Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT

U kunt op rollen gebaseerd toegangsbeheer en bereiktags gebruiken om ervoor te zorgen dat de juiste beheerders de juiste toegang en zichtbaarheid hebben tot de juiste Intune objecten. Rollen bepalen welke toegangsbeheerders hebben tot welke objecten. Bereiktags bepalen welke objecten beheerders kunnen zien.

Stel dat een regionale office-beheerder in Seattle de rol Beleids- en profielbeheerder heeft. U wilt dat deze beheerder alleen de profielen en beleidsregels ziet en beheert die alleen van toepassing zijn op Seattle-apparaten. Als u deze toegang wilt instellen, doet u het volgende:

  1. Maak een bereiktag met de naam Seattle.
  2. Maak een roltoewijzing voor de rol Beleids- en profielbeheer met:
    • Leden (groepen) = een beveiligingsgroep met de naam IT-beheerders in Seattle. Alle beheerders in deze groep zijn gemachtigd om beleid en profielen voor gebruikers/apparaten in het bereik (groepen) te beheren.
    • Bereik (groepen) = een beveiligingsgroep met de naam Seattle-gebruikers. Alle gebruikers/apparaten in deze groep kunnen hun profielen en beleidsregels laten beheren door de beheerders in de leden (groepen).
    • Bereik (tags) = Seattle. Beheerders in het lid (groepen) kunnen Intune objecten zien die ook de bereiktag Seattle hebben.
  3. Voeg de bereiktag Seattle toe aan beleidsregels en profielen waartoe beheerders in leden (groepen) toegang moeten hebben.
  4. Voeg de bereiktag Seattle toe aan apparaten die u zichtbaar wilt maken voor beheerders in de leden (groepen).

Standaardbereiktag

De standaardbereiktag wordt automatisch toegevoegd aan alle niet-getagde objecten die bereiktags ondersteunen.

De standaardfunctie voor bereiktags is vergelijkbaar met de functie voor beveiligingsbereiken in Microsoft Endpoint Configuration Manager.

Een bereiktag maken

  1. Kies in het Microsoft Endpoint Manager-beheercentrum tenantbeheerrollen > > bereik (tags) > maken.

  2. Geef op de pagina Basisinformatie een naam en een optionele beschrijving op. Kies Volgende.

  3. Kies op de pagina Toewijzingen de groepen met de apparaten waaraan u deze bereiktag wilt toewijzen. Kies Volgende.

  4. Kies Maken op de pagina Beoordelen en maken.

    Belangrijk

    Toewijzingen van automatische bereiktags overschrijven jaarlijks toegewezen bereiktags. Als aan een apparaat meerdere bereiktags zijn toegewezen via groepstoewijzing, zijn alle bereiktags van toepassing.

Een bereiktag toewijzen aan een rol

  1. Kies in het Microsoft Endpoint Manager-beheercentrum Tenantbeheerrollen > > Alle rollen > kies een rol > Toewijzingen > toewijzen.

  2. Geef op de pagina Basisinformatie een toewijzingsnaam en beschrijving op. Kies Volgende.

  3. Kies groepen toevoegen op de pagina Beheer Groepen en selecteer de gewenste groepen als onderdeel van deze toewijzing. Gebruikers in deze groepen hebben machtigingen voor het beheren van gebruikers/apparaten in het bereik (groepen). Kies Volgende.

    Schermopname van geselecteerde lidgroepen.

  4. Selecteer op de pagina Bereikgroepen een van de volgende opties voor opgenomen groepen:

    • Groepen toevoegen: selecteer de groepen met de gebruikers/apparaten die u wilt beheren. Alle gebruikers/apparaten in de geselecteerde groepen worden beheerd door de gebruikers in de Beheer Groepen.
    • Alle gebruikers toevoegen: alle gebruikers kunnen worden beheerd door de gebruikers in de Beheer Groepen.
    • Alle apparaten toevoegen: alle apparaten kunnen worden beheerd door de gebruikers in de Beheer groepen.
  5. Kies Volgende

  6. Selecteer op de pagina Bereiktags de tags die u aan deze rol wilt toevoegen. Gebruikers in de Beheer Groepen hebben toegang tot Intune objecten die ook dezelfde bereiktag hebben. U kunt maximaal 100 bereiktags toewijzen aan een rol.

  7. Kies Volgende om naar de pagina Beoordelen en maken te gaan en kies Vervolgens Maken.

Bereiktags toewijzen aan andere objecten

Voor objecten die bereiktags ondersteunen, worden bereiktags meestal weergegeven onder Eigenschappen. Als u bijvoorbeeld een bereiktag wilt toewijzen aan een configuratieprofiel, voert u de volgende stappen uit:

  1. Kies in het Microsoft Endpoint Manager-beheercentrum profielen voor apparaatconfiguratie > > kies een profiel.

  2. Kies Eigenschappenbereik > (tags) > Bewerken > Bereiktags selecteren > kies de tags die u aan het profiel wilt toevoegen. U kunt maximaal 100 bereiktags toewijzen aan een object.

  3. Kies Controleren selecteren > en opslaan.

Details van bereiktag

Wanneer u met bereiktags werkt, moet u deze details onthouden:

  • U kunt bereiktags toewijzen aan een Intune objecttype als de tenant meerdere versies van dat object kan hebben (zoals roltoewijzingen of apps). De volgende Intune objecten zijn uitzonderingen op deze regel en bieden momenteel geen ondersteuning voor bereiktags:
    • Corp-apparaat-id's
    • Autopilot-apparaten
    • Locaties voor apparaatnaleving
    • Jamf-apparaten
  • VPP-apps (Volume Purchase Program) en ebooks die zijn gekoppeld aan het VPP-token nemen de bereiktags over die zijn toegewezen aan het gekoppelde VPP-token.
  • Wanneer een beheerder een object maakt in Intune, worden alle bereiktags die aan die beheerder zijn toegewezen, automatisch toegewezen aan het nieuwe object.
  • Intune RBAC is niet van toepassing op Azure Active Directory-rollen. De rollen Intune-servicebeheerders en globale beheerders hebben dus volledige beheerderstoegang tot Intune ongeacht de bereiktags die ze hebben.
  • Als een roltoewijzing geen bereiktag heeft, kan die IT-beheerder alle objecten zien op basis van de machtigingen van de IT-beheerder. Beheerders die geen bereiktags hebben, hebben in wezen alle bereiktags.
  • U kunt alleen een bereiktag toewijzen die u in uw roltoewijzingen hebt.
  • U kunt alleen doelgroepen die worden vermeld in het bereik (groepen) van uw roltoewijzing.
  • Als u een bereiktag aan uw rol hebt toegewezen, kunt u niet alle bereiktags voor een Intune object verwijderen. Er is ten minste één bereiktag vereist.

Volgende stappen

Meer informatie over het gedrag van bereiktags wanneer er meerdere roltoewijzingen zijn. Uw rollen en profielen beheren.