Freigeben über


Rollenbasierte Zugriffssteuerung

Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Sie können Rollen für Ihre Cloud-PCs über das Microsoft Intune Admin Center zuweisen.

Wenn ein Benutzer mit der Rolle Abonnementbesitzer oder Benutzerzugriffsadministrator einen ANC erstellt, bearbeitet oder wiederholt, weist Windows 365 die erforderlichen integrierten Rollen transparent die folgenden Ressourcen zu (sofern sie nicht bereits zugewiesen sind):

  • Azure-Abonnement
  • Ressourcengruppe
  • Virtuelles Netzwerk, das dem ANC zugeordnet ist

Wenn Sie nur über die Rolle Abonnementleser verfügen, erfolgen diese Zuweisungen nicht automatisch. Stattdessen müssen Sie die erforderlichen integrierten Rollen für die Windows-Erstanbieter-App in Azure manuell konfigurieren.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.

Windows 365-Administratorrolle

Windows 365 unterstützt die Rolle "Windows 365 Administrator", die über das Microsoft Admin Center und Microsoft Entra ID für die Rollenzuweisung verfügbar ist. Mit dieser Rolle können Sie Windows 365 Cloud-PCs für die Enterprise- und Business-Editionen verwalten. Die Rolle Windows 365 Administrator kann mehr bereichsbezogene Berechtigungen als andere Microsoft Entra Rollen wie globaler Administrator gewähren. Weitere Informationen finden Sie unter Microsoft Entra integrierten Rollen.

Integrierte Cloud-PC-Rollen

Die folgenden integrierten Rollen sind für Cloud-PC verfügbar:

Cloud-PC-Administrator

Verwaltet alle Aspekte von Cloud-PCs, z. B.:

  • Verwaltung des Betriebssystemimage
  • Konfiguration der Azure-Netzwerkverbindung
  • Bereitstellung

Cloud PC Lesegerät

Zeigt Cloud-PC-Daten an, die im knoten Windows 365 in Microsoft Intune verfügbar sind, können aber keine Änderungen vornehmen.

Windows 365 Netzwerkschnittstellenmitwirkender

Die Rolle Windows 365 Netzwerkschnittstellenmitwirkender wird der Ressourcengruppe zugewiesen, die der Azure-Netzwerkverbindung (ANC) zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC zu erstellen und der NIC beizutreten und die Bereitstellung in der Ressourcengruppe zu verwalten. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.

Aktionstyp Berechtigungen
Aktionen Microsoft.Resources/subscriptions/operations/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read
Microsoft.Resources/deployments/operationstatuses/read
Microsoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
notActions Keine
dataActions Keine
notDataActions Keine

Windows 365-Netzwerkbenutzer

Die Rolle Windows 365 Netzwerkbenutzer wird dem virtuellen Netzwerk zugewiesen, das dem ANC zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC mit dem virtuellen Netzwerk zu verbinden. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.

Aktionstyp Berechtigungen
Aktionen Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/subnets/join/action
notActions Keine
dataActions Keine
notDataActions Keine

Benutzerdefinierte Rollen

Sie können benutzerdefinierte Rollen für Windows 365 im Microsoft Intune Admin Center erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.

Bei der Erstellung von benutzerdefinierten Rollen sind die folgenden Berechtigungen verfügbar:

Berechtigung Beschreibung
Überwachungsdaten/Lesen Lesen Sie die Überwachungsprotokolle von Cloud-PC-Ressourcen in Ihrem Mandanten.
Azure Network Connections/Create Erstellen Sie eine lokale Verbindung für die Bereitstellung von Cloud-PCs. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um eine lokale Verbindung zu erstellen.
Azure Network Connections/Delete Löschen sie eine bestimmte lokale Verbindung. Erinnerung: Sie können eine verwendete Verbindung nicht löschen. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu löschen.
Azure Network Connections/Read Lesen sie die Eigenschaften von lokalen Verbindungen.
Azure Network Connections/Update Aktualisieren sie die Eigenschaften einer bestimmten lokalen Verbindung. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu aktualisieren.
Azure Network Connections/RunHealthChecks Führen Sie Integritätsprüfungen für eine bestimmte lokale Verbindung aus. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um Integritätsprüfungen auszuführen.
Azure Network Connections/UpdateAdDomainPassword Aktualisieren Sie das Active Directory-Domänenkennwort einer bestimmten lokalen Verbindung.
Cloud-PCs/Lesen Lesen Sie die Eigenschaften von Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/Erneute Bereitstellung Erneutes Bereitstellen von Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/Größe ändern Ändern Sie die Größe von Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/EndGracePeriod Beenden Sie die Toleranzperiode für Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/Wiederherstellung Stellen Sie Cloud-PCs in Ihrem Mandanten wieder her.
Cloud-PCs/Neustart Starten Sie Cloud-PCs in Ihrem Mandanten neu.
Cloud-PCs/Umbenennen Benennen Sie Cloud-PCs in Ihrem Mandanten um.
Cloud-PCs/Problembehandlung Problembehandlung für Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/ChangeUserAccountType Ändern Sie den Benutzerkontotyp zwischen dem lokalen Administrator und dem Standardbenutzer eines Cloud-PCs in Ihrem Mandanten.
Cloud-PCs/PlaceUnderReview Legen Sie Cloud-PCs in Ihrem Mandanten unter Überprüfung fest.
Cloud-PCs/RetryPartnerAgentInstallation Versuchen Sie, Partner-Agents auf einem Cloud-PC neu zu installieren, der nicht installiert werden konnte.
Cloud-PCs/ApplyCurrentProvisioningPolicy Wenden Sie die aktuelle Konfiguration der Bereitstellungsrichtlinie auf Cloud-PCs in Ihrem Mandanten an.
Cloud-PCs/CreateSnapshot Erstellen Sie manuell Momentaufnahme für Cloud-PCs in Ihrem Mandanten.
Geräteimages/Erstellen Laden Sie ein benutzerdefiniertes Betriebssystemimage hoch, das Sie später auf Cloud-PCs bereitstellen können.
Geräteimages/Löschen Löschen Sie ein Betriebssystemimage von Cloud-PC.
Geräteimages/Lesen Lesen Sie die Eigenschaften von Cloud-PC-Geräteimages.
Einstellungen für externe Partner/Lesen Lesen Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner.
Einstellungen für externe Partner/Erstellen Erstellen Sie eine neue Einstellung für externe Cloud-PC-Partner.
Einstellungen/Updates für externe Partner Aktualisieren Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner.
Organisationseinstellungen/Lesen Lesen Sie die Eigenschaften von Cloud PC organization Einstellungen.
Organisationseinstellungen/Update Aktualisieren Sie die Eigenschaften von Cloud PC organization Einstellungen.
Leistungsberichte/Lesen Lesen Sie die Windows 365 Cloud-PC Berichte im Zusammenhang mit Remoteverbindungen.
Bereitstellungsrichtlinien/Zuweisen Weisen Sie Benutzergruppen eine Cloud-PC-Bereitstellungsrichtlinie zu.
Bereitstellungsrichtlinien/Erstellen Erstellen Sie eine neue Cloud-PC-Bereitstellungsrichtlinie.
Bereitstellungsrichtlinien/Löschen Löschen sie eine Cloud-PC-Bereitstellungsrichtlinie. Sie können eine richtlinie, die verwendet wird, nicht löschen.
Bereitstellungsrichtlinien/Lesen Lesen sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie.
Bereitstellungsrichtlinien/Update Aktualisieren sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie.
Berichte/Export Exportieren sie Windows 365 verwandte Berichte.
Rollenzuweisungen/Erstellen Erstellen Sie eine neue Cloud-PC-Rollenzuweisung.
Rollenzuweisungen/Aktualisierung Aktualisieren Sie die Eigenschaften einer bestimmten Cloud-PC-Rollenzuweisung.
Rollenzuweisungen/Löschen Löschen sie eine bestimmte Cloud-PC-Rollenzuweisung.
Rollen/Lesen Anzeigen von Berechtigungen, Rollendefinitionen und Rollenzuweisungen für die Cloud-PC-Rolle. Anzeigen eines Vorgangs oder einer Aktion, die für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden kann.
Rollen/Erstellen Erstellen einer Rolle für Cloud-PC. Erstellungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden.
Rollen/Update Aktualisieren der Rolle für Cloud-PC. Aktualisierungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden.
Rollen/Löschen Löscht die Rolle für Cloud-PC. Löschvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden.
Serviceplan/Lesen Lesen Sie die Servicepläne von Cloud-PC.
SharedUseLicenseUsageReports/Read Lesen Sie die Windows 365 Cloud-PC Berichte zur Nutzung von Lizenzen für gemeinsame Nutzung.
SharedUseServicePlans/Read Lesen Sie die Eigenschaften der Cloud-PC-Dienstpläne für die gemeinsame Verwendung.
Momentaufnahme/Lesevorgang Lesen Sie die Momentaufnahme des Cloud-PCs.
Momentaufnahme/Freigabe Teilen Sie die Momentaufnahme des Cloud-PCs.
Unterstützte Region/Lesevorgänge Lesen Sie die unterstützten Regionen von Cloud-PC.
Benutzereinstellungen/Zuweisen Weisen Sie Benutzergruppen eine Cloud-PC-Benutzereinstellung zu.
Benutzereinstellungen/Erstellen Erstellen Sie eine neue Cloud-PC-Benutzereinstellung.
Benutzereinstellungen/Löschen Löschen einer Cloud-PC-Benutzereinstellung.
Benutzereinstellungen/Lesen Lesen sie die Eigenschaften einer Cloud-PC-Benutzereinstellung.
Benutzereinstellungen/Aktualisierung Aktualisieren sie die Eigenschaften einer Cloud-PC-Benutzereinstellung.

Zum Erstellen einer Bereitstellungsrichtlinie benötigt ein Administrator die folgenden Berechtigungen:

  • Bereitstellungsrichtlinien/Lesen
  • Bereitstellungsrichtlinien/Erstellen
  • Azure Network Connections/Read
  • Unterstützte Region/Lesevorgänge
  • Geräteimages/Lesen

Migrieren vorhandener Berechtigungen

Für ANCs, die vor dem 26. November 2023 erstellt wurden, wird die Rolle Netzwerkmitwirkender verwendet, um Berechtigungen sowohl für die Ressourcengruppe als auch für die Virtual Network anzuwenden. Um auf die neuen RBAC-Rollen anzuwenden, können Sie die ANC-Integritätsprüfung wiederholen. Die vorhandenen Rollen müssen manuell entfernt werden.

Informationen zum manuellen Entfernen der vorhandenen Rollen und Hinzufügen der neuen Rollen finden Sie in der folgenden Tabelle für die vorhandenen Rollen, die für jede Azure-Ressource verwendet werden. Stellen Sie vor dem Entfernen der vorhandenen Rollen sicher, dass die aktualisierten Rollen zugewiesen sind.

Azure-Ressource Vorhandene Rolle (vor dem 26. November 2023) Rolle aktualisiert (nach dem 26. November 2023)
Ressourcengruppe Netzwerkmitwirkender Windows 365 Netzwerkschnittstellenmitwirkender
Virtuelles Netzwerk Netzwerkmitwirkender Windows 365-Netzwerkbenutzer
Abonnement Reader Reader

Weitere Informationen zum Entfernen einer Rollenzuweisung aus einer Azure-Ressource finden Sie unter Entfernen von Azure-Rollenzuweisungen.

Bereichstags

Bei RBAC sind Rollen nur ein Teil der Gleichung. Während Rollen gut geeignet sind, um einen Satz von Berechtigungen zu definieren, helfen Bereichsmarkierungen bei der Definition der Sichtbarkeit der Ressourcen Ihrer organization. Bereichstags sind besonders hilfreich, wenn Sie Ihren Mandanten so organisieren, dass Benutzer auf bestimmte Hierarchien, geografische Regionen, Geschäftseinheiten usw. begrenzt sind.

Verwenden Sie Intune, um Bereichstags zu erstellen und zu verwalten. Weitere Informationen zum Erstellen und Verwalten von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.

In Windows 365 können Bereichstags auf die folgenden Ressourcen angewendet werden:

  • Bereitstellungsrichtlinien
  • Azure-Netzwerkverbindungen (ANC)
  • Cloud-PCs
  • Benutzerdefinierte Images
  • Windows 365 RBAC-Rollenzuweisungen

Führen Sie nach dem Erstellen Ihrer Bereichsmarkierungen und der Bereitstellungsrichtlinie die folgenden Schritte aus, um sicherzustellen, dass sowohl die Liste Intune besitzereigene Alle Geräte als auch Windows 365 liste Alle Cloud-PCs die gleichen Cloud-PCs anzeigen:

  1. Erstellen Sie eine Microsoft Entra ID dynamische Gerätegruppe mit der Regel enrollmentProfileName entspricht dem genauen Namen der erstellten Bereitstellungsrichtlinie.
  2. Weisen Sie das erstellte Bereichstag der dynamischen Gerätegruppe zu.
  3. Nachdem der Cloud-PC bereitgestellt und bei Intune registriert wurde, sollten sowohl in der Liste Alle Geräte als auch in der Liste Alle Cloud-PCs die gleichen Cloud-PCs angezeigt werden.

Wenn Sie einer Bereitstellungsrichtlinie neue Bereichstags hinzufügen, stellen Sie sicher, dass Sie die Bereichstags auch der Intune dynamischen Gruppe hinzufügen. Durch diese Ergänzung wird sichergestellt, dass die dynamische Gruppe die neuen Bereichstags berücksichtigt. Überprüfen Sie außerdem alle Cloud-PCs, auf denen möglicherweise eindeutige Bereichstags hinzugefügt wurden, um sicherzustellen, dass sie nach updates noch vorhanden sind.

Um sicherzustellen, dass Windows 365 Änderungen an Intune Bereichstags berücksichtigen können, werden diese Daten aus Intune synchronisiert. Weitere Informationen finden Sie unter Datenschutz, Kundendaten und Kundeninhalte in Windows 365.

Damit bereichsbezogene Administratoren anzeigen können, welche Bereichstags ihnen und die Objekte in ihrem Bereich zugewiesen sind, muss ihnen eine der folgenden Rollen zugewiesen werden:

  • schreibgeschützt Intune
  • Cloud-PC-Leser/Administrator
  • Eine benutzerdefinierte Rolle mit ähnlichen Berechtigungen.

Nächste Schritte

Rollenbasierte Zugriffssteuerung für Microsoft Intune

Grundlegendes zu Azure-Rollendefinitionen

Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC)?