Rollenbasierte Zugriffssteuerung
Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Sie können Rollen für Ihre Cloud-PCs über das Microsoft Intune Admin Center zuweisen.
Wenn ein Benutzer mit der Rolle Abonnementbesitzer oder Benutzerzugriffsadministrator einen ANC erstellt, bearbeitet oder wiederholt, weisen Windows 365 transparent die erforderlichen integrierten Rollen in Ihrem Azure-Abonnement, Ihrer Ressourcengruppe und Ihrem virtuellen Netzwerk zu, die dem ANC zugeordnet sind, sofern diese nicht bereits zugewiesen sind. Wenn Sie nur über die Rolle Abonnementleser verfügen, werden diese Zuweisungen nicht automatisch durchgeführt. Stattdessen müssen Sie die erforderlichen integrierten Rollen für die Windows-Erstanbieter-App in Azure manuell konfigurieren.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Windows 365-Administratorrolle
Windows 365 unterstützt die Rolle "Windows 365 Administrator", die über das Microsoft Admin Center und die Microsoft Entra-ID für die Rollenzuweisung verfügbar ist. Mit dieser Rolle können Sie Windows 365 Cloud-PCs für die Enterprise- und Business-Editionen verwalten. Die Rolle Windows 365 Administrator kann mehr bereichsbezogene Berechtigungen als andere Microsoft Entra Rollen wie globaler Administrator gewähren. Weitere Informationen finden Sie unter Microsoft Entra integrierten Rollen.
Integrierte Cloud-PC-Rollen
Die folgenden integrierten Rollen sind für Cloud-PC verfügbar:
Cloud-PC-Administrator
Verwaltet alle Aspekte von Cloud-PCs, z. B.:
- Verwaltung des Betriebssystemimage
- Konfiguration der Azure-Netzwerkverbindung
- Bereitstellung
Cloud PC Lesegerät
Zeigt Cloud-PC-Daten an, die im knoten Windows 365 in Microsoft Intune verfügbar sind, können aber keine Änderungen vornehmen.
Windows 365 Netzwerkschnittstellenmitwirkender
Die Rolle Windows 365 Netzwerkschnittstellenmitwirkender wird der Ressourcengruppe zugewiesen, die der Azure-Netzwerkverbindung (ANC) zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC zu erstellen und der NIC beizutreten und die Bereitstellung in der Ressourcengruppe zu verwalten. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.
Aktionstyp | Berechtigungen |
---|---|
Aktionen | Microsoft.Resources/subscriptions/operations/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Windows 365-Netzwerkbenutzer
Die Rolle Windows 365 Netzwerkbenutzer wird dem virtuellen Netzwerk zugewiesen, das dem ANC zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC mit dem virtuellen Netzwerk zu verbinden. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.
Aktionstyp | Berechtigungen |
---|---|
Aktionen | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen für Windows 365 im Microsoft Intune Admin Center erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Bei der Erstellung von benutzerdefinierten Rollen sind die folgenden Berechtigungen verfügbar:
Berechtigung | Beschreibung |
---|---|
Überwachungsdaten/Lesen | Lesen Sie die Überwachungsprotokolle von Cloud-PC-Ressourcen in Ihrem Mandanten. |
Azure-Netzwerkverbindungen/Erstellen | Erstellen Sie eine lokale Verbindung für die Bereitstellung von Cloud-PCs. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um eine lokale Verbindung zu erstellen. |
Azure-Netzwerkverbindungen/Löschen | Löschen sie eine bestimmte lokale Verbindung. Erinnerung: Sie können eine verwendete Verbindung nicht löschen. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu löschen. |
Azure-Netzwerkverbindungen/Lesen | Lesen sie die Eigenschaften von lokalen Verbindungen. |
Azure-Netzwerkverbindungen/Update | Aktualisieren sie die Eigenschaften einer bestimmten lokalen Verbindung. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu aktualisieren. |
Azure-Netzwerkverbindungen/RunHealthChecks | Führen Sie Integritätsprüfungen für eine bestimmte lokale Verbindung aus. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um Integritätsprüfungen auszuführen. |
Azure-Netzwerkverbindungen/UpdateAdDomainPassword | Aktualisieren Sie das Active Directory-Domänenkennwort einer bestimmten lokalen Verbindung. |
Cloud-PCs/Lesen | Lesen Sie die Eigenschaften von Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/Erneute Bereitstellung | Erneutes Bereitstellen von Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/Größe ändern | Ändern Sie die Größe von Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/EndGracePeriod | Beenden Sie die Toleranzperiode für Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/Wiederherstellung | Stellen Sie Cloud-PCs in Ihrem Mandanten wieder her. |
Cloud-PCs/Neustart | Starten Sie Cloud-PCs in Ihrem Mandanten neu. |
Cloud-PCs/Umbenennen | Benennen Sie Cloud-PCs in Ihrem Mandanten um. |
Cloud-PCs/Problembehandlung | Problembehandlung für Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/ChangeUserAccountType | Ändern Sie den Benutzerkontotyp zwischen dem lokalen Administrator und dem Standardbenutzer eines Cloud-PCs in Ihrem Mandanten. |
Cloud-PCs/PlaceUnderReview | Legen Sie Cloud-PCs in Ihrem Mandanten unter Überprüfung fest. |
Cloud-PCs/RetryPartnerAgentInstallation | Versuchen Sie, Partner-Agents auf einem Cloud-PC, deren Installation fehlgeschlagen ist, erneut zu installieren. |
Cloud-PCs/ApplyCurrentProvisioningPolicy | Wenden Sie die aktuelle Konfiguration der Bereitstellungsrichtlinie auf Cloud-PCs in Ihrem Mandanten an. |
Cloud-PCs/CreateSnapshot | Erstellen Sie manuell Momentaufnahme für Cloud-PCs in Ihrem Mandanten. |
Geräteimages/Erstellen | Laden Sie ein benutzerdefiniertes Betriebssystemimage hoch, das Sie später auf Cloud-PCs bereitstellen können. |
Geräteimages/Löschen | Löschen Sie ein Betriebssystemimage von Cloud-PC. |
Geräteimages/Lesen | Lesen Sie die Eigenschaften von Cloud-PC-Geräteimages. |
Einstellungen für externe Partner/Lesen | Lesen Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
Einstellungen für externe Partner/Erstellen | Erstellen Sie eine neue Einstellung für externe Cloud-PC-Partner. |
Einstellungen/Updates für externe Partner | Aktualisieren Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
Organisationseinstellungen/Lesen | Lesen Sie die Eigenschaften von Cloud PC organization Einstellungen. |
Organisationseinstellungen/Update | Aktualisieren Sie die Eigenschaften von Cloud PC organization Einstellungen. |
Leistungsberichte/Lesen | Lesen Sie die Windows 365 Cloud-PC Berichte im Zusammenhang mit Remoteverbindungen. |
Bereitstellungsrichtlinien/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Bereitstellungsrichtlinie zu. |
Bereitstellungsrichtlinien/Erstellen | Erstellen Sie eine neue Cloud-PC-Bereitstellungsrichtlinie. |
Bereitstellungsrichtlinien/Löschen | Löschen sie eine Cloud-PC-Bereitstellungsrichtlinie. Sie können eine richtlinie, die verwendet wird, nicht löschen. |
Bereitstellungsrichtlinien/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
Bereitstellungsrichtlinien/Update | Aktualisieren sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
Berichte/Export | Exportieren sie Windows 365 verwandte Berichte. |
Rollenzuweisungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Rollenzuweisung. |
Rollenzuweisungen/Aktualisierung | Aktualisieren Sie die Eigenschaften einer bestimmten Cloud-PC-Rollenzuweisung. |
Rollenzuweisungen/Löschen | Löschen sie eine bestimmte Cloud-PC-Rollenzuweisung. |
Rollen/Lesen | Anzeigen von Berechtigungen, Rollendefinitionen und Rollenzuweisungen für die Cloud-PC-Rolle. Anzeigen eines Vorgangs oder einer Aktion, die für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden kann. |
Rollen/Erstellen | Erstellen einer Rolle für Cloud-PC. Erstellungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
Rollen/Update | Aktualisieren der Rolle für Cloud-PC. Aktualisierungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
Rollen/Löschen | Löscht die Rolle für Cloud-PC. Löschvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
Serviceplan/Lesen | Lesen Sie die Servicepläne von Cloud-PC. |
SharedUseLicenseUsageReports/Read | Lesen Sie die Windows 365 Cloud-PC Berichte zur Nutzung von Lizenzen für gemeinsame Nutzung. |
SharedUseServicePlans/Read | Lesen Sie die Eigenschaften der Cloud-PC-Dienstpläne für die gemeinsame Verwendung. |
Momentaufnahme/Lesevorgang | Lesen Sie die Momentaufnahme des Cloud-PCs. |
Momentaufnahme/Freigabe | Teilen Sie die Momentaufnahme des Cloud-PCs. |
Unterstützte Region/Lesevorgänge | Lesen Sie die unterstützten Regionen von Cloud-PC. |
Benutzereinstellungen/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Benutzereinstellung zu. |
Benutzereinstellungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Benutzereinstellung. |
Benutzereinstellungen/Löschen | Löschen einer Cloud-PC-Benutzereinstellung. |
Benutzereinstellungen/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
Benutzereinstellungen/Aktualisierung | Aktualisieren sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
Zum Erstellen einer Bereitstellungsrichtlinie benötigt ein Administrator die folgenden Berechtigungen:
- Bereitstellungsrichtlinien/Lesen
- Bereitstellungsrichtlinien/Erstellen
- Azure-Netzwerkverbindungen/Lesen
- Unterstützte Region/Lesevorgänge
- Geräteimages/Lesen
Migrieren vorhandener Berechtigungen
Für ANCs, die vor dem 26. November 2023 erstellt wurden, wird die Rolle Netzwerkmitwirkender verwendet, um Berechtigungen sowohl für die Ressourcengruppe als auch für die Virtual Network anzuwenden. Um auf die neuen RBAC-Rollen anzuwenden, können Sie die ANC-Integritätsprüfung wiederholen. Beachten Sie, dass die vorhandenen Rollen manuell entfernt werden müssen.
Informationen zum manuellen Entfernen der vorhandenen Rollen und Hinzufügen der neuen Rollen finden Sie in der folgenden Tabelle für die vorhandenen Rollen, die für jede Azure-Ressource verwendet werden. Stellen Sie vor dem Entfernen der vorhandenen Rollen sicher, dass die aktualisierten Rollen zugewiesen wurden.
Azure-Ressource | Vorhandene Rolle (vor dem 26. November 2023) | Rolle aktualisiert (nach dem 26. November 2023) |
---|---|---|
Ressourcengruppe | Netzwerkmitwirkender | Windows 365 Netzwerkschnittstellenmitwirkender |
Virtuelles Netzwerk | Netzwerkmitwirkender | Windows 365-Netzwerkbenutzer |
Abonnement | Reader | Reader |
Weitere Informationen zum Entfernen einer Rollenzuweisung aus einer Azure-Ressource finden Sie unter Entfernen von Azure-Rollenzuweisungen.
Nächste Schritte
Rollenbasierte Zugriffssteuerung für Microsoft Intune
Grundlegendes zu Azure-Rollendefinitionen
Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC)?
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für