Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito

  • Articolo

È possibile usare i tag di ambito e il controllo degli accessi in base al ruolo per assicurarsi che gli amministratori corretti dispongano dell'accesso e della visibilità corretti per gli oggetti di Intune necessari. I ruoli determinano quali sono gli amministratori di accesso a quali oggetti. I tag di ambito determinano gli oggetti che gli amministratori possono visualizzare.

Si supponga, ad esempio, che un amministratore dell'ufficio regionale di Seattle abbia il ruolo Criteri e Profile Manager. Si vuole che l'amministratore visualizzerà e gestirà solo i profili e i criteri applicabili solo ai dispositivi seattle. Per configurare questo accesso, è necessario:

  1. Creare un tag di ambito denominato Seattle.
  2. Creare un'assegnazione di ruolo per il ruolo Criteri e Profile Manager con:
    • Members (Groups) = Un gruppo di sicurezza denominato Seattle IT admins. Tutti gli amministratori di questo gruppo avranno l'autorizzazione per gestire criteri e profili per utenti/dispositivi nell'ambito (gruppi).
    • Scope (Gruppi) = Gruppo di sicurezza denominato Utenti di Seattle. Tutti gli utenti/dispositivi di questo gruppo possono avere profili e criteri gestiti dagli amministratori nei membri (gruppi).
    • Ambito (tag) = Seattle. Gli amministratori nel membro (gruppi) possono vedere gli oggetti di Intune che hanno anche il tag di ambito Seattle.
  3. Aggiungere il tag di ambito di Seattle ai criteri e ai profili a cui si vuole che gli amministratori in Membri (gruppi) abbiano accesso.
  4. Aggiungere il tag di ambito Seattle ai dispositivi che si desidera siano visibili agli amministratori in Membri (gruppi).

Tag di ambito predefinito

Il tag di ambito predefinito viene aggiunto automaticamente a tutti gli oggetti senza tag che supportano i tag di ambito.

La funzionalità di tag di ambito predefinita è simile alla funzionalità degli ambiti di sicurezza in Microsoft Configuration Manager.

Nota

Quando si configurano o modificano i criteri di Intune, alcuni tipi di criteri potrebbero non visualizzare la pagina di configurazione Tag di ambito se non sono presenti tag di ambito definiti personalizzati per il tenant. Se non viene visualizzata l'opzione Tag di ambito, assicurarsi che sia stato definito almeno un tag oltre al tag di ambito predefinito.

Per creare un tag di ambito

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliere Ambitoruoli>di amministrazione> tenant(tag)>Crea.

  2. Nella pagina Informazioni di base specificare un nome e una descrizione facoltativa. Scegliere Avanti.

  3. Nella pagina Assegnazioni scegliere i gruppi contenenti i dispositivi a cui si vuole assegnare questo tag di ambito. Scegliere Avanti.

  4. Nella pagina Rivedi e crea scegliere Crea.

    Importante

    Le assegnazioni di tag di ambito automatico sovrascriveranno i tag di ambito assegnati manualmente. Se a un dispositivo vengono assegnati più tag di ambito tramite l'assegnazione di gruppo, verranno applicati tutti i tag di ambito.

Per assegnare un tag di ambito a un ruolo

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliereRuoli>di amministrazione> tenantTutti i ruoli>scelgonoun ruolo > Assegnazioni >Assegna.

  2. Nella pagina Informazioni di base specificare un nome di assegnazione e una descrizione. Scegliere Avanti.

  3. Nella pagina Amministrazione Gruppi scegliere Aggiungi gruppi e selezionare i gruppi desiderati come parte di questa assegnazione. Gli utenti di questi gruppi avranno le autorizzazioni per gestire utenti/dispositivi nell'ambito (gruppi). Scegliere Avanti.

    Screenshot della selezione di gruppi di membri.

  4. Nella pagina Gruppi di ambito selezionare una delle opzioni seguenti per Gruppi inclusi:

    • Aggiungi gruppi: selezionare i gruppi contenenti gli utenti/dispositivi che si desidera gestire. Tutti gli utenti/dispositivi nei gruppi selezionati verranno gestiti dagli utenti nei gruppi Amministrazione.
    • Aggiungi tutti gli utenti: tutti gli utenti possono essere gestiti dagli utenti nei gruppi di Amministrazione.
    • Aggiungi tutti i dispositivi: tutti i dispositivi possono essere gestiti dagli utenti nei gruppi di Amministrazione.

  5. Scegliere Avanti

  6. Nella pagina Tag di ambito selezionare i tag da aggiungere a questo ruolo. Gli utenti dei gruppi Amministrazione avranno accesso agli oggetti di Intune che hanno anche lo stesso tag di ambito. È possibile assegnare un massimo di 100 tag di ambito a un ruolo.

  7. Scegliere Avanti per passare alla pagina Rivedi e crea e quindi scegliere Crea.

Assegnare tag di ambito ad altri oggetti

Per gli oggetti che supportano i tag di ambito, i tag di ambito vengono in genere visualizzati in Proprietà. Ad esempio, per assegnare un tag di ambito a un profilo di configurazione, seguire questa procedura:

  1. Nell'interfaccia di amministrazione Microsoft Intune scegliereConfigurazione>dispositivi> scegliere un profilo.

  2. Scegliere Proprietà>Ambito (tag)>Modifica>Selezionare i tag> di ambito scegliere i tag da aggiungere al profilo. È possibile assegnare un massimo di 100 tag di ambito a un oggetto.

  3. Scegliere Seleziona>Rivedi e salva.

Dettagli del tag di ambito

Quando si usano i tag di ambito, ricordare questi dettagli:

  • È possibile assegnare tag di ambito a un tipo di oggetto di Intune se il tenant può avere più versioni di tale oggetto, ad esempio assegnazioni di ruolo o app. Gli oggetti di Intune seguenti sono eccezioni a questa regola e attualmente non supportano i tag di ambito:
    • Identificatori di dispositivo corp
    • Dispositivi Autopilot
    • Percorsi di conformità dei dispositivi
    • Dispositivi Jamf
  • Le app e gli ebook del Volume Purchase Program (VPP) associati al token VPP ereditano i tag di ambito assegnati al token VPP associato.
  • Quando un amministratore crea un oggetto in Intune, tutti i tag di ambito assegnati a tale amministratore verranno assegnati automaticamente al nuovo oggetto.
  • Il controllo degli accessi in base al ruolo di Intune non si applica ai ruoli Microsoft Entra. Pertanto, i ruoli Amministratori del servizio e Amministratori globali di Intune hanno accesso amministratore completo a Intune, indipendentemente dai tag di ambito disponibili.
  • Se un'assegnazione di ruolo non ha un tag di ambito, l'amministratore IT può visualizzare tutti gli oggetti in base alle autorizzazioni degli amministratori IT. Gli amministratori che non dispongono di tag di ambito hanno essenzialmente tutti i tag di ambito.
  • È possibile assegnare solo un tag di ambito disponibile nelle assegnazioni di ruolo.
  • È possibile selezionare solo i gruppi di destinazione elencati nell'ambito (gruppi) dell'assegnazione di ruolo.
  • Se al ruolo è assegnato un tag di ambito, non è possibile eliminare tutti i tag di ambito in un oggetto Intune. È necessario almeno un tag di ambito.

Passaggi successivi

Informazioni sul comportamento dei tag di ambito quando sono presenti più assegnazioni di ruolo. Gestire i ruoli e i profili.