Поделиться через


Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ

Вы можете использовать управление доступом на основе ролей и теги области, чтобы убедиться, что правильные администраторы имеют правильный доступ и видимость необходимых объектов Intune. Роли определяют, какие администраторы имеют доступ к каким объектам. Теги области определяют, какие объекты могут видеть администраторы.

Например, предположим, что администратор регионального офиса Сиэтла имеет роль диспетчера политик и профилей. Этот администратор должен видеть и управлять только профилями и политиками, которые применяются только к устройствам Сиэтла. Чтобы настроить этот доступ, выполните следующие действия:

  1. Создайте тег области с именем Seattle.
  2. Создайте назначение ролей для роли диспетчера политик и профилей с помощью следующих команд:
    • Участники (группы) = группа безопасности с именем ИТ-администраторы Сиэтла. Все администраторы в этой группе будут иметь разрешение на управление политиками и профилями для пользователей и устройств в области (группы).
    • Scope (Groups) = Группа безопасности с именем Пользователи Сиэтла. Все пользователи или устройства в этой группе могут иметь свои профили и политики, управляемые администраторами в разделе Участники (группы).
    • Scope (Tags) = Seattle. Администраторы в элементе (группы) могут видеть объекты Intune, у которых также есть тег области Seattle.
  3. Добавьте тег области Seattle в политики и профили, к которым должны иметь доступ администраторы в разделе Участники (группы).
  4. Добавьте тег области Seattle на устройства, которые должны отображаться администраторам в разделе Участники (группы).

Тег области по умолчанию

Тег области по умолчанию автоматически добавляется ко всем объектам без тегов, которые поддерживают теги области.

Функция тега области по умолчанию аналогична функции областей безопасности в Microsoft Configuration Manager.

Примечание.

При настройке или изменении политик Intune некоторые типы политик могут не отображать страницу конфигурации тегов области, если для клиента нет настраиваемых тегов области. Если параметр Тег области не отображается, убедитесь, что в дополнение к тегу области по умолчанию определен хотя бы один тег.

Создание тега области

  1. В Центре администрирования Microsoft Intune выберите администрирование> клиента. Область ролей>(теги)>Создать.

  2. На странице Основные сведения укажите имя и необязательное описание. Нажмите кнопку Далее.

  3. На странице Назначения выберите группы, содержащие устройства, которым требуется назначить этот тег области. Нажмите кнопку Далее.

  4. На странице Просмотр и создание нажмите кнопку Создать.

    Важно!

    Автоматические назначения тегов области будут перезаписывать теги области, назначенные вручную. Если устройству назначено несколько тегов области с помощью назначения группы, будут применены все теги области.

Назначение тега области роли

  1. В Центре администрирования Microsoft Intune выберите Администрирование> клиентаРоли>Все роли> выбирают роль >Назначения>.

  2. На странице Основные сведения укажите имя назначения и описание. Нажмите кнопку Далее.

  3. На странице Группы администрирования выберите Добавить группы и выберите нужные группы в рамках этого назначения. Пользователи в этих группах будут иметь разрешения на управление пользователями и устройствами в области (группы). Нажмите кнопку Далее.

    Снимок экрана: выбор групп участников.

  4. На странице Группы области выберите один из следующих параметров для включенных групп:

    • Добавить группы. Выберите группы, содержащие пользователей или устройства, которыми вы хотите управлять. Все пользователи или устройства в выбранных группах будут управляться пользователями в группах администрирования.
    • Добавить всех пользователей. Все пользователи могут управляться пользователями в группах администрирования.
    • Добавить все устройства. Все устройства могут управляться пользователями в группах администрирования.
  5. Нажмите кнопку Далее.

  6. На странице Теги области выберите теги, которые вы хотите добавить к этой роли. Пользователи в группах администрирования будут иметь доступ к объектам Intune с тем же тегом области. Роли можно назначить не более 100 тегов области.

  7. Нажмите кнопку Далее , чтобы перейти на страницу Проверка и создание , а затем нажмите кнопку Создать.

Назначение тегов области другим объектам

Для объектов, поддерживающих теги области, теги области обычно отображаются в разделе Свойства. Например, чтобы назначить тег области профилю конфигурации, выполните следующие действия:

  1. В Центре администрирования Microsoft Intune выберите Устройства>Управление устройствами>Конфигурация> выберите профиль.

  2. Выберите Свойства>Область (теги)>Изменить>Теги выберите теги> области выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов области.

  3. Нажмите кнопку Проверить>и сохранить.

Сведения о теге области

При работе с тегами области запомните следующие сведения:

  • Теги области можно назначить типу объекта Intune, если клиент может иметь несколько версий этого объекта (например, назначения ролей или приложений). Следующие объекты Intune являются исключениями из этого правила и в настоящее время не поддерживают теги области:
    • Идентификаторы корпоративных устройств
    • Устройства Autopilot
    • Расположения соответствия устройств
    • Устройства jamf
  • Приложения и электронные книги программы volume Purchase Program (VPP), связанные с маркером VPP, наследуют теги области, назначенные связанному маркеру VPP.
  • Когда администратор создает объект в Intune, все теги области, назначенные данному администратору, будут автоматически назначены новому объекту.
  • RBAC Intune не применяется к ролям Microsoft Entra. Таким образом, роли администраторов служб Intune и глобальных администраторов имеют полный доступ к Intune независимо от того, какие теги области у них есть.
  • Если назначение роли не имеет тега области, ИТ-администратор может просматривать все объекты на основе разрешений ИТ-администраторов. Администраторы, у которых нет тегов области, по сути, имеют все теги области.
  • Вы можете назначить только тег области, который у вас есть в назначениях ролей.
  • Вы можете ориентироваться только на группы, перечисленные в области (группы) назначения ролей.
  • Если у вас есть тег области, назначенный вашей роли, вы не сможете удалить все теги области в объекте Intune. Требуется по крайней мере один тег области.

Дальнейшие действия

Узнайте, как работают теги области при наличии нескольких назначений ролей. Управление ролями и профилями.