针对租户附加客户端的 Intune 基于角色的访问控制

适用于: Configuration Manager(current branch)

从 Configuration Manager 版本 2207 开始,在从 Microsoft Intune 管理中心与 租户附加设备 交互时,可以使用 Intune 基于角色的访问控制 (RBAC) 。 例如,使用 Intune 作为基于角色的访问控制机构时,具有 技术支持操作员角色 的用户不需要 Configuration Manager 分配的安全角色或其他权限。 Intune 基于角色的访问控制 管理 Microsoft Intune 管理中心内所有云附加设备页的权限,例如 设备时间线CMPivot脚本

重要

目前,强制实施 Intune 基于角色的访问控制,以便从 Microsoft Intune 管理中心在租户附加设备上显示和执行操作都是可选的。 建议所有具有云连接 Configuration Manager 环境的管理员开始 从 Intune 验证基于角色的访问控制权限

将 Intune 配置为租户附加设备的基于角色的访问控制机构有三个高级步骤:

先决条件

限制

  • 目前,仅使用 Intune 基于角色的访问控制在 Microsoft Intune 管理中心的租户附加设备上显示和执行操作时,不支持 范围
  • 目前,使用 Configuration Manager 版本 2207 的早期更新圈时,“ 软件更新 ”页 不适用于仅限云的用户。

禁用对云附加客户端的 Configuration Manager 基于角色的访问控制强制实施

若要将 Intune 基于角色的访问控制用于租户附加而不是 Configuration Manager 基于角色的访问控制,请使用以下说明:

  1. 在 Configuration Manager 控制台中,转到 “管理>云服务>云附加”。

  2. 基于角色的访问控制选项的位置因环境是否已连接到云而有所不同。

    • 如果环境已连接到云,请打开 CoMgmtSettingsProd 的属性。 如果未将设备上传到管理中心,请先配置该选项。 有关详细信息,请参阅 启用云附加
    • 如果你的环境不是云附加的,请选择“ 配置云附加 ”以打开 “云附加配置”向导
  3. 在“ 配置上传 ”选项卡或向导中的页面上,清除“ 基于角色的访问控制” 标题下的以下选项的复选框:

    对与 Configuration Manager 交互的云控制台请求强制实施 Configuration Manager RBAC

  4. 选择 “确定” 以保存对 CoMgmtSettingsProd 属性的更改,或继续完成 云附加向导

Configuration Manager 中 CoMgmtSettingsProd 属性的屏幕截图。在屏幕截图中,“配置上传”选项卡显示一个红色框,其中概述了“基于角色的访问控制”部分。

从 Intune 启用基于角色的访问控制

若要启用 Intune 来管理云附加设备的用户权限,请使用以下步骤:

  1. 打开 Microsoft Intune 管理中心 ,以具有 角色/更新 权限的用户身份登录。 有关权限的详细信息,请参阅 Intune 中的自定义角色权限
  2. 选择“租户管理>连接器”和令牌> Microsoft Endpoint Configuration Manager
  3. 在横幅中,选择“ 还可以从 Intune 管理用户权限”。单击此处了解有关此选项的详细信息。
  4. 此时会显示 “使用 Intune RBAC ”浮出控件。
  5. 对于“使用 Intune RBAC”选项,选择“”,然后选择“应用”。
  6. 更改可能需要大约 10 分钟才能生效。

Microsoft Intune 管理中心中“Microsoft Configuration Manager 连接器和令牌”页的屏幕截图。屏幕截图中显示了“使用 Intune RBAC”浮出控件。

从 Intune 验证基于角色的访问控制权限

将 Intune 设置为基于角色的访问控制机构后,请验证角色的权限。 如果需要,可以将这些权限添加到在 Intune 中创建的 自定义角色

  1. 打开 Microsoft Intune 管理中心 并登录。
  2. 选择“ 租户管理>角色”。
  3. 选择一个角色(例如 应用程序管理器),并查看为 云附加设备列出的权限。 如果需要,请编辑在 Intune 中创建的任何 自定义角色 的权限。

以下 Intune 权限控制对 Configuration Manager 云附加设备的访问:

权限 说明 具有 权限的 Intune 内置角色
云附加设备\查看集合 显示 Configuration Manager 云附加设备的 “集合 ”页 应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看资源浏览器 显示 Configuration Manager 云附加设备的 “资源资源管理器 ”页 应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看时间线 显示 Configuration Manager 云附加设备的 “时间线 ”页 应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看软件更新 显示 Configuration Manager 云附加设备的 “软件更新 ”页 应用程序管理器、终结点安全管理器、只读操作员、学校管理员、技术支持操作员
云附加设备\查看脚本 显示 Configuration Manager 云附加设备的 “脚本 ”页 终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\运行脚本 显示 “运行脚本” 操作,并允许用户在 Configuration Manager 云附加设备上运行脚本 学校管理员、技术支持操作员
云附加设备\运行 CMPivot 查询 显示 Configuration Manager 云附加设备的 CMPivot 终结点安全管理器、学校管理员、技术支持操作员
云附加设备\查看客户端详细信息 显示 Configuration Manager 云附加设备的 “客户端详细信息 ”页 应用程序管理器、终结点安全管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\查看应用程序 显示 Configuration Manager 云附加设备的 “应用程序 ”页 应用程序管理器、只读操作员、学校管理员、策略配置文件管理器、技术支持操作员
云附加设备\执行应用程序操作 在“应用程序”页中显示 应用程序 操作,并允许用户在 Configuration Manager 云附加设备上执行应用程序操作 应用程序管理员、学校管理员、技术支持操作员
远程任务/轮换 BitLockerKeys (预览) 在设备上为 BitLocker 恢复密码启动密钥轮换。 显示 Configuration Manager 云附加设备的 “恢复密钥 ”页。 Endpoint Security Manager,技术支持操作员

常见问题解答

我有需要访问 Intune 中租户附加设备的仅限云的用户,这是否会授予他们访问权限?

是。 如果用户仅限云,在这种情况下,这意味着他们位于 Microsoft Entra ID 中,并且可以访问 Intune,使用 Intune RBAC 将授予他们访问租户附加设备的访问权限。

如果有多个 Configuration Manager 层次结构连接到租户,该怎么办?

Microsoft Intune 管理中心中的“使用 Intune RBAC ”设置适用于租户中列出的所有 Configuration Manager 层次结构。

如果 Configuration Manager 和 Intune 设置不匹配,会发生什么情况?

如果“在 Intune 中使用 Intune RBAC ”开关设置为 “关闭”,则即使清除了“ 对与 Configuration Manager 交互的云控制台请求强制实施 Configuration Manager RBAC ”复选框,也将强制实施 Configuration Manager 基于角色的访问。 在 Intune 中使用 Intune RBAC 开关设置为“打开”之前,禁用“对与 Configuration Manager 交互的云控制台请求强制实施 Configuration Manager RBAC”选项不会产生任何影响。

如果我的测试层次结构配置为使用 Intune RBAC,但生产层次结构不是并且它们位于同一租户中,会发生什么情况?

“使用 Intune RBAC”设置适用于租户中列出的所有 Configuration Manager 层次结构。 仅限云的用户可以访问从测试层次结构上传的租户附加设备,因为你还清除了强制实施 Configuration Manager RBAC 的复选框。 如果仅限云的用户尝试访问从生产环境上传的租户附加设备,他们将收到错误,因为生产设备正在强制执行 Configuration Manager RBAC。 仅限云的用户将收到类似于以下消息的错误: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

后续步骤