Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Twoja subskrypcja platformy Microsoft 365 lub Office 365 zawiera zestaw ról administratora, które można przypisać do wszystkich użytkowników w organizacji przy użyciu Centrum administracyjne platformy Microsoft 365 pod adresem https://admin.microsoft.com. Każda rola administratora jest powiązana z typowymi funkcjami biznesowymi i zapewnia osobom w Twojej organizacji uprawnienia do wykonywania określonych zadań w centrum administracyjnym. Biorąc to pod uwagę, te role są tylko podzbiorem wszystkich ról dostępnych w centrum administracyjnym Intune, który obejmuje dodatkowe role specyficzne dla samego Intune.
Przed dodaniem określonych ról Intune role muszą być przypisane w Tożsamość Microsoft Entra. Aby wyświetlić te role, zaloguj się do centrum> administracyjnego Microsoft IntuneRole> administracyjne >dzierżawyWszystkie role. Rolę można zarządzać na następujących stronach:
- Właściwości: nazwa, opis, uprawnienia i tagi zakresu dla roli.
- Przypisania: lista przypisań ról określających, którzy użytkownicy mają dostęp do użytkowników lub urządzeń. Rola może mieć wiele przypisań, a użytkownik może mieć wiele przypisań.
Informacje o kontroli dostępu opartej na rolach w Intune
Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie tym, kto ma dostęp do zasobów organizacji i co może zrobić z tymi zasobami. Przypisując role do użytkowników Intune, możesz ograniczyć to, co widzą i zmieniają. Istnieją zarówno role wbudowane, jak i niestandardowe, a każda rola ma zestaw uprawnień, które określają, do jakich użytkowników z tą rolą mogą uzyskiwać dostęp lub zmieniać się w organizacji. Poniższe informacje obejmą oba typy ról w Intune.
Aby tworzyć, edytować lub przypisywać role, konto musi mieć administratora usługi Intune (znanego również jako administrator Intune, ale nie należy go mylić z wbudowaną rolą administratora roli Intune).
Aby uzyskać więcej informacji, zobacz role Microsoft Entra i RBAC.
Microsoft Intune role wbudowane
Role wbudowane używają wstępnie zdefiniowanych reguł opartych na typowych scenariuszach Intune. Alternatywnie role niestandardowe są tworzone na podstawie reguł, które są ściśle zdefiniowane przez Ciebie.
Oto wbudowane role, które można przypisać:
| Rola administratora | Komu powinna być przypisana ta rola? |
|---|---|
| Menedżer aplikacji | Przypisz rolę Menedżera aplikacji do użytkowników, którzy zarządzają cyklem życia aplikacji dla aplikacji mobilnych, konfigurują aplikacje zarządzane przez zasady oraz wyświetlają informacje o urządzeniu i profile konfiguracji. |
| Operator pomocy technicznej | Przypisz rolę operatora pomocy technicznej do użytkowników, którzy przypisują aplikacje i zasady do użytkowników i urządzeń. |
| administrator roli Intune | Przypisz administratora roli Intune użytkownikom, którzy mogą przypisywać uprawnienia Intune innym administratorom oraz zarządzać rolami niestandardowymi i wbudowanymi w role Intune. |
| Menedżer zasad i profilów | Przypisz rolę menedżera zasad i profilów do użytkowników, którzy zarządzają zasadami zgodności, profilami konfiguracji i rejestracją firmy Apple. |
| Operator tylko do odczytu | Przypisz rolę operatora tylko do odczytu użytkownikom, którzy mogą wyświetlać tylko użytkowników, urządzenia, szczegóły rejestracji i konfiguracje. |
| Administrator szkoły | Przypisz użytkownikom rolę administratora szkoły, aby uzyskać pełny dostęp do zarządzania urządzeniami Windows 10-11 i iOS, aplikacjami i konfiguracjami w programie Intune for Education. |
| Administrator komputera w chmurze | Administrator komputera w chmurze ma dostęp do odczytu i zapisu do wszystkich funkcji komputera w chmurze znajdujących się w bloku Komputer w chmurze. |
| Czytnik komputerów w chmurze | Czytnik komputerów w chmurze ma dostęp do odczytu do wszystkich funkcji komputera w chmurze znajdujących się w bloku Komputer w chmurze. |
Microsoft Intune role niestandardowe
W Intune można tworzyć role niestandardowe, które zawierają wszelkie uprawnienia wymagane dla określonej funkcji zadania. Jeśli na przykład grupa działów IT zarządza aplikacjami, zasadami i profilami konfiguracji, możesz dodać wszystkie te uprawnienia razem w jednej roli niestandardowej. Po utworzeniu roli niestandardowej można przypisać ją do wszystkich użytkowników, którzy potrzebują tych uprawnień.
Aby utworzyć rolę niestandardową:
W centrum administracyjnym Intune wybierz pozycję Administracja dzierżawą>Role>Wszystkie role>Utwórz.
Na stronie Podstawy wprowadź nazwę i opis nowej roli, a następnie wybierz pozycję Dalej.
Na stronie Uprawnienia wybierz uprawnienia, których chcesz użyć z tą rolą.
Na stronie Zakres (tagi) wybierz tagi dla tej roli. Gdy ta rola jest przypisana do użytkownika, ten użytkownik może uzyskać dostęp do zasobów, które również mają te tagi. Wybierz przycisk Dalej.
Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowa rola jest wyświetlana na liście w bloku role Intune — wszystkie role.
Aby skopiować rolę:
W centrum administracyjnym Intune wybierz pozycję Administracja dzierżawą>Role>Wszystkie role > zaznacz pole wyboru roli na liście, a następnie wybierz pozycję Duplikuj.
Na stronie Podstawy wprowadź nazwę. Upewnij się, że używasz unikatowej nazwy.
Wszystkie uprawnienia i tagi zakresu z oryginalnej roli zostaną już wybrane. Następnie możesz zmienić nazwę, opis, uprawnienia i zakres (tagi) zduplikowanej roli.
Po wprowadzeniu wszystkich żądanych zmian wybierz pozycję Dalej, aby przejść do strony Przeglądanie i tworzenie. Wybierz pozycję Utwórz.
Uwaga
Aby móc administrować Intune, musisz mieć przypisaną licencję Intune. Alternatywnie możesz zezwolić użytkownikom nielicencjonowanym na administrowanie Intune, ustawiając ustawienie Zezwalaj na dostęp nielicencjonowanym administratorom na Wartość Tak.
Jak przypisać rolę
W centrum administracyjnym Intune wybierz pozycję Administracja dzierżawą>Role>Wszystkie role.
Wybierz wbudowaną rolę, którą chcesz przypisać, wybierz pozycję Przypisania, a następnie wybierz pozycję + Przypisz.
Na stronie Podstawy wprowadź nazwę przypisania i opcjonalny opis przypisania, a następnie wybierz pozycję Dalej.
Na stronie grup administratorów wybierz grupę zawierającą użytkownika, któremu chcesz nadać uprawnienia. Wybierz przycisk Dalej.
Na stronie Zakres (Grupy) wybierz grupę zawierającą użytkowników i urządzenia, które będzie mógł zarządzać powyższym elementem członkowskim. Możesz również wybrać wszystkich użytkowników lub wszystkie urządzenia. Wybierz przycisk Dalej.
Uwaga
Wszyscy użytkownicy i wszystkie urządzenia są Intune grup wirtualnych, a nie Microsoft Entra grup zabezpieczeń. W związku z tym w celach przypisywania zakresu (Grupy) nie można ich używać jako elementów nadrzędnych Microsoft Entra grup zabezpieczeń. Jeśli potrzebujesz zarówno wszystkich użytkowników, jak i wszystkich urządzeń oraz określonych Microsoft Entra grup zabezpieczeń dla przypisań zakresu (Grupy), musisz dodać je oddzielnie z oddzielnymi przypisaniami. W przeciwnym razie nawet jeśli przypisanie zakresu (Grupy) dla roli jest ustawione na Wszyscy użytkownicy, administrator w tej roli nie będzie miał dostępu do określonych Microsoft Entra grup użytkowników. W przypadku Microsoft Entra grup zabezpieczeń obsługiwane jest zagnieżdżanie.
Na stronie Zakres (tagi) wybierz tagi, w których zostanie zastosowane to przypisanie roli. Wybierz przycisk Dalej.
Na stronie Przegląd + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowe przypisanie zostanie wyświetlone na liście przypisań.
Uwaga
Podczas tworzenia grup zakresu i przypisywania tagu zakresu można kierować tylko grupy docelowe wymienione w obszarze Zakres (Grupy) przypisania roli.
Administracja delegowana dla partnerów firmy Microsoft
Jeśli pracujesz z partnerem firmy Microsoft, możesz przypisać mu role administratora. Z kolei on może przypisać użytkownikom w Twojej firmie — lub swojej — role administratora. Możesz chcieć, aby to zrobili, na przykład jeśli konfigurują twoją organizację online i zarządzają tą organizacją.
Zanim Partner będzie mógł przypisywać te role do użytkowników, musisz dodać go jako administratora delegowanego do swojego konta. Ten proces jest inicjowany przez autoryzowanego partnera. Musi wysłać Ci wiadomość e-mail z prośbą o nadanie uprawnień administratora delegowanego. Aby uzyskać instrukcje, zobacz Autoryzowanie i usuwanie relacji partnerskich.
Zobacz też
Zasoby dla partnerów firmy Microsoft pracujących z małymi i średnimi firmami