分配管理员权限
适用于:
- iOS
- Windows 10
- Windows 11
- Windows 11 SE
在 Intune 教育版中以管理员身份分配人员可以管理用户和设备组。 请务必仅向符合条件的个人授予这些权限,以降低Intune中未经授权或意外更改的风险。 具有管理员权限的用户只能查看和更改分配给他们的组。
组管理员可以:
- 查看有关设备、用户和应用的信息。
- 分配、创建、删除、查看和更新设备和用户设置。
- 分配、创建、删除、查看和更新应用。
- 查看报告。
- 在设备上执行远程操作,包括重置为出厂设置、重新启动、锁定解锁的设备以及强制同步。
- 创建、删除、查看和更新 iOS MDM 推送证书、iOS MDM 服务器令牌和 iOS VPP 令牌。
- 分配和删除 Apple 用户发起的注册配置文件。
- 分配和删除 Windows Autopilot 部署配置文件。
- 在注册到 Windows Autopilot 服务的设备上启动同步。
- 将用户分配到注册到 Windows Autopilot 服务的设备。
- 删除注册到 Windows Autopilot 服务的设备。
生成自定义角色
使用 Intune 教育版所需的所有权限都包含在内置的 School 管理员 角色中。 如果要生成允许访问 Intune for Education 的自定义角色,可以复制内置的 School 管理员 角色,并添加/删除权限以创建所需角色。
若要生成一组自定义管理员权限,请在 Microsoft Intune 中切换到完整的管理体验,然后转到“租户管理>角色”。 有关基于角色的访问的详细信息,请参阅使用 Microsoft Intune (RBAC) 的基于角色的访问控制。
分配组管理员
可通过两种方法在 Intune for Education 中分配组管理员:
- 选择设备或用户组,然后添加新的组成员作为管理员。
- 选择管理员组,然后添加设备或用户组供管理员管理。
将组成员添加为管理员
完成这些步骤,将管理员添加到设备或用户组。
- 从仪表板,选择“组”。
- 选择组。
- 转到>此组的管理员管理员。
- 选择 “添加管理员”。
- 选择组。
- 选择 “添加组”。
添加要管理的组
完成这些步骤,将设备或用户组分配给一组管理员。
- 选择组。
- 转到此组管理的管理员>。
- 选择 “添加要管理的组”。
- 选择组。
- 选择 “添加组”。
删除管理员权限
若要从学校的人员中删除管理员权限,可以:
- 选择设备或用户组并删除关联的管理员。
- 选择管理员组并删除关联的设备或用户组。
删除管理员
完成这些步骤以从设备或用户组中删除一组管理员。
- 从仪表板,选择“组”。
- 选择组。
- 转到>此组的管理员管理员。
- 选择一个或多个组。
- 选择 “删除管理员”。
删除设备或用户组
完成这些步骤以从一组管理员中删除设备或用户组。
- 从仪表板,选择“组”。
- 选择组。
- 转到此组管理的管理员>。
- 选择一个或多个组。
- 选择 “删除组”。
限制 iOS VPP 令牌访问
如果你位于多个位置具有 iOS 设备的学区,最好限制对选定管理员的 VPP 令牌访问。 仅当令牌已添加到其组的受限令牌列表中时,管理员才能访问这些令牌。
- 从仪表板,选择“组”。
- 选择组。
- 若要查看当前组的管理员,请选择 此组的管理员。 若要查看此组可以管理的组,请选择“ 由此组管理”。
- 选择管理员组 > “ 更多 省略号”图标 >“限制管理员访问权限”。 此时会显示两个附加列表:
- 顶部列表显示所有受限制的 VPP 令牌。 这些令牌及其关联的应用只能由所选组访问。
- 底部列表显示所有不受限制的 VPP 令牌。 具有管理员权限的任何人都可以访问这些令牌及其关联的应用。
- 若要将令牌添加到组的受限列表,可以:
- 使用搜索栏查找令牌。 从搜索结果中选择令牌。
- 在不受限制的列表中查找令牌,然后选择“ 限制为这些管理员”。
- 选择“保存”。
现在,令牌是管理员限制列表的一部分,只有这些管理员可以查看和管理令牌及其关联的应用。 对每个组重复这些步骤,将所有 VPP 令牌限制为其各自的管理员。