Comparteix a través de


Control de acceso basado en rol de Intune para clientes conectados a inquilinos

Se aplica a: Configuration Manager (rama actual)

A partir de la versión 2207 de Configuration Manager, puede usar el control de acceso basado en rol (RBAC) de Intune al interactuar con dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune. Por ejemplo, al usar Intune como entidad de control de acceso basada en rol, un usuario con el rol Operador del departamento de soporte técnico no necesita un rol de seguridad asignado ni permisos adicionales de Configuration Manager. El control de acceso basado en rol de Intune administra los permisos para todas las páginas de dispositivos conectados a la nube en el Centro de administración de Microsoft Intune, como la escala de tiempo del dispositivo, CMPivot y scripts.

Importante

Actualmente, cualquier aplicación del control de acceso basado en rol de Intune para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune es opcional. Se recomienda que todos los administradores con entornos de Configuration Manager conectados a la nube comiencen a comprobar los permisos de control de acceso basado en rol de Intune.

Los tres pasos de alto nivel para configurar Intune como entidad de control de acceso basado en rol para dispositivos conectados a inquilinos son:

Requisitos previos

Limitaciones

  • Actualmente no se admite el ámbito cuando se usa solo el control de acceso basado en rol de Intune para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune.
  • Actualmente, la página Actualizaciones de software no está disponible para los usuarios solo en la nube cuando se usa el anillo de actualización temprana de la versión 2207 de Configuration Manager.

Deshabilitación de la aplicación del control de acceso basado en rol de Configuration Manager para clientes conectados a la nube

Para usar el control de acceso basado en rol de Intune para la asociación de inquilinos en lugar del control de acceso basado en rol de Configuration Manager, siga estas instrucciones:

  1. En la consola de Configuration Manager, vaya a Administración>Cloud Services>Cloud Attach.

  2. La ubicación de la opción de control de acceso basado en rol varía en función de si el entorno ya está conectado a la nube o no.

    • Si el entorno ya está conectado a la nube, abra las propiedades de CoMgmtSettingsProd. Si no tiene dispositivos cargados en el centro de administración, configure primero esa opción. Para obtener más información, vea Habilitar la asociación en la nube.
    • Si el entorno no está conectado a la nube, seleccione Configurar la conexión a la nube para abrir el Asistente para la configuración de conexión a la nube.
  3. En la pestaña Configurar carga o en la página del asistente, desactive la casilla de la siguiente opción en el encabezado Control de acceso basado en rol:

    Aplicación de RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager

  4. Elija Aceptar para guardar el cambio en las propiedades de CoMgmtSettingsProd o continuar para completar el asistente de asociación a la nube.

Captura de pantalla de las propiedades de CoMgmtSettingsProd en Configuration Manager. En la captura de pantalla, se muestra la pestaña Configurar carga con un cuadro rojo que describe la sección de control de acceso basado en rol.

Habilitación del control de acceso basado en rol desde Intune

Para permitir que Intune administre permisos de usuario para dispositivos conectados a la nube, siga estos pasos:

  1. Abra el Centro de administración de Microsoft Intune e inicie sesión como un usuario que tenga el permiso Roles/Actualizar . Para obtener más información sobre el permiso, consulte permisos de rol personalizados en Intune.
  2. Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager.
  3. En el banner, seleccione También puede administrar permisos de usuario desde Intune. Haga clic aquí para obtener más información sobre esta opción.
  4. Aparece el control flotante Usar RBAC de Intune .
  5. Seleccione Activado en la opción Usar RBAC de Intune y, a continuación, elija Aplicar.
  6. El cambio puede tardar unos 10 minutos en surtir efecto.

Captura de pantalla de la página Conectores y tokens de Microsoft Configuration Manager en el Centro de administración de Microsoft Intune. El control flotante Usar RBAC de Intune se muestra en la captura de pantalla.

Comprobación de los permisos de control de acceso basado en rol desde Intune

Una vez que Intune se establece en la entidad de control de acceso basada en roles, compruebe los permisos para los roles. Si es necesario, puede agregar estos permisos a los roles personalizados que creó en Intune.

  1. Abra el Centro de administración de Microsoft Intune e inicie sesión.
  2. Seleccione Roles de administración de>inquilinos.
  3. Seleccione un rol, como Application Manager, y revise los permisos enumerados para los dispositivos conectados a la nube. Si es necesario, edite los permisos para los roles personalizados que haya creado en Intune.

Los siguientes permisos de Intune controlan el acceso a los dispositivos conectados a la nube de Configuration Manager:

Permiso Descripción Roles integrados de Intune con el permiso
Dispositivos conectados a la nube\Ver colecciones Muestra la página Recopilaciones de dispositivos conectados a la nube de Configuration Manager Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator
Dispositivos conectados a la nube\Ver explorador de recursos Muestra la página Explorador de recursos para dispositivos conectados a la nube de Configuration Manager Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator
Dispositivos conectados a la nube\Ver escala de tiempo Muestra la página Escala de tiempo de los dispositivos conectados a la nube de Configuration Manager Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator
Dispositivos conectados a la nube\Ver actualizaciones de software Muestra la página Actualizaciones de software para dispositivos conectados a la nube de Configuration Manager Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator
Dispositivos conectados a la nube\Ver scripts Muestra la página Scripts para dispositivos conectados a la nube de Configuration Manager Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator
Dispositivos conectados a la nube\Ejecutar script Muestra la acción Ejecutar script y permite al usuario ejecutar scripts en dispositivos conectados a la nube de Configuration Manager Administrador de la escuela, operador del departamento de soporte técnico
Dispositivos conectados a la nube\Ejecutar consulta CMPivot Muestra la página CMPivot para dispositivos conectados a la nube de Configuration Manager Administrador de seguridad de puntos de conexión, administrador educativo, operador del departamento de soporte técnico
Dispositivos conectados a la nube\Ver detalles del cliente Muestra la página Detalles del cliente de los dispositivos conectados a la nube de Configuration Manager. Administrador de aplicaciones, Administrador de seguridad de puntos de conexión, Operador de solo lectura, Administrador educativo, Administrador de perfiles de directivas, Operador del departamento de soporte técnico
Dispositivos conectados a la nube\Ver aplicaciones Muestra la página Aplicaciones para dispositivos conectados a la nube de Configuration Manager Administrador de aplicaciones, operador de solo lectura, administrador educativo, administrador de perfiles de directivas, operador del departamento de soporte técnico
Dispositivos conectados a la nube\Realizar acciones de aplicación Muestra las acciones de la aplicación en la página Aplicaciones y permite al usuario realizar acciones de aplicación en dispositivos conectados a la nube de Configuration Manager. Administrador de aplicaciones, administrador educativo, operador del departamento de soporte técnico
Tareas remotas/Rotar las claves de BitLockerKeys (versión preliminar) Inicia una rotación de las claves para las contraseñas de recuperación de BitLocker en el dispositivo. Muestra la página Claves de recuperación para dispositivos conectados a la nube de Configuration Manager. Administrador de seguridad de puntos de conexión, operador del departamento de soporte técnico

Preguntas frecuentes

Tengo usuarios solo en la nube que necesitan acceso a dispositivos conectados a inquilinos en Intune, ¿esto les dará acceso?

Sí. Cuando un usuario solo está en la nube, en este escenario, lo que significa que está en Microsoft Entra ID y puede acceder a Intune, el uso de RBAC de Intune le dará acceso a los dispositivos conectados al inquilino.

¿Qué ocurre si tengo varias jerarquías de Configuration Manager conectadas a mi inquilino?

La opción Usar RBAC de Intune en el Centro de administración de Microsoft Intune se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino.

¿Qué ocurre si la configuración de Configuration Manager e Intune no coincide?

Si el botón de alternancia Usar RBAC de Intune en Intune está establecido en Desactivado, se aplicará el acceso basado en rol de Configuration Manager, incluso si la casilla Aplicar RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager está desactivada. Deshabilitar la opción Aplicar RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager no tiene ningún efecto hasta que el botón de alternancia Usar RBAC de Intune en Intune esté establecido en Activado.

¿Qué ocurre si mi jerarquía de pruebas está configurada para usar RBAC de Intune, pero mi jerarquía de producción no es y están en el mismo inquilino?

La opción Usar RBAC de Intune se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino. Los usuarios solo en la nube pueden acceder a dispositivos conectados a inquilinos cargados desde la jerarquía de pruebas porque también ha desactivado la casilla para aplicar el RBAC de Configuration Manager. Si un usuario solo en la nube intenta acceder a un dispositivo conectado a un inquilino cargado desde el entorno de producción, recibirá un error ya que los dispositivos de producción están aplicando RBAC de Configuration Manager. El usuario solo en la nube recibirá un error similar al siguiente mensaje: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Siguientes pasos

  • Revisión de la escala de tiempo de un dispositivo conectado a la nube
  • Ejecución de una consulta de CMPivot en un dispositivo conectado a la nube