Usar o controle de acesso baseado em função (RBAC) e as marcas de escopo da TI distribuída

Você pode usar marcas de escopo e controle de acesso baseado em função para garantir que os administradores certos tenham o acesso e a visibilidade certos para os objetos do Intune corretos. As funções determinam o que os administradores de acesso têm para quais objetos. As marcas de escopo determinam quais objetos os administradores podem ver.

Por exemplo, digamos que um administrador de escritório regional de Seattle tenha a função Gerenciador de Política e Perfil. Você deseja que esse administrador veja e gerencie apenas os perfis e políticas que se aplicam apenas a dispositivos de Seattle. Para configurar esse acesso, você faria:

  1. Crie uma marca de escopo chamada Seattle.
  2. Crie uma atribuição de função para a função Gerenciador de Política e Perfil com:
    • Membros (Grupos) = Um grupo de segurança chamado administradores de IT de Seattle. Todos os administradores deste grupo terão permissão para gerenciar políticas e perfis para usuários/dispositivos no Escopo (Grupos).
    • Escopo (Grupos) = Um grupo de segurança chamado usuários de Seattle. Todos os usuários/dispositivos neste grupo podem ter seus perfis e políticas gerenciados pelos administradores nos Membros (Grupos).
    • Escopo (Marcas) = Seattle. Os administradores no Membro (Grupos) podem ver objetos do Intune que também têm a marca de escopo de Seattle.
  3. Adicione a marca de escopo de Seattle a políticas e perfis aos que você deseja que os administradores em Membros (Grupos) tenham acesso.
  4. Adicione a marca de escopo de Seattle aos dispositivos que você deseja que visíveis aos administradores nos Membros (Grupos).

Marca de escopo padrão

A marca de escopo padrão é automaticamente adicionada a todos os objetos não marcados que suportam marcas de escopo.

O recurso de marca de escopo padrão é semelhante ao recurso de escopos de segurança no Microsoft Endpoint Configuration Manager.

Para criar uma marca de escopo

  1. No centro de Microsoft Endpoint Manager de administração,escolha Escopode Funções de administração de > **** > locatário (Marcas) > Criar.
  2. Na página Noções Básicas, forneça um Nome e Uma Descrição opcional. Escolha Avançar.
  3. Na página Atribuições, escolha os grupos que contêm os dispositivos que você deseja atribuir essa marca de escopo. Escolha Avançar.
  4. Na página Revisar + criar, escolha Criar.

Para atribuir uma marca de escopo a uma função

  1. No centro de Microsoft Endpoint Manager deadministração, escolha Funçõesde administração de locatário Todas as funções > escolher uma função > > **** > **** atribuições > atribuir.

  2. Na página Noções Básicas, forneça um nome de atribuição e Descrição. Escolha Avançar.

  3. Na página Grupos de Administração, escolha Selecionar grupospara incluir e selecione os grupos que você deseja como parte dessa atribuição. Os usuários nesse grupo terão permissões para gerenciar usuários/dispositivos no Escopo (Grupos). Escolha Avançar.

    Captura de tela de grupos de membros selecionados.

  4. Na página Grupos de Escopo, selecione uma das seguintes opções para Atribuir a

    • Grupos selecionados: selecione os grupos que contêm os usuários/deivces que você deseja gerenciar. Todos os usuários/dispositivos nos grupos selecionados serão gerenciados pelos usuários nos Grupos de Administração.
    • Todos osusuários : Todos os usuários podem ser gerenciados pelos usuários nos Grupos de Administração.
    • Todos osdispositivos : todos os dispositivos podem ser gerenciados pelos usuários nos Grupos de Administração.
    • Todos os usuários e todos os dispositivos: Todos os usuários e dispositivos podem ser gerenciados pelos usuários nos Grupos de Administração.
  5. Escolha Próximo

  6. Na página Marcas de escopo, selecione as marcas que você deseja adicionar a essa função. Os usuários nos Grupos de Administração terão acesso a objetos do Intune que também têm a mesma marca de escopo. Você pode atribuir no máximo 100 marcas de escopo a uma função.

  7. Escolha Próximo para ir para a página Revisar + criar e, em seguida, escolha Criar.

Atribuir marcas de escopo a outros objetos

Para objetos que suportam marcas de escopo, as marcas de escopo geralmente aparecem em Propriedades. Por exemplo, para atribuir uma marca de escopo a um perfil de configuração, siga estas etapas:

  1. No centro de Microsoft Endpoint Manager de administração,escolha Perfisde Configuração de > **** Dispositivos > escolher um perfil.

  2. Escolha Escopo dePropriedades > (Marcas) Editar Marque marcas > **** > de escopo > escolha as marcas que você deseja adicionar ao perfil. Você pode atribuir no máximo 100 marcas de escopo a um objeto.

  3. Escolha Selecionar > Revisão + salvar.

Detalhes da marca de escopo

Ao trabalhar com marcas de escopo, lembre-se desses detalhes:

  • Você pode atribuir marcas de escopo a um tipo de objeto do Intune se o locatário puder ter várias versões desse objeto (como atribuições de função ou aplicativos). Os seguintes objetos do Intune são exceções a essa regra e não suportam atualmente marcas de escopo:
    • Corp Device Identifiers
    • Dispositivos autopilot
    • Locais de conformidade do dispositivo
    • Dispositivos Jamf
  • Os aplicativos e os ebooks VPP associados ao token VPP herdam as marcas de escopo atribuídas ao token VPP associado.
  • Quando um administrador cria um objeto no Intune, todas as marcas de escopo atribuídas a esse administrador serão atribuídas automaticamente ao novo objeto.
  • O RBAC do Intune não se aplica Azure Active Directory funções. Assim, as funções Administradores de Serviço e Administradores Globais do Intune têm acesso total ao Administrador do Intune, independentemente das marcas de escopo que eles têm.
  • Se uma atribuição de função não tiver uma marca de escopo, o administrador de IT poderá ver todos os objetos com base nas permissões de administradores de IT. Os administradores que não têm marcas de escopo têm essencialmente todas as marcas de escopo.
  • Você só pode atribuir uma marca de escopo que você tem em suas atribuições de função.
  • Você só pode direcionar grupos listados no Escopo (Grupos) da atribuição de função.
  • Se você tiver uma marca de escopo atribuída à sua função, não será possível excluir todas as marcas de escopo em um objeto Intune. Pelo menos uma marca de escopo é necessária.

Próximas etapas

Saiba como as marcas de escopo se comportam quando há várias atribuições de função. Gerencie suas funções e perfis.