Microsoft Intune 的内置角色权限
下表列出了 Microsoft Intune 的内置角色。 这些表还列出了与每个角色关联的权限。
注意
本文部分是在人工智能的帮助下创建的。 在发布之前,作者根据需要查看并修改了内容。 请参阅 我们在 Microsoft Learn 中使用 AI 生成内容的原则。
应用程序管理员
应用程序管理器管理移动和托管应用程序,可以读取设备信息,并可以查看设备配置文件。
| 权限 | Action |
|---|---|
| Android for work | 阅读 |
| Android for work | 更新应用同步 |
| 筛选器 | 创建 |
| 筛选器 | Delete |
| 筛选器 | 阅读 |
| 筛选器 | 更新 |
| 证书连接器 | 阅读 |
| 云附加设备 | 执行应用程序操作 |
| 云附加设备 | 查看应用程序 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 自定义 | 阅读 |
| 派生凭据 | 阅读 |
| 设备配置 | 阅读 |
| 托管应用 | Assign |
| 托管应用 | 创建 |
| 托管应用 | Delete |
| 托管应用 | 阅读 |
| 托管应用 | 更新 |
| 托管应用 | 擦除 |
| 托管设备 | 阅读 |
| Microsoft Defender ATP | 阅读 |
| 适用于企业的 Microsoft Store | 阅读 |
| 移动应用程序 | Assign |
| 移动应用程序 | 创建 |
| 移动应用程序 | Delete |
| 移动应用程序 | 阅读 |
| 移动应用程序 | 与 |
| 移动应用程序 | 更新 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | Assign |
| 策略集 | 创建 |
| 策略集 | Delete |
| 策略集 | 阅读 |
| 策略集 | 更新 |
| Windows 企业证书 | 阅读 |
端点安全管理员
管理安全性和合规性功能,例如安全基线、设备符合性、条件访问和 Microsoft Defender ATP。
| 权限 | Action |
|---|---|
| Android FOTA | 阅读 |
| Android for work | 阅读 |
| 适用于企业的应用控制 | 分配 - (添加了 2406 服务版本) |
| 适用于企业的应用控制 | 创建 - (添加了 2406 服务版本) |
| 适用于企业的应用控制 | 删除 - (随 2406 服务版本) 添加 |
| 适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
| 适用于企业的应用控制 | 更新 - (添加了 2406 服务版本) |
| 适用于企业的应用控制 | 查看报告 - (添加了 2406 服务版本) |
| 攻击面减少 | 分配 - (添加了 2406 服务版本) |
| 攻击面减少 | 创建 - (添加了 2406 服务版本) |
| 攻击面减少 | 删除 - (随 2406 服务版本) 添加 |
| 攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
| 攻击面减少 | 更新 - (添加了 2406 服务版本) |
| 攻击面减少 | 查看报告 - (添加了 2406 服务版本) |
| 审核数据 | 阅读 |
| 证书连接器 | 阅读 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 运行 CMPivot 查询 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 查看脚本 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 公司设备标识符 | 阅读 |
| 自定义 | 阅读 |
| 派生凭据 | 阅读 |
| 设备符合性策略 | Assign |
| 设备符合性策略 | 创建 |
| 设备符合性策略 | Delete |
| 设备符合性策略 | 阅读 |
| 设备符合性策略 | 更新 |
| 设备符合性策略 | 查看报告 |
| 设备配置 | 阅读 |
| 设备配置 | 查看报告 |
| 设备注册管理器 | 阅读 |
| 终结点分析 | 阅读 |
| 终结点保护报告 | 阅读 |
| 注册计划 | 读取令牌 |
| 终结点检测和响应 | 分配 - (添加了 2406 服务版本) |
| 终结点检测和响应 | 创建 - (添加了 2406 服务版本) |
| 终结点检测和响应 | 删除 - (随 2406 服务版本) 添加 |
| 终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
| 终结点检测和响应 | 更新 - (添加了 2406 服务版本) |
| 终结点检测和响应 | 查看报告 - (添加了 2406 服务版本) |
| 终结点特权管理策略创作 | Assign |
| 终结点特权管理策略创作 | 创建 |
| 终结点特权管理策略创作 | Delete |
| 终结点特权管理策略创作 | 阅读 |
| 终结点特权管理策略创作 | 更新 |
| 终结点特权管理策略创作 | 查看报告 |
| 注册计划 | 读取设备 |
| 注册计划 | 读取配置文件 |
| 筛选器 | 阅读 |
| Intune 数据仓库 | 阅读 |
| 托管应用 | 阅读 |
| 托管设备 | Delete |
| 托管设备 | 阅读 |
| 托管设备 | 设置主要用户 |
| 托管设备 | 更新 |
| 托管设备 | 查看报告 |
| 托管设备 | 查询 |
| Microsoft Defender ATP | 阅读 |
| 适用于企业的 Microsoft Store | 阅读 |
| 移动应用程序 | 阅读 |
| 移动威胁防御 | 修改 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | 阅读 |
| 远程协助连接器 | 阅读 |
| 远程协助连接器 | 查看报告 |
| 远程任务 | 启动 Configuration Manager 操作 |
| 远程任务 | 获取 filevault 密钥。 |
| 远程任务 | 立即重新启动 |
| 远程任务 | 远程锁定 |
| 远程任务 | 旋转 BitLockerKeys (预览) |
| 远程任务 | 轮换 filevault 密钥。 |
| 远程任务 | 关闭 |
| 远程任务 | 同步设备。 |
| 远程任务 | Windows defender |
| 角色 | 阅读 |
| 安全基线 | Assign |
| 安全基线 | 创建 |
| 安全基线 | Delete |
| 安全基线 | 阅读 |
| 安全基线 | 更新 |
| 安全基线 | 查看报告 |
| 安全任务 | 阅读 |
| 安全任务 | 更新 |
| 电信费用 | 阅读 |
| 条款和条件 | 阅读 |
| Windows 企业证书 | 阅读 |
终结点特权管理器
终结点特权管理器可以在 Intune 控制台中管理终结点特权管理 (EPM) 策略。
| 权限 | Action |
|---|---|
| 终结点特权管理策略创作 | Assign |
| 终结点特权管理策略创作 | 创建 |
| 终结点特权管理策略创作 | Delete |
| 终结点特权管理策略创作 | 阅读 |
| 终结点特权管理策略创作 | 更新 |
| 终结点特权管理策略创作 | 查看报告 |
| 组织 | 阅读 |
只读操作员
只读操作员查看用户、设备、注册、配置和应用程序信息,无法对 Intune 进行更改。
| 权限 | Action |
|---|---|
| Android FOTA | 阅读 |
| Android for work | 阅读 |
| 适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
| 攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
| 审核数据 | 阅读 |
| 证书连接器 | 阅读 |
| 云附加设备 | 查看应用程序 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 查看脚本 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 公司设备标识符 | 阅读 |
| 自定义 | 阅读 |
| 派生凭据 | 阅读 |
| 设备符合性策略 | 阅读 |
| 设备符合性策略 | 查看报告 |
| 设备配置 | 阅读 |
| 设备配置 | 查看报告 |
| 设备注册管理器 | 阅读 |
| 终结点分析 | 阅读 |
| 终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
| 终结点特权管理策略创作 | 阅读 |
| 终结点特权管理策略创作 | 查看报告 |
| 终结点保护报告 | 阅读 |
| 注册计划 | 读取设备 |
| 注册计划 | 读取配置文件 |
| 注册计划 | 读取令牌 |
| 筛选器 | 阅读 |
| 托管应用 | 阅读 |
| 托管设备 | 阅读 |
| 托管设备 | 查看报告 |
| Microsoft Defender ATP | 阅读 |
| 适用于企业的 Microsoft Store | 阅读 |
| 移动应用程序 | 阅读 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 组织消息 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | 阅读 |
| 静默时间策略 | 阅读 |
| 静默时间策略 | 查看报告 |
| 远程协助连接器 | 阅读 |
| 远程协助连接器 | 查看报告 |
| 远程任务 | 获取 filevault 密钥。 |
| Intune 数据仓库 | 阅读 |
| 角色 | 阅读 |
| 安全基线 | 阅读 |
| ServiceNow | 查看事件 |
| 电信费用 | 阅读 |
| 条款和条件 | 阅读 |
| Windows 企业证书 | 阅读 |
组织消息管理器
组织消息管理员可以在 Intune 控制台中管理组织消息。
| 权限 | Action |
|---|---|
| 组织 | 阅读 |
| 组织消息 | Assign |
| 组织消息 | 创建 |
| 组织消息 | Delete |
| 组织消息 | 阅读 |
| 组织消息 | 更新 |
| 组织消息 | 更新组织消息控制 |
学校管理员
学校管理员可以管理其组的应用和设置。 他们可以对设备执行远程操作,包括远程锁定设备、重启设备以及将其从管理中停用。
| 权限 | Action |
|---|---|
| 审核数据 | 阅读 |
| 证书连接器 | 修改 |
| 证书连接器 | 阅读 |
| 云附加设备 | 执行应用程序操作 |
| 云附加设备 | 查看应用程序 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 运行 CMPivot 查询 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 立即注册 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 运行脚本 |
| 云附加设备 | 查看脚本 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 自定义 | Assign |
| 自定义 | 创建 |
| 自定义 | Delete |
| 自定义 | 阅读 |
| 自定义 | 更新 |
| 派生凭据 | 阅读 |
| 设备配置 | Assign |
| 设备配置 | 创建 |
| 设备配置 | Delete |
| 设备配置 | 阅读 |
| 设备配置 | 更新 |
| 设备注册管理器 | 阅读 |
| 设备注册管理器 | 更新 |
| 终结点分析 | 创建 |
| 终结点分析 | Delete |
| 终结点分析 | 阅读 |
| 终结点分析 | 更新 |
| 注册计划 | 分配配置文件 |
| 注册计划 | 创建配置文件 |
| 注册计划 | 删除设备 |
| 注册计划 | 删除配置文件 |
| 注册计划 | 读取设备 |
| 注册计划 | 读取配置文件 |
| 注册计划 | 同步设备 |
| 注册计划 | 更新配置文件 |
| 筛选器 | 创建 |
| 筛选器 | Delete |
| 筛选器 | 阅读 |
| 筛选器 | 更新 |
| 注册计划 | 创建令牌 |
| 注册计划 | 删除令牌 |
| 注册计划 | 读取令牌 |
| 注册计划 | 更新令牌 |
| 托管应用 | 创建 |
| 托管应用 | Delete |
| 托管应用 | 阅读 |
| 托管应用 | 更新 |
| 托管设备 | Delete |
| 托管设备 | 阅读 |
| 托管设备 | 设置主要用户 |
| 托管设备 | 更新 |
| Microsoft Defender ATP | 阅读 |
| 适用于企业的 Microsoft Store | 修改 |
| 适用于企业的 Microsoft Store | 阅读 |
| 移动应用程序 | Assign |
| 移动应用程序 | 创建 |
| 移动应用程序 | Delete |
| 移动应用程序 | 阅读 |
| 移动应用程序 | 与 |
| 移动应用程序 | 更新 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | Assign |
| 策略集 | 创建 |
| 策略集 | Delete |
| 策略集 | 阅读 |
| 策略集 | 更新 |
| 远程协助连接器 | 阅读 |
| 远程协助连接器 | 更新 |
| 远程协助连接器 | 查看报告 |
| 远程帮助应用 | Elevation |
| 远程帮助应用 | 完全控制 |
| 远程帮助应用 | 查看屏幕 |
| 远程任务 | 更新手机网络数据计划 |
| 远程任务 | 清理电脑 |
| 远程任务 | 启动 Configuration Manager 操作 |
| 远程任务 | 收集诊断 |
| 远程任务 | 禁用丢失模式 |
| 远程任务 | 启用丢失模式 |
| 远程任务 | 恢复 MDM 密钥 |
| 远程任务 | 定位设备 |
| 远程任务 | 运行修正 |
| 远程任务 | 播放声音以查找丢失的设备 |
| 远程任务 | 立即重新启动 |
| 远程任务 | 远程锁定 |
| 远程任务 | 提供远程协助 |
| 远程任务 | 重置密码 |
| 远程任务 | 停用 |
| 远程任务 | 设置设备名称 |
| 远程任务 | 同步设备。 |
| 远程任务 | 擦除 |
| Intune 数据仓库 | 阅读 |
| ServiceNow | 查看事件 |
| 条款和条件 | Assign |
| 条款和条件 | 创建 |
| 条款和条件 | Delete |
| 条款和条件 | 阅读 |
| 条款和条件 | 更新 |
| Windows 企业证书 | 修改 |
| Windows 企业证书 | 阅读 |
策略和配置文件管理器
策略和配置文件管理员管理合规性策略、配置文件、Apple 注册和公司设备标识符。
| 权限 | Action |
|---|---|
| Android FOTA | 阅读 |
| Android for work | 阅读 |
| Android for work | 更新应用同步 |
| Android for work | 更新载入 |
| 审核数据 | 阅读 |
| 证书连接器 | 阅读 |
| 云附加设备 | 查看应用程序 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 查看脚本 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 公司设备标识符 | 创建 |
| 公司设备标识符 | Delete |
| 公司设备标识符 | 阅读 |
| 公司设备标识符 | 更新 |
| 派生凭据 | 阅读 |
| 设备符合性策略 | Assign |
| 设备符合性策略 | 创建 |
| 设备符合性策略 | Delete |
| 设备符合性策略 | 阅读 |
| 设备符合性策略 | 更新 |
| 设备符合性策略 | 查看报告 |
| 设备配置 | Assign |
| 设备配置 | 创建 |
| 设备配置 | Delete |
| 设备配置 | 阅读 |
| 设备配置 | 更新 |
| 设备配置 | 查看报告 |
| 注册计划 | 分配配置文件 |
| 注册计划 | 创建设备 |
| 注册计划 | 创建令牌 |
| 注册计划 | 创建配置文件 |
| 注册计划 | 删除设备 |
| 注册计划 | 删除配置文件 |
| 注册计划 | 删除令牌 |
| 注册计划 | 读取设备 |
| 注册计划 | 读取令牌 |
| 注册计划 | 读取配置文件 |
| 注册计划 | 同步设备 |
| 注册计划 | 更新令牌 |
| 注册计划 | 更新配置文件 |
| 筛选器 | 创建 |
| 筛选器 | Delete |
| 筛选器 | 阅读 |
| 筛选器 | 更新 |
| 托管应用 | Assign |
| 托管应用 | 创建 |
| 托管应用 | Delete |
| 托管应用 | 阅读 |
| 托管应用 | 更新 |
| Microsoft Defender ATP | 阅读 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | Assign |
| 策略集 | 创建 |
| 策略集 | Delete |
| 策略集 | 阅读 |
| 策略集 | 更新 |
| 静默时间策略 | Assign |
| 静默时间策略 | 创建 |
| 静默时间策略 | Delete |
| 静默时间策略 | 阅读 |
| 静默时间策略 | 更新 |
| 静默时间策略 | 查看报告 |
技术支持操作员
技术支持操作员在用户和设备上执行远程任务,并且可以将应用程序或策略分配给用户或设备。
| 权限 | Action |
|---|---|
| Android FOTA | 阅读 |
| Android for work | 阅读 |
| 适用于企业的应用控制 | 读取 - (已随 2406 服务版本) 添加 |
| 攻击面减少 | 读取 - (已随 2406 服务版本) 添加 |
| 审核数据 | 阅读 |
| 证书连接器 | 阅读 |
| 云附加设备 | 执行应用程序操作 |
| 云附加设备 | 查看应用程序 |
| 云附加设备 | 查看客户端详细信息 |
| 云附加设备 | 运行 CMPivot 查询 |
| 云附加设备 | 查看集合 |
| 云附加设备 | 立即注册 |
| 云附加设备 | 查看资源浏览器 |
| 云附加设备 | 运行脚本 |
| 云附加设备 | 查看脚本 |
| 云附加设备 | 查看软件更新 |
| 云附加设备 | 查看时间线 |
| 公司设备标识符 | 阅读 |
| 自定义 | 阅读 |
| 派生凭据 | 阅读 |
| 设备符合性策略 | 阅读 |
| 设备符合性策略 | 查看报告 |
| 设备配置 | 阅读 |
| 设备配置 | 查看报告 |
| 设备注册管理器 | 阅读 |
| 终结点分析 | 阅读 |
| 终结点检测和响应 | 读取 - (已随 2406 服务版本) 添加 |
| 终结点保护报告 | 阅读 |
| 注册计划 | 读取设备 |
| 注册计划 | 读取配置文件 |
| 注册计划 | 读取令牌 |
| 筛选器 | 阅读 |
| 托管应用 | Assign |
| 托管应用 | 阅读 |
| 托管应用 | 擦除 |
| 托管设备 | 阅读 |
| 托管设备 | 设置主要用户 |
| 托管设备 | 更新 |
| 托管设备 | 查看报告 |
| Microsoft Defender ATP | 阅读 |
| 适用于企业的 Microsoft Store | 阅读 |
| 移动应用程序 | Assign |
| 移动应用程序 | 阅读 |
| 移动威胁防御 | 阅读 |
| 组织 | 阅读 |
| 合作伙伴设备管理 | 阅读 |
| 策略集 | 阅读 |
| 远程协助连接器 | 阅读 |
| 远程帮助应用 | Elevation |
| 远程帮助应用 | 完全控制 |
| 远程帮助应用 | 查看屏幕 |
| 远程任务 | 更新手机网络数据计划 |
| 远程任务 | 清理电脑 |
| 远程任务 | 启动 Configuration Manager 操作 |
| 远程任务 | 发送自定义通知 |
| 远程任务 | 收集诊断 |
| 远程任务 | 禁用丢失模式 |
| 远程任务 | 启用丢失模式 |
| 远程任务 | 启用 Windows IntuneAgent |
| 远程任务 | 获取 filevault 密钥。 |
| 远程任务 | 恢复 MDM 密钥 |
| 远程任务 | 定位设备 |
| 远程任务 | 管理共享设备用户 |
| 远程任务 | 运行修正 |
| 远程任务 | 播放声音以查找丢失的设备 |
| 远程任务 | 立即重新启动 |
| 远程任务 | 远程锁定 |
| 远程任务 | 提供远程协助 |
| 远程任务 | 重置密码 |
| 远程任务 | 停用 |
| 远程任务 | 撤销应用许可证 |
| 远程任务 | 旋转 BitLockerKeys (预览) |
| 远程任务 | 轮换 filevault 密钥。 |
| 远程任务 | 设置设备名称 |
| 远程任务 | 关闭 |
| 远程任务 | 同步设备。 |
| 远程任务 | 更新设备帐户 |
| 远程任务 | Windows defender |
| 远程任务 | 擦除 |
| 角色 | 阅读 |
| 安全基线 | 阅读 |
| ServiceNow | 查看事件 |
| 电信费用 | 阅读 |
| 条款和条件 | 阅读 |
| Windows 企业证书 | 阅读 |
终结点特权读取器
组织消息读取者可以在 Intune 控制台中查看终结点特权管理 (EPM) 策略。
| 权限 | Action |
|---|---|
| 终结点特权管理策略创作 | 阅读 |
| 终结点特权管理策略创作 | 查看报告 |
| 组织 | 阅读 |
Intune 角色管理员
Intune 角色管理员管理自定义 Intune 角色,并为内置 Intune 角色添加分配。 它是唯一可以向管理员分配权限的 Intune 角色。
| 权限 | Action |
|---|---|
| 组织 | 阅读 |
| 角色 | Assign |
| 角色 | 创建 |
| 角色 | Delete |
| 角色 | 阅读 |
| 角色 | 更新 |