Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Administrador de configuración (rama actual)
A partir de Administrador de configuración versión 2207, puede usar Intune control de acceso basado en rol (RBAC) al interactuar con dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune. Por ejemplo, al usar Intune como entidad de control de acceso basada en rol, un usuario con el rol Operador del departamento de soporte técnico no necesita un rol de seguridad asignado ni permisos adicionales de Administrador de configuración. Intune control de acceso basado en rol administra los permisos para todas las páginas de dispositivos conectados a la nube en el centro de administración de Microsoft Intune, como la escala de tiempo del dispositivo, CMPivot y scripts.
Importante
Actualmente, cualquier aplicación de Intune control de acceso basado en rol para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune es opcional. Se recomienda que todos los administradores con entornos de Administrador de configuración conectados a la nube comiencen a comprobar los permisos de control de acceso basado en rol de Intune.
Los tres pasos de alto nivel para configurar Intune como entidad de control de acceso basada en rol para dispositivos conectados a inquilinos son:
- Desde la consola de Administrador de configuración, deshabilite la aplicación de Administrador de configuración control de acceso basado en rol para los clientes conectados a la nube.
- Desde Intune, habilite la administración de permisos de usuario para dispositivos conectados a la nube
- Desde Intune, compruebe los permisos de control de acceso basado en rol para dispositivos conectados a la nube.
Requisitos previos
- Administrador de configuración versión 2207 o posterior
- Dispositivos conectados a inquilinos
Limitaciones
- Actualmente no se admite el ámbito cuando se usa solo Intune control de acceso basado en rol para mostrar y realizar acciones en dispositivos conectados a inquilinos desde el centro de administración de Microsoft Intune.
- Actualmente, la página Actualizaciones de software no está disponible para los usuarios solo en la nube cuando se usa el anillo de actualización temprana de Administrador de configuración versión 2207.
Deshabilitación de la aplicación de Administrador de configuración control de acceso basado en rol para clientes conectados a la nube
Para usar Intune control de acceso basado en rol para la asociación de inquilinos en lugar de Administrador de configuración control de acceso basado en rol, siga estas instrucciones:
En la consola de Administrador de configuración, vaya a Administración>Cloud Services>Cloud Attach.
La ubicación de la opción de control de acceso basado en rol varía en función de si el entorno ya está conectado a la nube o no.
- Si el entorno ya está conectado a la nube, abra las propiedades de CoMgmtSettingsProd. Si no tiene dispositivos cargados en el centro de administración, configure primero esa opción. Para obtener más información, vea Habilitar la asociación en la nube.
- Si el entorno no está conectado a la nube, seleccione Configurar la conexión a la nube para abrir el Asistente para la configuración de conexión a la nube.
En la pestaña Configurar carga o en la página del asistente, desactive la casilla de la siguiente opción en el encabezado Access Control basado en roles:
Aplicar Administrador de configuración RBAC para las solicitudes de consola en la nube que interactúan con Administrador de configuración
Elija Aceptar para guardar el cambio en las propiedades de CoMgmtSettingsProd o continuar para completar el asistente de asociación a la nube.
Habilitación del control de acceso basado en rol desde Intune
Para habilitar Intune para administrar permisos de usuario para dispositivos conectados a la nube, siga estos pasos:
- Abra el centro de administración de Microsoft Intune e inicie sesión como un usuario que tenga el permiso Roles/Actualizar. Para obtener más información sobre el permiso, consulte permisos de rol personalizados en Intune.
- Seleccione Administración de inquilinos>Conectores y tokens>Microsoft Endpoint Configuration Manager.
- En el banner, seleccione También puede administrar los permisos de usuario desde Intune. Haga clic aquí para obtener más información sobre esta opción.
- Aparece el control flotante Usar Intune RBAC.
- Seleccione Activado en la opción Usar Intune RBAC y, a continuación, elija Aplicar.
- El cambio puede tardar unos 10 minutos en surtir efecto.
Comprobar los permisos de control de acceso basado en rol de Intune
Una vez que Intune esté establecido en la entidad de control de acceso basada en roles, compruebe los permisos de los roles. Si es necesario, puede agregar estos permisos a los roles personalizados que creó en Intune.
- Abra el centro de administración de Microsoft Intune e inicie sesión.
- Seleccione Roles de administración de>inquilinos.
- Seleccione un rol, como Application Manager, y revise los permisos enumerados para los dispositivos conectados a la nube. Si es necesario, edite los permisos de los roles personalizados que haya creado en Intune.
Los siguientes permisos de Intune controlan el acceso a los dispositivos conectados a la nube Administrador de configuración:
| Permiso | Descripción | Intune roles integrados con el permiso |
|---|---|---|
| Dispositivos conectados a la nube\Ver colecciones | Muestra la página Colecciones para Administrador de configuración dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver explorador de recursos | Muestra la página Explorador de recursos para Administrador de configuración dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver escala de tiempo | Muestra la página Escala de tiempo de Administrador de configuración dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ver actualizaciones de software | Muestra la página Actualizaciones de software para Administrador de configuración dispositivos conectados a la nube | Application Manager, Endpoint Security Manager, Read Only Operator, School Administrator, Help Desk Operator |
| Dispositivos conectados a la nube\Ver scripts | Muestra la página Scripts para Administrador de configuración dispositivos conectados a la nube | Endpoint Security Manager, Read Only Operator, School Administrator, Policy Profile Manager, Help Desk Operator |
| Dispositivos conectados a la nube\Ejecutar script | Muestra la acción Ejecutar script y permite al usuario ejecutar scripts en Administrador de configuración dispositivos conectados a la nube | Administrador de la escuela, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ejecutar consulta CMPivot | Muestra la página CMPivot para Administrador de configuración dispositivos conectados a la nube | Administrador de seguridad de puntos de conexión, administrador educativo, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver detalles del cliente | Muestra la página Detalles del cliente para Administrador de configuración dispositivos conectados a la nube | Administrador de aplicaciones, Administrador de seguridad de puntos de conexión, Operador de solo lectura, Administrador educativo, Administrador de perfiles de directivas, Operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Ver aplicaciones | Muestra la página Aplicaciones para Administrador de configuración dispositivos conectados a la nube | Administrador de aplicaciones, operador de solo lectura, administrador educativo, administrador de perfiles de directivas, operador del departamento de soporte técnico |
| Dispositivos conectados a la nube\Realizar acciones de aplicación | Muestra las acciones de la aplicación en la página Aplicaciones y permite al usuario realizar acciones de aplicación en Administrador de configuración dispositivos conectados a la nube | Administrador de aplicaciones, administrador educativo, operador del departamento de soporte técnico |
| Tareas remotas/Rotar las claves de BitLockerKeys (versión preliminar) | Inicia una rotación de las claves para las contraseñas de recuperación de BitLocker en el dispositivo. Muestra la página Claves de recuperación para Administrador de configuración dispositivos conectados a la nube. | Administrador de seguridad de puntos de conexión, operador del departamento de soporte técnico |
Preguntas frecuentes
Tengo usuarios solo en la nube que necesitan acceso a dispositivos conectados a inquilinos en Intune, ¿les dará acceso?
Sí. Cuando un usuario solo está en la nube, en este escenario, lo que significa que está en Microsoft Entra ID y puede acceder a Intune, el uso de Intune RBAC le dará acceso a los dispositivos conectados al inquilino.
¿Qué ocurre si tengo varias jerarquías de Administrador de configuración conectadas a mi inquilino?
La opción Usar Intune RBAC en el centro de administración de Microsoft Intune se aplica a todas las jerarquías de Administrador de configuración enumeradas en el inquilino.
¿Qué ocurre si la configuración de Administrador de configuración y Intune no coincide?
Si el botón de alternancia Usar Intune RBAC en Intune está establecido en Desactivado, se aplicará Administrador de configuración acceso basado en rol, incluso si se aplica Administrador de configuración RBAC para las solicitudes de consola en la nube que interactúan con Administrador de configuración casilla está desactivada. Deshabilitar la opción Aplicar Administrador de configuración RBAC para las solicitudes de consola en la nube que interactúan con Administrador de configuración no tiene ningún efecto hasta que el botón de alternancia Usar Intune RBAC en Intune esté establecido en Activado.
¿Qué ocurre si mi jerarquía de pruebas está configurada para usar Intune RBAC, pero mi jerarquía de producción no es y están en el mismo inquilino?
La opción Usar Intune RBAC se aplica a todas las jerarquías de Administrador de configuración enumeradas en el inquilino. Los usuarios solo en la nube pueden acceder a dispositivos conectados a inquilinos que se cargan desde la jerarquía de pruebas porque también ha desactivado la casilla para aplicar Administrador de configuración RBAC. Si un usuario solo en la nube intenta acceder a un dispositivo conectado a un inquilino cargado desde el entorno de producción, recibirá un error, ya que los dispositivos de producción están aplicando Administrador de configuración RBAC. El usuario solo en la nube recibirá un error similar al siguiente mensaje: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Administrador de configuración.
Pasos siguientes
- Revisión de la escala de tiempo de un dispositivo conectado a la nube
- Ejecución de una consulta de CMPivot en un dispositivo conectado a la nube