Intune 租用戶連結用戶端的角色型訪問控制
適用於:Configuration Manager (目前的分支)
從 Configuration Manager 2207 版開始,您可以在從 Microsoft Intune 系統管理中心與租用戶連結的裝置互動時,使用 Intune 角色型訪問控制 (RBAC) 。 例如,使用 Intune 作為角色型訪問控制授權單位時,具有技術支援中心作員角色的使用者不需要指派安全性角色或來自 Configuration Manager 的其他許可權。 Intune 角色型訪問控制會管理 Microsoft Intune 系統管理中心內所有雲端連結裝置頁面的許可權,例如裝置時間軸、CMPivot 和腳本。
重要事項
目前,從 Microsoft Intune 系統管理中心強制執行 Intune 角色型訪問控制,以在租用戶連結的裝置上顯示和採取動作是選擇性的。 我們建議具有雲端連線 Configuration Manager 環境的所有系統管理員,從 Intune 開始驗證角色型訪問控制許可權。
將 Intune 設定為租用戶連結裝置的角色型訪問控制授權單位的三個高階步驟如下:
- 從 Configuration Manager 主控台,針對雲端連結的用戶端停用 Configuration Manager 角色型訪問控制
- 從 Intune,啟用管理雲端連結裝置的用戶權力
- 從 Intune,確認雲端連結裝置的角色型訪問控制許可權
必要條件
- Configuration Manager 2207 版或更新版本
- 租用戶連結的裝置
限制
- 目前,當只使用 Intune 角色型訪問控制,從 Microsoft Intune 系統管理中心在租用戶連結的裝置上顯示和採取動作時,不支援範圍設定。
- 目前,使用 Configuration Manager 2207 版的早期更新通道時,僅限雲端用戶無法使用 [軟體更新] 頁面。
針對雲端連結的用戶端停用 Configuration Manager 角色型訪問控制
若要針對租使用者附加使用 Intune 角色型訪問控制,而不是 Configuration Manager 角色型訪問控制,請使用下列指示:
從 Configuration Manager 主控台,移至 [系統管理>雲端服務>][雲端附加]。
角色型訪問控制選項的位置會根據您的環境是否已連接雲端而有所不同。
- 如果您的環境已連接雲端,請開啟 CoMgmtSettingsProd 的屬性。 如果您沒有將裝置上傳至系統管理中心,請先設定該選項。 如需詳細資訊,請 參閱啟用雲端連結。
- 如果您的環境未連接雲端,請選取 [設定 雲端連結 ] 以開啟 [雲端鏈接設定精靈]。
在精靈的 [設定上傳] 索引卷標或頁面上,清除 [角色型 存取控制標題下的下列選項複選框:
針對與 Configuration Manager 互動的雲端控制台要求強制執行 Configuration Manager RBAC Configuration Manager
選擇 [確定 ] 以將變更儲存至 CoMgmtSettingsProd 屬性,或繼續完成 雲端附加精靈。
![Configuration Manager 中 CoMgmtSettingsProd 屬性的螢幕快照。在螢幕快照中,[設定上傳] 索引標籤會顯示紅色方塊,其中概述角色型訪問控制區段。](media/14996522-configure-upload.png#lightbox)
從 Intune 啟用角色型訪問控制
若要讓 Intune 管理雲端連結裝置的用戶權力,請使用下列步驟:
- 開啟 Microsoft Intune 系統管理中心,並以具有角色/更新許可權的使用者身分登入。 如需許可權的詳細資訊,請參閱 Intune 中的自定義角色許可權。
- 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。
- 在橫幅中,選取 [您也可以從 Intune 管理用戶權力。按兩下這裡以深入瞭解此選項。
- [使用 Intune RBAC 飛出視窗隨即出現。
- 針對 [使用 Intune RBAC] 選項選取 [開啟],然後選擇 [套用]。
- 變更可能需要大約 10 分鐘才會生效。
![Microsoft Intune 系統管理中心內 Microsoft Configuration Manager 連接器和令牌頁面的螢幕快照。螢幕快照中會顯示 [使用 Intune RBAC] 飛出視窗。](media/14996522-connectors-flyout.png#lightbox)
確認來自 Intune 的角色型訪問控制許可權
一旦 Intune 設定為角色型訪問控制授權單位,請確認您角色的許可權。 如有需要,您可以將這些許可權新增至您在 Intune 中建立的自定義角色。
- 開啟 Microsoft Intune 系統管理中心並登入。
- 選取 [租用戶系統管理>角色]。
- 選取角色 ,例如應用程式管理員,並檢閱針對 雲端連結裝置列出的許可權。 如有需要,請編輯您在 Intune 中建立之任何自定義角色的許可權。
下列 Intune 許可權可控制對 Configuration Manager 雲端連結裝置的存取:
| 權限 | 描述 | Intune 具有許可權的內建角色 |
|---|---|---|
| 雲端連結裝置\檢視集合 | 顯示 Configuration Manager 雲端連結裝置的 [集合] 頁面 | 應用程式管理員、端點安全性管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\檢視資源總管 | 顯示 Configuration Manager 雲端連結裝置的 [資源總管] 頁面 | 應用程式管理員、端點安全性管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\檢視時程表 | 顯示 Configuration Manager 雲端連結裝置的 [時程表] 頁面 | 應用程式管理員、端點安全性管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\檢視軟體更新 | 顯示 Configuration Manager 雲端連結裝置的 [軟體更新] 頁面 | 應用程式管理員、端點安全性管理員、只讀作員、學校系統管理員、技術支援中心作員 |
| 雲端連結裝置\檢視腳本 | 顯示 Configuration Manager 雲端連結裝置的 [腳本] 頁面 | 端點安全性管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\執行腳本 | 顯示執行腳本動作,並允許使用者在 Configuration Manager 雲端連結裝置上執行腳本 | 學校系統管理員、技術支援中心作員 |
| 雲端連結裝置\執行 CMPivot 查詢 | 顯示 Configuration Manager 雲端連結裝置的 CMPivot 頁面 | 端點安全性管理員、學校系統管理員、技術支援中心作員 |
| 雲端連結裝置\檢視用戶端詳細數據 | 顯示 Configuration Manager 雲端連結裝置的用戶端詳細數據頁面 | 應用程式管理員、端點安全性管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\檢視應用程式 | 顯示 Configuration Manager 雲端連結裝置的 [應用程式] 頁面 | 應用程式管理員、只讀作員、學校系統管理員、原則配置檔管理員、技術支援中心作員 |
| 雲端連結裝置\採取應用程式動作 | 在[應用程式] 頁面中顯示應用程式動作,並允許使用者在 Configuration Manager 雲端連結裝置上採取應用程式動作 | 應用程式管理員、學校系統管理員、技術支援中心作員 |
| 遠端工作/輪替 BitLockerKeys (預覽) | 在裝置上起始 BitLocker 修復密碼的金鑰輪替。 顯示 Configuration Manager 雲端連結裝置的 [修復金鑰] 頁面。 | 服務台作員、端點安全性管理員 |
常見問題集
我有僅限雲端的使用者需要存取 Intune 中的租用戶連結裝置,這是否可讓他們存取?
是。 當使用者僅限雲端時,在此案例中,這表示他們 Microsoft Entra ID 且可以存取 Intune,使用 Intune RBAC 可讓他們存取租用戶連結的裝置。
如果我有多個 Configuration Manager 階層連線到我的租使用者,該怎麼辦?
Microsoft Intune 系統管理中心的 [使用 Intune RBAC] 設定適用於租使用者中列出的所有 Configuration Manager 階層。
如果 Configuration Manager 和 Intune 設定不相符,會發生什麼事?
如果 Intune 中的 [使用 Intune RBAC] 切換設定為 [關閉],則會強制執行 Configuration Manager 角色型存取,即使與互動的雲端控制台要求強制執行 Configuration Manager RBACConfiguration Manager 會清除複選框。 停用 [針對與 Configuration Manager 互動的雲端控制台要求強制執行 Configuration Manager RBAC] 選項不會有任何作用,直到 [在 Intune 中使用 Intune RBAC] 切換設定為 [開啟]。
如果我的測試階層設定為使用 Intune RBAC,但我的生產階層不是,而且它們位於相同的租使用者中,會發生什麼事?
[使用 Intune RBAC] 設定適用於租使用者中列出的所有 Configuration Manager 階層。 僅限雲端的使用者可以存取從測試階層上傳的租用戶連結裝置,因為您也已清除複選框來強制執行 Configuration Manager RBAC。 如果僅限雲端的用戶嘗試存取從生產環境上傳的租用戶連結裝置,則會收到錯誤,因為生產裝置正在強制執行 Configuration Manager RBAC。 僅限雲端的使用者會收到類似下列訊息的錯誤: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.