访问管理中心

Microsoft托管桌面服务的网关是Microsoft Intune管理中心。 如果不熟悉管理中心的设备管理功能,请参阅Microsoft Intune文档

注意

Microsoft Intune管理中心支持以下浏览器:

  • Microsoft Edge(最新版本)
  • Safari(最新版本,仅限 Mac)
  • Chrome(最新版本)
  • Firefox(最新版本)

管理帐户需要特定权限才能访问 Microsoft Intune 管理中心的 Microsoft 托管桌面管理功能。

可以使用基于角色的访问控制来管理组织内这些功能的管理员访问权限。 可以使用多个Microsoft Entra管理员角色和内置Microsoft托管桌面角色,为Microsoft Intune管理中心内的不同功能提供更精细的控制。 有关Microsoft Entra角色的详细信息,请参阅Microsoft Entra内置角色

与适用于各种Microsoft产品和服务Microsoft Entra管理员角色不同,内置角色特定于Microsoft托管桌面,并且仅保证访问此服务的管理员功能。 管理员可以将内置角色单独分配给用户,也可以与Microsoft Entra管理员角色结合使用,将Microsoft托管桌面权限添加到现有管理员帐户。

具有Microsoft托管桌面访问权限的Microsoft Entra角色

Microsoft Entra角色 Microsoft 托管桌面权限
全局管理员 具有此角色的管理员将拥有对Microsoft Intune管理中心内所有功能的读取和写入权限
全局读取者 具有此角色的管理员对Microsoft Intune管理中心中的所有功能具有只读权限
Intune 服务管理员 具有此角色的管理员将拥有对Microsoft Intune管理中心与安全性无关的功能的读取和写入权限
服务支持管理员 具有此角色的管理员将拥有对与安全性无关的功能的只读权限,以及用于管理支持请求(包括Microsoft Intune管理中心中的升级请求)的写入权限。
安全管理员 具有此角色的管理员将在管理中心Microsoft托管桌面中对所有功能的只读权限和安全相关功能具有写入权限
安全信息读取者 具有此角色的管理员对Microsoft Intune管理中心中的所有功能具有只读权限

如果需要有关分配Microsoft Entra角色的帮助,请参阅Microsoft Entra内置角色

重要

只有全局管理员角色具有在 Microsoft Managed Desktop 中注册组织所需的权限。 请注意,Microsoft Entra角色将授予用户帐户跨各种Microsoft服务的权限。 完成向 Microsoft 托管桌面注册后,应该始终使用具有完成其他任务所需的最少权限的角色。

Microsoft 托管桌面提供的内置角色

以下是 Microsoft 托管桌面提供的内置角色:

内置角色 Microsoft 托管桌面权限
Microsoft 托管桌面服务管理员 分配给用户后,此角色授予管理员读取和写入权限,以Microsoft与Microsoft Intune管理中心中的安全性无关的托管桌面功能
Microsoft 托管桌面服务读者 分配给用户后,此角色向管理员提供只读权限,以Microsoft与 Microsoft Intune 管理中心中的安全性无关的托管桌面功能
Microsoft 托管桌面安全管理者 分配给用户时,此角色仅授予该管理员Microsoft Intune管理中心中与安全相关的功能的读写权限
Microsoft 托管桌面支持合作伙伴 分配给用户后,此角色仅授予管理员在Microsoft Intune管理中心中创建和管理提升请求和支持合作伙伴参与升级请求的读写权限

注意

安全功能包括与安全相关的通信、安全联系人的管理、与安全相关的支持请求的管理以及对安全相关报告的访问。

将内置角色分配给用户

为了便于管理内置角色,每个自定义角色都有一个名为“新式工作区角色 - 角色名称”的安全组。 例如,“新式工作区角色 – 安全管理器”) 。

若要将用户分配到这些安全组之一,请执行以下操作:

  1. 转到Microsoft Intune管理中心
  2. 在左窗格中,选择“”。
  3. 搜索“新式工作区角色”,然后选择与要分配的角色关联的组。
  4. 选择左侧的“成员”,然后在命令栏中选择“+ 添加成员”。
  5. 输入要添加的人员的电子邮件。 如果他们是来宾,则必须先邀请他们,然后才能分配组。
  6. 选择底部的“选择”。

注意

目前不支持为角色分配嵌套安全组。

将内置角色分配给组

若要将一个或多个内置角色分配给现有组,请执行以下操作:

  1. 转到 portal.azure.com
  2. 搜索并打开“企业应用程序”。
  3. 将“应用程序类型”筛选器更改为“Microsoft 应用程序”,然后选择“应用”。
  4. 搜索并选择“新式工作区客户 API”。
  5. 从左侧窗格中选择“用户和组”,然后选择“+ 添加用户/组”。
  6. 从“用户和组”中搜索所需的组。
  7. 从“选择角色”中搜索适用的角色,然后选择它。
  8. 选择“分配”。