Rollbaserad åtkomstkontroll i Intune för klientanslutna klienter
Gäller för: Configuration Manager (aktuell gren)
Från och med Configuration Manager version 2207 kan du använda Rollbaserad åtkomstkontroll i Intune (RBAC) när du interagerar med klientanslutna enheter från Microsoft Intune administrationscenter. När du till exempel använder Intune som rollbaserad åtkomstkontrollutfärdare behöver en användare med rollen Supportansvarig inte någon tilldelad säkerhetsroll eller ytterligare behörigheter från Configuration Manager. Rollbaserad åtkomstkontroll i Intune hanterar behörigheterna till alla molnanslutna enhetssidor i Microsoft Intune administrationscenter, till exempel enhetens tidslinje, CMPivot och skript.
Viktigt
För närvarande är all tillämpning av rollbaserad åtkomstkontroll i Intune för att visa och vidta åtgärder på klientanslutna enheter från Microsoft Intune administrationscenter valfritt. Vi rekommenderar att alla administratörer med molnanslutna Configuration Manager miljöer börjar verifiera behörigheterna för rollbaserad åtkomstkontroll från Intune.
De tre övergripande stegen för att konfigurera Intune som rollbaserad åtkomstkontroll för klientanslutna enheter är:
- Inaktivera tillämpning av Configuration Manager rollbaserad åtkomstkontroll för molnanslutna klienter från Configuration Manager-konsolen
- Från Intune aktiverar du hantering av användarbehörigheter för molnanslutna enheter
- Verifiera rollbaserade åtkomstkontrollbehörigheter för molnanslutna enheter från Intune
Förutsättningar
- Configuration Manager version 2207 eller senare
- Klientanslutna enheter
Begränsningar
- För närvarande stöds inte omfång när endast intune-rollbaserad åtkomstkontroll används för att visa och vidta åtgärder på klientanslutna enheter från Microsoft Intune administrationscenter.
- För närvarande är sidan Programuppdateringar inte tillgänglig för molnbaserade användare när du använder den tidiga uppdateringsringen för Configuration Manager version 2207.
Inaktivera tillämpning av Configuration Manager rollbaserad åtkomstkontroll för molnanslutna klienter
Om du vill använda rollbaserad åtkomstkontroll i Intune för klientanslutning i stället för Configuration Manager rollbaserad åtkomstkontroll använder du anvisningarna nedan:
Från Configuration Manager-konsolen går du till Administration>Cloud Services>Molnkoppling.
Platsen för det rollbaserade åtkomstkontrollalternativet varierar beroende på om din miljö redan är molnansluten eller inte.
- Om din miljö redan är molnansluten öppnar du egenskaperna för CoMgmtSettingsProd. Om du inte har överfört enheter till administrationscentret konfigurerar du det alternativet först. Mer information finns i Aktivera molnanslutning.
- Om din miljö inte är molnansluten väljer du Konfigurera molnanslutning för att öppna guiden Konfiguration av molnanslutning.
På fliken Konfigurera uppladdning eller sidan i guiden avmarkerar du kryssrutan för följande alternativ under rubriken Rollbaserad Access Control:
Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager
Välj OK för att spara ändringen av egenskaperna CoMgmtSettingsProd eller fortsätt med att slutföra guiden för molnanslutning.
Aktivera rollbaserad åtkomstkontroll från Intune
Använd följande steg för att aktivera Intune för att hantera användarbehörigheter för molnanslutna enheter:
- Öppna Microsoft Intune administrationscenter och logga in som en användare som har behörigheten Roller/Uppdatering. Mer information om behörigheten finns i anpassade rollbehörigheter i Intune.
- Välj Anslutningsappar för klientadministration>och token>Microsoft Endpoint Configuration Manager.
- I banderollen väljer du Du kan också hantera användarbehörigheter från Intune. Klicka här om du vill veta mer om det här alternativet.
- Den utfällbara menyn Använd Intune RBAC visas.
- Välj På för alternativet Använd Intune RBAC och välj sedan Använd.
- Ändringen kan ta cirka 10 minuter att börja gälla.
Verifiera behörigheter för rollbaserad åtkomstkontroll från Intune
När Intune har angetts till den rollbaserade åtkomstkontrollmyndigheten kontrollerar du behörigheterna för dina roller. Om det behövs kan du lägga till dessa behörigheter till anpassade roller som du skapade i Intune.
- Öppna Microsoft Intune administrationscenter och logga in.
- Välj Administrationsroller för klientorganisation>.
- Välj en roll, till exempel Application Manager, och granska de behörigheter som anges för molnanslutna enheter. Om det behövs redigerar du behörigheter för alla anpassade roller som du har skapat i Intune.
Följande Intune-behörigheter styr åtkomsten till Configuration Manager molnanslutna enheter:
| Behörighet | Beskrivning | Intune-inbyggda roller med behörigheten |
|---|---|---|
| Molnanslutna enheter\Visa samlingar | Visar sidan Samlingar för Configuration Manager molnanslutna enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa resursutforskaren | Visar sidan Resursutforskaren för Configuration Manager molnanslutna enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa tidslinje | Visar sidan Tidslinje för Configuration Manager molnanslutna enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa programuppdateringar | Visar sidan Programuppdateringar för Configuration Manager molnanslutna enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, supportansvarig |
| Molnanslutna enheter\Visa skript | Visar sidan Skript för Configuration Manager molnanslutna enheter | Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Kör skript | Visar åtgärden Kör skript och låter användaren köra skript på Configuration Manager molnanslutna enheter | Skoladministratör, supportansvarig |
| Molnanslutna enheter\Kör CMPivot-fråga | Visar CMPivot-sidan för Configuration Manager molnanslutna enheter | Endpoint Security Manager, Skoladministratör, Supportansvarig |
| Molnanslutna enheter\Visa klientinformation | Visar sidan Klientinformation för Configuration Manager molnanslutna enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör,Skoladministratör, Principprofilhanterare, Supportansvarig |
| Molnanslutna enheter\Visa program | Visar sidan Program för Configuration Manager molnanslutna enheter | Application Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Vidta programåtgärder | Visar programåtgärder på sidan Program och låter användaren vidta programåtgärder på Configuration Manager molnanslutna enheter | Programansvarig, skoladministratör, supportansvarig |
| Fjärruppgifter/Rotera BitLockerKeys (förhandsversion) | Initierar en nyckelrotation för BitLocker-återställningslösenord på enheten. Visar sidan Återställningsnycklar för Configuration Manager molnanslutna enheter. | Endpoint Security Manager, supportansvarig |
Vanliga frågor och svar
Jag har molnbaserade användare som behöver åtkomst till klientanslutna enheter i Intune, kommer detta att ge dem åtkomst?
Ja. När en användare endast är i molnet, innebär det i det här scenariot att de finns i Microsoft Entra-ID och kan komma åt Intune. Med Intune RBAC får de åtkomst till klientanslutna enheter.
Vad händer om jag har flera Configuration Manager hierarkier anslutna till min klientorganisation?
Inställningen Använd Intune RBAC i Microsoft Intune administrationscenter gäller för alla Configuration Manager hierarkier som anges i klientorganisationen.
Vad händer om inställningarna för Configuration Manager och Intune är felmatchade?
Om växlingsknappen Använd Intune RBAC i Intune är inställd på Av tillämpas Configuration Manager rollbaserad åtkomst, även om kryssrutan Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager avmarkeras. Inaktivering av alternativet Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager har ingen effekt förrän växlingsknappen Använd Intune RBAC i Intune har angetts till På.
Vad händer om min testhierarki har konfigurerats för att använda Intune RBAC, men min produktionshierarki inte är det och de finns i samma klientorganisation?
Inställningen Använd Intune RBAC gäller för alla Configuration Manager-hierarkier som anges i klientorganisationen. Endast molnanvändare kan komma åt klientanslutna enheter som laddas upp från testhierarkin eftersom du också har avmarkerat kryssrutan för att framtvinga Configuration Manager RBAC. Om en molnbaserad användare försöker komma åt en klientansluten enhet som laddats upp från produktionsmiljön får de ett felmeddelande eftersom produktionsenheter framtvingar Configuration Manager RBAC. Den molnbaserade användaren får ett fel som liknar följande meddelande: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Nästa steg
- Granska tidslinjen för en molnansluten enhet
- Köra en CMPivot-fråga på en molnansluten enhet
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för