Управление доступом на основе ролей Intune для клиентов, подключенных к клиенту
Относится к Configuration Manager (Current Branch)
Начиная с Configuration Manager версии 2207, вы можете использовать управление доступом на основе ролей Intune (RBAC) при взаимодействии с подключенными к клиенту устройствами из Центра администрирования Microsoft Intune. Например, при использовании Intune в качестве центра управления доступом на основе ролей пользователю с ролью оператора службы поддержки не требуется назначенная роль безопасности или дополнительные разрешения от Configuration Manager. Управление доступом на основе ролей Intune управляет разрешениями на все страницы устройств, подключенных к облаку, в Центре администрирования Microsoft Intune, например временная шкала устройств, CMPivot и скрипты.
Важно!
В настоящее время любое применение управления доступом на основе ролей Intune для отображения и выполнения действий на подключенных к клиенту устройствах из центра администрирования Microsoft Intune является необязательным. Мы рекомендуем всем администраторам, подключенным к облаку Configuration Manager средах, начать проверку разрешений на управление доступом на основе ролей из Intune.
Ниже приведены три общих шага по настройке Intune в качестве центра управления доступом на основе ролей для устройств, подключенных к клиенту:
- В консоли Configuration Manager отключите принудительное применение Configuration Manager управления доступом на основе ролей для клиентов, подключенных к облаку.
- В Intune включите управление разрешениями пользователей для устройств, подключенных к облаку.
- В Intune проверьте разрешения на управление доступом на основе ролей для устройств, подключенных к облаку.
Предварительные требования
- Configuration Manager версии 2207 или более поздней
- Устройства, подключенные к клиенту
Ограничения
- В настоящее время определение области не поддерживается при использовании только управления доступом на основе ролей Intune для отображения и выполнения действий на подключенных к клиенту устройствах из Центра администрирования Microsoft Intune.
- В настоящее время страница "Обновления программного обеспечения" недоступна только для облачных пользователей при использовании круга раннего обновления Configuration Manager версии 2207.
Отключение принудительного применения Configuration Manager управления доступом на основе ролей для клиентов, подключенных к облаку
Чтобы использовать управление доступом на основе ролей Intune для подключения клиента, а не Configuration Manager управление доступом на основе ролей, используйте следующие инструкции:
В консоли Configuration Manager перейдите по адресу Администрирование>Облачные службы>Накрепить облако.
Расположение параметра управления доступом на основе ролей зависит от того, подключена ли ваша среда к облаку.
- Если ваша среда уже подключена к облаку, откройте свойства для CoMgmtSettingsProd. Если у вас нет устройств, отправленных в Центр администрирования, сначала настройте этот параметр. Дополнительные сведения см. в статье Включение подключения к облаку.
- Если ваша среда не подключена к облаку, выберите Настроить подключение к облаку , чтобы открыть мастер настройки облачного подключения.
На вкладке Настройка отправки или на странице мастера снимите флажок для следующего параметра в заголовке контроль доступа на основе ролей:
Применение Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager
Нажмите кнопку ОК , чтобы сохранить изменения в свойствах CoMgmtSettingsProd , или продолжить работу, чтобы завершить работу мастера подключения к облаку.
Включение управления доступом на основе ролей из Intune
Чтобы включить Intune для управления разрешениями пользователей для устройств, подключенных к облаку, выполните следующие действия.
- Откройте Центр администрирования Microsoft Intune и войдите в систему как пользователь с разрешением "Роли" или "Обновление". Дополнительные сведения о разрешении см. в разделе Разрешения пользовательских ролей в Intune.
- Выберите соединители администрирования клиента>и маркеры>Microsoft Endpoint Configuration Manager.
- В баннере выберите Вы также можете управлять разрешениями пользователей из Intune. Щелкните здесь, чтобы узнать больше об этом параметре.
- Откроется всплывающее окно Использование Intune RBAC .
- Выберите Вкл . для параметра Использовать Intune RBAC , а затем нажмите кнопку Применить.
- Для изменения может потребоваться около 10 минут.
Проверка разрешений на управление доступом на основе ролей в Intune
После того как Intune будет задан центр управления доступом на основе ролей, проверьте разрешения для ролей. При необходимости эти разрешения можно добавить к пользовательским ролям , созданным в Intune.
- Откройте Центр администрирования Microsoft Intune и войдите в систему.
- ВыберитеРолиадминистрирования> клиента.
- Выберите роль, например Диспетчер приложений, и просмотрите разрешения, перечисленные для подключенных к облаку устройств. При необходимости измените разрешения для всех пользовательских ролей, созданных в Intune.
Следующие разрешения Intune управляют доступом к Configuration Manager устройствам, подключенным к облаку:
| Разрешение | Описание | Встроенные роли Intune с разрешением |
|---|---|---|
| Устройства, подключенные к облаку\Просмотр коллекций | Отображает страницу Коллекции для Configuration Manager устройств, подключенных к облаку | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Устройства, подключенные к облаку\Просмотр обозревателя ресурсов | Отображает страницу обозревателя ресурсов для Configuration Manager подключенных к облаку устройств | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Устройства, подключенные к облаку\Просмотр временная шкала | Отображает страницу Временная шкала для Configuration Manager подключенных к облаку устройств | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Устройства, подключенные к облаку\Просмотр обновлений программного обеспечения | Отображает страницу обновления программного обеспечения для Configuration Manager подключенных к облаку устройств. | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator |
| Устройства, подключенные к облаку\Просмотр скриптов | Отображает страницу Скрипты для Configuration Manager подключенных к облаку устройств | Endpoint Security Manager, Оператор только для чтения, Администратор учебного заведения, Диспетчер профилей политик, Оператор службы технической поддержки |
| Устройства, подключенные к облаку\Запуск скрипта | Отображает действие Запуск скрипта и позволяет пользователю выполнять скрипты на Configuration Manager устройствах, подключенных к облаку. | Администратор учебного заведения, оператор службы технической поддержки |
| Устройства, подключенные к облаку\Выполнение запроса CMPivot | Отображает страницу CMPivot для Configuration Manager подключенных к облаку устройств | Диспетчер безопасности конечных точек, администратор учебного заведения, оператор службы технической поддержки |
| Устройства, подключенные к облаку\Просмотр сведений о клиенте | Отображает страницу сведений о клиенте для Configuration Manager подключенных к облаку устройств. | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Устройства, подключенные к облаку\Просмотр приложений | Отображает страницу Приложения для Configuration Manager подключенных к облаку устройств. | Диспетчер приложений, оператор только для чтения, администратор учебного заведения, диспетчер профилей политик, оператор службы поддержки |
| Устройства, подключенные к облаку,\Выполнение действий приложения | Отображает действия приложения на странице Приложения и позволяет пользователю выполнять действия приложения на Configuration Manager устройствах, подключенных к облаку. | Диспетчер приложений, администратор учебного заведения, оператор службы технической поддержки |
| Удаленные задачи/Сменить BitLockerKeys (предварительная версия) | Инициирует смену ключей для паролей восстановления BitLocker на устройстве. Отображает страницу Ключи восстановления для Configuration Manager подключенных к облаку устройств. | Диспетчер безопасности конечных точек, оператор службы технической поддержки |
Вопросы и ответы
У меня есть только облачные пользователи, которым нужен доступ к устройствам, подключенным к клиенту, в Intune. Это даст им доступ?
Да. Если пользователь работает только в облаке, в этом сценарии он находится в Microsoft Entra идентификаторе и может получить доступ к Intune. Использование Intune RBAC предоставит ему доступ к устройствам, подключенным к клиенту.
Что делать, если к моему клиенту подключено несколько иерархий Configuration Manager?
Параметр Использовать Intune RBAC в Центре администрирования Microsoft Intune применяется ко всем иерархиям Configuration Manager, перечисленным в клиенте.
Что произойдет, если параметры Configuration Manager и Intune не совпадают?
Если переключатель Использовать Intune RBAC в Intune имеет значение Выкл., то доступ на основе ролей Configuration Manager будет применен, даже если флажок Применить Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager, снят. Отключение параметра Применить Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager, не оказывает никакого влияния до тех пор, пока переключатель Использовать RBAC Intune не будет установлен в значение Вкл.
Что произойдет, если моя тестовая иерархия настроена для использования Intune RBAC, а моя рабочая иерархия — нет, и они находятся в одном клиенте?
Параметр Использовать Intune RBAC применяется ко всем иерархиям Configuration Manager, перечисленным в клиенте. Пользователи только в облаке могут получать доступ к устройствам, подключенным к клиенту, которые передаются из тестовой иерархии, так как вы также снимите флажок для принудительного применения Configuration Manager RBAC. Если пользователь только в облаке пытается получить доступ к подключенному к клиенту устройству, отправленному из рабочей среды, он получит ошибку, так как рабочие устройства применяют Configuration Manager RBAC. Пользователь, доступный только в облаке, получит сообщение об ошибке, похожее на следующее сообщение: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Дальнейшие действия
- Просмотр временная шкала для устройства, подключенного к облаку
- Выполнение запроса CMPivot на устройстве, подключенном к облаку
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по