Microsoft Intune的内置角色权限
下表列出了Microsoft Intune的内置角色。 这些表还列出了与每个角色关联的权限。
注意
本文部分是在人工智能的帮助下创建的。 在发布之前,作者根据需要查看并修改了内容。 请参阅 我们在 Microsoft Learn 中使用 AI 生成内容的原则。
应用程序管理员
应用程序管理器管理移动和托管应用程序,可以读取设备信息,并可以查看设备配置文件。
权限 | Action |
---|---|
Android for work | 阅读 |
Android for work | 更新应用同步 |
筛选器 | 创建 |
筛选器 | Delete |
筛选器 | 阅读 |
筛选器 | 更新 |
证书连接器 | 阅读 |
云附加设备 | 执行应用程序操作 |
云附加设备 | 查看应用程序 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 查看集合 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
自定义 | 阅读 |
派生凭据 | 阅读 |
设备配置 | 阅读 |
托管应用 | Assign |
托管应用 | 创建 |
托管应用 | Delete |
托管应用 | 阅读 |
托管应用 | 更新 |
托管应用 | 擦除 |
托管设备 | 阅读 |
Microsoft Defender ATP | 阅读 |
适用于企业的 Microsoft Store | 阅读 |
移动应用程序 | Assign |
移动应用程序 | 创建 |
移动应用程序 | Delete |
移动应用程序 | 阅读 |
移动应用程序 | 与 |
移动应用程序 | 更新 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | Assign |
策略集 | 创建 |
策略集 | Delete |
策略集 | 阅读 |
策略集 | 更新 |
Windows 企业证书 | 阅读 |
端点安全管理员
管理安全性和合规性功能,例如安全基线、设备符合性、条件访问和Microsoft Defender ATP。
权限 | Action |
---|---|
Android FOTA | 阅读 |
Android for work | 阅读 |
适用于企业的应用控制 | 分配 - (添加了 2406 服务版本) |
适用于企业的应用控制 | 创建 - (添加了 2406 服务版本) |
适用于企业的应用控制 | 删除 - (随 2406 服务版本) 添加 |
适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
适用于企业的应用控制 | 更新 - (添加了 2406 服务版本) |
适用于企业的应用控制 | 查看报告 - (添加了 2406 服务版本) |
攻击面减少 | 分配 - (添加了 2406 服务版本) |
攻击面减少 | 创建 - (添加了 2406 服务版本) |
攻击面减少 | 删除 - (随 2406 服务版本) 添加 |
攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
攻击面减少 | 更新 - (添加了 2406 服务版本) |
攻击面减少 | 查看报告 - (添加了 2406 服务版本) |
审核数据 | 阅读 |
证书连接器 | 阅读 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 运行 CMPivot 查询 |
云附加设备 | 查看集合 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 查看脚本 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
公司设备标识符 | 阅读 |
自定义 | 阅读 |
派生凭据 | 阅读 |
设备符合性策略 | Assign |
设备符合性策略 | 创建 |
设备符合性策略 | Delete |
设备符合性策略 | 阅读 |
设备符合性策略 | 更新 |
设备符合性策略 | 查看报告 |
设备配置 | 阅读 |
设备配置 | 查看报告 |
设备注册管理器 | 阅读 |
终结点分析 | 阅读 |
终结点保护报告 | 阅读 |
注册计划 | 读取令牌 |
终结点检测和响应 | 分配 - (添加了 2406 服务版本) |
终结点检测和响应 | 创建 - (添加了 2406 服务版本) |
终结点检测和响应 | 删除 - (随 2406 服务版本) 添加 |
终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
终结点检测和响应 | 更新 - (添加了 2406 服务版本) |
终结点检测和响应 | 查看报告 - (添加了 2406 服务版本) |
终结点特权管理策略创作 | Assign |
终结点特权管理策略创作 | 创建 |
终结点特权管理策略创作 | Delete |
终结点特权管理策略创作 | 阅读 |
终结点特权管理策略创作 | 更新 |
终结点特权管理策略创作 | 查看报告 |
注册计划 | 读取设备 |
注册计划 | 读取配置文件 |
筛选器 | 阅读 |
Intune数据仓库 | 阅读 |
托管应用 | 阅读 |
托管设备 | Delete |
托管设备 | 阅读 |
托管设备 | 设置主要用户 |
托管设备 | 更新 |
托管设备 | 查看报告 |
托管设备 | 查询 |
Microsoft Defender ATP | 阅读 |
适用于企业的 Microsoft Store | 阅读 |
移动应用程序 | 阅读 |
移动威胁防御 | 修改 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | 阅读 |
远程协助连接器 | 阅读 |
远程协助连接器 | 查看报告 |
远程任务 | 启动Configuration Manager操作 |
远程任务 | 获取 filevault 密钥。 |
远程任务 | 立即重新启动 |
远程任务 | 远程锁定 |
远程任务 | 旋转 BitLockerKeys (预览) |
远程任务 | 轮换 filevault 密钥。 |
远程任务 | 关闭 |
远程任务 | 同步设备。 |
远程任务 | Windows defender |
角色 | 阅读 |
安全基线 | Assign |
安全基线 | 创建 |
安全基线 | Delete |
安全基线 | 阅读 |
安全基线 | 更新 |
安全基线 | 查看报告 |
安全任务 | 阅读 |
安全任务 | 更新 |
电信费用 | 阅读 |
条款和条件 | 阅读 |
Windows 企业证书 | 阅读 |
终结点特权管理器
终结点特权管理器可以在Intune控制台中管理终结点特权管理 (EPM) 策略。
权限 | Action |
---|---|
终结点特权管理策略创作 | Assign |
终结点特权管理策略创作 | 创建 |
终结点特权管理策略创作 | Delete |
终结点特权管理策略创作 | 阅读 |
终结点特权管理策略创作 | 更新 |
终结点特权管理策略创作 | 查看报告 |
组织 | 阅读 |
只读操作员
只读操作员查看用户、设备、注册、配置和应用程序信息,无法对Intune进行更改。
权限 | Action |
---|---|
Android FOTA | 阅读 |
Android for work | 阅读 |
适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
审核数据 | 阅读 |
证书连接器 | 阅读 |
云附加设备 | 查看应用程序 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 查看集合 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 查看脚本 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
公司设备标识符 | 阅读 |
自定义 | 阅读 |
派生凭据 | 阅读 |
设备符合性策略 | 阅读 |
设备符合性策略 | 查看报告 |
设备配置 | 阅读 |
设备配置 | 查看报告 |
设备注册管理器 | 阅读 |
终结点分析 | 阅读 |
终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
终结点特权管理策略创作 | 阅读 |
终结点特权管理策略创作 | 查看报告 |
终结点保护报告 | 阅读 |
注册计划 | 读取设备 |
注册计划 | 读取配置文件 |
注册计划 | 读取令牌 |
筛选器 | 阅读 |
托管应用 | 阅读 |
托管设备 | 阅读 |
托管设备 | 查看报告 |
Microsoft Defender ATP | 阅读 |
适用于企业的 Microsoft Store | 阅读 |
移动应用程序 | 阅读 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
组织消息 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | 阅读 |
静默时间策略 | 阅读 |
静默时间策略 | 查看报告 |
远程协助连接器 | 阅读 |
远程协助连接器 | 查看报告 |
远程任务 | 获取 filevault 密钥。 |
Intune数据仓库 | 阅读 |
角色 | 阅读 |
安全基线 | 阅读 |
ServiceNow | 查看事件 |
电信费用 | 阅读 |
条款和条件 | 阅读 |
Windows 企业证书 | 阅读 |
组织消息管理器
组织消息管理员可以在Intune控制台中管理组织消息。
权限 | Action |
---|---|
组织 | 阅读 |
组织消息 | Assign |
组织消息 | 创建 |
组织消息 | Delete |
组织消息 | 阅读 |
组织消息 | 更新 |
组织消息 | 更新组织消息控制 |
学校管理员
学校管理员可以管理其组的应用和设置。 他们可以对设备执行远程操作,包括远程锁定设备、重启设备以及将其从管理中停用。
权限 | Action |
---|---|
审核数据 | 阅读 |
证书连接器 | 修改 |
证书连接器 | 阅读 |
云附加设备 | 执行应用程序操作 |
云附加设备 | 查看应用程序 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 运行 CMPivot 查询 |
云附加设备 | 查看集合 |
云附加设备 | 立即注册 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 运行脚本 |
云附加设备 | 查看脚本 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
自定义 | Assign |
自定义 | 创建 |
自定义 | Delete |
自定义 | 阅读 |
自定义 | 更新 |
派生凭据 | 阅读 |
设备配置 | Assign |
设备配置 | 创建 |
设备配置 | Delete |
设备配置 | 阅读 |
设备配置 | 更新 |
设备注册管理器 | 阅读 |
设备注册管理器 | 更新 |
终结点分析 | 创建 |
终结点分析 | Delete |
终结点分析 | 阅读 |
终结点分析 | 更新 |
注册计划 | 分配配置文件 |
注册计划 | 创建配置文件 |
注册计划 | 删除设备 |
注册计划 | 删除配置文件 |
注册计划 | 读取设备 |
注册计划 | 读取配置文件 |
注册计划 | 同步设备 |
注册计划 | 更新配置文件 |
筛选器 | 创建 |
筛选器 | Delete |
筛选器 | 阅读 |
筛选器 | 更新 |
注册计划 | 创建令牌 |
注册计划 | 删除令牌 |
注册计划 | 读取令牌 |
注册计划 | 更新令牌 |
托管应用 | 创建 |
托管应用 | Delete |
托管应用 | 阅读 |
托管应用 | 更新 |
托管设备 | Delete |
托管设备 | 阅读 |
托管设备 | 设置主要用户 |
托管设备 | 更新 |
Microsoft Defender ATP | 阅读 |
适用于企业的 Microsoft Store | 修改 |
适用于企业的 Microsoft Store | 阅读 |
移动应用程序 | Assign |
移动应用程序 | 创建 |
移动应用程序 | Delete |
移动应用程序 | 阅读 |
移动应用程序 | 与 |
移动应用程序 | 更新 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | Assign |
策略集 | 创建 |
策略集 | Delete |
策略集 | 阅读 |
策略集 | 更新 |
远程协助连接器 | 阅读 |
远程协助连接器 | 更新 |
远程协助连接器 | 查看报告 |
远程帮助应用 | Elevation |
远程帮助应用 | 完全控制 |
远程帮助应用 | 查看屏幕 |
远程任务 | 更新手机网络数据计划 |
远程任务 | 清理电脑 |
远程任务 | 启动Configuration Manager操作 |
远程任务 | 收集诊断 |
远程任务 | 禁用丢失模式 |
远程任务 | 启用丢失模式 |
远程任务 | 恢复 MDM 密钥 |
远程任务 | 定位设备 |
远程任务 | 运行修正 |
远程任务 | 播放声音以查找丢失的设备 |
远程任务 | 立即重新启动 |
远程任务 | 远程锁定 |
远程任务 | 提供远程协助 |
远程任务 | 重置密码 |
远程任务 | 停用 |
远程任务 | 设置设备名称 |
远程任务 | 同步设备。 |
远程任务 | 擦除 |
Intune数据仓库 | 阅读 |
ServiceNow | 查看事件 |
条款和条件 | Assign |
条款和条件 | 创建 |
条款和条件 | Delete |
条款和条件 | 阅读 |
条款和条件 | 更新 |
Windows 企业证书 | 修改 |
Windows 企业证书 | 阅读 |
策略和配置文件管理器
策略和配置文件管理员管理合规性策略、配置文件、Apple 注册和公司设备标识符。
权限 | Action |
---|---|
Android FOTA | 阅读 |
Android for work | 阅读 |
Android for work | 更新应用同步 |
Android for work | 更新载入 |
审核数据 | 阅读 |
证书连接器 | 阅读 |
云附加设备 | 查看应用程序 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 查看集合 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 查看脚本 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
公司设备标识符 | 创建 |
公司设备标识符 | Delete |
公司设备标识符 | 阅读 |
公司设备标识符 | 更新 |
派生凭据 | 阅读 |
设备符合性策略 | Assign |
设备符合性策略 | 创建 |
设备符合性策略 | Delete |
设备符合性策略 | 阅读 |
设备符合性策略 | 更新 |
设备符合性策略 | 查看报告 |
设备配置 | Assign |
设备配置 | 创建 |
设备配置 | Delete |
设备配置 | 阅读 |
设备配置 | 更新 |
设备配置 | 查看报告 |
注册计划 | 分配配置文件 |
注册计划 | 创建设备 |
注册计划 | 创建令牌 |
注册计划 | 创建配置文件 |
注册计划 | 删除设备 |
注册计划 | 删除配置文件 |
注册计划 | 删除令牌 |
注册计划 | 读取设备 |
注册计划 | 读取令牌 |
注册计划 | 读取配置文件 |
注册计划 | 同步设备 |
注册计划 | 更新令牌 |
注册计划 | 更新配置文件 |
筛选器 | 创建 |
筛选器 | Delete |
筛选器 | 阅读 |
筛选器 | 更新 |
托管应用 | Assign |
托管应用 | 创建 |
托管应用 | Delete |
托管应用 | 阅读 |
托管应用 | 更新 |
Microsoft Defender ATP | 阅读 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | Assign |
策略集 | 创建 |
策略集 | Delete |
策略集 | 阅读 |
策略集 | 更新 |
静默时间策略 | Assign |
静默时间策略 | 创建 |
静默时间策略 | Delete |
静默时间策略 | 阅读 |
静默时间策略 | 更新 |
静默时间策略 | 查看报告 |
技术支持操作员
技术支持操作员在用户和设备上执行远程任务,并且可以将应用程序或策略分配给用户或设备。
权限 | Action |
---|---|
Android FOTA | 阅读 |
Android for work | 阅读 |
适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
审核数据 | 阅读 |
证书连接器 | 阅读 |
云附加设备 | 执行应用程序操作 |
云附加设备 | 查看应用程序 |
云附加设备 | 查看客户端详细信息 |
云附加设备 | 运行 CMPivot 查询 |
云附加设备 | 查看集合 |
云附加设备 | 立即注册 |
云附加设备 | 查看资源浏览器 |
云附加设备 | 运行脚本 |
云附加设备 | 查看脚本 |
云附加设备 | 查看软件更新 |
云附加设备 | 查看时间线 |
公司设备标识符 | 阅读 |
自定义 | 阅读 |
派生凭据 | 阅读 |
设备符合性策略 | 阅读 |
设备符合性策略 | 查看报告 |
设备配置 | 阅读 |
设备配置 | 查看报告 |
设备注册管理器 | 阅读 |
终结点分析 | 阅读 |
终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
终结点保护报告 | 阅读 |
注册计划 | 读取设备 |
注册计划 | 读取配置文件 |
注册计划 | 读取令牌 |
筛选器 | 阅读 |
托管应用 | Assign |
托管应用 | 阅读 |
托管应用 | 擦除 |
托管设备 | 阅读 |
托管设备 | 设置主要用户 |
托管设备 | 更新 |
托管设备 | 查看报告 |
Microsoft Defender ATP | 阅读 |
适用于企业的 Microsoft Store | 阅读 |
移动应用程序 | Assign |
移动应用程序 | 阅读 |
移动威胁防御 | 阅读 |
组织 | 阅读 |
合作伙伴设备管理 | 阅读 |
策略集 | 阅读 |
远程协助连接器 | 阅读 |
远程帮助应用 | Elevation |
远程帮助应用 | 完全控制 |
远程帮助应用 | 查看屏幕 |
远程任务 | 更新手机网络数据计划 |
远程任务 | 清理电脑 |
远程任务 | 启动Configuration Manager操作 |
远程任务 | 发送自定义通知 |
远程任务 | 收集诊断 |
远程任务 | 禁用丢失模式 |
远程任务 | 启用丢失模式 |
远程任务 | 启用 Windows IntuneAgent |
远程任务 | 获取 filevault 密钥。 |
远程任务 | 恢复 MDM 密钥 |
远程任务 | 定位设备 |
远程任务 | 管理共享设备用户 |
远程任务 | 运行修正 |
远程任务 | 播放声音以查找丢失的设备 |
远程任务 | 立即重新启动 |
远程任务 | 远程锁定 |
远程任务 | 提供远程协助 |
远程任务 | 重置密码 |
远程任务 | 停用 |
远程任务 | 撤销应用许可证 |
远程任务 | 旋转 BitLockerKeys (预览) |
远程任务 | 轮换 filevault 密钥。 |
远程任务 | 设置设备名称 |
远程任务 | 关闭 |
远程任务 | 同步设备。 |
远程任务 | 更新设备帐户 |
远程任务 | Windows defender |
远程任务 | 擦除 |
角色 | 阅读 |
安全基线 | 阅读 |
ServiceNow | 查看事件 |
电信费用 | 阅读 |
条款和条件 | 阅读 |
Windows 企业证书 | 阅读 |
终结点特权读取器
组织消息读取器可以在Intune控制台中查看终结点特权管理 (EPM) 策略。
权限 | Action |
---|---|
终结点特权管理策略创作 | 阅读 |
终结点特权管理策略创作 | 查看报告 |
组织 | 阅读 |
Intune 角色管理员
Intune角色管理员管理自定义Intune角色,并为内置Intune角色添加分配。 它是唯一可以向管理员分配权限的Intune角色。
权限 | Action |
---|---|
组织 | 阅读 |
角色 | Assign |
角色 | 创建 |
角色 | Delete |
角色 | 阅读 |
角色 | 更新 |