使用 Microsoft Intune 的角色型存取控制 (RBAC)
角色型訪問控制 (RBAC) 可協助您管理可存取貴組織資源的人員,以及他們可以使用這些資源執行的動作。 藉由將角色指派給 Intune 使用者,您可以限制他們可以看到和變更的內容。 每個角色都有一組許可權,可決定具有該角色的使用者可以在組織記憶體取和變更。
若要建立、編輯或指派角色,您的帳戶必須在 Microsoft Entra ID 中具有下列其中一個許可權:
- 全域管理員
- Intune 服務管理員 (也稱為 Intune Administrator)
- 具有角色許可權的 Intune 角色
角色
角色會定義授與指派給該角色之用戶的許可權集合。 您可以同時使用內建和自定義角色。 內建角色涵蓋一些常見的 Intune 案例。 您可以使用所需的一組確切許可權 來建立自己的自定義角色 。 數個 Microsoft Entra 角色具有 Intune 的許可權。 若要在 Intune 系統管理中心查看角色,請移至 [租用戶系統管理>角色>][所有角色>] 選擇角色。 您可以在下列頁面上管理角色:
- 屬性:角色的名稱、描述、許可權和範圍標籤。
- 指派: 角色指派 清單,定義哪些使用者可以存取哪些使用者/裝置。 角色可以有多個指派,而使用者可以位於多個指派中。
注意事項
若要能夠管理 Intune 您必須擁有 Intune 指派授權。 或者,您可以將 [允許存取未授權的系統管理員] 設定為 [是],以允許未授權的使用者管理 Intune。
內建角色
您可以將內建角色指派給群組,而不需要進一步設定。 您無法刪除或編輯內建角色的名稱、描述、類型或許可權。
- 應用程式管理員:管理行動裝置和 Managed 應用程式、讀取裝置資訊,以及檢視裝置組態配置檔。
- 端點許可權管理員:在 Intune 控制台中管理端點許可權管理原則。
- 端點許可權讀取者:端點許可權讀者可以在 Intune 控制台中檢視端點許可權管理原則。
- 端點安全性管理員:管理安全性與合規性功能,例如安全性基準、裝置合規性、條件式存取和 適用於端點的 Microsoft Defender。
- 技術支援中心操作員:在使用者和裝置上執行遠端工作,並可將應用程式或原則指派給使用者或裝置。
- Intune 角色管理員:管理自定義 Intune 角色,並新增內建 Intune 角色的指派。 這是唯一可以將許可權指派給系統管理員的 Intune 角色。
- 原則和配置檔管理員:管理合規性政策、組態配置檔、Apple 註冊、公司裝置標識碼和安全性基準。
- 組織訊息管理員:管理 Intune 控制台中的組織訊息。
- 唯讀操作員:檢視使用者、裝置、註冊、設定和應用程式資訊。 無法變更 Intune。
- 學校系統管理員:管理 Intune 教育版中的 Windows 10 裝置。
- 雲端電腦系統管理員:雲端計算機系統管理員具有雲端計算機區域內所有雲端計算機功能的讀取和寫入存取權。
- 雲端電腦讀取者:雲端計算機讀取者可讀取位於雲端計算機區域內的所有雲端計算機功能。
自訂角色
您可以使用自訂許可權建立自己的角色。 如需自定義角色的詳細資訊,請參閱 建立自定義角色。
具有 Intune 存取權的 Microsoft Entra 角色
Microsoft建議只指派系統管理員執行其職責的最低必要許可權,以遵循最低許可權原則。 全域管理員和 Intune 服務管理員是特殊許可權角色,且指派應該受到限制。
Microsoft Entra 角色 | 所有 Intune 數據 | Intune 稽核數據 |
---|---|---|
全域管理員 | 可讀寫的。 | 可讀寫的。 |
Intune 服務系統管理員 | 可讀寫的。 | 可讀寫的。 |
條件式存取系統管理員 | 無 | 無 |
安全性系統管理員 | 唯讀 (端點安全性節點的完整系統管理許可權) | 唯讀 |
安全性操作員 | 唯讀 | 唯讀 |
安全性讀取者 | 唯讀 | 唯讀 |
合規性系統管理員 | 無 | 唯讀 |
合規性資料系統管理員 | 無 | 唯讀 |
全域讀者 (此角色相當於 Intune 服務台操作員角色) | 唯讀 | 唯讀 |
技術服務人員系統管理員 (此角色相當於 Intune 技術支援中心操作員角色) | 唯讀 | 唯讀 |
報告讀取者 | 無 | 唯讀 |
提示
Intune 也會顯示三個 Microsoft Entra 延伸模組:使用 Microsoft Entra RBAC 控制的使用者、群組 和條件式存取。 此外,用戶帳戶管理員只會執行 Microsoft Entra 使用者/群組活動,而且沒有在 Intune 中執行所有活動的完整許可權。 如需詳細資訊,請參閱 RBAC 與 Microsoft Entra ID。
Intune 的 Privileged Identity Management
Intune 支援兩種角色提升方法。 這兩種方法之間有效能和最低許可權差異。
方法 1:針對 Microsoft Entra 內建 Intune 系統管理員角色,使用 Microsoft Entra Privileged Identity Management (PIM ) 建立 Just-In-Time (JIT ) 原則,併為其指派系統管理員帳戶。
方法 2:使用 Privileged Identity Management (RBAC 角色指派 群組 的 PIM) Intune。 如需搭配使用 PIM 來 群組 與 Intune RBAC 角色的詳細資訊,請參閱:使用適用於 群組 的 Microsoft Entra PIM 設定 Microsoft Intune Just-In-Time 系統管理員存取 |Microsoft社群中樞
使用 PIM 提高許可權 Microsoft Entra ID 內建 Intune 系統管理員角色時,提高許可權通常會在 10 秒內發生。 #D8E05E8D95A5045758F7D78ACD8F00C57 自定義角色的 PIM 群組 型提升,最多可能需要 15 分鐘才能套用。
角色指派
角色指派會定義:
- 將哪些使用者指派給角色
- 他們可以看到哪些資源
- 他們可以變更哪些資源。
您可以將自定義和內建角色指派給身為 Intune 系統管理員的使用者。 若要指派 Intune 角色,用戶必須擁有 Intune 授權。 若要查看角色指派,請選擇 [Intune>租使用者管理>角色>][所有角色>選擇指派>選擇指派的角色>]。 在 [ 屬性] 頁面上,您可以編輯:
- 基本概念:指派名稱和描述。
- 成員:列出的 Azure 安全組中的所有使用者都有許可權管理範圍 (群組) 中所列的使用者/裝置。
- 範圍 (群組) :範圍 群組 是 Microsoft Entra 使用者或裝置的安全組,或是該角色指派中的系統管理員只能在其中執行作業。 例如,將原則或應用程式部署至使用者或從遠端鎖定裝置。 這些 Microsoft Entra 安全組中的所有用戶和裝置都可以由成員中的使用者管理。
- 範圍卷標:成員中的使用者可以看到具有相同範圍卷標的資源。
注意事項
範圍標籤是系統管理員定義並新增至角色指派之手繪多邊形文字值。 角色上新增的範圍標籤可控制角色本身的可見性,而角色指派中新增的範圍標籤會將 Intune 物件的可見性限制 (例如原則和應用程式) 或裝置,只對該角色指派中的系統管理員,因為角色指派包含一或多個相符的範圍標籤。
多個角色指派
如果使用者有多個角色指派、許可權和範圍標籤,則這些角色指派會延伸到不同的物件,如下所示:
- 當兩個或多個角色將許可權授與相同的物件時,許可權是累加的。 例如,具有一個角色的讀取許可權和另一個角色的讀取/寫入許可權的使用者,具有有效的讀取/寫入許可權 (假設這兩個角色的指派都以相同的範圍卷標為目標) 。
- 指派許可權和範圍標籤僅適用於 (物件,例如角色指派範圍中) 的原則或應用程式 (群組) 。 除非其他指派特別授與許可權,否則指派許可權和範圍卷標不會套用至其他角色指派中的物件。
- 其他 (許可權,例如建立、讀取、更新、刪除) 和範圍卷標,會套用至相同類型的所有物件 (,例如所有原則或所有應用程式) 使用者的任何指派。
- 不同類型對象的許可權和範圍標籤 (例如原則或應用程式) ,不會彼此套用。 例如,原則的讀取許可權不會提供使用者指派中應用程式的讀取許可權。
- 當沒有任何範圍標籤或從不同的指派指派某些範圍標籤時,使用者只能看到屬於某些範圍卷標的裝置,而且看不到所有裝置。