本文中的信息可帮助你将用户Microsoft Intune 内置 或 自定义 基于角色的访问控制 (RBAC) 角色分配给管理 Intune 订阅的用户。 RBAC 角色分配给组,而不是单个用户。
在将角色分配给组之前,请确保有足够的组用于不同的 Intune 管理任务,并查看这些组的成员身份。 分配有 RBAC 角色的组的每个成员都接收该角色授予的权限。 对于一个用户,多个组的权限是累积的,并且没有拒绝特定权限的选项。 但是,可以将 范围标记与 RBAC 结合使用 ,以限制不同个人组可以查看和管理的范围。
重要
Microsoft建议不要使用具有 Intune 管理员级别权限的帐户进行日常管理,而特权较低的角色就足够了。 但是,在初始 Intune 设置期间,需要 Intune 管理员权限才能执行以下任务:
- 将充当 Intune 管理员的用户添加到 Intune。 (请参阅 添加用户)
- 创建共享类似管理职责的用户组。 (请参阅 添加组)
- 将 RBAC 角色分配给用户组,仅为每个组提供执行其日常任务所需的权限。 (本文)
完成这些步骤后,切换到仅具有持续管理所需的权限的帐户,以维护最小特权原则。
分配角色所需的 RBAC 权限
若要在 Intune 中管理 RBAC 角色和分配,帐户必须具有以下权限集之一:
Intune 角色管理员的 Intune 内置角色。 最低特权内置角色
包含以下类别和类别权限的自定义角色:
角色:
- Assign
- 创建
- 删除
- 阅读
- 更新
组织:
- 阅读
注意
增强的安全性:多管理员审批现在支持基于角色的访问控制。 启用此设置后,第二个管理员必须批准对角色的更改。 这些更改可能包括对角色权限、管理员组或成员组分配的更新。 更改仅在批准后生效。 这种双重授权过程有助于保护组织免受未经授权或意外的基于角色的访问控制更改。 有关详细信息,请参阅在 Intune 中使用多管理员审批。
部署 Intune 角色分配
在部署 Intune 角色之前,请熟悉 关于 Intune 角色分配 ,其中提供了有关 Intune 角色分配的几个方面的详细信息。
登录到 Microsoft Intune 管理中心,然后转到 “租户管理>角色”“>所有角色”。
在 “Intune 角色 - 所有角色 ”页上,可以找到可在租户中分配的所有 Intune 角色。 每个角色都有一个类型,该 类型 标识为 Intune 提供的内置角色或组织创建的自定义 Intune 角色。
选择要分配的角色,然后选择“ 分配>+ 分配”。
在 “基本信息 ”页上,输入 “名称” 和可选 “说明”,然后选择“ 下一步”。
在“管理员组”页上,选择“添加组”,然后选择包含要向其分配角色权限的用户的组。
提示
向组分配角色时,该组的每个成员都会收到该角色授予的权限。 仅将角色分配给你知道其成员身份的组,并且不包括不应接收角色提供的管理特权的用户。
注意
如果租户允许 未经许可的管理员,则 Intune 角色分配仅适用于分配的安全组的直接成员。 默认情况下,嵌套组的成员不会接收这些分配。 但是,如果嵌套组中的用户具有 Intune 许可证,该用户将收到 Intune 角色。
选择 下一步。
在“作用域 (组) ”页上,添加仅包含上一步中选择管理员组成员管理的用户或设备的组。 然后,选择“下一步”。
注意
“所有用户”和“所有设备”组是 Intune 虚拟组,而不是Microsoft Entra安全组。 因此,不能将它们用作作用域 (组) 分配中的Microsoft Entra安全组的父级。 若要分配“所有用户”和“所有设备”以及特定Microsoft Entra安全组,请单独添加它们。 否则,即使角色的“作用域 (组) 设置为”所有用户“,管理员也无权访问特定Microsoft Entra用户组。
Microsoft Entra安全组支持嵌套。
在“ 作用域 (标记) ”页上,选择应用此角色分配的标记。 选择 下一步。
注意
定义范围组并分配范围标记时,管理员只能针对角色分配的范围 (组) 中列出的组。
在“ 查看 + 创建 ”页上,完成后,选择“ 创建”。
新分配将显示在分配列表中。