Dela via


Rollbaserad åtkomstkontroll i Intune för klientanslutna klienter

Gäller för: Configuration Manager (aktuell gren)

Från och med Configuration Manager version 2207 kan du använda Rollbaserad åtkomstkontroll i Intune (RBAC) när du interagerar med klientanslutna enheter från administrationscentret för Microsoft Intune. När du till exempel använder Intune som rollbaserad åtkomstkontrollutfärdare behöver en användare med rollen Supportansvarig inte någon tilldelad säkerhetsroll eller ytterligare behörigheter från Configuration Manager. Rollbaserad åtkomstkontroll i Intune hanterar behörigheterna till alla molnanslutna enhetssidor i administrationscentret för Microsoft Intune, till exempel enhetens tidslinje, CMPivot och skript.

Viktigt

För närvarande är all tillämpning av rollbaserad åtkomstkontroll i Intune för att visa och vidta åtgärder på klientanslutna enheter från administrationscentret för Microsoft Intune valfritt. Vi rekommenderar att alla administratörer med molnanslutna Configuration Manager-miljöer börjar verifiera behörigheterna för rollbaserad åtkomstkontroll från Intune.

De tre övergripande stegen för att konfigurera Intune som rollbaserad åtkomstkontroll för klientanslutna enheter är:

Förhandskrav

Begränsningar

  • För närvarande stöds inte omfång när endast intune-rollbaserad åtkomstkontroll används för att visa och vidta åtgärder på klientanslutna enheter från administrationscentret för Microsoft Intune.
  • För närvarande är sidan Programuppdateringar inte tillgänglig för molnbaserade användare när du använder den tidiga uppdateringsringen i Configuration Manager version 2207.

Inaktivera tillämpning av rollbaserad åtkomstkontroll i Configuration Manager för molnanslutna klienter

Om du vill använda rollbaserad åtkomstkontroll i Intune för klientanslutning i stället för rollbaserad åtkomstkontroll i Configuration Manager använder du anvisningarna nedan:

  1. Från Configuration Manager-konsolen går du till Administration>Cloud Services>Cloud Attach.

  2. Platsen för det rollbaserade åtkomstkontrollalternativet varierar beroende på om din miljö redan är molnansluten eller inte.

    • Om din miljö redan är molnansluten öppnar du egenskaperna för CoMgmtSettingsProd. Om du inte har överfört enheter till administrationscentret konfigurerar du det alternativet först. Mer information finns i Aktivera molnanslutning.
    • Om din miljö inte är molnansluten väljer du Konfigurera molnanslutning för att öppna guiden Konfiguration av molnanslutning.
  3. På fliken Konfigurera uppladdning eller sidan i guiden avmarkerar du kryssrutan för följande alternativ under rubriken Rollbaserad åtkomstkontroll :

    Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager

  4. Välj OK för att spara ändringen av egenskaperna CoMgmtSettingsProd eller fortsätt med att slutföra guiden för molnanslutning.

Skärmbild av egenskaperna CoMgmtSettingsProd i Configuration Manager. På skärmbilden visas fliken Konfigurera uppladdning med en röd ruta som beskriver avsnittet för rollbaserad åtkomstkontroll.

Aktivera rollbaserad åtkomstkontroll från Intune

Använd följande steg för att aktivera Intune för att hantera användarbehörigheter för molnanslutna enheter:

  1. Öppna administrationscentret för Microsoft Intune och logga in som en användare som har behörigheten Roller/Uppdatering . Mer information om behörigheten finns i anpassade rollbehörigheter i Intune.
  2. Välj Anslutningsappar för klientadministration>och token>i Microsoft Endpoint Configuration Manager.
  3. I banderollen väljer du Du kan också hantera användarbehörigheter från Intune. Klicka här om du vill veta mer om det här alternativet.
  4. Den utfällbara menyn Använd Intune RBAC visas.
  5. Välj för alternativet Använd Intune RBAC och välj sedan Använd.
  6. Ändringen kan ta cirka 10 minuter att börja gälla.

Skärmbild av sidan Anslutningsappar och token för Microsoft Configuration Manager i administrationscentret för Microsoft Intune. Den utfällbara menyn Använd Intune RBAC visas på skärmbilden.

Verifiera behörigheter för rollbaserad åtkomstkontroll från Intune

När Intune har angetts till den rollbaserade åtkomstkontrollmyndigheten kontrollerar du behörigheterna för dina roller. Om det behövs kan du lägga till dessa behörigheter till anpassade roller som du skapade i Intune.

  1. Öppna administrationscentret för Microsoft Intune och logga in.
  2. Välj Administrationsroller för klientorganisation>.
  3. Välj en roll, till exempel Application Manager, och granska de behörigheter som anges för molnanslutna enheter. Om det behövs redigerar du behörigheter för alla anpassade roller som du har skapat i Intune.

Följande Intune-behörigheter styr åtkomsten till de molnanslutna Configuration Manager-enheterna:

Behörighet Beskrivning Intune-inbyggda roller med behörigheten
Molnanslutna enheter\Visa samlingar Visar sidan Samlingar för Molnanslutna Configuration Manager-enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa resursutforskaren Visar sidan Resursutforskaren för Molnanslutna Configuration Manager-enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa tidslinje Visar sidan Tidslinje för Molnanslutna Configuration Manager-enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Visa programuppdateringar Visar sidan Programuppdateringar för Molnanslutna Configuration Manager-enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, supportansvarig
Molnanslutna enheter\Visa skript Visar sidan Skript för Molnanslutna Configuration Manager-enheter Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Kör skript Visar åtgärden Kör skript och låter användaren köra skript på molnanslutna Configuration Manager-enheter Skoladministratör, supportansvarig
Molnanslutna enheter\Kör CMPivot-fråga Visar CMPivot-sidan för molnanslutna Configuration Manager-enheter Endpoint Security Manager, Skoladministratör, Supportansvarig
Molnanslutna enheter\Visa klientinformation Visar sidan Klientinformation för molnanslutna Configuration Manager-enheter Application Manager, Endpoint Security Manager, skrivskyddad operatör,Skoladministratör, Principprofilhanterare, Supportansvarig
Molnanslutna enheter\Visa program Visar sidan Program för Molnanslutna Configuration Manager-enheter Application Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig
Molnanslutna enheter\Vidta programåtgärder Visar programåtgärder på sidan Program och låter användaren vidta programåtgärder på molnanslutna Configuration Manager-enheter Programansvarig, skoladministratör, supportansvarig
Fjärruppgifter/Rotera BitLockerKeys (förhandsversion) Initierar en nyckelrotation för BitLocker-återställningslösenord på enheten. Visar sidan Återställningsnycklar för Molnanslutna Configuration Manager-enheter. Endpoint Security Manager, supportansvarig

Vanliga frågor och svar

Jag har molnbaserade användare som behöver åtkomst till klientanslutna enheter i Intune, kommer detta att ge dem åtkomst?

Ja. När en användare endast är i molnet innebär det i det här scenariot att de finns i Microsoft Entra-ID och kan komma åt Intune. Med Intune RBAC får de åtkomst till klientanslutna enheter.

Vad händer om jag har flera Configuration Manager-hierarkier anslutna till min klientorganisation?

Inställningen Använd Intune RBAC i administrationscentret för Microsoft Intune gäller för alla Configuration Manager-hierarkier som anges i klientorganisationen.

Vad händer om Configuration Manager- och Intune-inställningarna är felmatchade?

Om växlingsknappen Använd Intune RBAC i Intune är inställd på Av tillämpas rollbaserad åtkomst i Configuration Manager, även om kryssrutan Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager avmarkeras. Inaktivering av alternativet Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager har ingen effekt förrän växlingsknappen Använd Intune RBAC i Intune har angetts till .

Vad händer om min testhierarki har konfigurerats för att använda Intune RBAC, men min produktionshierarki inte är det och de finns i samma klientorganisation?

Inställningen Använd Intune RBAC gäller för alla Configuration Manager-hierarkier som anges i klientorganisationen. Endast molnanvändare kan komma åt klientanslutna enheter som laddas upp från testhierarkin eftersom du också har avmarkerat kryssrutan för att framtvinga Configuration Manager RBAC. Om en molnbaserad användare försöker komma åt en klientansluten enhet som laddats upp från produktionsmiljön får de ett felmeddelande eftersom produktionsenheter tillämpar Configuration Manager RBAC. Den molnbaserade användaren får ett fel som liknar följande meddelande: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Nästa steg