Usar el control de acceso basado en roles (RBAC) y las etiquetas de ámbito para TI distribuida

Puede usar el control de acceso basado en rol y las etiquetas de ámbito para asegurarse de que los administradores adecuados tienen el acceso y la visibilidad adecuados a los objetos Intune adecuados. Los roles determinan qué administradores de acceso tienen a qué objetos. Las etiquetas de ámbito determinan qué objetos pueden ver los administradores.

Por ejemplo, supongamos que un administrador de la oficina regional de Seattle tiene el rol Administrador de directivas y perfiles. Quiere que este administrador vea y administre solo los perfiles y las directivas que solo se aplican a los dispositivos de Seattle. Para configurar este acceso, haga lo siguiente:

  1. Cree una etiqueta de ámbito denominada Seattle.
  2. Cree una asignación de roles para el rol Administrador de perfiles y directivas con:
    • Miembros (grupos) = Un grupo de seguridad denominado Administradores de TI de Seattle. Todos los administradores de este grupo tendrán permiso para administrar directivas y perfiles para usuarios o dispositivos en el ámbito (grupos).
    • Ámbito (grupos) = un grupo de seguridad denominado Usuarios de Seattle. Todos los usuarios o dispositivos de este grupo pueden tener sus perfiles y directivas administrados por los administradores de los miembros (grupos).
    • Ámbito (etiquetas) = Seattle. Los administradores del miembro (grupos) pueden ver Intune objetos que también tienen la etiqueta de ámbito de Seattle.
  3. Agregue la etiqueta de ámbito de Seattle a las directivas y perfiles a los que quiere que los administradores de Miembros (grupos) tengan acceso.
  4. Agregue la etiqueta de ámbito de Seattle a los dispositivos que desee que estén visibles para los administradores de los miembros (grupos).

Etiqueta de ámbito predeterminada

La etiqueta de ámbito predeterminada se agrega automáticamente a todos los objetos sin etiqueta que admiten etiquetas de ámbito.

La característica de etiqueta de ámbito predeterminada es similar a la característica de ámbitos de seguridad de Microsoft punto de conexión Configuration Manager.

Para crear una etiqueta de ámbito

  1. En el centro de administración de Microsoft Endpoint Manager, elija Ámbito deroles> de administración> deinquilinos (etiquetas)>Crear.

  2. En la página Aspectos básicos , proporcione un nombre y una descripción opcional. Elija Siguiente.

  3. En la página Asignaciones , elija los grupos que contienen los dispositivos a los que desea asignar esta etiqueta de ámbito. Elija Siguiente.

  4. En la página Revisar y crear , elija Crear.

    Importante

    Las asignaciones de etiquetas de ámbito automático sobrescribirán las etiquetas de ámbito asignadas mannuallymente. Si a un dispositivo se le asignan varias etiquetas de ámbito mediante la asignación de grupos, se aplicarán todas las etiquetas de ámbito.

Para asignar una etiqueta de ámbito a un rol

  1. En el centro de administración de Microsoft Endpoint Manager, elijaRoles> de administración> deinquilinos Todos los roles> elijan asignar asignaciones> deroles.>

  2. En la página Aspectos básicos , proporcione un nombre de asignación y una descripción. Elija Siguiente.

  3. En la página grupos de Administración, elija Agregar grupos y seleccione los grupos que desee como parte de esta asignación. Los usuarios de estos grupos tendrán permisos para administrar usuarios o dispositivos en el ámbito (grupos). Elija Siguiente.

    Captura de pantalla de los grupos de miembros seleccionados.

  4. En la página Grupos de ámbito , seleccione una de las siguientes opciones para Grupos incluidos:

    • Agregar grupos: seleccione los grupos que contienen los usuarios o dispositivos que desea administrar. Todos los usuarios o dispositivos de los grupos seleccionados los administrarán los usuarios de los grupos de Administración.
    • Agregar todos los usuarios: los usuarios de los grupos de Administración pueden administrar todos los usuarios.
    • Agregar todos los dispositivos: los usuarios de los grupos de Administración pueden administrar todos los dispositivos.
  5. Elija Siguiente

  6. En la de identificación ámbito, seleccione las etiquetas que quiere agregar a este rol. Los usuarios de los grupos de Administración tendrán acceso a Intune objetos que también tienen la misma etiqueta de ámbito. Puede asignar un máximo de 100 etiquetas de ámbito a un rol.

  7. Elija Siguiente para ir a la página Revisar y crear y, a continuación, elija Crear.

Asignación de etiquetas de ámbito a otros objetos

En el caso de los objetos que admiten etiquetas de ámbito, las etiquetas de ámbito suelen aparecer en Propiedades. Por ejemplo, para asignar una etiqueta de ámbito a un perfil de configuración, siga estos pasos:

  1. En el centro de administración de Microsoft Endpoint Manager, elija Perfilesde configuración> de dispositivos> y elija un perfil.

  2. Elija Propiedades>Ámbito (etiquetas)>Editar>Seleccione etiquetas> de ámbito y elija las etiquetas que desea agregar al perfil. Puede asignar un máximo de 100 etiquetas de ámbito a un objeto.

  3. Elija Seleccionar>Revisar y guardar.

Detalles de la etiqueta de ámbito

Al trabajar con etiquetas de ámbito, recuerde estos detalles:

  • Puede asignar etiquetas de ámbito a un tipo de objeto Intune si el inquilino puede tener varias versiones de ese objeto (como asignaciones de roles o aplicaciones). Los siguientes objetos Intune son excepciones a esta regla y actualmente no admiten etiquetas de ámbito:
    • Identificadores de dispositivo de corp
    • Dispositivos Autopilot
    • Ubicaciones de cumplimiento de dispositivos
    • Dispositivos Jamf
  • Las aplicaciones del Programa de compras por volumen (VPP) y los libros electrónicos asociados al token de VPP heredan las etiquetas de ámbito asignadas al token de VPP asociado.
  • Cuando un administrador crea un objeto en Intune, todas las etiquetas de ámbito asignadas a ese administrador se asignarán automáticamente al nuevo objeto.
  • Intune RBAC no se aplica a los roles de Azure Active Directory. Por lo tanto, los roles administradores de servicios Intune y administradores globales tienen acceso de administrador completo a Intune independientemente de las etiquetas de ámbito que tengan.
  • Si una asignación de roles no tiene ninguna etiqueta de ámbito, ese administrador de TI puede ver todos los objetos en función de los permisos de los administradores de TI. Los administradores que no tienen etiquetas de ámbito básicamente tienen todas las etiquetas de ámbito.
  • Solo puede asignar una etiqueta de ámbito que tenga en las asignaciones de roles.
  • Solo puede dirigirse a grupos que aparecen en el ámbito (grupos) de la asignación de roles.
  • Si tiene una etiqueta de ámbito asignada a su rol, no puede eliminar todas las etiquetas de ámbito de un objeto Intune. Se requiere al menos una etiqueta de ámbito.

Pasos siguientes

Obtenga información sobre cómo se comportan las etiquetas de ámbito cuando hay varias asignaciones de roles. Administre los roles y perfiles.