为 Intune 用户分配角色
若要创建、编辑或分配角色,帐户必须在 Microsoft Entra ID 中具有以下权限之一:
- 全局管理员
- Intune 服务管理员
在Microsoft Intune管理中心,选择“租户管理>角色”“>所有角色”。
在“终结点管理器角色 - 所有角色”页中,选择要分配>的>内置角色“分配+ 分配”。
在“基本信息”页上,输入“分配名称”和可选“分配说明”,然后选择“下一步”。
在“管理组”页面上,选择包含要向其授予权限的用户的组。 选择“下一步”。
在“作用域 (组) ”页上,选择包含允许所选成员管理的用户/设备的组。 还可以选择 “所有用户和/或所有设备”。 选择“下一步”。
注意
“所有用户”和“所有设备”Intune虚拟组,而不是Microsoft Entra安全组。 因此,出于范围 (组) 分配目的,不能将它们用作Microsoft Entra安全组的父级。 如果需要“所有用户”和“所有设备”以及范围 (组) 分配的特定Microsoft Entra安全组,则必须使用单独的分配单独添加它们。 否则,即使角色的作用域 (组) 分配设置为“所有用户”,此角色中的管理员也无权访问特定的Microsoft Entra用户组。
对于Microsoft Entra安全组,支持嵌套。
在“ 作用域 (标记) ”页上,选择应用此角色分配的标记。 选择“下一步”。
完成后,在“查看 + 创建”页上,选择“创建”。 新分配将显示在分配列表中。
注意
创建作用域组并分配作用域标记时,只能定位角色分配的“作用域(组)”中列出的组。