Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT

  • Článek

Pomocí řízení přístupu na základě role a značek oboru můžete zajistit, aby měli správní správci správný přístup a viditelnost ke správným Intune objekty. Role určují, k jakým objektům mají správci přístupu přístup. Značky oboru určují, které objekty můžou správci zobrazit.

Řekněme například, že správce regionální kanceláře Seattle má roli Správce zásad a profilů. Chcete, aby tento správce viděl a spravil jenom profily a zásady, které se vztahují jenom na zařízení v Seattlu. Pokud chcete nastavit tento přístup, proveďte následující:

  1. Vytvořte značku oboru s názvem Seattle.
  2. Vytvořte přiřazení role pro roli Správce zásad a profilů pomocí:
    • Členové (skupiny) = skupina zabezpečení s názvem Správci IT v Seattlu. Všichni správci v této skupině budou mít oprávnění ke správě zásad a profilů pro uživatele a zařízení v oboru (skupiny).
    • Obor (skupiny) = skupina zabezpečení s názvem Seattle users. Všichni uživatelé nebo zařízení v této skupině můžou spravovat své profily a zásady správci v části Členové (skupiny).
    • Obor (značky) = Seattle. Správci v členech (skupinách) uvidí Intune objekty, které mají také značku oboru Seattle.
  3. Přidejte značku rozsahu Seattle do zásad a profilů, ke kterým mají mít přístup správci v rámci členů (skupin).
  4. Přidejte značku rozsahu Seattle na zařízení, která chcete zobrazit správcům v části Členové (Skupiny).

Výchozí značka oboru

Výchozí značka oboru se automaticky přidá do všech neoznačené objekty, které podporují značky oboru.

Funkce výchozí značky oboru je podobná funkci rozsahů zabezpečení v Microsoft Configuration Manager.

Vytvoření značky oboru

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Obor (značky)>Vytvořit.

  2. Na stránce Základy zadejte Název a volitelný popis. Zvolte Další.

  3. Na stránce Přiřazení zvolte skupiny obsahující zařízení, kterým chcete přiřadit tuto značku oboru. Zvolte Další.

  4. Na stránce Zkontrolovat a vytvořit zvolte Vytvořit.

    Důležité

    Přiřazení značek automatického oboru přepíší manuálně přiřazené značky oboru. Pokud je zařízení přiřazeno více značek oboru prostřednictvím přiřazení skupiny, použijí se všechny značky oboru.

Přiřazení značky oboru k roli

  1. V Centru pro správu Microsoft Intune zvolte Správa>tenanta Role>Všechny role> zvolte přiřazení> role >Přiřadit.

  2. Na stránce Základy zadejte Název přiřazení a Popis. Zvolte Další.

  3. Na stránce Správa Skupiny zvolte Přidat skupiny a vyberte skupiny, které chcete použít jako součást tohoto přiřazení. Uživatelé v těchto skupinách budou mít oprávnění ke správě uživatelů a zařízení v oboru (skupiny). Zvolte Další.

    Snímek obrazovky s vybranými skupinami členů

  4. Na stránce Skupiny oborů vyberte jednu z následujících možností pro zahrnuté skupiny:

    • Přidat skupiny: Vyberte skupiny obsahující uživatele nebo zařízení, které chcete spravovat. Všechny uživatele a zařízení ve vybraných skupinách budou spravovat uživatelé v Správa Skupinách.
    • Přidat všechny uživatele: Všechny uživatele můžou spravovat uživatelé v Správa skupinách.
    • Přidat všechna zařízení: Všechna zařízení můžou spravovat uživatelé ve skupinách Správa.

  5. Zvolte Další.

  6. Na stránce Značky oboru vyberte značky, které chcete přidat do této role. Uživatelé ve skupinách Správa budou mít přístup k Intune objektům, které mají také stejnou značku oboru. Roli můžete přiřadit maximálně 100 značek oboru.

  7. Zvolte Další a přejděte na stránku Zkontrolovat a vytvořit a pak zvolte Vytvořit.

Přiřazení značek oboru k jiným objektům

U objektů, které podporují značky oboru, se značky oboru obvykle zobrazují v části Vlastnosti. Pokud chcete například přiřadit značku oboru konfiguračnímu profilu, postupujte takto:

  1. V Centru pro správu Microsoft Intune zvolteProfily> konfigurace zařízení> a zvolte profil.

  2. Zvolte Obor vlastností>(značky)>Upravit>Vyberte značky> oboru a zvolte značky, které chcete přidat do profilu. Objektu můžete přiřadit maximálně 100 značek oboru.

  3. Zvolte Vybrat>Zkontrolovat a uložit.

Podrobnosti o značce oboru

Při práci se značkami oboru si pamatujte tyto podrobnosti:

  • Značky oboru můžete přiřadit Intune typu objektu, pokud tenant může mít více verzí tohoto objektu (například přiřazení rolí nebo aplikace). Následující Intune objekty jsou výjimkami z tohoto pravidla a v současné době nepodporují značky oboru:
    • Identifikátory zařízení corp
    • Zařízení Autopilot
    • Umístění dodržování předpisů zařízením
    • Zařízení Jamf
  • Aplikace a elektronické knihy programu VPP (Volume Purchase Program) přidružené k tokenu VPP dědí značky oboru přiřazené k přidruženému tokenu VPP.
  • Když správce vytvoří objekt v Intune, přiřadí se k novému objektu automaticky všechny značky oboru přiřazené danému správci.
  • Intune RBAC se nevztahuje na role Azure Active Directory. Role Intune Service Admins a Global Admins tak mají úplný přístup správce k Intune bez ohledu na to, jaké značky oboru mají.
  • Pokud přiřazení role nemá značku oboru, může správce IT zobrazit všechny objekty na základě oprávnění správců IT. Správci, kteří nemají žádné značky oboru, mají v podstatě všechny značky oboru.
  • Můžete přiřadit jenom značku oboru, kterou máte ve svých přiřazeních rolí.
  • Můžete cílit jenom na skupiny, které jsou uvedené v oboru (skupiny) přiřazení role.
  • Pokud máte k vaší roli přiřazenou značku oboru, nemůžete u objektu Intune odstranit všechny značky oboru. Vyžaduje se alespoň jedna značka oboru.

Další kroky

Zjistěte, jak se značky oboru chovají, když existuje více přiřazení rolí. Spravujte své role a profily.