保護您組織的存取權是不可或缺的安全性步驟。 本文介紹在 RBAC) (使用 Microsoft Intune 角色型訪問控制的基礎詳細數據,這是 Microsoft Entra ID RBAC 控件的延伸模組。 後續文章可協助您在組織中部署 Intune RBAC。
透過 Intune RBAC,您可以將細微的許可權授與系統管理員,以控制誰可以存取貴組織的資源,以及他們可以對這些資源執行的動作。 藉由指派 Intune RBAC 角色並遵守最低許可權存取原則,您的系統管理員只能在應授與其管理許可權的使用者和裝置上執行其指派的工作。
RBAC 角色
每個 Intune RBAC 角色都會指定一組許可權,供指派給該角色的使用者使用。 許可權是由一或多個管理類別所組成,例如 裝置設定 或 稽核數據,以及可採取的動作集合,例如 讀取、 寫入、 更新和 刪除。 它們一起定義 Intune 內的系統管理存取權和許可權範圍。
Intune 包含內建和自定義角色。 內建角色在所有租使用者中都相同,並提供來處理常見的系統管理案例,而您建立的自定義角色則允許系統管理員視需要取得特定許可權。此外,數個 Microsoft Entra 角色包含 Intune 內的許可權。
若要在 Intune 系統管理中心檢視角色,請移至 [租用戶系統管理>角色>][所有角色>],然後選取角色。 然後,您可以透過下列頁面來管理該角色:
- 屬性:角色的名稱、描述、許可權和範圍標籤。 您也可以在本檔的內建角色許可權中檢視內建角色的名稱、描述和 許可權。
- 指派:選取 角色的指派 ,以檢視其詳細數據,包括指派所包含的群組和範圍。 角色可以有多個指派,而使用者可以接收多個指派。
注意事項
在 2021 年 6 月,Intune 開始支援未授權的系統管理員。 在此變更之後建立的用戶帳戶可以管理 Intune,而不需要指派授權。 在此變更之前建立的帳戶仍然需要授權才能管理 Intune。
內建角色
具有足夠許可權的 Intune 系統管理員可以將任何 Intune 角色指派給使用者群組。 內建角色會授與執行符合角色用途之系統管理工作所需的特定許可權。 Intune 不支援內建角色的描述、類型或許可權編輯。
- 應用程式管理員:管理行動裝置和 Managed 應用程式、讀取裝置資訊,以及檢視裝置組態配置檔。
- 端點許可權管理員:在 Intune 控制台中管理端點許可權管理原則。
- 端點許可權讀取者:端點許可權讀者可以在 Intune 控制台中檢視端點許可權管理原則。
- 端點安全性管理員:管理安全性與合規性功能,例如安全性基準、裝置合規性、條件式存取和 適用於端點的 Microsoft Defender。
- 技術支援中心作員:在使用者和裝置上執行遠端工作,並可將應用程式或原則指派給使用者或裝置。
- Intune 角色管理員:管理自定義 Intune 角色,並新增內建 Intune 角色的指派。 這是唯一可以指派許可權給系統管理員的 Intune 角色。
- 原則和配置檔管理員:管理合規性政策、組態配置檔、Apple 註冊、公司裝置標識碼和安全性基準。
- 唯讀作員:檢視使用者、裝置、註冊、設定和應用程式資訊。 無法變更 Intune。
- 學校系統管理員:管理 Intune 教育版中的 Windows 10 裝置。
當您的租使用者包含 Windows 365 的訂用帳戶來支援雲端電腦時,您也會在 Intune 系統管理中心找到下列雲端電腦角色。 根據預設,這些角色無法使用,且包含與雲端計算機相關工作 Intune 內的許可權。 如需這些角色的詳細資訊,請參閱 Windows 365 檔中的雲端計算機內建角色。
- 雲端電腦系統管理員:雲端計算機系統管理員具有雲端計算機區域內所有雲端計算機功能的 讀 取和 寫 入存取權。
- 雲端電腦讀取者:雲端計算機讀取者具有雲端計算機區域內所有雲端計算機功能的 讀 取存取權。
自訂角色
您可以建立自己的自定義 Intune 角色,只授與系統管理員工作所需的特定許可權。 這些自定義角色可以包含任何 Intune RBAC 許可權,允許精簡的系統管理員存取權,並支援組織內最低許可權存取的原則。
請參閱 建立自定義角色。
具有 Intune 存取權的 Microsoft Entra 角色
Intune RBAC 權限是 Microsoft Entra RBAC 許可權的子集。 作為子集,有一些 Entra 角色包含 Intune 內的許可權。 大部分可存取 Intune 的 Entra ID 角色都會被視為特殊許可權角色。 特殊許可權角色的使用和指派應該受到限制,而不是用於 Intune 內的每日系統管理工作。
Microsoft建議只指派系統管理員執行其職責的最低必要許可權,以遵循最低許可權原則。 若要支援此原則,請使用 Intune 內建的 RBAC 角色來進行每日 Intune 管理工作,並避免使用可存取 Intune 的 Entra 角色。
下表識別可存取 Intune 的 Entra 角色,以及其包含的 Intune許可權。
| Microsoft Entra 角色 | 所有 Intune 數據 | Intune 稽核數據 |
|---|---|---|
全域管理員  |
可讀寫的。 | 可讀寫的。 |
| Intune 服務管理員 |
可讀寫的。 | 可讀寫的。 |
| 條件式存取系統管理員 |
無 | 無 |
| 安全性系統管理員 |
唯讀 (端點安全性節點的完整系統管理許可權) | 唯讀 |
| 安全性作員 |
唯讀 | 唯讀 |
| 安全性讀取者 |
唯讀 | 唯讀 |
| 合規性系統管理員 | 無 | 唯讀 |
| 合規性資料系統管理員 | 無 | 唯讀 |
| 全域讀者特殊許可權 (此角色相當於 Intune 服務台作員角色) |
唯讀 | 唯讀 |
| 技術支援中心系統管理員特殊許可權 (此角色相當於 Intune 服務台作員角色) |
唯讀 | 唯讀 |
| 報告讀取者 | 無 | 唯讀 |
除了在 Intune 內具有許可權的 Entra 角色之外,下列三個 Intune 區域是 Entra 的直接擴充功能:使用者、群組和條件式存取。 這些對象的實例和從 Intune 內進行的組態存在於 Entra 中。 作為 Entra 對象,它們可以由 Entra 系統管理員以 Entra 角色授與的足夠許可權來管理。 同樣地,Intune 具有足夠許可權的系統管理員 Intune 可以檢視和管理在 Entra 中建立的這些物件類型。
Intune 的 Privileged Identity Management
當您使用 Entra ID Privileged Identity Management (PIM) 時,您可以管理使用者何時可以使用 Intune RBAC 角色所提供的許可權,或是 Entra ID 的 Intune 系統管理員角色。
Intune 支援兩種角色提升方法。 這兩種方法之間有效能和最低許可權差異。
方法 1:使用 Microsoft Entra Privileged Identity Management (PIM ) 建立 just-In-Time (JIT) 原則,以 Microsoft Entra 內建的 Intune 系統管理員角色,併為其指派系統管理員帳戶。
方法 2:針對具有 Intune RBAC 角色指派的群組,利用 Privileged Identity Management (PIM) 。 如需搭配使用 PIM for Groups 與 Intune RBAC 角色的詳細資訊,請參閱:使用適用於群組的 Microsoft Entra PIM 設定 Microsoft Intune Just-In-Time 系統管理員存取 |Microsoft社群中樞
當您使用 PIM 提高許可權 Entra ID Intune 系統管理員角色時,提高許可權通常會在 10 秒內發生。 Intune 內建或自定義角色的 PIM 群組型提高許可權通常需要 15 分鐘才能套用。
關於 Intune 角色指派
Intune 自定義和內建角色都會指派給使用者群組。 指派的角色會套用至群組中的每個使用者,並定義:
- 將哪些使用者指派給角色
- 他們可以看到哪些資源
- 他們可以變更哪些資源。
指派 Intune 角色的每個群組應該只包含有權執行該角色之系統管理工作的使用者。
- 如果最低許可權的內建角色授與過多的許可權或許可權,請考慮使用自定義角色來限制系統管理存取範圍。
- 規劃角色指派時,請考慮具有 多個角色指派之用戶的結果。
若要為使用者指派 Intune 角色,並可存取管理 Intune,只要其帳戶是在 2021 年 6 月之後於 Entra 中建立,就不需要 Intune 授權。 在 2021 年 6 月之前建立的帳戶必須獲指派授權才能使用 Intune。
若要檢視現有的角色指派,請選擇 [Intune>租使用者管理>角色>][所有角色>選擇指派>選擇指派的角色>]。 在 [指派 內容 ] 頁面上,您可以編輯:
基本概念:指派名稱和描述。
成員:成員是在建立角色指派時,於 [管理員 群組] 頁面上設定的群組。 欄取 Azure 安全群組中的所有使用者都有權限管理[ 範圍 (群組] 中 所列的使用者和裝置) 。
範圍 (群組) :使用範圍 (群組) 來定義具有此角色指派之系統管理員可以管理的使用者和裝置群組。 具有此角色指派的系統管理使用者可以使用角色所授與的許可權,來管理角色指派定義範圍群組內的每個使用者或裝置。
提示
當您設定範圍群組時,只要選取包含具有此角色指派之系統管理員應管理之使用者和裝置的安全組來限制存取權。 若要確保具有此角色的系統管理員無法以所有使用者或所有裝置為目標,請勿選取 [新增所有使用者 ] 或 [ 新增所有裝置]。
範圍標籤:獲指派此角色指派的系統管理使用者可以看到具有相同範圍標籤的資源。
注意事項
範圍標籤是系統管理員定義的自由格式文字值,然後新增至角色指派。 角色上新增的範圍卷標會控制角色本身的可見度,而角色指派中新增的範圍卷標則會將原則、應用程式或裝置等 Intune 對象的可見性限制為該角色指派中的系統管理員,因為角色指派包含一或多個相符的範圍標籤。
多個角色指派
如果使用者有多個角色指派、許可權和範圍標籤,則這些角色指派會延伸到不同的物件,如下所示:
- 當兩個或多個角色將許可權授與相同的物件時,許可權是累加的。 例如,具有一個角色的讀取許可權和另一個角色的讀取/寫入許可權的使用者,具有有效的讀取/寫入許可權 (假設這兩個角色的指派都以相同的範圍卷標為目標) 。
- 指派許可權和範圍標籤僅適用於 (物件,例如角色指派範圍 (群組) 中) 的原則或應用程式。 除非其他指派特別授與許可權,否則指派許可權和範圍卷標不會套用至其他角色指派中的物件。
- 其他 (許可權,例如建立、讀取、更新、刪除) 和範圍卷標,會套用至相同類型的所有物件 (,例如所有原則或所有應用程式) 使用者的任何指派。
- 不同類型對象的許可權和範圍標籤 (例如原則或應用程式) ,不會彼此套用。 例如,原則的讀取許可權不會提供使用者指派中應用程式的讀取許可權。
- 當沒有任何範圍標籤或從不同的指派指派某些範圍標籤時,使用者只能看到屬於某些範圍卷標的裝置,而且看不到所有裝置。
監視 RBAC 指派
這三個子區段正在進行中
在 Intune 系統管理中心內,您可以移至 [租用戶系統管理員>角色],然後展開 [監視] 來尋找數個檢視,以協助您識別不同使用者在 Intune 租用戶內擁有的許可權。 例如,在複雜的系統管理環境中,您可以使用 管理員 許可權檢視來指定帳戶,以便查看其目前的系統管理許可權範圍。
我的許可權
當您選取此節點時,系統會顯示您帳戶目前 Intune RBAC 類別和許可權的合併清單。 此合併清單包含來自所有角色指派的所有許可權,但不包含哪些角色指派會提供這些許可權,或指派給他們的群組成員資格。
依許可權的角色
透過此檢視,您可以查看特定 Intune RBAC 類別和許可權的詳細數據,以及角色指派,以及哪些組合可供使用的群組。
若要開始使用,請選取 Intune 許可權類別目錄,然後選取該類別的特定許可權。 系統管理中心接著會顯示會導致指派該許可權的實例清單,其中包括:
- 角色顯示名稱 – 授與許可權的內建或自定義 RBAC 角色名稱。
- 角色指派顯示名稱 – 將角色指派給使用者群組的角色指派名稱。
- 組名 – 接收該角色指派的組名。
管理員許可權
使用 [管理員 許可權] 節點來識別帳戶目前授與的特定許可權。
從指定 使用者 帳戶開始。 只要使用者已將 Intune 許可權指派給其帳戶,Intune 會顯示類別和許可權所識別權限的完整清單。
