Usar o controle de acesso baseado em função (RBAC) e as marcas de escopo da TI distribuída

Você pode usar o controle de acesso baseado em função e marcas de escopo para garantir que os administradores certos tenham o acesso e a visibilidade certos para os objetos Intune certos. As funções determinam quais administradores de acesso têm para quais objetos. As marcas de escopo determinam quais administradores de objetos podem ver.

Por exemplo, digamos que um administrador regional do escritório de Seattle tenha a função de Gerente de Política e Perfil. Você deseja que esse administrador veja e gerencie apenas os perfis e políticas que se aplicam apenas aos dispositivos de Seattle. Para configurar esse acesso, você faria:

  1. Crie uma marca de escopo chamada Seattle.
  2. Crie uma atribuição de função para a função Policy and Profile Manager com:
    • Membros (Grupos) = um grupo de segurança chamado administradores de TI de Seattle. Todos os administradores desse grupo terão permissão para gerenciar políticas e perfis para usuários/dispositivos no Escopo (Grupos).
    • Escopo (Grupos) = um grupo de segurança chamado usuários de Seattle. Todos os usuários/dispositivos desse grupo podem ter seus perfis e políticas gerenciados pelos administradores nos Membros (Grupos).
    • Escopo (Marcas) = Seattle. Os administradores do Membro (Grupos) podem ver Intune objetos que também têm a marca de escopo de Seattle.
  3. Adicione a marca de escopo de Seattle a políticas e perfis aos quais você deseja que os administradores em Membros (Grupos) tenham acesso.
  4. Adicione a marca de escopo de Seattle a dispositivos que você deseja visíveis aos administradores nos Membros (Grupos).

Marca de escopo padrão

A marca de escopo padrão é adicionada automaticamente a todos os objetos não registrados que dão suporte a marcas de escopo.

O recurso de marca de escopo padrão é semelhante ao recurso de escopos de segurança em Microsoft Configuration Manager do Ponto de Extremidade.

Para criar uma marca de escopo

  1. No centro de administração Microsoft Endpoint Manager, escolha Escopo deFunções> de administração>de locatário (marcas)>Criar.

  2. Na página Noções básicas , forneça um Nome e uma Descrição opcional. Escolha Avançar.

  3. Na página Atribuições , escolha os grupos que contêm os dispositivos que você deseja atribuir essa marca de escopo. Escolha Avançar.

  4. Na página Revisar + criar , escolha Criar.

    Importante

    As atribuições de marcas de escopo automático substituirão marcas de escopo atribuídas pelo mannually. Se um dispositivo receber várias marcas de escopo por meio da atribuição de grupo, todas as marcas de escopo serão aplicadas.

Para atribuir uma marca de escopo a uma função

  1. No centro de administração Microsoft Endpoint Manager, escolhaFunções> de administração> de locatárioTodas as funções> escolhem uma atribuição defunção >Atribuição>.

  2. Na página Noções básicas , forneça um nome de atribuição e descrição. Escolha Avançar.

  3. Na página Grupos Administração, escolha Adicionar grupos e selecione os grupos desejados como parte dessa atribuição. Os usuários desses grupos terão permissões para gerenciar usuários/dispositivos no Escopo (Grupos). Escolha Avançar.

    Captura de tela de grupos de membros selecionados.

  4. Na página Grupos de Escopo , selecione uma das seguintes opções para grupos incluídos:

    • Adicionar grupos: selecione os grupos que contêm os usuários/dispositivos que você deseja gerenciar. Todos os usuários/dispositivos nos grupos selecionados serão gerenciados pelos usuários nos Grupos de Administração.
    • Adicionar Todos os usuários: todos os usuários podem ser gerenciados pelos usuários nos Grupos de Administração.
    • Adicionar Todos os dispositivos: todos os dispositivos podem ser gerenciados pelos usuários nos grupos de Administração.
  5. Selecione Avançar

  6. Na página Marcas de escopo, selecione as marcas que você deseja adicionar a essa função. Os usuários dos Grupos de Administração terão acesso a objetos Intune que também têm a mesma marca de escopo. Você pode atribuir um máximo de 100 marcas de escopo a uma função.

  7. Escolha Avançar para ir para a página Revisar + criar e, em seguida, escolha Criar.

Atribuir marcas de escopo a outros objetos

Para objetos que dão suporte a marcas de escopo, as marcas de escopo geralmente aparecem em Propriedades. Por exemplo, para atribuir uma marca de escopo a um perfil de configuração, siga estas etapas:

  1. No centro de administração do Microsoft Endpoint Manager, escolhaPerfis de configuração de dispositivos>> escolha um perfil.

  2. Escolha Escopo de Propriedades>(Marcas)>Editar>Selecionar marcas> de escopo escolha as marcas que você deseja adicionar ao perfil. Você pode atribuir um máximo de 100 marcas de escopo a um objeto.

  3. Escolha Selecionar>Revisão + salvar.

Detalhes da marca de escopo

Ao trabalhar com marcas de escopo, lembre-se destes detalhes:

  • Você pode atribuir marcas de escopo a um tipo de objeto Intune se o locatário puder ter várias versões desse objeto (como atribuições de função ou aplicativos). Os seguintes objetos Intune são exceções a essa regra e atualmente não dão suporte a marcas de escopo:
    • Identificadores de dispositivo corp
    • Dispositivos Autopilot
    • Locais de conformidade do dispositivo
    • Dispositivos Jamf
  • Aplicativos e ebooks do VPP (Programa de Compra de Volume) associados ao token VPP herdam as marcas de escopo atribuídas ao token VPP associado.
  • Quando um administrador cria um objeto no Intune, todas as marcas de escopo atribuídas a esse administrador serão atribuídas automaticamente ao novo objeto.
  • Intune RBAC não se aplica às funções do Azure Active Directory. Portanto, as funções Intune Administradores de Serviço e administradores globais têm acesso completo de administrador a Intune não importa quais marcas de escopo elas tenham.
  • Se uma atribuição de função não tiver nenhuma marca de escopo, o administrador de TI poderá ver todos os objetos com base nas permissões de administradores de TI. Os administradores que não têm marcas de escopo essencialmente têm todas as marcas de escopo.
  • Você só pode atribuir uma marca de escopo que você tem em suas atribuições de função.
  • Você só pode direcionar grupos listados no Escopo (Grupos) de sua atribuição de função.
  • Se você tiver uma marca de escopo atribuída à sua função, não poderá excluir todas as marcas de escopo em um objeto Intune. Pelo menos uma marca de escopo é necessária.

Próximas etapas

Saiba como as marcas de escopo se comportam quando há várias atribuições de função. Gerencie suas funções e perfis.