在Microsoft Intune管理中心使用基于角色的访问控制来管理谁有权访问组织的资源,以及他们可以对这些资源执行的作。
内置角色
Windows 自动修补使基于角色的访问控制能够使用最低特权访问权限在 Microsoft Intune 中分发和委托Windows 更新管理。
重要提示
若要将 Windows 自动修补作为较低特权角色成功管理,用户必须同时具有自动修补管理员权限以及策略和配置文件管理员权限。
Windows 自动修补管理员或 Windows 自动修补读取者角色中定义的权限用于管理自动修补组、支持请求、自动修补消息和自动修补报告。
若要管理更新策略和Windows 更新报表,需要“设备配置”权限。 此权限在内置角色(如策略和配置文件管理器角色)中可用。
策略和配置文件管理员角色
策略和配置文件管理器角色包括用于管理Intune策略的设备配置权限,包括以下更新策略:
- 更新通道
- 质量更新
- 功能更新
- 驱动程序更新
Windows 自动修补管理员
Windows 自动修补管理员角色管理 Windows 自动修补的所有方面:
Windows 自动修补阅读器
Windows 自动修补读取器可以查看Microsoft Intune中可用的 Windows 自动修补数据,但无法进行更改。
更新策略角色
若要管理 Windows 质量更新、更新通道、Windows 功能更新、驱动程序更新、Microsoft 365 应用版和Microsoft Edge 策略,用户必须具有完整的设备配置权限。 下表是更新管理角色的完整列表:
| Intune角色 | 更新策略 |
|---|---|
| 策略 & 配置文件管理器 | 读/写 |
| 支持作员 | 已阅读 |
| 只读运算符 | 已阅读 |
| 自动修补管理员 | 无权限 |
| 自动修补读取器 | 无权限 |
若要成功将 Windows 自动修补作为较低特权角色进行管理,用户必须同时具有自动修补管理员权限以及策略和配置文件管理员权限。
Microsoft Entra角色
以下Microsoft Entra角色可以通过Microsoft Intune门户访问 Windows 自动修补功能。
| Microsoft Entra角色 | 所有 Windows 自动修补数据 | 租户管理 > Windows 自动修补 |
|---|---|---|
| 全局管理员 | 读/写 | 读/写 |
| Intune服务管理员 | 读/写 | 读/写 |
| 全局读取器 | 已阅读 | 已阅读 |
| 服务支持管理员 | 无权限 | 已阅读 租户管理/Windows 自动修补/全部 |
| 安全管理员 | 无权限 | 已阅读 租户管理/Windows 自动修补/全部 |
| 安全读取器 | 无权限 | 已阅读 租户管理/Windows 自动修补/全部 |
| 帐务管理员 | 无权限 | 已阅读 租户管理/Windows 自动修补/全部 |
| 支持管理员 | 无权限 | 已阅读 租户管理/Windows 自动修补/全部 |
自定义角色
可以创建两个自定义角色,其中包含特定作业角色所需的权限。
若要实现全面更新管理,请确保分配给自动修补自定义角色的组也是 策略 & 配置文件管理器角色 的成员或具有等效权限的自定义角色。
导航到 “租户管理>角色>”“创建自定义角色>”“Windows 自动修补 ”以创建自定义角色。
| 权限 | 描述 |
|---|---|
| 角色分配/创建 | 为对自动修补资源执行的作创建自动修补角色。 |
| 角色分配/更新 | 更新自动修补的角色,其中对自动修补资源执行编辑作。 |
| 角色分配/删除 | 自动修补的删除角色,其中对自动修补资源执行删除作。 |
| 角色/读取 | 查看自动修补角色的权限、角色定义和角色分配。 查看作或对自动修补资源执行的作。 |
| 自动修补组/读取 | 读取自动修补组及其属性。 |
| 自动修补组/创建 | 创建自动修补组,添加组分配,并配置发布设置。 |
| 自动修补组/编辑 | 编辑自动修补组、修改发布设置和管理组分配。 |
| 自动修补组/删除 | 删除自动修补组。 |
| 报告/读取 | 读取和导出自动修补质量和功能更新报告。 |
| Reports/DiscoverDevices | 允许设备报告作发现设备。 |
| 报表/分配 | 允许将设备环分配到自动修补组。 |
| Reports/ExcludeDevices | 对设备报告执行排除设备作。 |
| Reports/RestoreExcludedDevices | 对设备报表执行还原作。 |
| 支持请求/读取 | 读取现有的自动修补支持请求和响应。 |
| 消息/读取 | 读取已发布的自动修补和服务运行状况仪表板消息。 |
范围
Windows 自动修补支持Intune范围标记和作用域组,用于分布式更新管理。 使用 Microsoft Intune 创建和管理范围标记。
- Windows 自动修补支持自动修补组、自动修补角色分配、更新策略和报表Intune范围。
- 自动修补消息、支持和管理员联系人不支持范围。
- 由作用域内管理员创建的自动修补组分配到与用户相同的范围标记。
- 只有分配有相同作用域标记的作用域管理员才能编辑和管理自动修补组。
- 创建自动修补组并分配范围标记时,创建的更新策略将继承相同的范围标记。
- 分配给自动修补组的设备不继承自动修补组范围标记。 使用 Intune 将范围标记分配给设备。
自动修补组的权限
自动修补组创建Microsoft Entra组并更新策略,并将策略分配给该组作为其工作流的一部分。 若要成功完成工作流, 需要这两个权限。 仅当用户同时启用了两个权限时,创建自动修补组的选项才可用。
- 设备配置, 所有 权限
- Windows 自动修补组, 所有 权限
分配有作用域标记的 Windows 自动修补组仅对具有这些确切范围标记的用户可见。 这可确保 IT 管理员可以使用自动修补组管理基于环的推出,并且不受范围差异的影响。
注意
自动修补组工作流创建部署圈并为其分配更新策略。 如果“自动修补”角色包括作用域中的所有设备,则策略管理角色必须在其范围内具有 “所有设备”和“所有用户 ”。
缺少Microsoft Entra权限可能会阻止登录用户创建组。 用户必须具有足够的权限才能创建组。 有关详细信息,请参阅 如何设置自助服务组管理 或 创建组权限。
向用户分配有作用域的组时,他们只能分配作用域内组以分发到部署圈中。
作用域管理员和自动修补组
在Intune范围内管理员中,只有分配有特定范围标记和作用域内的组的管理员用户才能将策略分配给作用域内组。
注意
Intune管理员或更新具有“所有设备和所有用户”范围的管理员看不到“挂起分配”工作流;这仅影响通过特定作用域组分配了作用域的角色。
作用域内管理员和自动修补组工作流
作为自动修补组创建工作流的一部分,Windows 自动修补会创建Microsoft Entra组,并更新所选部署设置的策略。 若要将更新策略分配给新创建的部署圈,必须将自动修补组作为作用域组包含在包含 设备配置权限的角色中。
注意
Intune管理员或角色管理员必须将新创建的 Windows 自动修补组分配为作用域组,然后才能由作用域内管理员使用自动修补组。
将处于 “挂起分配 状态”的“自动修补”组添加为作用域组后,限定范围的管理员可以为自动修补组分配变为 “活动”的更新策略。
下表对高级工作流进行说明:
| 步骤 | 描述 | 评估者 |
|---|---|---|
| 步骤 1:创建自动修补组 | 创建自动修补组。
创建或编辑自动修补组时,自动修补组会将设备注册到 Windows 自动修补服务。 将创建自动修补组、部署圈和更新策略。 可以在 Windows 更新下查看更新 策略 。 |
作用域管理员 |
| 步骤 2:联系Intune管理员或角色管理员,将自动修补父组分配为角色的作用域组 | 包括以下信息:
|
作用域管理员 |
| 步骤 3:将自动修补父组分配为具有设备配置权限的角色的作用域组 | 使用分配作用域组将“自动修补”父级添加为 “作用域内组”。 | Intune管理员或Intune角色管理员 |
| 步骤 4:完成策略分配,以便自动修补组可供使用 | 如果自动修补组仍处于“挂起分配”状态,并且“分配作用域内的 组” 步骤尚未完成,请选择“完成组分配”。 策略分配成功后,“自动修补”组将设置为 “活动 ”并可供使用。 作用域内组分配可能不会立即可用。 最长可能需要 10 分钟才能生效。 |
作用域管理员 |
将范围标记分配给自动修补组
注意
如果要将范围标记分配给现有自动修补组,则必须将作用域管理员作为作用域管理员作为作用域组包含在其角色中,具有 设备配置权限 才能管理自动修补组。
Windows 自动修补创建一个父组,该父组嵌套可添加为作用域组的自动修补组和部署圈。 可以在“自动修补”组属性中找到父组名称。
- 在Microsoft Intune管理中心,导航到“租户管理>”“自动修补组>”,选择组。 自动修补组的所有环和策略具有相同的范围。
- 在“将组添加到环”选项中,选择要分配给自动修补组的Microsoft Entra组。 只有具有范围对象的组可供选择。
- 导航到 “属性>范围 (标记) >编辑>选择范围标记> 选择要添加到配置文件的标记。 最多可以向对象分配 100 个范围标记 。
- 当服务检测到在基于角色的访问控制之前创建的自动修补组时,将显示 “范围组 ”部分。 这表示已创建Microsoft Entra组,该组可以添加为作用域组。 作用域内管理员可以管理此自动修补组(如果包含在其范围内)。
- 按照 “作用域内管理员”和“自动修补组工作流 ”部分中的步骤分配作用域内的组。
- 选择“ 查看 + 保存”。
已知问题
Windows 365 企业版为 IT 管理员提供了在Windows 365预配策略创建过程中向 Windows 自动修补注册设备的选项。 必须是Intune服务管理员才能完成此作。
常规故障排除
| 方案 | 邮件 | 原因 | 解决方案 |
|---|---|---|---|
| 尝试创建、编辑或删除自动修补组时,会收到错误消息。 | 您没有足够的权限来修改此自动修补组。 只能修改与分配的范围匹配的自动修补组。 此自动修补组具有与角色分配不匹配的其他分配的作用域标记。 或 自动修补组提交失败,并且已登录用户已分配范围标记。 |
编辑自动修补组,并且服务检测到范围标记不匹配时,会出现此问题。 | 验证分配给自动修补组和策略分配角色的范围标记。 策略分配角色可能具有更多范围标记,但必须包括分配给自动修补组 的所有 范围标记。 |
| 在“自动修补组成员身份”报告中选择设备和“分配环形设备”作时,会收到一条错误消息。 | 你没有足够的权限或分配设备所需的范围。 | 当由于范围标记不匹配,自动修补无法填充自动修补组列表时,会出现此问题。 | 验证自动修补组和角色的范围标记。 确保它们至少共享 一个 范围标记。 |
| 在“自动修补组成员身份”报告中选择设备和“分配环形设备”作时,会收到一条错误消息。 | 你没有足够的自动修补组权限来完成此作。 至少需要“自动修补组读取”权限。 | 若要在自动修补部署环之间移动设备,需要具有读取自动修补组的权限。 | 确保角色包含 自动修补组/读取权限。 导航到“租户管理 > 角色 > ”“我的权限”。 |
| 在 “自动修补组成员身份”报告中选择设备时,会收到错误消息。 | 访问被拒绝 | 你没有查看设备属性的Intune权限。 | 确保角色包含 托管设备/读取权限。 导航到“租户管理 > 角色 > ”“我的权限”。 |
| 以委派的 Windows 自动修补管理员身份登录时,只能看到 “发布”、“ 更新通道”和“ 监视 ”选项卡。 | 你没有查看Windows 更新所需的全部权限。 | 确保角色包含 组织/读取权限。 导航到“租户管理 > 角色 > ”“我的权限”。 | |
| 尝试编辑新分配的范围标记的预先存在的自动修补组时,会收到一条错误消息。 已成功将父范围组添加到策略分配角色。 | 您没有足够的权限来修改此自动修补组。 只能修改与分配的范围匹配的自动修补组。 此自动修补组具有与角色分配不匹配的其他分配的作用域标记。 | 当服务检测到登录用户“分配的 Entra 组”不在自动修补管理员角色的范围组中时,会出现此问题。 这种情况发生在预先存在的 Autopatch 组中。 | 将“已分配的 Entra”组作为作用域组添加到“自动修补管理员”角色。 |