Rollbaserad åtkomstkontroll i Intune för klientanslutna klienter
Gäller för: Configuration Manager (aktuell gren)
Från och med Configuration Manager version 2207 kan du använda Rollbaserad åtkomstkontroll i Intune (RBAC) när du interagerar med klientanslutna enheter från administrationscentret för Microsoft Intune. När du till exempel använder Intune som rollbaserad åtkomstkontrollutfärdare behöver en användare med rollen Supportansvarig inte någon tilldelad säkerhetsroll eller ytterligare behörigheter från Configuration Manager. Rollbaserad åtkomstkontroll i Intune hanterar behörigheterna till alla molnanslutna enhetssidor i administrationscentret för Microsoft Intune, till exempel enhetens tidslinje, CMPivot och skript.
Viktigt
För närvarande är all tillämpning av rollbaserad åtkomstkontroll i Intune för att visa och vidta åtgärder på klientanslutna enheter från administrationscentret för Microsoft Intune valfritt. Vi rekommenderar att alla administratörer med molnanslutna Configuration Manager-miljöer börjar verifiera behörigheterna för rollbaserad åtkomstkontroll från Intune.
De tre övergripande stegen för att konfigurera Intune som rollbaserad åtkomstkontroll för klientanslutna enheter är:
- Från Configuration Manager-konsolen inaktiverar du tillämpning av rollbaserad åtkomstkontroll i Configuration Manager för molnanslutna klienter
- Från Intune aktiverar du hantering av användarbehörigheter för molnanslutna enheter
- Verifiera rollbaserade åtkomstkontrollbehörigheter för molnanslutna enheter från Intune
Förhandskrav
- Configuration Manager version 2207 eller senare
- Klientanslutna enheter
Begränsningar
- För närvarande stöds inte omfång när endast intune-rollbaserad åtkomstkontroll används för att visa och vidta åtgärder på klientanslutna enheter från administrationscentret för Microsoft Intune.
- För närvarande är sidan Programuppdateringar inte tillgänglig för molnbaserade användare när du använder den tidiga uppdateringsringen i Configuration Manager version 2207.
Inaktivera tillämpning av rollbaserad åtkomstkontroll i Configuration Manager för molnanslutna klienter
Om du vill använda rollbaserad åtkomstkontroll i Intune för klientanslutning i stället för rollbaserad åtkomstkontroll i Configuration Manager använder du anvisningarna nedan:
Från Configuration Manager-konsolen går du till Administration>Cloud Services>Cloud Attach.
Platsen för det rollbaserade åtkomstkontrollalternativet varierar beroende på om din miljö redan är molnansluten eller inte.
- Om din miljö redan är molnansluten öppnar du egenskaperna för CoMgmtSettingsProd. Om du inte har överfört enheter till administrationscentret konfigurerar du det alternativet först. Mer information finns i Aktivera molnanslutning.
- Om din miljö inte är molnansluten väljer du Konfigurera molnanslutning för att öppna guiden Konfiguration av molnanslutning.
På fliken Konfigurera uppladdning eller sidan i guiden avmarkerar du kryssrutan för följande alternativ under rubriken Rollbaserad åtkomstkontroll :
Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager
Välj OK för att spara ändringen av egenskaperna CoMgmtSettingsProd eller fortsätt med att slutföra guiden för molnanslutning.
Aktivera rollbaserad åtkomstkontroll från Intune
Använd följande steg för att aktivera Intune för att hantera användarbehörigheter för molnanslutna enheter:
- Öppna administrationscentret för Microsoft Intune och logga in som en användare som har behörigheten Roller/Uppdatering . Mer information om behörigheten finns i anpassade rollbehörigheter i Intune.
- Välj Anslutningsappar för klientadministration>och token>i Microsoft Endpoint Configuration Manager.
- I banderollen väljer du Du kan också hantera användarbehörigheter från Intune. Klicka här om du vill veta mer om det här alternativet.
- Den utfällbara menyn Använd Intune RBAC visas.
- Välj På för alternativet Använd Intune RBAC och välj sedan Använd.
- Ändringen kan ta cirka 10 minuter att börja gälla.
Verifiera behörigheter för rollbaserad åtkomstkontroll från Intune
När Intune har angetts till den rollbaserade åtkomstkontrollmyndigheten kontrollerar du behörigheterna för dina roller. Om det behövs kan du lägga till dessa behörigheter till anpassade roller som du skapade i Intune.
- Öppna administrationscentret för Microsoft Intune och logga in.
- Välj Administrationsroller för klientorganisation>.
- Välj en roll, till exempel Application Manager, och granska de behörigheter som anges för molnanslutna enheter. Om det behövs redigerar du behörigheter för alla anpassade roller som du har skapat i Intune.
Följande Intune-behörigheter styr åtkomsten till de molnanslutna Configuration Manager-enheterna:
| Behörighet | Beskrivning | Intune-inbyggda roller med behörigheten |
|---|---|---|
| Molnanslutna enheter\Visa samlingar | Visar sidan Samlingar för Molnanslutna Configuration Manager-enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa resursutforskaren | Visar sidan Resursutforskaren för Molnanslutna Configuration Manager-enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa tidslinje | Visar sidan Tidslinje för Molnanslutna Configuration Manager-enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Visa programuppdateringar | Visar sidan Programuppdateringar för Molnanslutna Configuration Manager-enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör, skoladministratör, supportansvarig |
| Molnanslutna enheter\Visa skript | Visar sidan Skript för Molnanslutna Configuration Manager-enheter | Endpoint Security Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Kör skript | Visar åtgärden Kör skript och låter användaren köra skript på molnanslutna Configuration Manager-enheter | Skoladministratör, supportansvarig |
| Molnanslutna enheter\Kör CMPivot-fråga | Visar CMPivot-sidan för molnanslutna Configuration Manager-enheter | Endpoint Security Manager, Skoladministratör, Supportansvarig |
| Molnanslutna enheter\Visa klientinformation | Visar sidan Klientinformation för molnanslutna Configuration Manager-enheter | Application Manager, Endpoint Security Manager, skrivskyddad operatör,Skoladministratör, Principprofilhanterare, Supportansvarig |
| Molnanslutna enheter\Visa program | Visar sidan Program för Molnanslutna Configuration Manager-enheter | Application Manager, skrivskyddad operatör, skoladministratör, principprofilhanterare, supportansvarig |
| Molnanslutna enheter\Vidta programåtgärder | Visar programåtgärder på sidan Program och låter användaren vidta programåtgärder på molnanslutna Configuration Manager-enheter | Programansvarig, skoladministratör, supportansvarig |
| Fjärruppgifter/Rotera BitLockerKeys (förhandsversion) | Initierar en nyckelrotation för BitLocker-återställningslösenord på enheten. Visar sidan Återställningsnycklar för Molnanslutna Configuration Manager-enheter. | Endpoint Security Manager, supportansvarig |
Vanliga frågor och svar
Jag har molnbaserade användare som behöver åtkomst till klientanslutna enheter i Intune, kommer detta att ge dem åtkomst?
Ja. När en användare endast är i molnet innebär det i det här scenariot att de finns i Microsoft Entra-ID och kan komma åt Intune. Med Intune RBAC får de åtkomst till klientanslutna enheter.
Vad händer om jag har flera Configuration Manager-hierarkier anslutna till min klientorganisation?
Inställningen Använd Intune RBAC i administrationscentret för Microsoft Intune gäller för alla Configuration Manager-hierarkier som anges i klientorganisationen.
Vad händer om Configuration Manager- och Intune-inställningarna är felmatchade?
Om växlingsknappen Använd Intune RBAC i Intune är inställd på Av tillämpas rollbaserad åtkomst i Configuration Manager, även om kryssrutan Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager avmarkeras. Inaktivering av alternativet Framtvinga Configuration Manager RBAC för molnkonsolbegäranden som interagerar med Configuration Manager har ingen effekt förrän växlingsknappen Använd Intune RBAC i Intune har angetts till På.
Vad händer om min testhierarki har konfigurerats för att använda Intune RBAC, men min produktionshierarki inte är det och de finns i samma klientorganisation?
Inställningen Använd Intune RBAC gäller för alla Configuration Manager-hierarkier som anges i klientorganisationen. Endast molnanvändare kan komma åt klientanslutna enheter som laddas upp från testhierarkin eftersom du också har avmarkerat kryssrutan för att framtvinga Configuration Manager RBAC. Om en molnbaserad användare försöker komma åt en klientansluten enhet som laddats upp från produktionsmiljön får de ett felmeddelande eftersom produktionsenheter tillämpar Configuration Manager RBAC. Den molnbaserade användaren får ett fel som liknar följande meddelande: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Nästa steg
- Granska tidslinjen för en molnansluten enhet
- Köra en CMPivot-fråga på en molnansluten enhet