Szerepköralapú hozzáférés-vezérlés
A szerepköralapú hozzáférés-vezérlés (RBAC) segítségével kezelheti, hogy ki férhet hozzá a szervezet erőforrásaihoz, és mit tehetnek ezekkel az erőforrásokkal. A felhőbeli számítógépekhez a Microsoft Intune Felügyeleti központ segítségével rendelhet hozzá szerepköröket.
Amikor egy előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai szerepkörrel rendelkező felhasználó létrehoz, szerkeszt vagy újrapróbál egy ANC-t, Windows 365 transzparensen hozzárendeli a szükséges beépített szerepköröket a következő erőforrásokhoz (ha még nincs hozzájuk rendelve):
- Azure-előfizetés
- Erőforráscsoport
- Az ANC-hez társított virtuális hálózat
Ha csak az Előfizetés-olvasó szerepkörrel rendelkezik, ezek a hozzárendelések nem automatikusak. Ehelyett manuálisan kell konfigurálnia a szükséges beépített szerepköröket az Azure-beli Első Windows-alkalmazáshoz.
További információ: Szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Intune.
Windows 365 rendszergazdai szerepkör
Windows 365 támogatja a Szerepkör-hozzárendeléshez elérhető Windows 365 Rendszergazda szerepkört a Microsoft Rendszergazda Centerben és Microsoft Entra ID. Ezzel a szerepkörrel a nagyvállalati és vállalati kiadásokhoz Windows 365 felhőalapú számítógépeket is kezelheti. A Windows 365 rendszergazdai szerepkör több hatókörű engedélyt adhat, mint más Microsoft Entra szerepkörök, például a globális rendszergazda. További információ: Microsoft Entra beépített szerepkörök.
Beépített felhőalapú PC-szerepkörök
A felhőbeli PC-hez a következő beépített szerepkörök érhetők el:
Felhőbeli PC-rendszergazda
A felhőbeli számítógépek minden aspektusát kezeli, például:
- Operációsrendszer-rendszerképek kezelése
- Azure-beli hálózati kapcsolat konfigurálása
- Kiépítés
Felhőalapú PC-olvasó
Megtekinti a Microsoft Intune Windows 365 csomópontjában elérhető felhőalapú PC-adatokat, de nem végezhet módosításokat.
Windows 365 hálózati adapter közreműködője
A Windows 365 Hálózati adapter közreműködője szerepkör hozzá van rendelve az Azure hálózati kapcsolathoz (ANC) társított erőforráscsoporthoz. Ez a szerepkör lehetővé teszi a Windows 365 szolgáltatás számára a hálózati adapter létrehozását és csatlakoztatását, valamint az erőforráscsoportban történő üzembe helyezés kezelését. Ez a szerepkör az ANC használatakor Windows 365 működéséhez szükséges minimális engedélyek gyűjteménye.
| Művelet típusa | Engedélyek |
|---|---|
| Műveletek | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Egyikre sem. |
| dataActions | Egyikre sem. |
| notDataActions | Egyikre sem. |
Windows 365 hálózati felhasználó
A Windows 365 Hálózati felhasználó szerepkör hozzá van rendelve az ANC-hez társított virtuális hálózathoz. Ezzel a szerepkörrel a Windows 365 szolgáltatás csatlakoztathatja a hálózati adaptert a virtuális hálózathoz. Ez a szerepkör az ANC használatakor Windows 365 működéséhez szükséges minimális engedélyek gyűjteménye.
| Művelet típusa | Engedélyek |
|---|---|
| Műveletek | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Egyikre sem. |
| dataActions | Egyikre sem. |
| notDataActions | Egyikre sem. |
Egyéni szerepkörök
Egyéni szerepköröket hozhat létre Windows 365 számára Microsoft Intune Felügyeleti központban. További információ: Egyéni szerepkör létrehozása.
Egyéni szerepkörök létrehozásakor a következő engedélyek érhetők el.
| Engedély | Leírás |
|---|---|
| Adatok naplózása/olvasása | Olvassa el a bérlő felhőalapú PC-erőforrásainak auditnaplóit. |
| Azure Network Connections/Create | Helyszíni kapcsolat létrehozása felhőalapú számítógépek kiépítéséhez. Helyszíni kapcsolat létrehozásához előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai Azure-szerepkör is szükséges. |
| Azure Network Connections/Delete | Töröljön egy adott helyszíni kapcsolatot. Emlékeztető: A használatban lévő kapcsolat nem törölhető. Az előfizetés tulajdonosának vagy a felhasználói hozzáférés rendszergazdájának Azure-szerepköre is szükséges a helyszíni kapcsolatok törléséhez. |
| Azure Network Connections/Read | Olvassa el a helyszíni kapcsolatok tulajdonságait. |
| Azure Network Connections/Update | Egy adott helyszíni kapcsolat tulajdonságainak frissítése. Az előfizetés tulajdonosának vagy a felhasználói hozzáférés rendszergazdájának Azure-szerepköre is szükséges a helyszíni kapcsolat frissítéséhez. |
| Azure Network Connections/RunHealthChecks | Állapot-ellenőrzéseket futtathat egy adott helyszíni kapcsolaton. Az állapot-ellenőrzések futtatásához előfizetés-tulajdonosi vagy felhasználói hozzáférés-rendszergazdai Azure-szerepkör is szükséges. |
| Azure Network Connections/UpdateAdDomainPassword | Egy adott helyszíni kapcsolat Active Directory-tartományi jelszavának frissítése. |
| Felhőbeli pc-k/olvasás | Olvassa el a bérlőben lévő felhőbeli számítógépek tulajdonságait. |
| Felhőalapú pc-k/újraépítés | A felhőbeli pc-k újraépítése a bérlőben. |
| Felhőbeli számítógépek/átméretezés | Méretezze át a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/EndGracePeriod | A bérlőben lévő felhőbeli számítógépek türelmi időszakának vége. |
| Felhőbeli számítógépek/visszaállítás | Felhőbeli számítógépek visszaállítása a bérlőben. |
| Felhőbeli számítógépek/újraindítás | Indítsa újra a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/átnevezés | Nevezze át a felhőbeli számítógépeket a bérlőben. |
| Felhőbeli számítógépek/Hibaelhárítás | Felhőbeli számítógépek hibaelhárítása a bérlőben. |
| Felhőbeli számítógépek/ChangeUserAccountType | Módosítsa a felhasználói fiók típusát a bérlőben lévő felhőbeli számítógép helyi rendszergazdája és standard felhasználója között. |
| Felhőbeli pc-k/PlaceUnderReview | Állítsa be a felhőbeli számítógépeket a felülvizsgálat alatt a bérlőben. |
| Felhőbeli számítógépek/ÚjrapróbálkozásPartnerAgentInstallation | Kísérelje meg újratelepíteni a partnerügynököket egy olyan felhőalapú PC-ben, amely nem tudott telepíteni. |
| Felhőbeli számítógépek/ApplyCurrentProvisioningPolicy | Alkalmazza az aktuális kiépítési szabályzat konfigurációját a bérlőben lévő felhőbeli számítógépekre. |
| Felhőbeli számítógépek/CreateSnapshot | Pillanatkép manuális létrehozása a bérlőben lévő felhőbeli számítógépekhez. |
| Eszközképek/Létrehozás | Töltsön fel egy egyéni operációsrendszer-lemezképet, amelyet később kiépíthet a felhőbeli számítógépeken. |
| Eszközképek/Törlés | Operációsrendszer-lemezkép törlése a felhőbeli PC-ről. |
| Eszközképek/Olvasás | Olvassa el a felhőalapú PC-eszközök lemezképeinek tulajdonságait. |
| Külső partner beállításai/Olvasás | Olvassa el a felhőbeli PC külső partnerbeállításainak tulajdonságait. |
| Külső partner beállításai/Létrehozás | Hozzon létre egy új külső felhőbeli PC-s partnerbeállítást. |
| Külső partner beállításai/frissítése | Frissítse egy felhőbeli PC külső partnerbeállításának tulajdonságait. |
| Szervezeti beállítások/Olvasás | Olvassa el a Cloud PC szervezeti beállításainak tulajdonságait. |
| Szervezeti beállítások/frissítés | Frissítse a cloud PC szervezeti beállításainak tulajdonságait. |
| Teljesítményjelentések/olvasás | Olvassa el a távoli kapcsolatokhoz kapcsolódó Windows 365 felhőalapú PC jelentéseket. |
| Kiépítési szabályzatok/Hozzárendelés | Rendeljen hozzá egy felhőbeli PC-kiépítési szabályzatot a felhasználói csoportokhoz. |
| Kiépítési szabályzatok/Létrehozás | Hozzon létre egy új felhőbeli PC-kiépítési szabályzatot. |
| Kiépítési szabályzatok/Törlés | Töröljön egy felhőalapú PC-kiépítési szabályzatot. A használatban lévő szabályzatok nem törölhetők. |
| Kiépítési szabályzatok/Olvasás | Olvassa el a felhőalapú PC-kiépítési szabályzat tulajdonságait. |
| Kiépítési szabályzatok/frissítés | Frissítse a felhőalapú PC-kiépítési szabályzat tulajdonságait. |
| Jelentések/Exportálás | Windows 365 kapcsolódó jelentések exportálása. |
| Szerepkör-hozzárendelések/Létrehozás | Hozzon létre egy új felhőbeli PC-szerepkör-hozzárendelést. |
| Szerepkör-hozzárendelések/frissítés | Frissítse egy adott felhőbeli PC-szerepkör-hozzárendelés tulajdonságait. |
| Szerepkör-hozzárendelések/Törlés | Töröljön egy adott felhőbeli PC-szerepkör-hozzárendelést. |
| Szerepkörök/olvasás | Megtekintheti a felhőbeli PC-szerepkörök engedélyeit, szerepkör-definícióit és szerepkör-hozzárendeléseit. Megtekintheti a felhőbeli PC-erőforráson (vagy entitáson) végrehajtható műveletet vagy műveletet. |
| Szerepkörök/Létrehozás | Szerepkör létrehozása felhőalapú PC-hez. A létrehozási műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szerepkörök/frissítés | Frissítési szerepkör a felhőbeli PC-hez. Frissítési műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szerepkörök/Törlés | Felhőbeli PC-hez tartozó szerepkör törlése. A törlési műveletek felhőbeli PC-erőforráson (vagy entitáson) hajthatók végre. |
| Szolgáltatáscsomag/Olvasás | Olvassa el a felhőalapú PC szolgáltatási csomagját. |
| SharedUseLicenseUsageReports/Read | Olvassa el a Windows 365 felhőalapú PC Megosztott használat licenchasználattal kapcsolatos jelentéseket. |
| SharedUseServicePlans/Read | Olvassa el a Felhőalapú PC megosztott használati szolgáltatáscsomagjainak tulajdonságait. |
| Pillanatkép/olvasás | Olvassa el a felhőbeli PC pillanatképét. |
| Pillanatkép/megosztás | Ossza meg a felhőbeli PC pillanatképét. |
| Támogatott régió/olvasás | Olvassa el a felhőalapú PC támogatott régióinak használatát. |
| Felhasználói beállítások/Hozzárendelés | Rendeljen hozzá egy felhőbeli PC-felhasználói beállítást a felhasználói csoportokhoz. |
| Felhasználói beállítások/Létrehozás | Hozzon létre egy új felhőbeli PC-felhasználói beállítást. |
| Felhasználói beállítások/Törlés | Töröljön egy felhőbeli PC-felhasználói beállítást. |
| Felhasználói beállítások/Olvasás | Olvassa el a Felhőbeli PC felhasználói beállításainak tulajdonságait. |
| Felhasználói beállítások/frissítés | Frissítse a felhőbeli PC felhasználói beállításainak tulajdonságait. |
Kiépítési szabályzat létrehozásához a rendszergazdának a következő engedélyekre van szüksége:
- Kiépítési szabályzatok/Olvasás
- Kiépítési szabályzatok/Létrehozás
- Azure Network Connections/Read
- Támogatott régió/olvasás
- Eszközképek/Olvasás
Meglévő engedélyek migrálása
A 2023. november 26. előtt létrehozott ANC-k esetében a Hálózati közreműködő szerepkörrel lehet engedélyeket alkalmazni az erőforráscsoportra és a Virtual Network. Az új RBAC-szerepkörökre való alkalmazáshoz próbálkozzon újra az ANC állapot-ellenőrzésével. A meglévő szerepköröket manuálisan kell eltávolítani.
A meglévő szerepkörök manuális eltávolításához és az új szerepkörök hozzáadásához tekintse meg a következő táblázatot az egyes Azure-erőforrásokon használt meglévő szerepkörökről. A meglévő szerepkörök eltávolítása előtt győződjön meg arról, hogy a frissített szerepkörök hozzá vannak rendelve.
| Azure-erőforrás | Meglévő szerepkör (2023. november 26. előtt) | Frissített szerepkör (2023. november 26. után) |
|---|---|---|
| Erőforráscsoport | Hálózati közreműködő | Windows 365 hálózati adapter közreműködője |
| Virtuális hálózat | Hálózati közreműködő | Windows 365 hálózati felhasználó |
| Előfizetés | Olvasó | Olvasó |
A szerepkör-hozzárendelésEk Azure-erőforrásból való eltávolításával kapcsolatos további információkért lásd: Azure-beli szerepkör-hozzárendelések eltávolítása.
Hatókörcímkék
Az RBAC esetében a szerepkörök csak az egyenlet részei. Bár a szerepkörök jól működnek az engedélyek egy csoportjának meghatározásához, a hatókörcímkék segítenek meghatározni a szervezet erőforrásainak láthatóságát. A hatókörcímkék akkor hasznosak, ha úgy rendszerezi a bérlőt, hogy a felhasználók hatóköre bizonyos hierarchiákra, földrajzi régiókra, üzleti egységekre stb. terjedjen ki.
Hatókörcímkék létrehozása és kezelése Intune használatával. További információ a hatókörcímkék létrehozásának és kezelésének módjáról: Szerepköralapú hozzáférés-vezérlés (RBAC) és hatókörcímkék használata elosztott informatikai eszközökhöz.
A Windows 365 hatókörcímkéi a következő erőforrásokra alkalmazhatók:
- Kiépítési szabályzatok
- Azure-beli hálózati kapcsolatok (ANC)
- Felhőbeli számítógépek
- Egyéni rendszerképek
- RBAC-szerepkör-hozzárendelések Windows 365
Ha meg szeretne győződni arról, hogy a Intune tulajdonában lévő Minden eszköz lista és a Windows 365 tulajdonában lévő Minden felhőbeli számítógép lista is ugyanazokat a felhőalapú számítógépeket jeleníti meg a hatókör alapján, kövesse az alábbi lépéseket a hatókörcímkék és a kiépítési szabályzat létrehozása után:
- Hozzon létre egy Microsoft Entra ID dinamikus eszközcsoportot azzal a szabmánnyal, hogy az enrollmentProfileName megegyezik a létrehozott kiépítési szabályzat pontos nevével.
- Rendelje hozzá a létrehozott hatókörcímkét a dinamikus eszközcsoporthoz.
- A felhőalapú számítógép kiépítése és Intune való regisztrálása után a Minden eszköz és a Minden felhőbeli számítógép listának is ugyanazokat a felhőalapú számítógépeket kell megjelenítenie.
Ha új hatókörcímkéket ad hozzá egy kiépítési szabályzathoz, győződjön meg arról, hogy a hatókörcímkéket is hozzáadja a Intune dinamikus csoporthoz. Ezzel biztosítjuk, hogy a dinamikus csoport tiszteletben tartja az új hatókörcímkéket. Emellett ellenőrizze, hogy vannak-e olyan felhőbeli számítógépek, amelyekhez egyedi hatókörcímkék vannak hozzáadva, és győződjön meg arról, hogy a frissítések után is ott vannak.
Annak érdekében, hogy Windows 365 betarthassa Intune hatókörcímkék módosításait, ezeket az adatokat a Intune szinkronizálja. További információ: Adatvédelem, ügyféladatok és ügyféltartalmak a Windows 365-ban.
Ahhoz, hogy a hatókörrel rendelkező rendszergazdák megtekinthessék, hogy mely hatókörcímkék vannak hozzájuk rendelve, valamint a hatókörükön belüli objektumokat, az alábbi szerepkörök egyikét kell hozzárendelniük:
- írásvédett Intune
- Felhőbeli PC-olvasó/rendszergazda
- Hasonló engedélyekkel rendelkező egyéni szerepkör.
Következő lépések
Szerepköralapú hozzáférés-vezérlés (RBAC) Microsoft Intune.
Az Azure-beli szerepkör-definíciók ismertetése
Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?