保护对组织的访问是一个基本的安全步骤。 本文介绍使用Microsoft Intune基于角色的访问控制 (RBAC) 的基本详细信息,这是Microsoft Entra ID RBAC 控件的扩展。 后续文章可帮助你在组织中部署Intune RBAC。
使用 Intune RBAC,你可以向管理员授予精细权限,以控制谁有权访问组织的资源,以及他们可以对这些资源执行的作。 通过分配Intune RBAC 角色并遵循最低特权访问原则,管理员只能在应有权管理的用户和设备上执行分配的任务。
RBAC 角色
每个Intune RBAC 角色指定一组权限,这些权限可供分配给该角色的用户使用。 权限由一个或多个管理类别(如 设备配置 或 审核数据)和可执行的作集(如 读取、 写入、 更新和 删除)组成。 它们共同定义了Intune中的管理访问权限和权限范围。
Intune包括内置角色和自定义角色。 内置角色在所有租户中都是相同的,它们用于解决常见的管理方案,而创建的自定义角色允许管理员根据需要获得特定权限。此外,多个Microsoft Entra角色包括Intune内的权限。
若要在Intune管理中心查看角色,请转到“租户管理>角色”>“所有角色>”并选择一个角色。 然后,可以通过以下页面管理该角色:
- 属性:角色的名称、说明、权限和作用域标记。 还可以在此文档中的内置角色权限中查看内置角色的名称、说明和 权限。
- 分配: 为角色选择一个分配 ,以查看有关该角色的详细信息,包括分配包含的组和范围。 一个角色可以有多个分配,一个用户可以接收多个分配。
注意
2021 年 6 月,Intune开始支持未经许可的管理员。 此更改后创建的用户帐户无需分配许可证即可管理Intune。 在此更改之前创建的帐户仍需要许可证来管理Intune。
内置角色
具有足够权限的Intune管理员可以将任何Intune角色分配给用户组。 内置角色授予执行与角色用途一致的管理任务所需的特定权限。 Intune不支持对内置角色的说明、类型或权限进行编辑。
- 应用程序管理员:管理移动和托管应用程序,可读取设备信息和查看设备配置文件。
- 终结点特权管理器:在Intune控制台中管理终结点特权管理策略。
- 终结点特权读取器:终结点特权读取器可以在Intune控制台中查看终结点特权管理策略。
- 终结点安全管理器:管理安全性和合规性功能,例如安全基线、设备符合性、条件访问和Microsoft Defender for Endpoint。
- 技术支持人员:对用户和设备执行远程任务,并可以将应用程序或策略分配给用户或设备。
- Intune 角色管理员:管理自定义 Intune 角色和添加内置 Intune 角色分配。 这是唯一可向管理员分配权限的 Intune 角色。
- 策略和配置文件管理员:管理合规性策略、配置文件、Apple 注册、企业设备标识符和安全基线。
- 只读操作员:查看用户、设备、注册、配置和应用程序信息。 无法更改 Intune。
- 学校管理员:在 Intune for Education 中管理 Windows 10 设备。
当租户包含用于支持云电脑的Windows 365订阅时,还可以在 Intune 管理中心中找到以下云电脑角色。 默认情况下,这些角色不可用,并且包括Intune中与云电脑相关的任务的权限。 有关这些角色的详细信息,请参阅Windows 365文档中的云电脑内置角色。
- 云电脑管理员:云电脑管理员对位于云电脑区域内的所有云电脑功能具有 读取 和 写入 访问权限。
- 云电脑阅读器:云电脑读取器对云电脑区域内的所有云电脑功能具有 读取 访问权限。
自定义角色
可以创建自己的自定义Intune角色,仅向管理员授予其任务所需的特定权限。 这些自定义角色可以包括任何Intune RBAC 权限,允许优化管理员访问权限,并支持组织中最低特权访问原则。
请参阅 创建自定义角色。
具有Intune访问权限的Microsoft Entra角色
Intune RBAC 权限是Microsoft Entra RBAC 权限的子集。 作为子集,有一些 Entra 角色在Intune中包含权限。 有权访问Intune的大多数Entra ID角色都被视为特权角色。 特权角色的使用和分配应受到限制,不得用于Intune内的日常管理任务。
Microsoft建议遵循最低权限原则,只为管理员分配执行其职责所需的最低权限。 若要支持此原则,请使用 Intune 的内置 RBAC 角色执行日常Intune管理任务,并避免使用有权访问Intune的 Entra 角色。
下表标识了有权访问Intune的 Entra 角色及其包含Intune权限。
| Microsoft Entra角色 | 所有 Intune 数据 | Intune 审核数据 |
|---|---|---|
“全局管理员  |
读/写 | 读/写 |
| “Intune服务管理员 |
读/写 | 读/写 |
| 条件访问管理员 |
无 | 无 |
| “安全管理员 |
只读(终结点安全性节点的完全管理权限) | 只读 |
| 安全作员 |
只读 | 只读 |
| “安全读取器 |
只读 | 只读 |
| 合规管理员 | 无 | 只读 |
| 合规数据管理员 | 无 | 只读 |
| 全局读者 (此角色等效于Intune技术支持作员角色) |
只读 | 只读 |
| 支持管理员 (此角色等效于Intune技术支持作员角色) |
只读 | 只读 |
| 报告读取者 | None | 只读 |
除了在 Intune 内具有权限的 Entra 角色外,Intune的以下三个方面是 Entra 的直接扩展:用户、组和条件访问。 这些对象和配置的实例在 Entra 中存在Intune。 作为 Entra 对象,它们可由 Entra 管理员管理,这些管理员具有 Entra 角色授予的足够权限。 同样,Intune对Intune具有足够权限的管理员可以查看和管理在 Entra 中创建的这些对象类型。
Intune Privileged Identity Management
使用 Entra ID Privileged Identity Management (PIM) 时,可以管理用户何时可以使用Intune RBAC 角色或Entra ID Intune管理员角色提供的权限。
Intune支持两种角色提升方法。 这两种方法之间存在性能和最小特权差异。
方法 1:使用Microsoft Entra Privileged Identity Management (PIM ) 为Microsoft Entra内置Intune管理员角色创建实时 (JIT) 策略,并为其分配管理员帐户。
方法 2:为具有Intune RBAC 角色分配的组利用Privileged Identity Management (PIM) 。 有关将 PIM 用于具有 Intune RBAC 角色的组的详细信息,请参阅:使用组的 Microsoft Entra PIM 配置Microsoft Intune实时管理员访问权限 |Microsoft社区中心
从 Entra ID 对 Intune 管理员角色使用 PIM 提升时,提升通常在 10 秒内发生。 Intune的内置角色或自定义角色的基于 PIM 组的提升通常需要长达 15 分钟才能应用。
关于Intune角色分配
Intune自定义角色和内置角色都分配给用户组。 分配的角色适用于组中的每个用户,并定义:
- 分配到角色的用户
- 用户可以使用的资源
- 用户可以更改的资源。
分配有Intune角色的每个组应仅包括有权为该角色执行管理任务的用户。
- 如果最低特权内置角色授予过多的权限或权限,请考虑使用自定义角色来限制管理访问权限的范围。
- 规划角色分配时,请考虑具有 多个角色分配的用户的结果。
要为用户分配Intune角色并有权管理Intune,只要其帐户是在 2021 年 6 月之后在 Entra 中创建的,他们就不需要Intune许可证。 在 2021 年 6 月之前创建的帐户需要分配许可证才能使用 Intune。
若要查看现有角色分配,请选择“Intune>租户管理>角色所有>角色>选择角色>分配>选择分配”。 在“分配 属性” 页上,可以编辑:
基本:分配名称和说明。
成员:成员是在创建角色分配时在“管理员组”页上配置的组。 列出的 Azure 安全组中的所有用户都有权管理 作用域 (组) 中列出的用户和设备。
作用域 (组) :使用作用域 (组) 定义具有此角色分配的管理员可以管理的用户和设备组。 具有此角色分配的管理用户可以使用角色授予的权限来管理角色分配定义的范围组中的每个用户或设备。
提示
配置范围组时,请仅选择包含具有此角色分配的管理员应管理的用户和设备的安全组来限制访问权限。 若要确保具有此角色的管理员不能面向所有用户或所有设备,请不要选择 “添加所有用户 ”或“ 添加所有设备”。
范围标记:分配有此角色分配的管理用户可以看到具有相同范围标记的资源。
注意
作用域 标记是管理员定义然后添加到角色分配的任意格式文本值。 在角色上添加的范围标记控制角色本身的可见性,而在角色分配中添加的范围标记将策略、应用或设备等Intune对象的可见性限制为该角色分配中的管理员,因为角色分配包含一个或多个匹配的范围标记。
多个角色分配
如果用户具有多个角色分配、权限和作用域标记,则这些角色分配将扩展到不同的对象,如下所示:
- 如果两个或更多角色向同一对象授予权限,则权限是增量的。 例如,具有从一个角色读取权限和从另一个角色读取/写入权限的用户具有“读取/写入”的有效权限, (假设这两个角色的分配针对) 相同的范围标记。
- 分配权限和作用域标记仅适用于相应角色的分配作用域(组)中的对象(如策略或应用)。 分配权限和作用域标记不适用于其他角色分配中的对象,除非其他分配专门授予它们。
- 其他权限(如“创建”、“读取”、“更新”、“删除”)和作用域标记适用于任何用户分配中相同类型的所有对象(如所有策略或所有应用)。
- 不同类型对象(如策略或应用)的权限和作用域标记彼此不适用。 例如,策略的读取权限不会为用户分配中的应用提供读取权限。
- 如果没有任何范围标记或某些范围标记是从不同的分配分配的,则用户只能看到属于某些范围标记的一部分的设备,而无法查看所有设备。
监视 RBAC 分配
此部分和三个子部分正在进行中
在Intune管理中心内,可以转到“租户管理员>角色”并展开“监视”以查找多个视图,这些视图可帮助你识别不同用户在Intune租户中拥有的权限。 例如,在复杂的管理环境中,可以使用“管理员权限”视图指定帐户,以便查看其当前管理权限范围。
我的权限
选择此节点时,会显示当前Intune RBAC 类别和帐户授予的权限的组合列表。 此组合列表包括所有角色分配中的所有权限,但不包括哪些角色分配提供这些权限或由哪个组成员身份分配。
按权限分配的角色
使用此视图,可以查看有关特定Intune RBAC 类别和权限的详细信息,以及通过哪些角色分配以及向哪些组提供组合。
若要开始,请选择Intune权限类别,然后选择该类别的特定权限。 然后,管理中心会显示导致分配该权限的实例列表,其中包括:
- 角色显示名称 – 授予权限的内置或自定义 RBAC 角色的名称。
- 角色分配显示名称 – 将角色分配给用户组的角色分配的名称。
- 组名称 – 接收该角色分配的组的名称。
管理员权限
使用“管理员权限”节点标识帐户当前授予的特定权限。
首先指定 用户帐户 。 只要用户已向其帐户分配了Intune权限,Intune将显示类别和权限标识的权限的完整列表。
