Microsoft 本周悄然发布了 2026 年较具影响力的 Intune 变更之一——大多数组织尚未注意到。从 5 月 26 日那周起,您的租户中每个 Intune RBAC 角色现在在 Intune 作为数据源启用时自动继承 Security Copilot 访问权限。无需单独的角色分配。无需额外的配置步骤。直接访问。
这是 AI 驱动的端点管理在您的环境中落地方式的一次重大转变——其影响远超便利性。
变更内容
在此更新之前,让您的 Intune 管理员获得 Security Copilot 功能访问权限需要在 Security Copilot 中显式分配角色,或拥有 Microsoft Entra ID 中的广泛角色如 Intune Administrator。实际上,这种两步模式意味着大多数 Intune 管理员——尤其是帮助台人员、一线支持和范围受限的端点工程师——根本没有进入 Intune 中 AI 协助的途径。Intune 中的 Copilot 实际上只服务于那些已投资于 Security Copilot 访问配置的人。
截至 2026 年 5 月 26 日那周,此情况自动改变:
- Microsoft Entra ID Intune Administrator 角色现在自动继承 Intune 中 Copilot 的 Security Copilot Owner 访问权限
- 所有其他内置和自定义 Intune RBAC 角色现在自动继承 Security Copilot Contributor 访问权限
触发条件:必须在 Security Copilot 中将 Intune 启用为数据源。配置完成后,继承是自动的——无需额外的角色配置。
对企业 IT 的重要性
采用障碍已消除
权限摩擦是 Intune 中的 Copilot 在大多数组织中未能获得广泛采用的最大单一原因。大规模运行 Intune 的 IT 团队——管理数百台设备、复杂的 RBAC 结构和严格的变更控制——不会为端点团队逐一配置 Security Copilot 角色。
Microsoft 已消除该障碍。当您的组织在 Security Copilot 中启用 Intune 数据源时,整个 Intune 管理员群体都获得 AI 协助。这意味着漏洞修复代理、设备调查摘要、PowerShell 脚本的变更审查代理以及 Copilot 的其他功能,对真正从事端点管理工作的人员可用——而不仅限于少数特权用户。
Intune 中的 Copilot 实际做什么
Intune 中的 Security Copilot 不是附加在管理中心上的聊天机器人。它是一组嵌入式、工作流特定的 AI 功能:
- 漏洞修复代理:跨受管设备分析 CVE,按严重程度和暴露程度排序,并生成逐步修复指导,直接映射到 Intune 策略和配置文件。它定期运行并跟踪修复进度。
- 变更审查代理:在 Windows PowerShell 脚本的多重管理员审批体验中直接提供基于风险的推荐——现在可在 My requests 和 All requests 选项卡上内联使用。
- 设备调查摘要:以自然语言总结设备合规、风险和配置状态——缩短诊断不合规设备所需时间。
- Security Store 代理:来自 Microsoft Security Store 的模块化 AI 代理,可自动化特定安全工作流——从事件分诊到条件访问优化。
这是面向端点管理的实用 AI。是那种减少漏洞停留时间和缩短调查周期——而非仅"生成策略描述"助手的 AI。
组织现在应该做什么
1. 立即审计您的 Intune RBAC 分配
这是最关键的即时行动。在此变更之前,过于宽泛的 Intune RBAC 分配只是管理上的不便。现在它还是 Security Copilot 访问授权。
如果您的用户拥有超出所需的 Intune RBAC 角色——例如拥有完整设备管理权限的帮助台人员——当您的组织启用 Intune 数据源时,这些用户将自动继承 Security Copilot Contributor 访问权限。现在,在启用数据源之前,请根据最小特权原则审查您的角色分配。
需要回答的关键问题:
- 谁在 Microsoft Entra ID 中拥有 Intune Administrator 角色?他们将获得 Security Copilot Owner 访问权限。
- 您的租户中存在哪些自定义 RBAC 角色?所有这些角色都将继承 Contributor 访问权限。
- 是否有任何服务账户或自动化身份分配了 Intune RBAC 角色?这些也将继承 Copilot 访问权限。
2. 决定是否启用 Intune 数据源
自动继承仅在 Intune 作为数据源在 Security Copilot 中启用时激活。如果您的组织根本没有配置 Security Copilot——或尚未配置安全计算单元(SCU)——此变更目前对您的租户没有影响。
对于已购买 Security Copilot 许可的组织,这是决策点:启用 Intune 数据源并为整个端点团队解锁 AI 功能,还是等到 RBAC 整理完成后再启用。
3. 为敏感操作启用多重管理员审批
Microsoft 一直在 Intune 中构建多重管理员审批(MAA),专门防范扩展管理员能力(包括 AI 建议的修复)带来的风险。如果您的组织尚未对设备配置策略、PowerShell 脚本和设备合规策略使用 MAA,现在正是启用的时候。MAA 确保 AI 建议的操作在执行前仍需第二位人工审核者。
4. 监控 Security Copilot 使用日志
数据源启用后,审查 Security Copilot 审计日志以发现意外使用模式。随着所有 RBAC 持有者现在自动获得访问权限,建立您预期的 Copilot 使用基线,并为异常设置警报。
5. 关注 SCU 消耗
Security Copilot 通过安全计算单元(SCU)授权。将访问扩展到整个 Intune 管理员群体可能增加 SCU 消耗——相应规划并监控 Security Copilot 门户中的利用率仪表板。
什么没有改变
- Security Copilot 仍需付费许可——必须先配置 SCU 才能将 Intune 启用为数据源。此变更本身不会产生意外成本。
- Intune 功能未变——现有策略、配置和工作流行为完全相同。Copilot 功能是附加的,而非替代。
- RBAC 中的范围权限不受影响——Intune 最近引入的 Scoped 权限公开预览仍管理传统设备管理操作。Copilot 访问继承是单独的一层。
- 多重管理员审批仍适用——涉及策略或配置的 AI 建议操作,如果您配置了 MAA,仍会流经 MAA。
更大格局
此变更符合 Microsoft AI 战略的清晰模式:合并权限模型,让 AI 访问跟随现有管理信任,并通过消除摩擦而非通过显式启用活动来推动采用。
Microsoft Entra 中的条件访问优化代理、Intune 中的漏洞修复代理、PowerShell 脚本的变更审查代理——全部遵循相同模式。AI 功能嵌入现有管理工作流,由现有 RBAC 而非单独的 AI 访问系统治理。
这为 2026 年及以后释放的信号:端点管理中的 AI 协助正从"可选试点"过渡到"默认基础设施"。将 Intune RBAC 结构视为一等治理工件——定期审查、最小特权强制和审计跟踪——的组织,将能很好地安全采用这些能力。任由 RBAC 漂移的组织会发现 AI 访问随漂移一同扩展。
好消息是:Microsoft 还投资于应对此问题的工具。Scoped Permissions 公开预览、多重管理员审批和权限评估报告,都提供了在 AI 功能广泛可用的环境中安全运营所需的治理脚手架。
需要帮助应对 Intune 变更?
Big Hat Group 帮助组织设计、部署和管理 Microsoft Intune 环境——从初始部署到持续治理、RBAC 设计和 Security Copilot 集成。无论您是在评估此变更对您租户的影响,还是需要全面的 RBAC 审计,我们都能提供帮助。
Big Hat Group 是一家 Microsoft 合作伙伴,专注于现代端点管理、Microsoft Intune 和 Microsoft 365 部署。