다음을 통해 공유


배포 된 IT의 RBAC(역할 기반 액세스 제어) 및 범위 태그 사용

역할 기반 액세스 제어 및 범위 태그를 사용하여 올바른 관리자가 필요한 Intune 개체에 대한 올바른 액세스 및 가시성을 갖도록 할 수 있습니다. 역할은 관리자가 어떤 개체에 액세스해야 하는지 결정합니다. 범위 태그는 관리자가 볼 수 있는 개체를 결정합니다.

예를 들어 시애틀 지역 사무실 관리자에게 정책 및 프로필 관리자 역할이 있다고 가정해 보겠습니다. 이 관리자는 시애틀 디바이스에만 적용되는 프로필 및 정책만 보고 관리하려고 합니다. 이 액세스를 설정하려면 다음을 수행합니다.

  1. Seattle이라는 범위 태그를 만듭니다.
  2. 다음을 사용하여 정책 및 프로필 관리자 역할에 대한 역할 할당을 만듭니다.
    • 멤버(그룹) = 시애틀 IT 관리자라는 보안 그룹입니다. 이 그룹의 모든 관리자는 범위(그룹)에서 사용자/디바이스에 대한 정책 및 프로필을 관리할 수 있는 권한을 갖습니다.
    • 범위(그룹) = 시애틀 사용자라는 보안 그룹입니다. 이 그룹의 모든 사용자/디바이스는 구성원(그룹)의 관리자가 관리하는 프로필 및 정책을 가질 수 있습니다.
    • 범위(태그) = Seattle. 구성원(그룹)의 관리자는 시애틀 범위 태그가 있는 Intune 개체를 볼 수 있습니다.
  3. 구성원(그룹)의 관리자가 액세스할 수 있도록 하려는 정책 및 프로필에 시애틀 범위 태그를 추가합니다.
  4. 구성원(그룹)의 관리자에게 표시하려는 디바이스에 시애틀 범위 태그를 추가합니다.

기본 범위 태그

기본 범위 태그는 범위 태그를 지원하는 태그가 지정되지 않은 모든 개체에 자동으로 추가됩니다.

기본 범위 태그 기능은 Microsoft Configuration Manager의 보안 범위 기능과 유사합니다.

참고

Intune 정책을 구성하거나 편집할 때 테넌트에서 사용자 지정 정의 범위 태그가 없는 경우 일부 정책 유형은 범위 태그 구성 페이지를 표시하지 않을 수 있습니다. 범위 태그 옵션이 표시되지 않으면 기본 범위 태그 외에 하나 이상의 태그가 정의되었는지 확인합니다.

범위 태그를 만들려면

  1. Microsoft Intune 관리 센터에서테넌트 관리>역할>범위(태그)>만들기를 선택합니다.

  2. 기본 사항 페이지에서 이름 및 선택적 설명을 제공합니다. 다음을 선택합니다.

  3. 할당 페이지에서 이 범위 태그를 할당하려는 디바이스가 포함된 그룹을 선택합니다. 다음을 선택합니다.

  4. 검토 + 만들기 페이지에서 만들기를 선택합니다.

    중요

    자동 범위 태그 할당은 수동으로 할당된 범위 태그를 덮어씁니다. 디바이스에 그룹 할당을 통해 여러 범위 태그가 할당되면 모든 범위 태그가 적용됩니다.

역할에 범위 태그를 할당하려면

  1. Microsoft Intune 관리 센터에서테넌트 관리>역할>모든 역할이>할당>된 역할을 >선택합니다.

  2. 기본 페이지에서할당 이름설명을 제공합니다. 다음을 선택합니다.

  3. 관리 그룹 페이지에서 그룹 추가를 선택하고 이 할당의 일부로 원하는 그룹을 선택합니다. 이러한 그룹의 사용자는 범위(그룹)에서 사용자/디바이스를 관리할 수 있는 권한이 있습니다. 다음을 선택합니다.

    멤버 그룹 선택 스크린샷

  4. 범위 그룹 페이지에서 포함된 그룹에 대해 다음 옵션 중 하나를 선택합니다.

    • 그룹 추가: 관리하려는 사용자/디바이스가 포함된 그룹을 선택합니다. 선택한 그룹의 모든 사용자/디바이스는 관리 그룹의 사용자가 관리합니다.
    • 모든 사용자 추가: 모든 사용자는 관리 그룹의 사용자가 관리할 수 있습니다.
    • 모든 디바이스 추가: 모든 디바이스는 관리 그룹의 사용자가 관리할 수 있습니다.
  5. 다음을 선택합니다.

  6. 범위 페이지에서 이 역할에 추가할 태그를 선택합니다. 관리 그룹의 사용자는 범위 태그가 동일한 Intune 개체에 액세스할 수 있습니다. 역할에 최대 100개의 범위 태그를 할당할 수 있습니다.

  7. 다음을 선택하여 검토 + 만들기 페이지로 이동한 다음 만들기를 선택합니다.

다른 개체에 범위 태그 할당

범위 태그를 지원하는 개체의 경우 일반적으로 범위 태그가 속성 아래에 표시됩니다. 예를 들어 구성 프로필에 범위 태그를 할당하려면 다음 단계를 수행합니다.

  1. Microsoft Intune 관리 센터에서디바이스>관리 디바이스>구성> 프로필을 선택합니다.

  2. 속성>범위(태그)>편집>범위 태그> 선택 프로필에 추가할 태그를 선택합니다. 개체에 최대 100개의 범위 태그를 할당할 수 있습니다.

  3. 검토 + 저장선택을 선택합니다>.

범위 태그 세부 정보

범위 태그를 사용하는 경우 다음 세부 정보를 기억하세요.

  • 테넌트가 해당 개체의 여러 버전(예: 역할 할당 또는 앱)을 가질 수 있는 경우 Intune 개체 형식에 범위 태그를 할당할 수 있습니다. 다음 Intune 개체는 이 규칙의 예외이며 현재 범위 태그를 지원하지 않습니다.
    • Corp 디바이스 식별자
    • Autopilot 디바이스
    • 디바이스 준수 위치
    • Jamf 디바이스
  • VPP 토큰과 연결된 VPP(볼륨 구매 프로그램) 앱 및 전자책은 연결된 VPP 토큰에 할당된 범위 태그를 상속합니다.
  • 관리자가 Intune에서 개체를 만들면 해당 관리자에게 할당된 모든 범위 태그가 새 개체에 자동으로 할당됩니다.
  • Intune RBAC는 Microsoft Entra 역할에 적용되지 않습니다. 따라서 Intune 서비스 관리자 및 전역 관리자 역할은 범위 태그에 관계없이 Intune에 대한 전체 관리자 액세스 권한을 갖습니다.
  • 역할 할당에 범위 태그가 없는 경우 IT 관리자는 IT 관리자 권한에 따라 모든 개체를 볼 수 있습니다. 범위 태그가 없는 관리자는 기본적으로 모든 범위 태그를 갖습니다.
  • 역할 할당에 있는 범위 태그만 할당할 수 있습니다.
  • 역할 할당의 범위(그룹)에 나열된 그룹만 대상으로 지정할 수 있습니다.
  • 역할에 범위 태그가 할당된 경우 Intune 개체에서 모든 범위 태그를 삭제할 수 없습니다. 하나 이상의 범위 태그가 필요합니다.

다음 단계

여러 역할 할당이 있을 때 범위 태그가 작동하는 방식을 알아봅니다. 역할 및 프로필을 관리합니다.