您可以建立自訂 Intune 角色,其中包含特定工作職能所需的任何許可權。 例如,如果 IT 部門群組管理應用程式、原則和組態設定檔,您可將所有權限集結新增至單一自訂角色。 建立自訂角色後,您可以將其 指派 給需要這些權限的任何使用者。
注意事項
增強的安全性:多管理員核准現在支援基於角色的存取控制。 開啟此設定時,第二個管理員必須核准角色變更。 這些變更可能包括對角色權限、管理員群組或成員群組指派的更新。 變更只有在核准後才會生效。 此雙重授權程式有助於保護您的組織免受未經授權或意外的角色型存取控制變更的影響。 如需詳細資訊,請參閱 在 Intune 中使用多重管理員核准。
若要建立、編輯或指派角色,您的帳戶必須在 Microsoft Entra ID 中具有下列角色:
- Intune 服務系統管理員
若要建立自訂角色
在 Microsoft Intune 系統管理中心中,選擇 [租用戶系統管理>角色]> [所有角色>][建立]。
在 基本資料 頁面上,輸入名稱與描述,然後選擇 [下一步]。
在 [權限] 頁面上,選擇您要與此角色搭配使用的權限。
在 [範圍 (標籤)] 頁面上,選擇此角色的標籤。 將此角色指派給使用者時,該使用者可以存取也具有這些標籤的資源。 選擇 [下一步]。
完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新角色會顯示在 [Intune 角色 - 所有角色] 頁面的清單中。
複製角色
您也可以複製現有角色。
在 Microsoft Intune 系統管理中心中,選擇 [租用戶系統管理>角色>] [所有角色>],選取清單>中角色的複選框 [重複]。
在 [基本資料] 頁面上,輸入名稱。 請務必使用唯一的名稱。
原始角色的所有許可權和範圍標籤都已選取。 您稍後可以變更重複角色的 名稱、 說明、 權限和 範圍 (標籤) 。
進行所有想要的變更之後,請選擇 [ 下一步 ] 以移至 [ 檢閱 + 建立 ] 頁面。 選取 [建立]。
自訂角色權限
注意事項
您可以檢視和管理VPP應用程式,僅指派行動 應用程式 權限。 以前,需要 受管理應用程式 權限才能檢視和管理 VPP 應用程式。 此變更不適用於仍需要指派受 控應用程式 許可權的 Intune 教育用租用戶。
建立自訂角色時,可以使用下列權限。
| 類別/權限 | 描述 |
|---|---|
| Android FOTA/指派 | 將 Android 韌體無線指派給 Microsoft Entra 安全群組 (FOTA) 部署。 |
| Android FOTA/刪除 | (FOTA) 部署中刪除和取消無線擱置的 Android 固件,並刪除部署歷史記錄。 |
| Android FOTA/創建 | (FOTA) 部署,透過無線方式建立和管理 Android 韌體的各個層面。 |
| Android FOTA/讀取 | (FOTA) 部署透過無線方式查看 Android 韌體,包括歷史記錄和報告。 |
| Android FOTA/更新 | (FOTA) 部署透過無線方式變更現有的 Android 韌體,並取消韌體部署。 |
| Android 企業版/讀取 | 檢視用來將應用程式與 Play for Work 商店同步處理的 Android Enterprise 組態,或檢視 Android for Work 註冊必要條件和註冊設定檔。 |
| Android 企業版/更新應用程式同步處理 | 管理或變更用來將應用程式與 Play for Work 市集同步處理的 Android Enterprise 設定,或將您從市集核准的應用程式與 Intune 同步處理。 |
| Android 企業版/更新上線 | 管理或變更用來註冊 Android for Work 裝置或管理 Android for Work 註冊設定檔的 Android Enterprise 組態。 |
| Android Enterprise/更新註冊設定檔 | 管理或變更用來註冊裝置的 AOSP 和 Android for work 裝置擁有者註冊設定檔。 |
| 適用於商務/指派的應用程式程控 | 將商務用應用程控原則指派給 Microsoft Entra 安全性群組。 - 隨 2406 服務版本一起新增。 |
| 適用於商務/建立的應用程式控制 | 建立新的商務用應用程控原則。 - 隨 2406 服務版本一起新增。 |
| 商務應用程控/刪除 | 刪除新的商務用應用程控原則。 |
| 商務用應用程式控制/讀取 | 請閱讀商務用應用程控原則。 |
| 商務用應用程控/更新 | 變更商務用應用程控原則。 - 隨 2406 服務版本一起新增。 |
| 商務用應用程式控制/檢視報表 | 產生、檢視或匯出商務用應用程控原則的報告。 - 隨 2406 服務版本一起新增。 |
| 受攻擊面縮小/指派 | 將受攻擊面縮小原則指派給 Microsoft Entra 安全性群組。 - 隨 2406 服務版本一起新增。 |
| 受攻擊面縮小/建立 | 建立新的受攻擊面縮小原則。 |
| 受攻擊面縮小/刪除 | 刪除新的受攻擊面縮小原則。 - 隨 2406 服務版本一起新增。 |
| 攻擊面縮小/讀取 | 閱讀 Attack Surface Reduction 原則。 |
| 減少/更新 | 變更 [受攻擊面縮小] 原則。 - 隨 2406 服務版本一起新增。 |
| 受攻擊面縮小/檢視報告 | 產生、檢視或匯出受攻擊面縮小原則的報告。 - 隨 2406 服務版本一起新增。 |
| 稽核資料/讀取 | 檢視此租使用者的所有 Intune 稽核資料。 |
| 憑證連接器/修改 | 新增、移除或修改支援憑證發行所需的憑證連接器。 |
| 憑證連接器/讀取 | 檢視支援憑證發行所需的憑證連接器。 |
| Chrome 企業版/刪除連線設定 | 刪除機構的 Chrome Enterprise 連線設定。 |
| Chrome 企業版/讀取 | 查看機構的 Chrome Enterprise 連線設定和 Chrome OS 裝置的裝置詳細資料。 |
| Chrome 企業版/更新連線設定 | 管理或變更機構的 Chrome Enterprise 連線設定。 |
| 雲端連接裝置/立即註冊 | 將合格的 CM 裝置註冊到共同管理中。 |
| 雲端附加裝置/檢視集合 | 顯示 Configuration Manager 雲端連結裝置的 [集合] 頁面 |
| 雲端連接裝置/檢視資源總管 | 顯示 Configuration Manager 雲端連結裝置的 [資源總管] 頁面 |
| 雲端連接裝置/查看時間表 | 顯示 Configuration Manager 雲端連結裝置的 [時間表] 頁面 |
| 雲端連接裝置/檢視軟體更新 | 顯示 Configuration Manager 雲端連結裝置的 [軟體更新] 頁面 |
| 雲端連接裝置/檢視指令碼 | 顯示 Configuration Manager 雲端連結裝置的 [腳本] 頁面 |
| 雲端附加裝置/執行指令碼 | 顯示 [執行腳本] 動作,並允許使用者在 Configuration Manager 雲端連結裝置上執行腳本 |
| 雲端連結裝置/執行 CMPivot 查詢 | 顯示 Configuration Manager 雲端連結裝置的 CMPivot 頁面 |
| 雲端連接裝置/檢視用戶端詳細資料 | 顯示 Configuration Manager 雲端連結裝置的 [用戶端詳細資料] 頁面 |
| 雲端附加裝置/檢視應用程式 | 顯示 Configuration Manager 雲端連結裝置的 [應用程式] 頁面 |
| 雲端連接裝置/採取應用程式動作 | 在 [應用程式] 頁面中顯示應用程式動作,並允許使用者在 Configuration Manager 雲端連結裝置上採取應用程式動作 |
| 公司裝置識別碼/建立 | 建立新的公司裝置識別碼,或匯入包含公司裝置識別碼清單的 CSV 檔案。 |
| 公司裝置識別碼/刪除 | 刪除用作公司設備標識符的 IMEI 或序號。 |
| 公司裝置識別碼/讀取 | 查看用作公司設備標識符的 IMEI 或序號。 |
| 公司裝置識別碼/更新 | 變更用作公司裝置識別碼的 IMEI 或序號。 |
| 自訂/指派 | 指派公司入口網站的自訂選項。 |
| 客製化/創建 | 建立公司入口網站的自定義選項。 |
| 自訂/刪除 | 刪除公司入口網站的自定義選項。 |
| 自訂/讀取 | 閱讀公司入口網站的自定義選項。 |
| 客製化/更新 | 更新公司入口網站的自定義選項。 |
| 衍生認證/修改 | 設定 Microsoft Intune 租使用者的衍生認證。 |
| 衍生認證/讀取 | 檢視 Microsoft Intune 租使用者的衍生認證。 |
| 裝置合規性原則/指派 | 將裝置合規性原則指派給 Microsoft Entra 安全性群組,並將 Exchange 內部部署存取權指派給 Microsoft Entra 安全性群組。 |
| 裝置合規性原則/建立 | 建立新的裝置合規性原則。 |
| 裝置合規性原則/刪除 | 刪除裝置合規性原則或刪除 Exchange ActiveSync 連接器。 |
| 裝置合規性原則/讀取 | 檢視裝置合規性原則和 Exchange Active Sync 連接器清單,或檢視 Exchange 內部部署存取的設定。 |
| 裝置合規性原則/更新 | 變更裝置合規性原則、Exchange ActiveSync 連接器和 Exchange 內部部署存取設定。 |
| 裝置合規性原則/檢視報告 | 檢視、產生和匯出裝置合規性報告。 |
| 裝置設定/指派 | 將裝置組態配置檔指派給 Microsoft Entra 安全性群組。 |
| 裝置設定/建立 | 建立新的裝置組態設定檔。 |
| 裝置設定/刪除 | 刪除裝置組態設定檔。 |
| 裝置組態/讀取 | 檢視裝置組態設定檔。 |
| 裝置設定/更新 | 變更裝置組態設定檔。 |
| 裝置組態/檢視報告 | 檢視、產生和匯出裝置組態報告和端點安全策略的報告。 |
| 裝置註冊管理員/讀取 | 檢視裝置註冊管理員帳戶清單。 |
| 裝置註冊管理員/更新 | 建立新的裝置註冊管理員帳戶,或刪除裝置註冊管理員帳戶。 |
| 端點分析/創建 | 建立新的基準並編輯端點分析設定。 |
| 端點分析/刪除 | 編輯端點分析設定並刪除基準。 |
| 端點分析/讀取 | 檢視端點分析分數和效能報告。 |
| 端點分析/更新 | 編輯端點分析設定和基準。 |
| 端點偵測和回應/指派 | 將端點偵測和回應原則指派給 Microsoft Entra 安全性群組。 - 隨 2406 服務版本一起新增。 |
| 端點偵測與回應/建立 | 建立新的端點偵測和回應原則。 - 隨 2406 服務版本一起新增。 |
| 端點偵測和回應/刪除 | 刪除端點偵測和回應原則。 - 隨 2406 服務版本一起新增。 |
| 端點偵測和回應/讀取 | 閱讀端點偵測和回應政策。 - 隨 2406 服務版本一起新增。 |
| 端點偵測和回應/更新 | 變更端點偵測和回應原則。 - 隨 2406 服務版本一起新增。 |
| 端點偵測和回應/檢視報告 | 產生、檢視或匯出端點偵測和回應原則的報告。 - 隨 2406 服務版本一起新增。 |
| 端點權限管理原則撰寫/指派 | 允許管理員指派端點權限管理 (EPM) 原則。 |
| 端點權限管理原則編寫/建立 | 允許管理員建立端點權限管理 (EPM) 原則。 |
| 端點權限管理原則編寫/刪除 | 允許管理員刪除端點權限管理 (EPM) 原則。 |
| 端點權限管理原則撰寫/讀取 | 允許管理員讀取端點權限管理 (EPM) 原則。 |
| 端點權限管理原則編寫/更新 | 允許管理員更新端點權限管理 (EPM) 原則。 |
| 端點權限管理原則編寫/檢視報告 | 允許管理員檢視端點權限管理 (EPM) 報告。 |
| 端點保護報告/讀取 | 檢視端點保護報告。 |
| 註冊計劃/指派設定檔 | 管理 Windows Autopilot 部署配置檔指派設定。 |
| 註冊計劃/建立裝置 | 匯入裝置註冊計畫的 Apple 裝置、Apple School 或商務管理程式、Apple Configurator 或 Windows Autopilot 裝置。 |
| 註冊計劃/創建個人資料 | 為裝置註冊計畫、Apple 校務管理、Apple Configurator 或 Windows Autopilot 建立新的設定檔。 |
| 註冊計劃/建立權杖 | 下載 Apple 裝置註冊計畫或 Apple 校務管理權杖 .pem 檔案。 |
| 註冊計劃/刪除裝置 | 刪除裝置註冊計畫、Apple School 或商務管理程式、Apple Configurator 或 Windows Autopilot 裝置的 Apple 裝置。 |
| 註冊計劃/刪除設定檔 | 刪除裝置註冊計畫、Apple 校務管理、Apple Configurator 或 Windows Autopilot 的設定檔。 |
| 註冊計劃/刪除權杖 | 刪除 Apple 裝置註冊計劃或 Apple 校務管理權杖 .pem 檔案 () 。 |
| 註冊計劃/讀取裝置 | 檢視裝置註冊計畫、Apple 校務管理、Apple Configurator 或 Windows Autopilot 裝置的 Apple 裝置。 |
| 註冊計劃/閱讀個人資料 | 檢視裝置註冊計畫、Apple 校務管理、Apple Configurator 或 Windows Autopilot 的設定檔。 |
| 註冊計劃/讀取權杖 | 檢視 Apple 裝置註冊計畫或 Apple 校務管理權杖狀態。 |
| 註冊計劃/同步裝置 | 起始 Windows Autopilot 裝置的同步處理命令。 |
| 註冊計劃/更新個人資料 | 管理裝置註冊計畫、Apple 校務管理、Apple Configurator 或 Windows Autopilot 的設定檔。 |
| 註冊計劃/更新權杖 | 上傳 Apple 裝置註冊或 Apple 校務管理權杖,並同步處理 Apple 裝置註冊計畫或 Apple 校務管理裝置。 |
| 篩選器/建立 | 建立新的篩選器。 |
| 篩選器/刪除 | 刪除過濾器。 |
| 篩選器/讀取 | 檢視篩選器。 |
| 篩選器/更新 | 編輯篩選器。 |
| Intune 數據倉儲/讀取 | 檢視資料倉儲中的所有資料和報表。 Power BI 或其他報表服務可以使用此資料。 |
| 受管理應用程式/指派 | 將應用程式保護原則指派給 Microsoft Entra 安全性群組。 |
| 受管理應用程式/建立 | 建立新的應用程式保護原則。 |
| 受管理的應用程式/刪除 | 刪除應用程式保護原則。 |
| 受控應用程式/讀取 | 檢視應用程式保護原則和狀態。 |
| 受管理應用程式/更新 | 變更應用程式保護原則,或刪除受保護應用程式的擱置抹除要求。 |
| 受控應用程式/抹除 | 建立抹除要求,以選擇性地從受保護的應用程式中移除公司資料。 |
| 受管理裝置清除規則/更新 | 變更受管理裝置清除規則。 |
| 受管理裝置清理設定/更新 | 變更受管理裝置清除設定。 附註: 此許可權會由 受控裝置清除規則/更新取代,不應用於新的角色設定,而且會隨著未來的更新從 Intune 中移除。 |
| 受管理裝置/刪除 | 刪除 Intune 受控裝置。 Intune 無法再管理已刪除的裝置,而且裝置無法再存取公司資源。 如果使用者在刪除公司資料後嘗試簽入,則可能會從裝置中抹除公司資料。 |
| 受管理裝置/讀取 | 檢視 Intune 受控裝置。 |
| 受管理裝置/查詢 | 允許 Intune 查詢受控裝置,以從裝置本身擷取受控裝置的詳細清查資訊、裝置狀態或其他屬性。 |
| 受管理裝置/讀取 | 檢視 Intune 受控裝置。 |
| 受管理裝置/讀取 BIOS 密碼 | 讀取具有受管理 BIOS 和韌體組態的裝置的 BIOS 密碼。 |
| 受管理裝置/設定主要使用者 | 選擇、變更或移除受管理裝置的主要使用者。 此權限必須與受管理裝置的讀取和更新權限結合使用。 |
| 受管理裝置/更新 | 變更受管理裝置的設定或擁有權屬性。 此權限不會啟用裝置的遠端動作。 若要在裝置上執行遠端動作,請授與一或多個遠端工作權限。 |
| 受管理裝置/檢視報告 | 產生、檢視或匯出受管理裝置的報告。 |
| 受管理的 Google Play/修改 | 修改將受控 Google Play 應用程式與 Microsoft Intune 同步處理的設定。 |
| 受管理的 Google Play/Read | 顯示將受控 Google Play 應用程式與 Microsoft Intune 同步處理的設定。 |
| Microsoft Defender ATP/讀取 | 檢視 Microsoft Intune 與 Microsoft Defender ATP 之間的連線。 |
| 商務用 Microsoft Store/修改 | 修改將商務商務用 Microsoft Store 應用程式與 Microsoft Intune 同步處理的設定。 |
| 商務用 Microsoft Store/讀取 | 檢視將商務商務用 Microsoft Store 應用程式與 Microsoft Intune 同步處理的設定。 |
| Microsoft Tunnel 閘道/建立 | 建立 Microsoft Tunnel 閘道伺服器設定和月臺。 伺服器配置包括 IP 位址範圍、DNS 伺服器、連接埠和分割通道規則的設定。 月臺是支援 Microsoft Tunnel 之多部伺服器的邏輯群組。 |
| Microsoft Tunnel 閘道/刪除 | 刪除 Microsoft Tunnel 閘道伺服器設定和月臺。 伺服器配置包括 IP 位址範圍、DNS 伺服器、連接埠和分割通道規則的設定。 月臺是支援 Microsoft Tunnel 之多部伺服器的邏輯群組。 |
| Microsoft Tunnel 閘道/讀取 | 檢視 Microsoft Tunnel 閘道伺服器設定和月臺。 伺服器配置包括 IP 位址範圍、DNS 伺服器、連接埠和分割通道規則的設定。 月臺是支援 Microsoft Tunnel 之多部伺服器的邏輯群組。 |
| Microsoft Tunnel 閘道/更新 | 更新 Microsoft Tunnel 閘道伺服器設定和月臺。 伺服器配置包括 IP 位址範圍、DNS 伺服器、連接埠和分割通道規則的設定。 月臺是支援 Microsoft Tunnel 之多部伺服器的邏輯群組。 |
| 行動應用程式/指派 | 將 Windows、macOS 或行動應用程式或電子書指派給 Microsoft Entra 安全性群組。 |
| 行動應用程式/建立 | 將新的 Windows、macOS 或行動應用程式新增至 Intune,例如市集應用程式、企業營運應用程式、Web 連結或內建應用程式。 你也可以加入透過 Apple 大量購買計畫購買的書籍,或加入電子書類別。 您可以設定 iOS VPP 權杖、Windows Symantec 憑證、Windows 端載入金鑰、應用程式類別或 Android for Work 連線。 |
| 行動應用程式/刪除 | 刪除 Windows、macOS 或行動應用程式,例如市集應用程式、企業營運應用程式、Web 連結或內建應用程式。 您也可以刪除透過 Apple 大量購買計劃購買的書籍或刪除電子書類別。 您可以刪除 iOS VPP 權杖、Windows Symantec 憑證、Windows 端載入金鑰、應用程式類別或 Android for Work 連線。 |
| 行動應用程式/閱讀 | 檢視 Windows、macOS 或行動應用程式,例如市集應用程式、業務營運應用程式、Web 連結或內建應用程式。 你也可以檢視透過 Apple 大量購買計畫購買的書籍,或加入電子書類別。 您可以檢視 iOS VPP 權杖、Windows Symantec 憑證、Windows 端載入金鑰、應用程式類別或 Android for Work 連線。 |
| 行動應用程式/相關 | 使用相依性和取代功能建立與其他受管理應用程式的關係。 如果沒有此許可權,IT 系統管理員就無法在建立或編輯 Win32 應用程式時新增應用程式相依性或取代關聯性。 |
| 行動應用程式/更新 | 管理 Windows、macOS 或行動應用程式,例如市集應用程式、業務營運應用程式、Web 連結或內建應用程式。 你也可以管理透過 Apple 大量購買計畫購買的書籍,或加入電子書類別。 您可以管理 iOS VPP 權杖、Windows Symantec 憑證、Windows 端載入金鑰、應用程式類別或 Android for Work 連線。 |
| 行動應用程式/檢視報告 | 檢視 Windows、macOS 或行動應用程式 (例如市集應用程式、企業營運應用程式、Web 連結和內建應用程式) 上的報表。 |
| 行動威脅防禦/修改 | 新增、移除或修改 Intune 與您選擇的 MTD 廠商之間的行動威脅防禦連接器 |
| 行動威脅防禦/讀取 | 檢視 Intune 與您選擇的 MTD 廠商之間的行動威脅防禦連接器 |
| 多重管理員核准/建立存取原則 | 建立多重管理員核准的存取原則。 |
| 多管理員核准/刪除存取權原則 | 刪除多重管理員核准的存取原則。 |
| 多重管理員核准/讀取存取權原則 | 多重管理員核准的讀取存取權原則。 |
| 多管理員核准/更新存取原則 | 更新多重管理員核准的存取原則。 |
| 組織/創建 | 建立租用戶設定,例如裝置類別和 Exchange 連接器。 |
| 組織/刪除 | 刪除租用戶設定,例如裝置類別和 Exchange 連接器。 |
| 組織/閱讀 | 檢視租用戶設定,例如裝置類別和 Exchange 連接器。 啟用所有註冊工作流程需要此權限。 |
| 組織/更新 | 管理租用戶設定、裝置類別和 Exchange 連接器。 |
| 組織訊息/建立 | 建立組織訊息。 |
| 組織訊息/已讀 | 閱讀組織訊息。 |
| 組織訊息/更新 | 取消組織訊息。 |
| 組織訊息/刪除 | 刪除組織訊息。 |
| 組織訊息/指派 | 指派組織訊息。 |
| 組織訊息/更新組織訊息控制項 | 直接啟用或封鎖來自 Microsoft 的組織訊息,同時允許顯示系統管理員訊息。 |
| 合作夥伴裝置管理/修改 | 設定 Jamf 的合規性連接器。 |
| 合作夥伴裝置管理/讀取 | 檢視 Jamf 的合規性連接器。 |
| 原則集/指派 | 將原則集指派給 Microsoft Entra 安全性群組。 |
| 原則集/建立 | 建立新的原則集。 |
| 原則集/刪除 | 刪除原則集。 |
| 原則集/讀取 | 檢視原則集。 |
| 政策集/更新 | 變更原則集,或將項目新增至原則集。 |
| 安靜時間政策/分配 | 將無訊息時間原則指派給 Azure AD 安全性群組。 |
| 安靜時間政策/創建 | 建立新的靜默時間原則。 |
| 安靜時間原則/刪除 | 刪除靜默時間原則。 |
| 安靜時間政策/讀取 | 檢視裝置靜默時間原則。 |
| 安靜時間政策/更新 | 變更靜默時間原則。 |
| 安靜時間政策/查看報告 | 檢視、產生及匯出靜音時間原則報告。 |
| 遠端協助連接器/讀取 | 檢視 TeamViewer 連接器和遠端說明的狀態。 不需要此權限即可起始裝置的遠端協助要求。 |
| 遠端協助連接器/更新 | 管理 TeamViewer 連接器和遠端說明的狀態。 此權限也需要遠端協助連接器讀取權限,才能檢視 TeamViewer 連接器和遠端說明的狀態。 |
| 遠端協助連接器/檢視報告 | 檢視、產生及匯出遠端說明工作階段,並監視報告。 |
| 遠端說明應用程式/標高 | 提高許可權可讓協助程式在啟用遠端說明時,在共用者的裝置上出現提示時輸入 UAC 認證。 啟用提高許可權也可讓協助程式在共用者授與協助程式存取權時檢視和控制共用者的裝置。 |
| 遠端說明應用程式/完全控制 | [完全控制] 可讓協助程式在啟用遠端說明時檢視和控制共用者的裝置。 |
| 遠端說明應用程式/無人值守控制 | 對於 Android 裝置,無人值守控制會在協助程式選取新工作階段後立即啟動遠端說明,而共用者無需授予存取權。 |
| 遠端說明應用程式/檢視畫面 | 檢視畫面可讓協助程式在啟用遠端說明時檢視共用者的裝置。 |
| 遠端工作/繞過啟動鎖定 | 從受監督的裝置中移除啟動鎖,無需使用者的 Apple ID 和密碼。 如果使用者離開公司並歸還裝置,則可能需要這樣做;如果沒有使用者的 Apple ID 和密碼,則無法重新啟用裝置。 或者,您需要在組織中的裝置重新整理期間,將某些裝置重新指派給不同的部門。 您只能重新指派未啟用啟動鎖定的裝置。 您也必須具有受控裝置讀取權限,才能在 Azure 入口網站 中檢視裝置,才能啟動此遠端工作。 |
| 遠端工作/變更機構單位 | 將 Chrome Enterprise 裝置移至 Google Workspace 網域中的現有機構單位。 |
| 遠程任務/清理電腦版 | 起始全新啟動裝置動作。 此動作會移除 Windows 裝置上安裝的任何應用程式。 |
| 遠端工作/收集診斷 | 收集裝置診斷 |
| 遠端任務/停用遺失模式 | 關閉 iOS 裝置的遺失模式。 |
| 遠端任務/啟用遺失模式 | 在遺失或被盜的 iOS 裝置上啟動遺失模式。 此模式可讓您輸入顯示於裝置鎖定畫面上的訊息及電話號碼。 若要使用遺失模式,裝置必須是處於監督模式的公司擁有的 iOS 裝置。 |
| 遠端工作/啟用 Windows IntuneAgent | 啟用 Windows Intune 代理程式。 |
| 遠端工作/取得檔案保管庫金鑰。 | 取得 Mac FileVault 金鑰。 |
| 遠端工作/起始 Configuration Manager 動作 | 在 Configuration Manager 所管理的裝置上起始遠端動作。 |
| 遠端任務/定位裝置 | 在地圖上查看遺失或被盜的公司擁有裝置的位置。 可以尋找受監督的 iOS/iPadOS 裝置、 (COSU) 的 Android 專用裝置,以及 Windows 裝置。 |
| 遠端工作/管理共用裝置使用者 | 在共用裝置上登出具有目前工作階段的使用者。 此動作不會從共用裝置中刪除使用者,但會強制具有目前工作階段的使用者登出。 |
| 遠端任務/提供遠端協助 | 使用遠端協助提供者,起始與使用者裝置的遠端協助工作階段。 必須為您的租用戶啟用提供者的遠端協助選項。 |
| 遠端任務/播放遺失模式聲音 | 在處於 MDM 遺失模式的裝置上啟動遺失模式響鈴聲音。 |
| 遠程任務/播放聲音以定位丟失的設備 | 播放聲音以定位遺失的 Android 專用裝置,或處於 MDM 遺失模式的 iOS 裝置。 |
| 遠端任務/立即重新啟動 | 起始裝置重新啟動。 這會導致您選擇的裝置重新啟動。 裝置擁有者不會自動收到重新啟動通知,而且他們可能會遺失工作。 |
| 遠端任務/復原 MDM 金鑰 | 使用 TPM 證明起始行動裝置管理 (MDM) 憑證的私密金鑰復原 |
| 遠端工作/移除裝置韌體組態介面管理。 | 允許系統管理員在刪除 Intune 和 Windows Autopilot 記錄之前,從裝置韌體設定介面管理中起始移除裝置。 |
| 遠端任務/遠端鎖定 | 遠端鎖定裝置動作會鎖定裝置。 若要解鎖裝置,裝置擁有者需要輸入密碼。 您可以遠端鎖定已設定 PIN 或密碼的裝置。 沒有 PIN 或密碼的裝置無法遠端鎖定。 |
| 遠端任務/重設密碼 | 啟動強制移除密碼,並要求裝置使用者設定新密碼。 支援 iOS 裝置,以及某些更高版本的 Android 和 Android 工作。 舊版 Android 版本、macOS 或 Windows 不支援。 |
| 遠端工作/淘汰 | 起始裝置的淘汰動作。 也稱為刪除公司數據。 [移除公司數據] 動作會移除受控應用程式數據 ((如果適用)) 使用 Intune 指派的、設定和電子郵件配置檔。 裝置會從 Intune 管理中移除。 這會在裝置下次簽入並接收遠端移除公司資料動作時發生。 刪除公司數據會將用戶的個人數據留在設備上。 |
| 遠端工作/撤銷應用程式授權 | 撤銷與裝置相關聯的任何 iOS VPP 應用程式授權。 |
| 遠端工作/旋轉 BitLockerKeys (預覽) | 起始裝置上 BitLocker 復原密碼的金鑰輪替。 |
| 遠端工作/輪換檔案保管庫金鑰。 | 輪換 Mac FileVault 密鑰。 |
| 遠端工作/輪換本機管理員密碼 | 在裝置上啟動本機管理員密碼的手動輪換 |
| 遠端工作/執行暫停組態重新整理 | 啟動隨需暫停組態重新整理 |
| 遠端工作/執行修復 | 啟動隨需主動補救 |
| 遠端工作/指出遠端裝置動作,以啟動行動裝置管理 (MDM) 證明(如果裝置能夠執行)。 | |
| 遠端任務/發送自訂通知 | 允許管理員向裝置發送自訂通知。 裝置會在公司入口網站中接收通知。 |
| 遠端任務/設定裝置名稱 | 設定或變更裝置名稱。 |
| 遠端工作/關機 | 啟動裝置關機,並自動關閉所有應用程式和正在運行的服務,並使裝置處於關閉電源狀態。 |
| 遠端任務/同步裝置。 | 在裝置上起始同步處理作業,並強制選取的裝置立即簽入 Intune。 當裝置簽入時,它會立即收到指派給它的任何擱置動作或原則。 |
| 遠端任務/更新行動數據方案 | 啟用支援 eSIM 的行動數據 iOS/iPadOS 裝置的數據方案。 |
| 遠端工作/更新裝置帳戶 | 允許變更與 Surface Hub 裝置相關聯的裝置帳戶,並設定驗證選項,例如密碼輪替。 |
| 遠端工作/Windows Defender | 起始 Windows Defender 簽章更新。 |
| 遠端工作/抹除 | 起始裝置抹除。 也稱為恢復出廠設置。 恢復原廠設定動作會將裝置還原為原廠預設設定。 使用者資料會保留或抹除,視您是否選擇保留註冊狀態和使用者帳戶核取方塊而定。 |
| 角色/指派 | 將 Intune 內建或自訂角色指派給 Microsoft Entra 安全性群組 |
| 角色/建立 | 建立新的 Intune 自訂角色。 Intune 會自動建立內建角色。 |
| 角色/刪除 | 刪除自定義 Intune 角色。 您無法刪除內建角色。 |
| 角色/讀取 | 檢視任何內建或自訂 Intune 角色的許可權、角色指派、成員群組和範圍群組。 |
| 角色/更新 | 更新內建或自訂角色的自訂角色權限和角色指派。 角色指派會定義角色的管理員和使用者範圍。 |
| 安全性基準/指派 | 將安全性基準配置檔指派給 Microsoft Entra 安全性群組。 |
| 安全性基準/建立 | 建立新的安全性基準設定檔。 |
| 安全性基準/刪除 | 刪除安全性基準設定檔。 |
| 安全性基準/讀取 | 檢視所有安全性基準工作區的安全性基準設定檔或設定檔報告或範本報告。 |
| 安全性基準/更新 | 更新安全性基準設定檔。 |
| 安全任務/讀取 | 檢視安全性工作。 |
| 安全性工作/更新 | 更新安全性工作。 |
| ServiceNow/Update 連接器 | 更新 ServiceNow 連線。 |
| ServiceNow/檢視事件 | 檢視 ServiceNow 中的事件。 |
| 電信費用/閱讀 | 檢視電信費用合作夥伴連接器的設定和狀態。 電信費用合作夥伴連接器功能已被取代,2025 年 6 月之後將不再支援此權限。 |
| 電信費用/更新 | 修改或啟用電信費用管理合作夥伴連接器。 電信費用合作夥伴連接器功能已被取代,2025 年 6 月之後將不再支援此權限。 |
| 租用戶附加的建議/讀取 | 檢視租用戶附加的建議。 建議是改善網站健康情況和裝置管理體驗的方法。 |
| 條款及細則/轉讓 | 將條款和條件指派給 Microsoft Entra 安全性群組。 |
| 條款和條件/創建 | 建立新的條款和條件。 |
| 條款及細則/刪除 | 刪除現有的條款和條件。 |
| 條款及細則/閱讀 | 查看條款和條件。 |
| 條款及細則/更新 | 管理現有的條款和條件,但不能管理指派。 |
| Windows 企業版憑證/修改 | 新增、移除或修改用來將企業營運應用程式散發至受控 Windows 裝置的程式代碼簽署憑證。 |
| Windows 企業版憑證/讀取 | 檢視用來將企業營運應用程式散發至受控 Windows 裝置的程式碼簽署憑證。 |