Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonej infrastruktury IT

  • Artykuł

Możesz użyć kontroli dostępu opartej na rolach i tagów zakresu, aby upewnić się, że odpowiedni administratorzy mają prawidłowy dostęp i wgląd w wymagane obiekty usługi Intune. Role określają, jakie uprawnienia mają administratorzy dostępu do jakich obiektów. Tagi zakresu określają, które obiekty mogą wyświetlać administratorzy.

Załóżmy na przykład, że administrator biura regionalnego w Seattle ma rolę Policy and Profile Manager. Chcesz, aby ten administrator wyświetlał tylko profile i zasady stosowane tylko do urządzeń z Seattle i zarządzał nimi. Aby skonfigurować ten dostęp, należy:

  1. Utwórz tag zakresu o nazwie Seattle.
  2. Utwórz przypisanie roli dla roli Menedżer zasad i profilów przy użyciu następujących funkcji:
    • Członkowie (grupy) = grupa zabezpieczeń o nazwie Administratorzy IT w Seattle. Wszyscy administratorzy w tej grupie będą mieli uprawnienia do zarządzania zasadami i profilami dla użytkowników/urządzeń w obszarze Zakres (grupy).
    • Zakres (grupy) = grupa zabezpieczeń o nazwie Użytkownicy z Seattle. Wszyscy użytkownicy/urządzenia w tej grupie mogą mieć swoje profile i zasady zarządzane przez administratorów w obszarze Członkowie (grupy).
    • Zakres (tagi) = Seattle. Administratorzy w obszarze Członek (grupy) mogą zobaczyć obiekty usługi Intune, które mają również tag zakresu Seattle.
  3. Dodaj tag zakresu Seattle do zasad i profilów, do których mają mieć dostęp administratorzy w obszarze Członkowie (grupy).
  4. Dodaj tag zakresu Seattle do urządzeń, które mają być widoczne dla administratorów w obszarze Członkowie (grupy).

Domyślny tag zakresu

Domyślny tag zakresu jest automatycznie dodawany do wszystkich nieoznakowanych obiektów, które obsługują tagi zakresu.

Domyślna funkcja tagu zakresu jest podobna do funkcji zakresów zabezpieczeń w Microsoft Configuration Manager.

Uwaga

Podczas konfigurowania lub edytowania zasad usługi Intune niektóre typy zasad mogą nie wyświetlać strony konfiguracji Tagi zakresu, jeśli nie ma niestandardowych zdefiniowanych tagów zakresu dla dzierżawy. Jeśli nie widzisz opcji Tag zakresu, upewnij się, że oprócz domyślnego tagu zakresu zdefiniowano co najmniej jeden tag.

Aby utworzyć tag zakresu

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Zakresról administracyjnych>>dzierżawy(tagi)>Utwórz.

  2. Na stronie Podstawy podaj nazwę i opcjonalny opis. Wybierz przycisk Dalej.

  3. Na stronie Przypisania wybierz grupy zawierające urządzenia, które chcesz przypisać do tego tagu zakresu. Wybierz przycisk Dalej.

  4. Na stronie Przeglądanie i tworzenie wybierz pozycję Utwórz.

    Ważna

    Automatyczne przypisania tagów zakresu zastąpią ręcznie przypisane tagi zakresu. Jeśli urządzeniu przypisano wiele tagów zakresu za pośrednictwem przypisania grupy, zostaną zastosowane wszystkie tagi zakresu.

Aby przypisać tag zakresu do roli

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Administracja dzierżawą>Role>Wszystkie role> wybierz przypisanie> roli>.

  2. Na stronie Podstawypodaj nazwę przypisania i opis. Wybierz przycisk Dalej.

  3. Na stronie grupy Administracja wybierz pozycję Dodaj grupy i wybierz grupy, które chcesz wybrać w ramach tego przypisania. Użytkownicy w tych grupach będą mieli uprawnienia do zarządzania użytkownikami/urządzeniami w obszarze Zakres (grupy). Wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający wybrane grupy członków.

  4. Na stronie Grupy zakresu wybierz jedną z następujących opcji dla pozycji Uwzględnione grupy:

    • Dodaj grupy: wybierz grupy zawierające użytkowników/urządzenia, które chcesz zarządzać. Wszyscy użytkownicy/urządzenia w wybranych grupach będą zarządzane przez użytkowników w grupach Administracja.
    • Dodaj wszystkich użytkowników: Wszyscy użytkownicy mogą być zarządzane przez użytkowników w grupach Administracja.
    • Dodaj wszystkie urządzenia: wszystkie urządzenia mogą być zarządzane przez użytkowników w grupach Administracja.

  5. Wybierz pozycję Dalej

  6. Na stronie Tagi zakresu wybierz tagi, które chcesz dodać do tej roli. Użytkownicy w grupach Administracja będą mieli dostęp do obiektów usługi Intune, które również mają ten sam tag zakresu. Do roli można przypisać maksymalnie 100 tagów zakresu.

  7. Wybierz pozycję Dalej , aby przejść do strony Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.

Przypisywanie tagów zakresu do innych obiektów

W przypadku obiektów, które obsługują tagi zakresu, tagi zakresu są zwykle wyświetlane w obszarze Właściwości. Aby na przykład przypisać tag zakresu do profilu konfiguracji, wykonaj następujące kroki:

  1. W centrum administracyjnym Microsoft Intune wybierz pozycjęKonfiguracja>urządzeń> wybierz profil.

  2. Wybierz pozycję Zakres właściwości>(tagi)>Edytuj> Tagi >wyboru zakresu wybierz tagi, które chcesz dodać do profilu. Do obiektu można przypisać maksymalnie 100 tagów zakresu.

  3. Wybierz pozycję Wybierz pozycję>Przejrzyj i zapisz.

Szczegóły tagu zakresu

Podczas pracy z tagami zakresu pamiętaj o następujących szczegółach:

  • Tagi zakresu można przypisać do typu obiektu usługi Intune, jeśli dzierżawa może mieć wiele wersji tego obiektu (takich jak przypisania ról lub aplikacje). Następujące obiekty usługi Intune są wyjątkami od tej reguły i obecnie nie obsługują tagów zakresu:
    • Identyfikatory urządzeń corp
    • Urządzenia rozwiązania Autopilot
    • Lokalizacje zgodności urządzeń
    • Urządzenia jamf
  • Aplikacje i książki elektroniczne programu Volume Purchase Program (VPP) skojarzone z tokenem programu VPP dziedziczą tagi zakresu przypisane do skojarzonego tokenu VPP.
  • Gdy administrator utworzy obiekt w usłudze Intune, wszystkie tagi zakresu przypisane do tego administratora zostaną automatycznie przypisane do nowego obiektu.
  • Kontrola dostępu oparta na rolach usługi Intune nie ma zastosowania do ról Microsoft Entra. Dlatego role Administratorzy usługi Intune i Administratorzy globalni mają pełny dostęp administratora do usługi Intune bez względu na to, jakie tagi zakresu mają.
  • Jeśli przypisanie roli nie ma tagu zakresu, administrator IT może wyświetlić wszystkie obiekty na podstawie uprawnień administratorów IT. Administratorzy, którzy nie mają tagów zakresu, zasadniczo mają wszystkie tagi zakresu.
  • Tag zakresu można przypisać tylko do przypisań ról.
  • Można kierować tylko grupy wymienione w obszarze Zakres (grupy) przypisania roli.
  • Jeśli masz tag zakresu przypisany do roli, nie możesz usunąć wszystkich tagów zakresu w obiekcie usługi Intune. Wymagany jest co najmniej jeden tag zakresu.

Następne kroki

Dowiedz się, jak zachowują się tagi zakresu, gdy istnieje wiele przypisań ról. Zarządzanie rolami i profilami.