Kontrola dostępu oparta na rolach w usłudze Intune dla klientów dołączonych do dzierżawy
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Począwszy od wersji Configuration Manager 2207, możesz użyć kontroli dostępu opartej na rolach (RBAC) usługi Intune podczas interakcji z urządzeniami dołączonymi do dzierżawy z centrum administracyjnego Microsoft Intune. Na przykład w przypadku korzystania z usługi Intune jako urzędu kontroli dostępu opartego na rolach użytkownik z rolą Operatora pomocy technicznej nie potrzebuje przypisanej roli zabezpieczeń ani dodatkowych uprawnień z Configuration Manager. Kontrola dostępu oparta na rolach w usłudze Intune zarządza uprawnieniami do wszystkich stron urządzeń dołączonych do chmury w centrum administracyjnym Microsoft Intune, takich jak oś czasu urządzenia, narzędzie CMPivot i skrypty.
Ważna
Obecnie dowolne wymuszanie kontroli dostępu opartej na rolach usługi Intune do wyświetlania i wykonywania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego Microsoft Intune jest opcjonalne. Zalecamy, aby wszyscy administratorzy ze środowiskami Configuration Manager połączonymi z chmurą zaczęli weryfikować uprawnienia kontroli dostępu na podstawie ról z usługi Intune.
Trzy ogólne kroki konfigurowania usługi Intune jako urzędu kontroli dostępu opartego na rolach dla urządzeń dołączonych do dzierżawy są następujące:
- W konsoli Configuration Manager wyłącz wymuszanie Configuration Manager kontroli dostępu opartej na rolach dla klientów dołączonych do chmury
- W usłudze Intune włącz zarządzanie uprawnieniami użytkownika dla urządzeń dołączonych do chmury
- W usłudze Intune sprawdź uprawnienia kontroli dostępu na podstawie ról dla urządzeń dołączonych do chmury
Wymagania wstępne
- Configuration Manager wersji 2207 lub nowszej
- Urządzenia dołączone do dzierżawy
Ograniczenia
- Obecnie określanie zakresu nie jest obsługiwane w przypadku używania tylko kontroli dostępu opartej na rolach usługi Intune do wyświetlania i podejmowania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego Microsoft Intune.
- Obecnie strona Aktualizacje oprogramowania nie jest dostępna tylko dla użytkowników w chmurze w przypadku korzystania z pierścienia wczesnej aktualizacji Configuration Manager wersji 2207.
Wyłączanie wymuszania Configuration Manager kontroli dostępu opartej na rolach dla klientów dołączonych do chmury
Aby użyć kontroli dostępu opartej na rolach usługi Intune na potrzeby dołączania dzierżawy, a nie Configuration Manager kontroli dostępu opartej na rolach, skorzystaj z poniższych instrukcji:
W konsoli Configuration Manager przejdź do pozycji Administracja>Cloud Services>Dołącz do chmury.
Lokalizacja opcji kontroli dostępu opartej na rolach zależy od tego, czy środowisko jest już dołączone do chmury, czy nie.
- Jeśli środowisko jest już dołączone do chmury, otwórz właściwości coMgmtSettingsProd. Jeśli nie masz urządzeń przekazanych do centrum administracyjnego, najpierw skonfiguruj tę opcję. Aby uzyskać więcej informacji, zobacz Włączanie dołączania dzierżawy.
- Jeśli środowisko nie jest dołączone do chmury, wybierz pozycję Konfiguruj dołączanie do chmury , aby otworzyć kreatora konfiguracji dołączania do chmury.
Na karcie Konfigurowanie przekazywania lub na stronie kreatora wyczyść pole wyboru dla następującej opcji w nagłówku Access Control opartej na rolach:
Wymuszanie kontroli dostępu opartej na rolach Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcje z Configuration Manager
Wybierz przycisk OK , aby zapisać zmianę we właściwościach CoMgmtSettingsProd lub kontynuować pracę kreatora dołączania do chmury.
Włączanie kontroli dostępu opartej na rolach z usługi Intune
Aby umożliwić usłudze Intune zarządzanie uprawnieniami użytkowników dla urządzeń dołączonych do chmury, wykonaj następujące kroki:
- Otwórz centrum administracyjne Microsoft Intune i zaloguj się jako użytkownik z uprawnieniem Role/Aktualizacja. Aby uzyskać więcej informacji na temat uprawnień, zobacz niestandardowe uprawnienia roli w usłudze Intune.
- Wybierz pozycj꣹czniki i tokenyadministracji> dzierżawców > programuMicrosoft Endpoint Configuration Manager.
- Na banerze wybierz pozycję Możesz również zarządzać uprawnieniami użytkownika w usłudze Intune. Kliknij tutaj, aby dowiedzieć się więcej na temat tej opcji.
- Zostanie wyświetlone okno wysuwane Użyj kontroli RBAC usługi Intune .
- Wybierz pozycję Włączone dla opcji Użyj kontroli RBAC usługi Intune , a następnie wybierz pozycję Zastosuj.
- Zmiana może potrwać około 10 minut.
Weryfikowanie uprawnień kontroli dostępu na podstawie ról z usługi Intune
Po ustawieniu usługi Intune na urząd kontroli dostępu opartej na rolach sprawdź uprawnienia dla swoich ról. W razie potrzeby możesz dodać te uprawnienia do ról niestandardowych utworzonych w usłudze Intune.
- Otwórz centrum administracyjne Microsoft Intune i zaloguj się.
- Wybierz pozycjęRoleadministracji> dzierżawy.
- Wybierz rolę, taką jak Menedżer aplikacji, i przejrzyj uprawnienia wymienione dla urządzeń dołączonych do chmury. W razie potrzeby edytuj uprawnienia dla dowolnych ról niestandardowych utworzonych w usłudze Intune.
Następujące uprawnienia usługi Intune kontrolują dostęp do Configuration Manager urządzeń dołączonych do chmury:
| Uprawnienie | Opis | Wbudowane role usługi Intune z uprawnieniami |
|---|---|---|
| Urządzenia dołączone do chmury\Wyświetlanie kolekcji | Wyświetla stronę Kolekcje dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetl eksplorator zasobów | Wyświetla stronę Eksplorator zasobów dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetl oś czasu | Wyświetla stronę Oś czasu dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetlanie aktualizacji oprogramowania | Wyświetla stronę Aktualizacje oprogramowania dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetl skrypty | Wyświetla stronę Skrypty dla urządzeń dołączonych do chmury Configuration Manager | Endpoint Security Manager, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Skrypt uruchamiania | Wyświetla akcję Uruchom skrypt i umożliwia użytkownikowi uruchamianie skryptów na urządzeniach dołączonych do chmury Configuration Manager | Administrator szkoły, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Uruchamianie zapytania CMPivot | Wyświetla stronę CMPivot dla urządzeń dołączonych do chmury Configuration Manager | Endpoint Security Manager, administrator szkoły, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetl szczegóły klienta | Wyświetla stronę Szczegóły klienta dla urządzeń dołączonych do chmury Configuration Manager | Application Manager, Endpoint Security Manager, Operator tylko do odczytu, Administrator szkoły, Menedżer profilu zasad, Operator pomocy technicznej |
| Urządzenia dołączone do chmury\Wyświetlanie aplikacji | Wyświetla stronę Aplikacje dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
| Urządzenia dołączone do chmury\Akcje aplikacji | Wyświetla akcje aplikacji na stronie Aplikacje i umożliwia użytkownikowi wykonywanie akcji aplikacji na urządzeniach dołączonych do chmury Configuration Manager | Menedżer aplikacji, administrator szkoły, operator pomocy technicznej |
| Zadania zdalne/Obracanie kluczy funkcji BitLockerKeys (wersja zapoznawcza) | Inicjuje rotację kluczy dla haseł odzyskiwania funkcji BitLocker na urządzeniu. Wyświetla stronę Klucze odzyskiwania dla urządzeń dołączonych do chmury Configuration Manager. | Endpoint Security Manager, operator pomocy technicznej |
Często zadawane pytania
Mam użytkowników tylko w chmurze, którzy potrzebują dostępu do urządzeń dołączonych do dzierżawy w usłudze Intune, czy zapewni to im dostęp?
Tak. Gdy użytkownik jest tylko w chmurze, w tym scenariuszu oznacza to, że znajduje się w Microsoft Entra identyfikatorze i może uzyskać dostęp do usługi Intune, użycie kontroli RBAC usługi Intune zapewni mu dostęp do urządzeń dołączonych do dzierżawy.
Co zrobić, jeśli mam wiele hierarchii Configuration Manager połączonych z dzierżawą?
Ustawienie Użyj kontroli RBAC usługi Intune w centrum administracyjnym Microsoft Intune ma zastosowanie do wszystkich hierarchii Configuration Manager wymienionych w dzierżawie.
Co się stanie, jeśli ustawienia Configuration Manager i usługi Intune zostaną niedopasowane?
Jeśli przełącznik Użyj kontroli dostępu opartej na rolach usługi Intune w usłudze Intune jest ustawiony na wartość Wyłączone, Configuration Manager dostęp oparty na rolach zostanie wymuszony, nawet jeśli pole wyboru Wymuszaj Configuration Manager RBAC dla żądań konsoli w chmurze, które wchodzą w interakcję z Configuration Manager, zostanie wyczyszczone. Wyłączenie opcji Wymuszaj Configuration Manager RBAC dla żądań konsoli w chmurze, które wchodzą w interakcję z opcją Configuration Manager, nie będzie miało żadnego wpływu, dopóki przełącznik Użyj kontroli RBAC usługi Intune w usłudze Intune nie zostanie ustawiony na Włączone.
Co się stanie, jeśli moja hierarchia testów jest skonfigurowana do używania kontroli RBAC usługi Intune, ale moja hierarchia produkcyjna nie jest i znajduje się w tej samej dzierżawie?
Ustawienie Użyj kontroli RBAC usługi Intune dotyczy wszystkich hierarchii Configuration Manager wymienionych w dzierżawie. Użytkownicy tylko w chmurze mogą uzyskiwać dostęp do urządzeń dołączonych do dzierżawy, które są przekazywane z hierarchii testowej, ponieważ pole wyboru zostało również wyczyszczone w celu wymuszenia Configuration Manager kontroli dostępu opartej na rolach. Jeśli użytkownik tylko w chmurze próbuje uzyskać dostęp do urządzenia dołączonego do dzierżawy przekazanego ze środowiska produkcyjnego, otrzyma błąd, ponieważ urządzenia produkcyjne wymuszają Configuration Manager RBAC. Użytkownik tylko w chmurze otrzyma błąd podobny do następującego komunikatu: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla