Controllo dell'accesso basato sui ruoli
Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. È possibile assegnare ruoli per i PC cloud usando l'interfaccia di amministrazione di Microsoft Intune.
Quando un utente con il ruolo Proprietario sottoscrizione o Amministratore accesso utente crea, modifica o ritenta un ANC, Windows 365 assegna in modo trasparente i ruoli predefiniti necessari alle risorse seguenti (se non sono già assegnate):
- Sottoscrizione di Azure
- Gruppo di risorse
- Rete virtuale associata all'ANC
Se si dispone solo del ruolo Lettore sottoscrizione, queste assegnazioni non sono automatiche. È invece necessario configurare manualmente i ruoli predefiniti necessari per l'app Windows First Party in Azure.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
Ruolo di amministratore di Windows 365
Windows 365 supporta il ruolo di amministratore di Windows 365 disponibile per l'assegnazione di ruolo tramite Microsoft Admin Center e l'ID Microsoft Entra. Con questo ruolo, è possibile gestire i PC cloud Windows 365 per le edizioni Enterprise e Business. Il ruolo di amministratore di Windows 365 può concedere più autorizzazioni con ambito rispetto ad altri ruoli di Microsoft Entra, ad esempio Amministratore globale. Per altre informazioni, vedere Ruoli predefiniti di Microsoft Entra.
Ruoli predefiniti di Cloud PC
Per Cloud PC sono disponibili i ruoli predefiniti seguenti:
Amministratore di Cloud PC
Gestisce tutti gli aspetti dei PC cloud, ad esempio:
- Gestione delle immagini del sistema operativo
- Configurazione della connessione di rete di Azure
- Provisioning
Lettore PC cloud
Visualizza i dati di Cloud PC disponibili nel nodo Windows 365 in Microsoft Intune, ma non può apportare modifiche.
Collaboratore all'interfaccia di rete di Windows 365
Il ruolo Collaboratore interfaccia di rete di Windows 365 viene assegnato al gruppo di risorse associato alla connessione di rete di Azure.The Windows 365 Network Interface Contributor role is assigned to the resource group associated with the Azure network connection (ANC). Questo ruolo consente al servizio Windows 365 di creare e aggiungere la scheda di interfaccia di rete e gestire la distribuzione nel gruppo di risorse. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per gestire Windows 365 quando si usa un anc.
Tipo di azione | Autorizzazioni |
---|---|
Azioni | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | Nessuno |
dataActions | Nessuno |
notDataActions | Nessuno |
Utente di rete di Windows 365
Il ruolo Utente di rete di Windows 365 viene assegnato alla rete virtuale associata all'ANC. Questo ruolo consente al servizio Windows 365 di aggiungere la scheda di interfaccia di rete alla rete virtuale. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per gestire Windows 365 quando si usa un anc.
Tipo di azione | Autorizzazioni |
---|---|
Azioni | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | Nessuno |
dataActions | Nessuno |
notDataActions | Nessuno |
Ruoli personalizzati
È possibile creare ruoli personalizzati per Windows 365 nell'interfaccia di amministrazione di Microsoft Intune. Per altre informazioni, vedere Creare un ruolo personalizzato.
Quando si creano ruoli personalizzati, sono disponibili le autorizzazioni seguenti.
Autorizzazione | Descrizione |
---|---|
Dati di controllo/lettura | Leggere i log di controllo delle risorse di Cloud PC nel tenant. |
Connessioni di rete/creazione di Azure | Creare una connessione locale per il provisioning di PC cloud. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per creare una connessione locale. |
Connessioni di rete/eliminazione di Azure | Eliminare una connessione locale specifica. Promemoria: non è possibile eliminare una connessione in uso. Il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario anche il ruolo azure per eliminare una connessione locale. |
Connessioni di rete di Azure/Lettura | Leggere le proprietà delle connessioni locali. |
Connessioni di rete/aggiornamento di Azure | Aggiornare le proprietà di una connessione locale specifica. Per aggiornare una connessione locale, è necessario anche il ruolo azure del proprietario della sottoscrizione o dell'amministratore dell'accesso utente. |
Connessioni di rete di Azure/RunHealthChecks | Eseguire controlli di integrità in una connessione locale specifica. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per eseguire i controlli di integrità. |
Connessioni di rete di Azure/UpdateAdDomainPassword | Aggiornare la password di dominio active directory di una connessione locale specifica. |
Pc cloud/lettura | Leggere le proprietà dei PC cloud nel tenant. |
Pc cloud/reprovisioning | Eseguire di nuovo il provisioning dei PC cloud nel tenant. |
PC cloud/Ridimensionamento | Ridimensionare i PC cloud nel tenant. |
PC cloud/EndGracePeriod | Periodo di tolleranza finale per i PC cloud nel tenant. |
Pc cloud/ripristino | Ripristinare i PC cloud nel tenant. |
Pc cloud/riavvio | Riavviare i PC cloud nel tenant. |
PC cloud/ridenominazione | Rinominare i PC cloud nel tenant. |
Pc cloud/Risoluzione dei problemi | Risolvere i problemi relativi ai PC cloud nel tenant. |
PC cloud/ChangeUserAccountType | Modificare il tipo di account utente tra l'amministratore locale e l'utente standard di un PC cloud nel tenant. |
PC cloud/PlaceUnderReview | Impostare i PC cloud sotto revisione nel tenant. |
PC cloud/RetryPartnerAgentInstallation | Tentativo di reinstallare gli agenti partner di parte in un PC cloud che non è stato possibile installare. |
Pc cloud/ApplyCurrentProvisioningPolicy | Applicare la configurazione corrente dei criteri di provisioning ai PC cloud nel tenant. |
Pc cloud/CreateSnapshot | Creare manualmente uno snapshot per i PC cloud nel tenant. |
Immagini/creazione del dispositivo | Caricare un'immagine del sistema operativo personalizzata di cui è possibile eseguire il provisioning in un secondo momento nei PC cloud. |
Immagini/eliminazione del dispositivo | Eliminare un'immagine del sistema operativo da Cloud PC. |
Immagini dispositivo/Lettura | Leggere le proprietà delle immagini dei dispositivi Cloud PC. |
Impostazioni partner esterni/Lettura | Leggere le proprietà di un'impostazione partner esterno di Cloud PC. |
Impostazioni partner esterni/Creazione | Creare una nuova impostazione partner esterno di Cloud PC. |
Impostazioni partner esterni/Aggiornamento | Aggiornare le proprietà di un'impostazione partner esterno di Cloud PC. |
Impostazioni organizzazione/Lettura | Leggere le proprietà delle impostazioni dell'organizzazione Cloud PC. |
Impostazioni organizzazione/aggiornamento | Aggiornare le proprietà delle impostazioni dell'organizzazione di Cloud PC. |
Report prestazioni/Lettura | Leggere i report relativi alle connessioni remote di Windows 365 Cloud PC. |
Criteri di provisioning/assegnazione | Assegnare un criterio di provisioning di Cloud PC ai gruppi di utenti. |
Criteri di provisioning/creazione | Creare un nuovo criterio di provisioning di Cloud PC. |
Criteri di provisioning/eliminazione | Eliminare un criterio di provisioning di Cloud PC. Non è possibile eliminare un criterio in uso. |
Criteri di provisioning/Lettura | Leggere le proprietà di un criterio di provisioning di Cloud PC. |
Criteri di provisioning/aggiornamento | Aggiornare le proprietà di un criterio di provisioning di Cloud PC. |
Report/Esportazione | Esportare i report correlati a Windows 365. |
Assegnazioni di ruolo/creazione | Creare una nuova assegnazione di ruolo Cloud PC. |
Assegnazioni di ruolo/aggiornamento | Aggiornare le proprietà di un'assegnazione di ruolo Cloud PC specifica. |
Assegnazioni di ruolo/eliminazione | Eliminare un'assegnazione di ruolo Cloud PC specifica. |
Ruoli/Lettura | Visualizzare le autorizzazioni, le definizioni dei ruoli e le assegnazioni di ruolo per il ruolo Cloud PC. Visualizzare l'operazione o l'azione che può essere eseguita su una risorsa (o un'entità) cloud PC. |
Ruoli/Creazione | Creare un ruolo per Cloud PC. Le operazioni di creazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
Ruoli/aggiornamento | Aggiornare il ruolo per Cloud PC. Le operazioni di aggiornamento possono essere eseguite su una risorsa (o un'entità) cloud PC. |
Ruoli/Eliminazione | Eliminare il ruolo per Cloud PC. Le operazioni di eliminazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
Piano di servizio/Lettura | Leggere i piani di servizio di Cloud PC. |
SharedUseLicenseUsageReports/Read | Leggere i report relativi all'utilizzo delle licenze per l'uso condiviso di PC cloud windows 365. |
SharedUseServicePlans/Read | Leggere le proprietà dei piani di servizio per l'uso condiviso del PC cloud. |
Snapshot/Lettura | Leggere lo snapshot di Cloud PC. |
Snapshot/Condivisione | Condividere lo snapshot di Cloud PC. |
Area supportata/Lettura | Leggere le aree supportate di Cloud PC. |
Impostazioni utente/Assegnazione | Assegnare un'impostazione utente di Cloud PC ai gruppi di utenti. |
Impostazioni utente/Creazione | Creare una nuova impostazione utente di Cloud PC. |
Impostazioni utente/Eliminazione | Eliminare un'impostazione utente di Cloud PC. |
Impostazioni utente/Lettura | Leggere le proprietà di un'impostazione utente di Cloud PC. |
Impostazioni utente/Aggiornamento | Aggiornare le proprietà di un'impostazione utente di Cloud PC. |
Per creare un criterio di provisioning, un amministratore deve disporre delle autorizzazioni seguenti:
- Criteri di provisioning/Lettura
- Criteri di provisioning/creazione
- Connessioni di rete di Azure/Lettura
- Area supportata/Lettura
- Immagini dispositivo/Lettura
Migrazione delle autorizzazioni esistenti
Per gli ANC creati prima del 26 novembre 2023, il ruolo Collaboratore rete viene usato per applicare le autorizzazioni sia per il gruppo di risorse che per la rete virtuale. Per applicare ai nuovi ruoli controllo degli accessi in base al ruolo, è possibile ritentare il controllo dell'integrità dell'ANC. I ruoli esistenti devono essere rimossi manualmente.
Per rimuovere manualmente i ruoli esistenti e aggiungere i nuovi ruoli, vedere la tabella seguente per i ruoli esistenti usati in ogni risorsa di Azure. Prima di rimuovere i ruoli esistenti, assicurarsi che i ruoli aggiornati siano assegnati.
Risorsa di Azure | Ruolo esistente (prima del 26 novembre 2023) | Ruolo aggiornato (dopo il 26 novembre 2023) |
---|---|---|
Gruppo di risorse | Collaboratore alla rete | Collaboratore all'interfaccia di rete di Windows 365 |
Rete virtuale | Collaboratore alla rete | Utente di rete di Windows 365 |
Abbonamento | Lettore | Lettore |
Per altre informazioni sulla rimozione di un'assegnazione di ruolo da una risorsa di Azure, vedere Rimuovere le assegnazioni di ruolo di Azure.
Tag di ambito
Il supporto di Windows 365 per i tag di ambito è disponibile in anteprima pubblica.
Per il controllo degli accessi in base al ruolo, i ruoli fanno solo parte dell'equazione. Sebbene i ruoli funzionino bene per definire un set di autorizzazioni, i tag di ambito consentono di definire la visibilità delle risorse dell'organizzazione. I tag di ambito sono particolarmente utili quando si organizza il tenant in modo che gli utenti abbiano l'ambito di determinate gerarchie, aree geografiche, business unit e così via.
Usare Intune per creare e gestire i tag di ambito. Per altre informazioni sulla modalità di creazione e gestione dei tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
In Windows 365, i tag di ambito possono essere applicati alle risorse seguenti:
- Criteri di provisioning
- Connessioni di rete di Azure (ANC)
- PC cloud
- Immagini personalizzate
- Assegnazioni di ruolo controllo degli accessi in base al ruolo di Windows 365
Per assicurarsi che l'elenco Tutti i dispositivi di proprietà di Intune e l'elenco Tutti i PC cloud di proprietà di Windows 365 mostrino gli stessi PC cloud in base all'ambito, seguire questa procedura dopo aver creato i tag di ambito e i criteri di provisioning:
- Creare un gruppo di dispositivi dinamici di Microsoft Entra ID con la regola che enrollmentProfileName è uguale al nome esatto dei criteri di provisioning creati.
- Assegnare il tag di ambito creato al gruppo di dispositivi dinamico.
- Dopo il provisioning e la registrazione del PC cloud in Intune, sia l'elenco Tutti i dispositivi che l'elenco Tutti i PC cloud dovrebbero visualizzare gli stessi PC cloud.
Per consentire agli amministratori con ambito di visualizzare i tag di ambito assegnati e gli oggetti all'interno dell'ambito, è necessario assegnare loro uno dei ruoli seguenti:
- Sola lettura in Intune
- Lettore/amministratore di PC cloud
- Ruolo personalizzato con autorizzazioni simili.
Azioni bulk dell'API Graph e tag di ambito durante l'anteprima pubblica
Per la durata dell'anteprima pubblica dei tag di ambito, le azioni bulk seguenti non rispettano i tag di ambito quando vengono chiamati direttamente dall'API Graph:
- Eseguire il ripristino
- Nuovo provisioning
- Posizionare Cloud PC sotto revisione
- Rimuovere cloud PC in fase di revisione
- Condividere il punto di ripristino di Cloud PC nell'archiviazione
- Creare un punto di ripristino manuale di Cloud PC
Passaggi successivi
Controllo degli accessi in base al ruolo con Microsoft Intune.
Informazioni sulle definizioni dei ruoli di Azure
Che cos'è il controllo degli accessi in base al ruolo di Azure?
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per