배포 된 IT의 RBAC(역할 기반 액세스 제어) 및 범위 태그 사용

  • 아티클

역할 기반 액세스 제어 및 scope 태그를 사용하여 올바른 관리자가 필요한 Intune 개체에 대한 올바른 액세스 및 가시성을 갖도록 할 수 있습니다. 역할은 관리자가 어떤 개체에 액세스해야 하는지 결정합니다. 범위 태그는 관리자가 볼 수 있는 개체를 결정합니다.

예를 들어 시애틀 지역 사무실 관리자에게 정책 및 프로필 관리자 역할이 있다고 가정해 보겠습니다. 이 관리자는 시애틀 디바이스에만 적용되는 프로필 및 정책만 보고 관리하려고 합니다. 이 액세스를 설정하려면 다음을 수행합니다.

  1. Seattle이라는 scope 태그를 만듭니다.
  2. 다음을 사용하여 정책 및 프로필 관리자 역할에 대한 역할 할당을 만듭니다.
    • 멤버(그룹) = 시애틀 IT 관리자라는 보안 그룹입니다. 이 그룹의 모든 관리자는 범위(그룹)에서 사용자/디바이스에 대한 정책 및 프로필을 관리할 수 있는 권한을 갖습니다.
    • 범위(그룹) = 시애틀 사용자라는 보안 그룹입니다. 이 그룹의 모든 사용자/디바이스는 구성원(그룹)의 관리자가 관리하는 프로필 및 정책을 가질 수 있습니다.
    • 범위(태그) = Seattle. 구성원(그룹)의 관리자는 시애틀 scope 태그가 있는 Intune 개체를 볼 수 있습니다.
  3. 구성원(그룹)의 관리자가 액세스할 수 있도록 하려는 정책 및 프로필에 Seattle scope 태그를 추가합니다.
  4. 구성원(그룹)의 관리자에게 표시하려는 디바이스에 Seattle scope 태그를 추가합니다.

기본 scope 태그

기본 scope 태그는 scope 태그를 지원하는 태그가 지정되지 않은 모든 개체에 자동으로 추가됩니다.

기본 scope 태그 기능은 Microsoft Configuration Manager 보안 범위 기능과 유사합니다.

참고

Intune 정책을 구성하거나 편집할 때 테넌트용 사용자 지정 정의 scope 태그가 없는 경우 일부 정책 유형에 범위 태그 구성 페이지가 표시되지 않을 수 있습니다. 범위 태그 옵션이 표시되지 않으면 기본 scope 태그 외에 하나 이상의 태그가 정의되었는지 확인합니다.

scope 태그를 만들려면

  1. Microsoft Intune 관리 센터에서테넌트 관리>역할>범위(태그)>만들기를 선택합니다.

  2. 기본 사항 페이지에서 이름 및 선택적 설명을 제공합니다. 다음을 선택합니다.

  3. 할당 페이지에서 이 scope 태그를 할당하려는 디바이스가 포함된 그룹을 선택합니다. 다음을 선택합니다.

  4. 검토 + 만들기 페이지에서 만들기를 선택합니다.

    중요

    자동 scope 태그 할당은 수동으로 할당된 scope 태그를 덮어씁니다. 디바이스에 그룹 할당을 통해 여러 scope 태그가 할당되면 모든 scope 태그가 적용됩니다.

역할에 scope 태그를 할당하려면

  1. Microsoft Intune 관리 센터에서테넌트 관리>역할>모든 역할이>할당>된 역할을 >선택합니다.

  2. 기본 페이지에서할당 이름설명을 제공합니다. 다음을 선택합니다.

  3. 관리 그룹 페이지에서 그룹 추가를 선택하고 이 할당의 일부로 원하는 그룹을 선택합니다. 이러한 그룹의 사용자는 범위(그룹)에서 사용자/디바이스를 관리할 수 있는 권한이 있습니다. 다음을 선택합니다.

    멤버 그룹 선택 스크린샷

  4. 범위 그룹 페이지에서 포함된 그룹에 대해 다음 옵션 중 하나를 선택합니다.

    • 그룹 추가: 관리하려는 사용자/디바이스가 포함된 그룹을 선택합니다. 선택한 그룹의 모든 사용자/디바이스는 관리 그룹의 사용자가 관리합니다.
    • 모든 사용자 추가: 모든 사용자는 관리 그룹의 사용자가 관리할 수 있습니다.
    • 모든 디바이스 추가: 모든 디바이스는 관리 그룹의 사용자가 관리할 수 있습니다.

  5. 다음을 선택합니다.

  6. 범위 페이지에서 이 역할에 추가할 태그를 선택합니다. 관리 그룹의 사용자는 동일한 scope 태그를 가진 Intune 개체에 액세스할 수 있습니다. 역할에 최대 100개의 scope 태그를 할당할 수 있습니다.

  7. 다음을 선택하여 검토 + 만들기 페이지로 이동한 다음 만들기를 선택합니다.

다른 개체에 scope 태그 할당

scope 태그를 지원하는 개체의 경우 scope 태그는 일반적으로 속성 아래에 표시됩니다. 예를 들어 구성 프로필에 scope 태그를 할당하려면 다음 단계를 수행합니다.

  1. Microsoft Intune 관리 센터에서디바이스>구성> 프로필 선택을 선택합니다.

  2. 속성>범위(태그)>편집>scope 태그> 선택 프로필에 추가할 태그를 선택합니다. 최대 100개의 scope 태그를 개체에 할당할 수 있습니다.

  3. 검토 + 저장선택을 선택합니다>.

범위 태그 세부 정보

scope 태그를 사용하는 경우 다음 세부 정보를 기억하세요.

  • 테넌트가 해당 개체의 여러 버전(예: 역할 할당 또는 앱)을 가질 수 있는 경우 intune 개체 형식에 scope 태그를 할당할 수 있습니다. 다음 Intune 개체는 이 규칙의 예외이며 현재 scope 태그를 지원하지 않습니다.
    • Corp 디바이스 식별자
    • Autopilot 디바이스
    • 디바이스 준수 위치
    • Jamf 디바이스
  • VPP 토큰과 연결된 VPP(볼륨 구매 프로그램) 앱 및 전자책은 연결된 VPP 토큰에 할당된 scope 태그를 상속합니다.
  • 관리자가 Intune에서 개체를 만들면 해당 관리자에게 할당된 모든 scope 태그가 새 개체에 자동으로 할당됩니다.
  • Intune RBAC는 Microsoft Entra 역할에 적용되지 않습니다. 따라서 Intune 서비스 관리자 및 전역 관리자 역할은 어떤 scope 태그가 있는지와 관계없이 Intune에 대한 모든 관리자 액세스 권한을 갖습니다.
  • 역할 할당에 scope 태그가 없는 경우 IT 관리자는 IT 관리자 권한에 따라 모든 개체를 볼 수 있습니다. scope 태그가 없는 관리자는 기본적으로 모든 scope 태그를 갖습니다.
  • 역할 할당에 있는 scope 태그만 할당할 수 있습니다.
  • 역할 할당의 범위(그룹)에 나열된 그룹만 대상으로 지정할 수 있습니다.
  • 역할에 할당된 scope 태그가 있는 경우 Intune 개체에서 모든 scope 태그를 삭제할 수 없습니다. 하나 이상의 scope 태그가 필요합니다.

다음 단계

여러 역할 할당이 있을 때 scope 태그가 어떻게 작동하는지 알아봅니다. 역할 및 프로필을 관리합니다.