請參閱針對分散式 IT 使用角色型存取控制 (RBAC) 和範圍標籤

您可以使用以角色為基礎的存取控制和範圍標籤,確定適當的系統管理員具備正確的存取權和對右側 Intune 物件的可見度。 角色決定系統管理員對哪些物件所擁有的許可權。 範圍標記決定系統管理員可以查看的物件。

例如,假設西雅圖地區的 office 系統管理員具備 [原則] 和 [設定檔管理員] 角色。 您希望此系統管理員只會看到及管理只適用于西雅圖裝置的設定檔和原則。 若要設定此存取,您可以:

  1. 建立名為「西雅圖」的範圍標記。
  2. 使用下列專案為 Policy 和 Profile 管理員角色建立角色指派:
    • Members (群組) = 名為「西雅圖 IT 系統管理員」的安全性群組。 此群組中的所有系統管理員都有權在範圍 (群組) 中管理使用者/裝置的原則及設定檔。
    • 範圍 (群組) = 名為「西雅圖使用者」的安全性群組。 這個群組中的所有使用者/裝置都可以在 Members (群組) 中,由系統管理員所管理的設定檔和原則。
    • 範圍 (標記) = 西雅圖。 「成員 (群組) 中的系統管理員可以查看也具有「西雅圖範圍」標記的 Intune 物件。
  3. 將 [西雅圖範圍] 標籤新增至您想要系統管理員成員 (群組中的 [成員]) 能夠存取的原則和設定檔。
  4. 將 [西雅圖範圍] 標記新增至您想要在 [成員 (群組) 中對系統管理員顯示的裝置。

預設範圍標記

預設範圍標記會自動新增至所有支援範圍標籤的未加標籤的物件。

預設範圍標記功能類似 Microsoft Endpoint Configuration Manager 中的安全性範圍功能。

建立範圍標記

  1. Microsoft 端點管理員系統管理中心,選擇 [租使用者管理 > 角色 > 範圍 ( 標籤]) > 建立]。
  2. 在 [ 基本 ] 頁面上,提供 名稱 和選用 描述。 選擇 [下一步]
  3. 在 [ 工作分派 ] 頁面上,選擇包含您要指派此範圍標記之裝置的群組。 選擇 [下一步]
  4. 在 [ 複查 + 建立 ] 頁面上,選擇 [ 建立]。

將範圍標籤指派給角色

  1. Microsoft 端點管理員系統管理中心 ,選擇 [ > > 所有角色] > 選擇角色 >指派 > 指派]。

  2. 在 [ 基本 ] 頁面上,提供 工作分派名稱描述。 選擇 [下一步]

  3. 在 [系統 管理群組 ] 頁面上,選擇 [ 選取要包含的群組],然後選取您要做為此指派一部分的群組。 這些群組中的使用者將擁有管理範圍 (群組) 中的使用者/裝置的許可權。 選擇 [下一步]

    選取成員群組的螢幕擷取畫面。

  4. 在 [ 範圍群組 ] 頁面上,選取下列其中一個選項供 指派給

    • 選取的群組:選取包含您想要管理之使用者/deivces 的群組。 所選群組中的所有使用者/裝置都會由系統管理員群組中的使用者進行管理。
    • 所有使用者:可由系統管理員群組中的使用者管理所有使用者。
    • 所有裝置:所有裝置都可以由系統管理員群組中的使用者進行管理。
    • 所有使用者和所有裝置:您可以由系統管理員群組中的使用者管理所有使用者和裝置。
  5. 選擇 [下一步]

  6. 範圍標籤 頁面上,選取您要新增至此角色的標籤。 系統管理員群組中的使用者將可以存取同時具有相同範圍標記的 Intune 物件。 您最多可以將100範圍標記指派給一個角色。

  7. 選擇 [ 下一步] 移至 [ 審閱 + 建立 ] 頁面,然後選擇 [ 建立]。

將範圍標記指派給其他物件

對於支援範圍標記的物件,範圍標記通常會出現在 [ 屬性] 底下。 例如,若要將範圍標記指派給設定設定檔,請遵循下列步驟:

  1. Microsoft 端點管理員系統管理中心,選擇 [裝置 > 設定檔> 選擇設定檔]。

  2. 選擇 [ 內容 > 範圍 (標記]) > [編輯 > 選取範圍 標籤] > 選擇您想要新增至設定檔的標記。 您最多可以將100範圍標記指派給物件。

  3. 選擇 [選取 > 審閱 + 儲存]。

範圍標記詳細資料

使用範圍標記時,請記住下列詳細資料:

  • 若租使用者可以擁有該物件的多個版本 (例如角色指派或應用程式) ,您可以將範圍標記指派給 Intune 物件類型。 下列 Intune 物件是此規則的例外狀況,目前不支援範圍標記:
    • Corp 裝置識別碼
    • Autopilot 裝置
    • 裝置合規性位置
    • Jamf 裝置
  • 與 VPP 權杖相關聯的 VPP 應用程式和 ebooks,會繼承指派給相關聯的 VPP 權杖的範圍標記。
  • 當系統管理員在 Intune 中建立物件時,指定給該系統管理員的所有範圍標籤都會自動指派給新的物件。
  • Intune RBAC 不適用於 Azure Active Directory 角色。 因此,Intune Service Admins 和全域系統管理員角色具有 Intune 的完整系統管理員存取權,不論它們有哪些範圍標記。
  • 如果角色指派沒有範圍標籤,則其系統管理員可以查看所有以 IT 系統管理員許可權為基礎的物件。 沒有範圍標記的系統管理員基本上具有所有範圍標記。
  • 您只可以指派您在角色指派中所具備的範圍標記。
  • 您只能以角色指派的範圍 (群組) 列出所列的目標群組。
  • 如果您已將範圍標籤指派給您的角色,您就無法刪除 Intune 物件上的所有範圍標記。 至少需要一個範圍標記。

後續步驟

瞭解在有 多個角色指派時範圍標籤的行為方式。 管理您的 角色設定檔