Op rollen gebaseerd toegangsbeheer van Intune voor tenant-gekoppelde clients
Van toepassing op: Configuration Manager (current branch)
Vanaf Configuration Manager versie 2207 kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Intune gebruiken bij interactie met gekoppelde tenantapparaten vanuit het Microsoft Intune-beheercentrum. Wanneer u bijvoorbeeld Intune gebruikt als op rollen gebaseerde toegangsbeheerinstantie, heeft een gebruiker met de rol Helpdeskoperator geen toegewezen beveiligingsrol of aanvullende machtigingen van Configuration Manager nodig. Op rollen gebaseerd toegangsbeheer van Intune beheert de machtigingen voor alle aan de cloud gekoppelde apparaatpagina's in het Microsoft Intune-beheercentrum, zoals apparaattijdlijn, CMPivot en scripts.
Belangrijk
Op dit moment is het afdwingen van op rollen gebaseerd toegangsbeheer van Intune voor het weergeven en uitvoeren van acties op tenant-gekoppelde apparaten vanuit het Microsoft Intune-beheercentrum optioneel. We raden alle beheerders met configuration manager-omgevingen in de cloud aan om de machtigingen voor op rollen gebaseerd toegangsbeheer van Intune te controleren.
De drie stappen op hoog niveau voor het configureren van Intune als de instantie voor op rollen gebaseerd toegangsbeheer voor apparaten die zijn gekoppeld aan tenants zijn:
- Schakel vanuit de Configuration Manager-console het afdwingen van op rollen gebaseerd toegangsbeheer van Configuration Manager uit voor clients in de cloud
- Schakel vanuit Intune het beheren van de gebruikersmachtigingen in voor apparaten die zijn gekoppeld aan de cloud
- Controleer vanuit Intune de machtigingen voor op rollen gebaseerd toegangsbeheer voor apparaten die zijn gekoppeld aan de cloud
Vereisten
- Configuration Manager versie 2207 of hoger
- Tenant gekoppelde apparaten
Beperkingen
- Momenteel wordt het bereik niet ondersteund wanneer alleen op rollen gebaseerd toegangsbeheer van Intune wordt gebruikt voor het weergeven en uitvoeren van acties op tenant-gekoppelde apparaten vanuit het Microsoft Intune-beheercentrum.
- De pagina Software-updates is momenteel niet beschikbaar voor cloudgebruikers wanneer u de vroege updatering van Configuration Manager versie 2207 gebruikt.
Het afdwingen van op rollen gebaseerd toegangsbeheer van Configuration Manager uitschakelen voor cloudclients
Als u op rollen gebaseerd toegangsbeheer van Intune wilt gebruiken voor tenantkoppeling in plaats van op rollen gebaseerd toegangsbeheer van Configuration Manager, gebruikt u de onderstaande instructies:
Ga vanuit de Configuration Manager-console naar Beheer>cloudservices>Cloudkoppeling.
De locatie van de optie op basis van op rollen gebaseerd toegangsbeheer varieert afhankelijk van of uw omgeving al gekoppeld is aan de cloud of niet.
- Als uw omgeving al in de cloud is gekoppeld, opent u de eigenschappen voor CoMgmtSettingsProd. Als u geen apparaten hebt geüpload naar het beheercentrum, configureert u die optie eerst. Zie Cloudkoppeling inschakelen voor meer informatie.
- Als uw omgeving niet is gekoppeld aan de cloud, selecteert u Cloudkoppeling configureren om de wizard Cloudkoppeling configureren te openen.
Schakel op het tabblad Upload configureren of de pagina in de wizard het selectievakje uit voor de volgende optie onder de kop Op rollen gebaseerd toegangsbeheer :
Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die communiceren met Configuration Manager
Kies OK om de wijziging in de CoMgmtSettingsProd-eigenschappen op te slaan of ga verder om de wizard cloudkoppeling te voltooien.
Op rollen gebaseerd toegangsbeheer vanuit Intune inschakelen
Voer de volgende stappen uit om Intune in te schakelen voor het beheren van gebruikersmachtigingen voor apparaten in de cloud:
- Open het Microsoft Intune-beheercentrum en meld u aan als een gebruiker met de machtiging Rollen/bijwerken . Zie Aangepaste rolmachtigingen in Intune voor meer informatie over de machtiging.
- Selecteer Tenantbeheer>Connectors en tokens>Microsoft Endpoint Configuration Manager.
- Selecteer in de banner U kunt ook gebruikersmachtigingen beheren vanuit Intune. Klik hier voor meer informatie over deze optie.
- De flyout Intune RBAC gebruiken wordt weergegeven.
- Selecteer Aan voor de optie Intune RBAC gebruiken en kies vervolgens Toepassen.
- Het kan ongeveer 10 minuten duren voordat de wijziging van kracht wordt.
Machtigingen voor op rollen gebaseerd toegangsbeheer controleren vanuit Intune
Zodra Intune is ingesteld op de op rollen gebaseerde toegangsbeheerinstantie, controleert u de machtigingen voor uw rollen. Indien nodig kunt u deze machtigingen toevoegen aan aangepaste rollen die u in Intune hebt gemaakt.
- Open het Microsoft Intune-beheercentrum en meld u aan.
- Selecteer Tenantbeheerrollen>.
- Selecteer een rol, zoals Toepassingsbeheerder, en controleer de machtigingen die worden vermeld voor apparaten die zijn gekoppeld aan de cloud. Bewerk zo nodig machtigingen voor aangepaste rollen die u in Intune hebt gemaakt.
De volgende Intune-machtigingen beheren de toegang tot de configuration manager-apparaten in de cloud:
Machtiging | Beschrijving | Ingebouwde Intune-rollen met de machtiging |
---|---|---|
Aan de cloud gekoppelde apparaten\Verzamelingen weergeven | Geeft de pagina Verzamelingen weer voor configuration manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Resource Explorer weergeven | Geeft de pagina Resource Explorer weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Tijdlijn weergeven | Geeft de pagina Tijdlijn weer voor aan de Cloud gekoppelde Configuration Manager-apparaten | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Software-updates weergeven | Geeft de pagina Software-updates weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsmanager, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Scripts weergeven | Geeft de pagina Scripts weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Endpoint Security Manager, operator alleen-lezen, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
Gekoppelde cloudapparaten\Script uitvoeren | Geeft de actie Script uitvoeren weer en stelt de gebruiker in staat scripts uit te voeren op Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Schoolbeheerder, helpdeskmedewerker |
Gekoppelde cloudapparaten\CMPivot-query uitvoeren | Geeft de CMPivot-pagina weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Endpoint Security Manager, schoolbeheerder, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Clientdetails weergeven | Geeft de pagina Clientdetails weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsbeheer, Endpoint Security Manager, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheer, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Toepassingen weergeven | Geeft de pagina Toepassingen weer voor configuration manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsbeheer, alleen-lezenoperator, schoolbeheerder, beleidsprofielbeheerder, helpdeskmedewerker |
Aan de cloud gekoppelde apparaten\Toepassingsacties uitvoeren | Geeft toepassingsacties weer op de pagina Toepassingen en stelt de gebruiker in staat om toepassingsacties uit te voeren op configuration manager-apparaten die zijn gekoppeld aan de cloud | Toepassingsmanager, schoolbeheerder, helpdeskmedewerker |
Externe taken/BitLockerKeys draaien (preview) | Hiermee initieert u een sleutelrotatie voor BitLocker-herstelwachtwoorden op het apparaat. Geeft de pagina Herstelsleutels weer voor Configuration Manager-apparaten die zijn gekoppeld aan de cloud. | Endpoint Security Manager, helpdeskmedewerker |
Veelgestelde vragen
Ik heb cloudgebruikers die toegang nodig hebben tot apparaten die zijn gekoppeld aan de tenant in Intune. Geeft dit hen toegang?
Ja. Wanneer een gebruiker zich alleen in de cloud bevindt, in dit scenario betekent dat deze zich in Microsoft Entra ID bevindt en toegang heeft tot Intune, geeft het gebruik van Intune RBAC de gebruiker toegang tot apparaten die zijn gekoppeld aan de tenant.
Wat moet ik doen als ik meerdere Configuration Manager-hiërarchieën heb verbonden met mijn tenant?
De instelling Intune RBAC gebruiken in het Microsoft Intune-beheercentrum is van toepassing op alle Configuration Manager-hiërarchieën die worden vermeld in de tenant.
Wat gebeurt er als de Configuration Manager- en Intune-instellingen niet overeenkomen?
Als de wisselknop Intune RBAC gebruiken in Intune is ingesteld op Uit, wordt op rollen gebaseerde toegang van Configuration Manager afgedwongen, zelfs als het selectievakje Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die communiceren met Configuration Manager is uitgeschakeld. Het uitschakelen van de optie Configuration Manager RBAC afdwingen voor cloudconsoleaanvragen die communiceren met Configuration Manager heeft geen effect totdat de wisselknop Intune RBAC gebruiken in Intune is ingesteld op Aan.
Wat gebeurt er als mijn testhiërarchie is geconfigureerd voor het gebruik van Intune RBAC, maar mijn productiehiërarchie niet en ze zich in dezelfde tenant bevinden?
De instelling Intune RBAC gebruiken is van toepassing op alle Configuration Manager-hiërarchieën die in de tenant worden vermeld. Cloudgebruikers hebben toegang tot aan de tenant gekoppelde apparaten die zijn geüpload vanuit de testhiërarchie, omdat u ook het selectievakje hebt uitgeschakeld om Configuration Manager RBAC af te dwingen. Als een cloudgebruiker toegang probeert te krijgen tot een apparaat met tenantkoppeling dat is geüpload vanuit de productieomgeving, krijgt deze een foutmelding omdat productieapparaten Configuration Manager RBAC afdwingen. De cloudgebruiker ontvangt een foutmelding die vergelijkbaar is met het volgende bericht: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Volgende stappen
- Bekijk de tijdlijn voor een apparaat in de cloud
- Een CMPivot-query uitvoeren op een apparaat dat is gekoppeld aan de cloud