Utilize controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuídos

  • Artigo

Pode utilizar etiquetas de controlo de acesso baseadas em funções e etiquetas de âmbito para se certificar de que os administradores certos têm o acesso e visibilidade certos aos objetos Intune certos. As funções determinam o acesso dos administradores aos objetos. As etiquetas de âmbito determinam quais os administradores de objetos que podem ver.

Por exemplo, digamos que um administrador regional de Seattle tem o papel de Gestor de Políticas e Perfis. Você quer que este administrador veja e gere apenas os perfis e políticas que só se aplicam aos dispositivos de Seattle. Para configurar este acesso, seria:

  1. Criar uma etiqueta de âmbito chamada Seattle.
  2. Criar uma atribuição de funções para o papel de Gestor de Políticas e Perfis com:
    • Membros (Grupos) = Um grupo de segurança chamado Seattle IT. Todos os administradores deste grupo terão permissão para gerir políticas e perfis para utilizadores/dispositivos no Âmbito (Grupos).
    • Âmbito (Grupos) = Um grupo de segurança chamado utilizadores de Seattle. Todos os utilizadores/dispositivos deste grupo podem ter os seus perfis e políticas geridos pelos administradores dos Membros (Grupos).
    • Âmbito (Tags) = Seattle. Os administradores do membro (Grupos) podem ver objetos Intune que também têm a etiqueta de âmbito de Seattle.
  3. Adicione a etiqueta de âmbito de Seattle às políticas e perfis a que pretende que os administradores dos Membros (Grupos) tenham acesso.
  4. Adicione a etiqueta de alcance de Seattle aos dispositivos que pretende visível aos administradores nos membros (Grupos).

Etiqueta de âmbito padrão

A etiqueta de âmbito padrão é automaticamente adicionada a todos os objetos não testados que suportam etiquetas de âmbito.

A função de etiqueta de âmbito padrão é semelhante à funcionalidade de âmbitos de segurança em Microsoft Endpoint Configuration Manager.

Para criar uma etiqueta de âmbito

  1. No centro de administração Microsoft Endpoint Manager,escolha O Âmbito de Funções de Administração do Inquilino > > (Tags) > Create.
  2. Na página Basics, forneça um Nome e Descrição opcional. Escolha Seguinte.
  3. Na página Atribuições, escolha os grupos que contêm os dispositivos que pretende atribuir esta etiqueta de âmbito. Escolha Seguinte.
  4. Na página 'Rever + criar', escolher Criar.

Para atribuir uma etiqueta de âmbito a uma função

  1. No centro de administração Microsoft Endpoint Manager,escolha Funções de administração de > > Inquilinos Todas as funções > escolher um papel > Atribuições > Atribuir.

  2. Na página Basics, forneça um nome de atribuição e descrição. Escolha Seguinte.

  3. Na página grupos de administração, escolha grupos selecionados para incluir, e selecione os grupos que deseja como parte desta atribuição. Os utilizadores deste grupo terão permissões para gerir os utilizadores/dispositivos no Âmbito (Grupos). Escolha Seguinte.

    Screenshot de grupos de membros selecionados.

  4. Na página Grupos de Âmbito, selecione uma das seguintes opções para Atribuir

    • Grupos selecionados: selecione os grupos que contêm os utilizadores/enganos que pretende gerir. Todos os utilizadores/dispositivos dos grupos selecionados serão geridos pelos utilizadores nos Grupos de Administração.
    • Todos os utilizadores: Todos os utilizadores podem ser geridos pelos utilizadores nos Grupos Dedmin.
    • Todos os dispositivos: Todos os dispositivos podem ser geridos pelos utilizadores nos Grupos Dedmin.
    • Todos os utilizadores e todos os dispositivos: Todos os utilizadores e dispositivos podem ser geridos pelos utilizadores nos Grupos Dedmin.

  5. Escolha a seguir

  6. Na página de tags Scope, selecione as etiquetas que pretende adicionar a esta função. Os utilizadores dos Grupos Dedmin terão acesso a objetos Intune que também tenham a mesma etiqueta de âmbito. Pode atribuir um máximo de 100 etiquetas de âmbito a uma função.

  7. Escolha o Próximo para ir à página 'Rever + criar' e, em seguida, escolher Criar.

Atribuir etiquetas de âmbito a outros objetos

Para objetos que suportam etiquetas de âmbito, as etiquetas de âmbito geralmente aparecem em Propriedades. Por exemplo, para atribuir uma etiqueta de âmbito a um perfil de configuração, siga estes passos:

  1. No centro de administração Microsoft Endpoint Manager,escolha perfis de configuração de > dispositivos > escolha um perfil.

  2. Escolha o Âmbito de Propriedades > (Tags) > > Editar Selecione as etiquetas de âmbito > escolha as etiquetas que pretende adicionar ao perfil. Pode atribuir um máximo de 100 etiquetas de âmbito a um objeto.

  3. Escolha Selecione > Review + guardar.

Detalhes da etiqueta de âmbito

Ao trabalhar com etiquetas de âmbito, lembre-se destes detalhes:

  • Pode atribuir etiquetas de âmbito a um tipo de objeto Intune se o inquilino puder ter várias versões desse objeto (tais como atribuições de funções ou aplicações). Os seguintes objetos Intune são exceções a esta regra e não suportam atualmente etiquetas de âmbito:
    • Identificadores de dispositivos corp
    • Dispositivos autopiloto
    • Locais de conformidade do dispositivo
    • Dispositivos Jamf
  • As aplicações vPP e os ebooks associados ao símbolo VPP herdam as etiquetas de âmbito atribuídas ao token VPP associado.
  • Quando um administrador cria um objeto no Intune, todas as etiquetas de âmbito atribuídas a esse administrador serão automaticamente atribuídas ao novo objeto.
  • O RBAC intune não se aplica a Azure Ative Directory papéis. Assim, os funções de Administradores de Serviços Intune e Global Admins têm acesso total ao Intune independentemente das etiquetas de âmbito que tenham.
  • Se uma atribuição de funções não tiver etiqueta de âmbito, a administração de TI pode ver todos os objetos com base nas permissões de administração de TI. Os administradores que não têm etiquetas de âmbito têm essencialmente todas as etiquetas de âmbito.
  • Só pode atribuir uma etiqueta de âmbito que tenha nas suas funções.
  • Só é possível direcionar os grupos que estão listados no Âmbito (Grupos) da sua atribuição de funções.
  • Se tiver uma etiqueta de âmbito atribuída ao seu papel, não pode eliminar todas as etiquetas de âmbito num objeto Intune. É necessária pelo menos uma etiqueta de âmbito.

Passos seguintes

Saiba como as etiquetas de âmbito se comportam quando há múltiplas atribuições de funções. Efetue a gestão das suas funções e perfis.