为 Intune 用户分配角色

可向 Intune 用户分配内置角色或自定义角色。

若要创建、编辑或分配角色,帐户必须在 Microsoft Entra ID 中具有以下权限之一:

  • 全局管理员
  • Intune 服务管理员
  1. Microsoft Intune管理中心,选择“租户管理>角色”“>所有角色”。

  2. “终结点管理器角色 - 所有角色”页中,选择要分配>>内置角色“分配+ 分配”。

  3. “基本信息”页上,输入“分配名称”和可选“分配说明”,然后选择“下一步”

  4. 在“管理组”页面上,选择包含要向其授予权限的用户的组。 选择“下一步”。

  5. 在“作用域 (组) ”页上,选择包含允许所选成员管理的用户/设备的组。 还可以选择 “所有用户和/或所有设备”。 选择“下一步”。

    注意

    “所有用户”和“所有设备Intune虚拟组,而不是Microsoft Entra安全组。 因此,出于范围 (组) 分配目的,不能将它们用作Microsoft Entra安全组的父级。 如果需要“所有用户”和“所有设备”以及范围 (组) 分配的特定Microsoft Entra安全组,则必须使用单独的分配单独添加它们。 否则,即使角色的作用域 (组) 分配设置为“所有用户”,此角色中的管理员也无权访问特定的Microsoft Entra用户组。

    对于Microsoft Entra安全组,支持嵌套。

  6. 在“ 作用域 (标记) ”页上,选择应用此角色分配的标记。 选择“下一步”。

  7. 完成后,在“查看 + 创建”页上,选择“创建”。 新分配将显示在分配列表中。

    注意

    创建作用域组并分配作用域标记时,只能定位角色分配的“作用域(组)”中列出的组。

后续步骤