Dela via

Intune rollbaserad åtkomstkontroll för klientanslutna klienter

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Från och med Configuration Manager version 2207 kan du använda Intune rollbaserad åtkomstkontroll (RBAC) när du interagerar med klientanslutna enheter från Microsoft Intune administrationscenter. När du till exempel använder Intune som rollbaserad åtkomstkontrollutfärdare behöver en användare med rollen Supportansvarig inte någon tilldelad säkerhetsroll eller ytterligare behörigheter från Configuration Manager. Intune rollbaserad åtkomstkontroll hanterar behörigheterna till alla molnanslutna enhetssidor i Microsoft Intune administrationscenter, till exempel enhetens tidslinje, CMPivot och skript.

Viktigt

För närvarande är all tillämpning av Intune rollbaserad åtkomstkontroll för att visa och vidta åtgärder på klientanslutna enheter från Microsoft Intune administrationscenter valfritt. Vi rekommenderar att alla administratörer med molnanslutna Configuration Manager miljöer börjar verifiera behörigheterna för rollbaserad åtkomstkontroll från Intune.

De tre övergripande stegen för att konfigurera Intune som rollbaserad behörighet för åtkomstkontroll för klientanslutna enheter är:

Förhandskrav

Begränsningar

  • För närvarande stöds inte omfång när du endast använder Intune rollbaserad åtkomstkontroll för att visa och vidta åtgärder på klientanslutna enheter från Microsoft Intune administrationscenter.
  • För närvarande är sidan Programuppdateringar inte tillgänglig för molnbaserade användare när du använder den tidiga uppdateringsringen för Configuration Manager version 2207.

Inaktivera tillämpning av Configuration Manager rollbaserad åtkomstkontroll för molnanslutna klienter

Om du vill använda Intune rollbaserad åtkomstkontroll för klientanslutning i stället för Configuration Manager rollbaserad åtkomstkontroll använder du anvisningarna nedan:

  1. Från Configuration Manager-konsolen går du till Administration>Cloud Services>Molnkoppling.

  2. Platsen för det rollbaserade åtkomstkontrollalternativet varierar beroende på om din miljö redan är molnansluten eller inte.

    • Om din miljö redan är molnansluten öppnar du egenskaperna för CoMgmtSettingsProd. Om du inte har överfört enheter till administrationscentret konfigurerar du det alternativet först. Mer information finns i Aktivera molnanslutning.
    • Om din miljö inte är molnansluten väljer du Konfigurera molnanslutning för att öppna guiden Konfiguration av molnanslutning.

  3. På fliken Konfigurera uppladdning eller sidan i guiden avmarkerar du kryssrutan för följande alternativ under rubriken Rollbaserad Access Control:

    Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager

  4. Välj OK för att spara ändringen av egenskaperna CoMgmtSettingsProd eller fortsätt med att slutföra guiden för molnanslutning.

Skärmbild av egenskaperna CoMgmtSettingsProd i Configuration Manager. På skärmbilden visas fliken Konfigurera uppladdning med en röd ruta som beskriver avsnittet för rollbaserad åtkomstkontroll.

Aktivera rollbaserad åtkomstkontroll från Intune

Använd följande steg för att aktivera Intune för att hantera användarbehörigheter för molnanslutna enheter:

  1. Öppna Microsoft Intune administrationscenter och logga in som en användare som har behörigheten Roller/Uppdatering. Mer information om behörigheten finns i behörigheter för anpassade roller i Intune.
  2. Välj Anslutningsappar för klientadministration>och token>Microsoft Endpoint Configuration Manager.
  3. I banderollen väljer du Du kan också hantera användarbehörigheter från Intune. Klicka här om du vill veta mer om det här alternativet.
  4. Den utfällbara menyn Använd Intune RBAC visas.
  5. Välj för alternativet Använd Intune RBAC och välj sedan Använd.
  6. Ändringen kan ta cirka 10 minuter att börja gälla.

Skärmbild av sidan Microsoft Configuration Manager anslutningsappar och token i Microsoft Intune administrationscenter. Den utfällbara menyn Använd Intune RBAC visas på skärmbilden.

Verifiera behörigheter för rollbaserad åtkomstkontroll från Intune

När Intune har angetts till den rollbaserade behörigheten för åtkomstkontroll kontrollerar du behörigheterna för dina roller. Om det behövs kan du lägga till dessa behörigheter till anpassade roller som du skapade i Intune.

  1. Öppna Microsoft Intune administrationscenter och logga in.
  2. Välj Administrationsroller för klientorganisation>.
  3. Välj en roll, till exempel Application Manager, och granska de behörigheter som anges för molnanslutna enheter. Om det behövs redigerar du behörigheter för alla anpassade roller som du skapade i Intune.

Följande Intune behörigheter styr åtkomsten till Configuration Manager molnanslutna enheter:

Behörighet Beskrivning Intune inbyggda roller med behörigheten
Molnanslutna enheter\Visa samlingar Visar sidan Samlingar för Configuration Manager molnanslutna enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa resursutforskaren Visar sidan Resursutforskaren för Configuration Manager molnanslutna enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa tidslinje Visar sidan Tidslinje för Configuration Manager molnanslutna enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa programuppdateringar Visar sidan Programuppdateringar för Configuration Manager molnanslutna enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, supportansvarig
Molnanslutna enheter\Visa skript Visar sidan Skript för Configuration Manager molnanslutna enheter Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Kör skript Visar åtgärden Kör skript och låter användaren köra skript på Configuration Manager molnanslutna enheter Skoladministratör, supportansvarig
Molnanslutna enheter\Kör CMPivot-fråga Visar CMPivot-sidan för Configuration Manager molnanslutna enheter Endpoint Security Manager, Skoladministratör, Supportansvarig
Molnanslutna enheter\Visa klientinformation Visar sidan Klientinformation för Configuration Manager molnanslutna enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör,Skoladministratör, Principprofilhanterare, Supportansvarig
Molnanslutna enheter\Visa program Visar sidan Program för Configuration Manager molnanslutna enheter Application Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Vidta programåtgärder Visar programåtgärder på sidan Program och låter användaren vidta programåtgärder på Configuration Manager molnanslutna enheter Programansvarig, skoladministratör, supportansvarig
Fjärruppgifter/Rotera BitLockerKeys (förhandsversion) Initierar en nyckelrotation för BitLocker-återställningslösenord på enheten. Visar sidan Återställningsnycklar för Configuration Manager molnanslutna enheter. Endpoint Security Manager, supportansvarig

Vanliga frågor och svar

Jag har molnbaserade användare som behöver åtkomst till klientanslutna enheter i Intune, kommer detta att ge dem åtkomst?

Ja. När en användare endast är i molnet, vilket innebär att de är i Microsoft Entra ID och kan komma åt Intune, ger rbac med hjälp av Intune åtkomst till klientanslutna enheter.

Vad händer om jag har flera Configuration Manager hierarkier anslutna till min klientorganisation?

Inställningen Använd Intune RBAC i Microsoft Intune administrationscenter gäller för alla Configuration Manager hierarkier som anges i klientorganisationen.

Vad händer om inställningarna för Configuration Manager och Intune är felmatchade?

Om växlingsknappen Använd Intune RBAC i Intune är inställd på Av tillämpas Configuration Manager rollbaserad åtkomst även om RBAC för framtvinga Configuration Manager för molnkonsolbegäranden som interagerar med Configuration Manager kryssrutan är avmarkerad. Inaktivering av alternativet Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager har ingen effekt förrän växlingsknappen Använd Intune RBAC i Intune har angetts till .

Vad händer om min testhierarki har konfigurerats för att använda Intune RBAC, men min produktionshierarki inte är det och de finns i samma klientorganisation?

Inställningen Använd Intune RBAC gäller för alla Configuration Manager hierarkier som anges i klientorganisationen. Endast molnanvändare kan komma åt klientanslutna enheter som laddas upp från testhierarkin eftersom du också har avmarkerat kryssrutan för att framtvinga Configuration Manager RBAC. Om en molnbaserad användare försöker komma åt en klientansluten enhet som laddats upp från produktionsmiljön får de ett felmeddelande eftersom produktionsenheter framtvingar Configuration Manager RBAC. Den molnbaserade användaren får ett fel som liknar följande meddelande: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Nästa steg