Řízení přístupu na základě role v Intune pro klienty připojené k tenantovi
Platí pro: Configuration Manager (Current Branch)
Od Configuration Manageru verze 2207 můžete použít řízení přístupu na základě role (RBAC) Intune při interakci se zařízeními připojenými k tenantovi z Centra pro správu Microsoft Intune. Pokud například jako autoritu řízení přístupu na základě role používáte Intune, uživatel s rolí operátora helpdesku nepotřebuje přiřazenou roli zabezpečení ani další oprávnění z Configuration Manageru. Řízení přístupu na základě role v Intune spravuje oprávnění ke všem stránkám zařízení připojeným ke cloudu v Centru pro správu Microsoft Intune, jako je časová osa zařízení, CMPivot a skripty.
Důležité
V současné době je jakékoli vynucení řízení přístupu na základě role v Intune pro zobrazení a provádění akcí na zařízeních připojených k tenantovi z Centra pro správu Microsoft Intune volitelné. Doporučujeme všem správcům s prostředími Configuration Manageru připojenými ke cloudu začít ověřovat oprávnění řízení přístupu na základě role z Intune.
Tři základní kroky konfigurace Intune jako autority řízení přístupu na základě role pro zařízení připojená k tenantovi:
- V konzole nástroje Configuration Manager zakažte vynucování řízení přístupu na základě role nástroje Configuration Manager pro klienty připojené ke cloudu.
- V Intune povolte správu uživatelských oprávnění pro zařízení připojená ke cloudu.
- V Intune ověřte oprávnění řízení přístupu na základě role pro zařízení připojená ke cloudu.
Požadavky
- Configuration Manager verze 2207 nebo novější
- Zařízení připojená k tenantovi
Omezení
- V současné době není nastavení rozsahu podporované, pokud k zobrazení a provádění akcí na zařízeních připojených k tenantovi z Centra pro správu Microsoft Intune používáte jenom řízení přístupu na základě role v Intune.
- V současné době není stránka Aktualizace softwaru k dispozici uživatelům, kteří používají pouze cloud, pokud používají aktualizační kanál nástroje Configuration Manager verze 2207.
Zákaz vynucování řízení přístupu na základě role nástroje Configuration Manager pro klienty připojené ke cloudu
Pokud chcete pro připojení tenanta místo řízení přístupu na základě role v Nástroji Configuration Manager použít řízení přístupu na základě role v Intune, postupujte podle následujících pokynů:
V konzole nástroje Configuration Manager přejděte do části Správa>Cloudové připojení ke cloudovým službám>.
Umístění možnosti řízení přístupu na základě role se liší v závislosti na tom, jestli je vaše prostředí už připojené ke cloudu.
- Pokud je vaše prostředí už připojené ke cloudu, otevřete vlastnosti pro CoMgmtSettingsProd. Pokud nemáte zařízení nahraná do Centra pro správu, nakonfigurujte nejprve tuto možnost. Další informace najdete v tématu Povolení připojení cloudu.
- Pokud vaše prostředí není připojené ke cloudu, vyberte Konfigurovat připojení ke cloudu a otevřete průvodce konfigurací připojení ke cloudu.
Na kartě Konfigurovat nahrávání nebo na stránce průvodce zrušte zaškrtnutí políčka u následující možnosti pod nadpisem Řízení přístupu na základě role :
Vynucování řízení přístupu na základě role (RBAC) nástroje Configuration Manager pro požadavky cloudové konzoly, které komunikují s nástrojem Configuration Manager
Zvolte OK a uložte změnu vlastností CoMgmtSettingsProd nebo pokračujte a dokončete průvodce připojením ke cloudu.
Povolení řízení přístupu na základě role v Intune
Pokud chcete intune povolit správu uživatelských oprávnění pro zařízení připojená ke cloudu, postupujte následovně:
- Otevřete Centrum pro správu Microsoft Intune a přihlaste se jako uživatel s oprávněním Role/Aktualizace . Další informace o oprávněních najdete v tématu Oprávnění vlastní role v Intune.
- Vyberte Konektory pro správu>tenanta a tokeny>Microsoft Endpoint Configuration Manageru.
- Na banneru vyberte Můžete také spravovat uživatelská oprávnění z Intune. Další informace o této možnosti získáte kliknutím sem.
- Zobrazí se vysouvací nabídka Use Intune RBAC (Použít Intune RBAC ).
- Vyberte Zapnuto u možnosti Použít Intune RBAC a pak zvolte Použít.
- Může trvat asi 10 minut, než se změna projeví.
Ověření oprávnění řízení přístupu na základě role v Intune
Jakmile je Intune nastavená na autoritu řízení přístupu na základě role, ověřte oprávnění pro vaše role. V případě potřeby můžete tato oprávnění přidat k vlastním rolím , které jste vytvořili v Intune.
- Otevřete Centrum pro správu Microsoft Intune a přihlaste se.
- Vyberte Role pro správu>tenanta.
- Vyberte roli, například Správce aplikací, a zkontrolujte oprávnění pro zařízení připojená ke cloudu. V případě potřeby upravte oprávnění pro všechny vlastní role , které jste vytvořili v Intune.
Následující oprávnění Intune řídí přístup ke cloudovým zařízením nástroje Configuration Manager:
Povolení | Popis | Předdefinované role Intune s oprávněním |
---|---|---|
Zařízení připojená ke cloudu\Zobrazit kolekce | Zobrazí stránku Kolekce pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Zobrazit průzkumníka prostředků | Zobrazí stránku Průzkumníka prostředků pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Zobrazit časovou osu | Zobrazí stránku Časové osy pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Zobrazit aktualizace softwaru | Zobrazí stránku Aktualizace softwaru pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, operátor technické podpory |
Zařízení připojená ke cloudu\Zobrazit skripty | Zobrazí stránku Skripty pro cloudová zařízení nástroje Configuration Manager. | Endpoint Security Manager, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Spustit skript | Zobrazí akci Spustit skript a umožní uživateli spouštět skripty na zařízeních připojených ke cloudu nástroje Configuration Manager. | Správce školy, operátor helpdesku |
Zařízení připojená ke cloudu\Spustit dotaz CMPivot | Zobrazí stránku CMPivot pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce zabezpečení koncového bodu, správce školy, operátor helpdesku |
Zařízení připojená ke cloudu\Zobrazit podrobnosti o klientovi | Zobrazí stránku s podrobnostmi o klientovi pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Zobrazit aplikace | Zobrazí stránku Aplikace pro zařízení připojená ke cloudu nástroje Configuration Manager. | Správce aplikací, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
Zařízení připojená ke cloudu\Provádění akcí aplikace | Zobrazí akce aplikace na stránce Aplikace a umožní uživateli provádět akce aplikace na zařízeních připojených ke cloudu nástroje Configuration Manager. | Správce aplikací, správce školy, operátor helpdesku |
Vzdálené úlohy / Obměna klíčů nástroje BitLocker (Preview) | Zahájí obměnu klíčů pro hesla bitlockeru pro obnovení na zařízení. Zobrazí stránku Obnovovací klíče pro zařízení připojená ke cloudu nástroje Configuration Manager. | Endpoint Security Manager, operátor helpdesku |
Nejčastější dotazy
Mám jenom cloudové uživatele, kteří potřebují přístup k zařízením připojeným k tenantovi v Intune. Umožní jim to přístup?
Ano. Pokud je uživatel jenom v cloudu, v tomto scénáři to znamená, že je v Microsoft Entra ID a má přístup k Intune, pomocí Intune RBAC mu udělíte přístup k zařízením připojeným k tenantovi.
Co když mám k tenantovi připojených více hierarchií Nástroje Configuration Manager?
Nastavení Použít Intune RBAC v Centru pro správu Microsoft Intune platí pro všechny hierarchie Configuration Manageru uvedené v tenantovi.
Co se stane, když se nastavení Configuration Manageru a Intune neshodují?
Pokud je přepínač Použít Intune RBAC v Intune nastavený na Vypnuto, bude se vynucovat přístup na základě role Configuration Manageru, a to i v případě, že políčko Vynutit řízení přístupu RBAC nástroje Configuration Manager pro požadavky cloudové konzoly, které komunikují s Configuration Managerem , není zaškrtnuté. Zakázání možnosti Vynutit řízení přístupu na základě role (RBAC) configuration manageru pro požadavky cloudové konzoly, které komunikují s Configuration Managerem , nebude mít žádný vliv, dokud není přepínač Použít Intune RBAC v Intune nastavený na Zapnuto.
Co se stane, když je moje testovací hierarchie nakonfigurovaná tak, aby používala řízení přístupu na základě role v Intune, ale produkční hierarchie není a jsou ve stejném tenantovi?
Nastavení Použít Intune RBAC platí pro všechny hierarchie Configuration Manageru uvedené v tenantovi. Jenom cloudoví uživatelé mají přístup k zařízením připojeným k tenantovi, která jsou nahraná z testovací hierarchie, protože jste také zaškrtnutí políčka vynutili řízení přístupu na základě role v nástroji Configuration Manager. Pokud se uživatel výhradně v cloudu pokusí získat přístup k zařízení připojenému k tenantovi nahranému z produkčního prostředí, zobrazí se mu chyba, protože produkční zařízení vynucují řízení přístupu na základě role Configuration Manageru. Uživateli s výhradně cloudem se zobrazí chyba podobná následující zprávě: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Další kroky
- Kontrola časové osy pro zařízení připojené ke cloudu
- Spuštění dotazu CMPivot na zařízení připojeném ke cloudu