Control de acceso basado en rol de Intune para clientes conectados a inquilinos
Se aplica a: Configuration Manager (rama actual)
A partir de la versión 2207 de Configuration Manager, puede usar el control de acceso basado en rol (RBAC) de Intune al interactuar con dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune. Por ejemplo, al usar Intune como entidad de control de acceso basada en rol, un usuario con el rol Operador del departamento de soporte técnico no necesita un rol de seguridad asignado ni permisos adicionales de Configuration Manager. El control de acceso basado en rol de Intune administra los permisos para todas las páginas de dispositivos conectados a la nube en el Centro de administración de Microsoft Intune, como la escala de tiempo del dispositivo, CMPivot y scripts.
Importante
Actualmente, cualquier aplicación del control de acceso basado en rol de Intune para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune es opcional. Se recomienda que todos los administradores con entornos de Configuration Manager conectados a la nube comiencen a comprobar los permisos de control de acceso basado en rol de Intune.
Los tres pasos de alto nivel para configurar Intune como entidad de control de acceso basado en rol para dispositivos conectados a inquilinos son:
- Desde la consola de Configuration Manager, deshabilite la aplicación del control de acceso basado en rol de Configuration Manager para los clientes conectados a la nube.
- Desde Intune, habilite la administración de permisos de usuario para dispositivos conectados a la nube
- Desde Intune, compruebe los permisos de control de acceso basado en rol para dispositivos conectados a la nube.
Requisitos previos
- Versión 2207 o posterior de Configuration Manager
- Dispositivos conectados a inquilinos
Limitaciones
- Actualmente no se admite el ámbito cuando se usa solo el control de acceso basado en rol de Intune para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el Centro de administración de Microsoft Intune.
- Actualmente, la página Actualizaciones de software no está disponible para los usuarios solo en la nube cuando se usa el anillo de actualización temprana de la versión 2207 de Configuration Manager.
Deshabilitación de la aplicación del control de acceso basado en rol de Configuration Manager para clientes conectados a la nube
Para usar el control de acceso basado en rol de Intune para la asociación de inquilinos en lugar del control de acceso basado en rol de Configuration Manager, siga estas instrucciones:
En la consola de Configuration Manager, vaya a Administración>Cloud Services>Cloud Attach.
La ubicación de la opción de control de acceso basado en rol varía en función de si el entorno ya está conectado a la nube o no.
- Si el entorno ya está conectado a la nube, abra las propiedades de CoMgmtSettingsProd. Si no tiene dispositivos cargados en el centro de administración, configure primero esa opción. Para obtener más información, vea Habilitar la asociación en la nube.
- Si el entorno no está conectado a la nube, seleccione Configurar la conexión a la nube para abrir el Asistente para la configuración de conexión a la nube.
En la pestaña Configurar carga o en la página del asistente, desactive la casilla de la siguiente opción en el encabezado Control de acceso basado en rol:
Aplicación de RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager
Elija Aceptar para guardar el cambio en las propiedades de CoMgmtSettingsProd o continuar para completar el asistente de asociación a la nube.
Habilitación del control de acceso basado en rol desde Intune
Para permitir que Intune administre permisos de usuario para dispositivos conectados a la nube, siga estos pasos:
- Abra el Centro de administración de Microsoft Intune e inicie sesión como un usuario que tenga el permiso Roles/Actualizar . Para obtener más información sobre el permiso, consulte permisos de rol personalizados en Intune.
- Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager.
- En el banner, seleccione También puede administrar permisos de usuario desde Intune. Haga clic aquí para obtener más información sobre esta opción.
- Aparece el control flotante Usar RBAC de Intune .
- Seleccione Activado en la opción Usar RBAC de Intune y, a continuación, elija Aplicar.
- El cambio puede tardar unos 10 minutos en surtir efecto.
Comprobación de los permisos de control de acceso basado en rol desde Intune
Una vez que Intune se establece en la entidad de control de acceso basada en roles, compruebe los permisos para los roles. Si es necesario, puede agregar estos permisos a los roles personalizados que creó en Intune.
- Abra el Centro de administración de Microsoft Intune e inicie sesión.
- Seleccione Roles de administración de>inquilinos.
- Seleccione un rol, como Application Manager, y revise los permisos enumerados para los dispositivos conectados a la nube. Si es necesario, edite los permisos para los roles personalizados que haya creado en Intune.
Los siguientes permisos de Intune controlan el acceso a los dispositivos conectados a la nube de Configuration Manager:
| Permiso | Descripción | Roles integrados de Intune con el permiso |
|---|---|---|
| Dispositivos conectados a la nube\Ver colecciones | Muestra la página Recopilaciones de dispositivos conectados a la nube de Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver explorador de recursos | Muestra la página Explorador de recursos para dispositivos conectados a la nube de Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver escala de tiempo | Muestra la página Escala de tiempo de los dispositivos conectados a la nube de Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver actualizaciones de software | Muestra la página Actualizaciones de software para dispositivos conectados a la nube de Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator |
| Dispositivos conectados a la nube\Ver scripts | Muestra la página Scripts para dispositivos conectados a la nube de Configuration Manager | Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ejecutar script | Muestra la acción Ejecutar script y permite al usuario ejecutar scripts en dispositivos conectados a la nube de Configuration Manager | Administrador de la escuela, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ejecutar consulta CMPivot | Muestra la página CMPivot para dispositivos conectados a la nube de Configuration Manager | Administrador de seguridad de puntos de conexión, administrador educativo, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver detalles del cliente | Muestra la página Detalles del cliente de los dispositivos conectados a la nube de Configuration Manager. | Administrador de aplicaciones, Administrador de seguridad de puntos de conexión, Operador de solo lectura, Administrador educativo, Administrador de perfiles de directivas, Operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver aplicaciones | Muestra la página Aplicaciones para dispositivos conectados a la nube de Configuration Manager | Administrador de aplicaciones, operador de solo lectura, administrador educativo, administrador de perfiles de directivas, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Realizar acciones de aplicación | Muestra las acciones de la aplicación en la página Aplicaciones y permite al usuario realizar acciones de aplicación en dispositivos conectados a la nube de Configuration Manager. | Administrador de aplicaciones, administrador educativo, operador del departamento de soporte técnico |
| Tareas remotas/Rotar las claves de BitLockerKeys (versión preliminar) | Inicia una rotación de las claves para las contraseñas de recuperación de BitLocker en el dispositivo. Muestra la página Claves de recuperación para dispositivos conectados a la nube de Configuration Manager. | Administrador de seguridad de puntos de conexión, operador del departamento de soporte técnico |
Preguntas frecuentes
Tengo usuarios solo en la nube que necesitan acceso a dispositivos conectados a inquilinos en Intune, ¿esto les dará acceso?
Sí. Cuando un usuario solo está en la nube, en este escenario, lo que significa que está en Microsoft Entra ID y puede acceder a Intune, el uso de RBAC de Intune le dará acceso a los dispositivos conectados al inquilino.
¿Qué ocurre si tengo varias jerarquías de Configuration Manager conectadas a mi inquilino?
La opción Usar RBAC de Intune en el Centro de administración de Microsoft Intune se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino.
¿Qué ocurre si la configuración de Configuration Manager e Intune no coincide?
Si el botón de alternancia Usar RBAC de Intune en Intune está establecido en Desactivado, se aplicará el acceso basado en rol de Configuration Manager, incluso si la casilla Aplicar RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager está desactivada. Deshabilitar la opción Aplicar RBAC de Configuration Manager para las solicitudes de consola en la nube que interactúan con Configuration Manager no tiene ningún efecto hasta que el botón de alternancia Usar RBAC de Intune en Intune esté establecido en Activado.
¿Qué ocurre si mi jerarquía de pruebas está configurada para usar RBAC de Intune, pero mi jerarquía de producción no es y están en el mismo inquilino?
La opción Usar RBAC de Intune se aplica a todas las jerarquías de Configuration Manager enumeradas en el inquilino. Los usuarios solo en la nube pueden acceder a dispositivos conectados a inquilinos cargados desde la jerarquía de pruebas porque también ha desactivado la casilla para aplicar el RBAC de Configuration Manager. Si un usuario solo en la nube intenta acceder a un dispositivo conectado a un inquilino cargado desde el entorno de producción, recibirá un error ya que los dispositivos de producción están aplicando RBAC de Configuration Manager. El usuario solo en la nube recibirá un error similar al siguiente mensaje: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Siguientes pasos
- Revisión de la escala de tiempo de un dispositivo conectado a la nube
- Ejecución de una consulta de CMPivot en un dispositivo conectado a la nube