請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

  • 發行項

您可以使用角色型訪問控制和範圍標籤,以確保正確的系統管理員能夠正確存取和檢視所需的 Intune 物件。 角色會決定系統管理員對哪些對象擁有哪些存取權。 範圍標籤會決定系統管理員可以看到的物件。

例如,假設西雅圖地區辦公室系統管理員具有原則和配置檔管理員角色。 您希望此系統管理員只查看和管理僅適用於西雅圖裝置的配置文件和原則。 若要設定此存取權,您可以:

  1. 建立名為 Seattle 的範圍標籤。
  2. 使用下列專案建立原則和配置檔管理員角色的角色指派:
    • 成員 (群組) = 名為 Seattle IT 系統管理員的安全組。 此群組中的所有系統管理員都有許可權管理範圍 (群組) 中使用者/裝置的原則和配置檔。
    • 範圍 (群組) = 名為西雅圖使用者的安全組。 此群組中的所有使用者/裝置都可以在 [成員 (群組]) 中,由系統管理員管理其配置檔和原則。
    • 範圍 (標籤) = 西雅圖。 成員 (群組) 中的系統管理員可以看到也有西雅圖範圍卷標的 Intune 物件。
  3. 將 Seattle 範圍標籤新增至您想要讓成員 (群組中的系統管理員) 存取的原則和設定檔。
  4. 將 [西雅圖範圍] 標籤新增至您想要讓系統管理員在 [成員 (群組]) 中看見的裝置。

默認範圍標籤

默認範圍標籤會自動新增至所有支援範圍標籤的未標記物件。

默認範圍標籤功能類似於 Microsoft Configuration Manager中的安全性範圍功能。

注意事項

設定或編輯 Intune 原則時,如果沒有租使用者的自定義定義範圍標籤,某些原則類型可能不會顯示 [範圍卷標] 設定頁面。 如果您沒有看到 [範圍卷標] 選項,請確定除了預設範圍標籤之外,至少已定義一個標籤。

若要建立範圍標籤

  1. [Microsoft Intune 系統管理中心] 中,選擇 [租用戶系統管理>角色>範圍] ([) 建立]>。

  2. 在 [ 基本] 頁面上,提供 [名稱 ] 和選用的 [描述]。 選擇 [下一步]

  3. 在 [ 指派] 頁面上,選擇包含您要指派此範圍標籤之裝置的群組。 選擇 [下一步]

  4. 在 [ 檢閱 + 建立] 頁面上,選擇 [ 建立]

    重要事項

    自動範圍標籤指派會覆寫手動指派的範圍標籤。 如果透過群組指派將多個範圍卷標指派給裝置,則會套用所有範圍標籤。

將範圍標籤指派給角色

  1. Microsoft Intune 系統管理中心,選擇 [租用戶系統管理>角色>][所有角色>] 選擇 [指>指派] 角色>。

  2. 在 [ 基本概念] 頁面上,提供 [ 指派名稱 ] 和 [ 描述]。 選擇 [下一步]

  3. 在 [管理員 群組] 頁面上,選擇 [新增群組],然後選取您要作為此指派一部分的群組。 這些群組中的使用者將有許可權管理範圍 (群組) 中的使用者/裝置。 選擇 [下一步]

    選取成員群組的螢幕快照。

  4. 在 [ 範圍群組 ] 頁面上,針對 [包含的 群組] 選取下列其中一個選項:

    • 新增群組:選取包含您想要管理之使用者/裝置的群組。 所選群組中的所有使用者/裝置將由 管理員 群組中的使用者管理。
    • 新增所有使用者:所有使用者都可以由 管理員 群組中的使用者管理。
    • 新增所有裝置:所有裝置都可以由 管理員 群組中的使用者管理。

  5. 選擇 [下一步]

  6. 範圍標籤 頁面上,選取您要新增至此角色的標籤。 管理員 群組中的使用者將可存取同樣具有相同範圍卷標的 Intune 物件。 您可以將最多100個範圍標籤指派給角色。

  7. 選擇 [下一步 ] 移至 [ 檢閱 + 建立] 頁面,然後選擇 [ 建立]

將範圍標籤指派給其他物件

對於支援範圍卷標的物件,範圍卷標通常會出現在 [ 屬性] 下方。 例如,若要將範圍標籤指派給組態配置檔,請遵循下列步驟:

  1. Microsoft Intune 系統管理中心,選擇 [裝置>>設定] 選擇設定檔。

  2. 選擇 [屬性>範圍 (標籤) >編輯>選取範圍標籤> 選擇要新增至設定檔的標籤。 您可以將最多100個範圍標籤指派給物件。

  3. 選擇 [選取>檢閱 + 儲存]

範圍標籤詳細數據

使用範圍標籤時,請記住下列詳細資料:

  • 如果租使用者可以擁有該物件的多個版本, (例如角色指派或應用程式) ,您可以將範圍卷標指派給 Intune 物件類型。 下列 Intune 物件是此規則的例外狀況,目前不支援範圍標籤:
    • Corp 裝置識別碼
    • Autopilot 裝置
    • 裝置合規性位置
    • Jamf 裝置
  • 大量採購方案 (VPP) 與 VPP 令牌相關聯的應用程式和電子書會繼承指派給相關聯 VPP 令牌的範圍卷標。
  • 當系統管理員在 Intune 中建立物件時,指派給該管理員的所有範圍卷標都會自動指派給新物件。
  • Intune RBAC 不適用於 Microsoft Entra 角色。 因此,不論 Intune 服務管理員和全域管理員角色具有 Intune 的完整系統管理員存取權,無論其具有何種範圍卷標。
  • 如果角色指派沒有範圍標籤,該IT系統管理員可以根據IT系統管理員許可權來查看所有物件。 沒有範圍標籤的系統管理員基本上具有所有範圍標籤。
  • 您只能指派您在角色指派中擁有的範圍標籤。
  • 您只能將角色指派的範圍 (群組) 中所列的目標群組設為目標。
  • 如果您已將範圍標籤指派給角色,就無法刪除 Intune 物件上的所有範圍標籤。 至少需要一個範圍標籤。

後續步驟

了解當有 多個角色指派時,範圍卷標的運作方式。 管理您 的角色設定檔