租使用者連結用戶端的 Intune 角色型存取控制
適用於:Configuration Manager (目前的分支)
從 Configuration Manager 2207 版開始,您可以在從 Microsoft Intune 系統管理中心與租使用者連結的裝置互動時,使用 Intune 角色型存取控制 (RBAC) 。 例如,使用 Intune 作為角色型存取控制授權單位時,具有技術支援中心操作員角色的使用者不需要指派安全性角色或來自Configuration Manager的其他許可權。 Intune 角色型存取控制會管理Microsoft Intune系統管理中心內所有雲端連結裝置頁面的許可權,例如裝置時間軸、CMPivot和腳本。
重要事項
目前,任何強制執行 Intune 角色型存取控制,以從Microsoft Intune系統管理中心在租使用者連結的裝置上顯示和採取動作都是選擇性的。 我們建議具有雲端連線Configuration Manager環境的所有系統管理員,開始從 Intune 驗證角色型存取控制許可權。
將 Intune 設定為租使用者連結裝置的角色型存取控制授權單位的三個高階步驟如下:
- 從Configuration Manager主控台中,針對雲端連結的用戶端停用Configuration Manager角色型存取控制
- 從 Intune 啟 用管理 雲端連結裝置的使用者權限
- 從 Intune 確認雲端連結裝置 的角色型存取控制 許可權
必要條件
- Configuration Manager 2207 版或更新版本
- 租使用者連結的裝置
限制
- 目前僅使用 Intune 角色型存取控制,從 Microsoft Intune 系統管理中心在租使用者連結的裝置上顯示和採取動作時,不支援範圍設定。
- 目前,使用 Configuration Manager 2207 版的早期更新通道時,僅限雲端使用者無法使用 [軟體更新] 頁面。
針對雲端連結的用戶端停用Configuration Manager角色型存取控制
若要針對租使用者附加使用 Intune 角色型存取控制,而不是Configuration Manager角色型存取控制,請使用下列指示:
從 Configuration Manager 主控台,移至 [系統管理>雲端服務>][雲端附加]。
角色型存取控制選項的位置會根據您的環境是否已連接雲端而有所不同。
- 如果您的環境已連接雲端,請開啟 CoMgmtSettingsProd 的屬性。 如果您沒有將裝置上傳至系統管理中心,請先設定該選項。 如需詳細資訊,請 參閱啟用雲端連結。
- 如果您的環境未連接雲端,請選取 [設定 雲端連結 ] 以開啟 [雲端連結設定精靈]。
在精靈的 [設定上傳] 索引標籤或頁面上,清除[角色型存取控制標題下的下列選項核取方塊:
針對與Configuration Manager互動的雲端主控台要求強制執行 Configuration Manager RBAC Configuration Manager
選擇 [確定 ] 以將變更儲存至 CoMgmtSettingsProd 屬性,或繼續完成 雲端附加精靈。
![Configuration Manager中 CoMgmtSettingsProd 屬性的螢幕擷取畫面。在螢幕擷取畫面中,[設定上傳] 索引標籤會顯示紅色方塊,其中概述角色型存取控制區段。](media/14996522-configure-upload.png#lightbox)
從 Intune 啟用角色型存取控制
若要讓 Intune 管理雲端連結裝置的使用者權限,請使用下列步驟:
- 開啟Microsoft Intune系統管理中心,並以具有角色/更新許可權的使用者身分登入。 如需許可權的詳細資訊,請參閱 Intune 中的自訂角色許可權。
- 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。
- 在橫幅中,選取 [您也可以從 Intune 管理使用者權限]。按一下這裡以深入瞭解此選項。
- [ 使用 Intune RBAC ] 飛出視窗隨即出現。
- 針對 [使用 Intune RBAC] 選項選取 [開啟],然後選擇 [套用]。
- 變更可能需要大約 10 分鐘才會生效。
![Microsoft Intune系統管理中心的 [Microsoft Configuration Manager 連接器和權杖] 頁面螢幕擷取畫面。螢幕擷取畫面中會顯示 [使用 Intune RBAC] 飛出視窗。](media/14996522-connectors-flyout.png#lightbox)
從 Intune 驗證角色型存取控制許可權
將 Intune 設定為角色型存取控制授權單位之後,請確認您角色的許可權。 如有需要,您可以將這些許可權新增至您在 Intune 中建立的 自訂角色 。
- 開啟Microsoft Intune系統管理中心並登入。
- 選取[租使用者系統管理>角色]。
- 選取角色 ,例如應用程式管理員,並檢閱針對 雲端連結裝置列出的許可權。 如有需要,請編輯您在 Intune 中建立之任何 自訂角色 的許可權。
下列 Intune 許可權可控制對Configuration Manager雲端連結裝置的存取:
| 權限 | 描述 | 具有許可權的 Intune 內建角色 |
|---|---|---|
| 雲端連結裝置\檢視集合 | 顯示Configuration Manager雲端連結裝置的 [集合] 頁面 | 應用程式管理員、端點安全性管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視資源總管 | 顯示Configuration Manager雲端連結裝置的 [資源總管] 頁面 | 應用程式管理員、端點安全性管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視時程表 | 顯示Configuration Manager雲端連結裝置的[時程表] 頁面 | 應用程式管理員、端點安全性管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視軟體更新 | 顯示Configuration Manager雲端連結裝置的 [軟體更新] 頁面 | 應用程式管理員、端點安全性管理員、唯讀操作員、學校系統管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視腳本 | 顯示Configuration Manager雲端連結裝置的 [腳本] 頁面 | 端點安全性管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\執行腳本 | 顯示執行腳本動作,並允許使用者在Configuration Manager雲端連結裝置上執行腳本 | 學校系統管理員、技術支援中心操作員 |
| 雲端連結裝置\執行 CMPivot 查詢 | 顯示Configuration Manager雲端連結裝置的CMPivot頁面 | 端點安全性管理員、學校系統管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視用戶端詳細資料 | 顯示Configuration Manager雲端連結裝置的用戶端詳細資料頁面 | 應用程式管理員、端點安全性管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\檢視應用程式 | 顯示Configuration Manager雲端連結裝置的 [應用程式] 頁面 | 應用程式管理員、唯讀操作員、學校系統管理員、原則設定檔管理員、技術支援中心操作員 |
| 雲端連結裝置\採取應用程式動作 | 在 [應用程式] 頁面中顯示應用程式動作,並允許使用者在Configuration Manager雲端連結裝置上採取應用程式動作 | 應用程式管理員、學校系統管理員、技術支援中心操作員 |
| 遠端工作/輪替 BitLockerKeys (預覽) | 在裝置上起始 BitLocker 修復密碼的金鑰輪替。 顯示Configuration Manager雲端連結裝置的 [修復金鑰] 頁面。 | 服務台操作員、端點安全性管理員 |
常見問題集
我有需要存取 Intune 中租使用者連結裝置的僅限雲端使用者,這是否可讓他們存取?
是的。 當使用者僅限雲端時,在此案例中,這表示他們位於Microsoft Entra識別碼中,而且可以存取 Intune,使用 Intune RBAC 可讓他們存取租使用者連結的裝置。
如果我有多個Configuration Manager階層連線到我的租使用者,該怎麼辦?
Microsoft Intune系統管理中心的 [使用 Intune RBAC] 設定適用于租使用者中列出的所有Configuration Manager階層。
如果Configuration Manager和 Intune 設定不相符,會發生什麼事?
如果Intune 中的 [使用 Intune RBAC] 切換設定為 [關閉],則會強制執行Configuration Manager角色型存取,即使已清除[針對與Configuration Manager互動的雲端主控台要求強制執行Configuration Manager RBAC] 核取方塊。 除非Intune 中的 [使用 Intune RBAC] 切換設定為 [開啟],否則停用 [針對與 Configuration Manager 互動的雲端主控台要求強制執行 Configuration Manager RBAC] 選項不會有任何作用。
如果我的測試階層設定為使用 Intune RBAC,但我的生產階層不是,而且它們位於相同的租使用者中,會發生什麼事?
[使用 Intune RBAC] 設定適用于租使用者中列出的所有Configuration Manager階層。 僅限雲端的使用者可以存取從測試階層上傳的租使用者連結裝置,因為您也已清除核取方塊以強制執行Configuration Manager RBAC。 如果僅限雲端的使用者嘗試存取從生產環境上傳的租使用者連結裝置,則會收到錯誤,因為生產裝置正在強制執行 RBAC Configuration Manager。 僅限雲端的使用者會收到類似下列訊息的錯誤: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應