請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

您可以使用角色型存取控制和範圍標籤,以確保正確的系統管理員具有正確的存取權和可見度,以Intune物件。 角色會決定系統管理員對哪些物件擁有哪些存取權。 範圍標籤會決定系統管理員可以看到哪些物件。

例如,假設西雅圖地區辦公室系統管理員具有原則和設定檔管理員角色。 您希望此系統管理員只查看和管理僅適用于西雅圖裝置的設定檔和原則。 若要設定此存取權,您可以:

  1. 建立名為 Seattle 的範圍標籤。
  2. 使用下列專案建立原則和設定檔管理員角色的角色指派:
    • 成員 (群組) = 名為 Seattle IT 系統管理員的安全性群組。 此群組中的所有系統管理員都有版權管理範圍 (群組) 中使用者/裝置的原則和設定檔。
    • 範圍 (群組) = 名為 Seattle 使用者的安全性群組。 此群組中的所有使用者/裝置都可以在 [成員 (群組]) 中,由系統管理員管理其設定檔和原則。
    • 範圍 (標籤) = 西雅圖。 成員 (群組) 中的系統管理員可以看到Intune也有 Seattle 範圍標籤的物件。
  3. 將 Seattle 範圍標籤新增至您想要讓成員 (群組中的系統管理員) 存取的原則和設定檔。
  4. 將 [西雅圖範圍] 標籤新增至您想要讓系統管理員在 [成員 (群組]) 中看見的裝置。

預設範圍標籤

預設範圍標籤會自動新增至所有支援範圍標籤的未標記物件。

預設範圍標籤功能類似于Microsoft端點Configuration Manager中的安全性範圍功能。

若要建立範圍標籤

  1. [Microsoft 端點管理員系統管理中心] 中,選擇 [租使用者系統管理>角色>範圍] ([) >建立]

  2. 在 [ 基本] 頁面上,提供 [名稱 ] 和選用的 [描述]。 選擇 [下一步]

  3. 在 [ 指派] 頁面上,選擇包含您要指派此範圍標籤之裝置的群組。 選擇 [下一步]

  4. 在 [ 檢閱 + 建立] 頁面上,選擇 [ 建立]

    重要事項

    自動範圍標籤指派會覆寫人為指派的範圍標籤。 如果透過群組指派將多個範圍標籤指派給裝置,則會套用所有範圍標籤。

將範圍標籤指派給角色

  1. [Microsoft端點管理員系統管理中心] 中,選擇[租使用者系統管理>角色>][所有角色> ] 選擇 [指>指派] 角色 > 。

  2. 在 [ 基本概念] 頁面上,提供 [ 指派名稱 ] 和 [ 描述]。 選擇 [下一步]

  3. 在 [管理員群組] 頁面上,選擇 [新增群組],然後選取您要作為此指派一部分的群組。 這些群組中的使用者將有版權管理範圍 (群組) 中的使用者/裝置。 選擇 [下一步]

    選取成員群組的螢幕擷取畫面。

  4. 在 [ 範圍群組 ] 頁面上,針對 [包含的 群組] 選取下列其中一個選項:

    • 新增群組:選取包含您想要管理之使用者/裝置的群組。 所選群組中的所有使用者/裝置都會由管理員群組中的使用者管理。
    • 新增所有使用者:所有使用者都可以由管理員群組中的使用者管理。
    • 新增所有裝置:所有裝置都可以由管理員群組中的使用者管理。
  5. 選擇 [下一步]

  6. 範圍標籤 頁面上,選取您要新增至此角色的標籤。 管理員群組中的使用者將可存取Intune也具有相同範圍標籤的物件。 您可以將最多 100 個範圍標籤指派給角色。

  7. 選擇 [下一步 ] 移至 [ 檢閱 + 建立] 頁面,然後選擇 [ 建立]

將範圍標籤指派給其他物件

對於支援範圍標籤的物件,範圍標籤通常會出現在 [ 屬性] 下方。 例如,若要將範圍標籤指派給組態設定檔,請遵循下列步驟:

  1. [Microsoft端點管理員系統管理中心] 中,選擇 [裝置> 組態設定檔]> 選擇設定檔。

  2. 選擇[屬性>範圍 (標籤) >編輯>選取範圍卷> 標選擇要新增至設定檔的標籤。 您可以將最多 100 個範圍標籤指派給物件。

  3. 選擇[選取>檢閱 + 儲存]

範圍標籤詳細資料

使用範圍標籤時,請記住下列詳細資料:

  • 如果租使用者可以有多個版本的物件, (例如角色指派或應用程式) ,您可以將範圍標籤指派給Intune物件類型。 下列Intune物件是此規則的例外狀況,目前不支援範圍標籤:
    • Corp 裝置識別碼
    • Autopilot 裝置
    • 裝置合規性位置
    • Jamf 裝置
  • 大量採購方案 (VPP) 與 VPP 權杖相關聯的應用程式和電子書會繼承指派給相關聯 VPP 權杖的範圍標籤。
  • 當系統管理員在 Intune 中建立物件時,指派給該管理員的所有範圍標籤都會自動指派給新物件。
  • Intune RBAC 不適用於 Azure Active Directory 角色。 因此,Intune服務管理員和全域管理員角色可以完整存取Intune,不論其具有哪些範圍標籤。
  • 如果角色指派沒有範圍標籤,該 IT 系統管理員可以根據 IT 系統管理員許可權來查看所有物件。 沒有範圍標籤的系統管理員基本上具有所有範圍標籤。
  • 您只能指派您在角色指派中擁有的範圍標籤。
  • 您只能將角色指派的範圍 (群組) 中所列的目標群組設為目標。
  • 如果您已將範圍標籤指派給角色,就無法刪除Intune物件上的所有範圍標籤。 至少需要一個範圍標籤。

後續步驟

瞭解當有 多個角色指派時,範圍標籤的運作方式。 管理您 的角色設定檔