Intune controllo degli accessi in base al ruolo per i client collegati al tenant
Si applica a: Configuration Manager (Current Branch)
A partire da Configuration Manager versione 2207, è possibile usare Intune controllo degli accessi in base al ruolo durante l'interazione con i dispositivi collegati al tenant dall'interfaccia di amministrazione Microsoft Intune. Ad esempio, quando si usa Intune come autorità di controllo degli accessi in base al ruolo, un utente con il ruolo Operatore help desk non necessita di un ruolo di sicurezza assegnato o autorizzazioni aggiuntive da Configuration Manager. Intune controllo degli accessi in base al ruolo gestisce le autorizzazioni per tutte le pagine del dispositivo collegate al cloud nell'interfaccia di amministrazione Microsoft Intune, ad esempio sequenza temporale del dispositivo, CMPivot e script.
Importante
Attualmente, qualsiasi imposizione di Intune controllo degli accessi in base al ruolo per la visualizzazione e l'esecuzione di azioni nei dispositivi collegati al tenant dall'interfaccia di amministrazione Microsoft Intune è facoltativa. È consigliabile che tutti gli amministratori con ambienti Configuration Manager connessi al cloud inizino a verificare le autorizzazioni di controllo degli accessi in base al ruolo da Intune.
I tre passaggi generali per configurare Intune come autorità di controllo degli accessi in base al ruolo per i dispositivi collegati al tenant sono:
- Dalla console Configuration Manager disabilitare l'imposizione di Configuration Manager controllo degli accessi in base al ruolo per i client collegati al cloud
- Da Intune abilitare la gestione delle autorizzazioni utente per i dispositivi collegati al cloud
- Da Intune verificare le autorizzazioni di controllo degli accessi in base al ruolo per i dispositivi collegati al cloud
Prerequisiti
- Configuration Manager versione 2207 o successiva
- Dispositivi collegati al tenant
Limitazioni
- Attualmente l'ambito non è supportato quando si usa solo Intune controllo degli accessi in base al ruolo per la visualizzazione e l'esecuzione di azioni nei dispositivi collegati al tenant dall'interfaccia di amministrazione Microsoft Intune.
- Attualmente, la pagina Aggiornamenti software non è disponibile per gli utenti solo cloud quando si usa l'anello di aggiornamento anticipato di Configuration Manager versione 2207.
Disabilitare l'imposizione di Configuration Manager controllo degli accessi in base al ruolo per i client collegati al cloud
Per usare Intune controllo degli accessi in base al ruolo per il collegamento del tenant anziché Configuration Manager controllo degli accessi in base al ruolo, usare le istruzioni seguenti:
Dalla console Configuration Manager passare a Amministrazione>Servizi cloud>Collegamento cloud.
La posizione dell'opzione di controllo degli accessi in base al ruolo varia a seconda che l'ambiente sia già collegato al cloud o meno.
- Se l'ambiente è già collegato al cloud, aprire le proprietà per CoMgmtSettingsProd. Se i dispositivi non sono caricati nell'interfaccia di amministrazione, configurare prima questa opzione. Per altre informazioni, vedere Abilitare il collegamento al tenant.
- Se l'ambiente non è collegato al cloud, selezionare Configura collegamento cloud per aprire la configurazione guidata di Cloud Attach.
Nella scheda Configura caricamento o nella pagina della procedura guidata deselezionare la casella di controllo per l'opzione seguente nell'intestazione Controllo di accesso basata su ruolo:
Applicare Configuration Manager controllo degli accessi in base al ruolo per le richieste della console cloud che interagiscono con Configuration Manager
Scegliere OK per salvare la modifica alle proprietà CoMgmtSettingsProd oppure continuare per completare la procedura guidata di collegamento al cloud.
Abilitare il controllo degli accessi in base al ruolo da Intune
Per abilitare Intune per gestire le autorizzazioni utente per i dispositivi collegati al cloud, seguire questa procedura:
- Aprire l'interfaccia di amministrazione Microsoft Intune e accedere come utente con l'autorizzazione Ruoli/Aggiornamento. Per altre informazioni sull'autorizzazione, vedere Autorizzazioni dei ruoli personalizzate in Intune.
- Selezionare Amministrazione tenant>Connettori e tokens>Microsoft Endpoint Configuration Manager.
- Nel banner selezionare È anche possibile gestire le autorizzazioni utente da Intune. Fare clic qui per altre informazioni su questa opzione.
- Viene visualizzato il riquadro a comparsa Usa Intune controllo degli accessi in base al ruolo.
- Selezionare Sì per l'opzione Usa Intune controllo degli accessi in base al ruolo e quindi scegliere Applica.
- La modifica potrebbe richiedere circa 10 minuti.
Verificare le autorizzazioni di controllo degli accessi in base al ruolo da Intune
Dopo aver impostato Intune sull'autorità di controllo degli accessi in base al ruolo, verificare le autorizzazioni per i ruoli. Se necessario, è possibile aggiungere queste autorizzazioni ai ruoli personalizzati creati in Intune.
- Aprire l'interfaccia di amministrazione Microsoft Intune ed eseguire l'accesso.
- Selezionare Ruoli di amministrazione> tenant.
- Selezionare un ruolo, ad esempio Gestione applicazioni, ed esaminare le autorizzazioni elencate per i dispositivi collegati al cloud. Se necessario, modificare le autorizzazioni per i ruoli personalizzati creati in Intune.
Le autorizzazioni di Intune seguenti controllano l'accesso ai dispositivi Configuration Manager collegati al cloud:
Autorizzazione | Descrizione | Intune ruoli predefiniti con l'autorizzazione |
---|---|---|
Dispositivi collegati al cloud\Visualizza raccolte | Visualizza la pagina Raccolte per Configuration Manager dispositivi collegati al cloud | Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk |
Dispositivi collegati al cloud\Visualizza Esplora risorse | Visualizza la pagina Esplora risorse per Configuration Manager dispositivi collegati al cloud | Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk |
Dispositivi collegati al cloud\Visualizza sequenza temporale | Visualizza la pagina Sequenza temporale per Configuration Manager dispositivi collegati al cloud | Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk |
Dispositivi collegati al cloud\Visualizza aggiornamenti software | Visualizza la pagina Aggiornamenti software per Configuration Manager dispositivi collegati al cloud | Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Operatore help desk |
Dispositivi collegati al cloud\Visualizza script | Visualizza la pagina Script per Configuration Manager dispositivi collegati al cloud | Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk |
Dispositivi collegati al cloud\Esegui script | Visualizza l'azione Esegui script e consente all'utente di eseguire script in Configuration Manager dispositivi collegati al cloud | Amministratore dell'istituto di istruzione, operatore help desk |
Dispositivi collegati al cloud\Esegui query CMPivot | Visualizza la pagina CMPivot per Configuration Manager dispositivi collegati al cloud | Endpoint Security Manager, amministratore dell'istituto di istruzione, operatore help desk |
Dispositivi collegati al cloud\Visualizza dettagli client | Visualizza la pagina Dettagli client per Configuration Manager dispositivi collegati al cloud | Application Manager, Endpoint Security Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Policy Profile Manager, Operatore help desk |
Dispositivi collegati al cloud\Visualizza applicazioni | Visualizza la pagina Applicazioni per Configuration Manager dispositivi collegati al cloud | Application Manager, Operatore di sola lettura, Amministratore dell'istituto di istruzione, Responsabile profili criteri, Operatore help desk |
Dispositivi collegati al cloud\Eseguire azioni dell'applicazione | Visualizza le azioni dell'applicazione nella pagina Applicazioni e consente all'utente di eseguire azioni dell'applicazione in Configuration Manager dispositivi collegati al cloud | Application Manager, Amministratore dell'istituto di istruzione, Operatore help desk |
Attività remote/Ruota BitLockerKeys (anteprima) | Avvia una rotazione delle chiavi per le password di ripristino di BitLocker nel dispositivo. Visualizza la pagina Chiavi di ripristino per Configuration Manager dispositivi collegati al cloud. | Endpoint Security Manager, operatore help desk |
Domande frequenti
Gli utenti solo cloud che devono accedere ai dispositivi collegati al tenant in Intune consentiranno loro di accedere?
Sì. Quando un utente è solo cloud, in questo scenario significa che si trova in Microsoft Entra ID e può accedere a Intune, l'uso di Intune controllo degli accessi in base al ruolo consentirà loro di accedere ai dispositivi collegati al tenant.
Cosa accade se al tenant sono connesse più gerarchie Configuration Manager?
L'impostazione Usa controllo degli accessi in base al ruolo Intune nell'interfaccia di amministrazione Microsoft Intune si applica a tutte le gerarchie Configuration Manager elencate nel tenant.
Cosa accade se le impostazioni Configuration Manager e Intune non corrispondono?
Se l'interruttore Usa controllo degli accessi in base al ruolo Intune in Intune è impostato su Disattivato, verrà applicato Configuration Manager accesso in base al ruolo, anche se l'opzione Imponi controllo degli accessi in base al ruolo Configuration Manager per le richieste della console cloud che interagiscono con Configuration Manager casella di controllo è deselezionata. La disabilitazione dell'opzione Imponi controllo degli accessi in base al ruolo Configuration Manager per le richieste della console cloud che interagiscono con Configuration Manager opzione non ha alcun effetto finché l'interruttore Usa controllo degli accessi in base al ruolo Intune in Intune non è impostato su Attivato.
Cosa accade se la gerarchia di test è configurata per usare Intune controllo degli accessi in base al ruolo, ma la gerarchia di produzione non si trova nello stesso tenant?
L'impostazione Usa controllo degli accessi in base al ruolo Intune si applica a tutte le gerarchie Configuration Manager elencate nel tenant. Gli utenti solo cloud possono accedere ai dispositivi collegati al tenant caricati dalla gerarchia di test perché è stata deselezionata anche la casella di controllo per applicare Configuration Manager controllo degli accessi in base al ruolo. Se un utente solo cloud tenta di accedere a un dispositivo collegato al tenant caricato dall'ambiente di produzione, riceverà un errore perché i dispositivi di produzione applicano Configuration Manager controllo degli accessi in base al ruolo. L'utente solo cloud riceverà un errore simile al messaggio seguente: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Passaggi successivi
- Esaminare la sequenza temporale per un dispositivo collegato al cloud
- Eseguire una query CMPivot in un dispositivo collegato al cloud