Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Вы можете использовать управление доступом на основе ролей и теги области, чтобы убедиться, что правильные администраторы имеют правильный доступ и видимость для правильных объектов Intune. Роли определяют, какие администраторы доступа имеют к каким объектам. Теги области определяют, какие объекты могут видеть администраторы.

Например, предположим, что администратор региональных офисов Сиэтла имеет роль диспетчера политик и профилей. Вы хотите, чтобы этот администратор отображал и управляет только профилями и политиками, которые применяются только к устройствам Сиэтла. Чтобы настроить этот доступ, выполните следующие действия.

  1. Создайте тег области с именем Seattle.
  2. Создайте назначение роли для роли диспетчера политик и профилей с помощью:
    • Members (Groups) = A security group named Seattle IT admins. Все администраторы в этой группе будут иметь разрешение на управление политиками и профилями для пользователей и устройств в области (группы).
    • Scope (Groups) = группа безопасности с именем Seattle users. Все пользователи и устройства в этой группе могут иметь свои профили и политики, управляемые администраторами в группах (members).
    • Scope (Tags) = Seattle. Администраторы в элементе (группах) могут видеть объекты Intune, которые также имеют тег области Seattle.
  3. Добавьте тег области Seattle к политикам и профилям, к которым администраторы в группах должны иметь доступ.
  4. Добавьте тег области Seattle на устройства, которые должны быть видны администраторам в элементах (группах).

Тег области по умолчанию

Тег области по умолчанию автоматически добавляется ко всем объектам без тегов, поддерживающих теги области.

Функция тега области по умолчанию аналогична функции областей безопасности в Microsoft Endpoint Configuration Manager.

Создание тега области

  1. В Центре администрирования Microsoft Endpoint Manager выберите "Создать > > область ролей администрирования клиента (теги) > ".
  2. На странице "Основные сведения " укажите имя и необязательное описание. Нажмите кнопку Далее.
  3. На странице "Назначения " выберите группы, содержащие устройства, которым необходимо назначить этот тег области. Нажмите кнопку Далее.
  4. На странице "Просмотр и создание " нажмите кнопку "Создать".

Назначение тега области роли

  1. В Центре администрирования Microsoft Endpoint Manager > > выберите роли администрирования клиента для > роли, > назначения > .

  2. На странице "Основные сведения" укажите имя и описание назначения. Нажмите кнопку Далее.

  3. На странице "Группы администраторов " выберите "Добавить группы" и выберите нужные группы в рамках этого назначения. Пользователи в этих группах будут иметь разрешения на управление пользователями и устройствами в области (группах). Нажмите кнопку Далее.

    Снимок экрана: выбор групп участников.

  4. На странице "Группы областей " выберите один из следующих параметров для включенных групп:

    • Добавление групп: выберите группы, содержащие пользователей или устройства, которыми вы хотите управлять. Все пользователи и устройства в выбранных группах будут управляться пользователями в группах администраторов.
    • Добавить всех пользователей: все пользователи могут управляться пользователями в группах администраторов.
    • Добавить все устройства: все устройства могут управляться пользователями в группах администраторов.
  5. Нажмите кнопку Далее.

  6. На странице Теги области выберите теги, которые вы хотите добавить к этой роли. Пользователи в группах администраторов будут иметь доступ к объектам Intune с одинаковым тегом области. Роли можно назначить не более 100 тегов области.

  7. Нажмите кнопку " Далее", чтобы перейти на страницу просмотра и создания , а затем нажмите кнопку "Создать".

Назначение тегов области другим объектам

Для объектов, поддерживающих теги области, теги области обычно отображаются в разделе "Свойства". Например, чтобы назначить тег области для профиля конфигурации, выполните следующие действия.

  1. В Центре администрирования Microsoft Endpoint Manager > выберите профили конфигурации устройств, > выбрать профиль.

  2. Выберите область свойств > (теги) > Изменить > теги области > выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов области.

  3. Нажмите кнопку "Проверить > и сохранить".

Сведения о теге области

При работе с тегами области помните следующие сведения:

  • Теги области можно назначить типу объекта Intune, если клиент может иметь несколько версий этого объекта (например, назначения ролей или приложения). Следующие объекты Intune являются исключениями из этого правила и в настоящее время не поддерживают теги области:
    • Идентификаторы устройств Corp
    • Устройства Autopilot
    • Расположения соответствия устройств
    • Устройства Jamf
  • Приложения и книги программы volume Purchase Program (VPP), связанные с маркером VPP, наследуют теги области, назначенные связанному токену VPP.
  • Когда администратор создает объект в Intune, все назначенные администратору теги области будут автоматически назначены новому объекту.
  • Intune RBAC не применяется к ролям Azure Active Directory. Таким образом, роли "Администраторы служб Intune" и "Глобальные администраторы" имеют полный административный доступ к Intune независимо от того, какие теги области у них есть.
  • Если назначение роли не имеет тега области, ИТ-администратор может просматривать все объекты на основе разрешений ИТ-администраторов. Администраторы, у которых нет тегов области, по сути, имеют все теги области.
  • Можно назначить только тег области, который имеется в назначениях ролей.
  • Целевые группы, перечисленные в области (группах) назначения роли, можно использовать только для целевых групп.
  • Если для роли назначен тег области, удалить все теги области в объекте Intune невозможно. Требуется по крайней мере один тег области.

Дальнейшие действия

Узнайте, как работают теги области при наличии нескольких назначений ролей. Управление ролями и профилями.