Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT

Du kan använda rollbaserad åtkomstkontroll och omfångstaggar för att se till att rätt administratörer har rätt åtkomst och synlighet för nödvändiga Intune-objekt. Roller avgör vilken åtkomst administratörer har till vilka objekt. Omfångstaggar avgör vilka objekt administratörer kan se.

Anta till exempel att en regional kontorsadministratör i Seattle har rollen Princip- och profilhanterare. Du vill att den här administratören endast ska se och hantera de profiler och principer som endast gäller för Seattle-enheter. Om du vill konfigurera den här åtkomsten gör du så här:

  1. Skapa en omfångstagg med namnet Seattle.
  2. Skapa en rolltilldelning för rollen Princip- och profilhanterare med:
    • Medlemmar (grupper) = En säkerhetsgrupp med namnet Seattle IT-administratörer. Alla administratörer i den här gruppen har behörighet att hantera principer och profiler för användare/enheter i omfånget (grupper).
    • Omfång (grupper) = En säkerhetsgrupp med namnet Seattle-användare. Alla användare/enheter i den här gruppen kan ha sina profiler och principer hanterade av administratörerna i medlemmar (grupper).
    • Omfång (taggar) = Seattle. Administratörer i medlemmen (grupper) kan se Intune-objekt som också har omfångstaggen Seattle.
  3. Lägg till omfångstaggen Seattle i principer och profiler som du vill att administratörer i Medlemmar (Grupper) ska ha åtkomst till.
  4. Lägg till omfångstaggen Seattle till enheter som du vill ska vara synliga för administratörer i medlemmar (grupper).

Standardomfångstagg

Standardomfångstaggen läggs automatiskt till i alla otaggade objekt som stöder omfångstaggar.

Standardfunktionen för omfångstagg liknar funktionen för säkerhetsomfattningar i Microsoft Configuration Manager.

Obs!

När du konfigurerar eller redigerar Intune-principer kanske vissa principtyper inte visar konfigurationssidan Omfångstaggar om det inte finns några anpassade definierade omfångstaggar för klientorganisationen. Om du inte ser alternativet Omfångstagg kontrollerar du att minst en tagg utöver standardomfångstaggen har definierats.

Så här skapar du en omfångstagg

  1. I administrationscentret för Microsoft Intune väljer duRoller> för innehavaradministration>Omfång (taggar)>Skapa.

  2. På sidan Grundläggande anger du ett Namn och en valfri Beskrivning. Välj Nästa.

  3. På sidan Tilldelningar väljer du de grupper som innehåller de enheter som du vill tilldela den här omfångstaggen. Välj Nästa.

  4. På sidan Granska + skapa väljer du Skapa.

    Viktigt

    Tilldelningar av automatiska omfångstaggar skriver över manuellt tilldelade omfångstaggar. Om en enhet tilldelas flera omfångstaggar via grupptilldelning gäller alla omfångstaggar.

Tilldela en omfångstagg till en roll

  1. I administrationscentret för Microsoft Intune väljer du Innehavaradministrationsroller>>Alla roller> väljer en roll >Tilldelningar>Tilldela.

  2. På sidan Grundläggande anger du ett tilldelningsnamn och en beskrivning. Välj Nästa.

  3. På sidan Administratörsgrupper väljer du Lägg till grupper och väljer de grupper som du vill använda som en del av den här tilldelningen. Användare i dessa grupper har behörighet att hantera användare/enheter i omfånget (grupper). Välj Nästa.

    Skärmbild av utvalda medlemsgrupper.

  4. På sidan Omfångsgrupper väljer du något av följande alternativ för Inkluderade grupper:

    • Lägg till grupper: Välj de grupper som innehåller de användare/enheter som du vill hantera. Alla användare/enheter i de valda grupperna hanteras av användarna i administratörsgrupperna.
    • Lägg till Alla användare: Alla användare kan hanteras av användarna i administratörsgrupperna.
    • Lägg till Alla enheter: Alla enheter kan hanteras av användarna i administratörsgrupperna.
  5. Välj Nästa

  6. På sidan Omfångstaggar väljer du de taggar som du vill lägga till i den här rollen. Användare i administratörsgrupperna har åtkomst till Intune-objekt som också har samma omfångstagg. Du kan tilldela högst 100 omfångstaggar till en roll.

  7. Välj Nästa för att gå till sidan Granska + skapa och välj sedan Skapa.

Tilldela omfångstaggar till andra objekt

För objekt som stöder omfångstaggar visas omfångstaggar vanligtvis under Egenskaper. Om du till exempel vill tilldela en omfångstagg till en konfigurationsprofil följer du dessa steg:

  1. I administrationscentret för Microsoft Intune väljer du Enheter>Hantera enheter>Konfiguration> välj en profil.

  2. Välj Egenskaper>omfång (taggar)>Redigera>Välj omfångstaggar> välj de taggar som du vill lägga till i profilen. Du kan tilldela högst 100 omfångstaggar till ett objekt.

  3. Välj Välj>Granska + spara.

Information om omfångstagg

Kom ihåg följande information när du arbetar med omfångstaggar:

  • Du kan tilldela omfångstaggar till en Intune-objekttyp om klientorganisationen kan ha flera versioner av objektet (till exempel rolltilldelningar eller appar). Följande Intune-objekt är undantag från den här regeln och stöder för närvarande inte omfångstaggar:
    • Enhetsidentifierare för corp
    • Autopilot-enheter
    • Platser för enhetsefterlevnad
    • Jamf-enheter
  • VPP-appar (Volume Purchase Program) och e-böcker som är associerade med VPP-token ärver omfångstaggar som tilldelats till den associerade VPP-token.
  • När en administratör skapar ett objekt i Intune tilldelas alla omfångstaggar som tilldelats administratören automatiskt till det nya objektet.
  • Intune RBAC gäller inte för Microsoft Entra-roller. Så rollerna Intune-tjänstadministratörer och globala administratörer har fullständig administratörsåtkomst till Intune oavsett vilka omfångstaggar de har.
  • Om en rolltilldelning inte har någon omfångstagg kan IT-administratören se alla objekt baserat på IT-administratörsbehörigheterna. Administratörer som inte har några omfångstaggar har i princip alla omfångstaggar.
  • Du kan bara tilldela en omfångstagg som du har i dina rolltilldelningar.
  • Du kan bara rikta grupper som visas i omfånget (grupper) för din rolltilldelning.
  • Om du har en omfångstagg tilldelad till din roll kan du inte ta bort alla omfångstaggar för ett Intune-objekt. Minst en omfångstagg krävs.

Nästa steg

Lär dig hur omfångstaggar beter sig när det finns flera rolltilldelningar. Hantera dina roller och profiler.