Microsoft Intune 的内置角色权限

下表列出了 Microsoft Intune 的内置角色。 这些表还列出了与每个角色关联的权限。

注意

本文部分是在人工智能的帮助下创建的。 在发布之前,作者根据需要查看并修改了内容。 请参阅 我们在 Microsoft Learn 中使用 AI 生成内容的原则

应用程序管理员

应用程序管理器管理移动和托管应用程序,可以读取设备信息,并可以查看设备配置文件。

权限 Action
Android for work 阅读
Android for work 更新应用同步
筛选器 创建
筛选器 Delete
筛选器 阅读
筛选器 更新
证书连接器 阅读
云附加设备 执行应用程序操作
云附加设备 查看应用程序
云附加设备 查看客户端详细信息
云附加设备 查看集合
云附加设备 查看资源浏览器
云附加设备 查看软件更新
云附加设备 查看时间线
自定义 阅读
派生凭据 阅读
设备配置 阅读
托管应用 Assign
托管应用 创建
托管应用 Delete
托管应用 阅读
托管应用 更新
托管应用 擦除
托管设备 阅读
Microsoft Defender ATP 阅读
适用于企业的 Microsoft Store 阅读
移动应用程序 Assign
移动应用程序 创建
移动应用程序 Delete
移动应用程序 阅读
移动应用程序
移动应用程序 更新
移动威胁防御 阅读
组织 阅读
合作伙伴设备管理 阅读
策略集 Assign
策略集 创建
策略集 Delete
策略集 阅读
策略集 更新
Windows 企业证书 阅读

端点安全管理员

管理安全性和合规性功能,例如安全基线、设备符合性、条件访问和 Microsoft Defender ATP。

权限 Action
Android FOTA 阅读
Android for work 阅读
适用于企业的应用控制 分配 - (添加了 2406 服务版本)
适用于企业的应用控制 创建 - (添加了 2406 服务版本)
适用于企业的应用控制 删除 - (随 2406 服务版本) 添加
适用于企业的应用控制 读取 - (已随 2406 服务版本) 添加
适用于企业的应用控制 更新 - (添加了 2406 服务版本)
适用于企业的应用控制 查看报告 - (添加了 2406 服务版本)
攻击面减少 分配 - (添加了 2406 服务版本)
攻击面减少 创建 - (添加了 2406 服务版本)
攻击面减少 删除 - (随 2406 服务版本) 添加
攻击面减少 读取 - (已随 2406 服务版本) 添加
攻击面减少 更新 - (添加了 2406 服务版本)
攻击面减少 查看报告 - (添加了 2406 服务版本)
审核数据 阅读
证书连接器 阅读
云附加设备 查看客户端详细信息
云附加设备 运行 CMPivot 查询
云附加设备 查看集合
云附加设备 查看资源浏览器
云附加设备 查看脚本
云附加设备 查看软件更新
云附加设备 查看时间线
公司设备标识符 阅读
自定义 阅读
派生凭据 阅读
设备符合性策略 Assign
设备符合性策略 创建
设备符合性策略 Delete
设备符合性策略 阅读
设备符合性策略 更新
设备符合性策略 查看报告
设备配置 阅读
设备配置 查看报告
设备注册管理器 阅读
终结点分析 阅读
终结点保护报告 阅读
注册计划 读取令牌
终结点检测和响应 分配 - (添加了 2406 服务版本)
终结点检测和响应 创建 - (添加了 2406 服务版本)
终结点检测和响应 删除 - (随 2406 服务版本) 添加
终结点检测和响应 读取 - (已随 2406 服务版本) 添加
终结点检测和响应 更新 - (添加了 2406 服务版本)
终结点检测和响应 查看报告 - (添加了 2406 服务版本)
终结点特权管理策略创作 Assign
终结点特权管理策略创作 创建
终结点特权管理策略创作 Delete
终结点特权管理策略创作 阅读
终结点特权管理策略创作 更新
终结点特权管理策略创作 查看报告
注册计划 读取设备
注册计划 读取配置文件
筛选器 阅读
Intune 数据仓库 阅读
托管应用 阅读
托管设备 Delete
托管设备 阅读
托管设备 设置主要用户
托管设备 更新
托管设备 查看报告
托管设备 查询
Microsoft Defender ATP 阅读
适用于企业的 Microsoft Store 阅读
移动应用程序 阅读
移动威胁防御 修改
移动威胁防御 阅读
组织 阅读
合作伙伴设备管理 阅读
策略集 阅读
远程协助连接器 阅读
远程协助连接器 查看报告
远程任务 启动 Configuration Manager 操作
远程任务 获取 filevault 密钥。
远程任务 立即重新启动
远程任务 远程锁定
远程任务 旋转 BitLockerKeys (预览)
远程任务 轮换 filevault 密钥。
远程任务 关闭
远程任务 同步设备。
远程任务 Windows defender
角色 阅读
安全基线 Assign
安全基线 创建
安全基线 Delete
安全基线 阅读
安全基线 更新
安全基线 查看报告
安全任务 阅读
安全任务 更新
电信费用 阅读
条款和条件 阅读
Windows 企业证书 阅读

终结点特权管理器

终结点特权管理器可以在 Intune 控制台中管理终结点特权管理 (EPM) 策略。

权限 Action
终结点特权管理策略创作 Assign
终结点特权管理策略创作 创建
终结点特权管理策略创作 Delete
终结点特权管理策略创作 阅读
终结点特权管理策略创作 更新
终结点特权管理策略创作 查看报告
组织 阅读

只读操作员

只读操作员查看用户、设备、注册、配置和应用程序信息,无法对 Intune 进行更改。

权限 Action
Android FOTA 阅读
Android for work 阅读
适用于企业的应用控制 读取 - (已随 2406 服务版本) 添加
攻击面减少 读取 - (已随 2406 服务版本) 添加
审核数据 阅读
证书连接器 阅读
云附加设备 查看应用程序
云附加设备 查看客户端详细信息
云附加设备 查看集合
云附加设备 查看资源浏览器
云附加设备 查看脚本
云附加设备 查看软件更新
云附加设备 查看时间线
公司设备标识符 阅读
自定义 阅读
派生凭据 阅读
设备符合性策略 阅读
设备符合性策略 查看报告
设备配置 阅读
设备配置 查看报告
设备注册管理器 阅读
终结点分析 阅读
终结点检测和响应 读取 - (已随 2406 服务版本) 添加
终结点特权管理策略创作 阅读
终结点特权管理策略创作 查看报告
终结点保护报告 阅读
注册计划 读取设备
注册计划 读取配置文件
注册计划 读取令牌
筛选器 阅读
托管应用 阅读
托管设备 阅读
托管设备 查看报告
Microsoft Defender ATP 阅读
适用于企业的 Microsoft Store 阅读
移动应用程序 阅读
移动威胁防御 阅读
组织 阅读
组织消息 阅读
合作伙伴设备管理 阅读
策略集 阅读
静默时间策略 阅读
静默时间策略 查看报告
远程协助连接器 阅读
远程协助连接器 查看报告
远程任务 获取 filevault 密钥。
Intune 数据仓库 阅读
角色 阅读
安全基线 阅读
ServiceNow 查看事件
电信费用 阅读
条款和条件 阅读
Windows 企业证书 阅读

组织消息管理器

组织消息管理员可以在 Intune 控制台中管理组织消息。

权限 Action
组织 阅读
组织消息 Assign
组织消息 创建
组织消息 Delete
组织消息 阅读
组织消息 更新
组织消息 更新组织消息控制

学校管理员

学校管理员可以管理其组的应用和设置。 他们可以对设备执行远程操作,包括远程锁定设备、重启设备以及将其从管理中停用。

权限 Action
审核数据 阅读
证书连接器 修改
证书连接器 阅读
云附加设备 执行应用程序操作
云附加设备 查看应用程序
云附加设备 查看客户端详细信息
云附加设备 运行 CMPivot 查询
云附加设备 查看集合
云附加设备 立即注册
云附加设备 查看资源浏览器
云附加设备 运行脚本
云附加设备 查看脚本
云附加设备 查看软件更新
云附加设备 查看时间线
自定义 Assign
自定义 创建
自定义 Delete
自定义 阅读
自定义 更新
派生凭据 阅读
设备配置 Assign
设备配置 创建
设备配置 Delete
设备配置 阅读
设备配置 更新
设备注册管理器 阅读
设备注册管理器 更新
终结点分析 创建
终结点分析 Delete
终结点分析 阅读
终结点分析 更新
注册计划 分配配置文件
注册计划 创建配置文件
注册计划 删除设备
注册计划 删除配置文件
注册计划 读取设备
注册计划 读取配置文件
注册计划 同步设备
注册计划 更新配置文件
筛选器 创建
筛选器 Delete
筛选器 阅读
筛选器 更新
注册计划 创建令牌
注册计划 删除令牌
注册计划 读取令牌
注册计划 更新令牌
托管应用 创建
托管应用 Delete
托管应用 阅读
托管应用 更新
托管设备 Delete
托管设备 阅读
托管设备 设置主要用户
托管设备 更新
Microsoft Defender ATP 阅读
适用于企业的 Microsoft Store 修改
适用于企业的 Microsoft Store 阅读
移动应用程序 Assign
移动应用程序 创建
移动应用程序 Delete
移动应用程序 阅读
移动应用程序
移动应用程序 更新
移动威胁防御 阅读
组织 阅读
合作伙伴设备管理 阅读
策略集 Assign
策略集 创建
策略集 Delete
策略集 阅读
策略集 更新
远程协助连接器 阅读
远程协助连接器 更新
远程协助连接器 查看报告
远程帮助应用 Elevation
远程帮助应用 完全控制
远程帮助应用 查看屏幕
远程任务 更新手机网络数据计划
远程任务 清理电脑
远程任务 启动 Configuration Manager 操作
远程任务 收集诊断
远程任务 禁用丢失模式
远程任务 启用丢失模式
远程任务 恢复 MDM 密钥
远程任务 定位设备
远程任务 运行修正
远程任务 播放声音以查找丢失的设备
远程任务 立即重新启动
远程任务 远程锁定
远程任务 提供远程协助
远程任务 重置密码
远程任务 停用
远程任务 设置设备名称
远程任务 同步设备。
远程任务 擦除
Intune 数据仓库 阅读
ServiceNow 查看事件
条款和条件 Assign
条款和条件 创建
条款和条件 Delete
条款和条件 阅读
条款和条件 更新
Windows 企业证书 修改
Windows 企业证书 阅读

策略和配置文件管理器

策略和配置文件管理员管理合规性策略、配置文件、Apple 注册和公司设备标识符。

权限 Action
Android FOTA 阅读
Android for work 阅读
Android for work 更新应用同步
Android for work 更新载入
审核数据 阅读
证书连接器 阅读
云附加设备 查看应用程序
云附加设备 查看客户端详细信息
云附加设备 查看集合
云附加设备 查看资源浏览器
云附加设备 查看脚本
云附加设备 查看软件更新
云附加设备 查看时间线
公司设备标识符 创建
公司设备标识符 Delete
公司设备标识符 阅读
公司设备标识符 更新
派生凭据 阅读
设备符合性策略 Assign
设备符合性策略 创建
设备符合性策略 Delete
设备符合性策略 阅读
设备符合性策略 更新
设备符合性策略 查看报告
设备配置 Assign
设备配置 创建
设备配置 Delete
设备配置 阅读
设备配置 更新
设备配置 查看报告
注册计划 分配配置文件
注册计划 创建设备
注册计划 创建令牌
注册计划 创建配置文件
注册计划 删除设备
注册计划 删除配置文件
注册计划 删除令牌
注册计划 读取设备
注册计划 读取令牌
注册计划 读取配置文件
注册计划 同步设备
注册计划 更新令牌
注册计划 更新配置文件
筛选器 创建
筛选器 Delete
筛选器 阅读
筛选器 更新
托管应用 Assign
托管应用 创建
托管应用 Delete
托管应用 阅读
托管应用 更新
Microsoft Defender ATP 阅读
移动威胁防御 阅读
组织 阅读
合作伙伴设备管理 阅读
策略集 Assign
策略集 创建
策略集 Delete
策略集 阅读
策略集 更新
静默时间策略 Assign
静默时间策略 创建
静默时间策略 Delete
静默时间策略 阅读
静默时间策略 更新
静默时间策略 查看报告

技术支持操作员

技术支持操作员在用户和设备上执行远程任务,并且可以将应用程序或策略分配给用户或设备。

权限 Action
Android FOTA 阅读
Android for work 阅读
适用于企业的应用控制 读取 - (已随 2406 服务版本) 添加
攻击面减少 读取 - (已随 2406 服务版本) 添加
审核数据 阅读
证书连接器 阅读
云附加设备 执行应用程序操作
云附加设备 查看应用程序
云附加设备 查看客户端详细信息
云附加设备 运行 CMPivot 查询
云附加设备 查看集合
云附加设备 立即注册
云附加设备 查看资源浏览器
云附加设备 运行脚本
云附加设备 查看脚本
云附加设备 查看软件更新
云附加设备 查看时间线
公司设备标识符 阅读
自定义 阅读
派生凭据 阅读
设备符合性策略 阅读
设备符合性策略 查看报告
设备配置 阅读
设备配置 查看报告
设备注册管理器 阅读
终结点分析 阅读
终结点检测和响应 读取 - (已随 2406 服务版本) 添加
终结点保护报告 阅读
注册计划 读取设备
注册计划 读取配置文件
注册计划 读取令牌
筛选器 阅读
托管应用 Assign
托管应用 阅读
托管应用 擦除
托管设备 阅读
托管设备 设置主要用户
托管设备 更新
托管设备 查看报告
Microsoft Defender ATP 阅读
适用于企业的 Microsoft Store 阅读
移动应用程序 Assign
移动应用程序 阅读
移动威胁防御 阅读
组织 阅读
合作伙伴设备管理 阅读
策略集 阅读
远程协助连接器 阅读
远程帮助应用 Elevation
远程帮助应用 完全控制
远程帮助应用 查看屏幕
远程任务 更新手机网络数据计划
远程任务 清理电脑
远程任务 启动 Configuration Manager 操作
远程任务 发送自定义通知
远程任务 收集诊断
远程任务 禁用丢失模式
远程任务 启用丢失模式
远程任务 启用 Windows IntuneAgent
远程任务 获取 filevault 密钥。
远程任务 恢复 MDM 密钥
远程任务 定位设备
远程任务 管理共享设备用户
远程任务 运行修正
远程任务 播放声音以查找丢失的设备
远程任务 立即重新启动
远程任务 远程锁定
远程任务 提供远程协助
远程任务 重置密码
远程任务 停用
远程任务 撤销应用许可证
远程任务 旋转 BitLockerKeys (预览)
远程任务 轮换 filevault 密钥。
远程任务 设置设备名称
远程任务 关闭
远程任务 同步设备。
远程任务 更新设备帐户
远程任务 Windows defender
远程任务 擦除
角色 阅读
安全基线 阅读
ServiceNow 查看事件
电信费用 阅读
条款和条件 阅读
Windows 企业证书 阅读

终结点特权读取器

组织消息读取者可以在 Intune 控制台中查看终结点特权管理 (EPM) 策略。

权限 Action
终结点特权管理策略创作 阅读
终结点特权管理策略创作 查看报告
组织 阅读

Intune 角色管理员

Intune 角色管理员管理自定义 Intune 角色,并为内置 Intune 角色添加分配。 它是唯一可以向管理员分配权限的 Intune 角色。

权限 Action
组织 阅读
角色 Assign
角色 创建
角色 Delete
角色 阅读
角色 更新