可以在 Microsoft Entra ID 的自定义角色定义中使用设备管理权限,以授予精细访问权限,如下所述:
- 启用或禁用设备
- 删除设备
- 读取 BitLocker 恢复密钥
- 读取 BitLocker 元数据
- 读取设备注册策略
- 更新设备注册策略
本文列出了可以在不同设备管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色。
以下权限可用于切换设备状态。
- microsoft.directory/devices/enable
- microsoft.directory/devices/disable
以下权限可用于读取 BitLocker 元数据和恢复密钥。 请注意,此单一权限提供针对 BitLocker 元数据和恢复密钥的读取权限。
- microsoft.directory/bitlockerKeys/key/read
可以通过从“所有设备”页中选择某个设备,然后选择“显示恢复密钥”来查看 BitLocker 恢复密钥。 有关读取 BitLocker 恢复密钥的详细信息,请参阅查看或复制 BitLocker 密钥。
备注
当利用 Windows Autopilot 的设备被重复使用以加入 Entra,且存在新的设备所有者,则新的设备所有者必须联系管理员以获取该设备的 BitLocker 恢复密钥。 自定义角色或管理单元范围的管理员将失去对已进行设备所有权更改的设备对 BitLocker 恢复密钥的访问权限。 这些限定了范围的管理员需要联系未限定范围的管理员以获取恢复密钥。 有关详细信息,请参阅查找 Intune 设备的主要用户一文。
以下权限可用于读取所有设备的 BitLocker 元数据。
- microsoft.directory/bitlockerKeys/metadata/read
你可以读取所有设备的 BitLocker 元数据,但无法读取 BitLocker 恢复密钥。
以下权限可用于读取租户级设备注册设置。
- microsoft.directory/deviceRegistrationPolicy/standard/read
可以在 Microsoft Entra 管理中心读取设备设置。
以下权限可用于更新租户级设备注册设置。
- microsoft.directory/deviceRegistrationPolicy/basic/update
| 权限 | 说明 |
|---|---|
| microsoft.directory/devices/createdFrom/read | 已从物联网 (IoT) 设备模板链接中创建了读取 |
| microsoft.directory/devices/registeredOwners/read | 读取设备的已注册所有者 |
| microsoft.directory/devices/registeredUsers/read | 读取设备的已注册用户 |
| microsoft.directory/devices/standard/read | 读取设备上的基本属性 |
| microsoft.directory/bitlockerKeys/key/read | 读取设备上的 BitLocker 元数据和密钥 |
| microsoft.directory/bitlockerKeys/metadata/read | 读取设备上的 BitLocker 密钥元数据 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 读取设备注册策略上的标准属性 |
| 权限 | 说明 |
|---|---|
| microsoft.directory/devices/registeredOwners/update | 更新设备的已注册所有者 |
| microsoft.directory/devices/registeredUsers/update | 更新设备的已注册用户 |
| microsoft.directory/devices/enable | 在 Microsoft Entra ID 中启用设备 |
| microsoft.directory/devices/disable | 在 Microsoft Entra ID 中禁用设备 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 更新设备注册策略上的基本属性 |
| 权限 | 说明 |
|---|---|
| microsoft.directory/devices/delete | 从 Microsoft Entra ID 中删除设备 |