Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте управление доступом на основе ролей в Центре администрирования Microsoft Intune, чтобы управлять доступом к ресурсам вашей организации и тем, что они могут делать с этими ресурсами.
Встроенные роли
Автопатка Windows позволяет управлению доступом на основе ролей использовать наименее привилегированный доступ для распространения и делегирования управления клиентский компонент Центра обновления Windows в Microsoft Intune.
Важно.
Для успешного управления автозапавлением Windows в качестве роли с более низкими привилегиями пользователь должен иметь разрешения Администратор автоматического исправления, а также разрешения администратора политик и профилей.
Разрешения, определенные в ролях администратора автопаток Windows или читателя автопаток Windows, используются для управления группами автозаполнения, запросами на поддержку, сообщениями автозаполнения и отчетами об автоматическом исправлении.
Для управления политиками обновления и отчетами клиентский компонент Центра обновления Windows требуется разрешение На конфигурацию устройства. Это разрешение доступно во встроенных ролях, таких как политики и диспетчер профилей.
Роли диспетчера политик и профилей
Роли диспетчера политик и профилей включают разрешения конфигурации устройств для управления политиками Intune, включая следующие политики обновления:
- Круги обновления
- Исправления
- Обновления компонентов
- Обновления драйверов
Администратор автозаполнения Windows
Роль администратора автозаключения Windows управляет всеми аспектами автозаполнения Windows:
- Группы автозамочений
-
Отчеты об автоматическом исправлении
- Отчеты о состоянии обновлений качества и компонентов и тенденциях
- Запросы и сообщения в службу поддержки
Средство чтения автопаток Windows
Средство чтения автопаток Windows может просматривать данные автозаполнения Windows, доступные в Microsoft Intune, но не могут вносить изменения.
Обновление ролей политики
Для управления обновлениями качества Windows, кругами обновлений, обновлением компонентов Windows, обновлением драйверов, Приложения Microsoft 365 и политиками Microsoft Edge пользователь должен иметь полные разрешения на конфигурацию устройств. В следующей таблице приведен полный список ролей управления обновлениями.
| роль Intune | Политики обновления |
|---|---|
| Диспетчер профилей & политик | Чтение и запись |
| Оператор службы поддержки | Read |
| Оператор только для чтения | Read |
| Администратор автоматического исправления | Нет разрешения |
| Средство чтения автопатча | Нет разрешения |
Чтобы успешно управлять автопаттированием Windows в качестве роли с более низкими привилегиями, у пользователя должны быть разрешения на автоматическое исправление Администратор, а также разрешения администратора политики и профиля.
роли Microsoft Entra
Следующие Microsoft Entra роли могут получить доступ к функциям автоматического исправления Windows через портал Microsoft Intune.
| роль Microsoft Entra | Все данные автозаполнения Windows | Автоматическое исправление Windows для администрирования > клиента |
|---|---|---|
| Глобальный администратор | Чтение и запись | Чтение и запись |
| Администратор службы Intune | Чтение и запись | Чтение и запись |
| Глобальное средство чтения | Read | Read |
| Администратор службы поддержки | Нет разрешения | Read Администрирование клиента/Автоматическое исправление Windows/Все |
| Администратор безопасности | Нет разрешения | Read Администрирование клиента/Автоматическое исправление Windows/Все |
| Средство чтения безопасности | Нет разрешения | Read Администрирование клиента/Автоматическое исправление Windows/Все |
| Администратор выставления счетов | Нет разрешения | Read Администрирование клиента/Автоматическое исправление Windows/Все |
| Администратор службы поддержки | Нет разрешения | Read Администрирование клиента/Автоматическое исправление Windows/Все |
Пользовательские роли
Можно создать две настраиваемые роли, которые включают разрешения, необходимые для определенной роли задания.
Чтобы обеспечить управление всеми обновлениями, убедитесь, что группы, назначенные настраиваемой роли автозаписи, также являются членами роли диспетчера профилей политики & или настраиваемой роли с эквивалентными разрешениями.
Перейдите в раздел Администрирование> клиентаРоли>Создание настраиваемой роли>Windows Autopatch, чтобы создать настраиваемую роль.
| Разрешение | Описание |
|---|---|
| Назначение ролей или создание | Создайте роль автозаполнения для операций, выполняемых с ресурсами автозаполнения. |
| Назначения ролей и обновление | Обновите роль для автоматического исправления, где операции редактирования выполняются в ресурсах автозаполнения. |
| Назначения ролей и удаление | Роль удаления для автозапамяти, где операции удаления выполняются для ресурсов автозаполнения. |
| Роли/чтение | Просмотр разрешений, определений ролей и назначений ролей для роли автозаполнения. Операция просмотра или действия выполняются для ресурсов автозаполнения. |
| Автоматическое исправление групп и чтение | Чтение групп автозаполнения и их свойств. |
| Автоматическое исправление групп/создание | Создание групп автозаполнения, добавление назначений групп и настройка параметров выпуска. |
| Автоматическое исправление групп и изменение | Изменение групп автозаполнения, изменение параметров выпуска и управление назначениями групп. |
| Автоматическое исправление групп и удаление | Удаление групп автозаполнения. |
| Отчеты и чтение | Чтение и экспорт отчетов о качестве и обновлении компонентов автоматического исправления. |
| Отчеты и обнаруженияУстройства | Позволяет действию отчета об устройстве обнаруживать устройства. |
| Reports/AssignRing | Разрешает назначение круга устройства группам автозамочений. |
| Отчеты/ExcludeDevices | Выполните действие исключения устройств в отчетах об устройствах. |
| Reports/RestoreExcludedDevices | Выполните действие "Восстановление" в отчетах об устройстве. |
| Запросы на поддержку и чтение | Чтение существующих запросов и ответов в службу поддержки autopatch. |
| Сообщения и чтение | Чтение опубликованных сообщений панели мониторинга автозаполнения и работоспособности служб. |
Области
Автопатка Windows поддерживает теги Intune область и группы с областью действия, которые будут использоваться для распределенного управления обновлениями. Используйте Microsoft Intune для создания тегов область и управления ими.
- Автоматическое исправление Windows поддерживает Intune область для групп автозаполнения, назначений ролей автозаполнения, политик обновления и отчетов.
- Автоматическое исправление сообщений, поддержка и Администратор контакты не поддерживают области.
- Группы автозаполнения, созданные администраторами области, назначаются тем же область тегам, что и пользователь.
- Только администраторы с ограниченной областью, с теми же область тегами, назначенными им, могут изменять группы автозаписи и управлять ими.
- При создании групп автозаполнения и назначении тегов область созданные политики обновления наследуют те же область теги.
- Устройства, назначенные группам автозаписи, не наследуют группу автозаписи область тегов. Используйте Intune для назначения тега область устройствам.
Разрешения для групп автозаполнения
Группы автозаполнения создают Microsoft Entra группы и обновляют политики и назначают их группе в рамках рабочего процесса. Для успешного завершения рабочего процесса требуются оба разрешения. Параметр для создания групп автозаполнения доступен только в том случае, если у пользователя включены оба разрешения.
- Конфигурация устройства, все разрешения
- Группа автоматического исправления Windows, все разрешения
Группы автозаполнения Windows, которым назначены теги области, видны только пользователям с этими область тегами. Это гарантирует, что ИТ-администратор может управлять развертыванием на основе кругов с помощью групп автозаполнения и не влияет на область несоответствия.
Примечание.
Рабочий процесс группы автозаполнения создает круги развертывания и назначает им политики обновления. Если роль Автопатка включает все устройства в область, роль администрирования политики должна содержать все устройства и все пользователи в область.
Отсутствие Microsoft Entra разрешений может помешать вошедший в систему пользователь создавать группы. Пользователь должен иметь достаточно разрешений для создания групп. Дополнительные сведения см. в разделах Настройка самостоятельного управления группами или Создание разрешений групп.
Когда пользователю назначены группы с заданной областью, он может назначать только группы с заданной областью для распространения по кругам развертывания.
Администраторы с ограниченной областью и группы автозаполнения
В Intune администраторов с ограниченной областью только пользователь-администратор, которому назначены определенные область теги и группы с заданной областью, может назначать политики только группам с областью.
Примечание.
Intune администраторы или администраторы обновлений с областями "Все устройства" и "Все пользователи" не могут видеть рабочий процесс ожидающего назначения. Это касается только ролей, которым назначены области через определенные группы с заданной областью.
Администраторы с ограниченной областью и рабочий процесс группы автозаполнения
В рамках рабочего процесса создания группы автоматического исправления Windows автопамять создает Microsoft Entra группы и политики обновления для выбранных параметров развертывания. Чтобы назначить политики обновления только что созданным кругам развертывания, необходимо включить группу автопатчи в качестве группы с областью действия в роль, содержащую разрешения конфигурации устройства.
Примечание.
Администратор Intune или администратор ролей должен назначить только что созданную группу автопаттирования Windows в качестве группы с заданной областью, прежде чем группа автопаток может быть использована Администратор с заданной областью.
После добавления группы автопатчи в состоянии ожидания назначения в качестве группы с заданной областью администратор может назначить политики обновления, которые группа автозапачка станет активной.
В следующей таблице описан рабочий процесс высокого уровня:
| Шаг | Описание | Кто |
|---|---|---|
| Шаг 1. Создание группы автозаполнения | Создайте группу автозаполнения. Группы автоматического исправления регистрируют устройства с помощью службы автопатрумирования Windows при создании или изменении группы автозаполнения. Создаются группа автозаполнения, круги развертывания и политики обновления. Политики обновлений можно просмотреть в разделе Обновления Windows. |
Администратор с ограниченной областью |
| Шаг 2. Обратитесь к администратору Intune или администратору ролей, чтобы назначить родительскую группу autopatch в качестве группы с областью действия для вашей роли | Включите следующие сведения:
|
Администратор с ограниченной областью |
| Шаг 3. Назначьте родительскую группу автозаполнения в качестве группы с областью действия для роли с разрешением "Конфигурация устройства" | Добавьте родительский элемент Autopatch в качестве группы с областью с помощью команды Назначить группу с областью. | администратор Intune или администратор роли Intune |
| Шаг 4. Завершение назначений политик, чтобы группы автозапамяти были готовы к использованию | Выберите Завершить назначения группы , если группа автозаполнения остается в состоянии ожидания назначения, а шаг Назначить группу с областью еще не завершен. После успешного назначения политики группа автозаполнения будет настроена как Активная и готова к использованию. Назначение группы с заданной областью может быть доступно не сразу. Это может занять до 10 минут. |
Администратор с ограниченной областью |
Назначение тегов область группам автозаполнения
Примечание.
Если вы назначаете область теги существующим группам автозаполнения, администратор область должен быть включен в качестве группы с областью действия с разрешениями конфигурации устройств для управления группой автопаток.
Автоматическое исправление Windows создает родительскую группу, которая вложена в группу автозаполнения и круги развертывания, которые можно добавить как группу с областью действия. Имя родительской группы можно найти в свойствах группы автозаполнения.
- В Центре администрирования Microsoft Intuneперейдите в раздел Администрирование> клиента. Группы> автозаполнениявыберите группу. Все круги и политики группы автозаполнения имеют одинаковые область.
- В параметре Добавить группу в круг выберите Microsoft Entra группы, назначаемые группе Автозапись. Для выбора доступны только группы с область объектами.
- Перейдите в область свойств >(теги)>Изменить>Выберите область теги> выберите теги, которые нужно добавить в профиль. Объекту можно назначить не более 100 тегов область.
- Раздел Группа области отображается, когда служба обнаруживает группы автозаполнения, созданные до управления доступом на основе ролей. Это означает, что создается группа Microsoft Entra, которую можно добавить как группу с областью действия. Администратор с ограниченной областью может управлять этой группой автозаполнения, если она включена в их область.
- Чтобы назначить группы с заданной областью, выполните действия, описанные в разделе Рабочий процесс администраторов и групп автозаполнения .
- Выберите Просмотр и сохранение.
Известные проблемы
Windows 365 Корпоративная позволяет ИТ-администраторам регистрировать устройства с помощью автоматического исправления Windows в рамках создания политики подготовки Windows 365. Для выполнения этого действия необходимо быть администратором службы Intune.
Общие сведения об устранении неполадок
| Сценарий | Сообщение | Причина | Решение |
|---|---|---|---|
| При попытке создать, изменить или удалить группу автозаполнения появляется сообщение об ошибке. | У вас нет достаточных разрешений на изменение этой группы автозаполнения. Вы можете изменять только группы автозаполнения, которые соответствуют назначенному область. Эта группа автозаписи имеет дополнительные назначенные теги области, которые не соответствуют назначению роли. или Сбой отправки группы автозаполнения, и вошедший в систему пользователь область назначенных тегов. |
Проблема возникает, когда вы редактируете группу автозаполнения, и служба обнаружила несоответствие в тегах область. | Проверьте теги область, назначенные группе автозаписи и назначению политики. Роль назначения политики может иметь больше область тегов, но должна включать все область теги, назначенные группе автозаписи. |
| При выборе устройства и действии Назначить устройство в отчете о членстве в группах автозаполнения появляется сообщение об ошибке. | У вас нет достаточного разрешения или область, необходимых для назначения устройств. | Проблема возникает, когда автозапись не может заполнить список групп автозаписи из-за несоответствия в область тегах. | Проверьте теги область для групп автозаполнения и вашей роли. Убедитесь, что они совместно используют хотя бы один тег область. |
| При выборе устройства и действии Назначить устройство в отчете о членстве в группах автозаполнения появляется сообщение об ошибке. | У вас нет достаточного разрешения группы автозаполнения для выполнения этого действия. Требуется минимальное разрешение на чтение группы автозамечания. | Для перемещения устройств между кругами развертывания автозапамяния требуется разрешение на чтение групп автозаполнения. | Убедитесь, что ваша роль содержит разрешение на автоматическое заполнение группы или чтение. Перейдите в раздел Администрирование > клиента Роли > Мое разрешение. |
| При выборе устройства в отчете о членстве в группах автозаполнения появляется сообщение об ошибке. | Доступ запрещен | У вас нет разрешения Intune на просмотр свойств устройства. | Убедитесь, что ваша роль включает управляемые устройства или разрешение на чтение. Перейдите в раздел Администрирование > клиента Роли > Мое разрешение. |
| Вкладки Выпуски, Круги обновлений и Монитор отображаются только при входе в систему в качестве делегированного администратора автопатрубки Windows. | У вас нет всех необходимых разрешений для просмотра клиентский компонент Центра обновления Windows. | Убедитесь, что ваша роль включает разрешение "Организация" или "Чтение". Перейдите в раздел Администрирование > клиента Роли > Мое разрешение. | |
| При попытке изменить существующую группу автозаполнения, которая недавно была назначена тегу область, появляется сообщение об ошибке. Вы успешно добавили родительскую группу область в роль назначения политики. | У вас нет достаточных разрешений на изменение этой группы автозаполнения. Вы можете изменять только группы автозаполнения, которые соответствуют назначенному область. Эта группа автозаписи имеет дополнительные назначенные теги области, которые не соответствуют назначению роли. | Проблема возникает, когда служба обнаруживает, что вошедший в систему пользователь "Назначенная группа entra" не входит в группу с заданной областью для роли администратора автозаписи. Это происходит с уже существовающими группами автозаполнения. | Добавьте назначенную группу Entra в качестве группы с заданной областью в роль администратора автозаписи. |