保護對組織的存取是重要的安全步驟。 本文介紹使用 Microsoft Intune 角色型存取控制 (RBAC) 的基本詳細數據,這是 Microsoft Entra ID RBAC 控制項的延伸模組。 後續文章可協助您在組織中部署 Intune RBAC。
使用 Intune RBAC,您可以將細微的許可權授與系統管理員,以控制誰可以存取組織的資源,以及他們可以使用這些資源執行的動作。 當您指派 Intune RBAC 角色並遵循最低許可權存取原則時,您的系統管理員只能在他們應該被授權管理的使用者和裝置上執行指派的工作。
RBAC 角色
每個 Intune RBAC 角色都會指定一組可供指派給該角色的使用者使用的許可權。 權限由一或多個管理類別組成,例如 裝置組態 或 稽核資料,以及可採取的動作集,例如 讀取、 寫入、 更新和 刪除。 它們一起定義了 Intune 內系統管理存取和許可權的範圍。
Intune 包含內建和自訂角色。 內建角色在所有租用戶中都相同,並提供來解決常見的系統管理案例,而您建立的自訂角色則允許系統管理員視需要提供特定權限。此外,數個 Microsoft Entra 角色包含 Intune 內的許可權。
若要在 Intune 系統管理中心檢視角色,請移至 租用戶系統管理>角色>[所有角色]> ,然後選取角色。 然後,您可以透過下列頁面管理該角色:
- 屬性:角色的名稱、描述、權限和範圍標籤。 您也可以在本文件中的內建角色 權限中檢視內建角色的名稱、描述和權限。
- 指派:選取 角色的指派 ,以檢視其詳細資料,包括指派包含的群組和範圍。 一個角色可以有多個指派,而且使用者可以接收多個指派。
注意事項
2021 年 6 月,Intune 開始支援 未經授權的系統管理員。 在此變更之後建立的使用者帳戶可以在沒有指派授權的情況下管理 Intune。 在此變更之前建立的帳戶,以及指派給角色的巢狀安全性群組中的系統管理員帳戶,仍需要授權來管理 Intune。
內建角色
具有足夠許可權的 Intune 系統管理員可以將任何 Intune 角色指派給使用者群組。 內建角色授予執行與角色目的相符的管理任務所需的特定權限。 Intune 不支援編輯內建角色的描述、類型或許可權。
- 應用程式管理員:管理行動和託管應用程序,可以讀取裝置資訊並可以查看裝置設定檔。
- 端點權限管理員:在 Intune 主控台中管理端點權限管理原則。
- 端點許可權讀取者:端點許可權讀取者可以在 Intune 主控台中檢視端點權限管理原則。
- 端點安全性管理員:管理安全性與合規性功能,例如安全性基準、裝置合規性、條件式存取和適用於端點的 Microsoft Defender。
- 服務台操作員:在使用者和裝置上執行遠端任務,並可以將應用程式或策略指派給使用者或裝置。
- Intune 角色管理員:管理自訂 Intune 角色,並新增內建 Intune 角色的指派。 這是唯一可以將許可權指派給系統管理員的 Intune 角色。
- 原則和設定檔管理員:管理合規性原則、設定描述檔、Apple 註冊、公司裝置識別碼和安全基準。
- 唯讀操作員:檢視使用者、裝置、註冊、組態和應用程式資訊。 無法變更 Intune。
- 學校系統管理員:學校系統管理員會在適用於 教育的 Intune 中管理其群組的應用程式、設定和裝置。 他們可以在裝置上採取遠端動作,包括遠端鎖定裝置、重新啟動裝置,以及從管理中淘汰裝置。
當您的租用戶包含 Windows 365 的訂用帳戶以支援雲端電腦時,您也會在 Intune 系統管理中心看到下列雲端電腦角色。 這些角色預設無法使用,並包含 Intune 內與雲端電腦相關工作的許可權。 如需這些角色的詳細資訊,請參閱 Windows 365 檔中的雲端電腦內建角色。
- 雲端電腦系統管理員:雲端電腦系統管理員具有位於雲端電腦區域內所有雲端電腦功能的 讀取 和 寫入 存取權。
- 雲端電腦讀取器:雲端電腦讀取器具有位於雲端電腦區域內所有雲端電腦功能的 讀取 存取權。
自訂角色
您可以建立自己的自定義 Intune 角色,只授與系統管理員其工作所需的特定許可權。 這些自定義角色可以包含任何 Intune RBAC 許可權,允許精簡系統管理員存取,並支援組織內最低許可權存取原則。
請參閱 建立自訂角色。
具有 Intune 存取權的 Microsoft Entra 角色
Intune RBAC 許可權是 Microsoft Entra RBAC 許可權的子集。 作為子集,有一些 Microsoft Entra 角色包含 Intune 內的許可權。 大部分有權存取 Intune 的 Entra ID 角色都會被視為特殊許可權角色。 特殊許可權角色的使用和指派應該受到限制,而且不會用於 Intune 內的日常系統管理工作。
Microsoft 建議遵循最少許可權的原則,只指派系統管理員執行其職責所需的最低許可權。 若要支援此原則,請使用 Intune 的內建 RBAC 角色來執行日常 Intune 系統管理工作,並避免使用可存取 Intune 的 Microsoft Entra 角色。
下表識別有權存取 Intune 的 Microsoft Entra 角色,以及其中包含的 Intune 許可權。
| Microsoft Entra 角色 | 所有 Intune 資料 | Intune 稽核資料 |
|---|---|---|
全域管理員  |
可讀寫的。 | 可讀寫的。 |
| Intune 服務系統管理員 |
可讀寫的。 | 可讀寫的。 |
| 條件式存取系統管理員 |
無 | 無 |
| 「安全性管理員 |
唯讀 (Endpoint Security 節點) 的完整管理權限 | 唯讀 |
| Security Operator |
唯讀 | 唯讀 |
| 安全性讀取者 |
唯讀 | 唯讀 |
| 合規性系統管理員 | 無 | 唯讀 |
| 合規性資料系統管理員 | 無 | 唯讀 |
| 全域讀取者 (此角色相當於 Intune 技術支援中心操作員 角色) |
唯讀 | 唯讀 |
| 技術支援人員系統管理員特殊 (此角色相當於 Intune 技術支援中心操作員 角色) |
唯讀 | 唯讀 |
| 報告讀取者 | 無 | 唯讀 |
除了在 Intune 內具有許可權的 Microsoft Entra 角色之外,Intune 的下列三個區域是 Microsoft Entra 的直接延伸模組:使用者、群組和條件式存取。 從 Intune 內建立的這些物件和設定實例存在於 Microsoft Entra 中。 作為 Microsoft Entra 物件,它們可以由具有 Microsoft Entra 角色所授與的足夠許可權的 Microsoft Entra 系統管理員管理。 同樣地,具有足夠 Intune 許可權的 Intune 系統管理員可以檢視和管理在 Microsoft Entra 中建立的這些物件類型。
全域系統管理員和 Intune 系統管理員角色
全域系統管理員角色是 Microsoft Entra 中的內建角色,而且具有 Microsoft Intune 的完整存取權。 全域系統管理員可以存取 Microsoft Entra ID 中的系統管理功能,以及使用 Microsoft Entra 身分識別的服務,包括 Microsoft Intune。
為了降低風險:
請勿在 Intune 中使用全域系統管理員角色。 Microsoft 不建議使用全域系統管理員角色來管理或管理 Intune。
Intune 中有一些功能需要全域系統管理員角色,例如一些行動威脅防禦 (MTD) 連接器。 在這些情況下,只有在必要時才使用全域管理員角色,然後在工作完成時將其移除。
使用 Intune 內建角色 或建立 自訂角色 來管理 Intune。
指派系統管理員執行其工作所需的最低許可權 Intune 角色。
若要深入瞭解 Microsoft Entra 全域系統管理員角色,請參閱 Microsoft Entra 內建角色 - 全域管理員。
Intune 系統管理員角色是 Microsoft Entra 中的內建角色,也稱為 Intune 服務系統管理員角色。 它有有限的許可權範圍來管理和管理 Intune,以及管理相關功能,例如使用者和群組管理。 此角色適用於只需要管理 Intune 的系統管理員。
為了降低風險:
- 僅視需要指派 Intune 系統管理員角色。 如果有符合系統管理員需求的 內建 Intune 角色 ,請指派該角色,而不是 Intune 系統管理員角色。 一律指派系統管理員執行其工作所需的最低許可權 Intune 角色。
- 建立 自訂角色 ,以進一步限制系統管理員的權限範圍。
增強的安全控制:
多重管理員核准現在支援以角色為基礎的存取控制。 開啟此設定時,第二個管理員必須核准角色變更。 這些變更可能包括對角色權限、管理員群組或成員群組指派的更新。 變更只有在核准後才會生效。 此雙重授權程式有助於保護您的組織免受未經授權或意外的角色型存取控制變更的影響。 如需詳細資訊,請參閱 在 Intune 中使用多重管理員核准。
若要深入瞭解 Microsoft Entra Intune 系統管理員角色,請參閱 Microsoft Entra 內建角色 - Intune 系統管理員。
適用於 Intune 的 Privileged Identity Management
當您使用 Entra ID Privileged Identity Management (PIM) 時,您可以管理使用者何時可以使用 Intune RBAC 角色或 Intune 系統管理員角色所提供的許可權來自 Entra ID。
Intune 支援兩種角色提高許可權的方法。 這兩種方法之間存在效能和最低權限差異。
方法 1:使用 Microsoft Entra 內建 Intune 系統管理員角色的 PIM) 建立 Just-In-Time (JIT) 原則Microsoft Entra Privileged Identity Management (,並為其指派系統管理員帳戶。
方法 2:針對具有 Intune RBAC 角色指派的群組利用Privileged Identity Management (PIM) 。 如需針對具有 Intune RBAC 角色的群組使用 PIM 的詳細資訊,請參閱:使用 Microsoft Entra PIM for Groups 設定 Microsoft Intune Just-In-Time 系統管理員存取權 |Microsoft 社群中心
當您從 Entra ID 針對 Intune 系統管理員角色使用 PIM 提高許可權時,提高許可權通常會在 10 秒內發生。 Intune 內建或自訂角色的 PIM 群組型提高許可權通常最多需要 15 分鐘才能套用。
關於 Intune 角色指派
Intune 自定義和內建角色都會指派給使用者群組。 指派的角色會套用至群組中的每個使用者,並定義:
- 哪些使用者會指派給角色
- 他們可以看到哪些資源
- 他們可以改變哪些資源。
指派 Intune 角色的每個群組應該只包含授權執行該角色系統管理工作的使用者。
- 如果最低許可權的內建角色授與過多的許可權或許可權,請考慮使用自訂角色來限制系統管理存取的範圍。
- 規劃角色指派時,請考量具有 多個角色指派的使用者的結果。
若要讓使用者獲指派 Intune 角色,並有權管理 Intune,如果其帳戶是在 2021 年 6 月之後在 Entra 中建立, 則 不需要 Intune 授權。 在 2021 年 6 月之前建立的帳戶確實需要指派授權才能使用 Intune。
若要檢視現有的角色指派,請選擇 [Intune>租使用者系統管理>角色] [>所有角色]> 選擇角色 >[指派]> 選擇指派。 在指派內容 頁面 上,您可以編輯:
基本:工作名稱和描述。
成員:成員是在建立角色指派時在「管理員群組」頁面上設定的群組。 列出的 Azure 安全性群組中的所有使用者都有權管理 [範圍 (群組]) 中列出的使用者和裝置。
範圍 (群組) :使用範圍 (群組) 來定義具有此角色指派的系統管理員可以管理的使用者和裝置群組。 具有此角色指派的系統管理使用者可以使用角色所授與的許可權,來管理角色指派定義範圍群組內的每個使用者或裝置。
提示
當您設定範圍群組時,請只選取包含具有此角色指派的系統管理員應該管理之使用者和裝置的安全性群組,以限制存取權。 若要確保具有此角色的系統管理員無法以所有使用者或所有裝置為目標,請勿選取 [ 新增所有使用者 ] 或 [ 新增所有裝置]。
如果您為原則或應用程式指派等指派指定排除群組,則必須巢狀化在其中一個 RBAC 指派範圍群組中,或需要在 RBAC 角色指派中個別列為範圍群組。
範圍標籤:獲指派此角色指派的系統管理使用者可以看到具有相同範圍標籤的資源。
注意事項
範圍標籤是管理員定義的自由格式文字值,然後新增至角色指派。 角色上新增的範圍標籤可控制角色本身的可見度。 角色指派中新增的範圍標籤會將 Intune 物件的可見度限制為該角色指派中的系統管理員,因為角色指派包含一或多個相符的範圍標籤。
多個角色指派
如果使用者有多個角色指派、權限和範圍標籤,則這些角色指派會延伸至不同的物件,如下所示:
- 如果兩個或多個角色將權限授與相同物件,則權限是累加式的。 例如,具有一個角色的讀取權限和另一個角色的讀取/寫入權限的使用者具有讀取/寫入的有效權限 (假設兩個角色的指派都以相同的範圍標籤為目標) 。
- 指派權限和範圍標籤只會套用至該角色指派中) 的物件 (例如原則或應用程式 [範圍 (群組) 。 指派權限和範圍標籤不會套用至其他角色指派中的物件,除非其他指派特別授與它們。
- 其他權限 (,例如建立、讀取、更新、刪除) 和範圍標籤,會套用至相同類型的所有物件 (例如任何使用者指派中) 的所有原則或所有應用程式。
- 不同類型物件的許可權和範圍標籤 (例如原則或應用程式) ,不會彼此套用。 例如,原則的讀取許可權不會為使用者指派中的應用程式提供讀取許可權。
- 當沒有任何範圍標籤或從不同指派指派某些範圍標籤時,使用者只能看到屬於某些範圍標籤一部分的裝置,而且無法看到所有裝置。
監視 RBAC 指派
這三個小節正在進行中
在 Intune 系統管理中心內,您可以移至 [租用戶系統管理員>角色 ],然後展開 [監視] ,以尋找數個檢視,以協助您識別不同使用者在 Intune 租用戶內擁有的許可權。 例如,在複雜的管理環境中,您可以使用管理員權限檢視來指定帳戶,以便查看其目前的管理權限範圍。
我的權限
當您選取此節點時,您會看到授與帳戶之目前 Intune RBAC 類別和許可權的合併清單。 此合併清單包含所有角色指派的所有許可權,但不包括哪些角色指派提供這些許可權,或由哪些群組成員資格指派。
權限角色
透過此檢視,您可以查看特定 Intune RBAC 類別和許可權的詳細數據,以及透過哪些角色指派,以及該組合可供哪些群組使用。
若要開始使用,請選取 Intune 許可權類別,然後從該類別選取特定許可權。 系統管理中心接著會顯示導致指派該許可權的實例清單,其中包括:
- 角色顯示名稱 — 授與許可的內建或自訂 RBAC 角色名稱。
- 角色指派顯示名稱 — 將角色指派給使用者群組的角色指派名稱。
- 群組名稱 — 接收該角色指派的群組名稱。
管理員權限
使用 [管理員許可權] 節點來識別帳戶目前授與的特定許可權。
首先指定 使用者 帳戶。 只要使用者已將 Intune 許可權指派給其帳戶,Intune 就會顯示類別和許可權所識別之許可權的完整清單。
