Řízení přístupu na základě role v Intune pro klienty připojené k tenantovi
Platí pro: Configuration Manager (Current Branch)
Od Configuration Manager verze 2207 můžete při interakci se zařízeními připojenými k tenantovi používat řízení přístupu na základě role (RBAC) Intune z Centra pro správu Microsoft Intune. Pokud například jako autoritu řízení přístupu na základě role používáte Intune, uživatel s rolí operátora helpdesku nepotřebuje přiřazenou roli zabezpečení ani další oprávnění z Configuration Manager. Řízení přístupu na základě role v Intune spravuje oprávnění ke všem stránkám zařízení připojeným ke cloudu v Centru pro správu Microsoft Intune, jako jsou časová osa zařízení, CMPivot a skripty.
Důležité
V současné době je jakékoli vynucení řízení přístupu na základě role v Intune pro zobrazení a provádění akcí na zařízeních připojených k tenantovi z centra pro správu Microsoft Intune volitelné. Všem správcům s prostředími Configuration Manager připojenými ke cloudu doporučujeme, aby v Intune začali ověřovat oprávnění řízení přístupu na základě role.
Tři základní kroky konfigurace Intune jako autority řízení přístupu na základě role pro zařízení připojená k tenantovi:
- V konzole Configuration Manager zakažte vynucování Configuration Manager řízení přístupu na základě role pro klienty připojené ke cloudu.
- V Intune povolte správu uživatelských oprávnění pro zařízení připojená ke cloudu.
- V Intune ověřte oprávnění řízení přístupu na základě role pro zařízení připojená ke cloudu.
Požadavky
- Configuration Manager verze 2207 nebo novější
- Zařízení připojená k tenantovi
Omezení
- V současné době není nastavení rozsahu podporované, pokud k zobrazení a provádění akcí na zařízeních připojených k tenantovi z Centra pro správu Microsoft Intune používáte pouze řízení přístupu na základě role v Intune.
- V současné době není stránka Aktualizace softwaru dostupná jenom uživatelům cloudu, kteří používají aktualizační kanál Configuration Manager verze 2207.
Zákaz vynucování Configuration Manager řízení přístupu na základě role pro klienty připojené ke cloudu
Pokud chcete pro připojení tenanta použít řízení přístupu na základě role v Intune místo Configuration Manager řízení přístupu na základě role, postupujte podle následujících pokynů:
V konzole Configuration Manager přejděte na Správa>Cloud Services>Připojitcloud.
Umístění možnosti řízení přístupu na základě role se liší v závislosti na tom, jestli je vaše prostředí už připojené ke cloudu.
- Pokud je vaše prostředí už připojené ke cloudu, otevřete vlastnosti pro CoMgmtSettingsProd. Pokud nemáte zařízení nahraná do Centra pro správu, nakonfigurujte nejprve tuto možnost. Další informace najdete v tématu Povolení připojení cloudu.
- Pokud vaše prostředí není připojené ke cloudu, vyberte Konfigurovat připojení ke cloudu a otevřete průvodce konfigurací připojení ke cloudu.
Na kartě Konfigurovat nahrávání nebo na stránce průvodce zrušte zaškrtnutí políčka u následující možnosti v záhlaví Access Control na základě rolí:
Vynucování Configuration Manager RBAC pro požadavky cloudové konzoly, které komunikují s Configuration Manager
Zvolte OK a uložte změnu vlastností CoMgmtSettingsProd nebo pokračujte a dokončete průvodce připojením ke cloudu.
Povolení řízení přístupu na základě role v Intune
Pokud chcete intune povolit správu uživatelských oprávnění pro zařízení připojená ke cloudu, postupujte následovně:
- Otevřete Centrum pro správu Microsoft Intune a přihlaste se jako uživatel s oprávněním Role/Aktualizace. Další informace o oprávněních najdete v tématu Oprávnění vlastní role v Intune.
- Vyberte Správa klienta>Konektory a tokeny>Microsoft Endpoint Configuration Manager.
- Na banneru vyberte Můžete také spravovat uživatelská oprávnění z Intune. Další informace o této možnosti získáte kliknutím sem.
- Zobrazí se vysouvací nabídka Use Intune RBAC (Použít Intune RBAC ).
- Vyberte Zapnuto u možnosti Použít Intune RBAC a pak zvolte Použít.
- Může trvat asi 10 minut, než se změna projeví.
Ověření oprávnění řízení přístupu na základě role v Intune
Jakmile je Intune nastavená na autoritu řízení přístupu na základě role, ověřte oprávnění pro vaše role. V případě potřeby můžete tato oprávnění přidat k vlastním rolím , které jste vytvořili v Intune.
- Otevřete Centrum pro správu Microsoft Intune a přihlaste se.
- Vyberte Role pro správu>tenanta.
- Vyberte roli, například Správce aplikací, a zkontrolujte oprávnění pro zařízení připojená ke cloudu. V případě potřeby upravte oprávnění pro všechny vlastní role , které jste vytvořili v Intune.
Přístup k Configuration Manager zařízením připojeným ke cloudu řídí následující oprávnění Intune:
| Oprávnění | Popis | Předdefinované role Intune s oprávněním |
|---|---|---|
| Zařízení připojená ke cloudu\Zobrazit kolekce | Zobrazí stránku Kolekce pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Zobrazit průzkumníka prostředků | Zobrazí stránku Průzkumníka prostředků pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Zobrazit časovou osu | Zobrazí stránku časové osy pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Zobrazit aktualizace softwaru | Zobrazí stránku Aktualizace softwaru pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, operátor technické podpory |
| Zařízení připojená ke cloudu\Zobrazit skripty | Zobrazí stránku Skripty pro Configuration Manager zařízení připojená ke cloudu. | Endpoint Security Manager, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Spustit skript | Zobrazí akci Spustit skript a umožní uživateli spouštět skripty na Configuration Manager zařízeních připojených ke cloudu. | Správce školy, operátor helpdesku |
| Zařízení připojená ke cloudu\Spustit dotaz CMPivot | Zobrazí stránku CMPivot pro Configuration Manager zařízení připojená ke cloudu. | Správce zabezpečení koncového bodu, správce školy, operátor helpdesku |
| Zařízení připojená ke cloudu\Zobrazit podrobnosti o klientovi | Zobrazí stránku s podrobnostmi o klientovi pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, Správce zabezpečení koncových bodů, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Zobrazit aplikace | Zobrazí stránku Aplikace pro Configuration Manager zařízení připojená ke cloudu. | Správce aplikací, operátor jen pro čtení, správce školy, správce profilů zásad, operátor helpdesku |
| Zařízení připojená ke cloudu\Provádění akcí aplikace | Zobrazí akce aplikace na stránce Aplikace a umožní uživateli provádět akce aplikace na Configuration Manager zařízeních připojených ke cloudu. | Správce aplikací, správce školy, operátor helpdesku |
| Vzdálené úlohy / Obměna klíčů nástroje BitLocker (Preview) | Zahájí obměnu klíčů pro hesla bitlockeru pro obnovení na zařízení. Zobrazí stránku Obnovovací klíče pro Configuration Manager zařízení připojená ke cloudu. | Endpoint Security Manager, operátor helpdesku |
Nejčastější dotazy
Mám jenom cloudové uživatele, kteří potřebují přístup k zařízením připojeným k tenantovi v Intune. Umožní jim to přístup?
Ano. Pokud je uživatel jenom v cloudu, v tomto scénáři to znamená, že je v Microsoft Entra ID a má přístup k Intune, pomocí Intune RBAC mu udělíte přístup k zařízením připojeným k tenantovi.
Co když mám k tenantovi připojených více hierarchií Configuration Manager?
Nastavení Použít Intune RBAC v Centru pro správu Microsoft Intune platí pro všechny hierarchie Configuration Manager uvedené v tenantovi.
Co se stane, když se nastavení Configuration Manager a Intune neshodují?
Pokud je přepínač Použít Intune RBAC v Intune nastavený na Vypnuto, bude se vynucovat Configuration Manager přístup na základě role, a to i v případě, že políčko Vynutit Configuration Manager RBAC pro požadavky cloudové konzoly, které pracují s Configuration Manager, není zaškrtnuté. Zakázání možnosti Vynutit Configuration Manager RBAC pro požadavky cloudové konzoly, které komunikují s Configuration Manager, nebude mít žádný vliv, dokud není přepínač Použít intune RBAC v Intune nastavený na Zapnuto.
Co se stane, když je moje testovací hierarchie nakonfigurovaná tak, aby používala řízení přístupu na základě role v Intune, ale produkční hierarchie není a jsou ve stejném tenantovi?
Nastavení Použít Intune RBAC se vztahuje na všechny hierarchie Configuration Manager uvedené v tenantovi. Jenom cloudoví uživatelé můžou přistupovat k zařízením připojeným k tenantovi, která jsou nahraná z testovací hierarchie, protože jste také zaškrtnutí políčka vynutili, abyste vynutili Configuration Manager RBAC. Pokud se uživatel výhradně v cloudu pokusí získat přístup k zařízení připojenému k tenantovi nahranému z produkčního prostředí, zobrazí se mu chyba, protože produkční zařízení vynucují Configuration Manager řízení přístupu na základě role. Uživateli s výhradně cloudem se zobrazí chyba podobná následující zprávě: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Další kroky
- Kontrola časové osy pro zařízení připojené ke cloudu
- Spuštění dotazu CMPivot na zařízení připojeném ke cloudu
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro