Control de acceso basado en roles
El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Puede asignar roles para los equipos en la nube mediante el Centro de administración de Microsoft Intune.
Cuando un usuario con el rol Propietario de suscripción o Administrador de acceso de usuario crea, edita o reintenta un ANC, Windows 365 asigna de forma transparente los roles integrados necesarios a los siguientes recursos (si aún no están asignados):
- Suscripción a Azure
- Grupo de recursos
- Red virtual asociada al ANC
Si solo tiene el rol Lector de suscripciones, estas asignaciones no son automáticas. En su lugar, debe configurar manualmente los roles integrados necesarios para la aplicación windows first party en Azure.
Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.
Rol Administrador de Windows 365
Windows 365 admite el rol de administrador de Windows 365 disponible para la asignación de roles a través del Centro de administración de Microsoft y el identificador de Microsoft Entra. Con este rol, puede administrar equipos en la nube de Windows 365 para las ediciones Enterprise y Business. El rol Administrador de Windows 365 puede conceder más permisos de ámbito que otros roles de Microsoft Entra, como administrador global. Para obtener más información, consulte Roles integrados de Microsoft Entra.
Roles integrados de PC en la nube
Los siguientes roles integrados están disponibles para pc en la nube:
Administrador de equipo en la nube
Administra todos los aspectos de los equipos en la nube, como:
- Administración de imágenes de SO
- Configuración de conexión de red de Azure
- Aprovisionamiento
Lector de equipo en la nube
Visualiza los datos de PC en la nube disponibles en el nodo Windows 365 de Microsoft Intune, pero no puede realizar cambios.
Colaborador de la interfaz de red de Windows 365
El rol Colaborador de la interfaz de red de Windows 365 se asigna al grupo de recursos asociado a la conexión de red de Azure (ANC). Este rol permite al servicio Windows 365 crear y unirse a la NIC y administrar la implementación en el grupo de recursos. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Usuario de red de Windows 365
El rol Usuario de red de Windows 365 se asigna a la red virtual asociada a anc. Este rol permite que el servicio de Windows 365 una la NIC a la red virtual. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Roles personalizados
Puede crear roles personalizados para Windows 365 en el Centro de administración de Microsoft Intune. Para obtener más información, vea Crear un rol personalizado.
Los siguientes permisos estarán disponibles cuando cree roles personalizados.
| Permiso | Descripción |
|---|---|
| Auditar datos o lecturas | Lea los registros de auditoría de los recursos del equipo en la nube en el inquilino. |
| Azure Network Connections/Create | Cree una conexión local para aprovisionar equipos en la nube. También se requiere el rol de azure propietario de suscripción o administrador de acceso de usuario para crear una conexión local. |
| Azure Network Connections/Delete | Elimine una conexión local específica. Recordatorio: No se puede eliminar una conexión en uso. El rol de Azure de administrador de acceso de usuario o propietario de suscripción también es necesario para eliminar una conexión local. |
| Conexiones o lectura de red de Azure | Lea las propiedades de las conexiones locales. |
| Azure Network Connections/Update | Actualice las propiedades de una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para actualizar una conexión local. |
| Conexiones de red de Azure/RunHealthChecks | Ejecute comprobaciones de estado en una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para ejecutar comprobaciones de estado. |
| Conexiones de red de Azure/UpdateAdDomainPassword | Actualice la contraseña de dominio de Active Directory de una conexión local específica. |
| Equipos en la nube o lectura | Lea las propiedades de los equipos en la nube en el inquilino. |
| Equipos en la nube/Reprovision | Reprovisione equipos en la nube en el inquilino. |
| Pc en la nube/cambio de tamaño | Cambie el tamaño de los equipos en la nube en el inquilino. |
| Equipos en la nube/EndGracePeriod | Finalizar el período de gracia de los equipos en la nube en el inquilino. |
| Equipos en la nube o restauración | Restaure equipos en la nube en el inquilino. |
| Equipos en la nube o reinicio | Reinicie los equipos en la nube en el inquilino. |
| Equipos en la nube/cambio de nombre | Cambie el nombre de los equipos en la nube en el inquilino. |
| Pc en la nube o solución de problemas | Solución de problemas de equipos en la nube en el inquilino. |
| Equipos en la nube/ChangeUserAccountType | Cambie el tipo de cuenta de usuario entre el administrador local y el usuario estándar de un equipo en la nube en el inquilino. |
| Pc en la nube/PlaceUnderReview | Establezca equipos en la nube en revisión en el inquilino. |
| Pc en la nube/RetryPartnerAgentInstallation | Intente volver a instalar agentes asociados de terceros en un equipo en la nube que no se pudo instalar. |
| Pc en la nube/ApplyCurrentProvisioningPolicy | Aplique la configuración de directiva de aprovisionamiento actual a los equipos en la nube del inquilino. |
| Pc en la nube/CreateSnapshot | Cree manualmente una instantánea para equipos en la nube en el inquilino. |
| Imágenes o creación de dispositivos | Cargue una imagen de sistema operativo personalizada que pueda aprovisionar más adelante en equipos en la nube. |
| Imágenes o eliminación de dispositivos | Elimine una imagen del sistema operativo del equipo en la nube. |
| Imágenes o lectura del dispositivo | Lea las propiedades de las imágenes de dispositivo de PC en la nube. |
| Configuración o lectura de asociados externos | Lea las propiedades de una configuración de asociado externo de PC en la nube. |
| Configuración o creación de asociados externos | Cree una nueva configuración de asociado externo de Cloud PC. |
| Configuración o actualización de asociados externos | Actualice las propiedades de una configuración de asociado externo de Pc en la nube. |
| Configuración o lectura de la organización | Lea las propiedades de la configuración de la organización de PC en la nube. |
| Configuración o actualización de la organización | Actualice las propiedades de la configuración de la organización de PC en la nube. |
| Informes de rendimiento/lectura | Lea los informes relacionados con las conexiones remotas de Windows 365 Cloud PC. |
| Aprovisionamiento de directivas o asignación | Asigne una directiva de aprovisionamiento de EQUIPOS en la nube a grupos de usuarios. |
| Aprovisionamiento de directivas o creación | Cree una nueva directiva de aprovisionamiento de EQUIPOS en la nube. |
| Directivas de aprovisionamiento o eliminación | Elimine una directiva de aprovisionamiento de PC en la nube. No se puede eliminar una directiva que esté en uso. |
| Aprovisionamiento de directivas o lectura | Lea las propiedades de una directiva de aprovisionamiento de PC en la nube. |
| Aprovisionamiento de directivas o actualización | Actualice las propiedades de una directiva de aprovisionamiento de EQUIPOS en la nube. |
| Informes o exportación | Exportar informes relacionados con Windows 365. |
| Asignaciones de roles/creación | Cree una nueva asignación de roles de PC en la nube. |
| Asignaciones o actualizaciones de roles | Actualice las propiedades de una asignación de roles de PC en la nube específica. |
| Asignaciones o eliminaciones de roles | Elimine una asignación de roles de PC en la nube específica. |
| Roles/Leer | Ver permisos, definiciones de roles y asignaciones de roles para el rol de PC en la nube. Ver la operación o acción que se puede realizar en un recurso de PC en la nube (o entidad). |
| Roles/Crear | Crear rol para pc en la nube. Las operaciones de creación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Actualizar | Actualizar rol para pc en la nube. Las operaciones de actualización se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Eliminar | Eliminar rol para pc en la nube. Las operaciones de eliminación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Plan de servicio/lectura | Lea los planes de servicio de Cloud PC. |
| SharedUseLicenseUsageReports/Read | Lea los informes relacionados con el uso compartido de licencias de windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Lea las propiedades de Los planes de servicio de uso compartido de PC en la nube. |
| Instantánea/lectura | Lea la instantánea del equipo en la nube. |
| Instantánea/recurso compartido | Comparta la instantánea del equipo en la nube. |
| Región o lectura admitidas | Lea las regiones admitidas de Cloud PC. |
| Configuración o asignación del usuario | Asigne una configuración de usuario de PC en la nube a grupos de usuarios. |
| Configuración o creación de usuario | Cree una nueva configuración de usuario de PC en la nube. |
| Configuración o eliminación del usuario | Elimine una configuración de usuario de PC en la nube. |
| Configuración o lectura del usuario | Lea las propiedades de una configuración de usuario de PC en la nube. |
| Configuración o actualización del usuario | Actualice las propiedades de una configuración de usuario de PC en la nube. |
Para crear una directiva de aprovisionamiento, un administrador necesita los siguientes permisos:
- Aprovisionamiento de directivas o lectura
- Aprovisionamiento de directivas o creación
- Conexiones o lectura de red de Azure
- Región o lectura admitidas
- Imágenes o lectura del dispositivo
Migración de permisos existentes
En el caso de las ANC creadas antes del 26 de noviembre de 2023, el rol Colaborador de red se usa para aplicar permisos tanto en el grupo de recursos como en la red virtual. Para aplicar a los nuevos roles de RBAC, puede volver a intentar la comprobación de estado de ANC. Los roles existentes se deben quitar manualmente.
Para quitar manualmente los roles existentes y agregar los nuevos roles, consulte la tabla siguiente para ver los roles existentes que se usan en cada recurso de Azure. Antes de quitar los roles existentes, asegúrese de que se asignan los roles actualizados.
| Recurso de Azure | Rol existente (antes del 26 de noviembre de 2023) | Rol actualizado (después del 26 de noviembre de 2023) |
|---|---|---|
| Grupo de recursos | Colaborador de red | Colaborador de la interfaz de red de Windows 365 |
| Red virtual | Colaborador de red | Usuario de red de Windows 365 |
| Suscripción | Lector | Lector |
Para obtener más información sobre cómo quitar una asignación de roles de un recurso de Azure, consulte Eliminación de asignaciones de roles de Azure.
Etiquetas de ámbito
La compatibilidad de Windows 365 con etiquetas de ámbito está en versión preliminar pública.
En el caso de RBAC, los roles solo forman parte de la ecuación. Aunque los roles funcionan bien para definir un conjunto de permisos, las etiquetas de ámbito ayudan a definir la visibilidad de los recursos de la organización. Las etiquetas de ámbito son más útiles al organizar el inquilino para que los usuarios tengan el ámbito de determinadas jerarquías, regiones geográficas, unidades de negocio, etc.
Use Intune para crear y administrar etiquetas de ámbito. Para obtener más información sobre cómo se crean y administran las etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.
En Windows 365, las etiquetas de ámbito se pueden aplicar a los siguientes recursos:
- Directivas de aprovisionamiento
- Conexiones de red de Azure (ANC)
- Equipos en la nube
- Imágenes personalizadas
- Asignaciones de roles de RBAC de Windows 365
Para asegurarse de que tanto la lista todos los dispositivos propiedad de Intune como la lista Todos los equipos en la nube propiedad de Windows 365 muestran los mismos equipos en la nube en función del ámbito, siga estos pasos después de crear las etiquetas de ámbito y la directiva de aprovisionamiento:
- Cree un grupo de dispositivos dinámicos de Microsoft Entra ID con una regla que enrollmentProfileName sea igual al nombre exacto de la directiva de aprovisionamiento creada.
- Asigne la etiqueta de ámbito creada al grupo de dispositivos dinámicos.
- Después de aprovisionar y inscribir el equipo en la nube en Intune, tanto la lista Todos los dispositivos como la lista Todos los equipos en la nube deben mostrar los mismos equipos en la nube.
Para permitir que los administradores con ámbito vean qué etiquetas de ámbito se les asignan y los objetos dentro de su ámbito, se les debe asignar uno de los siguientes roles:
- Solo lectura de Intune
- Lector o administrador de PC en la nube
- Un rol personalizado con permisos similares.
Acciones masivas de Graph API y etiquetas de ámbito durante la versión preliminar pública
Durante la versión preliminar pública de las etiquetas de ámbito, las siguientes acciones masivas no respetan las etiquetas de ámbito cuando se llama directamente desde Graph API:
- Restaurar
- Reaprovisionamiento
- Colocación del equipo en la nube en revisión
- Eliminación del equipo en la nube en revisión
- Compartir punto de restauración de PC en la nube con almacenamiento
- Creación de un punto de restauración manual de PC en la nube
Siguientes pasos
Control de acceso basado en rol (RBAC) con Microsoft Intune.
Descripción de las definiciones de roles de Azure
¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?