针对租户附加客户端的 Intune 基于角色的访问控制

项目
11/09/2023

适用于: Configuration Manager(current branch)

从 Configuration Manager 版本 2207 开始，在从 Microsoft Intune 管理中心与租户附加设备交互时，可以使用 Intune 基于角色的访问控制 (RBAC) 。例如，使用 Intune 作为基于角色的访问控制机构时，具有技术支持操作员角色的用户不需要分配的安全角色或来自Configuration Manager的其他权限。 Intune 基于角色的访问控制管理Microsoft Intune管理中心内所有云附加设备页面的权限，例如设备时间线、CMPivot 和脚本。

重要

目前，强制实施 Intune 基于角色的访问控制，以便从 Microsoft Intune 管理中心在租户附加设备上显示和执行操作都是可选的。建议具有云连接Configuration Manager环境的所有管理员开始从 Intune 验证基于角色的访问控制权限。

将 Intune 配置为租户附加设备的基于角色的访问控制机构有三个高级步骤：

在Configuration Manager控制台中，禁用对云附加客户端Configuration Manager基于角色的访问控制
在 Intune 中，启用管理云附加设备的用户权限
在 Intune 中，验证云附加设备的基于角色的访问控制权限

先决条件

Configuration Manager版本 2207 或更高版本
租户附加设备

限制

目前，仅使用 Intune 基于角色的访问控制在 Microsoft Intune 管理中心的租户附加设备上显示和执行操作时，不支持范围。
目前，使用 Configuration Manager 版本 2207 的早期更新圈时，“软件更新”页不适用于仅限云的用户。

禁用对云附加客户端强制实施Configuration Manager基于角色的访问控制

若要将 Intune 基于角色的访问控制用于租户附加，而不是Configuration Manager基于角色的访问控制，请使用以下说明：

在Configuration Manager控制台中，转到“管理>云服务>云附加”。
基于角色的访问控制选项的位置因环境是否已连接到云而有所不同。
- 如果环境已连接到云，请打开 CoMgmtSettingsProd 的属性。如果未将设备上传到管理中心，请先配置该选项。有关详细信息，请参阅启用云附加。
- 如果你的环境不是云附加的，请选择“ 配置云附加 ”以打开 “云附加配置”向导。
在“配置上传”选项卡或向导的页面上，清除“基于角色的访问控制”标题下以下选项的复选框：

对与Configuration Manager交互的云控制台请求强制实施Configuration Manager RBAC
选择 “确定” 以保存对 CoMgmtSettingsProd 属性的更改，或继续完成云附加向导。

从 Intune 启用基于角色的访问控制

若要启用 Intune 来管理云附加设备的用户权限，请使用以下步骤：

打开Microsoft Intune管理中心，以具有角色/更新权限的用户身份登录。有关权限的详细信息，请参阅 Intune 中的自定义角色权限。
选择“租户管理>连接器”和令牌> Microsoft Endpoint Configuration Manager。
在横幅中，选择“ 还可以从 Intune 管理用户权限”。单击此处了解有关此选项的详细信息。
此时会显示 “使用 Intune RBAC ”浮出控件。
对于“使用 Intune RBAC”选项，选择“开”，然后选择“应用”。
更改可能需要大约 10 分钟才能生效。

从 Intune 验证基于角色的访问控制权限

将 Intune 设置为基于角色的访问控制机构后，请验证角色的权限。如果需要，可以将这些权限添加到在 Intune 中创建的自定义角色。

打开Microsoft Intune管理中心并登录。
选择“ 租户管理>角色”。
选择一个角色（例如 应用程序管理器），并查看为 云附加设备列出的权限。如果需要，请编辑在 Intune 中创建的任何自定义角色的权限。

以下 Intune 权限控制对Configuration Manager云附加设备的访问：

权限	说明	具有权限的 Intune 内置角色
云附加设备\查看集合	显示Configuration Manager云附加设备的“集合”页	应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看资源浏览器	显示Configuration Manager云附加设备的“资源资源管理器”页	应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看时间线	显示Configuration Manager云附加设备的“时间线”页	应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看软件更新	显示Configuration Manager云附加设备的“软件更新”页	应用程序管理器、终结点安全管理器、只读操作员、学校管理员、技术支持操作员
云附加设备\查看脚本	显示Configuration Manager云附加设备的“脚本”页	终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\运行脚本	显示“运行脚本”操作，并允许用户在Configuration Manager云附加设备上运行脚本	学校管理员、技术支持操作员
云附加设备\运行 CMPivot 查询	显示Configuration Manager云附加设备的 CMPivot 页	终结点安全管理器、学校管理员、技术支持操作员
云附加设备\查看客户端详细信息	显示Configuration Manager云附加设备的“客户端详细信息”页	应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看应用程序	显示Configuration Manager云附加设备的“应用程序”页	应用程序管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\执行应用程序操作	在“应用程序”页中显示应用程序操作，并允许用户在Configuration Manager云附加设备上执行应用程序操作	应用程序管理员、学校管理员、技术支持操作员
远程任务/轮换 BitLockerKeys (预览)	在设备上为 BitLocker 恢复密码启动密钥轮换。显示Configuration Manager云附加设备的“恢复密钥”页。	Endpoint Security Manager，技术支持操作员

常见问题解答

我有需要访问 Intune 中租户附加设备的仅限云的用户，这是否会授予他们访问权限？

能。如果用户仅限云，在这种情况下，这意味着他们位于 Microsoft Entra ID 中，并且可以访问 Intune，使用 Intune RBAC 将授予他们访问租户附加设备的访问权限。

如果我有多个Configuration Manager层次结构连接到租户，该怎么办？

Microsoft Intune管理中心中的“使用 Intune RBAC”设置适用于租户中列出的所有Configuration Manager层次结构。

如果Configuration Manager和 Intune 设置不匹配，会发生什么情况？

如果 Intune 中的“使用 Intune RBAC”开关设置为“关闭”，则即使清除了“对与 Configuration Manager 交互的云控制台请求强制实施Configuration Manager RBAC”复选框，也会强制实施Configuration Manager基于角色的访问。在 Intune 中使用 Intune RBAC 开关设置为“打开”之前，禁用“对与 Configuration Manager 交互的云控制台请求强制实施Configuration Manager RBAC”选项不会有任何影响。

如果我的测试层次结构配置为使用 Intune RBAC，但生产层次结构不是并且它们位于同一租户中，会发生什么情况？

Use Intune RBAC 设置适用于租户中列出的所有Configuration Manager层次结构。仅限云的用户可以访问从测试层次结构上传的租户附加设备，因为你还清除了强制实施Configuration Manager RBAC 的复选框。如果仅限云的用户尝试访问从生产环境上传的租户附加设备，他们将收到错误，因为生产设备正在强制执行 Configuration Manager RBAC。仅限云的用户将收到类似于以下消息的错误： Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

后续步骤

查看云附加设备的时间线
在云附加设备上运行 CMPivot 查询