Udostępnij za pośrednictwem

Kontrola dostępu oparta na rolach w usłudze Intune dla klientów dołączonych do dzierżawy

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Począwszy od programu Configuration Manager w wersji 2207, możesz używać kontroli dostępu opartej na rolach (RBAC) usługi Intune podczas interakcji z urządzeniami dołączonymi do dzierżawy z centrum administracyjnego usługi Microsoft Intune. Na przykład w przypadku korzystania z usługi Intune jako urzędu kontroli dostępu opartego na rolach użytkownik z rolą Operatora pomocy technicznej nie potrzebuje przypisanej roli zabezpieczeń ani dodatkowych uprawnień z programu Configuration Manager. Kontrola dostępu oparta na rolach w usłudze Intune zarządza uprawnieniami do wszystkich stron urządzeń dołączonych do chmury w centrum administracyjnym usługi Microsoft Intune, takich jak oś czasu urządzenia, narzędzie CMPivot i skrypty.

Ważna

Obecnie dowolne wymuszanie kontroli dostępu opartej na rolach w usłudze Intune na potrzeby wyświetlania i wykonywania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego usługi Microsoft Intune jest opcjonalne. Zalecamy, aby wszyscy administratorzy ze środowiskami programu Configuration Manager połączonymi z chmurą zaczęli weryfikować uprawnienia kontroli dostępu na podstawie ról z usługi Intune.

Trzy ogólne kroki konfigurowania usługi Intune jako urzędu kontroli dostępu opartego na rolach dla urządzeń dołączonych do dzierżawy są następujące:

Wymagania wstępne

Ograniczenia

  • Obecnie określanie zakresu nie jest obsługiwane w przypadku używania tylko kontroli dostępu opartej na rolach usługi Intune do wyświetlania i podejmowania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego usługi Microsoft Intune.
  • Obecnie strona Aktualizacje oprogramowania nie jest dostępna tylko dla użytkowników w chmurze w przypadku korzystania z pierścienia wczesnej aktualizacji programu Configuration Manager w wersji 2207.

Wyłączanie wymuszania kontroli dostępu opartej na rolach programu Configuration Manager dla klientów dołączonych do chmury

Aby użyć kontroli dostępu opartej na rolach usługi Intune na potrzeby dołączania dzierżawy, a nie kontroli dostępu opartej na rolach programu Configuration Manager, skorzystaj z poniższych instrukcji:

  1. W konsoli programu Configuration Manager przejdź do pozycji Administracja> dołączaniem usługw chmurze> dochmury.

  2. Lokalizacja opcji kontroli dostępu opartej na rolach zależy od tego, czy środowisko jest już dołączone do chmury, czy nie.

    • Jeśli środowisko jest już dołączone do chmury, otwórz właściwości coMgmtSettingsProd. Jeśli nie masz urządzeń przekazanych do centrum administracyjnego, najpierw skonfiguruj tę opcję. Aby uzyskać więcej informacji, zobacz Włączanie dołączania dzierżawy.
    • Jeśli środowisko nie jest dołączone do chmury, wybierz pozycję Konfiguruj dołączanie do chmury , aby otworzyć kreatora konfiguracji dołączania do chmury.

  3. Na karcie Konfigurowanie przekazywania lub stronie w kreatorze wyczyść pole wyboru dla następującej opcji w nagłówku Kontrola dostępu oparta na rolach :

    Wymuszanie kontroli dostępu opartej na rolach programu Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcje z programem Configuration Manager

  4. Wybierz przycisk OK , aby zapisać zmianę we właściwościach CoMgmtSettingsProd lub kontynuować pracę kreatora dołączania do chmury.

Zrzut ekranu przedstawiający właściwości CoMgmtSettingsProd w programie Configuration Manager. Na zrzucie ekranu zostanie wyświetlona karta Konfigurowanie przekazywania z czerwonym polem przedstawiającym sekcję kontroli dostępu opartej na rolach.

Włączanie kontroli dostępu opartej na rolach z usługi Intune

Aby umożliwić usłudze Intune zarządzanie uprawnieniami użytkowników dla urządzeń dołączonych do chmury, wykonaj następujące kroki:

  1. Otwórz centrum administracyjne usługi Microsoft Intune i zaloguj się jako użytkownik z uprawnieniem Role/Aktualizacja . Aby uzyskać więcej informacji na temat uprawnień, zobacz niestandardowe uprawnienia roli w usłudze Intune.
  2. Wybierz pozycj꣹czniki i tokenyadministracji> dzierżawy >programu Microsoft Endpoint Configuration Manager.
  3. Na banerze wybierz pozycję Możesz również zarządzać uprawnieniami użytkownika w usłudze Intune. Kliknij tutaj, aby dowiedzieć się więcej na temat tej opcji.
  4. Zostanie wyświetlone okno wysuwane Użyj kontroli RBAC usługi Intune .
  5. Wybierz pozycję Włączone dla opcji Użyj kontroli RBAC usługi Intune , a następnie wybierz pozycję Zastosuj.
  6. Zmiana może potrwać około 10 minut.

Zrzut ekranu przedstawiający stronę łączników i tokenów programu Microsoft Configuration Manager w centrum administracyjnym usługi Microsoft Intune. Na zrzucie ekranu zostanie wyświetlony wysuwany interfejs RBAC usługi Intune.

Weryfikowanie uprawnień kontroli dostępu na podstawie ról z usługi Intune

Po ustawieniu usługi Intune na urząd kontroli dostępu opartej na rolach sprawdź uprawnienia dla swoich ról. W razie potrzeby możesz dodać te uprawnienia do ról niestandardowych utworzonych w usłudze Intune.

  1. Otwórz centrum administracyjne usługi Microsoft Intune i zaloguj się.
  2. Wybierz pozycjęRoleadministracji> dzierżawy.
  3. Wybierz rolę, taką jak Menedżer aplikacji, i przejrzyj uprawnienia wymienione dla urządzeń dołączonych do chmury. W razie potrzeby edytuj uprawnienia dla dowolnych ról niestandardowych utworzonych w usłudze Intune.

Następujące uprawnienia usługi Intune kontrolują dostęp do urządzeń dołączonych do chmury programu Configuration Manager:

Uprawnienie Opis Wbudowane role usługi Intune z uprawnieniami
Urządzenia dołączone do chmury\Wyświetlanie kolekcji Wyświetla stronę Kolekcje dla urządzeń dołączonych do chmury programu Configuration Manager Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetl eksplorator zasobów Wyświetla stronę Eksplorator zasobów dla urządzeń dołączonych do chmury programu Configuration Manager Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetl oś czasu Wyświetla stronę Oś czasu dla urządzeń dołączonych do chmury programu Configuration Manager Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetlanie aktualizacji oprogramowania Wyświetla stronę Aktualizacje oprogramowania dla urządzeń dołączonych do chmury programu Configuration Manager Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetl skrypty Wyświetla stronę Skrypty dla urządzeń dołączonych do chmury programu Configuration Manager Endpoint Security Manager, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej
Urządzenia dołączone do chmury\Skrypt uruchamiania Wyświetla akcję Uruchom skrypt i umożliwia użytkownikowi uruchamianie skryptów na urządzeniach dołączonych do chmury programu Configuration Manager Administrator szkoły, operator pomocy technicznej
Urządzenia dołączone do chmury\Uruchamianie zapytania CMPivot Wyświetla stronę CMPivot dla urządzeń dołączonych do chmury programu Configuration Manager Endpoint Security Manager, administrator szkoły, operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetl szczegóły klienta Wyświetla stronę Szczegóły klienta dla urządzeń dołączonych do chmury programu Configuration Manager Application Manager, Endpoint Security Manager, Operator tylko do odczytu, Administrator szkoły, Menedżer profilu zasad, Operator pomocy technicznej
Urządzenia dołączone do chmury\Wyświetlanie aplikacji Wyświetla stronę Aplikacje dla urządzeń dołączonych do chmury programu Configuration Manager Menedżer aplikacji, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej
Urządzenia dołączone do chmury\Akcje aplikacji Wyświetla akcje aplikacji na stronie Aplikacje i umożliwia użytkownikowi wykonywanie akcji aplikacji na urządzeniach dołączonych do chmury programu Configuration Manager Menedżer aplikacji, administrator szkoły, operator pomocy technicznej
Zadania zdalne/Obracanie kluczy funkcji BitLockerKeys (wersja zapoznawcza) Inicjuje rotację kluczy dla haseł odzyskiwania funkcji BitLocker na urządzeniu. Wyświetla stronę Klucze odzyskiwania dla urządzeń dołączonych do chmury programu Configuration Manager. Endpoint Security Manager, operator pomocy technicznej

Często zadawane pytania

Mam użytkowników tylko w chmurze, którzy potrzebują dostępu do urządzeń dołączonych do dzierżawy w usłudze Intune, czy zapewni to im dostęp?

Tak. Gdy użytkownik jest tylko w chmurze, w tym scenariuszu oznacza to, że znajduje się w identyfikatorze Entra firmy Microsoft i może uzyskiwać dostęp do usługi Intune, użycie kontroli RBAC usługi Intune zapewni mu dostęp do urządzeń dołączonych do dzierżawy.

Co zrobić, jeśli mam wiele hierarchii programu Configuration Manager połączonych z dzierżawą?

Ustawienie Użyj kontroli RBAC usługi Intune w centrum administracyjnym usługi Microsoft Intune ma zastosowanie do wszystkich hierarchii programu Configuration Manager wymienionych w dzierżawie.

Co się stanie, jeśli ustawienia programu Configuration Manager i usługi Intune zostaną niedopasowane?

Jeśli przełącznik Użyj kontroli RBAC usługi Intune w usłudze Intune ma wartość Wyłączone, dostęp oparty na rolach programu Configuration Manager zostanie wymuszony, nawet jeśli pole wyboru Wymuszaj kontrolę RBAC programu Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcję z programem Configuration Manager , zostanie wyczyszczone. Wyłączenie opcji Wymuszanie kontroli rbac programu Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcję z programem Configuration Manager , nie będzie miało żadnego wpływu, dopóki przełącznik Użyj kontroli RBAC usługi Intune w usłudze Intune nie zostanie ustawiony na Włączone.

Co się stanie, jeśli moja hierarchia testów jest skonfigurowana do używania kontroli RBAC usługi Intune, ale moja hierarchia produkcyjna nie jest i znajduje się w tej samej dzierżawie?

Ustawienie Użyj kontroli RBAC usługi Intune dotyczy wszystkich hierarchii programu Configuration Manager wymienionych w dzierżawie. Użytkownicy tylko w chmurze mogą uzyskiwać dostęp do urządzeń dołączonych do dzierżawy, które są przekazywane z hierarchii testowej, ponieważ pole wyboru zostało również wyczyszczone w celu wymuszenia kontroli RBAC programu Configuration Manager. Jeśli użytkownik tylko w chmurze próbuje uzyskać dostęp do urządzenia dołączonego do dzierżawy przekazanego ze środowiska produkcyjnego, zostanie wyświetlony błąd, ponieważ urządzenia produkcyjne wymuszają kontrolę RBAC programu Configuration Manager. Użytkownik tylko w chmurze otrzyma błąd podobny do następującego komunikatu: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Następne kroki

  • Przejrzyj oś czasu dla urządzenia dołączonego do chmury
  • Uruchamianie zapytania CMPivot na urządzeniu dołączonym do chmury