Управление доступом на основе ролей Intune для клиентов, подключенных к клиенту
Относится к Configuration Manager (Current Branch)
Начиная с Configuration Manager версии 2207, вы можете использовать управление доступом на основе ролей Intune (RBAC) при взаимодействии с подключенными к клиенту устройствами из Центра администрирования Microsoft Intune. Например, при использовании Intune в качестве центра управления доступом на основе ролей пользователю с ролью оператора службы поддержки не требуется назначенная роль безопасности или дополнительные разрешения от Configuration Manager. Управление доступом на основе ролей Intune управляет разрешениями для всех страниц устройств, подключенных к облаку, в Центре администрирования Microsoft Intune, таких как временная шкала устройства, CMPivot и скрипты.
Важно!
В настоящее время применение управления доступом на основе ролей Intune для отображения и выполнения действий на подключенных к клиенту устройствах из Центра администрирования Microsoft Intune является необязательным. Мы рекомендуем всем администраторам с подключенными к облаку средами Configuration Manager начать проверку разрешений на управление доступом на основе ролей из Intune.
Ниже приведены три общих шага по настройке Intune в качестве центра управления доступом на основе ролей для устройств, подключенных к клиенту:
- В консоли Configuration Manager отключите принудительное управление доступом на основе ролей Configuration Manager для клиентов, подключенных к облаку.
- В Intune включите управление разрешениями пользователей для устройств, подключенных к облаку.
- В Intune проверьте разрешения на управление доступом на основе ролей для устройств, подключенных к облаку.
Предварительные условия
- Configuration Manager версии 2207 или более поздней
- Устройства, подключенные к клиенту
Ограничения
- В настоящее время определение области не поддерживается при использовании только управления доступом на основе ролей Intune для отображения и выполнения действий на подключенных к клиенту устройствах из Центра администрирования Microsoft Intune.
- В настоящее время страница обновления программного обеспечения недоступна для пользователей только в облаке при использовании круга раннего обновления Configuration Manager версии 2207.
Отключение принудительного применения управления доступом на основе ролей Configuration Manager для клиентов, подключенных к облаку
Чтобы использовать управление доступом на основе ролей Intune для подключения клиента, а не управление доступом на основе ролей Configuration Manager, используйте следующие инструкции:
В консоли Configuration Manager перейдите к разделу Администрирование>Облачные службы>Подключение облака.
Расположение параметра управления доступом на основе ролей зависит от того, подключена ли ваша среда к облаку.
- Если ваша среда уже подключена к облаку, откройте свойства для CoMgmtSettingsProd. Если у вас нет устройств, отправленных в Центр администрирования, сначала настройте этот параметр. Дополнительные сведения см. в статье Включение подключения к облаку.
- Если ваша среда не подключена к облаку, выберите Настроить подключение к облаку , чтобы открыть мастер настройки облачного подключения.
На вкладке Настройка отправки или на странице мастера снимите флажок для следующего параметра в заголовке Управление доступом на основе ролей :
Применение RBAC Configuration Manager для запросов облачной консоли, взаимодействующих с Configuration Manager
Нажмите кнопку ОК , чтобы сохранить изменения в свойствах CoMgmtSettingsProd , или продолжить работу, чтобы завершить работу мастера подключения к облаку.
Включение управления доступом на основе ролей из Intune
Чтобы включить Intune для управления разрешениями пользователей для устройств, подключенных к облаку, выполните следующие действия.
- Откройте Центр администрирования Microsoft Intune и войдите в систему от имени пользователя с разрешением "Роли и обновление ". Дополнительные сведения о разрешении см. в разделе Разрешения пользовательских ролей в Intune.
- Выберите соединители администрирования клиента>и маркеры>Microsoft Endpoint Configuration Manager.
- В баннере выберите Вы также можете управлять разрешениями пользователей из Intune. Щелкните здесь, чтобы узнать больше об этом параметре.
- Откроется всплывающее окно Использование Intune RBAC .
- Выберите Вкл . для параметра Использовать Intune RBAC , а затем нажмите кнопку Применить.
- Для изменения может потребоваться около 10 минут.
Проверка разрешений на управление доступом на основе ролей в Intune
После того как Intune будет задан центр управления доступом на основе ролей, проверьте разрешения для ролей. При необходимости эти разрешения можно добавить к пользовательским ролям , созданным в Intune.
- Откройте Центр администрирования Microsoft Intune и войдите в систему.
- ВыберитеРолиадминистрирования> клиента.
- Выберите роль, например Диспетчер приложений, и просмотрите разрешения, перечисленные для подключенных к облаку устройств. При необходимости измените разрешения для всех пользовательских ролей, созданных в Intune.
Доступ к устройствам, подключенным к облаку Configuration Manager, управляют следующими разрешениями Intune:
Разрешение | Описание | Встроенные роли Intune с разрешением |
---|---|---|
Устройства, подключенные к облаку\Просмотр коллекций | Отображает страницу Коллекции для устройств, подключенных к облаку Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
Устройства, подключенные к облаку\Просмотр обозревателя ресурсов | Отображает страницу Обозревателя ресурсов для устройств, подключенных к облаку Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
Устройства, подключенные к облаку\Просмотр временной шкалы | Отображает страницу Временная шкала для устройств, подключенных к облаку Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
Устройства, подключенные к облаку\Просмотр обновлений программного обеспечения | Отображает страницу Обновления программного обеспечения для устройств, подключенных к облаку Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator |
Устройства, подключенные к облаку\Просмотр скриптов | Отображает страницу Скрипты для устройств, подключенных к облаку Configuration Manager | Endpoint Security Manager, Оператор только для чтения, Администратор учебного заведения, Диспетчер профилей политик, Оператор службы технической поддержки |
Устройства, подключенные к облаку\Запуск скрипта | Отображает действие Выполнить скрипт и позволяет пользователю выполнять скрипты на устройствах, подключенных к облаку Configuration Manager. | Администратор учебного заведения, оператор службы технической поддержки |
Устройства, подключенные к облаку\Выполнение запроса CMPivot | Отображает страницу CMPivot для устройств, подключенных к облаку Configuration Manager | Диспетчер безопасности конечных точек, администратор учебного заведения, оператор службы технической поддержки |
Устройства, подключенные к облаку\Просмотр сведений о клиенте | Отображает страницу сведений о клиенте для устройств, подключенных к облаку Configuration Manager | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
Устройства, подключенные к облаку\Просмотр приложений | Отображает страницу Приложения для устройств, подключенных к облаку Configuration Manager | Диспетчер приложений, оператор только для чтения, администратор учебного заведения, диспетчер профилей политик, оператор службы поддержки |
Устройства, подключенные к облаку,\Выполнение действий приложения | Отображает действия приложения на странице "Приложения" и позволяет пользователю выполнять действия приложений на устройствах, подключенных к облаку Configuration Manager. | Диспетчер приложений, администратор учебного заведения, оператор службы технической поддержки |
Удаленные задачи/Сменить BitLockerKeys (предварительная версия) | Инициирует смену ключей для паролей восстановления BitLocker на устройстве. Отображает страницу Ключи восстановления для устройств, подключенных к облаку Configuration Manager. | Диспетчер безопасности конечных точек, оператор службы технической поддержки |
Вопросы и ответы
У меня есть только облачные пользователи, которым нужен доступ к устройствам, подключенным к клиенту, в Intune. Это даст им доступ?
Да. Если пользователь работает только в облаке, в этом сценарии он находится в идентификаторе Microsoft Entra и может получить доступ к Intune. Использование Intune RBAC предоставит ему доступ к устройствам, подключенным к клиенту.
Что делать, если к моему клиенту подключено несколько иерархий Configuration Manager?
Параметр Использовать Intune RBAC в Центре администрирования Microsoft Intune применяется ко всем иерархиям Configuration Manager, перечисленным в клиенте.
Что произойдет, если параметры Configuration Manager и Intune не совпадают?
Если для переключателя Использовать Intune RBAC в Intune установлено значение Выкл., доступ на основе ролей Configuration Manager будет применяться, даже если флажок Применить Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager , снят. Отключение параметра Применить Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager , не оказывает никакого влияния до тех пор, пока переключатель Использовать RBAC Intune в Intune не будет установлен в значение Вкл.
Что произойдет, если моя тестовая иерархия настроена для использования Intune RBAC, а моя рабочая иерархия — нет, и они находятся в одном клиенте?
Параметр Использовать Intune RBAC применяется ко всем иерархиям Configuration Manager, перечисленным в клиенте. Только облачные пользователи могут получать доступ к устройствам, подключенным к клиенту, которые передаются из тестовой иерархии, так как вы также снимите флажок для принудительного применения RBAC Configuration Manager. Если пользователь только в облаке пытается получить доступ к подключенному к клиенту устройству, отправленному из рабочей среды, он получит ошибку, так как рабочие устройства применяют RBAC Configuration Manager. Пользователь, доступный только в облаке, получит сообщение об ошибке, похожее на следующее сообщение: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Дальнейшие действия
- Просмотр временной шкалы для устройства, подключенного к облаку
- Выполнение запроса CMPivot на устройстве, подключенном к облаку