Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

  • Статья

Вы можете использовать управление доступом на основе ролей и область теги, чтобы убедиться, что правильные администраторы имеют правильный доступ к требуемым объектам Intune и их видимость. Роли определяют, какие администраторы имеют доступ к каким объектам. Теги области определяют, какие объекты могут видеть администраторы.

Например, предположим, что администратор регионального офиса Сиэтла имеет роль диспетчера политик и профилей. Этот администратор должен видеть и управлять только профилями и политиками, которые применяются только к устройствам Сиэтла. Чтобы настроить этот доступ, выполните следующие действия:

  1. Создайте тег область Seattle.
  2. Создайте назначение ролей для роли диспетчера политик и профилей с помощью следующих команд:
    • Участники (группы) = группа безопасности с именем ИТ-администраторы Сиэтла. Все администраторы в этой группе будут иметь разрешение на управление политиками и профилями для пользователей и устройств в области (группы).
    • Scope (Groups) = Группа безопасности с именем Пользователи Сиэтла. Все пользователи или устройства в этой группе могут иметь свои профили и политики, управляемые администраторами в разделе Участники (группы).
    • Scope (Tags) = Seattle. Администраторы в элементе (группы) могут видеть объекты Intune, у которых также есть тег область Seattle.
  3. Добавьте тег область Seattle в политики и профили, к которым должны иметь доступ администраторы в разделе Участники (группы).
  4. Добавьте тег Seattle область на устройства, которые должны отображаться администраторам в разделе Участники (группы).

Тег область по умолчанию

Тег область по умолчанию автоматически добавляется ко всем объектам без тегов, поддерживающим область теги.

Функция тега область по умолчанию аналогична функции областей безопасности в Microsoft Configuration Manager.

Примечание.

При настройке или изменении политик Intune некоторые типы политик могут не отображать страницу конфигурации "Теги области", если для клиента нет настраиваемых область тегов. Если параметр Тег области не отображается, убедитесь, что в дополнение к тегу область по умолчанию определен хотя бы один тег.

Создание тега область

  1. В центре администрирования Microsoft Intune выберите администрирование> клиента. Область ролей>(теги)>Создать.

  2. На странице Основные сведения укажите имя и необязательное описание. Нажмите кнопку Далее.

  3. На странице Назначения выберите группы, содержащие устройства, которым нужно назначить этот тег область. Нажмите кнопку Далее.

  4. На странице Просмотр и создание нажмите кнопку Создать.

    Важно!

    Назначения тегов автоматического область перезаписываются вручную, назначенные область тегами. Если устройству назначено несколько тегов область с помощью назначения группы, будут применены все область теги.

Назначение тега область роли

  1. В центре администрирования Microsoft Intune выберите Администрирование> клиентаРоли>Все роли> выбирают роль >Назначения>.

  2. На странице Основные сведения укажите имя назначения и описание. Нажмите кнопку Далее.

  3. На странице Администратор Группы выберите Добавить группы и выберите нужные группы в рамках этого назначения. Пользователи в этих группах будут иметь разрешения на управление пользователями и устройствами в области (группы). Нажмите кнопку Далее.

    Снимок экрана: выбор групп участников.

  4. На странице Группы области выберите один из следующих параметров для включенных групп:

    • Добавить группы. Выберите группы, содержащие пользователей или устройства, которыми вы хотите управлять. Все пользователи или устройства в выбранных группах будут управляться пользователями в группах Администратор.
    • Добавить всех пользователей. Все пользователи могут управляться пользователями в группах Администратор.
    • Добавить все устройства. Все устройства могут управляться пользователями в группах Администратор.

  5. Нажмите кнопку Далее.

  6. На странице Теги области выберите теги, которые вы хотите добавить к этой роли. Пользователи в группах Администратор получат доступ к объектам Intune с тем же тегом область. Роли можно назначить не более 100 тегов область.

  7. Нажмите кнопку Далее , чтобы перейти на страницу Проверка и создание , а затем нажмите кнопку Создать.

Назначение тегов область другим объектам

Для объектов, поддерживающих теги область, область теги обычно отображаются в разделе Свойства. Например, чтобы назначить тег область профилю конфигурации, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune выберитеКонфигурация>устройств> выберите профиль.

  2. Выберите Свойства>Область (теги)>Изменить>Выберите область теги> выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов область.

  3. Нажмите кнопку Проверить>и сохранить.

Сведения о теге области

При работе с тегами область помните следующие сведения:

  • Вы можете назначить область теги типу объекта Intune, если клиент может иметь несколько версий этого объекта (например, назначения ролей или приложений). Следующие объекты Intune являются исключениями из этого правила и в настоящее время не поддерживают область теги:
    • Идентификаторы корпоративных устройств
    • Устройства Autopilot
    • Расположения соответствия устройств
    • Устройства jamf
  • Приложения и электронные книги программы volume Purchase Program (VPP), связанные с маркером VPP, наследуют теги область, назначенные связанному маркеру VPP.
  • Когда администратор создает объект в Intune, все теги область, назначенные ему, будут автоматически назначены новому объекту.
  • RBAC Intune не применяется к Microsoft Entra ролям. Таким образом, роли администраторов служб Intune и глобальных администраторов имеют полный доступ к Intune независимо от того, какие область теги у них есть.
  • Если назначение роли не имеет тега область, ИТ-администратор может просматривать все объекты на основе разрешений ИТ-администраторов. Администраторы, у которых нет тегов область, по сути, имеют все область теги.
  • Вы можете назначить только тег область, который у вас есть в назначениях ролей.
  • Вы можете ориентироваться только на группы, перечисленные в области (группы) назначения ролей.
  • Если вашей роли назначен тег область, вы не сможете удалить все область теги в объекте Intune. Требуется по крайней мере один тег область.

Дальнейшие действия

Узнайте, как работают теги область при наличии нескольких назначений ролей. Управление ролями и профилями.