在 Intune 中创建自定义角色
可创建自定义 Intune 角色,让其包含特定工作职能所需的全部权限。 例如,如果 IT 部门组管理应用程序、策略和配置配置文件,则可以在某自定义角色中添加所有这些权限。 创建自定义角色后,可将其分配给需要这些权限的任何用户。
若要创建、编辑或分配角色,帐户必须在 Microsoft Entra ID 中具有以下权限之一:
- 全局管理员
- Intune 服务管理员
要创建自定义角色
在Microsoft Intune管理中心,选择“租户管理>角色”>“所有角色>创建”。
在 基本信息 页面上,输入新角色的名称和说明,然后选择 下一步。
在“权限”页上,选择要用于此角色的权限。
在 范围(标记) 页面上,选择此角色的标记。 将此角色分配给用户后,该用户可访问同样具有这些标记的资源。 选择“下一步”。
完成后,在“查看 + 创建”页上,选择“创建”。 新角色会显示在 Intune 角色 - 所有角色 边栏选项卡的列表中。
复制角色
还可以复制现有角色。
在Microsoft Intune管理中心,选择“租户管理>角色”>“所有角色>”选中“复制”列表中>某个角色的复选框。
在 基本信息 页面上,输入名称。 请确保使用唯一的名称。
原始角色的所有权限和范围标记均已选中。 之后,可以更改重复角色的 名称、说明、 权限 以及 范围(标记)。
完成所需的所有更改后,选择“下一步”转到“查看 + 创建”页。 选择“创建”。
自定义角色权限
注意
只能使用分配的移动应用权限查看和管理 VPP 应用 。 以前,需要 托管应用 权限才能查看和管理 VPP 应用。 此更改不适用于仍需要分配托管应用权限的教育版租户Intune。
创建自定义角色时,可以使用以下权限。
| 权限 | 说明 |
|---|---|
| Android FOTA/Assign | 将 Android 固件无线 (FOTA) 部署分配给Microsoft Entra安全组。 |
| Android FOTA/Delete | 删除和取消挂起的 Android 固件无线 (FOTA) 部署,并删除部署历史记录。 |
| Android FOTA/Create | 通过无线方式创建和管理 Android 固件的所有方面, (FOTA) 部署。 |
| Android FOTA/Read | 通过无线方式查看 Android 固件 (FOTA) 部署,包括历史记录和报告。 |
| Android FOTA/更新 | 更改现有 Android 固件无线 (FOTA) 部署并取消固件部署。 |
| Android Enterprise/Read | 查看用于将应用程序与 Play for Work 存储同步的 Android Enterprise 配置,或查看 Android for Work 注册先决条件和注册配置文件。 |
| Android Enterprise/更新应用同步 | 管理或更改用于将应用程序与 Play for Work 应用商店同步的 Android Enterprise 配置,或者将你从应用商店中批准的应用与Intune同步。 |
| Android Enterprise/Update 加入 | 管理或更改用于注册 Android for Work 设备或管理 Android for Work 注册配置文件的 Android Enterprise 配置。 |
| Android Enterprise/更新注册配置文件 | 管理或更改用于注册设备的 AOSP 和 Android 设备所有者注册配置文件。 |
| 审核数据/读取 | 查看此租户的所有 Intune 审核数据。 |
| 证书连接器/修改 | 添加、删除或修改支持证书颁发所需的证书连接器。 |
| 证书连接器/读取 | 查看支持证书颁发所需的证书连接器。 |
| Chrome Enterprise/删除连接设置 | 删除组织的 Chrome Enterprise 连接设置。 |
| Chrome Enterprise/读取 | 查看组织的 Chrome Enterprise 连接设置和 Chrome OS 设备的设备详细信息。 |
| Chrome Enterprise/更新连接设置 | 管理或更改组织的 Chrome Enterprise 连接设置。 |
| 云附加设备/立即注册 | 将符合条件的 CM 设备注册到共同管理中。 |
| 云附加设备/查看集合 | 显示Configuration Manager云附加设备的“集合”页 |
| 云附加设备/查看资源浏览器 | 显示Configuration Manager云附加设备的“资源资源管理器”页 |
| 云附加设备/查看时间线 | 显示Configuration Manager云附加设备的“时间线”页 |
| 云附加设备/查看软件更新 | 显示Configuration Manager云附加设备的“软件更新”页 |
| 云附加设备/查看脚本 | 显示Configuration Manager云附加设备的“脚本”页 |
| 云附加设备/运行脚本 | 显示“运行脚本”操作,并允许用户在Configuration Manager云附加设备上运行脚本 |
| 云附加设备/运行 CMPivot 查询 | 显示Configuration Manager云附加设备的 CMPivot 页 |
| 云附加设备/查看客户端详细信息 | 显示Configuration Manager云附加设备的“客户端详细信息”页 |
| 云附加设备/查看应用程序 | 显示Configuration Manager云附加设备的“应用程序”页 |
| 云附加设备/执行应用程序操作 | 在“应用程序”页中显示应用程序操作,并允许用户在Configuration Manager云附加设备上执行应用程序操作 |
| 企业设备标识符/创建 | 新建企业设备标识符或导入包含企业设备标识符列表的 CSV 文件。 |
| 企业设备标识符/删除 | 删除用作企业设备标识符的 IMEI 或序列号。 |
| 企业设备标识符/读取 | 查看用作企业设备标识符的 IMEI 或序列号。 |
| 企业设备标识符/更新 | 更新用作企业设备标识符的 IMEI 或序列号。 |
| 自定义/分配 | 分配公司门户的自定义选项。 |
| 自定义/创建 | 创建公司门户的自定义选项。 |
| 自定义/删除 | 删除公司门户的自定义选项。 |
| 自定义/读取 | 读取公司门户的自定义选项。 |
| 自定义/更新 | 更新公司门户的自定义选项。 |
| 派生凭据/修改 | 配置 Microsoft Intune 租户的派生凭据。 |
| 派生凭据/读取 | 查看 Microsoft Intune 租户的“派生凭据”。 |
| 设备合规性策略/分配 | 将设备符合性策略分配给Microsoft Entra安全组,并将 Exchange 本地访问权限分配给Microsoft Entra安全组。 |
| 设备合规性策略/创建 | 新建设备合规性策略。 |
| 设备合规性策略/删除 | 删除设备合规性策略或删除 Exchange ActiveSync 连接器。 |
| 设备合规性策略/读取 | 查看设备符合性策略和 Exchange Active Sync Connector 列表,或查看 Exchange 本地访问的设置。 |
| 设备合规性策略/更新 | 更改设备合规性策略、Exchange ActiveSync 连接器和 Exchange 本地访问设置。 |
| 设备合规性策略/查看报告 | 查看、生成并导出设备合规性报告。 |
| 设备配置/分配 | 向Microsoft Entra安全组分配设备配置文件或分配设备注册限制。 |
| 设备配置/创建 | 新建设备配置配置文件,或新建设备注册限制。 |
| 设备配置/删除 | 删除设备配置配置文件或删除设备注册限制。 |
| 设备配置/读取 | 查看设备配置配置文件或查看设备注册限制。 |
| 设备配置/更新 | 更改设备配置配置文件或更改设备注册限制。 |
| 设备配置/查看报告 | 查看、生成并导出设备配置报告。 |
| 设备注册管理器/读取 | 查看设备注册管理器帐户列表。 |
| 设备注册管理器/更新 | 新建设备注册管理器帐户,或删除设备注册管理器帐户。 |
| 终结点分析/创建 | 新建基线并编辑终结点分析设置。 |
| 终结点分析/删除 | 编辑终结点分析设置并删除基线。 |
| 终结点分析/读取 | 查看终结点分析分数和性能报告。 |
| 终结点分析/更新 | 编辑终结点分析设置和基线。 |
| 终结点特权管理策略创作/分配 | 允许管理员分配 Endpoint Privilege Management (EPM) 策略。 |
| 终结点特权管理策略创作/创建 | 允许管理员 (EPM) 策略创建 Endpoint Privilege Management。 |
| 终结点特权管理策略创作/删除 | 允许管理员删除终结点特权管理 (EPM) 策略。 |
| 终结点特权管理策略创作/读取 | 允许管理员读取 Endpoint Privilege Management (EPM) 策略。 |
| 终结点特权管理策略创作/更新 | 允许管理员更新终结点特权管理 (EPM) 策略。 |
| 终结点特权管理策略创作/查看报告 | 允许管理员查看终结点特权管理 (EPM) 报表。 |
| Endpoint protection 报告/读取 | 查看 endpoint protection 报告。 |
| 注册计划/分配配置文件 | 管理 Windows Autopilot 部署配置文件分配设置。 |
| 注册计划/创建设备 | 导入适用于设备注册计划、Apple School 或 Business Manager、Apple Configurator 或 Windows Autopilot 设备的 Apple 设备。 |
| 注册计划/创建配置文件 | 新建设备注册计划、Apple School Manager、Apple Configurator 或 Windows Autopilot 的配置文件。 |
| 注册计划/创建令牌 | 下载 Apple 设备注册计划或 Apple School Manager 令牌 .pem 文件。 |
| 注册计划/删除设备 | 删除适用于设备注册计划、Apple School 或 Business Manager、Apple Configurator 或 Windows Autopilot 设备的 Apple 设备。 |
| 注册计划/删除配置文件 | 删除设备注册计划、Apple School Manager、Apple Configurator 或 Windows Autopilot 的配置文件。 |
| 注册计划/删除令牌 | 删除 Apple 设备注册计划或 Apple School Manager 令牌 .pem 文件。 |
| 注册计划/读取设备 | 查看设备注册计划、Apple School Manager、Apple Configurator 或 Windows Autopilot 设备的 Apple 设备。 |
| 注册计划/读取配置文件 | 查看设备注册计划、Apple School Manager、Apple Configurator 或 Windows Autopilot 的配置文件。 |
| 注册计划/读取令牌 | 查看 Apple 设备注册计划或 Apple School Manager 令牌状态。 |
| 注册计划/同步设备 | 启动 Windows Autopilot 设备的“同步”命令。 |
| 注册计划/更新配置文件 | 管理设备注册计划、Apple School Manager、Apple Configurator 或 Windows Autopilot 的配置文件。 |
| 注册计划/更新令牌 | 上传 Apple 设备注册或 Apple School Manager 令牌,并同步 Apple 设备注册计划或 Apple School Manager 设备。 |
| 筛选器/创建 | 新建筛选器。 |
| 筛选器/删除 | 删除筛选器。 |
| 筛选器/读取 | 查看筛选器。 |
| 筛选器/更新 | 编辑筛选器。 |
| Intune 数据仓库/读取 | 查看来自数据仓库的所有数据和报告。 Power BI 或其他报告服务可以使用数据。 |
| 托管应用/分配 | 将应用程序保护策略分配给Microsoft Entra安全组。 |
| 托管应用/创建 | 新建应用程序保护策略。 |
| 托管应用/删除 | 删除应用程序保护策略。 |
| 托管应用/读取 | 查看应用程序保护策略和状态。 |
| 托管应用/更新 | 更改应用程序保护策略,或删除受保护应用的挂起的擦除请求。 |
| 托管应用/擦除 | 创建擦除请求,以选择性地从受保护的应用中删除公司数据。 |
| 托管设备清理设置/更新 | 更改托管设备清理设置。 |
| 受管理设备/删除 | 删除 Intune 受管理设备。 已删除的设备无法再由 Intune 管理,且该设备无法再访问公司资源。 如果用户在设备删除后尝试签入,则可能会从设备中擦除公司数据。 |
| 受管理设备/读取 | 查看 Intune 受管理设备。 |
| 托管设备/查询 | 允许Intune查询托管设备,以便从设备本身检索受管理设备的详细清单信息、设备状态或其他属性。 |
| 受管理设备/读取 | 查看 Intune 受管理设备。 |
| 托管设备/读取 Bios 密码 | 读取具有托管 BIOS 和固件配置的设备的 BIOS 密码。 |
| 受管理设备/设置主要用户 | 选择、更改或删除受管理设备的主要用户。 此权限必须与受管理设备读取和更新权限结合使用。 |
| 受管理设备/更新 | 更改受管理设备的设置或所有权属性。 此权限不会启用设备的远程操作。 要在设备上执行远程操作,请授予一个或多个远程任务权限。 |
| 受管理设备/查看报告 | 为受管理设备生成、查看或导出报告。 |
| 托管 Google Play/修改 | 修改用于将托管 Google Play 应用与 Microsoft Intune 同步的设置。 |
| 托管 Google Play/读取 | 显示用于将托管 Google Play 应用与Microsoft Intune同步的设置。 |
| Microsoft Defender ATP/读取 | 查看 Microsoft Intune 和 Microsoft Defender ATP 之间的连接。 |
| 适用于企业的 Microsoft Store/修改 | 修改用于将应用与适用于企业的 Microsoft Store 同步Microsoft Intune。 |
| 适用于企业的 Microsoft Store/读取 | 查看用于将适用于企业的 Microsoft Store 应用与Microsoft Intune 同步的设置。 |
| Microsoft Tunnel 网关/创建 | 创建 Microsoft Tunnel 网关服务器配置和站点。 服务器配置包括 IP 地址范围、DNS 服务器、端口和拆分隧道规则的设置。 站点是支持 Microsoft Tunnel 的多个服务器的逻辑分组。 |
| Microsoft Tunnel 网关/删除 | 删除 Microsoft Tunnel 网关服务器配置和站点。 服务器配置包括 IP 地址范围、DNS 服务器、端口和拆分隧道规则的设置。 站点是支持 Microsoft Tunnel 的多个服务器的逻辑分组。 |
| Microsoft Tunnel 网关/读取 | 查看 Microsoft Tunnel 网关服务器配置和站点。 服务器配置包括 IP 地址范围、DNS 服务器、端口和拆分隧道规则的设置。 站点是支持 Microsoft Tunnel 的多个服务器的逻辑分组。 |
| Microsoft Tunnel 网关/更新 | 更新 Microsoft Tunnel 网关服务器配置和站点。 服务器配置包括 IP 地址范围、DNS 服务器、端口和拆分隧道规则的设置。 站点是支持 Microsoft Tunnel 的多个服务器的逻辑分组。 |
| 移动应用/分配 | 将移动应用程序或电子书分配到Microsoft Entra安全组。 |
| 移动应用/创建 | 向 Intune 添加新的移动应用程序,例如商店应用、业务线应用、Web 链接或内置应用。 还可以添加通过 Apple Volume Purchase Program 购买的书籍或添加电子书类别。 可以设置 iOS VPP 令牌、Windows Symantec 证书、Windows 侧载密钥、应用类别或 Android for Work 连接。 |
| 移动应用/删除 | 删除移动应用程序,例如商店应用、业务线应用、Web 链接或内置应用。 还可以删除通过 Apple Volume Purchase Program 购买的书籍或删除电子书类别。 可以删除 iOS VPP 令牌、Windows Symantec 证书、Windows 侧载密钥、应用类别或 Android for Work 连接。 |
| 移动应用/读取 | 查看移动应用程序,例如商店应用、业务线应用、Web 链接或内置应用。 还可以查看通过 Apple Volume Purchase Program 购买的书籍或添加电子书类别。 可以查看 iOS VPP 令牌、Windows Symantec 证书、Windows 侧载密钥、应用类别或 Android for Work 连接。 |
| 移动应用/关联 | 使用依赖关系和取代功能创建与其他托管应用的关系。 如果没有此权限,IT 管理员无法在创建或编辑 Win32 应用时添加应用依赖项或取代关系。 |
| 移动应用/更新 | 管理移动应用程序,例如商店应用、业务线应用、Web 链接或内置应用。 还可以管理通过 Apple Volume Purchase Program 购买的书籍或添加电子书类别。 可以管理 iOS VPP 令牌、Windows Symantec 证书、Windows 侧载密钥、应用类别或 Android for Work 连接。 |
| 移动应用/查看报表 | 查看有关应用商店应用、业务线应用、Web 链接和内置应用等移动应用程序的报告。 |
| 移动威胁防御/修改 | 添加、删除或修改 Intune 和所选的 MTD 供应商之间的“移动威胁防御”连接器 |
| 移动威胁防御/读取 | 查看 Intune 和所选的 MTD 供应商之间的“移动威胁防御”连接器 |
| 多管理员审批/创建访问策略 | 为多管理员审批创建访问策略。 |
| 多管理员审批/删除访问策略 | 删除多管理员审批的访问策略。 |
| 多管理员审批/读取访问策略 | 读取多管理员审批的访问策略。 |
| 多管理员审批/更新访问策略 | 更新多管理员审批的访问策略。 |
| 组织/创建 | 创建租户设置,例如设备类别和 Exchange 连接器。 |
| 组织/删除 | 删除租户设置,例如设备类别和 Exchange 连接器。 |
| 组织/读取 | 查看租户设置,例如设备类别和 Exchange 连接器。 激活所有注册工作流需要此权限。 |
| 组织/更新 | 管理租户设置、设备类别和 Exchange 连接器。 |
| 组织消息/创建 | 创建组织消息。 |
| 组织消息/读取 | 读取组织消息。 |
| 组织消息/更新 | 取消组织邮件。 |
| 组织消息/删除 | 删除组织邮件。 |
| 组织消息/分配 | 分配组织消息。 |
| 组织消息/更新组织消息控制 | 启用或阻止直接从 Microsoft 发送的组织消息,同时允许显示管理员消息。 |
| 合作伙伴设备管理/修改 | 配置 Jamf 的合规性连接器。 |
| 合作伙伴设备管理/读取 | 查看 Jamf 的合规性连接器。 |
| 策略集/分配 | 将策略集分配给Microsoft Entra安全组。 |
| 策略集/创建 | 新建“策略集”。 |
| 策略集/删除 | 删除“策略集”。 |
| 策略集/读取 | 查看“策略集”。 |
| 策略集/更新 | 更改“策略集”,或向“策略集”添加项目。 |
| 静默时间策略/分配 | 将静默时间策略分配给 Azure AD 安全组。 |
| 静默时间策略/创建 | 创建新的静默时间策略。 |
| 静默时间策略/删除 | 删除静默时间策略。 |
| 静默时间策略/读取 | 查看设备静默时间策略。 |
| 静默时间策略/更新 | 更改静默时间策略。 |
| 静默时间策略/查看报告 | 查看、生成和导出静默时间策略报告。 |
| 远程协助连接器/读取 | 查看 TeamViewer 连接器的状态和远程帮助。 启动设备的远程协助请求无需此权限。 |
| 远程协助连接器/更新 | 管理 TeamViewer 连接器的状态和远程帮助。 此权限还需要远程协助连接器读取权限才能查看 TeamViewer 连接器的状态和远程帮助。 |
| 远程协助连接器/查看报告 | 查看、生成和导出远程帮助会话并监视报告。 |
| 远程帮助应用/提升 | 启用远程帮助后,提升允许帮助程序在共享者的设备上出现提示时输入 UAC 凭据。 启用提升还允许帮助者在共享者授予帮助者访问权限时查看和控制共享者的设备。 |
| 远程帮助应用/完全控制 | 完全控制允许帮助程序在启用远程帮助时查看和控制共享者的设备。 |
| 远程帮助应用/无人参与控件 | 对于 Android 设备,无人参与的控制将在帮助程序选择新会话后立即启动远程帮助,共享者无需授予访问权限。 |
| 远程帮助应用/查看屏幕 | 启用远程帮助后,帮助程序可以通过“视图”屏幕查看共享者的设备。 |
| 远程任务/绕过激活锁 | 从受监督的设备中删除激活锁,无需用户的 Apple ID 和密码。 如果用户离开公司并退还设备,则可能需要执行此操作;如果没有用户的 Apple ID 和密码,则无法重新激活设备。 或者,需要在组织的设备刷新期间将一些设备重新分配给其他部门。 只能重新分配未启用激活锁的设备。 在启动此远程任务之前,还必须具有“受管理设备读取”权限才可查看 Azure 门户中的设备。 |
| 远程任务/更改组织单位 | 将 Chrome Enterprise 设备移动到 Google Workspace 域中的现有组织单位。 |
| 远程任务/清理电脑 | 启动“全新启动设备”操作。 此操作会删除任何安装在正在运行 Creators Update 的 Windows 10 电脑上的应用。 然后,它会自动将电脑更新到最新版本的 Windows。 |
| 远程任务/收集诊断 | 收集设备诊断 |
| 远程任务/禁用丢失模式 | 禁用 iOS 设备的丢失模式。 |
| 远程任务/启用丢失模式 | 在丢失或被盗的 iOS 设备上启动丢失模式。 通过此模式,可输入在设备锁屏界面上显示的消息和电话号码。 要使用丢失模式,设备必须是处于受监督模式的企业所有的 iOS 设备。 |
| 远程任务/启用 Windows IntuneAgent | 启用 Windows Intune 代理。 |
| 远程任务/获取 filevault 密钥。 | 获取 Mac FileVault 密钥。 |
| 远程任务/启动 Configuration Manager 操作 | 在由 Configuration Manager 管理的设备上启动远程操作。 |
| 远程任务/定位设备 | 在地图上查看丢失或被盗的企业所有的设备的位置。 可以定位受监督的 iOS/iPadOS 设备、Android 专用 (COSU)和 Windows 设备。 |
| 远程任务/管理共享设备用户 | 在共享设备上注销具有当前会话的用户。 此操作不会从共享设备中删除用户,只会强制注销具有当前会话的用户。 |
| 远程任务/提供远程协助 | 使用远程协助提供程序以启动与用户设备的远程协助会话。 必须为租户启用提供程序的远程协助选项。 |
| 远程任务/播放丢失模式声音 | 在已处于 MDM 丢失模式的设备上启动丢失模式铃声。 |
| 远程任务/播放声音以查找丢失的设备 | 播放声音以查找丢失的 Android 专用设备,或处于 MDM 丢失模式的 iOS 设备。 |
| 远程任务/立即重启 | 启动设备重启。 这会导致所选的设备重新启动。 设备所有者不会自动收到重启通知,可能会丢失工作内容。 |
| 远程任务/恢复 MDM 密钥 | 使用 TPM 证明) 证书的私钥恢复,设备管理 (MDM |
| 远程任务/删除设备固件配置接口管理。 | 允许管理员在删除Intune和 Autopilot 记录之前,从设备固件配置接口管理中启动删除设备。 |
| 远程任务/远程锁定 | “远程锁定设备”操作会锁定设备。 要解锁设备,设备所有者需输入其密码。 可以远程锁定已设置 PIN 或密码的设备。 无法远程锁定没有 PIN 或密码的设备。 |
| 远程任务/重置密码 | 启动强制删除密码,且需要设备用户设置新密码。 iOS 设备、某些更高版本的 Android 和 Android for work 支持该操作。 较旧的 Android 版本、macOS 或 Windows 不支持该操作。 |
| 远程任务/停用 | 启动设备的停用操作。 也称为删除公司数据。 “删除公司数据”操作会删除使用 Intune 分配的托管应用数据(如果适用)、设置和电子邮件配置文件。 将从 Intune 管理中删除设备。 当下次设备签入并接收远程“删除公司数据”操作时,会发生这种情况。 删除公司数据会将用户的个人数据保留在设备上。 |
| 远程任务/撤销应用许可证 | 撤消任何已与设备关联的 iOS VPP 应用程序许可证。 |
| 远程任务/轮换 BitLockerKeys (预览) | 在设备上为 BitLocker 恢复密码启动密钥轮换。 |
| 远程任务/轮换 filevault 密钥。 | 轮换 Mac FileVault 密钥。 |
| 远程任务/轮换本地管理员密码 | 在设备上为本地管理员密码启动手动轮换 |
| 远程任务/运行暂停配置刷新 | 按需暂停配置刷新 |
| 远程任务/运行修正 | 按需主动修正 |
| 远程任务/指示远程设备操作,以指示移动设备管理 (MDM) 证明设备是否能够进行证明。 | |
| 远程任务/发送自定义通知 | 允许管理员向设备发送自定义通知。 设备在公司门户中接收通知。 |
| 远程任务/设置设备名称 | 设置或更改设备名称。 |
| 远程任务/关闭 | 启动设备关闭,并将自动关闭所有应用程序和正在运行的服务,并使设备处于关机状态。 |
| 远程任务/同步设备。 | 在设备上启动同步操作,并强制选定设备立即使用 Intune 签入。 当设备签入时,该设备会立即收到已分配给自己的任何挂起的操作或策略。 |
| 远程任务/更新手机数据计划 | 为支持 eSIM 的手机 iOS/iPadOS 设备激活数据计划。 |
| 远程任务/更新设备帐户 | 允许更改与 Surface Hub 设备关联的设备帐户,并设置身份验证选项,例如密码轮换。 |
| 远程任务/Windows defender | 启动 Windows Defender 签名更新。 |
| 远程任务/擦除 | 启动设备擦除。 也称为恢复出厂设置。 “恢复出厂设置”操作会将设备还原为出厂默认设置。 保留或擦除用户数据取决于是否选择“保留注册状态和用户帐户”复选框。 |
| 角色/分配 | 将Intune内置角色或自定义角色分配给Microsoft Entra安全组 |
| 角色/创建 | 新建 Intune 自定义角色。 内置角色由 Intune 自动创建。 |
| 角色/删除 | 删除自定义 Intune 角色。 无法删除内置角色。 |
| 角色/读取 | 查看任何内置或自定义 Intune 角色的权限、角色分配、成员组和范围组。 |
| 角色/更新 | 更新内置或自定义角色的自定义角色权限和角色分配。 角色分配定义角色的管理员和最终用户范围。 |
| 安全基线/分配 | 将安全基线配置文件分配给Microsoft Entra安全组。 |
| 安全基线/创建 | 创建新的安全基线配置文件。 |
| 安全基线/删除 | 删除安全基线配置文件。 |
| 安全基线/读取 | 查看所有安全基线工作区的安全基线配置文件或配置文件报告或模板报告。 |
| 安全基线/更新 | 更新安全基线配置文件。 |
| 安全任务/读取 | 查看安全任务。 |
| 安全任务/更新 | 更新安全任务。 |
| ServiceNow/Update Connector | 更新 ServiceNow 连接。 |
| ServiceNow/查看事件 | 查看 ServiceNow 中的事件。 |
| 电信费用/读取 | 查看电信费用合作伙伴连接器的设置和状态。 电信费用合作伙伴连接器功能已弃用,此权限在 2025 年 6 月之后将不再受支持。 |
| 电信费用/更新 | 修改或激活电信费用管理合作伙伴连接器。 电信费用合作伙伴连接器功能已弃用,此权限在 2025 年 6 月之后将不再受支持。 |
| 租户附加建议/读取 | 查看租户附加建议。 建议是改善站点运行状况和设备管理体验的方法。 |
| 条款和条件/分配 | 将条款和条件分配给Microsoft Entra安全组。 |
| 条款和条件/创建 | 新建条款和条件。 |
| 条款和条件/删除 | 删除现有的条款和条件。 |
| 条款和条件/读取 | 查看条款和条件。 |
| 条款和条件/更新 | 管理现有的条款和条件,但不管理分配。 |
| Windows 企业版证书/修改 | 添加、删除或修改用于将业务线应用分配到受管理 Windows 设备的代码签名证书。 |
| Windows 企业版证书/读取 | 查看用于将业务线应用分配到受管理 Windows 设备的代码签名证书。 |
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈