Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Разрешения на управление устройствами можно использовать в пользовательских определениях ролей в идентификаторе Microsoft Entra для предоставления точного доступа, например следующего:
- Включение и отключение устройств
- удаление устройств;
- Чтение ключей восстановления BitLocker
- Чтение метаданных BitLocker
- Чтение политик регистрации устройства
- Обновление политик регистрации устройства
В этой статье перечислены разрешения, которые можно использовать в настраиваемых ролях для различных сценариев управления группами. Сведения о создании пользовательских ролей см. в статье Создание настраиваемой роли видентификатора Microsoft Entra.
Включение и отключение устройств
Для переключения состояний устройства доступны следующие разрешения.
- microsoft.directory/devices/enable
- microsoft.directory/devices/disable
Чтение ключей восстановления BitLocker
Для чтения метаданных и ключей восстановления BitLocker доступны следующие разрешения. Обратите внимание, что это единственное разрешение позволяет считывать и метаданные BitLocker, и ключи восстановления.
- microsoft.directory/bitlockerKeys/key/read
Вы можете просмотреть ключ восстановления BitLocker, выбрав устройство на странице Все устройства, а затем выбрав пункт Показать ключ восстановления. Дополнительные сведения о чтении ключей восстановления BitLocker см. в разделе Просмотр или копирование ключей BitLocker.
Примечание.
Когда устройства, использующие Windows Autopilot , повторно используются для присоединения к Entra, и есть новый владелец устройства, который новый владелец устройства должен обратиться к администратору, чтобы получить ключ восстановления BitLocker для этого устройства. Пользовательская роль или администраторы в области администрирования потеряют доступ к ключам восстановления BitLocker для тех устройств, которые подверглись изменениям владения устройствами. Эти администраторы с областью действия должны обратиться к администратору, не относямуся к области, для ключей восстановления. Дополнительные сведения см. в статье "Поиск основного пользователя устройства Intune".
Чтение метаданных BitLocker
Для чтения метаданных и ключей восстановления BitLocker для всех устройств доступны следующие разрешения.
- microsoft.directory/bitlockerKeys/metadata/read
Вы можете прочитать метаданные BitLocker для всех устройств, но не можете прочитать ключ восстановления BitLocker.
Чтение политик регистрации устройства
Для чтения параметров регистрации устройства на уровне клиента доступны следующие разрешения.
- microsoft.directory/deviceRegistrationPolicy/standard/read
Параметры устройства можно считывать в Центре администрирования Microsoft Entra.
Обновление политик регистрации устройства
Для чтения параметров регистрации устройств на уровне клиента доступны следующие разрешения.
- microsoft.directory/deviceRegistrationPolicy/basic/update
Полный список разрешений
Читать
| Разрешение | Описание |
|---|---|
| microsoft.directory/devices/createdFrom/read | Чтение, созданное из ссылок на шаблон устройства Интернета вещей (IoT) |
| microsoft.directory/devices/registeredOwners/read | Считывание зарегистрированных владельцев устройств |
| microsoft.directory/devices/registeredUsers/read | Считывание зарегистрированных пользователей устройств |
| microsoft.directory/devices/standard/read | Чтение базовых свойств для устройств |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/bitlockerKeys/metadata/read | Чтение метаданных ключа bitlocker на устройствах |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
Обновить
| Разрешение | Описание |
|---|---|
| microsoft.directory/devices/registeredOwners/update | Обновление зарегистрированных владельцев устройств |
| microsoft.directory/devices/registeredUsers/update | Обновление зарегистрированных пользователей устройств |
| microsoft.directory/devices/enable | Включение устройств в идентификаторе Microsoft Entra |
| microsoft.directory/devices/disable | Отключение устройств в идентификаторе Microsoft Entra |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Обновление базовых свойств для политик регистрации устройств |
Удаление
| Разрешение | Описание |
|---|---|
| microsoft.directory/devices/delete | Удаление устройств из идентификатора Microsoft Entra |
Следующие шаги
- создание настраиваемой роли в идентификатора Microsoft Entra
- Вывод списка назначений ролей Microsoft Entra