Udostępnij za pośrednictwem

Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT

  • Artykuł

Możesz użyć kontroli dostępu opartej na rolach i tagów zakresu, aby upewnić się, że odpowiedni administratorzy mają prawidłowy dostęp i widoczność wymaganych obiektów Intune. Role określają, jakie uprawnienia mają administratorzy dostępu do jakich obiektów. Tagi zakresu określają, które obiekty mogą wyświetlać administratorzy.

Załóżmy na przykład, że administrator biura regionalnego w Seattle ma rolę Policy and Profile Manager. Chcesz, aby ten administrator wyświetlał tylko profile i zasady stosowane tylko do urządzeń z Seattle i zarządzał nimi. Aby skonfigurować ten dostęp, należy:

  1. Utwórz tag zakresu o nazwie Seattle.
  2. Utwórz przypisanie roli dla roli Menedżer zasad i profilów przy użyciu następujących funkcji:
    • Członkowie (Grupy) = grupa zabezpieczeń o nazwie Administratorzy IT w Seattle. Wszyscy administratorzy w tej grupie będą mieli uprawnienia do zarządzania zasadami i profilami dla użytkowników/urządzeń w obszarze Zakres (Grupy).
    • Zakres (Grupy) = grupa zabezpieczeń o nazwie Seattle users. Wszyscy użytkownicy/urządzenia w tej grupie mogą mieć swoje profile i zasady zarządzane przez administratorów w obszarze Członkowie (Grupy).
    • Zakres (tagi) = Seattle. Administratorzy w skład (Grupy) mogą zobaczyć Intune obiektów, które mają również tag zakresu Seattle.
  3. Dodaj tag zakresu Seattle do zasad i profilów, do których mają mieć dostęp administratorzy w obszarze Członkowie (Grupy).
  4. Dodaj tag zakresu Seattle do urządzeń, które mają być widoczne dla administratorów w obszarze Członkowie (Grupy).

Domyślny tag zakresu

Domyślny tag zakresu jest automatycznie dodawany do wszystkich nieoznakowanych obiektów, które obsługują tagi zakresu.

Domyślna funkcja tagu zakresu jest podobna do funkcji zakresów zabezpieczeń w Microsoft Configuration Manager.

Uwaga

Podczas konfigurowania lub edytowania zasad Intune niektóre typy zasad mogą nie wyświetlać strony konfiguracji Tagi zakresu, jeśli nie ma niestandardowych zdefiniowanych tagów zakresu dla dzierżawy. Jeśli nie widzisz opcji Tag zakresu, upewnij się, że oprócz domyślnego tagu zakresu zdefiniowano co najmniej jeden tag.

Aby utworzyć tag zakresu

Tworzenie, aktualizowanie lub usuwanie tagów zakresu wymaga administratora przypisanego do roli Identyfikator administratora globalnego lub administratora Intune Entra. Administratorzy z tagiem zakresu w przypisaniu roli nie mogą aktualizować ani usuwać tagu zakresu z głównej listy tagów zakresu.

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Zakresról administracyjnych>>dzierżawy(tagi)>Utwórz.

  2. Na stronie Podstawy podaj nazwę i opcjonalny opis. Wybierz przycisk Dalej.

  3. Na stronie Przypisania wybierz grupy zawierające urządzenia, które chcesz przypisać do tego tagu zakresu. Wybierz przycisk Dalej.

  4. Na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz.

    Ważna

    Automatyczne przypisania tagów zakresu zastąpią ręcznie przypisane tagi zakresu. Jeśli urządzeniu przypisano wiele tagów zakresu za pośrednictwem przypisania grupy, zostaną zastosowane wszystkie tagi zakresu.

Aby przypisać tag zakresu do roli

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Administracja dzierżawą>Role>Wszystkie role> wybierz przypisanie> roli>.

  2. Na stronie Podstawypodaj nazwę przypisania i opis. Wybierz przycisk Dalej.

  3. Na stronie Administracja Grupy wybierz pozycję Dodaj grupy i wybierz grupy, które chcesz wybrać w ramach tego przypisania. Użytkownicy w tych grupach będą mieli uprawnienia do zarządzania użytkownikami/urządzeniami w obszarze Zakres (Grupy). Wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający wybrane grupy członków.

  4. Na stronie Zakres Grupy wybierz jedną z następujących opcji dla pozycji Dołączone grupy:

    • Dodaj grupy: wybierz grupy zawierające użytkowników/urządzenia, które chcesz zarządzać. Wszyscy użytkownicy/urządzenia w wybranych grupach będą zarządzane przez użytkowników w Administracja Grupy.
    • Dodaj wszystkich użytkowników: Wszyscy użytkownicy mogą być zarządzane przez użytkowników w Administracja Grupy.
    • Dodaj wszystkie urządzenia: wszystkie urządzenia mogą być zarządzane przez użytkowników w Administracja Grupy.

  5. Wybierz pozycję Dalej

  6. Na stronie Tagi zakresu wybierz tagi, które chcesz dodać do tej roli. Użytkownicy w Administracja Grupy będą mieli dostęp do Intune obiektów, które również mają ten sam tag zakresu. Do roli można przypisać maksymalnie 100 tagów zakresu.

  7. Wybierz pozycję Dalej , aby przejść do strony Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Przypisywanie tagów zakresu do innych obiektów

W przypadku obiektów, które obsługują tagi zakresu, tagi zakresu są zwykle wyświetlane w obszarze Właściwości. Aby na przykład przypisać tag zakresu do profilu konfiguracji, wykonaj następujące kroki:

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Zarządzaj urządzeniami>Konfiguracja> wybierz profil.

  2. Wybierz pozycję Zakres właściwości>(tagi)>Edytuj> Tagi >wyboru zakresu wybierz tagi, które chcesz dodać do profilu. Do obiektu można przypisać maksymalnie 100 tagów zakresu.

  3. Wybierz pozycję Wybierz pozycję>Przejrzyj i zapisz.

Szczegóły tagu zakresu

Podczas pracy z tagami zakresu pamiętaj o następujących szczegółach:

  • Tagi zakresu można przypisać do typu obiektu Intune, jeśli dzierżawa może mieć wiele wersji tego obiektu (takich jak przypisania ról lub aplikacje). Następujące obiekty Intune są wyjątkami od tej reguły i obecnie nie obsługują tagów zakresu:
    • Identyfikatory urządzeń corp
    • Urządzenia rozwiązania Autopilot
    • Lokalizacje zgodności urządzeń
    • Urządzenia jamf
  • Aplikacje i książki elektroniczne programu Volume Purchase Program (VPP) skojarzone z tokenem programu VPP dziedziczą tagi zakresu przypisane do skojarzonego tokenu VPP.
  • Gdy administrator utworzy obiekt w Intune, wszystkie tagi zakresu przypisane do tego administratora zostaną automatycznie przypisane do nowego obiektu.
  • Intune rbac nie ma zastosowania do ról Microsoft Entra. Dlatego role administratorzy usługi Intune i administratorzy globalni mają pełny dostęp administratora do Intune niezależnie od posiadanych tagów zakresu.
  • Jeśli przypisanie roli nie ma tagu zakresu, administrator IT może wyświetlić wszystkie obiekty na podstawie uprawnień administratorów IT. Administratorzy, którzy nie mają tagów zakresu, zasadniczo mają wszystkie tagi zakresu.
  • Tag zakresu można przypisać tylko do przypisań ról.
  • Można kierować tylko grupy wymienione w obszarze Zakres (Grupy) przypisania roli.
  • Jeśli masz tag zakresu przypisany do roli, nie możesz usunąć wszystkich tagów zakresu w obiekcie Intune. Wymagany jest co najmniej jeden tag zakresu.

Następne kroki

Dowiedz się, jak zachowują się tagi zakresu, gdy istnieje wiele przypisań ról. Zarządzanie rolami i profilami.