Microsoft Intune 中的基于角色的访问控制 (RBAC)。

基于角色的访问控制 (RBAC) 有助于管理有权访问组织资源的用户及其可以对这些资源执行的操作。 通过向 Intune 用户 分配角色,可以限制其可查看和更改的内容。 每个角色都有一组权限,用于确定具有该角色的用户可以在组织内访问和更改的内容。

若要创建、编辑或分配角色,帐户必须在 Microsoft Entra ID 中具有以下权限之一:

  • 全局管理员
  • Intune 服务管理员(也称为 Intune 管理员
  • 具有角色权限的Intune角色

角色

角色定义授予分配给该角色的用户的权限集。 可以使用内置和自定义角色。 内置角色涵盖一些常见的 Intune 方案。 可以使用所需的确切权限集创建自己的自定义角色。 多个Microsoft Entra角色有权Intune。 若要查看Intune管理中心中的角色,请转到租户管理>角色>所有角色>选择角色。 可以在以下页面上管理角色:

  • 属性:角色的名称、说明、权限和作用域标记。
  • 分配角色分配 列表,用于定义哪些用户对于哪些用户/设备具有访问权限。 一个角色可以有多个分配,而一个用户可以位于多个分配中。

注意

为了能够管理 Intune,你必须拥有分配的 Intune 许可证。 或者,可以通过将“允许未经许可的管理员访问”设置为“是”,允许非许可用户管理 Intune。

内置角色

无需进一步配置,即可向组分配内置角色。 无法删除或编辑内置角色的名称、说明、类型或权限。

  • 应用程序管理员:管理移动和托管应用程序,可读取设备信息和查看设备配置文件。
  • 终结点特权管理器:在Intune控制台中管理终结点特权管理策略。
  • 终结点特权读取器:终结点特权读取器可以在Intune控制台中查看终结点特权管理策略。
  • 终结点安全管理器:管理安全性和合规性功能,例如安全基线、设备符合性、条件访问和Microsoft Defender for Endpoint。
  • 技术支持人员:对用户和设备执行远程任务,并可以将应用程序或策略分配给用户或设备。
  • Intune 角色管理员:管理自定义 Intune 角色和添加内置 Intune 角色分配。 这是唯一可向管理员分配权限的 Intune 角色。
  • 策略和配置文件管理员:管理合规性策略、配置文件、Apple 注册、企业设备标识符和安全基线。
  • 组织消息管理器:管理Intune控制台中的组织消息。
  • 只读操作员:查看用户、设备、注册、配置和应用程序信息。 无法更改 Intune。
  • 学校管理员:在 Intune for Education 中管理 Windows 10 设备
  • 云电脑管理员:云电脑管理员有权读取和写入位于云电脑区域内的所有云电脑功能。
  • 云电脑阅读器:云电脑读取器有权读取位于云电脑区域内的所有云电脑功能。

自定义角色

使用自定义权限,可以创建自己的角色。 有关自定义角色的详细信息,请参阅创建自定义角色

具有Intune访问权限的Microsoft Entra角色

Microsoft建议遵循最低权限原则,只为管理员分配执行其职责所需的最低权限。 全局管理员和Intune服务管理员是特权角色,分配应受到限制。

Microsoft Entra角色 所有 Intune 数据 Intune 审核数据
全局管理员 读/写 读/写
Intune 服务管理员 读/写 读/写
条件访问管理
安全管理员 只读(终结点安全性节点的完全管理权限) 只读
安全操作员 只读 只读
安全信息读取者 只读 只读
合规管理员 只读
合规数据管理员 只读
全局读者 (此角色等效于Intune技术支持操作员角色) 只读 只读
支持管理员 (此角色等效于Intune技术支持操作员角色) 只读 只读
报告读取者 None 只读

提示

Intune还显示了三个Microsoft Entra扩展:用户条件访问,它们使用 Microsoft Entra RBAC 进行控制。 此外,用户帐户管理员仅执行Microsoft Entra用户/组活动,不具有执行Intune中所有活动的完全权限。 有关详细信息,请参阅包含Microsoft Entra ID的 RBAC

Intune Privileged Identity Management

Intune支持两种角色提升方法。 这两种方法之间存在性能和最小特权差异。

将 PIM 提升用于Microsoft Entra ID内置Intune管理员角色时,提升通常在 10 秒内发生。 Intune自定义角色的 PIM 基于组提升可能需要长达 15 分钟才能应用。

角色分配

角色分配定义:

  • 分配到角色的用户
  • 用户可以使用的资源
  • 用户可以更改的资源。

可以将自定义角色和内置角色分配给Intune中的管理员用户。 用户必须有 Intune 许可证,才能分配有 Intune 角色。 若要查看角色分配,请选择“Intune>租户管理>角色>所有角色>选择角色 >分配>选择分配”。 在 “属性” 页上,可以编辑:

  • 基本:分配名称和说明。
  • 成员:列出的 Azure 安全组中的所有用户都有权管理作用域(组)中列出的用户/设备。
  • 作用域 (组) :作用域组Microsoft Entra用户或设备的安全组,或两者,该角色分配中的管理员只能对其执行操作。 例如,将策略或应用程序部署到用户或远程锁定设备。 这些Microsoft Entra安全组中的所有用户和设备都可以由成员中的用户管理。
  • 范围标记:成员中的用户可以看到具有相同范围标记的资源。

注意

作用域标记是管理员定义,然后添加到角色分配的自由格式文本值。 在角色上添加的作用域标记控制角色本身的可见性,而角色分配中添加的范围标记将 Intune 对象(如策略和应用)或设备的可见性限制为仅限该角色分配中的管理员,因为角色分配包含一个或多个匹配的作用域标记。

多个角色分配

如果用户具有多个角色分配、权限和作用域标记,则这些角色分配将扩展到不同的对象,如下所示:

  • 如果两个或更多角色向同一对象授予权限,则权限是增量的。 例如,具有从一个角色读取权限和从另一个角色读取/写入权限的用户具有“读取/写入”的有效权限, (假设这两个角色的分配针对) 相同的范围标记。
  • 分配权限和作用域标记仅适用于相应角色的分配作用域(组)中的对象(如策略或应用)。 分配权限和作用域标记不适用于其他角色分配中的对象,除非其他分配专门授予它们。
  • 其他权限(如“创建”、“读取”、“更新”、“删除”)和作用域标记适用于任何用户分配中相同类型的所有对象(如所有策略或所有应用)。
  • 不同类型对象(如策略或应用)的权限和作用域标记彼此不适用。 例如,策略的读取权限不会为用户分配中的应用提供读取权限。
  • 如果没有任何范围标记或某些范围标记是从不同的分配分配的,则用户只能看到属于某些范围标记的一部分的设备,而无法查看所有设备。

后续步骤