针对分散 IT 使用基于角色的访问控制(RBAC)和范围标记
可以使用基于角色的访问控制和范围标记来确保正确的管理员对所需的Intune对象具有正确的访问权限和可见性。 角色确定管理员对哪些对象具有哪些访问权限。 范围标记确定管理员可以查看的对象。
例如,假设西雅图区域办事处管理员具有策略和配置文件管理员角色。 你希望此管理员仅查看和管理仅适用于 Seattle 设备的配置文件和策略。 若要设置此访问权限,需要:
- 创建名为 Seattle 的范围标记。
- 使用以下命令为策略和配置文件管理器角色创建角色分配:
- 成员 (组) = 名为 Seattle IT 管理员的安全组。 此组中的所有管理员都将有权管理作用域 (组) 中用户/设备的策略和配置文件。
- 作用域 (组) = 名为 Seattle 用户的安全组。 此组中的所有用户/设备都可以由“成员” (组) 中的管理员管理其配置文件和策略。
- 作用域 (标记) = Seattle。 成员 (组) 中的管理员可以看到Intune对象,这些对象也具有 Seattle 范围标记。
- 将 Seattle 范围标记添加到希望成员 (组) 管理员有权访问的策略和配置文件。
- 将 Seattle 范围标记添加到要在“成员” (组) 中对管理员可见的设备。
默认范围标记
默认范围标记会自动添加到支持范围标记的所有未标记对象。
默认范围标记功能类似于 Microsoft Configuration Manager 中的安全作用域功能。
注意
配置或编辑Intune策略时,如果租户没有自定义定义的作用域标记,某些策略类型可能不会显示“范围标记配置”页。 如果未看到“范围标记”选项,请确保除了默认范围标记之外,还至少定义了一个标记。
创建范围标记
创建、更新或删除范围标记需要管理员分配全局管理员或Intune管理员 Entra ID 角色。 角色分配中具有作用域标记的管理员无法从范围标记的主列表中更新或删除范围标记。
在Microsoft Intune管理中心,选择“租户管理>角色范围> (标记) >创建”。
在 “基本信息 ”页上,提供 “名称” 和“ 说明”(可选)。 选择“下一步”。
在 “分配” 页上,选择包含要分配此作用域标记的设备所在的组。 选择“下一步”。
在“ 查看 + 创建 ”页上,选择“ 创建”。
重要
自动范围标记分配将覆盖手动分配的范围标记。 如果通过组分配为设备分配了多个范围标记,则会应用所有范围标记。
将范围标记分配给角色
在Microsoft Intune管理中心,选择“租户管理>角色”>“所有角色>”选择角色>分配>。
在 “基本信息 ”页上,提供 “分配名称” 和 “说明”。 选择“下一步”。
在“管理员 组”页上,选择“添加组”,然后选择要作为此分配的一部分的组。 这些组中的用户将有权管理作用域 (组) 中的用户/设备。 选择“下一步”。
在“作用域组”页上,为“包含的组”选择以下选项之一:
- 添加组:选择包含要管理的用户/设备的组。 所选组中的所有用户/设备将由管理员 组中的用户管理。
- 添加所有用户:所有用户都可以由管理员 组中的用户管理。
- 添加所有设备:所有设备都可以由管理员 组中的用户管理。
选择“下一步”
在“范围标记”页面上,选择要添加到此角色的标记。 管理员 组中的用户将有权访问Intune对象,这些对象也具有相同的范围标记。 最多可以向角色分配 100 个范围标记。
选择 “下一步 ”转到“ 查看 + 创建 ”页,然后选择“ 创建”。
将范围标记分配给其他对象
对于支持范围标记的对象,范围标记通常显示在 “属性”下。 例如,若要将范围标记分配给配置文件,请执行以下步骤:
在Microsoft Intune管理中心,选择“设备>管理设备>”“配置>”选择配置文件。
选择 “属性>范围 (标记) >编辑>选择范围标记> 选择要添加到配置文件的标记。 最多可以向对象分配 100 个范围标记。
选择 “选择查看>+ 保存”。
范围标记详细信息
使用范围标记时,请记住以下详细信息:
- 如果租户可以具有该对象 (的多个版本(例如角色分配或应用) ),则可以将范围标记分配给Intune对象类型。
以下Intune对象是此规则的例外,目前不支持范围标记:
- 公司设备标识符
- Autopilot 设备
- 设备符合性位置
- Jamf 设备
- 批量购买计划 (VPP) 与 VPP 令牌关联的应用和电子书继承分配给关联的 VPP 令牌的范围标记。
- 当管理员在 Intune 中创建对象时,分配给该管理员的所有范围标记将自动分配给新对象。
- Intune RBAC 不适用于Microsoft Entra角色。 因此,Intune服务管理员和全局管理员角色对Intune具有完全管理员访问权限,无论他们具有何种范围标记。
- 如果角色分配没有作用域标记,则 IT 管理员可以根据 IT 管理员权限查看所有对象。 没有范围标记的管理员实际上具有所有范围标记。
- 只能分配角色分配中具有的范围标记。
- 只能针对角色分配的范围 (组) 中列出的组。
- 如果已将作用域标记分配给角色,则无法删除Intune 对象上的所有范围标记。 至少需要一个范围标记。