Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT

  • Článek

Pomocí řízení přístupu na základě role a značek oboru můžete zajistit, aby měli správní správci správný přístup a správnou viditelnost k požadovaným objektům Intune. Role určují, k jakým objektům mají správci přístupu přístup. Značky oboru určují, které objekty můžou správci zobrazit.

Řekněme například, že správce regionální kanceláře Seattle má roli Správce zásad a profilů. Chcete, aby tento správce viděl a spravil jenom profily a zásady, které se vztahují jenom na zařízení v Seattlu. Pokud chcete nastavit tento přístup, proveďte následující:

  1. Vytvořte značku oboru s názvem Seattle.
  2. Vytvořte přiřazení role pro roli Správce zásad a profilů pomocí:
    • Členové (skupiny) = skupina zabezpečení s názvem Správci IT v Seattlu. Všichni správci v této skupině budou mít oprávnění ke správě zásad a profilů pro uživatele a zařízení v oboru (skupiny).
    • Obor (skupiny) = skupina zabezpečení s názvem Seattle users. Všichni uživatelé nebo zařízení v této skupině můžou spravovat své profily a zásady správci v části Členové (skupiny).
    • Obor (značky) = Seattle. Správci v členech (skupinách) můžou zobrazit objekty Intune, které mají také značku rozsahu Seattle.
  3. Přidejte značku rozsahu Seattle do zásad a profilů, ke kterým mají mít správci v rámci členů (skupin) přístup.
  4. Přidejte značku rozsahu Seattle na zařízení, která chcete zobrazit správcům v části Členové (Skupiny).

Výchozí značka oboru

Výchozí značka oboru se automaticky přidá do všech neoznačené objekty, které podporují značky oboru.

Výchozí funkce značky oboru je podobná funkci rozsahů zabezpečení v Microsoft Configuration Manager.

Poznámka

Při konfiguraci nebo úpravě zásad Intune se některé typy zásad nemusí zobrazit na stránce konfigurace Značky oboru, pokud pro tenanta neexistují žádné vlastní definované značky oboru. Pokud možnost Značka oboru nevidíte, ujistěte se, že je kromě výchozí značky oboru definovaná alespoň jedna značka.

Vytvoření značky oboru

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Obor (značky)>Vytvořit.

  2. Na stránce Základy zadejte Název a volitelný popis. Zvolte Další.

  3. Na stránce Přiřazení zvolte skupiny obsahující zařízení, kterým chcete přiřadit tuto značku oboru. Zvolte Další.

  4. Na stránce Zkontrolovat a vytvořit zvolte Vytvořit.

    Důležité

    Přiřazení značek automatického oboru přepíše ručně přiřazené značky oboru. Pokud je zařízení přiřazeno více značek oboru prostřednictvím přiřazení skupiny, použijí se všechny značky oboru.

Přiřazení značky oboru k roli

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Všechny role> zvolte přiřazení> role >Přiřadit.

  2. Na stránce Základy zadejte Název přiřazení a Popis. Zvolte Další.

  3. Na stránce Správa Skupiny zvolte Přidat skupiny a vyberte skupiny, které chcete použít jako součást tohoto přiřazení. Uživatelé v těchto skupinách budou mít oprávnění ke správě uživatelů a zařízení v oboru (skupiny). Zvolte Další.

    Snímek obrazovky s vybranými skupinami členů

  4. Na stránce Skupiny oborů vyberte jednu z následujících možností pro zahrnuté skupiny:

    • Přidat skupiny: Vyberte skupiny obsahující uživatele nebo zařízení, které chcete spravovat. Všechny uživatele a zařízení ve vybraných skupinách budou spravovat uživatelé v Správa Skupinách.
    • Přidat všechny uživatele: Všechny uživatele můžou spravovat uživatelé v Správa skupinách.
    • Přidat všechna zařízení: Všechna zařízení můžou spravovat uživatelé v Správa skupinách.

  5. Zvolte Další.

  6. Na stránce Značky oboru vyberte značky, které chcete přidat do této role. Uživatelé v Správa Skupinách budou mít přístup k objektům Intune, které mají také stejnou značku oboru. Roli můžete přiřadit maximálně 100 značek oboru.

  7. Zvolte Další a přejděte na stránku Zkontrolovat a vytvořit a pak zvolte Vytvořit.

Přiřazení značek oboru k jiným objektům

U objektů, které podporují značky oboru, se značky oboru obvykle zobrazují v části Vlastnosti. Pokud chcete například přiřadit značku oboru konfiguračnímu profilu, postupujte takto:

  1. V Centru pro správu Microsoft Intune zvolteKonfigurace>zařízení> Zvolte profil.

  2. Zvolte Obor vlastností>(značky)>Upravit>Vyberte značky> oboru a zvolte značky, které chcete přidat do profilu. Objektu můžete přiřadit maximálně 100 značek oboru.

  3. Zvolte Vybrat>Zkontrolovat a uložit.

Podrobnosti o značce oboru

Při práci se značkami oboru si pamatujte tyto podrobnosti:

  • Značky oboru můžete přiřadit k typu objektu Intune, pokud tenant může mít více verzí tohoto objektu (například přiřazení rolí nebo aplikace). Následující objekty Intune jsou výjimkami z tohoto pravidla a v současné době nepodporují značky oboru:
    • Identifikátory zařízení corp
    • Zařízení Autopilot
    • Umístění dodržování předpisů zařízením
    • Zařízení Jamf
  • Aplikace a elektronické knihy programu VPP (Volume Purchase Program) přidružené k tokenu VPP dědí značky oboru přiřazené k přidruženému tokenu VPP.
  • Když správce vytvoří objekt v Intune, všechny značky oboru přiřazené danému správci se automaticky přiřadí k novému objektu.
  • Intune RBAC se nevztahuje na role Microsoft Entra. Role Správci služeb Intune a Globální správci tak mají úplný přístup správce k Intune bez ohledu na to, jaké značky oboru mají.
  • Pokud přiřazení role nemá značku oboru, může správce IT zobrazit všechny objekty na základě oprávnění správců IT. Správci, kteří nemají žádné značky oboru, mají v podstatě všechny značky oboru.
  • Můžete přiřadit jenom značku oboru, kterou máte ve svých přiřazeních rolí.
  • Můžete cílit jenom na skupiny, které jsou uvedené v oboru (skupiny) přiřazení role.
  • Pokud máte ke své roli přiřazenou značku oboru, nemůžete u objektu Intune odstranit všechny značky oboru. Vyžaduje se alespoň jedna značka oboru.

Další kroky

Zjistěte, jak se značky oboru chovají, když existuje více přiřazení rolí. Spravujte své role a profily.