Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Puede asignar roles para los equipos en la nube mediante el centro de administración de Microsoft Intune.
Cuando un usuario con el rol Propietario de suscripción o Administrador de acceso de usuario crea, edita o reintenta un ANC, Windows 365 asigna de forma transparente los roles integrados necesarios a los siguientes recursos (si aún no están asignados):
- Suscripción a Azure
- Grupo de recursos
- Red virtual asociada al ANC
Si solo tiene el rol Lector de suscripciones, estas asignaciones no son automáticas. En su lugar, debe configurar manualmente los roles integrados necesarios para la aplicación windows first party en Azure.
Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.
Rol Administrador de Windows 365
Windows 365 admite el rol de administrador de Windows 365 disponible para la asignación de roles a través del Centro de microsoft Administración y Microsoft Entra ID. Con este rol, puede administrar equipos en la nube de Windows 365 para las ediciones Enterprise y Business. El rol de administrador de Windows 365 puede conceder más permisos de ámbito que otros roles de Microsoft Entra como administrador global. Para obtener más información, consulte Microsoft Entra roles integrados.
Roles integrados de PC en la nube
Los siguientes roles integrados están disponibles para pc en la nube:
Administrador de equipo en la nube
Administra todos los aspectos de los equipos en la nube, como:
- Administración de imágenes de SO
- Configuración de conexión de red de Azure
- Aprovisionamiento
Lector de equipo en la nube
Visualiza los datos del equipo en la nube disponibles en el nodo Windows 365 de Microsoft Intune, pero no puede realizar cambios.
Colaborador de la interfaz de red de Windows 365
El rol colaborador de Windows 365 interfaz de red se asigna al grupo de recursos asociado a la conexión de red de Azure (ANC). Este rol permite que el servicio de Windows 365 cree y una la NIC y administre la implementación en el grupo de recursos. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Windows 365 usuario de red
El rol de usuario de red Windows 365 se asigna a la red virtual asociada al ANC. Este rol permite que el servicio de Windows 365 una la NIC a la red virtual. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Roles personalizados
Puede crear roles personalizados para Windows 365 en Microsoft Intune centro de administración. Para obtener más información, vea Crear un rol personalizado.
Los siguientes permisos estarán disponibles cuando cree roles personalizados.
| Permiso | Descripción |
|---|---|
| ActionStatus/Read | Lea los informes de estado de acción de PC en la nube. |
| AdminHighlights/Operate | Recuperar las acciones que se han realizado para administrar los puntos destacados del administrador y las propiedades de los resaltados del administrador |
| AuditData/Read | Lea los registros de auditoría de los recursos del equipo en la nube en el inquilino. |
| Azure conexiones de red/crear | Cree una conexión local para aprovisionar equipos en la nube. El propietario de la suscripción o el administrador de acceso de usuario Azure rol también es necesario para crear una conexión local. |
| Azure conexiones de red o eliminación | Elimine una conexión local específica. Recordatorio: No se puede eliminar una conexión en uso. El propietario de la suscripción o el administrador de acceso de usuario Azure rol también es necesario para eliminar una conexión local. |
| Azure conexiones de red o lectura | Lea las propiedades de las conexiones locales. |
| Azure Conexiones de red/RunHealthChecks | Ejecute comprobaciones de estado en una conexión local específica. El propietario de la suscripción o el administrador de acceso de usuario Azure rol también son necesarios para ejecutar comprobaciones de estado. |
| Azure conexiones de red o actualización | Actualice las propiedades de una conexión local específica. El propietario de la suscripción o el administrador de acceso de usuario Azure rol también es necesario para actualizar una conexión local. |
| Azure Conexiones de red/UpdateAdDomainPassword | Actualice la contraseña de dominio de Active Directory de una conexión local específica. |
| BulkActions/Read | Lea las propiedades de Acciones masivas de PC en la nube. |
| BulkActions/Write | Cree una nueva acción masiva de PC en la nube. |
| CloudApps/Create | Cree una nueva aplicación en la nube. |
| CloudApps/Delete | Elimine una aplicación en la nube. |
| CloudApps/Publish | Publicar una aplicación en la nube. |
| CloudApps/Read | Lea las propiedades de una aplicación en la nube o una aplicación detectada. |
| CloudApps/Reset | Restablezca una aplicación en la nube. |
| CloudApps/Unpublish | Anular la publicación de una aplicación en la nube. |
| CloudApps/Update | Actualice las propiedades de una aplicación en la nube. |
| CloudPCs/ChangeUserAccountType | Cambie el tipo de cuenta de usuario entre el administrador local y el usuario estándar de un equipo en la nube en el inquilino. |
| CloudPCs/CheckAgentStatus | Desencadene comprobaciones de estado del agente para equipos en la nube en el inquilino. |
| CloudPCs/CreateSnapshot | Cree manualmente una instantánea para equipos en la nube en el inquilino. |
| CloudPCs/Desaprovisionamiento | Desaprovisione equipos en la nube en el inquilino. |
| CloudPCs/DisasterRecoveryFailback | Desactive la recuperación ante desastres entre regiones para equipos en la nube en el inquilino. |
| CloudPCs/DisasterRecoveryFailover | Active la recuperación ante desastres entre regiones para equipos en la nube en el inquilino. |
| CloudPCs/EndGracePeriod | Finalizar el período de gracia de los equipos en la nube en el inquilino. |
| CloudPCs/GetCloudPcLaunchInfo | Obtenga la información de inicio de CloudPC en el inquilino. |
| CloudPCs/ModifyDiskEncryptionType | Modifique el tipo de cifrado de disco pc en la nube en el inquilino. |
| CloudPCs/PlaceUnderReview | Establezca equipos en la nube en revisión en el inquilino. |
| CloudPCs/PowerOff | Apague los equipos en la nube en el inquilino. |
| CloudPCs/PowerOn | Encienda los equipos en la nube en el inquilino. |
| CloudPCs/Provision | Aprovisione equipos en la nube en el inquilino. |
| CloudPCs/Read | Lea las propiedades de los equipos en la nube en el inquilino. |
| CloudPCs/Reboot | Reinicie los equipos en la nube en el inquilino. |
| CloudPCs/ReinstallAgent | Vuelva a instalar el agente para equipos en la nube en el inquilino. |
| CloudPCs/Rename | Cambie el nombre de los equipos en la nube en el inquilino. |
| CloudPCs/Reprovision | Reprovisione equipos en la nube en el inquilino. |
| CloudPCs/Resize | Cambie el tamaño de los equipos en la nube en el inquilino. |
| CloudPCs/Restore | Restaure equipos en la nube en el inquilino. |
| CloudPCs/RetrieveAgentStatus | Recupere el estado del agente para los equipos en la nube en el inquilino. |
| CloudPCs/RetryPartnerAgentInstallation | Intente volver a instalar agentes asociados de terceros en un equipo en la nube que no se pudieron instalar. |
| CloudPCs/SetDeviceName | Establezca el nombre real del dispositivo de los equipos en la nube en el inquilino. |
| CloudPCs/Start | Inicie equipos en la nube en el inquilino. |
| CloudPCs/Stop | Detenga los equipos en la nube en el inquilino. |
| CloudPCs/Troubleshooting | Solución de problemas de equipos en la nube en el inquilino. |
| CloudPCUserSettingsPersistence/Delete | Elimine el almacenamiento de usuario guardado vinculado a la directiva de aprovisionamiento de un equipo en la nube. |
| CloudPCUserSettingsPersistence/Read | Lea el almacenamiento de sincronización de la experiencia de usuario del equipo en la nube, incluido el almacenamiento total y usado, y las asignaciones de almacenamiento de usuarios individuales. |
| CloudPCUserSettingsPersistence/Update | Actualice la configuración de sincronización de la experiencia de usuario del equipo en la nube, incluida la configuración de limpieza automática y el tamaño dinámico. |
| CrossRegionDisasterRecovery/Read | Lea los informes de recuperación ante desastres entre regiones de PC en la nube Windows 365. |
| Imágenes o creación de dispositivos | Cargue una imagen de sistema operativo personalizada que pueda aprovisionar más adelante en equipos en la nube. |
| Imágenes o eliminación de dispositivos | Elimine una imagen del sistema operativo del equipo en la nube. |
| Imágenes o lectura del dispositivo | Lea las propiedades de las imágenes de dispositivo de PC en la nube. |
| Imágenes o actualizaciones de dispositivos | Novedades las propiedades de una imagen de dispositivo de PC en la nube. Actualmente, solo se puede modificar la propiedad scopeIds mediante el método PATCH. |
| DeviceRecommendation/Read | Lea los informes relacionados con las recomendaciones de dispositivos CloudPCs. |
| Configuración o creación de asociados externos | Cree una nueva configuración de asociado externo de Cloud PC. |
| Configuración o lectura de asociados externos | Lea las propiedades de una configuración de asociado externo de PC en la nube. |
| Configuración o actualización de asociados externos | Actualice las propiedades de una configuración de asociado externo de Pc en la nube. |
| FrontLineServicePlans/Read | Lea las propiedades de Cloud PC Front Line Service Plans. |
| FrontlineReports/Read | Lea los informes de primera línea de PC en la nube Windows 365. |
| InaccessibleReports/Read | Lea los informes de equipos en la nube inaccesibles. |
| MaintenanceWindows/Assign | Asigne una ventana de mantenimiento de PC en la nube a grupos de usuarios. |
| MaintenanceWindows/Create | Cree una nueva ventana de mantenimiento de PC en la nube. |
| MaintenanceWindows/Delete | Elimine una ventana de mantenimiento de PC en la nube. No se puede eliminar una ventana de mantenimiento que esté en uso. |
| MaintenanceWindows/Read | Lea las propiedades de una ventana de mantenimiento de PC en la nube. |
| MaintenanceWindows/Update | Actualice las propiedades de una ventana de mantenimiento de PC en la nube. |
| ManagedLicenses/Read | Lea las propiedades de los planes de servicio administrados de Windows365. |
| Configuración o lectura de la organización | Lea las propiedades de la configuración de la organización de PC en la nube. |
| Configuración o actualización de la organización | Actualice las propiedades de la configuración de la organización de PC en la nube. |
| PerformanceReports/Read | Lea el PC en la nube Windows 365 los informes relacionados con las conexiones remotas. |
| Directivas de aprovisionamiento o aplicación | Aplique la configuración de directiva de aprovisionamiento actual a los equipos en la nube del inquilino. |
| Aprovisionamiento de directivas o asignación | Asigne una directiva de aprovisionamiento de EQUIPOS en la nube a grupos de usuarios. |
| Aprovisionamiento de directivas o creación | Cree una nueva directiva de aprovisionamiento de EQUIPOS en la nube. |
| Directivas de aprovisionamiento o eliminación | Elimine una directiva de aprovisionamiento de PC en la nube. No se puede eliminar una directiva que esté en uso. |
| Aprovisionamiento de directivas o lectura | Lea las propiedades de una directiva de aprovisionamiento de PC en la nube. |
| Directivas de aprovisionamiento/reintento | Vuelva a intentar la operación de aprovisionamiento de los equipos en la nube con errores. |
| Aprovisionamiento de directivas o actualización | Actualice las propiedades de una directiva de aprovisionamiento de EQUIPOS en la nube. |
| Directivas de aprovisionamiento (agentes)/Crear | Cree un nuevo grupo de equipos en la nube. |
| Directivas de aprovisionamiento (agentes)/Eliminación | Elimine un grupo de equipos en la nube. |
| Directivas de aprovisionamiento (agentes)/lectura | Lea las propiedades de un grupo de PC en la nube. |
| Directivas de aprovisionamiento (agentes)/Actualización | Actualice las propiedades de un grupo de equipos en la nube. |
| Asignaciones de roles/creación | Cree una nueva asignación de roles de PC en la nube. |
| Asignaciones o eliminaciones de roles | Elimine una asignación de roles de PC en la nube específica. |
| Asignaciones o actualizaciones de roles | Actualice las propiedades de una asignación de roles de PC en la nube específica. |
| Roles/Crear | Crear rol para pc en la nube. Las operaciones de creación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Eliminar | Eliminar rol para pc en la nube. Las operaciones de eliminación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Leer | Ver permisos, definiciones de roles y asignaciones de roles para el rol de PC en la nube. Ver la operación o acción que se puede realizar en un recurso de PC en la nube (o entidad). |
| Roles/Actualizar | Actualizar rol para pc en la nube. Las operaciones de actualización se pueden realizar en un recurso de PC en la nube (o entidad). |
| ServicePlan/Read | Lea los planes de servicio de Cloud PC. |
| Configuración o asignación | Asigne un perfil de configuración de PC en la nube a grupos de Entra. |
| Configuración/creación | Cree un nuevo perfil de configuración de PC en la nube. |
| Configuración/eliminación | Elimine un perfil de configuración de PC en la nube. |
| Configuración/lectura | Lea las propiedades de un perfil de configuración de PC en la nube. |
| Configuración/actualización | Actualice las propiedades de un perfil de configuración de PC en la nube. |
| SharedUseLicenseUsageReports/Read | Lea los PC en la nube Windows 365 informes relacionados con el uso compartido de licencias. |
| SharedUseServicePlans/Read | Lea las propiedades de Los planes de servicio de uso compartido de PC en la nube. |
| Instantánea o importación | Importe la instantánea tomada de la máquina virtual de Azure. |
| Snapshot/PurgeImportedSnapshot | Elimine las instantáneas importadas por el cliente para el aprovisionamiento de equipos en la nube. Tenga en cuenta que tener este permiso solo permite eliminar instantáneas importadas. |
| Instantánea/lectura | Lea la instantánea del equipo en la nube. |
| Instantánea/recurso compartido | Comparta la instantánea del equipo en la nube. |
| Región o lectura admitidas | Lea las regiones admitidas de Cloud PC. |
| Configuración o asignación del usuario | Asigne una configuración de usuario de PC en la nube a grupos de usuarios. |
| Configuración o creación de usuario | Cree una nueva configuración de usuario de PC en la nube. |
| Configuración o eliminación del usuario | Elimine una configuración de usuario de PC en la nube. |
| Configuración o lectura del usuario | Lea las propiedades de una configuración de usuario de PC en la nube. |
| Configuración o actualización del usuario | Actualice las propiedades de una configuración de usuario de PC en la nube. |
| Webhooks/Create | Cree una suscripción de webhook para Microsoft Power Platform. |
| Webhooks/Delete | Elimine una suscripción de webhook para Microsoft Power Platform. |
Para crear una directiva de aprovisionamiento, un administrador necesita los siguientes permisos:
- Aprovisionamiento de directivas o lectura
- Aprovisionamiento de directivas o creación
- Azure conexiones de red o lectura
- Región o lectura admitidas
- Imágenes o lectura del dispositivo
Migración de permisos existentes
En el caso de las ANC creadas antes del 26 de noviembre de 2023, el rol Colaborador de red se usa para aplicar permisos tanto en el grupo de recursos como en Virtual Network. Para aplicar a los nuevos roles de RBAC, puede volver a intentar la comprobación de estado de ANC. Los roles existentes se deben quitar manualmente.
Para quitar manualmente los roles existentes y agregar los nuevos roles, consulte la tabla siguiente para ver los roles existentes que se usan en cada recurso de Azure. Antes de quitar los roles existentes, asegúrese de que se asignan los roles actualizados.
| Recurso de Azure | Rol existente (antes del 26 de noviembre de 2023) | Rol actualizado (después del 26 de noviembre de 2023) |
|---|---|---|
| Grupo de recursos | Colaborador de red | Colaborador de la interfaz de red de Windows 365 |
| Red virtual | Colaborador de red | Windows 365 usuario de red |
| Suscripción | Lector | Lector |
Para obtener más información sobre cómo quitar una asignación de roles de un recurso de Azure, consulte Quitar asignaciones de roles Azure.
Etiquetas de ámbito
En el caso de RBAC, los roles solo forman parte de la ecuación. Aunque los roles funcionan bien para definir un conjunto de permisos, las etiquetas de ámbito ayudan a definir la visibilidad de los recursos de la organización. Las etiquetas de ámbito son más útiles al organizar el inquilino para que los usuarios tengan el ámbito de determinadas jerarquías, regiones geográficas, unidades de negocio, etc.
Use Intune para crear y administrar etiquetas de ámbito. Para obtener más información sobre cómo se crean y administran las etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.
En Windows 365, las etiquetas de ámbito se pueden aplicar a los siguientes recursos:
- Directivas de aprovisionamiento
- Azure conexiones de red (ANC)
- Equipos en la nube
- Imágenes personalizadas
- Windows 365 asignaciones de roles de RBAC
Para asegurarse de que tanto la lista de todos los dispositivos propiedad de Intune como la lista De todos los equipos en la nube propiedad de Windows 365 muestran los mismos equipos en la nube en función del ámbito, siga estos pasos después de crear las etiquetas de ámbito y la directiva de aprovisionamiento:
- Cree un Microsoft Entra ID grupo de dispositivos dinámicos con una regla que enrollmentProfileName sea igual al nombre exacto de la directiva de aprovisionamiento creada.
- Asigne la etiqueta de ámbito creada al grupo de dispositivos dinámicos.
- Después de aprovisionar y inscribir el equipo en la nube en Intune, tanto la lista Todos los dispositivos como la lista Todos los equipos en la nube deben mostrar los mismos equipos en la nube.
Si agrega nuevas etiquetas de ámbito a una directiva de aprovisionamiento, asegúrese de agregar también las etiquetas de ámbito al grupo dinámico de Intune. Esta adición garantiza que el grupo dinámico respeta las nuevas etiquetas de ámbito. Además, compruebe los equipos en la nube que puedan tener etiquetas de ámbito únicas agregadas para asegurarse de que siguen allí después de las actualizaciones.
Para asegurarse de que Windows 365 puede respetar los cambios en las etiquetas de ámbito de Intune, estos datos se sincronizan desde Intune. Para obtener más información, consulte Privacidad, datos de clientes y contenido del cliente en Windows 365.
Para permitir que los administradores con ámbito vean qué etiquetas de ámbito se les asignan y los objetos dentro de su ámbito, se les debe asignar uno de los siguientes roles:
- Intune solo lectura
- Lector o administrador de PC en la nube
- Un rol personalizado con permisos similares.
Siguientes pasos
Control de acceso basado en rol (RBAC) con Microsoft Intune.