Roles de RBAC de Intune para departamentos de TI de varias regiones

Roles de RBAC de Intune para departamentos de TI de varias regiones

Hola que tal amigos, hace un par de días surgió la necesidad de poder separar los roles de los administradores de la plataforma de Microsoft Intune por regiones, por lo que cada region solamente a nivel de administradores solo pudieran ver aquellos dispositivos de acuerdo a la etiqueta marcada para poder asignarles roles específicos.

En este post vamos a ver la manera simple y resumida de cómo podemos realizar esta configuración desde la consola de Microsoft Intune.

De acuerdo a la documentación de Microsoft tenemos un par de ejemplos.

Puedes usar el control de acceso basado en rol y las etiquetas de ámbito para asegurarse de que los administradores adecuados tienen el acceso y la visibilidad adecuados a los objetos Intune adecuados. Los roles determinan qué administradores de acceso tienen a qué objetos. Las etiquetas de ámbito determinan qué objetos pueden ver los administradores.

Por ejemplo, supongamos que un administrador de la oficina regional de México tiene el rol Administrador de directivas y perfiles. Quiere que este administrador vea y administre solo los perfiles y las directivas que solo se aplican a los dispositivos de México. Para configurar este acceso, hacemos lo siguiente:

  1. Creamos una etiqueta de ámbito denominada México.
  2. Creamos una asignación de roles para el rol Administrador de perfiles y directivas con:
    • Miembros (grupos) = Un grupo de seguridad denominado Administradores de TI de México. Todos los administradores de este grupo tendrán permiso para administrar directivas y perfiles para usuarios o dispositivos en el ámbito (grupos).
    • Ámbito (grupos) = un grupo de seguridad denominado Usuarios de México. Todos los usuarios o dispositivos de este grupo pueden tener sus perfiles y directivas administrados por los administradores de los miembros (grupos).
    • Ámbito (etiquetas) = México. Los administradores del miembro (grupos) pueden ver Intune objetos que también tienen la etiqueta de ámbito de México.
  3. Agregamos la etiqueta de ámbito de México a las directivas y perfiles a los que quiere que los administradores de Miembros (grupos) tengan acceso.
  4. Agregamos la etiqueta de ámbito de México a los dispositivos que desee que estén visibles para los administradores de los miembros (grupos).

Para este ejemplo particular vamos a crear una etiqueta de ámbito. vamos a Tenant administration – Roles – Scope tag.

En la parte de las asignaciones vamos a colocar el grupo de dispositivos que van a tener esta etiqueta de ámbito, ósea todo equipo y objeto que este dentro de este grupo se le asignara la etiqueta seleccionada.

para este caso tenemos un grupo creado llamado CPC-TAG_Devices.

Si vamos al grupo tendremos estos dispositivos agregados.

Ahora bien, procedemos a crear un rol o asignar uno de los que ya están predeterminados por el sistema. Para ello vamos a la parte de Roles y podemos definir de acuerdo a las características de acceso que queremos que tengan nuestros administradores de TI para cada region, en nuestro caso particular he creado un rol llamada HIDE MDS.

Podemos ver algunos de los permisos para este rol creado.

Dentro del rol vamos a crear una nueva asignación llamada Scope TAG.

y aquí dentro de la configuración viene la parte importante, como podemos observar en la siguiente imagen, debemos tener otro grupo de administradores de TI de usuarios a los que se les va a asignar la etiqueta de ámbito por consiguiente estarán ligados al grupo de dispositivos con el scope de México.

Veamos cuales son los usuarios agregados al grupo de RBAC Demo.

Para poder validar los dispositivos a los que se les a agregado la etiqueta podemos ir a la sección de dispositivos y en propiedades podremos ver la etiqueta asignada.

Esperamos un par de minutos y listo, ahora veamos el ejemplo con el administrador global de Intune el cual podemos ver todos los dispositivos enlistados.

Ahora cambiamos de usuario y una vez aplicado el proceso solamente podremos ver los 3 equipos a los cuales se les asigno la etiqueta de México.

Sin mas por el momento me despido enviándoles un gran saludo a todos mis lectores, estamos con nuevos post.

Tabla de contenidos

Categorías

Categorías
Translate »