Intune kontroli dostępu opartej na rolach dla klientów dołączonych do dzierżawy
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Począwszy od wersji Configuration Manager 2207, możesz użyć Intune kontroli dostępu opartej na rolach (RBAC) podczas interakcji z urządzeniami dołączonymi do dzierżawy z centrum administracyjnego Microsoft Intune. Na przykład w przypadku używania Intune jako urzędu kontroli dostępu opartego na rolach użytkownik z rolą Operatora pomocy technicznej nie potrzebuje przypisanej roli zabezpieczeń ani dodatkowych uprawnień z Configuration Manager. Intune kontrola dostępu oparta na rolach zarządza uprawnieniami do wszystkich stron urządzeń dołączonych do chmury w centrum administracyjnym Microsoft Intune, takich jak oś czasu urządzenia, narzędzie CMPivot i skrypty.
Ważna
Obecnie każde wymuszanie Intune kontroli dostępu opartej na rolach na potrzeby wyświetlania i podejmowania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego Microsoft Intune jest opcjonalne. Zalecamy, aby wszyscy administratorzy ze środowiskami Configuration Manager połączonymi z chmurą zaczęli weryfikować uprawnienia kontroli dostępu na podstawie ról z Intune.
Trzy ogólne kroki konfigurowania Intune jako urzędu kontroli dostępu opartego na rolach dla urządzeń dołączonych do dzierżawy są następujące:
- W konsoli Configuration Manager wyłącz wymuszanie Configuration Manager kontroli dostępu opartej na rolach dla klientów dołączonych do chmury
- Z poziomu Intune włącz zarządzanie uprawnieniami użytkownika dla urządzeń dołączonych do chmury
- Z poziomu Intune sprawdź uprawnienia kontroli dostępu na podstawie ról dla urządzeń dołączonych do chmury
Wymagania wstępne
- Configuration Manager wersji 2207 lub nowszej
- Urządzenia dołączone do dzierżawy
Ograniczenia
- Obecnie określanie zakresu nie jest obsługiwane w przypadku używania tylko Intune kontroli dostępu opartej na rolach do wyświetlania i podejmowania akcji na urządzeniach dołączonych do dzierżawy z centrum administracyjnego Microsoft Intune.
- Obecnie strona Aktualizacje oprogramowania nie jest dostępna tylko dla użytkowników w chmurze w przypadku korzystania z pierścienia wczesnej aktualizacji Configuration Manager wersji 2207.
Wyłączanie wymuszania Configuration Manager kontroli dostępu opartej na rolach dla klientów dołączonych do chmury
Aby użyć Intune kontroli dostępu opartej na rolach dla dołączania dzierżawy, a nie Configuration Manager kontroli dostępu opartej na rolach, skorzystaj z poniższych instrukcji:
W konsoli Configuration Manager przejdź do pozycji Administracja>Cloud Services>Dołącz do chmury.
Lokalizacja opcji kontroli dostępu opartej na rolach zależy od tego, czy środowisko jest już dołączone do chmury, czy nie.
- Jeśli środowisko jest już dołączone do chmury, otwórz właściwości coMgmtSettingsProd. Jeśli nie masz urządzeń przekazanych do centrum administracyjnego, najpierw skonfiguruj tę opcję. Aby uzyskać więcej informacji, zobacz Włączanie dołączania dzierżawy.
- Jeśli środowisko nie jest dołączone do chmury, wybierz pozycję Konfiguruj dołączanie do chmury , aby otworzyć kreatora konfiguracji dołączania do chmury.
Na karcie Konfigurowanie przekazywania lub na stronie kreatora wyczyść pole wyboru dla następującej opcji w nagłówku Access Control opartej na rolach:
Wymuszanie kontroli dostępu opartej na rolach Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcje z Configuration Manager
Wybierz przycisk OK , aby zapisać zmianę we właściwościach CoMgmtSettingsProd lub kontynuować pracę kreatora dołączania do chmury.
Włączanie kontroli dostępu opartej na rolach z Intune
Aby włączyć Intune do zarządzania uprawnieniami użytkowników dla urządzeń dołączonych do chmury, wykonaj następujące kroki:
- Otwórz centrum administracyjne Microsoft Intune i zaloguj się jako użytkownik z uprawnieniem Role/Aktualizacja. Aby uzyskać więcej informacji na temat uprawnień, zobacz niestandardowe uprawnienia roli w Intune.
- Wybierz pozycj꣹czniki i tokenyadministracji> dzierżawców > programuMicrosoft Endpoint Configuration Manager.
- Na banerze wybierz pozycję Możesz również zarządzać uprawnieniami użytkownika z Intune. Kliknij tutaj, aby dowiedzieć się więcej na temat tej opcji.
- Zostanie wyświetlone okno wysuwane Użyj Intune RBAC.
- Wybierz pozycję Włączone dla opcji Użyj Intune RBAC, a następnie wybierz pozycję Zastosuj.
- Zmiana może potrwać około 10 minut.
Weryfikowanie uprawnień kontroli dostępu opartej na rolach z Intune
Po ustawieniu Intune na urząd kontroli dostępu na podstawie ról sprawdź uprawnienia dla swoich ról. W razie potrzeby możesz dodać te uprawnienia do ról niestandardowych utworzonych w Intune.
- Otwórz centrum administracyjne Microsoft Intune i zaloguj się.
- Wybierz pozycjęRoleadministracji> dzierżawy.
- Wybierz rolę, taką jak Menedżer aplikacji, i przejrzyj uprawnienia wymienione dla urządzeń dołączonych do chmury. W razie potrzeby edytuj uprawnienia dla dowolnych ról niestandardowych utworzonych w Intune.
Następujące uprawnienia Intune kontrolują dostęp do Configuration Manager urządzeń dołączonych do chmury:
Uprawnienie | Opis | Intune wbudowane role z uprawnieniami |
---|---|---|
Urządzenia dołączone do chmury\Wyświetlanie kolekcji | Wyświetla stronę Kolekcje dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetl eksplorator zasobów | Wyświetla stronę Eksplorator zasobów dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetl oś czasu | Wyświetla stronę Oś czasu dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetlanie aktualizacji oprogramowania | Wyświetla stronę Aktualizacje oprogramowania dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, menedżer zabezpieczeń punktu końcowego, operator tylko do odczytu, administrator szkoły, operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetl skrypty | Wyświetla stronę Skrypty dla urządzeń dołączonych do chmury Configuration Manager | Endpoint Security Manager, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
Urządzenia dołączone do chmury\Skrypt uruchamiania | Wyświetla akcję Uruchom skrypt i umożliwia użytkownikowi uruchamianie skryptów na urządzeniach dołączonych do chmury Configuration Manager | Administrator szkoły, operator pomocy technicznej |
Urządzenia dołączone do chmury\Uruchamianie zapytania CMPivot | Wyświetla stronę CMPivot dla urządzeń dołączonych do chmury Configuration Manager | Endpoint Security Manager, administrator szkoły, operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetl szczegóły klienta | Wyświetla stronę Szczegóły klienta dla urządzeń dołączonych do chmury Configuration Manager | Application Manager, Endpoint Security Manager, Operator tylko do odczytu, Administrator szkoły, Menedżer profilu zasad, Operator pomocy technicznej |
Urządzenia dołączone do chmury\Wyświetlanie aplikacji | Wyświetla stronę Aplikacje dla urządzeń dołączonych do chmury Configuration Manager | Menedżer aplikacji, operator tylko do odczytu, administrator szkoły, menedżer profilu zasad, operator pomocy technicznej |
Urządzenia dołączone do chmury\Akcje aplikacji | Wyświetla akcje aplikacji na stronie Aplikacje i umożliwia użytkownikowi wykonywanie akcji aplikacji na urządzeniach dołączonych do chmury Configuration Manager | Menedżer aplikacji, administrator szkoły, operator pomocy technicznej |
Zadania zdalne/Obracanie kluczy funkcji BitLockerKeys (wersja zapoznawcza) | Inicjuje rotację kluczy dla haseł odzyskiwania funkcji BitLocker na urządzeniu. Wyświetla stronę Klucze odzyskiwania dla urządzeń dołączonych do chmury Configuration Manager. | Endpoint Security Manager, operator pomocy technicznej |
Często zadawane pytania
Mam użytkowników tylko w chmurze, którzy potrzebują dostępu do urządzeń dołączonych do dzierżawy w Intune, czy zapewni im to dostęp?
Tak. Gdy użytkownik jest tylko w chmurze, w tym scenariuszu oznacza to, że znajduje się w Tożsamość Microsoft Entra i może uzyskiwać dostęp do Intune, użycie Intune RBAC zapewni mu dostęp do urządzeń dołączonych do dzierżawy.
Co zrobić, jeśli mam wiele hierarchii Configuration Manager połączonych z dzierżawą?
Ustawienie Użyj Intune RBAC w centrum administracyjnym Microsoft Intune ma zastosowanie do wszystkich hierarchii Configuration Manager wymienionych w dzierżawie.
Co się stanie, jeśli ustawienia Configuration Manager i Intune zostaną niedopasowane?
Jeśli przełącznik Użyj Intune RBAC w Intune jest ustawiony na wartość Wyłączone, Configuration Manager dostęp oparty na rolach zostanie wymuszony, nawet jeśli wymuszanie kontroli dostępu opartej na rolach Configuration Manager dla żądań konsoli w chmurze, które wchodzą w interakcję z Configuration Manager pole wyboru jest wyczyszczone. Wyłączenie opcji Wymuszaj Configuration Manager RBAC dla żądań konsoli w chmurze, które wchodzą w interakcję z opcją Configuration Manager, nie będzie miało żadnego wpływu, dopóki przełącznik Użyj Intune RBAC w Intune nie zostanie ustawiony na Włączone.
Co się stanie, jeśli moja hierarchia testowa jest skonfigurowana do używania Intune RBAC, ale moja hierarchia produkcyjna nie jest i znajduje się w tej samej dzierżawie?
Ustawienie Użyj Intune RBAC ma zastosowanie do wszystkich hierarchii Configuration Manager wymienionych w dzierżawie. Użytkownicy tylko w chmurze mogą uzyskiwać dostęp do urządzeń dołączonych do dzierżawy, które są przekazywane z hierarchii testowej, ponieważ pole wyboru zostało również wyczyszczone w celu wymuszenia Configuration Manager kontroli dostępu opartej na rolach. Jeśli użytkownik tylko w chmurze próbuje uzyskać dostęp do urządzenia dołączonego do dzierżawy przekazanego ze środowiska produkcyjnego, otrzyma błąd, ponieważ urządzenia produkcyjne wymuszają Configuration Manager RBAC. Użytkownik tylko w chmurze otrzyma błąd podobny do następującego komunikatu: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.