Contrôle d'accès basé sur les rôles
Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer qui a accès aux ressources de votre organisation et ce qu’ils peuvent faire avec ces ressources. Vous pouvez attribuer des rôles pour vos PC cloud à l’aide du Centre d’administration Microsoft Intune.
Lorsqu’un utilisateur disposant du rôle Propriétaire de l’abonnement ou Administrateur de l’accès utilisateur crée, modifie ou retente un ANC, Windows 365 attribue en toute transparence les rôles intégrés requis les ressources suivantes (si elles ne sont pas déjà affectées) :
- Abonnement Azure
- Groupe de ressources
- Réseau virtuel associé à l’ANC
Si vous avez uniquement le rôle Lecteur d’abonnement, ces affectations ne sont pas automatiques. Au lieu de cela, vous devez configurer manuellement les rôles intégrés requis pour l’application interne Windows dans Azure.
Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Rôle Administrateur Windows 365
Windows 365 prend en charge le rôle Administrateur Windows 365 disponible pour l’attribution de rôle via le Centre d’administration Microsoft et l’ID Microsoft Entra. Grâce à ce rôle, vous pouvez gérer Windows pc cloud 365 pour les éditions Enterprise et Business. Le rôle Administrateur Windows 365 peut accorder des autorisations plus étendues que d’autres rôles Microsoft Entra comme Administrateur général. Pour plus d’informations, consultez Rôles intégrés Microsoft Entra.
Rôles intégrés des PC cloud
Les rôles intégrés suivants sont disponibles pour pc cloud :
Administrateur de PC en cloud
Gère tous les aspects des PC cloud, comme :
- La gestion des images de système d’exploitation
- Configuration de la connexion au réseau Azure
- Approvisionnement
Lecteur PC en cloud
Affiche les données de PC cloud disponibles dans le nœud Windows 365 dans Microsoft Intune, mais ne peut pas apporter de modifications.
Contributeur d’interface réseau Windows 365
Le rôle Contributeur d’interface réseau Windows 365 est attribué au groupe de ressources associé à la connexion réseau Azure (ANC). Ce rôle permet au service Windows 365 de créer et de rejoindre la carte réseau et de gérer le déploiement dans le groupe de ressources. Ce rôle est une collection des autorisations minimales requises pour utiliser Windows 365 lors de l’utilisation d’un ANC.
| Type d’action | Autorisations |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Aucune |
| dataActions | Aucune |
| notDataActions | Aucune |
Utilisateur réseau Windows 365
Le rôle Utilisateur réseau Windows 365 est attribué au réseau virtuel associé à l’ANC. Ce rôle permet au service Windows 365 de joindre la carte réseau au réseau virtuel. Ce rôle est une collection des autorisations minimales requises pour utiliser Windows 365 lors de l’utilisation d’un ANC.
| Type d’action | Autorisations |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Aucune |
| dataActions | Aucune |
| notDataActions | Aucune |
Rôles personnalisés
Vous pouvez créer des rôles personnalisés pour Windows 365 dans le Centre d’administration Microsoft Intune. Pour plus d’informations, voir Créer un rôle personnalisé.
Les autorisations suivantes sont disponibles lors de la création de rôles personnalisés.
| Autorisation | Description |
|---|---|
| Données d’audit/lecture | Lisez les journaux d’audit des ressources pc cloud dans votre locataire. |
| Connexions réseau Azure/Créer | Créez une connexion locale pour l’approvisionnement de PC cloud. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour créer une connexion locale. |
| Connexions réseau Azure/Supprimer | Supprimer une connexion locale spécifique. Rappel : Vous ne pouvez pas supprimer une connexion en cours d’utilisation. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour supprimer une connexion locale. |
| Connexions réseau Azure/Lecture | Lisez les propriétés des connexions locales. |
| Connexions réseau Azure/Mise à jour | Mettez à jour les propriétés d’une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour mettre à jour une connexion locale. |
| Connexions réseau Azure/RunHealthChecks | Exécutez des vérifications d’intégrité sur une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour exécuter des vérifications d’intégrité. |
| Connexions réseau Azure/UpdateAdDomainPassword | Mettre à jour le mot de passe de domaine Active Directory d’une connexion locale spécifique. |
| PC cloud/Lecture | Lisez les propriétés des PC cloud dans votre locataire. |
| PC cloud/reprovisionnement | Reprovisionner les PC cloud dans votre locataire. |
| PC cloud/Redimensionnement | Redimensionnez les PC cloud dans votre locataire. |
| PC cloud/EndGracePeriod | Fin de la période de grâce pour les PC cloud de votre locataire. |
| PC cloud/Restauration | Restaurez les PC cloud dans votre locataire. |
| PC cloud/Redémarrage | Redémarrez les PC cloud dans votre locataire. |
| Pc cloud/Renommage | Renommez les PC cloud dans votre locataire. |
| Pc cloud/Résolution des problèmes | Résoudre les problèmes liés aux PC cloud dans votre locataire. |
| Pc cloud/ChangeUserAccountType | Modifiez le type de compte d’utilisateur entre l’administrateur local et l’utilisateur standard d’un PC cloud dans votre locataire. |
| PC cloud/PlaceUnderReview | Définissez les PC cloud en cours de révision dans votre locataire. |
| Pc cloud/RetryPartnerAgentInstallation | Tentative de réinstallation des agents partenaires tiers dans un PC cloud qui n’a pas pu être installé. |
| Pc cloud/ApplyCurrentProvisioningPolicy | Appliquez la configuration actuelle de la stratégie d’approvisionnement aux PC cloud de votre locataire. |
| PC cloud/CreateSnapshot | Créez manuellement un instantané pour les PC cloud dans votre locataire. |
| Images d’appareil/Créer | Chargez une image de système d’exploitation personnalisée que vous pourrez provisionner ultérieurement sur des PC cloud. |
| Images d’appareil/Suppression | Supprimer une image de système d’exploitation d’un PC cloud. |
| Images d’appareil/Lecture | Lisez les propriétés des images d’appareil PC cloud. |
| Paramètres du partenaire externe/lecture | Lisez les propriétés d’un paramètre partenaire externe pc cloud. |
| Paramètres du partenaire externe/Créer | Créez un paramètre partenaire externe PC cloud. |
| Paramètres/Mise à jour du partenaire externe | Mettez à jour les propriétés d’un paramètre partenaire externe de PC cloud. |
| Paramètres de l’organisation/Lecture | Lisez les propriétés des paramètres de l’organisation du PC cloud. |
| Paramètres de l’organisation/Mise à jour | Mettez à jour les propriétés des paramètres de l’organisation du PC cloud. |
| Rapports sur les performances/Lecture | Lisez les rapports relatifs aux connexions à distance des PC cloud Windows 365. |
| Stratégies d’approvisionnement/Affectation | Affectez une stratégie d’approvisionnement de PC cloud à des groupes d’utilisateurs. |
| Stratégies d’approvisionnement/Créer | Créez une stratégie d’approvisionnement de PC cloud. |
| Stratégies d’approvisionnement/Suppression | Supprimer une stratégie d’approvisionnement de PC cloud. Vous ne pouvez pas supprimer une stratégie en cours d’utilisation. |
| Stratégies d’approvisionnement/lecture | Lisez les propriétés d’une stratégie d’approvisionnement de PC cloud. |
| Stratégies d’approvisionnement/Mise à jour | Mettez à jour les propriétés d’une stratégie d’approvisionnement de PC cloud. |
| Rapports/Exportation | Exportez les rapports associés à Windows 365. |
| Attributions de rôles/Créer | Créez une attribution de rôle PC cloud. |
| Attributions de rôles/mise à jour | Mettez à jour les propriétés d’une attribution de rôle PC cloud spécifique. |
| Attributions de rôles/Suppression | Supprimer une attribution de rôle PC cloud spécifique. |
| Rôles/Lecture | Affichez les autorisations, les définitions de rôle et les attributions de rôles pour le rôle PC cloud. Afficher l’opération ou l’action qui peut être effectuée sur une ressource (ou une entité DE PC cloud). |
| Rôles/Créer | Créer un rôle pour pc cloud. Les opérations de création peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
| Rôles/Mise à jour | Mettre à jour le rôle pour le PC cloud. Les opérations de mise à jour peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
| Rôles/Supprimer | Supprimer le rôle pour PC cloud. Les opérations de suppression peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
| Plan de service/Lecture | Lisez les plans de service du PC cloud. |
| SharedUseLicenseUsageReports/Read | Lisez les rapports relatifs à l’utilisation partagée des licences d’utilisation de Windows 365 Cloud PC cloud. |
| SharedUseServicePlans/Read | Lisez les propriétés des plans de service d’utilisation partagée de PC cloud. |
| Instantané/Lecture | Lisez l’instantané du PC cloud. |
| Instantané/Partage | Partagez l’instantané du PC cloud. |
| Région/Lecture prises en charge | Lisez les régions prises en charge de CLOUD PC. |
| Paramètres utilisateur/Affectation | Affectez un paramètre utilisateur de PC cloud à des groupes d’utilisateurs. |
| Paramètres utilisateur/Créer | Créez un paramètre utilisateur pc cloud. |
| Paramètres utilisateur/Supprimer | Supprimer un paramètre utilisateur d’un PC cloud. |
| Paramètres utilisateur/Lecture | Lisez les propriétés d’un paramètre utilisateur d’un PC cloud. |
| Paramètres utilisateur/Mise à jour | Mettez à jour les propriétés d’un paramètre utilisateur d’un PC cloud. |
Pour créer une stratégie d’approvisionnement, un administrateur a besoin des autorisations suivantes :
- Stratégies d’approvisionnement/lecture
- Stratégies d’approvisionnement/Créer
- Connexions réseau Azure/Lecture
- Région/Lecture prises en charge
- Images d’appareil/Lecture
Migration d’autorisations existantes
Pour les ANC créés avant le 26 novembre 2023, le rôle Contributeur de réseau est utilisé pour appliquer des autorisations sur le groupe de ressources et le réseau virtuel. Pour appliquer aux nouveaux rôles RBAC, vous pouvez réessayer le contrôle d’intégrité ANC. Les rôles existants doivent être supprimés manuellement.
Pour supprimer manuellement les rôles existants et ajouter les nouveaux rôles, reportez-vous au tableau suivant pour connaître les rôles existants utilisés sur chaque ressource Azure. Avant de supprimer les rôles existants, assurez-vous que les rôles mis à jour sont attribués.
| Ressource Azure | Rôle existant (avant le 26 novembre 2023) | Rôle mis à jour (après le 26 novembre 2023) |
|---|---|---|
| Groupe de ressources | Contributeur réseau | Contributeur d’interface réseau Windows 365 |
| Réseau virtuel | Contributeur réseau | Utilisateur réseau Windows 365 |
| Abonnement | Lecteur | Lecteur |
Pour plus d’informations sur la suppression d’une attribution de rôle d’une ressource Azure, consultez Supprimer les attributions de rôles Azure.
Balises d'étendue
La prise en charge de Windows 365 pour les balises d’étendue est en préversion publique.
Pour RBAC, les rôles ne font qu’une partie de l’équation. Bien que les rôles fonctionnent bien pour définir un ensemble d’autorisations, les balises d’étendue permettent de définir la visibilité des ressources de votre organisation. Les balises d’étendue sont les plus utiles lors de l’organisation de votre locataire pour que les utilisateurs soient limités à certaines hiérarchies, régions géographiques, unités commerciales, etc.
Utilisez Intune pour créer et gérer des balises d’étendue. Pour plus d’informations sur la façon dont les balises d’étendue sont créées et gérées, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
Dans Windows 365, les balises d’étendue peuvent être appliquées aux ressources suivantes :
- Stratégies de configuration
- Connexions réseau Azure (ANC)
- PC cloud
- Images personnalisées
- Attributions de rôles RBAC Windows 365
Pour vous assurer que la liste Tous les appareils appartenant à Intune et la liste Tous les PC cloud appartenant à Windows 365 affichent les mêmes PC cloud en fonction de l’étendue, procédez comme suit après avoir créé vos étiquettes d’étendue et votre stratégie d’approvisionnement :
- Créez un groupe d’appareils dynamique d’ID Microsoft Entra avec la règle selon laquelle enrollmentProfileName est égal au nom exact de la stratégie d’approvisionnement créée.
- Affectez la balise d’étendue créée au groupe d’appareils dynamique.
- Une fois le PC cloud approvisionné et inscrit dans Intune, la liste Tous les appareils et la liste Tous les PC cloud doivent afficher les mêmes PC cloud.
Pour permettre aux administrateurs délimités d’afficher les balises d’étendue qui leur sont affectées et les objets dans leur étendue, l’un des rôles suivants doit leur être attribué :
- Intune en lecture seule
- Lecteur/administrateur de PC cloud
- Rôle personnalisé avec des autorisations similaires.
Actions en bloc de l’API Graph et balises d’étendue pendant la préversion publique
Pendant la durée de la préversion publique des balises d’étendue, les actions en bloc suivantes ne respectent pas les balises d’étendue lorsqu’elles sont appelées directement à partir de l’API Graph :
- Restaurer
- Réapprovisionner
- Passer en revue le PC cloud
- Supprimer le PC cloud en cours d’examen
- Partager le point de restauration d’un PC cloud dans le stockage
- Créer un point de restauration manuelle d’un PC cloud
Étapes suivantes
Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Comprendre les définitions de rôle Azure
Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?