Controle de acesso baseado em função do Intune para clientes anexados a locatários
Aplica-se a: Configuration Manager (branch atual)
A partir Configuration Manager versão 2207, você pode usar o RBAC (controle de acesso baseado em função) do Intune ao interagir com dispositivos anexados ao locatário do centro de administração Microsoft Intune. Por exemplo, ao usar o Intune como autoridade de controle de acesso baseada em função, um usuário com a função Operador do Help Desk não precisa de uma função de segurança atribuída ou permissões adicionais de Configuration Manager. O controle de acesso baseado em função do Intune gerencia as permissões para todas as páginas de dispositivo anexadas à nuvem no centro de administração Microsoft Intune, como linha do tempo de dispositivo, CMPivot e scripts.
Importante
Atualmente, qualquer aplicação do controle de acesso baseado em função do Intune para exibir e executar ações em dispositivos anexados ao locatário do centro de administração Microsoft Intune é opcional. Recomendamos que todos os administradores com ambientes Configuration Manager conectados à nuvem comecem a verificar as permissões de controle de acesso baseadas em função do Intune.
As três etapas de alto nível para configurar o Intune como a autoridade de controle de acesso baseada em função para dispositivos anexados a locatários são:
- No console Configuration Manager, desabilite a aplicação do Configuration Manager controle de acesso baseado em função para clientes conectados à nuvem
- No Intune, habilite o gerenciamento das permissões de usuário para dispositivos conectados à nuvem
- No Intune, verifique permissões de controle de acesso baseadas em função para dispositivos conectados à nuvem
Pré-requisitos
- Configuration Manager versão 2207 ou posterior
- Dispositivos anexados ao locatário
Limitações
- Atualmente, não há suporte para escopo ao usar apenas o controle de acesso baseado em função do Intune para exibir e executar ações em dispositivos anexados ao locatário do centro de administração Microsoft Intune.
- Atualmente, a página atualizações de software não está disponível para usuários somente na nuvem ao usar o anel de atualização inicial do Configuration Manager versão 2207.
Desabilitar a aplicação do Configuration Manager controle de acesso baseado em função para clientes conectados à nuvem
Para usar o controle de acesso baseado em função do Intune para anexação de locatário em vez de Configuration Manager controle de acesso baseado em função, use as instruções abaixo:
No console Configuration Manager, acesse, Administração>Serviços de Nuvem>Cloud Anexar.
O local da opção de controle de acesso baseado em função varia dependendo se o ambiente já estiver conectado à nuvem ou não.
- Se o ambiente já estiver conectado à nuvem, abra as propriedades para CoMgmtSettingsProd. Se você não tiver dispositivos carregados no centro de administração, configure essa opção primeiro. Para obter mais informações, consulte Habilitar anexação de nuvem.
- Se o ambiente não estiver conectado à nuvem, selecione Configurar o Cloud Attach para abrir o assistente de Configuração de Anexação de Nuvem.
Na guia Configurar upload ou página no assistente, desmarque a caixa de seleção para a seguinte opção no título Controle de Acesso baseado em função:
Impor Configuration Manager RBAC para solicitações de console de nuvem que interagem com Configuration Manager
Escolha OK para salvar a alteração nas propriedades CoMgmtSettingsProd ou continue para concluir o assistente de anexação de nuvem.
Habilitar o controle de acesso baseado em função do Intune
Para permitir que o Intune gerencie permissões de usuário para dispositivos conectados à nuvem, use as seguintes etapas:
- Abra o Microsoft Intune centro de administração e entre como um usuário que tenha a permissão Funções/Atualização. Para obter mais informações sobre a permissão, consulte permissões de função personalizadas no Intune.
- Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager.
- No banner, selecione Você também pode gerenciar permissões de usuário do Intune. Clique aqui para saber mais sobre essa opção.
- O flyout use RBAC do Intune é exibido.
- Selecione Ativado para a opção Usar RBAC do Intune e escolha Aplicar.
- A alteração pode levar cerca de 10 minutos para entrar em vigor.
Verificar permissões de controle de acesso baseadas em função do Intune
Depois que o Intune for definido como a autoridade de controle de acesso baseada em função, verifique as permissões para suas funções. Se necessário, você pode adicionar essas permissões a funções personalizadas criadas no Intune.
- Abra o Microsoft Intune centro de administração e entre.
- SelecioneFunçõesde administração> de locatário.
- Selecione uma função, como Gerenciador de Aplicativos, e examine as permissões listadas para dispositivos anexados à nuvem. Se necessário, edite permissões para quaisquer funções personalizadas que você criou no Intune.
As seguintes permissões do Intune controlam o acesso aos dispositivos anexados à nuvem Configuration Manager:
| Permissão | Descrição | Funções internas do Intune com a permissão |
|---|---|---|
| Dispositivos anexados à nuvem\Exibir coleções | Exibe a página Coleções para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Gerenciador de Segurança do Ponto de Extremidade, Operador somente leitura, Administrador da Escola, Gerenciador de Perfil de Política, Operador do Help Desk |
| Dispositivos anexados à nuvem\Visualizar gerenciador de recursos | Exibe a página gerenciador de recursos para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Gerenciador de Segurança do Ponto de Extremidade, Operador somente leitura, Administrador da Escola, Gerenciador de Perfil de Política, Operador do Help Desk |
| Dispositivos anexados à nuvem\Exibir linha do tempo | Exibe a página Linha do Tempo para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Gerenciador de Segurança do Ponto de Extremidade, Operador somente leitura, Administrador da Escola, Gerenciador de Perfil de Política, Operador do Help Desk |
| Dispositivos anexados à nuvem\Exibir atualizações de software | Exibe a página atualizações de software para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Gerenciador de Segurança do Ponto de Extremidade, Operador somente leitura, administrador da escola, operador do Help Desk |
| Dispositivos anexados à nuvem\Exibir scripts | Exibe a página Scripts para dispositivos anexados à nuvem Configuration Manager | Gerenciador de segurança do ponto de extremidade, operador somente leitura, administrador da escola, gerenciador de perfil de política, operador do Help Desk |
| Dispositivos anexados à nuvem\Executar script | Exibe a ação Executar script e permite que o usuário execute scripts em Configuration Manager dispositivos anexados à nuvem | Administrador da Escola, Operador do Help Desk |
| Dispositivos anexados à nuvem\Executar consulta CMPivot | Exibe a página CMPivot para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Segurança do Ponto de Extremidade, Administrador da Escola, Operador do Help Desk |
| Dispositivos anexados à nuvem\Exibir detalhes do cliente | Exibe a página detalhes do cliente para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Gerenciador de Segurança do Ponto de Extremidade, Operador somente leitura, Administrador da escola, Gerenciador de Perfil de Política, Operador do Help Desk |
| Dispositivos anexados à nuvem\Exibir aplicativos | Exibe a página Aplicativos para dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Operador somente leitura, administrador da escola, gerenciador de perfil de política, operador do Help Desk |
| Dispositivos anexados à nuvem\Executar ações de aplicativo | Exibe ações de aplicativo na página Aplicativos e permite que o usuário execute ações de aplicativo em dispositivos anexados à nuvem Configuration Manager | Gerenciador de Aplicativos, Administrador da Escola, Operador do Help Desk |
| Tarefas remotas/Girar BitLockerKeys (visualização) | Inicia uma rotação de chave para senhas de recuperação do BitLocker no dispositivo. Exibe a página Chaves de recuperação para dispositivos anexados à nuvem Configuration Manager. | Gerenciador de Segurança do Ponto de Extremidade, Operador do Help Desk |
Perguntas frequentes
Tenho usuários somente na nuvem que precisam de acesso a dispositivos anexados a locatários no Intune, isso lhes dará acesso?
Sim. Quando um usuário é somente nuvem, nesse cenário significa que ele está em Microsoft Entra ID e pode acessar o Intune, usando o RBAC do Intune lhes dará acesso a dispositivos anexados a locatários.
E se eu tiver várias hierarquias Configuration Manager conectadas ao meu locatário?
A configuração Use RBAC do Intune no centro de administração Microsoft Intune se aplica a todas as hierarquias de Configuration Manager listadas no locatário.
O que acontece se as configurações do Configuration Manager e do Intune forem incompatíveis?
Se o RBAC Use Intune alternar no Intune estiver definido como Desativado, Configuration Manager acesso baseado em função será imposto, mesmo se o RBAC de Impor Configuration Manager para solicitações de console de nuvem que interagem com Configuration Manager caixa de seleção for desmarcada. Desabilitar o RBAC de Impor Configuration Manager para solicitações de console de nuvem que interagem com Configuration Manager opção não terá nenhum efeito até que o RBAC Use Intune alterne no Intune esteja definido como Ativado.
O que acontece se minha hierarquia de teste estiver configurada para usar o RBAC do Intune, mas minha hierarquia de produção não estiver e eles estiverem no mesmo locatário?
A configuração Use RBAC do Intune se aplica a todas as hierarquias Configuration Manager listadas no locatário. Os usuários somente na nuvem podem acessar dispositivos anexados ao locatário carregados da hierarquia de teste porque você também liberou a caixa de seleção para impor Configuration Manager RBAC. Se um usuário somente na nuvem tentar acessar um dispositivo anexado ao locatário carregado do ambiente de produção, ele receberá um erro, pois os dispositivos de produção estão aplicando Configuration Manager RBAC. O usuário somente na nuvem receberá um erro semelhante à seguinte mensagem: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Próximas etapas
- Examine o linha do tempo de um dispositivo conectado à nuvem
- Executar uma consulta CMPivot em um dispositivo conectado à nuvem
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de