Microsoft Entra 自定义角色的设备管理权限

可以在 Microsoft Entra ID 的自定义角色定义中使用设备管理权限,以授予精细访问权限,如下所述:

  • 启用或禁用设备
  • 删除设备
  • 读取 BitLocker 恢复密钥
  • 读取 BitLocker 元数据
  • 读取设备注册策略
  • 更新设备注册策略

本文列出了可以在不同设备管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色

启用或禁用设备

以下权限可用于切换设备状态。

  • microsoft.directory/devices/enable
  • microsoft.directory/devices/disable

读取 BitLocker 恢复密钥

以下权限可用于读取 BitLocker 元数据和恢复密钥。 请注意,此单一权限提供针对 BitLocker 元数据和恢复密钥的读取权限。

  • microsoft.directory/bitlockerKeys/key/read

可以通过从“所有设备”页中选择某个设备,然后选择“显示恢复密钥”来查看 BitLocker 恢复密钥。 有关读取 BitLocker 恢复密钥的详细信息,请参阅查看或复制 BitLocker 密钥

Azure 门户中的 Bitlocker 密钥的屏幕截图。

备注

当利用 Windows Autopilot 的设备被重复使用以加入 Entra,且存在新的设备所有者,则新的设备所有者必须联系管理员以获取该设备的 BitLocker 恢复密钥。 自定义角色或管理单元范围的管理员将失去对已进行设备所有权更改的设备对 BitLocker 恢复密钥的访问权限。 这些限定了范围的管理员需要联系未限定范围的管理员以获取恢复密钥。 有关详细信息,请参阅查找 Intune 设备的主要用户一文。

读取 BitLocker 元数据

以下权限可用于读取所有设备的 BitLocker 元数据。

  • microsoft.directory/bitlockerKeys/metadata/read

你可以读取所有设备的 BitLocker 元数据,但无法读取 BitLocker 恢复密钥。

Azure 门户中的 Bitlocker 元数据的屏幕截图。

读取设备注册策略

以下权限可用于读取租户级设备注册设置。

  • microsoft.directory/deviceRegistrationPolicy/standard/read

可以在 Microsoft Entra 管理中心读取设备设置。

显示 Azure 门户中的“设备设置”页的屏幕截图。

更新设备注册策略

以下权限可用于更新租户级设备注册设置。

  • microsoft.directory/deviceRegistrationPolicy/basic/update

权限的完整列表

读取

权限 说明
microsoft.directory/devices/createdFrom/read 已从物联网 (IoT) 设备模板链接中创建了读取
microsoft.directory/devices/registeredOwners/read 读取设备的已注册所有者
microsoft.directory/devices/registeredUsers/read 读取设备的已注册用户
microsoft.directory/devices/standard/read 读取设备上的基本属性
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
microsoft.directory/bitlockerKeys/metadata/read 读取设备上的 BitLocker 密钥元数据
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性

更新

权限 说明
microsoft.directory/devices/registeredOwners/update 更新设备的已注册所有者
microsoft.directory/devices/registeredUsers/update 更新设备的已注册用户
microsoft.directory/devices/enable 在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/disable 在 Microsoft Entra ID 中禁用设备
microsoft.directory/deviceRegistrationPolicy/basic/update 更新设备注册策略上的基本属性

删除

权限 说明
microsoft.directory/devices/delete 从 Microsoft Entra ID 中删除设备

后续步骤