Megosztás a következőn keresztül:

Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz

Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a szükséges Intune objektumokhoz. A szerepkörök határozzák meg, hogy mely objektumokhoz milyen hozzáférési rendszergazdák férhetnek hozzá. A hatókörcímkék határozzák meg, hogy a rendszergazdák mely objektumokat láthatják.

Tegyük fel például, hogy egy seattle-i regionális iroda rendszergazdája rendelkezik a Házirend és a Profilkezelő szerepkörrel. Azt szeretné, hogy ez a rendszergazda csak azokat a profilokat és szabályzatokat lássa és kezelje, amelyek csak a seattle-i eszközökre vonatkoznak. A hozzáférés beállításához a következőt kell tenni:

  1. Hozzon létre egy Seattle nevű hatókörcímkét.
  2. Hozzon létre egy szerepkör-hozzárendelést a Policy és a Profile Manager szerepkörhöz a következőkkel:
    • Tagok (csoportok) = Seattle-i informatikai rendszergazdák nevű biztonsági csoport. A csoport összes rendszergazdája jogosult a hatókörben (csoportokban) lévő felhasználók/eszközök szabályzatainak és profiljainak kezelésére.
    • Scope (Groups) = Seattle users (Seattle-felhasználók) nevű biztonsági csoport. A csoport összes felhasználója/eszköze rendelkezhet a tagok (csoportok) rendszergazdái által kezelt profilokkal és szabályzatokkal.
    • Scope (Tags) = Seattle. A tag (csoportok) rendszergazdái láthatják Intune olyan objektumokat, amelyek seattle-i hatókörcímkével is rendelkeznek.
  3. Adja hozzá a Seattle-hatókör címkét azokhoz a szabályzatokhoz és profilokhoz, amelyekhez hozzáférést szeretne biztosítani a tagok (csoportok) rendszergazdáinak.
  4. Adja hozzá a Seattle-hatókör címkét azokhoz az eszközökhöz, amelyeket látni szeretne a tagok (csoportok) rendszergazdái számára.

Alapértelmezett hatókörcímke

A rendszer automatikusan hozzáadja az alapértelmezett hatókörcímkét minden olyan címkézetlen objektumhoz, amely támogatja a hatókörcímkéket.

Az alapértelmezett hatókörcímke-funkció hasonló az Microsoft Configuration Manager biztonsági hatókörök szolgáltatásához.

Megjegyzés:

Intune házirendek konfigurálásakor vagy szerkesztésekor előfordulhat, hogy egyes szabályzattípusok nem jelenítik meg a Hatókörcímkék konfigurációs lapot, ha nincsenek egyéni hatókörcímkék a bérlőhöz. Ha nem látja a Hatókörcímke beállítást, győződjön meg arról, hogy az alapértelmezett hatókörcímke mellett legalább egy címke meg van határozva.

Hatókörcímke létrehozása

Hatókörcímkék létrehozásához, frissítéséhez vagy törléséhez globális rendszergazdai vagy Intune rendszergazdai Entra ID szerepkörrel kell rendelkeznie. A szerepkör-hozzárendelésben hatókörcímkével rendelkező rendszergazdák nem frissíthetik vagy törölhetik a hatókörcímkéket a hatókörcímkék főlistájából.

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök hatóköre>(címkék)>Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális leírást. Válassza a Tovább gombot.

  3. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek a hatókörcímkéhez hozzárendelni kívánt eszközöket tartalmazzák. Válassza a Tovább gombot.

  4. A Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget.

    Fontos

    Az automatikus hatókörcímkék hozzárendelései felülírják a manuálisan hozzárendelt hatókörcímkéket. Ha egy eszközhöz több hatókörcímke van hozzárendelve csoporthozzárendelésen keresztül, az összes hatókörcímke érvényes.

Hatókörcímke hozzárendelése szerepkörhöz

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlői felügyeleti>szerepkörök>Minden szerepkör> szerepkör hozzárendelése> szerepkört>.

  2. Az Alapvető beállítások lapon adja meg a hozzárendelés nevét és leírását. Válassza a Tovább gombot.

  3. A Rendszergazda Csoportok lapon válassza a Csoportok hozzáadása lehetőséget, és válassza ki a hozzárendelés részeként használni kívánt csoportokat. Az ezekben a csoportokban lévő felhasználók a hatókörben (csoportokban) kezelhetik a felhasználókat/eszközöket. Válassza a Tovább gombot.

    Képernyőkép a tagcsoportok kiválasztásáról.

  4. A Hatókörcsoportok lapon válassza az alábbi lehetőségek egyikét a Belefoglalt csoportokhoz:

    • Csoportok hozzáadása: Válassza ki a kezelni kívánt felhasználókat/eszközöket tartalmazó csoportokat. A kiválasztott csoportokban lévő összes felhasználót/eszközt a Rendszergazda-csoportok felhasználói kezelik.
    • Minden felhasználó hozzáadása: A Rendszergazda csoportok felhasználói az összes felhasználót kezelhetik.
    • Minden eszköz hozzáadása: A Rendszergazda csoportok felhasználói az összes eszközt kezelhetik.

  5. Válassza a Tovább gombot

  6. A Hatókörcímkék lapon válassza ki a szerepkörhöz hozzáadni kívánt címkéket. A Rendszergazda csoportok felhasználói hozzáférhetnek Intune olyan objektumokhoz, amelyek hatókörcímkéje is azonos. Egy szerepkörhöz legfeljebb 100 hatókörcímkét rendelhet.

  7. A Tovább gombot választva lépjen a Véleményezés + létrehozás lapra, majd válassza a Létrehozás lehetőséget.

Hatókörcímkék hozzárendelése más objektumokhoz

A hatókörcímkéket támogató objektumok esetében a hatókörcímkék általában a Tulajdonságok területen jelennek meg. Ha például hatókörcímkét szeretne hozzárendelni egy konfigurációs profilhoz, kövesse az alábbi lépéseket:

  1. A Microsoft Intune Felügyeleti központban válassza az Eszközök>kezelése Eszközök>konfigurációja> lehetőséget, és válasszon egy profilt.

  2. Válassza a Tulajdonságok>hatóköre (Címkék)>Szerkesztés>Hatókörcímkék> kiválasztása lehetőséget, és válassza ki a profilhoz hozzáadni kívánt címkéket. Egy objektumhoz legfeljebb 100 hatókörcímkét rendelhet.

  3. Válassza azÁttekintés és mentéskiválasztása lehetőséget>.

Hatókörcímke részletei

A hatókörcímkék használatakor jegyezze meg ezeket a részleteket:

  • Hatókörcímkéket hozzárendelhet egy Intune objektumtípushoz, ha a bérlő az objektum több verziójával (például szerepkör-hozzárendelésekkel vagy alkalmazásokkal) rendelkezhet. A következő Intune objektumok kivételt képeznek a szabály alól, és jelenleg nem támogatják a hatókörcímkéket:
    • Vállalati eszközazonosítók
    • Windows Autopilot-eszközök
    • Eszközmegfelelési helyek
    • Jamf-eszközök
  • A VPP-jogkivonathoz társított Mennyiségi vásárlási program (VPP) alkalmazásai és ebookjai öröklik a társított VPP-jogkivonathoz rendelt hatókörcímkéket.
  • Amikor egy rendszergazda létrehoz egy objektumot Intune, a rendszer automatikusan hozzárendeli a rendszergazdához rendelt összes hatókörcímkét az új objektumhoz.
  • Intune RBAC nem vonatkozik Microsoft Entra szerepkörökre. Így a Intune szolgáltatás-rendszergazdák és a globális rendszergazdák szerepkörök teljes rendszergazdai hozzáféréssel rendelkeznek a Intune, függetlenül attól, hogy milyen hatókörcímkékkel rendelkeznek.
  • Ha egy szerepkör-hozzárendelés nem rendelkezik hatókörcímkével, az informatikai rendszergazda az informatikai rendszergazdák engedélyei alapján láthatja az összes objektumot. Azok a rendszergazdák, amelyek nem rendelkeznek hatókörcímkékkel, lényegében minden hatókörcímkével rendelkeznek.
  • Csak a szerepkör-hozzárendelésekben szereplő hatókörcímkét rendelheti hozzá.
  • Csak a szerepkör-hozzárendelés hatókörében (csoportjaiban) felsorolt célcsoportokat célozhatja meg.
  • Ha a szerepkörhöz hatókörcímke van hozzárendelve, nem törölheti az összes hatókörcímkét egy Intune objektumon. Legalább egy hatókörcímke szükséges.

Következő lépések

Megtudhatja, hogyan viselkednek a hatókörcímkék több szerepkör-hozzárendelés esetén. A szerepkörök és profilok kezelése.