Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Вы можете использовать управление доступом на основе ролей и теги область, чтобы администраторы Intune имели правильный доступ к объектам Intune, которыми они должны управлять. Роли определяют, какие администраторы имеют доступ к каким объектам. Теги области определяют, какие объекты могут видеть администраторы.

Например, предположим, что администратор регионального офиса Сиэтла имеет роль диспетчера политик и профилей . Вы хотите, чтобы этот администратор видел и управлял только профилями и политиками, которые применяются только к устройствам Сиэтла — группе устройств, которые находятся в офисе в Сиэтле. Чтобы настроить этот доступ, выполните следующие действия:

  1. Создайте тег область Seattle.
  2. Создайте назначение ролей для роли диспетчера политик и профилей с помощью следующих команд:
    • Участники (группы) = группа безопасности с именем ИТ-администраторы Сиэтла. Все администраторы в этой группе имеют разрешение на управление политиками и профилями для пользователей и устройств в области (группы).
    • Scope (Groups) = Группа безопасности с именем Пользователи Сиэтла. Все пользователи или устройства в этой группе могут иметь свои профили и политики, управляемые администраторами в разделе Участники (группы).
    • Scope (Tags) = Seattle. Администраторы в элементе (группы) могут видеть Intune объекты с тегом Seattle область.
  3. Добавьте тег область Seattle в политики и профили, к которым должны иметь доступ администраторы в разделе Участники (группы).
  4. Добавьте тег Seattle область на устройства, которые должны отображаться администраторам в разделе Участники (группы).

Тег область по умолчанию

Тег область по умолчанию автоматически добавляется ко всем объектам без тегов, поддерживающим область теги.

Функция тега область по умолчанию аналогична функции областей безопасности в Microsoft Configuration Manager.

Примечание.

При настройке или изменении политик Intune некоторые типы политик могут не отображать страницу конфигурации тегов области, если для клиента нет настраиваемых область тегов. Если параметр Тег области не отображается, убедитесь, что в дополнение к тегу область по умолчанию определен хотя бы один тег.

Создание тега область

Для создания, обновления или удаления тегов область необходимо, чтобы администратор назначил Intune роль Microsoft Entra. Так как это привилегированная роль, корпорация Майкрософт рекомендует использовать ее только при необходимости. Администраторы с тегом область в назначении ролей не могут обновить или удалить тег область из списка область master.

  1. В центре администрирования Microsoft Intune выберите администрирование> клиента. Область ролей>(теги)>Создать.

  2. На странице Основные сведения укажите имя и необязательное описание. Нажмите кнопку Далее.

  3. На странице Назначения выберите группы, содержащие устройства, которым нужно назначить этот тег область. Нажмите кнопку Далее.

  4. На странице Просмотр и создание нажмите кнопку Создать.

    Важно!

    Автоматическое область назначения тегов перезаписываются вручную, назначенные область тегами. Если устройству назначено несколько тегов область с помощью назначения группы, применяются все область теги.

Назначение тега область роли

  1. В центре администрирования Microsoft Intune выберите Администрирование> клиентаРоли>Все роли> выбирают роль >Назначения>.

  2. На странице Основные сведения укажите имя назначения и описание. Нажмите кнопку Далее.

  3. На странице Администратор Группы выберите Добавить группы и выберите нужные группы в рамках этого назначения. Пользователи в этих группах имеют разрешения на управление пользователями и устройствами в области (группы). Нажмите кнопку Далее.

    Снимок экрана: выбор групп участников.

  4. На странице Группы области выберите один из следующих параметров для включенных групп:

    • Добавить группы. Выберите группы, содержащие пользователей или устройства, которыми вы хотите управлять. Все пользователи и устройства в выбранных группах управляются пользователями в группах Администратор.
    • Добавить всех пользователей. Пользователи в группах Администратор могут управлять всеми пользователями.
    • Добавить все устройства. Пользователи в группах Администратор могут управлять всеми устройствами.

    Совет

    Если вы указываете группу исключений для назначения, например политики или приложения, она должна быть либо вложена в одно из назначений RBAC область групп, либо должна быть отдельно указана в качестве область группы в назначении роли RBAC.

  5. Нажмите кнопку Далее.

  6. На странице Теги области выберите теги, которые вы хотите добавить к этой роли. Пользователи в группах Администратор имеют доступ к Intune объектам, которые также имеют один и тот же тег область. Роли можно назначить не более 100 тегов область.

  7. Нажмите кнопку Далее , чтобы перейти на страницу Проверка и создание , а затем нажмите кнопку Создать.

Назначение тегов область другим объектам

Для объектов, поддерживающих теги область, область теги обычно отображаются в разделе Свойства. Например, чтобы назначить тег область профилю конфигурации, выполните следующие действия.

  1. В центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Конфигурация> выберите профиль.

  2. Выберите Свойства>Область (теги)>Изменить>Выберите область теги> выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов область.

  3. Нажмите кнопку Проверить>и сохранить.

Сведения о теге области

При работе с тегами область помните следующие сведения:

  • Вы можете назначить теги область типу объекта Intune, если клиент может иметь несколько версий этого объекта (например, назначения ролей или приложений). Следующие объекты Intune являются исключениями из этого правила и в настоящее время не поддерживают область теги:
    • Идентификаторы корпоративных устройств
    • Устройства Windows Autopilot
    • Расположения соответствия устройств
    • Устройства jamf
  • Приложения и электронные книги программы volume Purchase Program (VPP), связанные с маркером VPP, наследуют теги область, назначенные связанному маркеру VPP.
  • Когда администратор создает объект в Intune, все область теги, назначенные администратору, автоматически назначаются новому объекту.
  • Intune RBAC не применяется к Microsoft Entra ролям. Таким образом, роль администраторов служб Intune имеет полный доступ к Intune независимо от того, какие область теги у них есть.
  • Если назначение роли не имеет тега область, ИТ-администратор может просматривать все объекты на основе разрешений ИТ-администраторов. Администраторы, у которых нет тегов область, по сути, имеют все область теги.
  • Вы можете назначить только тег область, который у вас есть в назначениях ролей.
  • Вы можете ориентироваться только на группы, перечисленные в области (группы) назначения ролей.
  • Если у вас есть тег область, назначенный вашей роли, вы не сможете удалить все область теги в объекте Intune. Требуется по крайней мере один тег область.

Поведение разрешений между назначениями ролей

В следующих разделах описывается существующее и стандартное поведение Intune для разрешений с ограниченной областью, а также улучшенное поведение в общедоступной предварительной версии, которое станет поведением по умолчанию для всех клиентов в будущем выпуске.

Важно!

В марте 2026 года Intune представила общедоступную предварительную версию для разрешений с ограниченной областью. Это новое поведение изменяет способ применения разрешений, когда администратор имеет несколько назначений ролей с разными тегами область. Пока этот параметр не включен, клиент продолжает использовать поведение по умолчанию. Просмотрите оба поведения и используйте отчет об оценке разрешений , чтобы понять влияние, прежде чем согласиться, так как это изменение не может быть отменено.

Заданное по умолчанию поведение

По умолчанию, когда администратор принадлежит к нескольким назначениям ролей, которые используют разные область теги и совместно используют одну и ту же категорию разрешений (например, мобильные приложения), Intune объединяет разрешения между этими назначениями. Это может привести к тому, что администратор получит более широкий доступ, чем предполагалось. Например, вы можете:

  • Группе безопасности "Администраторы приложений " назначена роль, которая предоставляет только разрешения на чтение для мобильных приложений, в пределах главного офиса, чтобы предоставить им доступ только для чтения.
  • Той же группе также назначается роль, которая предоставляет полные разрешения (создание, чтение, обновление, удаление) для мобильных приложений с областью действия регионального офиса.
  • Так как оба назначения совместно используют категорию разрешений мобильных приложений, Intune объединяет их. Результат: у администраторов приложений есть полные разрешения на мобильные приложения как в штаб-квартире , так и в региональном офисе, а не доступ только для чтения, предназначенный для штаб-квартиры.

Если это не тот доступ, который вы планировали, используйте отчет об оценке разрешений , чтобы узнать, как именно изменится текущее назначение, прежде чем согласиться на разрешения с ограниченной областью.

Разрешения с ограниченной областью (согласие на общедоступную предварительную версию)

Доступный в качестве общедоступной предварительной версии, вы можете использовать параметр Разрешения с областью, чтобы получить точный контроль над тем, что каждый администратор может на самом деле делать в каждом теге область. Вместо того, чтобы Intune автоматически объединять разрешения между назначениями ролей, разрешения каждого назначения остаются в своем собственном область. Администраторы получают именно тот доступ, который вы намеревались, не более.

Если разрешения с заданной областью включены, разрешения назначения каждой роли применяются только в пределах собственного контекста тега область. В том же примере члены "Администраторы приложений " будут иметь доступ только для чтения к мобильным приложениям с тегами "Штаб-квартира " и полные разрешения для мобильных приложений с тегами "Региональный офис" точно так, как предполагалось.

Включение разрешений с заданной областью — это одноразовое действие клиента, которое невозможно отменить. Прежде чем включить этот параметр, используйте отчет об оценке разрешений , чтобы просмотреть, как именно будут изменяться разрешения для каждого затронутого администратора в клиенте. Отчет доступен вразделе Параметрыролей>администрирования> клиента и может выполняться столько раз, сколько потребуется.

Чтобы включить разрешения с заданной областью, перейдите враздел Параметрыролей>администрирования> клиентов и включите переключатель Разрешения с заданной областью, используя учетную запись с одной из следующих ролей:

  • Настраиваемая роль Intune (рекомендуется) — создайте пользовательскую роль, включающую действие Обновления для организации. Это разрешение не включает встроенная роль Intune.
  • администратор Intune. Эта роль Microsoft Entra предоставляет полный доступ на чтение и запись для Intune. Так как это привилегированная роль, корпорация Майкрософт рекомендует использовать настраиваемую роль с наименьшими привилегиями Intune.

Отчет об оценке разрешений

Прежде чем включить разрешения с заданной областью, используйте отчет об оценке разрешений , чтобы просмотреть, как именно будут изменяться разрешения для каждого затронутого администратора в клиенте. Отчет доступен вразделе Параметрыролей>администрирования> клиента. Его можно запускать при необходимости до или после включения параметра.

В отчете показаны каждая затронутая группа безопасности, задействованные роли и область теги, а также сравнение текущих (объединенных) разрешений и разрешений, которые будут применяться после включения разрешений с заданной областью. Каждая строка представляет определенный ресурс, в котором будет происходить сокращение разрешений, и группа может отображаться в нескольких строках, если сокращения применяются к нескольким типам ресурсов. Просмотрите результаты, чтобы определить сокращение разрешений и сообщить о них затронутым администраторам перед включением параметра.

Столбцы отчета:

  • Группа: группа безопасности, на разрешения которой влияет слияние между назначениями ролей.
  • Роли. Роли, разрешения которых в настоящее время объединены для этой группы, что создает более широкий доступ, показанный в разделе Старые разрешения.
  • Тег области: тег область, в котором будет происходить сокращение разрешений. Перечислены только область теги с чистым сокращением.
  • Ресурс: тип ресурса, к которому применяется изменение, например DeviceConfigurations.
  • Старые разрешения: текущие разрешения группы для этого ресурса, отражающие объединенный результат всех назначений ролей, которые совместно используют эту категорию разрешений. Эти объединенные разрешения в настоящее время применяются ко всем область тегам в этих назначениях.
  • Новые разрешения. Разрешения, которые будут применяться к этому конкретному тегу область после включения разрешений с заданной областью, на основе только назначения роли, связанной с этим тегом область.

В отчете исключаются группы безопасности без членов и группы безопасности, не затронутые слиянием разрешений.

Чтобы проверить влияние на клиент и включить разрешения с заданной областью, выполните следующие действия.

  1. Перейдите враздел Параметрыролей>администрирования> клиента.

  2. Выберите Создать отчет , чтобы запустить отчет об оценке разрешений.

    Просмотрите результаты, при необходимости скорректируйте назначения ролей и сообщите о любых сокращениях разрешений затронутым администраторам. Вы также можете экспортировать отчет в Excel для автономной проверки или совместного использования.

  3. Когда все будет готово, включите переключатель Разрешения с областью действия.

    Важно!

    Не включайте разрешения с заданной областью, пока не будете готовы к реализации этого изменения. Включение разрешений с заданной областью является односторонним действием, которое нельзя отменить.

Дальнейшие действия

Узнайте, как работают теги область при наличии нескольких назначений ролей. Управление ролями и профилями.

  • Last updated on