Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT

  • Artikel

U kunt op rollen gebaseerd toegangsbeheer en bereiktags gebruiken om ervoor te zorgen dat de juiste beheerders de juiste toegang en zichtbaarheid hebben tot de vereiste Intune-objecten. Rollen bepalen welke toegang beheerders hebben tot welke objecten. Bereiktags bepalen welke objecten beheerders kunnen zien.

Stel dat een beheerder van een regionaal kantoor in Seattle de rol Beleids- en profielbeheerder heeft. U wilt dat deze beheerder alleen de profielen en beleidsregels ziet en beheert die alleen van toepassing zijn op Seattle-apparaten. Als u deze toegang wilt instellen, doet u het volgende:

  1. Maak een bereiktag met de naam Seattle.
  2. Maak een roltoewijzing voor de rol Beleid en Profielbeheer met:
    • Leden (groepen) = Een beveiligingsgroep met de naam Seattle IT-beheerders. Alle beheerders in deze groep zijn gemachtigd om beleidsregels en profielen te beheren voor gebruikers/apparaten in het bereik (groepen).
    • Bereik (groepen) = Een beveiligingsgroep met de naam Seattle-gebruikers. Alle gebruikers/apparaten in deze groep kunnen hun profielen en beleidsregels laten beheren door de beheerders in leden (groepen).
    • Bereik (tags) = Seattle. Beheerders in het lid (groepen) kunnen Intune-objecten zien die ook de bereiktag Seattle hebben.
  3. Voeg de bereiktag Seattle toe aan beleidsregels en profielen waartoe beheerders in Leden (groepen) toegang moeten hebben.
  4. Voeg de bereiktag Seattle toe aan apparaten die u zichtbaar wilt maken voor beheerders in leden (groepen).

Standaardbereiktag

De standaardbereiktag wordt automatisch toegevoegd aan alle objecten zonder vlag die bereiktags ondersteunen.

De standaardfunctie voor bereiktags is vergelijkbaar met de functie voor beveiligingsbereiken in Microsoft Configuration Manager.

Opmerking

Bij het configureren of bewerken van Intune-beleid wordt bij sommige beleidstypen mogelijk niet de configuratiepagina bereiktags weergegeven als er geen aangepaste gedefinieerde bereiktags voor de tenant zijn. Als u de optie Bereiktag niet ziet, controleert u of er naast de standaardbereiktag ten minste één tag is gedefinieerd.

Een bereiktag maken

  1. Kies in het Microsoft Intune-beheercentrum de optieTenantbeheerRollenbereik>>(tags)>Maken.

  2. Geef op de pagina Basisinformatie een naam en optionele beschrijving op. Kies Volgende.

  3. Kies op de pagina Toewijzingen de groepen met de apparaten waaraan u deze bereiktag wilt toewijzen. Kies Volgende.

  4. Kies op de pagina Controleren en makende optie Maken.

    Belangrijk

    Toewijzingen van automatische bereiktags overschrijven handmatig toegewezen bereiktags. Als aan een apparaat meerdere bereiktags zijn toegewezen via groepstoewijzing, zijn alle bereiktags van toepassing.

Een bereiktag toewijzen aan een rol

  1. Kies in het Microsoft Intune-beheercentrumde optie Tenantbeheerrollen>>Alle rollen> kiezen een rolToewijzingen>>toewijzen.

  2. Geef op de pagina Basisinformatie een toewijzingsnaam en beschrijving op. Kies Volgende.

  3. Kies op de pagina Beheer Groepende optie Groepen toevoegen en selecteer de gewenste groepen als onderdeel van deze toewijzing. Gebruikers in deze groepen hebben machtigingen voor het beheren van gebruikers/apparaten in het bereik (groepen). Kies Volgende.

    Schermopname van geselecteerde ledengroepen.

  4. Selecteer op de pagina Bereikgroepen een van de volgende opties voor Opgenomen groepen:

    • Groepen toevoegen: selecteer de groepen met de gebruikers/apparaten die u wilt beheren. Alle gebruikers/apparaten in de geselecteerde groepen worden beheerd door de gebruikers in de Beheer Groepen.
    • Alle gebruikers toevoegen: alle gebruikers kunnen worden beheerd door de gebruikers in de Beheer Groepen.
    • Alle apparaten toevoegen: alle apparaten kunnen worden beheerd door de gebruikers in de Beheer Groepen.

  5. Kies Volgende

  6. Selecteer op de pagina Bereiktags de tags die u aan deze rol wilt toevoegen. Gebruikers in de Beheer groepen hebben toegang tot Intune-objecten die ook dezelfde bereiktag hebben. U kunt maximaal 100 bereiktags toewijzen aan een rol.

  7. Kies Volgende om naar de pagina Beoordelen en maken te gaan en kies vervolgens Maken.

Bereiktags toewijzen aan andere objecten

Voor objecten die bereiktags ondersteunen, worden bereiktags meestal weergegeven onder Eigenschappen. Als u bijvoorbeeld een bereiktag wilt toewijzen aan een configuratieprofiel, voert u de volgende stappen uit:

  1. Kies in het Microsoft Intune-beheercentrumde optie Apparaten>Configuratie> kies een profiel.

  2. Kies Eigenschappenbereik>(tags)>Bewerken>Bereiktags> selecteren Kies de tags die u aan het profiel wilt toevoegen. U kunt maximaal 100 bereiktags toewijzen aan een object.

  3. Kies Beoordelen>en opslaan selecteren.

Details van bereiktag

Wanneer u met bereiktags werkt, moet u deze details onthouden:

  • U kunt bereiktags toewijzen aan een Intune-objecttype als de tenant meerdere versies van dat object kan hebben (zoals roltoewijzingen of apps). De volgende Intune-objecten zijn uitzonderingen op deze regel en bieden momenteel geen ondersteuning voor bereiktags:
    • Bedrijfsapparaat-id's
    • Autopilot-apparaten
    • Locaties voor apparaatnaleving
    • Jamf-apparaten
  • VPP-apps (Volume Purchase Program) en ebooks die zijn gekoppeld aan het VPP-token, nemen de bereiktags over die zijn toegewezen aan het gekoppelde VPP-token.
  • Wanneer een beheerder een object maakt in Intune, worden alle bereiktags die aan die beheerder zijn toegewezen, automatisch toegewezen aan het nieuwe object.
  • Intune RBAC is niet van toepassing op Microsoft Entra rollen. De rollen Intune-servicebeheerders en globale beheerders hebben dus volledige beheerderstoegang tot Intune, ongeacht de bereiktags die ze hebben.
  • Als een roltoewijzing geen bereiktag heeft, kan die IT-beheerder alle objecten zien op basis van de machtigingen van IT-beheerders. Beheerders die geen bereiktags hebben, hebben in feite alle bereiktags.
  • U kunt alleen een bereiktag toewijzen die u in uw roltoewijzingen hebt.
  • U kunt alleen doelgroepen bereiken die worden vermeld in het bereik (groepen) van uw roltoewijzing.
  • Als u een bereiktag hebt toegewezen aan uw rol, kunt u niet alle bereiktags van een Intune-object verwijderen. Er is ten minste één bereiktag vereist.

Volgende stappen

Meer informatie over hoe bereiktags zich gedragen wanneer er meerdere roltoewijzingen zijn. Uw rollen en profielen beheren.