指派系統管理員許可權

適用於：

• iOS
• Windows 10
• Windows 11
• Windows 11 SE

人員 在教育 Intune 中指派為系統管理員，可以管理使用者和裝置群組。 請務必只將這些許可權授與合格的個人，以降低教育用 Intune 未經授權或意外變更的風險。 具有系統管理員許可權的使用者只能查看並變更您指派的群組。

群組管理員可以：

• 檢視裝置、使用者和應用程式的相關信息。
• 指派、建立、刪除、檢視及更新裝置和用戶設定。
• 指派、建立、刪除、檢視及更新應用程式。
• 檢視報告。
• 對裝置採取遠端動作，包括重設為原廠設定、重新啟動、鎖定已解除鎖定的裝置，以及強制同步處理。
• 建立、刪除、檢視及更新 iOS MDM 推播憑證、iOS MDM 伺服器令牌和 iOS VPP 令牌。
• 指派和刪除Apple用戶起始的註冊配置檔。
• 指派和刪除 Windows Autopilot 部署配置檔。
• 在向 Windows Autopilot 服務註冊的裝置上起始同步處理。
• 將使用者指派給向 Windows Autopilot 服務註冊的裝置。
• 刪除向 Windows Autopilot 服務註冊的裝置。

建置自定義角色

使用教育 Intune 所需的所有許可權都包含在內建的 School 管理員 角色中。 如果您想要建置允許存取教育用 Intune 的自定義角色，您可以複製內建的 School 管理員 角色，並新增/移除許可權來建立您想要的角色。

若要建置一組自定義的系統管理員許可權，請切換至 Microsoft Intune 中的完整管理體驗，然後移至 [租用戶系統管理>角色]。 如需角色型存取的詳細資訊，請參閱角色型訪問控制 (RBAC) 與 Microsoft Intune。

指派群組系統管理員

在教育用 Intune 中指派群組管理員的方式有兩種：

• 選取裝置或使用者群組，然後將新的群組成員新增為系統管理員。
• 選取系統管理員群組，然後新增要管理之系統管理員的裝置或使用者群組。

將群組成員新增為系統管理員

完成下列步驟，將系統管理員新增至裝置或使用者群組。

1. 從儀錶板中，選取 [群組]。
2. 選擇群組。
3. 移至此群組的>管理員系統管理員。
4. 選取 [新增系統管理員]。
5. 選擇群組。
6. 選取 [新增群組]。

新增要管理的群組

完成下列步驟，將裝置或使用者群組指派給一組系統管理員。

1. 選擇群組。
2. 移至此群組所管理的>管理員。
3. 選 取 [新增要管理的群組]。
4. 選擇群組。
5. 選取 [新增群組]。

拿掉系統管理員許可權

若要移除學校人員的系統管理員許可權，您可以：

• 選取裝置或使用者群組，並移除相關聯的系統管理員。
• 選取系統管理群組，並移除相關聯的裝置或使用者群組。

拿掉系統管理員

完成下列步驟，以從裝置或使用者群組移除一組系統管理員。

1. 從儀錶板中，選取 [群組]。
2. 選擇群組。
3. 移至此群組的>管理員系統管理員。
4. 選取一或多個群組。
5. 選 取 [移除系統管理員]。

拿掉裝置或使用者群組

完成下列步驟，以從一組系統管理員中移除裝置或使用者群組。

1. 從儀錶板中，選取 [群組]。
2. 選擇群組。
3. 移至此群組所管理的>管理員。
4. 選取一或多個群組。
5. 選 取 [移除群組]。

限制 iOS VPP 令牌存取

如果您所在的學區在多個位置有 iOS 裝置，建議您限制 VPP 令牌存取以選取系統管理員。 只有在令牌已新增至其群組的受限制令牌清單時，系統管理員才能存取這些令牌。

1. 從儀錶板中，選取 [群組]。
2. 選擇群組。
3. 若要檢視目前群組的系統管理員，請選取 此群組的 [管理員]。 若要檢視此群組可以管理的群組，請選取 [由此群組管理]。
4. 選取系統管理群組 > [ 更多 省略號] 圖示 >[限制系統管理員存取]。 另外會出現兩個清單：
   • 頂端清單會顯示所有受限制的 VPP 令牌。 這些令牌及其相關聯的應用程式只能由選取的群組存取。
   • 底部清單會顯示所有不受限制的 VPP 令牌。 具有系統管理員許可權的任何人都可以存取這些令牌及其相關聯的應用程式。
5. 若要將令牌新增至群組的受限制清單，您可以：
   • 使用搜尋列來尋找令牌。 從搜尋結果中選取令牌。
   • 在不受限制的清單中尋找令牌，然後選取 [ 限制這些系統管理員]。
6. 選取 [儲存]。

現在令牌是系統管理員限制清單的一部分，只有這些系統管理員可以查看和管理令牌及其相關聯的應用程式。 針對每個群組重複這些步驟，以將所有 VPP 令牌限製為其各自的系統管理員。