Controlo de acesso baseado em funções do Intune para clientes ligados ao inquilino

Aplica-se a: Configuration Manager (branch atual)

A partir da versão 2207 do Configuration Manager, pode utilizar o controlo de acesso baseado em funções (RBAC) do Intune ao interagir com dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune. Por exemplo, ao utilizar o Intune como autoridade de controlo de acesso baseado em funções, um utilizador com a função Operador de Suporte Técnico não precisa de uma função de segurança atribuída ou de permissões adicionais do Configuration Manager. O controlo de acesso baseado em funções do Intune gere as permissões para todas as páginas de dispositivos anexadas à cloud no centro de administração do Microsoft Intune, como a linha cronológica do dispositivo, CMPivot e scripts.

Importante

Atualmente, qualquer imposição do controlo de acesso baseado em funções do Intune para apresentar e efetuar ações em dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune é opcional. Recomendamos que todos os administradores com ambientes do Configuration Manager ligados à cloud comecem a verificar as permissões de controlo de acesso baseado em funções do Intune.

Os três passos de alto nível para configurar o Intune como a autoridade de controlo de acesso baseado em funções para dispositivos ligados ao inquilino são:

Pré-requisitos

Limitações

  • Atualmente, o âmbito não é suportado ao utilizar apenas o controlo de acesso baseado em funções do Intune para apresentar e efetuar ações em dispositivos ligados ao inquilino a partir do centro de administração do Microsoft Intune.
  • Atualmente, a página Atualizações de software não está disponível para utilizadores apenas na cloud ao utilizar a cadência de atualização antecipada do Configuration Manager versão 2207.

Desativar a imposição do controlo de acesso baseado em funções do Configuration Manager para clientes ligados à cloud

Para utilizar o controlo de acesso baseado em funções do Intune para a anexação de inquilinos em vez do controlo de acesso baseado em funções do Configuration Manager, utilize as instruções abaixo:

  1. Na consola do Configuration Manager, aceda a Administração>Cloud Services>Cloud Attach.

  2. A localização da opção de controlo de acesso baseado em funções varia consoante o seu ambiente já esteja ou não ligado à cloud.

    • Se o seu ambiente já estiver ligado à cloud, abra as propriedades de CoMgmtSettingsProd. Se não tiver dispositivos carregados para o centro de administração, configure essa opção primeiro. Para obter mais informações, consulte Habilitar anexação de nuvem.
    • Se o seu ambiente não estiver ligado à cloud, selecione Configurar Anexação à Cloud para abrir o assistente de Configuração de Anexação da Cloud.
  3. No separador Configurar carregamento , ou página no assistente, desmarque a caixa de verificação da seguinte opção no cabeçalho Controlo de Acesso Baseado em Funções:

    Impor o RBAC do Configuration Manager para pedidos de consola da cloud que interagem com o Configuration Manager

  4. Selecione OK para guardar a alteração nas propriedades CoMgmtSettingsProd ou continue para concluir o assistente de anexação da cloud.

Captura de ecrã das propriedades CoMgmtSettingsProd no Configuration Manager. Na captura de ecrã, o separador configurar carregamento é apresentado com uma caixa vermelha que descreve a secção de controlo de acesso baseado em funções.

Ativar o controlo de acesso baseado em funções a partir do Intune

Para permitir que o Intune faça a gestão das permissões de utilizador para dispositivos ligados à cloud, utilize os seguintes passos:

  1. Abra o centro de administração do Microsoft Intune e inicie sessão como um utilizador que tenha a permissão Funções/Atualização . Para obter mais informações sobre a permissão, veja Permissões de funções personalizadas no Intune.
  2. Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager.
  3. Na faixa, selecione Também pode gerir permissões de utilizador a partir do Intune. Clique aqui para saber mais sobre esta opção.
  4. É apresentada a lista de opções Utilizar RBAC do Intune .
  5. Selecione Ativado para a opção Utilizar RBAC do Intune e, em seguida, selecione Aplicar.
  6. A alteração pode demorar cerca de 10 minutos a entrar em vigor.

Captura de ecrã da página conectores e tokens do Microsoft Configuration Manager no centro de administração do Microsoft Intune. A lista de opções Utilizar RBAC do Intune é apresentada na captura de ecrã.

Verificar as permissões de controlo de acesso baseado em funções no Intune

Assim que o Intune estiver definido como a autoridade de controlo de acesso baseado em funções, verifique as permissões das suas funções. Se necessário, pode adicionar estas permissões a funções personalizadas que criou no Intune.

  1. Abra o centro de administração do Microsoft Intune e inicie sessão.
  2. SelecioneFunções de administração> de inquilinos.
  3. Selecione uma função, como o Gestor de Aplicações, e reveja as permissões listadas para dispositivos ligados à cloud. Se necessário, edite as permissões para quaisquer funções personalizadas que tenha criado no Intune.

As seguintes permissões do Intune controlam o acesso aos dispositivos ligados à cloud do Configuration Manager:

Permissão Descrição Funções incorporadas do Intune com a permissão
Dispositivos ligados à cloud\Ver coleções Apresenta a página Coleções para dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico
Dispositivos ligados à cloud\Ver explorador de recursos Apresenta a página Explorador de recursos para dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico
Dispositivos ligados à cloud\Ver linha cronológica Apresenta a página linha cronológica dos dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico
Dispositivos ligados à cloud\Ver atualizações de software Apresenta a página Atualizações de software para dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador Da Escola, Operador do Suporte Técnico
Dispositivos ligados à cloud\Ver scripts Apresenta a página Scripts para dispositivos ligados à cloud do Configuration Manager Endpoint Security Manager, Operador Só de Leitura, Administrador Escolar, Gestor de Perfis de Política, Operador do Suporte Técnico
Dispositivos ligados à cloud\Executar script Apresenta a ação Executar script e permite ao utilizador executar scripts em dispositivos ligados à cloud do Configuration Manager Administrador da Escola, Operador do Suporte Técnico
Dispositivos ligados à cloud\Executar consulta CMPivot Apresenta a página CMPivot para dispositivos ligados à cloud do Configuration Manager Endpoint Security Manager, Administrador da Escola, Operador de Suporte Técnico
Dispositivos ligados à cloud\Ver detalhes do cliente Apresenta a página Detalhes do cliente para dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Gestor de Segurança de Ponto Final, Operador Só de Leitura, Administrador da Escola, Gestor de Perfis de Política, Operador de Suporte Técnico
Dispositivos ligados à cloud\Ver aplicações Apresenta a página Aplicações para dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Operador Só de Leitura, Administrador da Escola, Gestor de Perfis de Política, Operador do Suporte Técnico
Dispositivos ligados à cloud\Realizar ações da aplicação Apresenta as ações da aplicação na página Aplicações e permite que o utilizador realize ações de aplicação em dispositivos ligados à cloud do Configuration Manager Gestor de Aplicações, Administrador da Escola, Operador do Suporte Técnico
Tarefas remotas/Girar BitLockerKeys (visualização) Inicia uma rotação de chave para senhas de recuperação do BitLocker no dispositivo. Apresenta a página Chaves de recuperação para dispositivos ligados à cloud do Configuration Manager. Endpoint Security Manager, Operador do Suporte Técnico

Perguntas frequentes

Tenho utilizadores apenas na cloud que precisam de acesso a dispositivos ligados ao inquilino no Intune, o que lhes dará acesso?

Sim. Quando um utilizador é apenas na cloud, neste cenário significa que está no Microsoft Entra ID e pode aceder ao Intune, a utilização do RBAC do Intune dá-lhe acesso a dispositivos ligados ao inquilino.

E se tiver várias hierarquias do Configuration Manager ligadas ao meu inquilino?

A definição Utilizar RBAC do Intune no centro de administração do Microsoft Intune aplica-se a todas as hierarquias do Configuration Manager listadas no inquilino.

O que acontece se as definições do Configuration Manager e do Intune não tiverem correspondência?

Se o botão de alternar Utilizar RBAC do Intune no Intune estiver definido como Desativado, o acesso baseado em funções do Configuration Manager será imposto, mesmo que a caixa de verificação Impor RBAC do Configuration Manager para pedidos de consola na cloud que interajam com o Configuration Manager esteja desmarcada . A desativação da opção Impor RBAC do Configuration Manager para pedidos de consola da cloud que interagem com o Configuration Manager não tem qualquer efeito até que o botão de alternar Utilizar RBAC do Intune no Intune esteja definido como Ativado.

O que acontece se a minha hierarquia de teste estiver configurada para utilizar o RBAC do Intune, mas a minha hierarquia de produção não estiver e estiver no mesmo inquilino?

A definição Utilizar RBAC do Intune aplica-se a todas as hierarquias do Configuration Manager listadas no inquilino. Os utilizadores apenas na cloud podem aceder a dispositivos ligados ao inquilino que são carregados a partir da hierarquia de teste porque também desmarquei a caixa de verificação para impor o RBAC do Configuration Manager. Se um utilizador apenas na cloud tentar aceder a um dispositivo ligado ao inquilino carregado a partir do ambiente de produção, receberá um erro, uma vez que os dispositivos de produção estão a impor o RBAC do Configuration Manager. O utilizador apenas na cloud receberá um erro semelhante à seguinte mensagem: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Próximas etapas