分配管理员权限

适用于

  • iOS
  • Windows 10
  • Windows 11
  • Windows 11 SE

在 Intune 教育版中以管理员身份分配人员可以管理用户和设备组。 请务必仅向符合条件的个人授予这些权限,以降低Intune中未经授权或意外更改的风险。 具有管理员权限的用户只能查看和更改分配给他们的组。

组管理员可以:

  • 查看有关设备、用户和应用的信息。
  • 分配、创建、删除、查看和更新设备和用户设置。
  • 分配、创建、删除、查看和更新应用。
  • 查看报告。
  • 在设备上执行远程操作,包括重置为出厂设置、重新启动、锁定解锁的设备以及强制同步。
  • 创建、删除、查看和更新 iOS MDM 推送证书、iOS MDM 服务器令牌和 iOS VPP 令牌。
  • 分配和删除 Apple 用户发起的注册配置文件。
  • 分配和删除 Windows Autopilot 部署配置文件。
  • 在注册到 Windows Autopilot 服务的设备上启动同步。
  • 将用户分配到注册到 Windows Autopilot 服务的设备。
  • 删除注册到 Windows Autopilot 服务的设备。

生成自定义角色

使用 Intune 教育版所需的所有权限都包含在内置的 School 管理员 角色中。 如果要生成允许访问 Intune for Education 的自定义角色,可以复制内置的 School 管理员 角色,并添加/删除权限以创建所需角色。

若要生成一组自定义管理员权限,请在 Microsoft Intune 中切换到完整的管理体验,然后转到“租户管理>角色”。 有关基于角色的访问的详细信息,请参阅使用 Microsoft Intune (RBAC) 的基于角色的访问控制

分配组管理员

可通过两种方法在 Intune for Education 中分配组管理员:

  • 选择设备或用户组,然后添加新的组成员作为管理员。
  • 选择管理员组,然后添加设备或用户组供管理员管理。

将组成员添加为管理员

完成这些步骤,将管理员添加到设备或用户组。

  1. 从仪表板转到
  2. 选择组。
  3. 转到>此组的管理员管理员。
  4. 选择 “添加管理员”。
  5. 选择组。
  6. 选择 “添加组”。

添加要管理的组

完成这些步骤,将设备或用户组分配给一组管理员。

  1. 选择组。
  2. 转到此组管理的管理员>。
  3. 选择 “添加要管理的组”。
  4. 选择组。
  5. 选择 “添加组”。

删除管理员权限

若要从学校的人员中删除管理员权限,可以:

  • 选择设备或用户组并删除关联的管理员。
  • 选择管理员组并删除关联的设备或用户组。

删除管理员

完成这些步骤以从设备或用户组中删除一组管理员。

  1. “组”中,选择一个组。
  2. 转到>此组的管理员管理员。
  3. 选择一个或多个组。
  4. 选择 “删除管理员”。

删除设备或用户组

完成这些步骤以从一组管理员中删除设备或用户组。

  1. “组”中,选择一个组。
  2. 转到此组管理的管理员>。
  3. 选择一个或多个组。
  4. 选择 “删除组”。

限制 iOS VPP 令牌访问

如果你位于多个位置具有 iOS 设备的学区,最好限制对选定管理员的 VPP 令牌访问。 仅当令牌已添加到其组的受限令牌列表中时,管理员才能访问这些令牌。

  1. “组”中,选择一个组。
  2. 若要查看当前组的管理员,请选择 此组的管理员。 若要查看此组可以管理的组,请选择“ 由此组管理”。
  3. 选择管理员组,然后选择“ 更多 省略号”图标 (...) 。选择“ 限制管理员访问权限”。 此时会显示另外两个列表:
    • 顶部列表显示所有受限制的 VPP 令牌。 这些令牌及其关联的应用只能由所选组访问。
    • 底部列表显示所有不受限制的 VPP 令牌。 具有管理员权限的任何人都可以访问这些令牌及其关联的应用。
  4. 若要将令牌添加到组的受限列表,可以:
    • 使用搜索栏查找令牌。 从搜索结果中选择令牌。
    • 在不受限制的列表中查找令牌,然后选择“ 限制为这些管理员”。
  5. 选择“保存”

现在,令牌是管理员限制列表的一部分,只有这些管理员可以查看和管理令牌及其关联的应用。 对每个组重复这些步骤,将所有 VPP 令牌限制为其各自的管理员。