Megosztás a következőn keresztül:

Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz

  • Cikk

Szerepköralapú hozzáférés-vezérlési és hatókörcímkék használatával gondoskodhat arról, hogy a megfelelő rendszergazdák a megfelelő hozzáféréssel és láthatóságmal rendelkezzenek a szükséges Intune objektumokhoz. A szerepkörök határozzák meg, hogy mely objektumokhoz milyen hozzáférési rendszergazdák férhetnek hozzá. A hatókörcímkék határozzák meg, hogy a rendszergazdák mely objektumokat láthatják.

Tegyük fel például, hogy egy seattle-i regionális iroda rendszergazdája rendelkezik a Házirend és a Profilkezelő szerepkörrel. Azt szeretné, hogy ez a rendszergazda csak azokat a profilokat és szabályzatokat lássa és kezelje, amelyek csak a seattle-i eszközökre vonatkoznak. A hozzáférés beállításához a következőt kell tenni:

  1. Hozzon létre egy Seattle nevű hatókörcímkét.
  2. Hozzon létre egy szerepkör-hozzárendelést a Policy és a Profile Manager szerepkörhöz a következőkkel:
    • Tagok (csoportok) = Seattle-i informatikai rendszergazdák nevű biztonsági csoport. A csoport összes rendszergazdája jogosult a hatókörben (csoportokban) lévő felhasználók/eszközök szabályzatainak és profiljainak kezelésére.
    • Scope (Groups) = Seattle users (Seattle-felhasználók) nevű biztonsági csoport. A csoport összes felhasználója/eszköze rendelkezhet a tagok (csoportok) rendszergazdái által kezelt profilokkal és szabályzatokkal.
    • Scope (Tags) = Seattle. A tag (csoportok) rendszergazdái láthatják Intune olyan objektumokat, amelyek seattle-i hatókörcímkével is rendelkeznek.
  3. Adja hozzá a Seattle-hatókör címkét azokhoz a szabályzatokhoz és profilokhoz, amelyekhez hozzáférést szeretne biztosítani a tagok (csoportok) rendszergazdáinak.
  4. Adja hozzá a Seattle-hatókör címkét azokhoz az eszközökhöz, amelyeket látni szeretne a tagok (csoportok) rendszergazdái számára.

Alapértelmezett hatókörcímke

A rendszer automatikusan hozzáadja az alapértelmezett hatókörcímkét minden olyan címkézetlen objektumhoz, amely támogatja a hatókörcímkéket.

Az alapértelmezett hatókörcímke-funkció hasonló az Microsoft Configuration Manager biztonsági hatókörök szolgáltatásához.

Megjegyzés:

Intune házirendek konfigurálásakor vagy szerkesztésekor előfordulhat, hogy egyes szabályzattípusok nem jelenítik meg a Hatókörcímkék konfigurációs lapot, ha nincsenek egyéni hatókörcímkék a bérlőhöz. Ha nem látja a Hatókörcímke beállítást, győződjön meg arról, hogy az alapértelmezett hatókörcímke mellett legalább egy címke meg van határozva.

Hatókörcímke létrehozása

Hatókörcímkék létrehozásához, frissítéséhez vagy törléséhez globális rendszergazdai vagy Intune rendszergazdai Entra-azonosító szerepkörrel rendelkező rendszergazdára van szükség. A szerepkör-hozzárendelésben hatókörcímkével rendelkező rendszergazdák nem frissíthetik vagy törölhetik a hatókörcímkéket a hatókörcímkék főlistájából.

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök hatóköre>(címkék)>Létrehozás lehetőséget.

  2. Az Alapvető beállítások lapon adjon meg egy Nevet és egy opcionális leírást. Válassza a Tovább gombot.

  3. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek a hatókörcímkéhez hozzárendelni kívánt eszközöket tartalmazzák. Válassza a Tovább gombot.

  4. A Felülvizsgálat + létrehozás lapon válassza a Létrehozás lehetőséget.

    Fontos

    Az automatikus hatókörcímkék hozzárendelései felülírják a manuálisan hozzárendelt hatókörcímkéket. Ha egy eszközhöz több hatókörcímke van hozzárendelve csoporthozzárendelésen keresztül, az összes hatókörcímke érvényes.

Hatókörcímke hozzárendelése szerepkörhöz

  1. A Microsoft Intune Felügyeleti központban válassza a Bérlői felügyeleti>szerepkörök>Minden szerepkör> szerepkör hozzárendelése> szerepkört>.

  2. Az Alapvető beállítások lapon adja meg a hozzárendelés nevét és leírását. Válassza a Tovább gombot.

  3. A Rendszergazda Csoportok lapon válassza a Csoportok hozzáadása lehetőséget, és válassza ki a hozzárendelés részeként használni kívánt csoportokat. Az ezekben a csoportokban lévő felhasználók a hatókörben (csoportokban) kezelhetik a felhasználókat/eszközöket. Válassza a Tovább gombot.

    Képernyőkép a tagcsoportok kiválasztásáról.

  4. A Hatókörcsoportok lapon válassza az alábbi lehetőségek egyikét a Belefoglalt csoportokhoz:

    • Csoportok hozzáadása: Válassza ki a kezelni kívánt felhasználókat/eszközöket tartalmazó csoportokat. A kiválasztott csoportokban lévő összes felhasználót/eszközt a Rendszergazda-csoportok felhasználói kezelik.
    • Minden felhasználó hozzáadása: A Rendszergazda csoportok felhasználói az összes felhasználót kezelhetik.
    • Minden eszköz hozzáadása: A Rendszergazda csoportok felhasználói az összes eszközt kezelhetik.

  5. Válassza a Tovább gombot

  6. A Hatókörcímkék lapon válassza ki a szerepkörhöz hozzáadni kívánt címkéket. A Rendszergazda csoportok felhasználói hozzáférhetnek Intune olyan objektumokhoz, amelyek hatókörcímkéje is azonos. Egy szerepkörhöz legfeljebb 100 hatókörcímkét rendelhet.

  7. A Tovább gombot választva lépjen a Véleményezés + létrehozás lapra, majd válassza a Létrehozás lehetőséget.

Hatókörcímkék hozzárendelése más objektumokhoz

A hatókörcímkéket támogató objektumok esetében a hatókörcímkék általában a Tulajdonságok területen jelennek meg. Ha például hatókörcímkét szeretne hozzárendelni egy konfigurációs profilhoz, kövesse az alábbi lépéseket:

  1. A Microsoft Intune Felügyeleti központban válassza az Eszközök>kezelése Eszközök>konfigurációja> lehetőséget, és válasszon egy profilt.

  2. Válassza a Tulajdonságok>hatóköre (Címkék)>Szerkesztés>Hatókörcímkék> kiválasztása lehetőséget, és válassza ki a profilhoz hozzáadni kívánt címkéket. Egy objektumhoz legfeljebb 100 hatókörcímkét rendelhet.

  3. Válassza azÁttekintés és mentéskiválasztása lehetőséget>.

Hatókörcímke részletei

A hatókörcímkék használatakor jegyezze meg ezeket a részleteket:

  • Hatókörcímkéket hozzárendelhet egy Intune objektumtípushoz, ha a bérlő az objektum több verziójával (például szerepkör-hozzárendelésekkel vagy alkalmazásokkal) rendelkezhet. A következő Intune objektumok kivételt képeznek a szabály alól, és jelenleg nem támogatják a hatókörcímkéket:
    • Vállalati eszközazonosítók
    • Autopilot-eszközök
    • Eszközmegfelelési helyek
    • Jamf-eszközök
  • A VPP-jogkivonathoz társított Mennyiségi vásárlási program (VPP) alkalmazásai és ebookjai öröklik a társított VPP-jogkivonathoz rendelt hatókörcímkéket.
  • Amikor egy rendszergazda létrehoz egy objektumot Intune, a rendszer automatikusan hozzárendeli a rendszergazdához rendelt összes hatókörcímkét az új objektumhoz.
  • Intune RBAC nem vonatkozik Microsoft Entra szerepkörökre. Így a Intune szolgáltatás-rendszergazdák és a globális rendszergazdák szerepkörök teljes rendszergazdai hozzáféréssel rendelkeznek a Intune, függetlenül attól, hogy milyen hatókörcímkékkel rendelkeznek.
  • Ha egy szerepkör-hozzárendelés nem rendelkezik hatókörcímkével, az informatikai rendszergazda az informatikai rendszergazdák engedélyei alapján láthatja az összes objektumot. Azok a rendszergazdák, amelyek nem rendelkeznek hatókörcímkékkel, lényegében minden hatókörcímkével rendelkeznek.
  • Csak a szerepkör-hozzárendelésekben szereplő hatókörcímkét rendelheti hozzá.
  • Csak a szerepkör-hozzárendelés hatókörében (csoportjaiban) felsorolt célcsoportokat célozhatja meg.
  • Ha a szerepkörhöz hatókörcímke van hozzárendelve, nem törölheti az összes hatókörcímkét egy Intune objektumon. Legalább egy hatókörcímke szükséges.

Következő lépések

Megtudhatja, hogyan viselkednek a hatókörcímkék több szerepkör-hozzárendelés esetén. A szerepkörök és profilok kezelése.