本文中的信息可帮助你将用户Microsoft Intune内置或自定义基于角色的访问控制 (RBAC) 角色分配给管理Intune订阅的用户。 RBAC 角色分配给组,而不是单个用户。
在将角色分配给组之前,请确保有足够的组用于不同的Intune管理任务,并查看这些组的成员身份。 分配有 RBAC 角色的组的每个成员都接收该角色授予的权限。 对于一个用户,多个组的权限是累积的,并且没有拒绝特定权限的选项。 但是,可以将 范围标记与 RBAC 结合使用 ,以限制不同个人组可以查看和管理的范围。
重要
Microsoft建议不要使用具有Intune管理员级权限的帐户进行日常管理,而特权较低的角色就足够了。 但是,在初始Intune设置期间,需要Intune管理员权限才能完成以下任务:
- 将用户添加到充当Intune管理员的Intune。 (请参阅 添加用户)
- 创建共享类似管理职责的用户组。 (请参阅 添加组)
- 将 RBAC 角色分配给用户组,仅为每个组提供执行其日常任务所需的权限。 (本文)
完成这些步骤后,切换到仅具有持续管理所需的权限的帐户,以维护最小特权原则。
分配角色所需的 RBAC 权限
若要在 Intune 中管理 RBAC 角色和分配,你的帐户必须具有以下权限集之一:
Intune角色管理员的Intune内置角色。 最低特权内置角色
包含以下类别和类别权限的自定义角色:
角色:
- Assign
- 创建
- 删除
- 阅读
- 更新
组织:
- 阅读
部署Intune角色分配
在部署Intune角色之前,请熟悉关于Intune角色分配,其中详细介绍了Intune角色分配的几个方面。
登录到 Microsoft Intune 管理中心,然后转到“租户管理>角色”“>所有角色”。
在“Intune角色 - 所有角色”页上,可以找到可在租户中分配的所有Intune角色。 每个角色都有一个类型,该类型标识为 Intune 提供的内置角色或组织创建的自定义Intune角色。
选择要分配的角色,然后选择“ 分配>+ 分配”。
在 “基本信息 ”页上,输入 “名称” 和可选 “说明”,然后选择“ 下一步”。
在“管理员组”页上,选择“添加组”,然后选择包含要向其分配角色权限的用户的组。
提示
向组分配角色时,该组的每个成员都会收到该角色授予的权限。 仅将角色分配给你知道其成员身份的组,并且不包括不应接收角色提供的管理特权的用户。
选择 下一步。
在“作用域 (组) ”页上,添加仅包含上一步中选择管理员组成员管理的用户或设备的组。 然后,选择“下一步”。
注意
“所有用户”和“所有设备”组Intune虚拟组,而不是Microsoft Entra安全组。 因此,不能将它们用作作用域 (组) 分配中的Microsoft Entra安全组的父级。 若要分配“所有用户”和“所有设备”以及特定Microsoft Entra安全组,请单独添加它们。 否则,即使角色的“作用域 (组) 设置为”所有用户“,管理员也无权访问特定Microsoft Entra用户组。
Microsoft Entra安全组支持嵌套。
在“ 作用域 (标记) ”页上,选择应用此角色分配的标记。 选择 下一步。
注意
定义范围组并分配范围标记时,管理员只能针对角色分配的范围 (组) 中列出的组。
在“ 查看 + 创建 ”页上,完成后,选择“ 创建”。
新分配将显示在分配列表中。