Intune controlo de acesso baseado em funções para clientes ligados ao inquilino
Aplica-se a: Configuration Manager (branch atual)
A partir do Configuration Manager versão 2207, pode utilizar Intune controlo de acesso baseado em funções (RBAC) ao interagir com dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune. Por exemplo, ao utilizar Intune como autoridade de controlo de acesso baseada em funções, um utilizador com a função Operador de Suporte Técnico não precisa de uma função de segurança atribuída ou permissões adicionais de Configuration Manager. Intune controlo de acesso baseado em funções gere as permissões para todas as páginas de dispositivos anexadas à cloud no centro de administração do Microsoft Intune, como linha do tempo de dispositivos, CMPivot e scripts.
Importante
Atualmente, qualquer imposição de Intune controlo de acesso baseado em funções para apresentar e efetuar ações em dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune é opcional. Recomendamos que todos os administradores com ambientes de Configuration Manager ligados à cloud comecem a verificar as permissões de controlo de acesso baseado em funções de Intune.
Os três passos de alto nível para configurar Intune como a autoridade de controlo de acesso baseada em funções para dispositivos ligados ao inquilino são:
- Na consola do Configuration Manager, desative a imposição de Configuration Manager controlo de acesso baseado em funções para clientes ligados à cloud
- A partir de Intune, ative a gestão das permissões de utilizador para dispositivos ligados à cloud
- No Intune, verifique as permissões de controlo de acesso baseado em funções para dispositivos ligados à cloud
Pré-requisitos
- Configuration Manager versão 2207 ou posterior
- Dispositivos ligados a inquilinos
Limitações
- Atualmente, o âmbito não é suportado ao utilizar apenas Intune controlo de acesso baseado em funções para apresentar e efetuar ações em dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune.
- Atualmente, a página Atualizações de software não está disponível para utilizadores apenas na cloud ao utilizar a cadência de atualização antecipada do Configuration Manager versão 2207.
Desativar a imposição de Configuration Manager controlo de acesso baseado em funções para clientes ligados à cloud
Para utilizar Intune controlo de acesso baseado em funções para a anexação de inquilinos em vez de Configuration Manager controlo de acesso baseado em funções, utilize as instruções abaixo:
A partir da consola do Configuration Manager, aceda a Administração>Serviços de Nuvem>Anexar Cloud.
A localização da opção de controlo de acesso baseado em funções varia consoante o seu ambiente já esteja ou não ligado à cloud.
- Se o seu ambiente já estiver ligado à cloud, abra as propriedades de CoMgmtSettingsProd. Se não tiver dispositivos carregados para o centro de administração, configure essa opção primeiro. Para obter mais informações, consulte Habilitar anexação de nuvem.
- Se o seu ambiente não estiver ligado à cloud, selecione Configurar Anexação à Cloud para abrir o assistente de Configuração de Anexação da Cloud.
No separador Configurar carregamento, ou página no assistente, desmarque a caixa de verificação para a seguinte opção no cabeçalho Controle de Acesso baseado em funções:
Impor Configuration Manager RBAC para pedidos de consola da cloud que interagem com Configuration Manager
Selecione OK para guardar a alteração nas propriedades CoMgmtSettingsProd ou continue para concluir o assistente de anexação da cloud.
Ativar o controlo de acesso baseado em funções a partir de Intune
Para ativar Intune para gerir permissões de utilizador para dispositivos ligados à cloud, utilize os seguintes passos:
- Abra o Microsoft Intune centro de administração e inicie sessão como um utilizador com a permissão Funções/Atualização. Para obter mais informações sobre a permissão, veja permissões de função personalizada no Intune.
- Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager.
- Na faixa, selecione Também pode gerir permissões de utilizador a partir de Intune. Clique aqui para saber mais sobre esta opção.
- É apresentada a lista de opções Utilizar Intune RBAC.
- Selecione Ativado para a opção Utilizar Intune RBAC e, em seguida, selecione Aplicar.
- A alteração pode demorar cerca de 10 minutos a entrar em vigor.
Verificar as permissões de controlo de acesso baseado em funções do Intune
Assim que Intune estiver definida como a autoridade de controlo de acesso baseada em funções, verifique as permissões das suas funções. Se necessário, pode adicionar estas permissões a funções personalizadas que criou no Intune.
- Abra o centro de administração do Microsoft Intune e inicie sessão.
- SelecioneFunções de administração> de inquilinos.
- Selecione uma função, como o Gestor de Aplicações, e reveja as permissões listadas para dispositivos ligados à cloud. Se necessário, edite as permissões para quaisquer funções personalizadas que tenha criado no Intune.
As seguintes permissões Intune controlam o acesso aos dispositivos ligados à cloud Configuration Manager:
| Permissão | Descrição | Intune funções incorporadas com a permissão |
|---|---|---|
| Dispositivos ligados à cloud\Ver coleções | Apresenta a página Coleções para Configuration Manager dispositivos ligados à cloud | Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Ver explorador de recursos | Apresenta a página Explorador de recursos para Configuration Manager dispositivos ligados à cloud | Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico |
| Dispositivos ligados à nuvem\Ver linha do tempo | Apresenta a página Linha Cronológica para dispositivos ligados à cloud Configuration Manager | Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Ver atualizações de software | Apresenta a página Atualizações de software para Configuration Manager dispositivos ligados à cloud | Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Da Escola, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Ver scripts | Apresenta a página Scripts para Configuration Manager dispositivos ligados à cloud | Endpoint Security Manager, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Executar script | Apresenta a ação Executar script e permite que o utilizador execute scripts em dispositivos ligados à cloud Configuration Manager | Administrador da Escola, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Executar consulta CMPivot | Apresenta a página CMPivot para Configuration Manager dispositivos ligados à cloud | Endpoint Security Manager, Administrador da Escola, Operador de Suporte Técnico |
| Dispositivos ligados à cloud\Ver detalhes do cliente | Apresenta a página Detalhes do cliente para Configuration Manager dispositivos ligados à cloud | Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador da Escola, Gestor de Perfis de Política, Operador de Suporte Técnico |
| Dispositivos ligados à cloud\Ver aplicações | Apresenta a página Aplicações para Configuration Manager dispositivos ligados à cloud | Gestor de Aplicações, Operador Só de Leitura, Administrador da Escola, Gestor de Perfis de Política, Operador do Suporte Técnico |
| Dispositivos ligados à cloud\Realizar ações da aplicação | Apresenta as ações da aplicação na página Aplicações e permite que o utilizador realize ações de aplicação em dispositivos ligados à cloud Configuration Manager | Gestor de Aplicações, Administrador da Escola, Operador do Suporte Técnico |
| Tarefas remotas/Girar BitLockerKeys (visualização) | Inicia uma rotação de chave para senhas de recuperação do BitLocker no dispositivo. Apresenta a página Chaves de recuperação para Configuration Manager dispositivos ligados à cloud. | Endpoint Security Manager, Operador do Suporte Técnico |
Perguntas frequentes
Tenho utilizadores apenas na cloud que precisam de acesso a dispositivos ligados ao inquilino no Intune, isto irá dar-lhes acesso?
Sim. Quando um utilizador é apenas na cloud, neste cenário significa que está em Microsoft Entra ID e pode aceder a Intune, utilizar Intune RBAC irá dar-lhe acesso a dispositivos ligados ao inquilino.
E se tiver várias hierarquias de Configuration Manager ligadas ao meu inquilino?
A definição Utilizar INTUNE RBAC no centro de administração do Microsoft Intune aplica-se a todas as hierarquias de Configuration Manager listadas no inquilino.
O que acontece se as definições de Configuration Manager e Intune não forem correspondidas?
Se o botão de alternar Utilizar RBAC Intune no Intune estiver definido como Desativado, Configuration Manager acesso baseado em funções será imposto, mesmo que o RBAC Impor Configuration Manager para pedidos da consola cloud que interajam com Configuration Manager caixa de verificação está desmarcada. A desativação da opção Impor Configuration Manager RBAC para pedidos de consola da cloud que interagem com Configuration Manager não tem qualquer efeito até que o botão de alternar Utilizar Intune RBAC no Intune esteja definido como Ativado.
O que acontece se a minha hierarquia de teste estiver configurada para utilizar Intune RBAC, mas a minha hierarquia de produção não estiver e estiver no mesmo inquilino?
A definição Utilizar Intune RBAC aplica-se a todas as hierarquias de Configuration Manager listadas no inquilino. Os utilizadores apenas na cloud podem aceder a dispositivos ligados ao inquilino que são carregados a partir da hierarquia de teste porque também desmarquei a caixa de verificação para impor Configuration Manager RBAC. Se um utilizador apenas na cloud tentar aceder a um dispositivo ligado ao inquilino carregado a partir do ambiente de produção, receberá um erro, uma vez que os dispositivos de produção estão a impor Configuration Manager RBAC. O utilizador apenas na cloud receberá um erro semelhante à seguinte mensagem: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Próximas etapas
- Reveja o linha do tempo de um dispositivo ligado à cloud
- Executar uma consulta CMPivot num dispositivo ligado à cloud