使用 Microsoft Intune 的角色型存取控制 (RBAC)

角色型存取控制 (RBAC) 可協助您管理可存取貴組織資源的人員,以及他們可以使用這些資源執行的動作。 藉由 將角色指派給 您的 Intune 使用者,您可以限制他們可以看到和變更的內容。 每個角色都有一組許可權,可決定具有該角色的使用者可以在組織記憶體取和變更。

若要建立、編輯或指派角色,您的帳戶必須在Microsoft Entra識別碼中具有下列其中一個許可權:

  • 全域管理員
  • Intune 服務管理員 (也稱為 Intune 系統管理員)

角色

角色會定義授與指派給該角色之使用者的許可權集合。 您可以同時使用內建和自訂角色。 內建角色涵蓋一些常見的 Intune 案例。 您可以使用所需的一組確切許可權 來建立自己的自訂角色 。 數個Microsoft Entra角色具有 Intune 的許可權。 若要在Intune 系統管理中心查看角色,請移至[租使用者系統管理>角色>][所有角色> ] 選擇角色。 您可以在下列頁面上管理角色:

  • 屬性:角色的名稱、描述、許可權和範圍標籤。
  • 指派角色指派 清單,定義哪些使用者可以存取哪些使用者/裝置。 角色可以有多個指派,而使用者可以位於多個指派中。

注意事項

若要能夠管理 Intune 您必須擁有 Intune 指派授權。 或者,您可以將 [允許存取未授權的系統管理員] 設定為 [是],以允許未授權的使用者管理 Intune。

內建角色

您可以將內建角色指派給群組,而不需要進一步設定。 您無法刪除或編輯內建角色的名稱、描述、類型或許可權。

  • 應用程式管理員:管理行動裝置和 Managed 應用程式、讀取裝置資訊,以及檢視裝置組態設定檔。
  • 端點版權管理員:在 Intune 主控台中管理端點版權管理原則。
  • 端點許可權讀取者:端點許可權讀者可以在 Intune 主控台中檢視端點版權管理原則。
  • 端點安全性管理員:管理安全性與合規性功能,例如安全性基準、裝置合規性、條件式存取和適用於端點的 Microsoft Defender。
  • 技術支援中心操作員:在使用者和裝置上執行遠端工作,並可將應用程式或原則指派給使用者或裝置。
  • Intune 角色管理員:管理自訂 Intune 角色,並新增內建 Intune 角色的指派。 這是唯一可以將許可權指派給系統管理員的 Intune 角色。
  • 原則和設定檔管理員:管理合規性政策、組態設定檔、Apple 註冊、公司裝置識別碼和安全性基準。
  • 組織訊息管理員:在 Intune 主控台中管理組織訊息。
  • 唯讀操作員:檢視使用者、裝置、註冊、設定和應用程式資訊。 無法對 Intune 進行變更。
  • 學校系統管理員:在Intune 教育版中管理Windows 10裝置。
  • 雲端電腦系統管理員:雲端電腦系統管理員可讀取和寫入位於 [雲端電腦] 刀鋒視窗內的所有雲端電腦功能。
  • 雲端電腦讀取者:雲端電腦讀取者可讀取位於 [雲端電腦] 刀鋒視窗內的所有雲端電腦功能。

自訂角色

您可以使用自訂許可權建立自己的角色。 如需自訂角色的詳細資訊,請參閱 建立自訂角色

使用 Intune 存取Microsoft Entra角色

Microsoft Entra角色 所有 Intune 資料 Intune 稽核資料
全域管理員 可讀寫的。 可讀寫的。
Intune 服務系統管理員 可讀寫的。 可讀寫的。
條件式存取系統管理員
安全性系統管理員 唯讀 (端點安全性節點的完整系統管理許可權) 唯讀
安全性操作員 唯讀 唯讀
安全性讀取者 唯讀 唯讀
合規性系統管理員 唯讀
合規性資料系統管理員 唯讀
全域讀者 (此角色相當於 Intune 技術支援中心操作員 角色) 唯讀 唯讀
技術服務人員系統管理員 (此角色相當於 Intune 技術支援中心操作員 角色) 唯讀 唯讀
報告讀取者 唯讀

提示

Intune 也會顯示三個Microsoft Entra延伸模組:使用 Microsoft Entra RBAC 控制的使用者群組條件式存取。 此外,使用者帳戶管理員只會執行Microsoft Entra使用者/群組活動,而且沒有在 Intune 中執行所有活動的完整許可權。 如需詳細資訊,請參閱具有Microsoft Entra識別碼的 RBAC

角色指派

角色指派會定義:

  • 將哪些使用者指派給角色
  • 他們可以看到哪些資源
  • 他們可以變更哪些資源。

您可以將自訂和內建角色指派給使用者。 若要指派 Intune 角色,使用者必須擁有 Intune 授權。 若要查看角色指派,請選擇[Intune>租使用者系統管理>角色>][所有角色> ] 選擇角色 > 指> 選擇指派。 在 [ 屬性] 頁面上,您可以編輯:

  • 基本概念:指派名稱和描述。
  • 成員:列出的 Azure 安全性群組中的所有使用者都有權管理 [範圍 (群組]) 中所列的使用者/裝置。
  • 範圍 (群組) :範圍群組是使用者或裝置Microsoft Entra安全性群組,或是該角色指派中的系統管理員只能在其中執行作業。 例如,將原則或應用程式部署至使用者或從遠端鎖定裝置。 這些Microsoft Entra安全性群組中的所有使用者和裝置都可以由成員中的使用者管理。
  • 範圍 (標籤) :成員中的使用者可以看到具有相同範圍標籤的資源。

注意事項

範圍標籤是系統管理員定義並新增至角色指派之手繪多邊形文字值。 角色上新增的範圍標籤可控制角色本身的可見度,而角色指派中新增的範圍標籤會將原則和應用程式等 (的 Intune 物件可見度限制為僅) 限該角色指派中的系統管理員,因為角色指派包含一或多個相符的範圍標籤。

多個角色指派

如果使用者有多個角色指派、許可權和範圍標籤,則這些角色指派會延伸到不同的物件,如下所示:

  • 當兩個或多個角色將許可權授與相同的物件時,許可權是累加的。 例如,具有一個角色的讀取權限和另一個角色的讀取/寫入權限的使用者,具有有效的讀取/寫入權限 (假設這兩個角色的指派都以相同的範圍標籤為目標) 。
  • 指派許可權和範圍標籤僅適用于 (物件,例如角色指派範圍 (群組) 中) 的原則或應用程式。 除非其他指派特別授與許可權,否則指派許可權和範圍標籤不會套用至其他角色指派中的物件。
  • 其他 (許可權,例如建立、讀取、更新、刪除) 和範圍標籤,會套用至相同類型的所有物件 (,例如所有原則或所有應用程式) 使用者的任何指派。
  • 不同類型物件的許可權和範圍標籤 (例如原則或應用程式) ,不會彼此套用。 例如,原則的讀取權限不會提供使用者指派中應用程式的讀取權限。
  • 如果沒有範圍標籤和從不同指派指派的某些範圍標籤,使用者將只能看到屬於某些範圍標籤的裝置,而且將無法查看所有裝置。

後續步驟