Używanie kontroli dostępu opartej na rolach i tagów zakresu w rozproszonej infrastrukturze informatycznejUse role-based access control (RBAC) and scope tags for distributed IT

Za pomocą kontroli dostępu opartej na rolach i tagów zakresu możesz upewnić się, że odpowiedni administratorzy mają właściwe uprawnienia dostępu i wgląd we właściwe obiekty usługi Intune.You can use role-based access control and scope tags to make sure that the right admins have the right access and visibility to the right Intune objects. Role określają dostęp, jaki administratorzy mają do poszczególnych obiektów.Roles determine what access admins have to which objects. Tagi zakresu określają obiekty widoczne dla administratorów.Scope tags determine which objects admins can see.

Na przykład załóżmy, że administrator biura regionalnego w Seattle ma przypisaną rolę Menedżer zasad i profilów.For example, let's say a Seattle regional office admin has the Policy and Profile Manager role. Chcesz, aby ten administrator widział tylko profile i zasady dotyczące urządzeń z Seattle oraz tylko nimi mógł zarządzać.You want this admin to see and manage only the profiles and policies that only apply to Seattle devices. W celu skonfigurowania tego dostępu:To set up this access, you would:

  1. Utwórz tag zakresu o nazwie Seattle.Create a scope tag called Seattle.
  2. Utwórz przypisanie roli dla roli Menedżer zasad i profilów z następującymi elementami:Create a role assignment for the Policy and Profile Manager role with:
    • Członkowie (grupy) = grupa zabezpieczeń o nazwie Administratorzy IT Seattle.Members (Groups) = A security group named Seattle IT admins. Wszyscy administratorzy w tej grupie mają uprawnienia do zarządzania zasadami i profilami użytkowników/urządzeń w grupie Zakres (grupy).All admins in this group will have permission to manage policies and profiles for users/devices in the Scope (Groups).
    • Zakres (grupy) = grupa zabezpieczeń o nazwie Użytkownicy Seattle.Scope (Groups) = A security group named Seattle users. Profilami i zasadami wszystkich użytkowników/urządzeń w tej grupie mogą zarządzać administratorzy z grupy Członkowie (grupy).All users/devices in this group can have their profiles and policies managed by the admins in the Members (Groups).
    • Zakres (tagi) = Seattle.Scope (Tags) = Seattle. Administratorzy z grupy Członkowie (grupy) widzą obiekty usługi Intune, które mają również tag zakresu Seattle.Admins in the Member (Groups) can see Intune objects that also have the Seattle scope tag.
  3. Dodaj tag zakresu Seattle do zasad i profilów, do których mają mieć dostęp administratorzy z grupy Członkowie (grupy).Add the Seattle scope tag to policies and profiles that you want admins in Members (Groups) to have access to.
  4. Dodaj tag zakresu Seattle do urządzeń, które mają być widoczne dla administratorów z grupy Członkowie (grupy).Add the Seattle scope tag to devices that you want visible to admins in the Members (Groups).

Domyślny tag zakresuDefault scope tag

Domyślny tag zakresu zostanie automatycznie dodany do wszystkich nieotagowanych obiektów, które obsługują tagi zakresu.The default scope tag is automatically added to all untagged objects that support scope tags.

Funkcja domyślnego tagu zakresu jest podobna do funkcji zakresów zabezpieczeń w programie Microsoft Endpoint Configuration Manager.The default scope tag feature is similar to the security scopes feature in Microsoft Endpoint Configuration Manager.

Aby utworzyć tag zakresuTo create a scope tag

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Administracja dzierżawą > Role > Zakres (tagi) > Utwórz.In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > Scope (Tags) > Create.
  2. Na stronie Podstawowe podaj nazwę i opcjonalnie opis.On the Basics page, provide a Name and optional Description. Wybierz pozycję Next (Dalej).Choose Next.
  3. Na stronie Przypisania wybierz grupy zawierające urządzenia, do których chcesz przypisać ten tag zakresu.On the Assignments page, choose the groups containing the devices that you want to assign this scope tag. Wybierz pozycję Next (Dalej).Choose Next.
  4. Na stronie Przeglądanie + tworzenie wybierz pozycję Utwórz.On the Review + create page, choose Create.

Aby przypisać tag zakresu do roliTo assign a scope tag to a role

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Administracja dzierżawą > Role > Wszystkie role > wybierz rolę > Przypisania > Przypisz.In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > All roles > choose a role > Assignments > Assign.

  2. Na stronie Podstawowe podaj nazwę przypisania i opis.On the Basics page, provide an Assignment name and Description. Wybierz pozycję Next (Dalej).Choose Next.

  3. Na stronie Grupy administratorów wybierz pozycję Wybierz grupy do uwzględnienia, a następnie wybierz grupy, które mają być częścią tego przypisania.On the Admin Groups page, choose Select groups to include, and select the groups that you want as part of this assignment. Użytkownicy w tej grupie będą mieli uprawnienia do zarządzania użytkownikami/urządzeniami w grupie Zakres (grupy).Users in these group will have permissions to manage users/devices in the Scope (Groups). Wybierz pozycję Next (Dalej).Choose Next.

    Zrzut ekranu przedstawiający wybieranie grup członków.

  4. Na stronie Grupy zakresów wybierz jedną z następujących opcji przypisywaniaOn the Scope Groups page, select one of the following options for Assign to

    • Wybrane grupy: wybierz grupy zawierające użytkowników/urządzenia, którymi chcesz zarządzać.Selected groups: select the groups containing the users/deivces that you want to manage. Wszyscy użytkownicy/wszystkie urządzenia w wybranych grupach będą zarządzane przez użytkowników z grup administratorów.All users/devices in the selected groups will be managed by the users in the Admin Groups.
    • Wszyscy użytkownicy: Wszyscy użytkownicy mogą być zarządzani przez użytkowników z grup administratorów.All users: All users can be managed by the users in the Admin Groups.
    • Wszystkie urządzenia: Wszystkie urządzenia mogą być zarządzane przez użytkowników z grup administratorów.All devices: All devices can be managed by the users in the Admin Groups.
    • Wszyscy użytkownicy i wszystkie urządzenia: Wszyscy użytkownicy i wszystkie urządzenia mogą być zarządzane przez użytkowników z grup administratorów.All users and all devices: All users and devices can be managed by the users in the Admin Groups.
  5. Wybierz pozycję Dalej.Choose Next

  6. Na stronie Tagi zakresu wybierz tagi, które chcesz dodać do tej roli.On the Scope tags page, select the tags that you want to add to this role. Użytkownicy z grup administratorów będą mieli dostęp do obiektów usługi Intune, które mają też ten sam tagu zakresu.Users in the Admin Groups will have access to Intune objects that also have the same scope tag. Do roli można przypisać maksymalnie 100 tagów zakresu.You can assign a maximum of 100 scope tags to a role.

  7. Wybierz pozycję Dalej, aby przejść do strony Przeglądanie i tworzenie, a następnie wybierz pozycję Utwórz.Choose Next to go to the Review + create page and then choose Create.

Przypisywanie tagów zakresu do innych obiektówAssign scope tags to other objects

W przypadku obiektów, które obsługują tagi zakresu, tagi zakresu są zwykle wyświetlane w obszarze Właściwości.For objects that support scope tags, scope tags usually appear under Properties. Na przykład aby przypisać tag zakresu do profilu konfiguracji, wykonaj następujące kroki:For example, to assign a scope tag to a configuration profile, follow these steps:

  1. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Urządzenia > Profile konfiguracji > wybierz profil.In the Microsoft Endpoint Manager admin center, choose Devices > Configuration profiles > choose a profile.

  2. Wybierz pozycję Właściwości > Zakres (tagi) > Edytuj > Wybierz tagi zakresu > wybierz tagi, które chcesz dodać do profilu.Choose Properties > Scope (Tags) > Edit > Select scope tags > choose the tags that you want to add to the profile. Do obiektu można przypisać maksymalnie 100 tagów zakresu.You can assign a maximum of 100 scope tags to an object.

  3. Wybierz pozycję Wybierz > Przejrzyj i zapisz.Choose Select > Review + save.

Szczegóły tagu zakresuScope tag details

Podczas pracy z tagami zakresu należy pamiętać o następujących szczegółach:When working with scope tags, remember these details:

  • Tagi zakresu można przypisać do typu obiektu usługi Intune, jeśli dzierżawa może mieć wiele wersji tego obiektu (na przykład przydziały ról lub aplikacje).You can assign scope tags to an Intune object type if the tenant can have multiple versions of that object (such as role assignments or apps). Następujące obiekty usługi Intune są wyjątkami od tej reguły i nie obsługują obecnie tagów zakresu:The following Intune objects are exceptions to this rule and don't currently support scope tags:
    • Profile strony ze stanem rejestracji systemu WindowsWindows ESP profiles
    • Identyfikatory urządzeń firmowychCorp Device Identifiers
    • Urządzenia rozwiązania AutopilotAutopilot Devices
    • Lokalizacje zgodności urządzeńDevice compliance locations
    • Urządzenia JamfJamf devices
  • Aplikacje programu VPP i książki elektroniczne skojarzone z tokenem VPP dziedziczą tagi zakresu przypisane do skojarzonego tokenu VPP.VPP apps and ebooks associated with the VPP token inherit the scope tags assigned to the associated VPP token.
  • Gdy administrator utworzy obiekt w usłudze Intune, wszelkie tagi zakresu przypisane do tego administratora zostaną automatycznie przypisane do tego nowego obiektu.When an admin creates an object in Intune, all scope tags assigned to that admin will be automatically assigned to the new object.
  • Kontrola dostępu oparta na rolach usługi Intune nie ma zastosowania do ról usługi Azure Active Directory.Intune RBAC doesn't apply to Azure Active Directory roles. W związku z tym role administratorów usługi Intune i administratorów globalnych mają pełny dostęp administracyjny do usługi Intune niezależnie od tego, jakie mają tagi zakresu.So, the Intune Service Admins and Global Admins roles have full admin access to Intune no matter what scope tags they have.
  • Jeśli przypisanie roli nie zawiera tagu zakresu, administrator IT może zobaczyć wszystkie obiekty w oparciu o uprawnienia administratorów IT.If a role assignment has no scope tag, that IT admin can see all objects based on the IT admins permissions. Administratorzy, którzy nie mają tagów zakresu, zasadniczo mają wszystkie tagi zakresu.Admins that have no scope tags essentially have all scope tags.
  • Możesz przypisywać tylko tag zakresu, który masz w swoim przypisaniu roli.You can only assign a scope tag that you have in your role assignments.
  • Jako grup docelowych możesz używać tylko grup wymienionych w grupie Zakres (grupy) Twojego przypisania roli.You can only target groups that are listed in the Scope (Groups) of your role assignment.
  • Jeśli do Twojej roli jest przypisany tag zakresu, nie możesz usunąć wszystkich tagów zakresu przypisanych do obiektu usługi Intune.If you have a scope tag assigned to your role, you can't delete all scope tags on an Intune object. Wymagany jest co najmniej jeden dodatkowy tag zakresu.At least one scope tag is required.

Następne krokiNext steps

Dowiedz się, jak działają tagi zakresu, gdy istnieje wiele przypisań ról.Learn how scope tags behave when there are multiple role assignments. Zarządzanie własnymi rolami i profilami.Manage your roles and profiles.