Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz

  • Cikk

Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a szükséges Intune-objektumokhoz. A szerepkörök határozzák meg, hogy mely objektumokhoz milyen hozzáférési rendszergazdák férhetnek hozzá. A hatókörcímkék határozzák meg, hogy a rendszergazdák mely objektumokat láthatják.

Tegyük fel például, hogy egy seattle-i regionális iroda rendszergazdája rendelkezik a Házirend és a Profilkezelő szerepkörrel. Azt szeretné, hogy ez a rendszergazda csak azokat a profilokat és szabályzatokat lássa és kezelje, amelyek csak a seattle-i eszközökre vonatkoznak. A hozzáférés beállításához a következőt kell tenni:

  1. Hozzon létre egy Seattle nevű hatókörcímkét.
  2. Hozzon létre egy szerepkör-hozzárendelést a Policy és a Profile Manager szerepkörhöz a következőkkel:
    • Tagok (csoportok) = Seattle-i informatikai rendszergazdák nevű biztonsági csoport. A csoport összes rendszergazdája jogosult lesz a hatókörben (csoportokban) lévő felhasználók/eszközök házirendjeinek és profiljainak kezelésére.
    • Scope (Groups) = Seattle users (Seattle-felhasználók) nevű biztonsági csoport. A csoport összes felhasználója/eszköze rendelkezhet a tagok (csoportok) rendszergazdái által kezelt profilokkal és szabályzatokkal.
    • Scope (Tags) = Seattle. A tag (csoportok) rendszergazdái láthatják azokat az Intune-objektumokat, amelyek seattle-i hatókörcímkével is rendelkeznek.
  3. Adja hozzá a Seattle-hatókör címkét azokhoz a szabályzatokhoz és profilokhoz, amelyekhez hozzáférést szeretne biztosítani a tagok (csoportok) rendszergazdáinak.
  4. Adja hozzá a Seattle-hatókör címkét azokhoz az eszközökhöz, amelyeket látni szeretne a tagok (csoportok) rendszergazdái számára.

Alapértelmezett hatókörcímke

A rendszer automatikusan hozzáadja az alapértelmezett hatókörcímkét minden olyan címkézetlen objektumhoz, amely támogatja a hatókörcímkéket.

Az alapértelmezett hatókörcímke-funkció hasonló az Microsoft Configuration Manager biztonsági hatókörök szolgáltatásához.

Megjegyzés:

Az Intune-szabályzatok konfigurálásakor vagy szerkesztésekor előfordulhat, hogy egyes szabályzattípusok nem jelenítik meg a Hatókörcímkék konfigurációs lapot, ha a bérlőhöz nincsenek egyéni hatókörcímkék. Ha nem látja a Hatókörcímke lehetőséget, győződjön meg arról, hogy az alapértelmezett hatókörcímke mellett legalább egy címke meg van határozva.

Hatókörcímke létrehozása

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök hatóköre>(címkék)>Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális leírást. Válassza a Tovább gombot.

  3. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek a hatókörcímkéhez hozzárendelni kívánt eszközöket tartalmazzák. Válassza a Tovább gombot.

  4. A Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget.

    Fontos

    Az automatikus hatókörcímkék hozzárendelései felülírják a manuálisan hozzárendelt hatókörcímkéket. Ha egy eszközhöz több hatókörcímke van hozzárendelve csoport-hozzárendeléssel, az összes hatókörcímke érvényes lesz.

Hatókörcímke hozzárendelése szerepkörhöz

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlői felügyeleti>szerepkörök>Minden szerepkör> szerepkör hozzárendelése> szerepkört>.

  2. Az Alapvető beállítások lapon adja meg a hozzárendelés nevét és leírását. Válassza a Tovább gombot.

  3. A Rendszergazda Csoportok lapon válassza a Csoportok hozzáadása lehetőséget, és válassza ki a hozzárendelés részeként használni kívánt csoportokat. Az ezekben a csoportokban lévő felhasználók a hatókörben (csoportokban) kezelhetik a felhasználókat/eszközöket. Válassza a Tovább gombot.

    Képernyőkép a tagcsoportok kiválasztásáról.

  4. A Hatókörcsoportok lapon válassza az alábbi lehetőségek egyikét a Belefoglalt csoportokhoz:

    • Csoportok hozzáadása: Válassza ki a kezelni kívánt felhasználókat/eszközöket tartalmazó csoportokat. A kiválasztott csoportokban lévő összes felhasználót/eszközt a Rendszergazda-csoportok felhasználói kezelik.
    • Minden felhasználó hozzáadása: Az összes felhasználót a Rendszergazda-csoportok felhasználói kezelhetik.
    • Minden eszköz hozzáadása: Az összes eszközt a Rendszergazda-csoportok felhasználói kezelhetik.

  5. Válassza a Tovább gombot

  6. A Hatókörcímkék lapon válassza ki a szerepkörhöz hozzáadni kívánt címkéket. A Rendszergazda csoportok felhasználói hozzáférhetnek azokhoz az Intune-objektumokhoz, amelyek hatókörcímkéje is azonos. Egy szerepkörhöz legfeljebb 100 hatókörcímkét rendelhet.

  7. A Tovább gombot választva lépjen a Véleményezés + létrehozás lapra, majd válassza a Létrehozás lehetőséget.

Hatókörcímkék hozzárendelése más objektumokhoz

A hatókörcímkéket támogató objektumok esetében a hatókörcímkék általában a Tulajdonságok területen jelennek meg. Ha például hatókörcímkét szeretne hozzárendelni egy konfigurációs profilhoz, kövesse az alábbi lépéseket:

  1. A Microsoft Intune Felügyeleti központban válassza az Eszközök>konfigurációja> profil kiválasztása lehetőséget.

  2. Válassza a Tulajdonságok>hatóköre (Címkék)>Szerkesztés>Hatókörcímkék> kiválasztása lehetőséget, és válassza ki a profilhoz hozzáadni kívánt címkéket. Egy objektumhoz legfeljebb 100 hatókörcímkét rendelhet.

  3. Válassza azÁttekintés és mentéskiválasztása lehetőséget>.

Hatókörcímke részletei

A hatókörcímkék használatakor jegyezze meg ezeket a részleteket:

  • Hatókörcímkéket akkor rendelhet egy Intune-objektumtípushoz, ha a bérlő az objektum több verziójával (például szerepkör-hozzárendelésekkel vagy alkalmazásokkal) rendelkezhet. A következő Intune-objektumok kivételt képeznek a szabály alól, és jelenleg nem támogatják a hatókörcímkéket:
    • Vállalati eszközazonosítók
    • Autopilot-eszközök
    • Eszközmegfelelési helyek
    • Jamf-eszközök
  • A VPP-jogkivonathoz társított Mennyiségi vásárlási program (VPP) alkalmazásai és ebookjai öröklik a társított VPP-jogkivonathoz rendelt hatókörcímkéket.
  • Amikor egy rendszergazda létrehoz egy objektumot az Intune-ban, a rendszer automatikusan hozzárendeli a rendszergazdához rendelt összes hatókörcímkét az új objektumhoz.
  • Az Intune RBAC nem vonatkozik Microsoft Entra szerepkörökre. Az Intune szolgáltatás-rendszergazdák és a globális rendszergazdák szerepkörök tehát teljes rendszergazdai hozzáféréssel rendelkeznek az Intune-hoz, függetlenül attól, hogy milyen hatókörcímkékkel rendelkeznek.
  • Ha egy szerepkör-hozzárendelés nem rendelkezik hatókörcímkével, az informatikai rendszergazda az informatikai rendszergazdák engedélyei alapján láthatja az összes objektumot. Azok a rendszergazdák, amelyek nem rendelkeznek hatókörcímkékkel, lényegében minden hatókörcímkével rendelkeznek.
  • Csak a szerepkör-hozzárendelésekben szereplő hatókörcímkét rendelheti hozzá.
  • Csak a szerepkör-hozzárendelés hatókörében (csoportjaiban) felsorolt célcsoportokat célozhatja meg.
  • Ha a szerepköréhez hatókörcímke van rendelve, nem törölheti az összes hatókörcímkét egy Intune-objektumon. Legalább egy hatókörcímke szükséges.

Következő lépések

Megtudhatja, hogyan viselkednek a hatókörcímkék több szerepkör-hozzárendelés esetén. A szerepkörök és profilok kezelése.