Compartir a través de


Usar el control de acceso basado en roles (RBAC) y las etiquetas de ámbito para TI distribuida

Puede usar etiquetas de ámbito y control de acceso basadas en rol para asegurarse de que los administradores adecuados tienen el acceso y la visibilidad correctos a los objetos de Intune necesarios. Los roles determinan qué administradores de acceso tienen a qué objetos. Las etiquetas de ámbito determinan qué objetos pueden ver los administradores.

Por ejemplo, supongamos que un administrador de la oficina regional de Seattle tiene el rol Administrador de directivas y perfiles. Quiere que este administrador vea y administre solo los perfiles y las directivas que solo se aplican a los dispositivos de Seattle. Para configurar este acceso, haga lo siguiente:

  1. Cree una etiqueta de ámbito denominada Seattle.
  2. Cree una asignación de roles para el rol Administrador de perfiles y directivas con:
    • Miembros (grupos) = Un grupo de seguridad denominado Administradores de TI de Seattle. Todos los administradores de este grupo tendrán permiso para administrar directivas y perfiles para usuarios o dispositivos en el ámbito (grupos).
    • Ámbito (grupos) = un grupo de seguridad denominado Usuarios de Seattle. Todos los usuarios o dispositivos de este grupo pueden tener sus perfiles y directivas administrados por los administradores de los miembros (grupos).
    • Ámbito (etiquetas) = Seattle. Los administradores del miembro (grupos) pueden ver objetos de Intune que también tienen la etiqueta de ámbito de Seattle.
  3. Agregue la etiqueta de ámbito de Seattle a las directivas y perfiles a los que quiere que los administradores de Miembros (grupos) tengan acceso.
  4. Agregue la etiqueta de ámbito de Seattle a los dispositivos que desee que estén visibles para los administradores de los miembros (grupos).

Etiqueta de ámbito predeterminada

La etiqueta de ámbito predeterminada se agrega automáticamente a todos los objetos sin etiqueta que admiten etiquetas de ámbito.

La característica de etiqueta de ámbito predeterminada es similar a la característica de ámbitos de seguridad de Microsoft Configuration Manager.

Nota:

Al configurar o editar directivas de Intune, es posible que algunos tipos de directivas no muestren la página de configuración Etiquetas de ámbito si no hay etiquetas de ámbito definidas personalizadas para el inquilino. Si no ve la opción Etiqueta de ámbito, asegúrese de que se haya definido al menos una etiqueta además de la etiqueta de ámbito predeterminada.

Para crear una etiqueta de ámbito

  1. En el Centro de administración de Microsoft Intune, elija Ámbito deroles> de administración> deinquilinos (etiquetas)>Crear.

  2. En la página Aspectos básicos , proporcione un nombre y una descripción opcional. Elija Siguiente.

  3. En la página Asignaciones , elija los grupos que contienen los dispositivos a los que desea asignar esta etiqueta de ámbito. Elija Siguiente.

  4. En la página Revisar y crear , elija Crear.

    Importante

    Las asignaciones de etiquetas de ámbito automático sobrescribirán las etiquetas de ámbito asignadas manualmente. Si a un dispositivo se le asignan varias etiquetas de ámbito mediante la asignación de grupos, se aplicarán todas las etiquetas de ámbito.

Para asignar una etiqueta de ámbito a un rol

  1. En el Centro de administración de Microsoft Intune, elijaRoles> de administración> deinquilinos Todos los roles> elijan asignar asignaciones de>roles.>

  2. En la página Aspectos básicos , proporcione un nombre de asignación y una descripción. Elija Siguiente.

  3. En la página Grupos de administración , elija Agregar grupos y seleccione los grupos que desee como parte de esta asignación. Los usuarios de estos grupos tendrán permisos para administrar usuarios o dispositivos en el ámbito (grupos). Elija Siguiente.

    Captura de pantalla de los grupos de miembros seleccionados.

  4. En la página Grupos de ámbito , seleccione una de las siguientes opciones para Grupos incluidos:

    • Agregar grupos: seleccione los grupos que contienen los usuarios o dispositivos que desea administrar. Todos los usuarios o dispositivos de los grupos seleccionados serán administrados por los usuarios de los grupos de administración.
    • Agregar todos los usuarios: los usuarios de los grupos de administración pueden administrar todos los usuarios.
    • Agregar todos los dispositivos: todos los dispositivos los pueden administrar los usuarios de los grupos de administración.
  5. Elija Siguiente

  6. En la de identificación ámbito, seleccione las etiquetas que quiere agregar a este rol. Los usuarios de los grupos de administración tendrán acceso a objetos de Intune que también tienen la misma etiqueta de ámbito. Puede asignar un máximo de 100 etiquetas de ámbito a un rol.

  7. Elija Siguiente para ir a la página Revisar y crear y, a continuación, elija Crear.

Asignación de etiquetas de ámbito a otros objetos

En el caso de los objetos que admiten etiquetas de ámbito, las etiquetas de ámbito suelen aparecer en Propiedades. Por ejemplo, para asignar una etiqueta de ámbito a un perfil de configuración, siga estos pasos:

  1. En el Centro de administración de Microsoft Intune, elija Dispositivos>Administrar dispositivos>Configuración> elija un perfil.

  2. Elija Propiedades>Ámbito (etiquetas)>Editar>Seleccione etiquetas> de ámbito y elija las etiquetas que desea agregar al perfil. Puede asignar un máximo de 100 etiquetas de ámbito a un objeto.

  3. Elija Seleccionar>Revisar y guardar.

Detalles de la etiqueta de ámbito

Al trabajar con etiquetas de ámbito, recuerde estos detalles:

  • Puede asignar etiquetas de ámbito a un tipo de objeto de Intune si el inquilino puede tener varias versiones de ese objeto (como asignaciones de roles o aplicaciones). Los siguientes objetos de Intune son excepciones a esta regla y actualmente no admiten etiquetas de ámbito:
    • Identificadores de dispositivo de corp
    • Dispositivos Autopilot
    • Ubicaciones de cumplimiento de dispositivos
    • Dispositivos Jamf
  • Las aplicaciones del Programa de compras por volumen (VPP) y los libros electrónicos asociados al token de VPP heredan las etiquetas de ámbito asignadas al token de VPP asociado.
  • Cuando un administrador crea un objeto en Intune, todas las etiquetas de ámbito asignadas a ese administrador se asignarán automáticamente al nuevo objeto.
  • Intune RBAC no se aplica a los roles de Microsoft Entra. Por lo tanto, los roles administradores de servicios y administradores globales de Intune tienen acceso de administrador completo a Intune independientemente de las etiquetas de ámbito que tengan.
  • Si una asignación de roles no tiene ninguna etiqueta de ámbito, ese administrador de TI puede ver todos los objetos en función de los permisos de los administradores de TI. Los administradores que no tienen etiquetas de ámbito básicamente tienen todas las etiquetas de ámbito.
  • Solo puede asignar una etiqueta de ámbito que tenga en las asignaciones de roles.
  • Solo puede dirigirse a grupos que aparecen en el ámbito (grupos) de la asignación de roles.
  • Si tiene una etiqueta de ámbito asignada a su rol, no puede eliminar todas las etiquetas de ámbito de un objeto de Intune. Se requiere al menos una etiqueta de ámbito.

Siguientes pasos

Obtenga información sobre cómo se comportan las etiquetas de ámbito cuando hay varias asignaciones de roles. Administre los roles y perfiles.