Rollenbasierte Zugriffssteuerung
Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Sie können Rollen für Ihre Cloud-PCs über das Microsoft Intune Admin Center zuweisen.
Wenn ein Benutzer mit der Rolle Abonnementbesitzer oder Benutzerzugriffsadministrator einen ANC erstellt, bearbeitet oder wiederholt, weist Windows 365 die erforderlichen integrierten Rollen transparent die folgenden Ressourcen zu (sofern sie nicht bereits zugewiesen sind):
- Azure-Abonnement
- Ressourcengruppe
- Virtuelles Netzwerk, das dem ANC zugeordnet ist
Wenn Sie nur über die Rolle Abonnementleser verfügen, erfolgen diese Zuweisungen nicht automatisch. Stattdessen müssen Sie die erforderlichen integrierten Rollen für die Windows-Erstanbieter-App in Azure manuell konfigurieren.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Windows 365-Administratorrolle
Windows 365 unterstützt die Rolle "Windows 365 Administrator", die über das Microsoft Admin Center und Microsoft Entra ID für die Rollenzuweisung verfügbar ist. Mit dieser Rolle können Sie Windows 365 Cloud-PCs für die Enterprise- und Business-Editionen verwalten. Die Rolle Windows 365 Administrator kann mehr bereichsbezogene Berechtigungen als andere Microsoft Entra Rollen wie globaler Administrator gewähren. Weitere Informationen finden Sie unter Microsoft Entra integrierten Rollen.
Integrierte Cloud-PC-Rollen
Die folgenden integrierten Rollen sind für Cloud-PC verfügbar:
Cloud-PC-Administrator
Verwaltet alle Aspekte von Cloud-PCs, z. B.:
- Verwaltung des Betriebssystemimage
- Konfiguration der Azure-Netzwerkverbindung
- Bereitstellung
Cloud PC Lesegerät
Zeigt Cloud-PC-Daten an, die im knoten Windows 365 in Microsoft Intune verfügbar sind, können aber keine Änderungen vornehmen.
Windows 365 Netzwerkschnittstellenmitwirkender
Die Rolle Windows 365 Netzwerkschnittstellenmitwirkender wird der Ressourcengruppe zugewiesen, die der Azure-Netzwerkverbindung (ANC) zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC zu erstellen und der NIC beizutreten und die Bereitstellung in der Ressourcengruppe zu verwalten. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.
| Aktionstyp | Berechtigungen |
|---|---|
| Aktionen | Microsoft.Resources/subscriptions/operations/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Keine |
| dataActions | Keine |
| notDataActions | Keine |
Windows 365-Netzwerkbenutzer
Die Rolle Windows 365 Netzwerkbenutzer wird dem virtuellen Netzwerk zugewiesen, das dem ANC zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC mit dem virtuellen Netzwerk zu verbinden. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb Windows 365 bei Verwendung eines ANC erforderlich sind.
| Aktionstyp | Berechtigungen |
|---|---|
| Aktionen | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Keine |
| dataActions | Keine |
| notDataActions | Keine |
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen für Windows 365 im Microsoft Intune Admin Center erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Bei der Erstellung von benutzerdefinierten Rollen sind die folgenden Berechtigungen verfügbar:
| Berechtigung | Beschreibung |
|---|---|
| Überwachungsdaten/Lesen | Lesen Sie die Überwachungsprotokolle von Cloud-PC-Ressourcen in Ihrem Mandanten. |
| Azure Network Connections/Create | Erstellen Sie eine lokale Verbindung für die Bereitstellung von Cloud-PCs. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um eine lokale Verbindung zu erstellen. |
| Azure Network Connections/Delete | Löschen sie eine bestimmte lokale Verbindung. Erinnerung: Sie können eine verwendete Verbindung nicht löschen. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu löschen. |
| Azure Network Connections/Read | Lesen sie die Eigenschaften von lokalen Verbindungen. |
| Azure Network Connections/Update | Aktualisieren sie die Eigenschaften einer bestimmten lokalen Verbindung. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu aktualisieren. |
| Azure Network Connections/RunHealthChecks | Führen Sie Integritätsprüfungen für eine bestimmte lokale Verbindung aus. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um Integritätsprüfungen auszuführen. |
| Azure Network Connections/UpdateAdDomainPassword | Aktualisieren Sie das Active Directory-Domänenkennwort einer bestimmten lokalen Verbindung. |
| Cloud-PCs/Lesen | Lesen Sie die Eigenschaften von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Erneute Bereitstellung | Erneutes Bereitstellen von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Größe ändern | Ändern Sie die Größe von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/EndGracePeriod | Beenden Sie die Toleranzperiode für Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Wiederherstellung | Stellen Sie Cloud-PCs in Ihrem Mandanten wieder her. |
| Cloud-PCs/Neustart | Starten Sie Cloud-PCs in Ihrem Mandanten neu. |
| Cloud-PCs/Umbenennen | Benennen Sie Cloud-PCs in Ihrem Mandanten um. |
| Cloud-PCs/Problembehandlung | Problembehandlung für Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/ChangeUserAccountType | Ändern Sie den Benutzerkontotyp zwischen dem lokalen Administrator und dem Standardbenutzer eines Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/PlaceUnderReview | Legen Sie Cloud-PCs in Ihrem Mandanten unter Überprüfung fest. |
| Cloud-PCs/RetryPartnerAgentInstallation | Versuchen Sie, Partner-Agents auf einem Cloud-PC neu zu installieren, der nicht installiert werden konnte. |
| Cloud-PCs/ApplyCurrentProvisioningPolicy | Wenden Sie die aktuelle Konfiguration der Bereitstellungsrichtlinie auf Cloud-PCs in Ihrem Mandanten an. |
| Cloud-PCs/CreateSnapshot | Erstellen Sie manuell Momentaufnahme für Cloud-PCs in Ihrem Mandanten. |
| Geräteimages/Erstellen | Laden Sie ein benutzerdefiniertes Betriebssystemimage hoch, das Sie später auf Cloud-PCs bereitstellen können. |
| Geräteimages/Löschen | Löschen Sie ein Betriebssystemimage von Cloud-PC. |
| Geräteimages/Lesen | Lesen Sie die Eigenschaften von Cloud-PC-Geräteimages. |
| Einstellungen für externe Partner/Lesen | Lesen Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
| Einstellungen für externe Partner/Erstellen | Erstellen Sie eine neue Einstellung für externe Cloud-PC-Partner. |
| Einstellungen/Updates für externe Partner | Aktualisieren Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
| Organisationseinstellungen/Lesen | Lesen Sie die Eigenschaften von Cloud PC organization Einstellungen. |
| Organisationseinstellungen/Update | Aktualisieren Sie die Eigenschaften von Cloud PC organization Einstellungen. |
| Leistungsberichte/Lesen | Lesen Sie die Windows 365 Cloud-PC Berichte im Zusammenhang mit Remoteverbindungen. |
| Bereitstellungsrichtlinien/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Bereitstellungsrichtlinie zu. |
| Bereitstellungsrichtlinien/Erstellen | Erstellen Sie eine neue Cloud-PC-Bereitstellungsrichtlinie. |
| Bereitstellungsrichtlinien/Löschen | Löschen sie eine Cloud-PC-Bereitstellungsrichtlinie. Sie können eine richtlinie, die verwendet wird, nicht löschen. |
| Bereitstellungsrichtlinien/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
| Bereitstellungsrichtlinien/Update | Aktualisieren sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
| Berichte/Export | Exportieren sie Windows 365 verwandte Berichte. |
| Rollenzuweisungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Rollenzuweisung. |
| Rollenzuweisungen/Aktualisierung | Aktualisieren Sie die Eigenschaften einer bestimmten Cloud-PC-Rollenzuweisung. |
| Rollenzuweisungen/Löschen | Löschen sie eine bestimmte Cloud-PC-Rollenzuweisung. |
| Rollen/Lesen | Anzeigen von Berechtigungen, Rollendefinitionen und Rollenzuweisungen für die Cloud-PC-Rolle. Anzeigen eines Vorgangs oder einer Aktion, die für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden kann. |
| Rollen/Erstellen | Erstellen einer Rolle für Cloud-PC. Erstellungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Rollen/Update | Aktualisieren der Rolle für Cloud-PC. Aktualisierungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Rollen/Löschen | Löscht die Rolle für Cloud-PC. Löschvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Serviceplan/Lesen | Lesen Sie die Servicepläne von Cloud-PC. |
| SharedUseLicenseUsageReports/Read | Lesen Sie die Windows 365 Cloud-PC Berichte zur Nutzung von Lizenzen für gemeinsame Nutzung. |
| SharedUseServicePlans/Read | Lesen Sie die Eigenschaften der Cloud-PC-Dienstpläne für die gemeinsame Verwendung. |
| Momentaufnahme/Lesevorgang | Lesen Sie die Momentaufnahme des Cloud-PCs. |
| Momentaufnahme/Freigabe | Teilen Sie die Momentaufnahme des Cloud-PCs. |
| Unterstützte Region/Lesevorgänge | Lesen Sie die unterstützten Regionen von Cloud-PC. |
| Benutzereinstellungen/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Benutzereinstellung zu. |
| Benutzereinstellungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Löschen | Löschen einer Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Aktualisierung | Aktualisieren sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
Zum Erstellen einer Bereitstellungsrichtlinie benötigt ein Administrator die folgenden Berechtigungen:
- Bereitstellungsrichtlinien/Lesen
- Bereitstellungsrichtlinien/Erstellen
- Azure Network Connections/Read
- Unterstützte Region/Lesevorgänge
- Geräteimages/Lesen
Migrieren vorhandener Berechtigungen
Für ANCs, die vor dem 26. November 2023 erstellt wurden, wird die Rolle Netzwerkmitwirkender verwendet, um Berechtigungen sowohl für die Ressourcengruppe als auch für die Virtual Network anzuwenden. Um auf die neuen RBAC-Rollen anzuwenden, können Sie die ANC-Integritätsprüfung wiederholen. Die vorhandenen Rollen müssen manuell entfernt werden.
Informationen zum manuellen Entfernen der vorhandenen Rollen und Hinzufügen der neuen Rollen finden Sie in der folgenden Tabelle für die vorhandenen Rollen, die für jede Azure-Ressource verwendet werden. Stellen Sie vor dem Entfernen der vorhandenen Rollen sicher, dass die aktualisierten Rollen zugewiesen sind.
| Azure-Ressource | Vorhandene Rolle (vor dem 26. November 2023) | Rolle aktualisiert (nach dem 26. November 2023) |
|---|---|---|
| Ressourcengruppe | Netzwerkmitwirkender | Windows 365 Netzwerkschnittstellenmitwirkender |
| Virtuelles Netzwerk | Netzwerkmitwirkender | Windows 365-Netzwerkbenutzer |
| Abonnement | Reader | Reader |
Weitere Informationen zum Entfernen einer Rollenzuweisung aus einer Azure-Ressource finden Sie unter Entfernen von Azure-Rollenzuweisungen.
Bereichstags
Bei RBAC sind Rollen nur ein Teil der Gleichung. Während Rollen gut geeignet sind, um einen Satz von Berechtigungen zu definieren, helfen Bereichsmarkierungen bei der Definition der Sichtbarkeit der Ressourcen Ihrer organization. Bereichstags sind besonders hilfreich, wenn Sie Ihren Mandanten so organisieren, dass Benutzer auf bestimmte Hierarchien, geografische Regionen, Geschäftseinheiten usw. begrenzt sind.
Verwenden Sie Intune, um Bereichstags zu erstellen und zu verwalten. Weitere Informationen zum Erstellen und Verwalten von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
In Windows 365 können Bereichstags auf die folgenden Ressourcen angewendet werden:
- Bereitstellungsrichtlinien
- Azure-Netzwerkverbindungen (ANC)
- Cloud-PCs
- Benutzerdefinierte Images
- Windows 365 RBAC-Rollenzuweisungen
Führen Sie nach dem Erstellen Ihrer Bereichsmarkierungen und der Bereitstellungsrichtlinie die folgenden Schritte aus, um sicherzustellen, dass sowohl die Liste Intune besitzereigene Alle Geräte als auch Windows 365 liste Alle Cloud-PCs die gleichen Cloud-PCs anzeigen:
- Erstellen Sie eine Microsoft Entra ID dynamische Gerätegruppe mit der Regel enrollmentProfileName entspricht dem genauen Namen der erstellten Bereitstellungsrichtlinie.
- Weisen Sie das erstellte Bereichstag der dynamischen Gerätegruppe zu.
- Nachdem der Cloud-PC bereitgestellt und bei Intune registriert wurde, sollten sowohl in der Liste Alle Geräte als auch in der Liste Alle Cloud-PCs die gleichen Cloud-PCs angezeigt werden.
Wenn Sie einer Bereitstellungsrichtlinie neue Bereichstags hinzufügen, stellen Sie sicher, dass Sie die Bereichstags auch der Intune dynamischen Gruppe hinzufügen. Durch diese Ergänzung wird sichergestellt, dass die dynamische Gruppe die neuen Bereichstags berücksichtigt. Überprüfen Sie außerdem alle Cloud-PCs, auf denen möglicherweise eindeutige Bereichstags hinzugefügt wurden, um sicherzustellen, dass sie nach updates noch vorhanden sind.
Um sicherzustellen, dass Windows 365 Änderungen an Intune Bereichstags berücksichtigen können, werden diese Daten aus Intune synchronisiert. Weitere Informationen finden Sie unter Datenschutz, Kundendaten und Kundeninhalte in Windows 365.
Damit bereichsbezogene Administratoren anzeigen können, welche Bereichstags ihnen und die Objekte in ihrem Bereich zugewiesen sind, muss ihnen eine der folgenden Rollen zugewiesen werden:
- schreibgeschützt Intune
- Cloud-PC-Leser/Administrator
- Eine benutzerdefinierte Rolle mit ähnlichen Berechtigungen.
Nächste Schritte
Rollenbasierte Zugriffssteuerung für Microsoft Intune
Grundlegendes zu Azure-Rollendefinitionen
Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC)?