Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Вы можете использовать управление доступом на основе ролей и теги области, чтобы обеспечить правильный доступ и видимость нужных Intune объектов. Роли определяют, какие администраторы имеют доступ к каким объектам. Теги области определяют, какие объекты могут видеть администраторы.

Например, предположим, что администратор регионального офиса Сиэтла имеет роль диспетчера политик и профилей. Этот администратор должен видеть и управлять только профилями и политиками, которые применяются только к устройствам Сиэтла. Чтобы настроить этот доступ, выполните следующие действия.

  1. Создайте тег области с именем Seattle.
  2. Создайте назначение ролей для роли диспетчера политик и профилей с помощью следующих команд:
    • Участники (группы) = группа безопасности с именем ИТ-администраторы Сиэтла. Все администраторы в этой группе будут иметь разрешение на управление политиками и профилями для пользователей и устройств в области (группы).
    • Scope (Groups) = Группа безопасности с именем Пользователи Сиэтла. Все пользователи или устройства в этой группе могут иметь свои профили и политики, управляемые администраторами в разделе Участники (группы).
    • Scope (Tags) = Seattle. Администраторы в группе Member (Groups) могут просматривать Intune объекты, у которых также есть тег области Seattle.
  3. Добавьте тег области Seattle в политики и профили, к которым должны иметь доступ администраторы в разделе Участники (группы).
  4. Добавьте тег области Seattle на устройства, которые должны отображаться администраторам в разделе Участники (группы).

Тег области по умолчанию

Тег области по умолчанию автоматически добавляется ко всем объектам без тегов, которые поддерживают теги области.

Функция тега области по умолчанию аналогична функции областей безопасности в Майкрософт конечной точки Configuration Manager.

Создание тега области

  1. В центре администрирования Майкрософт Endpoint Manager выберите администрирование> клиента. Область ролей>(теги)>Создать.

  2. На странице Основные сведения укажите имя и необязательное описание. Нажмите кнопку Далее.

  3. На странице Назначения выберите группы, содержащие устройства, которым требуется назначить этот тег области. Нажмите кнопку Далее.

  4. На странице Просмотр и создание нажмите кнопку Создать.

    Важно!

    Автоматические назначения тегов области будут перезаписывать назначенные маннуалов теги области. Если устройству назначено несколько тегов области с помощью назначения группы, будут применены все теги области.

Назначение тега области роли

  1. В центре администрирования Майкрософт Endpoint Manager выберите Администрирование> клиента.>Все роли> выбирают роль >Назначения>.

  2. На странице Основные сведения укажите имя назначения и описание. Нажмите кнопку Далее.

  3. На странице Администратор Группы выберите Добавить группы и выберите нужные группы в рамках этого назначения. Пользователи в этих группах будут иметь разрешения на управление пользователями и устройствами в области (группы). Нажмите кнопку Далее.

    Снимок экрана: выбор групп участников.

  4. На странице Группы области выберите один из следующих параметров для включенных групп:

    • Добавить группы. Выберите группы, содержащие пользователей или устройства, которыми вы хотите управлять. Все пользователи или устройства в выбранных группах будут управляться пользователями в группах Администратор.
    • Добавить всех пользователей. Все пользователи могут управляться пользователями в группах Администратор.
    • Добавить все устройства. Все устройства могут управляться пользователями в группах Администратор.
  5. Нажмите кнопку Далее.

  6. На странице Теги области выберите теги, которые вы хотите добавить к этой роли. Пользователи в группах Администратор получат доступ к Intune объектам с тем же тегом области. Роли можно назначить не более 100 тегов области.

  7. Нажмите кнопку Далее , чтобы перейти на страницу Проверка и создание , а затем нажмите кнопку Создать.

Назначение тегов области другим объектам

Для объектов, поддерживающих теги области, теги области обычно отображаются в разделе Свойства. Например, чтобы назначить тег области профилю конфигурации, выполните следующие действия:

  1. В Центре администрирования Майкрософт Endpoint Manager выберите Устройства>Профили> конфигурации выберите профиль.

  2. Выберите Свойства>Область (теги)>Изменить>Теги выберите теги> области выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов области.

  3. Нажмите кнопку Проверить>и сохранить.

Сведения о теге области

При работе с тегами области запомните следующие сведения:

  • Теги области можно назначить Intune типу объекта, если клиент может иметь несколько версий этого объекта (например, назначения ролей или приложения). Следующие объекты Intune являются исключениями из этого правила и в настоящее время не поддерживают теги области:
    • Идентификаторы корпоративных устройств
    • Устройства Autopilot
    • Расположения соответствия устройств
    • Устройства jamf
  • Приложения и электронные книги программы volume Purchase Program (VPP), связанные с маркером VPP, наследуют теги области, назначенные связанному маркеру VPP.
  • Когда администратор создает объект в Intune, все теги области, назначенные данному администратору, будут автоматически назначены новому объекту.
  • Intune RBAC не применяется к ролям Azure Active Directory. Таким образом, роли администраторов служб Intune и глобальных администраторов имеют полный доступ к Intune независимо от того, какие теги области у них есть.
  • Если назначение роли не имеет тега области, ИТ-администратор может просматривать все объекты на основе разрешений ИТ-администраторов. Администраторы, у которых нет тегов области, по сути, имеют все теги области.
  • Вы можете назначить только тег области, который у вас есть в назначениях ролей.
  • Вы можете ориентироваться только на группы, перечисленные в области (группы) назначения ролей.
  • Если у вас есть тег области, назначенный вашей роли, вы не сможете удалить все теги области в объекте Intune. Требуется по крайней мере один тег области.

Дальнейшие действия

Узнайте, как работают теги области при наличии нескольких назначений ролей. Управление ролями и профилями.