使用 Microsoft Intune 的角色型存取控制 (RBAC)
角色型存取控制 (RBAC) 可協助您管理可存取貴組織資源的人員,以及他們可以使用這些資源執行的動作。 藉由 將角色指派給 您的 Intune 使用者,您可以限制他們可以看到和變更的內容。 每個角色都有一組許可權,可決定具有該角色的使用者可以在組織記憶體取和變更。
若要建立、編輯或指派角色,您的帳戶必須在Microsoft Entra識別碼中具有下列其中一個許可權:
- 全域管理員
- Intune 服務管理員 (也稱為 Intune 系統管理員)
角色
角色會定義授與指派給該角色之使用者的許可權集合。 您可以同時使用內建和自訂角色。 內建角色涵蓋一些常見的 Intune 案例。 您可以使用所需的一組確切許可權 來建立自己的自訂角色 。 數個Microsoft Entra角色具有 Intune 的許可權。 若要在Intune 系統管理中心查看角色,請移至[租使用者系統管理>角色>][所有角色> ] 選擇角色。 您可以在下列頁面上管理角色:
- 屬性:角色的名稱、描述、許可權和範圍標籤。
- 指派: 角色指派 清單,定義哪些使用者可以存取哪些使用者/裝置。 角色可以有多個指派,而使用者可以位於多個指派中。
注意事項
若要能夠管理 Intune 您必須擁有 Intune 指派授權。 或者,您可以將 [允許存取未授權的系統管理員] 設定為 [是],以允許未授權的使用者管理 Intune。
內建角色
您可以將內建角色指派給群組,而不需要進一步設定。 您無法刪除或編輯內建角色的名稱、描述、類型或許可權。
- 應用程式管理員:管理行動裝置和 Managed 應用程式、讀取裝置資訊,以及檢視裝置組態設定檔。
- 端點版權管理員:在 Intune 主控台中管理端點版權管理原則。
- 端點許可權讀取者:端點許可權讀者可以在 Intune 主控台中檢視端點版權管理原則。
- 端點安全性管理員:管理安全性與合規性功能,例如安全性基準、裝置合規性、條件式存取和適用於端點的 Microsoft Defender。
- 技術支援中心操作員:在使用者和裝置上執行遠端工作,並可將應用程式或原則指派給使用者或裝置。
- Intune 角色管理員:管理自訂 Intune 角色,並新增內建 Intune 角色的指派。 這是唯一可以將許可權指派給系統管理員的 Intune 角色。
- 原則和設定檔管理員:管理合規性政策、組態設定檔、Apple 註冊、公司裝置識別碼和安全性基準。
- 組織訊息管理員:在 Intune 主控台中管理組織訊息。
- 唯讀操作員:檢視使用者、裝置、註冊、設定和應用程式資訊。 無法對 Intune 進行變更。
- 學校系統管理員:在Intune 教育版中管理Windows 10裝置。
- 雲端電腦系統管理員:雲端電腦系統管理員可讀取和寫入位於 [雲端電腦] 刀鋒視窗內的所有雲端電腦功能。
- 雲端電腦讀取者:雲端電腦讀取者可讀取位於 [雲端電腦] 刀鋒視窗內的所有雲端電腦功能。
自訂角色
您可以使用自訂許可權建立自己的角色。 如需自訂角色的詳細資訊,請參閱 建立自訂角色。
使用 Intune 存取Microsoft Entra角色
Microsoft Entra角色 | 所有 Intune 資料 | Intune 稽核資料 |
---|---|---|
全域管理員 | 可讀寫的。 | 可讀寫的。 |
Intune 服務系統管理員 | 可讀寫的。 | 可讀寫的。 |
條件式存取系統管理員 | 無 | 無 |
安全性系統管理員 | 唯讀 (端點安全性節點的完整系統管理許可權) | 唯讀 |
安全性操作員 | 唯讀 | 唯讀 |
安全性讀取者 | 唯讀 | 唯讀 |
合規性系統管理員 | 無 | 唯讀 |
合規性資料系統管理員 | 無 | 唯讀 |
全域讀者 (此角色相當於 Intune 技術支援中心操作員 角色) | 唯讀 | 唯讀 |
技術服務人員系統管理員 (此角色相當於 Intune 技術支援中心操作員 角色) | 唯讀 | 唯讀 |
報告讀取者 | 無 | 唯讀 |
提示
Intune 也會顯示三個Microsoft Entra延伸模組:使用 Microsoft Entra RBAC 控制的使用者、群組和條件式存取。 此外,使用者帳戶管理員只會執行Microsoft Entra使用者/群組活動,而且沒有在 Intune 中執行所有活動的完整許可權。 如需詳細資訊,請參閱具有Microsoft Entra識別碼的 RBAC。
角色指派
角色指派會定義:
- 將哪些使用者指派給角色
- 他們可以看到哪些資源
- 他們可以變更哪些資源。
您可以將自訂和內建角色指派給使用者。 若要指派 Intune 角色,使用者必須擁有 Intune 授權。 若要查看角色指派,請選擇[Intune>租使用者系統管理>角色>][所有角色> ] 選擇角色 > 指派> 選擇指派。 在 [ 屬性] 頁面上,您可以編輯:
- 基本概念:指派名稱和描述。
- 成員:列出的 Azure 安全性群組中的所有使用者都有權管理 [範圍 (群組]) 中所列的使用者/裝置。
- 範圍 (群組) :範圍群組是使用者或裝置Microsoft Entra安全性群組,或是該角色指派中的系統管理員只能在其中執行作業。 例如,將原則或應用程式部署至使用者或從遠端鎖定裝置。 這些Microsoft Entra安全性群組中的所有使用者和裝置都可以由成員中的使用者管理。
- 範圍 (標籤) :成員中的使用者可以看到具有相同範圍標籤的資源。
注意事項
範圍標籤是系統管理員定義並新增至角色指派之手繪多邊形文字值。 角色上新增的範圍標籤可控制角色本身的可見度,而角色指派中新增的範圍標籤會將原則和應用程式等 (的 Intune 物件可見度限制為僅) 限該角色指派中的系統管理員,因為角色指派包含一或多個相符的範圍標籤。
多個角色指派
如果使用者有多個角色指派、許可權和範圍標籤,則這些角色指派會延伸到不同的物件,如下所示:
- 當兩個或多個角色將許可權授與相同的物件時,許可權是累加的。 例如,具有一個角色的讀取權限和另一個角色的讀取/寫入權限的使用者,具有有效的讀取/寫入權限 (假設這兩個角色的指派都以相同的範圍標籤為目標) 。
- 指派許可權和範圍標籤僅適用于 (物件,例如角色指派範圍 (群組) 中) 的原則或應用程式。 除非其他指派特別授與許可權,否則指派許可權和範圍標籤不會套用至其他角色指派中的物件。
- 其他 (許可權,例如建立、讀取、更新、刪除) 和範圍標籤,會套用至相同類型的所有物件 (,例如所有原則或所有應用程式) 使用者的任何指派。
- 不同類型物件的許可權和範圍標籤 (例如原則或應用程式) ,不會彼此套用。 例如,原則的讀取權限不會提供使用者指派中應用程式的讀取權限。
- 如果沒有範圍標籤和從不同指派指派的某些範圍標籤,使用者將只能看到屬於某些範圍標籤的裝置,而且將無法查看所有裝置。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱提交並檢視相關的意見反應