Control de acceso basado en roles
El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Puede asignar roles para los equipos en la nube mediante el centro de administración de Microsoft Intune.
Cuando un usuario con el rol Propietario de suscripción o Administrador de acceso de usuario crea, edita o reintenta un ANC, Windows 365 asigna de forma transparente los roles integrados necesarios a los siguientes recursos (si aún no están asignados):
- Suscripción a Azure
- Grupo de recursos
- Red virtual asociada al ANC
Si solo tiene el rol Lector de suscripciones, estas asignaciones no son automáticas. En su lugar, debe configurar manualmente los roles integrados necesarios para la aplicación windows first party en Azure.
Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.
Rol Administrador de Windows 365
Windows 365 admite el rol de administrador de Windows 365 disponible para la asignación de roles a través del Centro de microsoft Administración y Microsoft Entra ID. Con este rol, puede administrar equipos en la nube de Windows 365 para las ediciones Enterprise y Business. El rol de administrador de Windows 365 puede conceder más permisos de ámbito que otros roles de Microsoft Entra como administrador global. Para obtener más información, consulte Microsoft Entra roles integrados.
Roles integrados de PC en la nube
Los siguientes roles integrados están disponibles para pc en la nube:
Administrador de equipo en la nube
Administra todos los aspectos de los equipos en la nube, como:
- Administración de imágenes de SO
- Configuración de conexión de red de Azure
- Aprovisionamiento
Lector de equipo en la nube
Visualiza los datos del equipo en la nube disponibles en el nodo Windows 365 de Microsoft Intune, pero no puede realizar cambios.
Colaborador de la interfaz de red de Windows 365
El rol colaborador de Windows 365 interfaz de red se asigna al grupo de recursos asociado a la conexión de red de Azure (ANC). Este rol permite que el servicio de Windows 365 cree y una la NIC y administre la implementación en el grupo de recursos. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Windows 365 usuario de red
El rol de usuario de red Windows 365 se asigna a la red virtual asociada al ANC. Este rol permite que el servicio de Windows 365 una la NIC a la red virtual. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Roles personalizados
Puede crear roles personalizados para Windows 365 en Microsoft Intune centro de administración. Para obtener más información, vea Crear un rol personalizado.
Los siguientes permisos estarán disponibles cuando cree roles personalizados.
| Permiso | Descripción |
|---|---|
| Auditar datos o lecturas | Lea los registros de auditoría de los recursos del equipo en la nube en el inquilino. |
| Azure Network Connections/Create | Create una conexión local para aprovisionar equipos en la nube. También se requiere el rol de azure propietario de suscripción o administrador de acceso de usuario para crear una conexión local. |
| Azure Network Connections/Delete | Elimine una conexión local específica. Recordatorio: No se puede eliminar una conexión en uso. El rol de Azure de administrador de acceso de usuario o propietario de suscripción también es necesario para eliminar una conexión local. |
| Azure Network Connections/Read | Lea las propiedades de las conexiones locales. |
| Azure Network Connections/Update | Actualice las propiedades de una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para actualizar una conexión local. |
| Azure Network Connections/RunHealthChecks | Ejecute comprobaciones de estado en una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para ejecutar comprobaciones de estado. |
| Azure Network Connections/UpdateAdDomainPassword | Actualice la contraseña de dominio de Active Directory de una conexión local específica. |
| Equipos en la nube o lectura | Lea las propiedades de los equipos en la nube en el inquilino. |
| Equipos en la nube/Reprovision | Reprovisione equipos en la nube en el inquilino. |
| Pc en la nube/cambio de tamaño | Cambie el tamaño de los equipos en la nube en el inquilino. |
| Equipos en la nube/EndGracePeriod | Finalizar el período de gracia de los equipos en la nube en el inquilino. |
| Equipos en la nube o restauración | Restaure equipos en la nube en el inquilino. |
| Equipos en la nube o reinicio | Reinicie los equipos en la nube en el inquilino. |
| Equipos en la nube/cambio de nombre | Cambie el nombre de los equipos en la nube en el inquilino. |
| Pc en la nube o solución de problemas | Solución de problemas de equipos en la nube en el inquilino. |
| Equipos en la nube/ChangeUserAccountType | Cambie el tipo de cuenta de usuario entre el administrador local y el usuario estándar de un equipo en la nube en el inquilino. |
| Pc en la nube/PlaceUnderReview | Establezca equipos en la nube en revisión en el inquilino. |
| Pc en la nube/RetryPartnerAgentInstallation | Intente volver a instalar agentes asociados de terceros en un equipo en la nube que no se pudo instalar. |
| Pc en la nube/ApplyCurrentProvisioningPolicy | Aplique la configuración de directiva de aprovisionamiento actual a los equipos en la nube del inquilino. |
| Pc en la nube/CreateSnapshot | Cree manualmente una instantánea para equipos en la nube en el inquilino. |
| Imágenes de dispositivo/Create | Cargue una imagen de sistema operativo personalizada que pueda aprovisionar más adelante en equipos en la nube. |
| Imágenes o eliminación de dispositivos | Elimine una imagen del sistema operativo del equipo en la nube. |
| Imágenes o lectura del dispositivo | Lea las propiedades de las imágenes de dispositivo de PC en la nube. |
| Configuración o lectura de asociados externos | Lea las propiedades de una configuración de asociado externo de PC en la nube. |
| Configuración o Create de asociados externos | Create una nueva configuración de asociado externo de PC en la nube. |
| Configuración o actualización de asociados externos | Actualice las propiedades de una configuración de asociado externo de Pc en la nube. |
| Configuración o lectura de la organización | Lea las propiedades de la configuración de la organización de PC en la nube. |
| Configuración o actualización de la organización | Actualice las propiedades de la configuración de la organización de PC en la nube. |
| Informes de rendimiento/lectura | Lea el PC en la nube Windows 365 los informes relacionados con las conexiones remotas. |
| Aprovisionamiento de directivas o asignación | Asigne una directiva de aprovisionamiento de EQUIPOS en la nube a grupos de usuarios. |
| Directivas de aprovisionamiento/Create | Create una nueva directiva de aprovisionamiento de EQUIPOS en la nube. |
| Directivas de aprovisionamiento o eliminación | Elimine una directiva de aprovisionamiento de PC en la nube. No se puede eliminar una directiva que esté en uso. |
| Aprovisionamiento de directivas o lectura | Lea las propiedades de una directiva de aprovisionamiento de PC en la nube. |
| Aprovisionamiento de directivas o actualización | Actualice las propiedades de una directiva de aprovisionamiento de EQUIPOS en la nube. |
| Informes o exportación | Exportar Windows 365 informes relacionados. |
| Asignaciones de roles/Create | Create una nueva asignación de roles de PC en la nube. |
| Asignaciones o actualizaciones de roles | Actualice las propiedades de una asignación de roles de PC en la nube específica. |
| Asignaciones o eliminaciones de roles | Elimine una asignación de roles de PC en la nube específica. |
| Roles/Leer | Ver permisos, definiciones de roles y asignaciones de roles para el rol de PC en la nube. Ver la operación o acción que se puede realizar en un recurso de PC en la nube (o entidad). |
| Roles/Crear | Create rol para pc en la nube. Create operaciones se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Actualizar | Actualizar rol para pc en la nube. Las operaciones de actualización se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Eliminar | Eliminar rol para pc en la nube. Las operaciones de eliminación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Plan de servicio/lectura | Lea los planes de servicio de Cloud PC. |
| SharedUseLicenseUsageReports/Read | Lea los PC en la nube Windows 365 informes relacionados con el uso compartido de licencias. |
| SharedUseServicePlans/Read | Lea las propiedades de Los planes de servicio de uso compartido de PC en la nube. |
| Instantánea/lectura | Lea la instantánea del equipo en la nube. |
| Instantánea/recurso compartido | Comparta la instantánea del equipo en la nube. |
| Región o lectura admitidas | Lea las regiones admitidas de Cloud PC. |
| Configuración o asignación del usuario | Asigne una configuración de usuario de PC en la nube a grupos de usuarios. |
| Configuración del usuario/Create | Create una nueva configuración de usuario de PC en la nube. |
| Configuración o eliminación del usuario | Elimine una configuración de usuario de PC en la nube. |
| Configuración o lectura del usuario | Lea las propiedades de una configuración de usuario de PC en la nube. |
| Configuración o actualización del usuario | Actualice las propiedades de una configuración de usuario de PC en la nube. |
Para crear una directiva de aprovisionamiento, un administrador necesita los siguientes permisos:
- Aprovisionamiento de directivas o lectura
- Directivas de aprovisionamiento/Create
- Azure Network Connections/Read
- Región o lectura admitidas
- Imágenes o lectura del dispositivo
Migración de permisos existentes
En el caso de las ANC creadas antes del 26 de noviembre de 2023, el rol Colaborador de red se usa para aplicar permisos tanto en el grupo de recursos como en Virtual Network. Para aplicar a los nuevos roles de RBAC, puede volver a intentar la comprobación de estado de ANC. Los roles existentes se deben quitar manualmente.
Para quitar manualmente los roles existentes y agregar los nuevos roles, consulte la tabla siguiente para ver los roles existentes que se usan en cada recurso de Azure. Antes de quitar los roles existentes, asegúrese de que se asignan los roles actualizados.
| Recurso de Azure | Rol existente (antes del 26 de noviembre de 2023) | Rol actualizado (después del 26 de noviembre de 2023) |
|---|---|---|
| Grupo de recursos | Colaborador de red | Colaborador de la interfaz de red de Windows 365 |
| Red virtual | Colaborador de red | Windows 365 usuario de red |
| Suscripción | Lector | Lector |
Para obtener más información sobre cómo quitar una asignación de roles de un recurso de Azure, consulte Eliminación de asignaciones de roles de Azure.
Etiquetas de ámbito
En el caso de RBAC, los roles solo forman parte de la ecuación. Aunque los roles funcionan bien para definir un conjunto de permisos, las etiquetas de ámbito ayudan a definir la visibilidad de los recursos de la organización. Las etiquetas de ámbito son más útiles al organizar el inquilino para que los usuarios tengan el ámbito de determinadas jerarquías, regiones geográficas, unidades de negocio, etc.
Use Intune para crear y administrar etiquetas de ámbito. Para obtener más información sobre cómo se crean y administran las etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.
En Windows 365, las etiquetas de ámbito se pueden aplicar a los siguientes recursos:
- Directivas de aprovisionamiento
- Conexiones de red de Azure (ANC)
- Equipos en la nube
- Imágenes personalizadas
- Windows 365 asignaciones de roles de RBAC
Para asegurarse de que tanto la lista de todos los dispositivos propiedad de Intune como la lista De todos los equipos en la nube propiedad de Windows 365 muestran los mismos equipos en la nube en función del ámbito, siga estos pasos después de crear las etiquetas de ámbito y la directiva de aprovisionamiento:
- Create un grupo de dispositivos dinámicos de Microsoft Entra ID con una regla que enrollmentProfileName es igual al nombre exacto de la directiva de aprovisionamiento creada.
- Asigne la etiqueta de ámbito creada al grupo de dispositivos dinámicos.
- Después de aprovisionar y inscribir el equipo en la nube en Intune, tanto la lista Todos los dispositivos como la lista Todos los equipos en la nube deben mostrar los mismos equipos en la nube.
Para permitir que los administradores con ámbito vean qué etiquetas de ámbito se les asignan y los objetos dentro de su ámbito, se les debe asignar uno de los siguientes roles:
- Intune solo lectura
- Lector o administrador de PC en la nube
- Un rol personalizado con permisos similares.
Siguientes pasos
Control de acceso basado en rol (RBAC) con Microsoft Intune.
Descripción de las definiciones de roles de Azure
¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de