Usar o controle de acesso baseado em função (RBAC) e as marcas de escopo da TI distribuída

  • Artigo

Pode utilizar o controlo de acesso baseado em funções e etiquetas de âmbito para garantir que os administradores certos têm o acesso e visibilidade corretos para os objetos do Intune necessários. As funções determinam que administradores de acesso têm a que objetos. As etiquetas de âmbito determinam os objetos que os administradores podem ver.

Por exemplo, digamos que um administrador do escritório regional de Seattle tem a função Gestor de Políticas e Perfis. Pretende que este administrador veja e faça a gestão apenas dos perfis e políticas que se aplicam apenas aos dispositivos de Seattle. Para configurar este acesso, deve:

  1. Crie uma etiqueta de âmbito denominada Seattle.
  2. Crie uma atribuição de função para a função Gestor de Perfis e Políticas com:
    • Membros (Grupos) = um grupo de segurança denominado Administradores de TI de Seattle. Todos os administradores neste grupo terão permissão para gerir políticas e perfis para utilizadores/dispositivos no Âmbito (Grupos).
    • Âmbito (Grupos) = um grupo de segurança com o nome Utilizadores de Seattle. Todos os utilizadores/dispositivos deste grupo podem ter os respetivos perfis e políticas geridos pelos administradores nos Membros (Grupos).
    • Âmbito (Etiquetas) = Seattle. Os administradores no Membro (Grupos) podem ver objetos do Intune que também têm a etiqueta de âmbito seattle.
  3. Adicione a etiqueta de âmbito de Seattle a políticas e perfis aos quais pretende que os administradores nos Membros (Grupos) tenham acesso.
  4. Adicione a etiqueta de âmbito de Seattle aos dispositivos que pretende que sejam visíveis para os administradores nos Membros (Grupos).

Etiqueta de âmbito predefinida

A etiqueta de âmbito predefinida é adicionada automaticamente a todos os objetos não etiquetados que suportam etiquetas de âmbito.

A funcionalidade de etiqueta de âmbito predefinida é semelhante à funcionalidade de âmbitos de segurança no Microsoft Configuration Manager.

Observação

Ao configurar ou editar políticas do Intune, alguns tipos de política poderão não apresentar a página de configuração Etiquetas de Âmbito se não existirem etiquetas de âmbito definidas personalizadas para o inquilino. Se não vir a opção Etiqueta de Âmbito, certifique-se de que foi definida, pelo menos, uma etiqueta para além da etiqueta de âmbito predefinida.

Para criar uma etiqueta de âmbito

  1. No centro de administração do Microsoft Intune, selecione Âmbito dasFunções> de Administração> deInquilinos (Etiquetas)>Criar.

  2. Na página Noções básicas , forneça um Nome e uma Descrição opcional. Escolha Avançar.

  3. Na página Atribuições , selecione os grupos que contêm os dispositivos aos quais pretende atribuir esta etiqueta de âmbito. Escolha Avançar.

  4. Na página Rever + criar , selecione Criar.

    Importante

    As atribuições de etiquetas de âmbito automático substituirão as etiquetas de âmbito atribuídas manualmente. Se forem atribuídas múltiplas etiquetas de âmbito a um dispositivo através da atribuição de grupo, serão aplicadas todas as etiquetas de âmbito.

Para atribuir uma etiqueta de âmbito a uma função

  1. No centro de administração do Microsoft Intune, selecioneFunções> de administração> do inquilinoTodas as funções> selecione uma função>Atribuições> Atribuir.

  2. Na página Noções básicas , forneça um Nome da atribuição e Uma Descrição. Escolha Avançar.

  3. Na página Grupos de Administração , selecione Adicionar grupos e selecione os grupos que pretende como parte desta atribuição. Os utilizadores nestes grupos terão permissões para gerir utilizadores/dispositivos no Âmbito (Grupos). Escolha Avançar.

    Captura de ecrã a mostrar a seleção de grupos de membros.

  4. Na página Grupos de Âmbito , selecione uma das seguintes opções para Grupos incluídos:

    • Adicionar grupos: selecione os grupos que contêm os utilizadores/dispositivos que pretende gerir. Todos os utilizadores/dispositivos nos grupos selecionados serão geridos pelos utilizadores nos Grupos de Administração.
    • Adicionar Todos os utilizadores: todos os utilizadores podem ser geridos pelos utilizadores nos Grupos de Administração.
    • Adicionar Todos os dispositivos: todos os dispositivos podem ser geridos pelos utilizadores nos Grupos de Administração.

  5. Selecione Avançar

  6. Na página Marcas de escopo, selecione as marcas que você deseja adicionar a essa função. Os utilizadores nos Grupos de Administração terão acesso a objetos do Intune que também têm a mesma etiqueta de âmbito. Pode atribuir um máximo de 100 etiquetas de âmbito a uma função.

  7. Selecione Seguinte para aceder à página Rever + criar e, em seguida, selecione Criar.

Atribuir etiquetas de âmbito a outros objetos

Para objetos que suportam etiquetas de âmbito, as etiquetas de âmbito são normalmente apresentadas em Propriedades. Por exemplo, para atribuir uma etiqueta de âmbito a um perfil de configuração, siga estes passos:

  1. No centro de administração do Microsoft Intune, selecioneDispositivos>Gerir dispositivos>Configuração> escolha um perfil.

  2. Selecione Âmbito das Propriedades>(Etiquetas)>Editar>Selecionar etiquetas> de âmbito, selecione as etiquetas que pretende adicionar ao perfil. Pode atribuir um máximo de 100 etiquetas de âmbito a um objeto.

  3. Selecione Selecionar>Rever + guardar.

Detalhes da etiqueta de âmbito

Ao trabalhar com etiquetas de âmbito, lembre-se destes detalhes:

  • Pode atribuir etiquetas de âmbito a um tipo de objeto do Intune se o inquilino puder ter várias versões desse objeto (como atribuições de funções ou aplicações). Os seguintes objetos do Intune são exceções a esta regra e não suportam atualmente etiquetas de âmbito:
    • Identificadores de Dispositivo corp
    • Dispositivos Autopilot
    • Localizações de conformidade do dispositivo
    • Dispositivos Jamf
  • As aplicações e os ebooks do Volume Purchase Program (VPP) associados ao token VPP herdam as etiquetas de âmbito atribuídas ao token VPP associado.
  • Quando um administrador cria um objeto no Intune, todas as etiquetas de âmbito atribuídas a esse administrador serão automaticamente atribuídas ao novo objeto.
  • O RBAC do Intune não se aplica às funções do Microsoft Entra. Assim, as funções Administradores de Serviços do Intune e Administradores Globais têm acesso de administrador total ao Intune, independentemente das etiquetas de âmbito que tenham.
  • Se uma atribuição de função não tiver uma etiqueta de âmbito, esse administrador de TI pode ver todos os objetos com base nas permissões dos administradores de TI. Os administradores que não têm etiquetas de âmbito têm essencialmente todas as etiquetas de âmbito.
  • Só pode atribuir uma etiqueta de âmbito que tenha nas suas atribuições de funções.
  • Só pode direcionar grupos listados no Âmbito (Grupos) da sua atribuição de função.
  • Se tiver uma etiqueta de âmbito atribuída à sua função, não poderá eliminar todas as etiquetas de âmbito num objeto do Intune. É necessária, pelo menos, uma etiqueta de âmbito.

Próximas etapas

Saiba como as etiquetas de âmbito se comportam quando existem várias atribuições de funções. Faça a gestão das suas funções e perfis.