción no es y están en el mismo inquilino?
La opción Usar Intune RBAC se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino. Los usuarios solo en la nube pueden acceder a dispositivos conectados a inquilinos que se cargan desde la jerarquía de pruebas porque también ha desactivado la casilla para aplicar Configuration Manager RBAC. Si un usuario solo en la nube intenta acceder a un dispositivo conectado a un inquilino cargado desde el entorno de producción, recibirá un error, ya que los dispositivos de producción están aplicando Configuration Manager RBAC. El usuario solo en la nube recibirá un error similar al siguiente mensaje: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Pasos siguientes
- Revisión de la escala de tiempo de un dispositivo conectado a la nube
- Ejecución de una consulta de CMPivot en un dispositivo conectado a la nube