租用戶連結用戶端的 Intune 角色型訪問控制
適用於:Configuration Manager (目前的分支)
從 Configuration Manager 2207 版開始,您可以在從 Microsoft Intune 系統管理中心與 租用戶連結的裝置 互動時,使用 Intune 角色型訪問控制 (RBAC) 。 例如,使用 Intune 作為角色型訪問控制授權單位時,具有 技術支援中心操作員角色 的使用者不需要從 Configuration Manager 指派安全性角色或其他許可權。 Intune 角色型訪問控制 會管理 Microsoft Intune 系統管理中心內所有雲端連結裝置頁面的許可權,例如 裝置時間軸、 CMPivot 和 腳本。
重要事項
目前,任何強制執行 Intune 角色型訪問控制,以從 Microsoft Intune 系統管理中心在租用戶連結的裝置上顯示和採取動作都是選擇性的。 我們建議所有具有雲端連線 Configuration Manager 環境的系統管理員,從 Intune 開始驗證角色型訪問控制許可權。
將 Intune 設定為租使用者連結裝置的角色型存取控制授權單位的三個高階步驟如下:
- 從 Configuration Manager 控制台,停用針對雲端連結客戶端強制執行 Configuration Manager 角色型訪問控制
- 從 Intune 啟 用管理 雲端連結裝置的用戶權力
- 從 Intune 確認雲端連結裝置 的角色型訪問控制 許可權
先決條件
- Configuration Manager 2207 版或更新版本
- 租用戶連結的裝置
限制
- 目前僅使用 Intune 角色型訪問控制,從 Microsoft Intune 系統管理中心在租使用者連結的裝置上顯示和採取動作時,不支援範圍設定。
- 目前,使用 Configuration Manager 2207 版的早期更新通道時,僅限雲端用戶無法使用 [ 軟體更新 ] 頁面 。
停用針對雲端連結客戶端強制執行 Configuration Manager 角色型訪問控制
若要針對租使用者附加使用 Intune 角色型訪問控制,而不是使用 Configuration Manager 角色型訪問控制,請使用下列指示:
從 Configuration Manager 控制台,移至 [ 管理>雲端服務>雲端連結]。
角色型訪問控制選項的位置會根據您的環境是否已連接雲端而有所不同。
- 如果您的環境已連接雲端,請開啟 CoMgmtSettingsProd 的屬性。 如果您沒有將裝置上傳至系統管理中心,請先設定該選項。 如需詳細資訊,請 參閱啟用雲端連結。
- 如果您的環境未連接雲端,請選取 [設定 雲端連結 ] 以開啟 [雲端鏈接設定精靈]。
在精靈的 [ 設定上傳] 索 引卷標或頁面上,清除 [角色型訪問控制 ] 標題底下下下列選項的複選框:
針對與 Configuration Manager 互動的雲端控制台要求強制執行 Configuration Manager RBAC
選擇 [確定 ] 以將變更儲存至 CoMgmtSettingsProd 屬性,或繼續完成 雲端附加精靈。
從 Intune 啟用角色型訪問控制
若要讓 Intune 管理雲端連結裝置的用戶權力,請使用下列步驟:
- 開 啟 Microsoft Intune 系統管理中心 ,並以具有 角色/更新 許可權的使用者身分登入。 如需許可權的詳細資訊,請參閱 Intune 中的自定義角色許可權。
- 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。
- 在橫幅中,選取 [您也可以從 Intune 管理用戶權力]。按兩下這裡以深入瞭解此選項。
- [ 使用 Intune RBAC ] 飛出視窗隨即出現。
- 針對 [使用 Intune RBAC] 選項選取 [開啟],然後選擇 [套用]。
- 變更可能需要大約 10 分鐘才會生效。
從 Intune 驗證角色型訪問控制許可權
將 Intune 設定為角色型存取控制授權單位之後,請確認您角色的許可權。 如有需要,您可以將這些許可權新增至您在 Intune 中建立的 自定義角色 。
- 開 啟 Microsoft Intune 系統管理中心 並登入。
- 選取 [租用戶系統管理>角色]。
- 選取角色 ,例如應用程式管理員,並檢閱針對 雲端連結裝置列出的許可權。 如有需要,請編輯您在 Intune 中建立之任何 自定義角色 的許可權。
下列 Intune 許可權可控制對 Configuration Manager 雲端連結裝置的存取:
權限 | 描述 | 具有許可權的 Intune 內建角色 |
---|---|---|
雲端連結裝置\檢視集合 | 顯示 Configuration Manager 雲端連結裝置 的 [集合 ] 頁面 | 應用程式管理員、端點安全性管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\檢視資源總管 | 顯示 Configuration Manager 雲端連結裝置的 [資源總管] 頁面 | 應用程式管理員、端點安全性管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\檢視時程表 | 顯示 Configuration Manager 雲端連結裝置的 [時程表 ] 頁面 | 應用程式管理員、端點安全性管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\檢視軟體更新 | 顯示 Configuration Manager 雲端連結裝置 的 [軟體更新 ] 頁面 | 應用程式管理員、端點安全性管理員、只讀操作員、學校系統管理員、技術支援中心操作員 |
雲端連結裝置\檢視腳本 | 顯示 Configuration Manager 雲端連結裝置 的 [腳本 ] 頁面 | 端點安全性管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\執行腳本 | 顯示 [ 執行腳本 ] 動作,並允許使用者在 Configuration Manager 雲端連結裝置上執行腳本 | 學校系統管理員、技術支援中心操作員 |
雲端連結裝置\執行 CMPivot 查詢 | 顯示 Configuration Manager 雲端連結裝置的 CMPivot 頁面 | 端點安全性管理員、學校系統管理員、技術支援中心操作員 |
雲端連結裝置\檢視用戶端詳細數據 | 顯示 Configuration Manager 雲端連結裝置 的用戶端詳細數據 頁面 | 應用程式管理員、端點安全性管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\檢視應用程式 | 顯示 Configuration Manager 雲端連結裝置的 [ 應用程式 ] 頁面 | 應用程式管理員、只讀操作員、學校系統管理員、原則配置檔管理員、技術支援中心操作員 |
雲端連結裝置\採取應用程式動作 | 在 [ 應用程式 ] 頁面中顯示應用程式動作,並允許使用者在 Configuration Manager 雲端連結裝置上採取應用程式動作 | 應用程式管理員、學校系統管理員、技術支援中心操作員 |
遠端工作/輪替 BitLockerKeys (預覽) | 在裝置上起始 BitLocker 修復密碼的金鑰輪替。 顯示 Configuration Manager 雲端連結裝置 的 [修復金鑰 ] 頁面。 | 服務台操作員、端點安全性管理員 |
常見問題集
我有需要存取 Intune 中租用戶連結裝置的僅限雲端使用者,這是否可讓他們存取?
是。 當使用者僅限雲端時,在此案例中,這表示他們位於 Microsoft Entra ID,而且可以存取 Intune,使用 Intune RBAC 可讓他們存取租用戶連結的裝置。
如果我有多個 Configuration Manager 階層連線到我的租使用者,該怎麼辦?
Microsoft Intune 系統管理中心的 [ 使用 Intune RBAC ] 設定適用於租使用者中列出的所有 Configuration Manager 階層。
如果 Configuration Manager 和 Intune 設定不相符,會發生什麼事?
如果 Intune 中的 [使用 Intune RBAC ] 切換設定為 [關閉],則會強制執行 Configuration Manager 角色型存取,即使已清除 [針對與 Configuration Manager 互動的雲端控制台要求強制執行 Configuration Manager RBAC ] 複選框。 除非 Intune 中的 [在 Intune 中使用 Intune RBAC] 切換設定為 [開啟],否則停用 [針對與 Configuration Manager 互動的雲端控制台要求強制執行 Configuration Manager RBAC] 選項不會有任何作用。
如果我的測試階層設定為使用 Intune RBAC,但我的生產階層不是,而且它們位於相同的租使用者中,會發生什麼事?
[使用 Intune RBAC] 設定適用於租使用者中列出的所有 Configuration Manager 階層。 僅限雲端的使用者可以存取從測試階層上傳的租用戶連結裝置,因為您也已清除複選框來強制執行 Configuration Manager RBAC。 如果僅限雲端的用戶嘗試存取從生產環境上傳的租用戶連結裝置,則會收到錯誤,因為生產裝置正在強制執行 Configuration Manager RBAC。 僅限雲端的使用者會收到類似下列訊息的錯誤: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.