Szerepköralapú hozzáférés-vezérlés
A szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelheti, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. A felhőbeli számítógépekhez a Microsoft Intune Felügyeleti központ használatával rendelhet hozzá szerepköröket.
Amikor egy előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel rendelkező felhasználó létrehoz, szerkeszt vagy újrapróbál egy ANC-t, a Windows 365 átláthatóan hozzárendeli a szükséges beépített szerepköröket a következő erőforrásokhoz (ha még nincs hozzájuk rendelve):
- Azure-előfizetés
- Erőforráscsoport
- Az ANC-hez társított virtuális hálózat
Ha csak az Előfizetés-olvasó szerepkörrel rendelkezik, ezek a hozzárendelések nem automatikusak. Ehelyett manuálisan kell konfigurálnia a szükséges beépített szerepköröket az Azure-beli Első Windows-alkalmazáshoz.
További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal.
Windows 365-rendszergazdai szerepkör
A Windows 365 támogatja a Szerepkör-hozzárendeléshez elérhető Windows 365 Rendszergazda szerepkört a Microsoft Felügyeleti központban és a Microsoft Entra-azonosítón keresztül. Ezzel a szerepkörrel a Windows 365-ös felhőalapú számítógépeket nagyvállalati és vállalati kiadásokhoz is kezelheti. A Windows 365 rendszergazdai szerepköre több hatókörű engedélyt adhat, mint más Microsoft Entra-szerepkörök, például a globális rendszergazda. További információ: A Microsoft Entra beépített szerepkörei.
Beépített felhőalapú PC-szerepkörök
A felhőbeli PC-hez a következő beépített szerepkörök érhetők el:
Felhőbeli PC-rendszergazda
A felhőbeli számítógépek minden aspektusát kezeli, például:
- Operációsrendszer-rendszerképek kezelése
- Azure-beli hálózati kapcsolat konfigurálása
- Kiépítés
Felhőalapú PC-olvasó
Megtekinti a Microsoft Intune Windows 365 csomópontjában elérhető felhőalapú PC-adatokat, de nem végezhet módosításokat.
Windows 365 hálózati adapter közreműködője
A Windows 365 hálózati adapter közreműködője szerepkör hozzá van rendelve az Azure hálózati kapcsolathoz (ANC) társított erőforráscsoporthoz. Ezzel a szerepkörrel a Windows 365 szolgáltatás létrehozhatja és csatlakoztathatja a hálózati adaptert, és kezelheti az erőforráscsoportban lévő központi telepítést. Ez a szerepkör a Windows 365 ANC használata esetén való működéséhez szükséges minimális engedélyek gyűjteménye.
| Művelet típusa | Engedélyek |
|---|---|
| Műveletek | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Egyikre sem. |
| dataActions | Egyikre sem. |
| notDataActions | Egyikre sem. |
Windows 365 hálózati felhasználó
A Windows 365 hálózati felhasználói szerepkör hozzá van rendelve az ANC-hez társított virtuális hálózathoz. Ezzel a szerepkörrel a Windows 365 szolgáltatás csatlakoztathatja a hálózati adaptert a virtuális hálózathoz. Ez a szerepkör a Windows 365 ANC használata esetén való működéséhez szükséges minimális engedélyek gyűjteménye.
| Művelet típusa | Engedélyek |
|---|---|
| Műveletek | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Egyikre sem. |
| dataActions | Egyikre sem. |
| notDataActions | Egyikre sem. |
Egyéni szerepkörök
A Windows 365-höz egyéni szerepköröket hozhat létre a Microsoft Intune Felügyeleti központban. További információ: Egyéni szerepkör létrehozása.
Egyéni szerepkörök létrehozásakor a következő engedélyek érhetők el.
| Engedély | Leírás |
|---|---|
| Adatok naplózása/olvasása | Olvassa el a bérlő felhőalapú PC-erőforrásainak auditnaplóit. |
| Azure-hálózati kapcsolatok/Létrehozás | Helyszíni kapcsolat létrehozása felhőalapú számítógépek kiépítéséhez. Helyszíni kapcsolat létrehozásához előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai Azure-szerepkör is szükséges. |
| Azure-hálózati kapcsolatok/Törlés | Töröljön egy adott helyszíni kapcsolatot. Emlékeztető: A használatban lévő kapcsolat nem törölhető. Az előfizetés tulajdonosának vagy a felhasználói hozzáférés rendszergazdájának Azure-szerepköre is szükséges a helyszíni kapcsolatok törléséhez. |
| Azure-hálózati kapcsolatok/Olvasás | Olvassa el a helyszíni kapcsolatok tulajdonságait. |
| Azure hálózati kapcsolatok/frissítés | Egy adott helyszíni kapcsolat tulajdonságainak frissítése. Az előfizetés tulajdonosának vagy a felhasználói hozzáférés rendszergazdájának Azure-szerepköre is szükséges a helyszíni kapcsolat frissítéséhez. |
| Azure-hálózati kapcsolatok/RunHealthChecks | Állapot-ellenőrzéseket futtathat egy adott helyszíni kapcsolaton. Az állapot-ellenőrzések futtatásához előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai Azure-szerepkör is szükséges. |
| Azure-hálózati kapcsolatok/UpdateAdDomainPassword | Egy adott helyszíni kapcsolat Active Directory-tartományi jelszavának frissítése. |
| Felhőbeli pc-k/olvasás | Olvassa el a bérlőben lévő felhőbeli számítógépek tulajdonságait. |
| Felhőalapú pc-k/újraépítés | A felhőbeli pc-k újraépítése a bérlőben. |
| Felhőbeli számítógépek/átméretezés | Méretezze át a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/EndGracePeriod | A bérlőben lévő felhőbeli számítógépek türelmi időszakának vége. |
| Felhőbeli számítógépek/visszaállítás | Felhőbeli számítógépek visszaállítása a bérlőben. |
| Felhőbeli számítógépek/újraindítás | Indítsa újra a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/átnevezés | Nevezze át a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/Hibaelhárítás | Felhőbeli számítógépek hibaelhárítása a bérlőben. |
| Felhőbeli számítógépek/ChangeUserAccountType | Módosítsa a felhasználói fiók típusát a bérlőben lévő felhőbeli számítógép helyi rendszergazdája és standard felhasználója között. |
| Felhőbeli pc-k/PlaceUnderReview | Állítsa be a felhőbeli számítógépeket a felülvizsgálat alatt a bérlőben. |
| Felhőbeli számítógépek/ÚjrapróbálkozásPartnerAgentInstallation | Kísérelje meg újratelepíteni a partnerügynököket egy olyan felhőalapú PC-ben, amely nem tudott telepíteni. |
| Felhőbeli számítógépek/ApplyCurrentProvisioningPolicy | Alkalmazza az aktuális kiépítési szabályzat konfigurációját a bérlőben lévő felhőbeli számítógépekre. |
| Felhőbeli számítógépek/CreateSnapshot | Pillanatkép manuális létrehozása a bérlőben lévő felhőbeli számítógépekhez. |
| Eszközképek/Létrehozás | Töltsön fel egy egyéni operációsrendszer-lemezképet, amelyet később kiépíthet a felhőbeli számítógépeken. |
| Eszközképek/Törlés | Operációsrendszer-lemezkép törlése a felhőbeli PC-ről. |
| Eszközképek/Olvasás | Olvassa el a felhőalapú PC-eszközök lemezképeinek tulajdonságait. |
| Külső partner beállításai/Olvasás | Olvassa el a felhőbeli PC külső partnerbeállításainak tulajdonságait. |
| Külső partner beállításai/Létrehozás | Hozzon létre egy új külső felhőbeli PC-s partnerbeállítást. |
| Külső partner beállításai/frissítése | Frissítse egy felhőbeli PC külső partnerbeállításának tulajdonságait. |
| Szervezeti beállítások/Olvasás | Olvassa el a Cloud PC szervezeti beállításainak tulajdonságait. |
| Szervezeti beállítások/frissítés | Frissítse a cloud PC szervezeti beállításainak tulajdonságait. |
| Teljesítményjelentések/olvasás | Olvassa el a Windows 365 Cloud PC távoli kapcsolatokhoz kapcsolódó jelentéseit. |
| Kiépítési szabályzatok/Hozzárendelés | Rendeljen hozzá egy felhőbeli PC-kiépítési szabályzatot a felhasználói csoportokhoz. |
| Kiépítési szabályzatok/Létrehozás | Hozzon létre egy új felhőbeli PC-kiépítési szabályzatot. |
| Kiépítési szabályzatok/Törlés | Töröljön egy felhőalapú PC-kiépítési szabályzatot. A használatban lévő szabályzatok nem törölhetők. |
| Kiépítési szabályzatok/Olvasás | Olvassa el a felhőalapú PC-kiépítési szabályzat tulajdonságait. |
| Kiépítési szabályzatok/frissítés | Frissítse a felhőalapú PC-kiépítési szabályzat tulajdonságait. |
| Jelentések/Exportálás | A Windows 365-höz kapcsolódó jelentések exportálása. |
| Szerepkör-hozzárendelések/Létrehozás | Hozzon létre egy új felhőbeli PC-szerepkör-hozzárendelést. |
| Szerepkör-hozzárendelések/frissítés | Frissítse egy adott felhőbeli PC-szerepkör-hozzárendelés tulajdonságait. |
| Szerepkör-hozzárendelések/Törlés | Töröljön egy adott felhőbeli PC-szerepkör-hozzárendelést. |
| Szerepkörök/olvasás | Megtekintheti a felhőbeli PC-szerepkörök engedélyeit, szerepkör-definícióit és szerepkör-hozzárendeléseit. Megtekintheti a felhőbeli PC-erőforráson (vagy entitáson) végrehajtható műveletet vagy műveletet. |
| Szerepkörök/Létrehozás | Szerepkör létrehozása felhőalapú PC-hez. A létrehozási műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szerepkörök/frissítés | Frissítési szerepkör a felhőbeli PC-hez. Frissítési műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szerepkörök/Törlés | Felhőbeli PC-hez tartozó szerepkör törlése. A törlési műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szolgáltatáscsomag/Olvasás | Olvassa el a felhőalapú PC szolgáltatási csomagját. |
| SharedUseLicenseUsageReports/Read | Olvassa el a Windows 365 Felhőalapú PC megosztott használati licenchasználattal kapcsolatos jelentéseit. |
| SharedUseServicePlans/Read | Olvassa el a Felhőalapú PC megosztott használati szolgáltatáscsomagjainak tulajdonságait. |
| Pillanatkép/olvasás | Olvassa el a felhőbeli PC pillanatképét. |
| Pillanatkép/megosztás | Ossza meg a felhőbeli PC pillanatképét. |
| Támogatott régió/olvasás | Olvassa el a felhőalapú PC támogatott régióinak használatát. |
| Felhasználói beállítások/Hozzárendelés | Rendeljen hozzá egy felhőbeli PC-felhasználói beállítást a felhasználói csoportokhoz. |
| Felhasználói beállítások/Létrehozás | Hozzon létre egy új felhőbeli PC-felhasználói beállítást. |
| Felhasználói beállítások/Törlés | Töröljön egy felhőbeli PC-felhasználói beállítást. |
| Felhasználói beállítások/Olvasás | Olvassa el a Felhőbeli PC felhasználói beállításainak tulajdonságait. |
| Felhasználói beállítások/frissítés | Frissítse a felhőbeli PC felhasználói beállításainak tulajdonságait. |
Kiépítési szabályzat létrehozásához a rendszergazdának a következő engedélyekre van szüksége:
- Kiépítési szabályzatok/Olvasás
- Kiépítési szabályzatok/Létrehozás
- Azure-hálózati kapcsolatok/Olvasás
- Támogatott régió/olvasás
- Eszközképek/Olvasás
Meglévő engedélyek migrálása
A 2023. november 26. előtt létrehozott ANC-k esetében a Hálózati közreműködő szerepkörrel lehet engedélyeket alkalmazni az erőforráscsoportra és a virtuális hálózatra is. Az új RBAC-szerepkörökre való alkalmazáshoz próbálkozzon újra az ANC állapot-ellenőrzésével. A meglévő szerepköröket manuálisan kell eltávolítani.
A meglévő szerepkörök manuális eltávolításához és az új szerepkörök hozzáadásához tekintse meg a következő táblázatot az egyes Azure-erőforrásokon használt meglévő szerepkörökről. A meglévő szerepkörök eltávolítása előtt győződjön meg arról, hogy a frissített szerepkörök hozzá vannak rendelve.
| Azure-erőforrás | Meglévő szerepkör (2023. november 26. előtt) | Frissített szerepkör (2023. november 26. után) |
|---|---|---|
| Erőforráscsoport | Hálózati közreműködő | Windows 365 hálózati adapter közreműködője |
| Virtuális hálózat | Hálózati közreműködő | Windows 365 hálózati felhasználó |
| Előfizetés | Olvasó | Olvasó |
A szerepkör-hozzárendelésEk Azure-erőforrásból való eltávolításával kapcsolatos további információkért lásd: Azure-beli szerepkör-hozzárendelések eltávolítása.
Hatókörcímkék
A Windows 365 hatókörcímkéinek támogatása nyilvános előzetes verzióban érhető el.
Az RBAC esetében a szerepkörök csak az egyenlet részei. Bár a szerepkörök jól működnek az engedélyek egy csoportjának meghatározásához, a hatókörcímkék segítenek meghatározni a szervezet erőforrásainak láthatóságát. A hatókörcímkék akkor hasznosak, ha úgy rendszerezi a bérlőt, hogy a felhasználók hatóköre bizonyos hierarchiákra, földrajzi régiókra, üzleti egységekre stb. terjedjen ki.
Az Intune-ból hatókörcímkéket hozhat létre és kezelhet. További információ a hatókörcímkék létrehozásának és kezelésének módjáról: Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz.
A Windows 365-ben a hatókörcímkék a következő erőforrásokra alkalmazhatók:
- Kiépítési szabályzatok
- Azure-beli hálózati kapcsolatok (ANC)
- Felhőbeli számítógépek
- Egyéni rendszerképek
- Windows 365 RBAC szerepkör-hozzárendelések
Ha meg szeretne győződni arról, hogy az Intune tulajdonában lévő Minden eszköz lista és a Windows 365-ös Minden felhőbeli számítógép lista hatókör alapján ugyanazokat a felhőalapú számítógépeket jeleníti meg, kövesse az alábbi lépéseket a hatókörcímkék és a kiépítési szabályzat létrehozása után:
- Hozzon létre egy Dinamikus Microsoft Entra-azonosító eszközcsoportot olyan szabvánnyal, amely szerint az enrollmentProfileName megegyezik a létrehozott kiépítési szabályzat pontos nevével.
- Rendelje hozzá a létrehozott hatókörcímkét a dinamikus eszközcsoporthoz.
- A felhőalapú számítógép intune-beli kiépítése és regisztrálása után a Minden eszköz és a Minden felhőbeli számítógép listának is ugyanazokat a felhőalapú számítógépeket kell megjelenítenie.
Ahhoz, hogy a hatókörrel rendelkező rendszergazdák megtekinthessék, hogy mely hatókörcímkék vannak hozzájuk rendelve, valamint a hatókörükön belüli objektumokat, az alábbi szerepkörök egyikét kell hozzárendelniük:
- Az Intune csak olvasható
- Felhőbeli PC-olvasó/rendszergazda
- Hasonló engedélyekkel rendelkező egyéni szerepkör.
A Graph API tömeges műveletei és hatókörcímkéi a nyilvános előzetes verzióban
A hatókörcímkék nyilvános előzetes verziójának időtartama alatt a következő tömeges műveletek nem tartják be a hatókörcímkéket, ha közvetlenül a Graph API-ból hívják meg őket:
- Visszaállítás
- Újraépítés
- A felhőbeli PC-t tekintse át
- A felülvizsgálat alatt álló felhőbeli PC eltávolítása
- Felhőbeli PC visszaállítási pont megosztása a tárterülethez
- Felhőalapú PC manuális visszaállítási pont létrehozása
Következő lépések
Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal.
Az Azure-beli szerepkör-definíciók ismertetése
Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?