Intune op rollen gebaseerd toegangsbeheer voor tenant-gekoppelde clients
Van toepassing op: Configuration Manager (current branch)
Vanaf Configuration Manager versie 2207 kunt u Intune op rollen gebaseerd toegangsbeheer (RBAC) gebruiken bij interactie met gekoppelde tenantapparaten vanuit het Microsoft Intune-beheercentrum. Wanneer u bijvoorbeeld Intune gebruikt als op rollen gebaseerde toegangsbeheerinstantie, heeft een gebruiker met de rol Helpdeskmedewerker geen toegewezen beveiligingsrol of aanvullende machtigingen van Configuration Manager nodig. Intune op rollen gebaseerd toegangsbeheer beheert de machtigingen voor alle in de cloud gekoppelde apparaatpagina's in het Microsoft Intune-beheercentrum, zoals apparaattijdlijn, CMPivot en scripts.
Belangrijk
Op dit moment is het afdwingen van Intune op rollen gebaseerd toegangsbeheer voor het weergeven en uitvoeren van acties op tenant-gekoppelde apparaten vanuit het Microsoft Intune-beheercentrum optioneel. We raden alle beheerders met cloud-verbonden Configuration Manager omgevingen aan om de machtigingen voor op rollen gebaseerd toegangsbeheer van Intune te controleren.
De drie stappen op hoog niveau voor het configureren van Intune als de instantie voor op rollen gebaseerd toegangsbeheer voor apparaten die zijn gekoppeld aan tenants zijn:
- Schakel in de Configuration Manager-console het afdwingen van Configuration Manager op rollen gebaseerd toegangsbeheer voor cloudclients uit
- Schakel vanuit Intune het beheren van de gebruikersmachtigingen in voor apparaten die zijn gekoppeld aan de cloud
- Controleer vanuit Intune machtigingen voor toegangsbeheer op basis van rollen voor apparaten die zijn gekoppeld aan de cloud
Vereisten
- Configuration Manager versie 2207 of hoger
- Tenant gekoppelde apparaten
Beperkingen
- Momenteel wordt het bereik niet ondersteund wanneer alleen Intune op rollen gebaseerd toegangsbeheer voor wordt gebruikt voor het weergeven en uitvoeren van acties op tenant-gekoppelde apparaten vanuit het Microsoft Intune-beheercentrum.
- Op dit moment is de pagina Software-updates niet beschikbaar voor cloudgebruikers wanneer ze de vroege updatering van Configuration Manager versie 2207 gebruiken.
Het afdwingen van Configuration Manager op rollen gebaseerd toegangsbeheer uitschakelen voor cloudclients
Als u Intune op rollen gebaseerd toegangsbeheer wilt gebruiken voor tenantkoppeling in plaats van Configuration Manager op rollen gebaseerd toegangsbeheer, volgt u de onderstaande instructies:
Ga in de Configuration Manager-console naar Beheer>Cloud Services>Cloudkoppeling.
De locatie van de optie op basis van op rollen gebaseerd toegangsbeheer varieert afhankelijk van of uw omgeving al gekoppeld is aan de cloud of niet.
- Als uw omgeving al in de cloud is gekoppeld, opent u de eigenschappen voor CoMgmtSettingsProd. Als u geen apparaten hebt geüpload naar het beheercentrum, configureert u die optie eerst. Zie Cloudkoppeling inschakelen voor meer informatie.
- Als uw omgeving niet is gekoppeld aan de cloud, selecteert u Cloudkoppeling configureren om de wizard Cloudkoppeling configureren te openen.
Schakel op het tabblad Upload configureren of de pagina in de wizard het selectievakje uit voor de volgende optie onder de kop Op rollen gebaseerde Access Control:
Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die communiceren met Configuration Manager
Kies OK om de wijziging in de CoMgmtSettingsProd-eigenschappen op te slaan of ga verder om de wizard cloudkoppeling te voltooien.
Op rollen gebaseerd toegangsbeheer inschakelen vanuit Intune
Voer de volgende stappen uit om Intune gebruikersmachtigingen te beheren voor cloudapparaten:
- Open het Microsoft Intune-beheercentrum en meld u aan als een gebruiker met de machtiging Rollen/bijwerken. Zie Aangepaste rolmachtigingen in Intune voor meer informatie over de machtiging.
- Selecteer Tenantbeheer>Connectors en tokens>Microsoft Endpoint Configuration Manager.
- Selecteer in de banner U kunt ook gebruikersmachtigingen beheren vanuit Intune. Klik hier voor meer informatie over deze optie.
- De flyout Intune RBAC gebruiken wordt weergegeven.
- Selecteer Aan voor de optie Intune RBAC gebruiken en kies vervolgens Toepassen.
- Het kan ongeveer 10 minuten duren voordat de wijziging van kracht wordt.
Machtigingen voor op rollen gebaseerd toegangsbeheer controleren vanuit Intune
Zodra Intune is ingesteld op de op rollen gebaseerde toegangsbeheerinstantie, controleert u de machtigingen voor uw rollen. Indien nodig kunt u deze machtigingen toevoegen aan aangepaste rollen die u in Intune hebt gemaakt.
- Open het Microsoft Intune-beheercentrum en meld u aan.
- Selecteer Tenantbeheerrollen>.
- Selecteer een rol, zoals Toepassingsbeheerder, en controleer de machtigingen die worden vermeld voor apparaten die zijn gekoppeld aan de cloud. Bewerk zo nodig machtigingen voor aangepaste rollen die u in Intune hebt gemaakt.
De volgende Intune machtigingen beheren de toegang tot de Configuration Manager in de cloud gekoppelde apparaten:
| Machtiging | Beschrijving | Intune ingebouwde rollen met de machtiging |
|---|---|---|
| Aan de cloud gekoppelde apparaten\Verzamelingen weergeven | Geeft de pagina Verzamelingen weer voor Configuration Manager gekoppelde apparaten in de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Resource Explorer weergeven | Geeft de pagina Resourceverkenner weer voor Configuration Manager gekoppelde cloudapparaten | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Tijdlijn weergeven | Geeft de pagina Tijdlijn weer voor Configuration Manager gekoppelde apparaten in de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Software-updates weergeven | Geeft de pagina Software-updates weer voor Configuration Manager gekoppelde apparaten in de cloud | Toepassingsmanager, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Scripts weergeven | Geeft de pagina Scripts weer voor Configuration Manager gekoppelde apparaten in de cloud | Endpoint Security Manager, operator alleen-lezen, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
| Gekoppelde cloudapparaten\Script uitvoeren | Geeft de actie Script uitvoeren weer en stelt de gebruiker in staat scripts uit te voeren op Configuration Manager gekoppelde apparaten in de cloud | Schoolbeheerder, helpdeskmedewerker |
| Gekoppelde cloudapparaten\CMPivot-query uitvoeren | Geeft de CMPivot-pagina weer voor Configuration Manager gekoppelde apparaten in de cloud | Endpoint Security Manager, schoolbeheerder, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Clientdetails weergeven | Geeft de pagina Clientdetails weer voor Configuration Manager gekoppelde apparaten in de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Toepassingen weergeven | Geeft de pagina Toepassingen weer voor Configuration Manager gekoppelde apparaten in de cloud | Toepassingsbeheer, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheerder, helpdeskmedewerker |
| Aan de cloud gekoppelde apparaten\Toepassingsacties uitvoeren | Geeft toepassingsacties weer op de pagina Toepassingen en stelt de gebruiker in staat om toepassingsacties uit te voeren op Configuration Manager in de cloud gekoppelde apparaten | Toepassingsmanager, schoolbeheerder, helpdeskmedewerker |
| Externe taken/BitLockerKeys draaien (preview) | Hiermee initieert u een sleutelrotatie voor BitLocker-herstelwachtwoorden op het apparaat. Geeft de pagina Herstelsleutels weer voor Configuration Manager gekoppelde apparaten in de cloud. | Endpoint Security Manager, helpdeskmedewerker |
Veelgestelde vragen
Ik heb cloudgebruikers die toegang nodig hebben tot apparaten die zijn gekoppeld aan de tenant in Intune. Geeft dit hen toegang?
Ja. Wanneer een gebruiker zich alleen in de cloud bevindt, in dit scenario betekent dat deze zich in Microsoft Entra ID bevindt en toegang heeft tot Intune, geeft het gebruik van Intune RBAC de gebruiker toegang tot apparaten die zijn gekoppeld aan de tenant.
Wat moet ik doen als ik meerdere Configuration Manager hiërarchieën heb verbonden met mijn tenant?
De instelling Intune RBAC gebruiken in het Microsoft Intune-beheercentrum is van toepassing op alle Configuration Manager hiërarchieën die in de tenant worden vermeld.
Wat gebeurt er als de instellingen voor Configuration Manager en Intune niet overeenkomen?
Als de wisselknop Intune RBAC gebruiken in Intune is ingesteld op Uit, wordt Configuration Manager op rollen gebaseerde toegang afgedwongen, zelfs als de Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die interactie hebben met Configuration Manager selectievakje is uitgeschakeld. Het uitschakelen van de optie Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die communiceren met Configuration Manager heeft geen effect totdat de wisselknop Gebruik Intune RBAC in Intune is ingesteld op Aan.
Wat gebeurt er als mijn testhiërarchie is geconfigureerd voor het gebruik van Intune RBAC, maar mijn productiehiërarchie niet en ze zich in dezelfde tenant bevinden?
De instelling Intune RBAC gebruiken is van toepassing op alle Configuration Manager hiërarchieën die in de tenant worden vermeld. Cloudgebruikers hebben toegang tot apparaten die zijn gekoppeld aan de tenant die vanuit de testhiërarchie zijn geüpload, omdat u ook het selectievakje hebt uitgeschakeld om Configuration Manager RBAC af te dwingen. Als een cloudgebruiker toegang probeert te krijgen tot een aan de tenant gekoppeld apparaat dat is geüpload vanuit de productieomgeving, krijgt deze een foutmelding omdat productieapparaten Configuration Manager RBAC afdwingen. De cloudgebruiker ontvangt een foutmelding die vergelijkbaar is met het volgende bericht: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Volgende stappen
- Bekijk de tijdlijn voor een apparaat in de cloud
- Een CMPivot-query uitvoeren op een apparaat dat is gekoppeld aan de cloud