Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz
Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a szükséges Intune objektumokhoz. A szerepkörök határozzák meg, hogy mely objektumokhoz milyen hozzáférési rendszergazdák férhetnek hozzá. A hatókörcímkék határozzák meg, hogy a rendszergazdák mely objektumokat láthatják.
Tegyük fel például, hogy egy seattle-i regionális iroda rendszergazdája rendelkezik a Házirend és a Profilkezelő szerepkörrel. Azt szeretné, hogy ez a rendszergazda csak azokat a profilokat és szabályzatokat lássa és kezelje, amelyek csak a seattle-i eszközökre vonatkoznak. A hozzáférés beállításához a következőt kell tenni:
- Hozzon létre egy Seattle nevű hatókörcímkét.
- Hozzon létre egy szerepkör-hozzárendelést a Policy és a Profile Manager szerepkörhöz a következőkkel:
- Tagok (csoportok) = Seattle-i informatikai rendszergazdák nevű biztonsági csoport. A csoport összes rendszergazdája jogosult a hatókörben (csoportokban) lévő felhasználók/eszközök szabályzatainak és profiljainak kezelésére.
- Scope (Groups) = Seattle users (Seattle-felhasználók) nevű biztonsági csoport. A csoport összes felhasználója/eszköze rendelkezhet a tagok (csoportok) rendszergazdái által kezelt profilokkal és szabályzatokkal.
- Scope (Tags) = Seattle. A tag (csoportok) rendszergazdái láthatják Intune olyan objektumokat, amelyek seattle-i hatókörcímkével is rendelkeznek.
- Adja hozzá a Seattle-hatókör címkét azokhoz a szabályzatokhoz és profilokhoz, amelyekhez hozzáférést szeretne biztosítani a tagok (csoportok) rendszergazdáinak.
- Adja hozzá a Seattle-hatókör címkét azokhoz az eszközökhöz, amelyeket látni szeretne a tagok (csoportok) rendszergazdái számára.
Alapértelmezett hatókörcímke
A rendszer automatikusan hozzáadja az alapértelmezett hatókörcímkét minden olyan címkézetlen objektumhoz, amely támogatja a hatókörcímkéket.
Az alapértelmezett hatókörcímke-funkció hasonló az Microsoft Configuration Manager biztonsági hatókörök szolgáltatásához.
Megjegyzés:
Intune házirendek konfigurálásakor vagy szerkesztésekor előfordulhat, hogy egyes szabályzattípusok nem jelenítik meg a Hatókörcímkék konfigurációs lapot, ha nincsenek egyéni hatókörcímkék a bérlőhöz. Ha nem látja a Hatókörcímke beállítást, győződjön meg arról, hogy az alapértelmezett hatókörcímke mellett legalább egy címke meg van határozva.
Hatókörcímke létrehozása
Hatókörcímkék létrehozásához, frissítéséhez vagy törléséhez globális rendszergazdai vagy Intune rendszergazdai Entra-azonosító szerepkörrel rendelkező rendszergazdára van szükség. A szerepkör-hozzárendelésben hatókörcímkével rendelkező rendszergazdák nem frissíthetik vagy törölhetik a hatókörcímkéket a hatókörcímkék főlistájából.
A Microsoft Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök hatóköre>(címkék)>Létrehozás lehetőséget.
Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális leírást. Válassza a Tovább gombot.
A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek a hatókörcímkéhez hozzárendelni kívánt eszközöket tartalmazzák. Válassza a Tovább gombot.
A Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget.
Fontos
Az automatikus hatókörcímkék hozzárendelései felülírják a manuálisan hozzárendelt hatókörcímkéket. Ha egy eszközhöz több hatókörcímke van hozzárendelve csoporthozzárendelésen keresztül, az összes hatókörcímke érvényes.
Hatókörcímke hozzárendelése szerepkörhöz
A Microsoft Intune Felügyeleti központban válassza a Bérlői felügyeleti>szerepkörök>Minden szerepkör> szerepkör hozzárendelése> szerepkört>.
Az Alapvető beállítások lapon adja meg a hozzárendelés nevét és leírását. Válassza a Tovább gombot.
A Rendszergazda Csoportok lapon válassza a Csoportok hozzáadása lehetőséget, és válassza ki a hozzárendelés részeként használni kívánt csoportokat. Az ezekben a csoportokban lévő felhasználók a hatókörben (csoportokban) kezelhetik a felhasználókat/eszközöket. Válassza a Tovább gombot.
A Hatókörcsoportok lapon válassza az alábbi lehetőségek egyikét a Belefoglalt csoportokhoz:
- Csoportok hozzáadása: Válassza ki a kezelni kívánt felhasználókat/eszközöket tartalmazó csoportokat. A kiválasztott csoportokban lévő összes felhasználót/eszközt a Rendszergazda-csoportok felhasználói kezelik.
- Minden felhasználó hozzáadása: A Rendszergazda csoportok felhasználói az összes felhasználót kezelhetik.
- Minden eszköz hozzáadása: A Rendszergazda csoportok felhasználói az összes eszközt kezelhetik.
Válassza a Tovább gombot
A Hatókörcímkék lapon válassza ki a szerepkörhöz hozzáadni kívánt címkéket. A Rendszergazda csoportok felhasználói hozzáférhetnek Intune olyan objektumokhoz, amelyek hatókörcímkéje is azonos. Egy szerepkörhöz legfeljebb 100 hatókörcímkét rendelhet.
A Tovább gombot választva lépjen a Véleményezés + létrehozás lapra, majd válassza a Létrehozás lehetőséget.
Hatókörcímkék hozzárendelése más objektumokhoz
A hatókörcímkéket támogató objektumok esetében a hatókörcímkék általában a Tulajdonságok területen jelennek meg. Ha például hatókörcímkét szeretne hozzárendelni egy konfigurációs profilhoz, kövesse az alábbi lépéseket:
A Microsoft Intune Felügyeleti központban válassza az Eszközök>kezelése Eszközök>konfigurációja> lehetőséget, és válasszon egy profilt.
Válassza a Tulajdonságok>hatóköre (Címkék)>Szerkesztés>Hatókörcímkék> kiválasztása lehetőséget, és válassza ki a profilhoz hozzáadni kívánt címkéket. Egy objektumhoz legfeljebb 100 hatókörcímkét rendelhet.
Válassza azÁttekintés és mentéskiválasztása lehetőséget>.
Hatókörcímke részletei
A hatókörcímkék használatakor jegyezze meg ezeket a részleteket:
- Hatókörcímkéket hozzárendelhet egy Intune objektumtípushoz, ha a bérlő az objektum több verziójával (például szerepkör-hozzárendelésekkel vagy alkalmazásokkal) rendelkezhet.
A következő Intune objektumok kivételt képeznek a szabály alól, és jelenleg nem támogatják a hatókörcímkéket:
- Vállalati eszközazonosítók
- Autopilot-eszközök
- Eszközmegfelelési helyek
- Jamf-eszközök
- A VPP-jogkivonathoz társított Mennyiségi vásárlási program (VPP) alkalmazásai és ebookjai öröklik a társított VPP-jogkivonathoz rendelt hatókörcímkéket.
- Amikor egy rendszergazda létrehoz egy objektumot Intune, a rendszer automatikusan hozzárendeli a rendszergazdához rendelt összes hatókörcímkét az új objektumhoz.
- Intune RBAC nem vonatkozik Microsoft Entra szerepkörökre. Így a Intune szolgáltatás-rendszergazdák és a globális rendszergazdák szerepkörök teljes rendszergazdai hozzáféréssel rendelkeznek a Intune, függetlenül attól, hogy milyen hatókörcímkékkel rendelkeznek.
- Ha egy szerepkör-hozzárendelés nem rendelkezik hatókörcímkével, az informatikai rendszergazda az informatikai rendszergazdák engedélyei alapján láthatja az összes objektumot. Azok a rendszergazdák, amelyek nem rendelkeznek hatókörcímkékkel, lényegében minden hatókörcímkével rendelkeznek.
- Csak a szerepkör-hozzárendelésekben szereplő hatókörcímkét rendelheti hozzá.
- Csak a szerepkör-hozzárendelés hatókörében (csoportjaiban) felsorolt célcsoportokat célozhatja meg.
- Ha a szerepkörhöz hatókörcímke van hozzárendelve, nem törölheti az összes hatókörcímkét egy Intune objektumon. Legalább egy hatókörcímke szükséges.
Következő lépések
Megtudhatja, hogyan viselkednek a hatókörcímkék több szerepkör-hozzárendelés esetén. A szerepkörök és profilok kezelése.