Controllo dell'accesso basato sui ruoli
Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. È possibile assegnare ruoli per i PC cloud usando l'interfaccia di amministrazione Microsoft Intune.
Quando un utente con il ruolo Proprietario sottoscrizione o Amministratore accesso utente crea, modifica o ritenta un ANC, Windows 365 assegnerà in modo trasparente i ruoli predefiniti necessari nella sottoscrizione di Azure, nel gruppo di risorse e nella rete virtuale associati all'ANC, se non sono già assegnati. Se si dispone solo del ruolo Lettore di sottoscrizioni, queste assegnazioni non verranno eseguite automaticamente. Sarà invece necessario configurare manualmente i ruoli predefiniti necessari per l'app windows di primo livello in Azure.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
ruolo amministratore Windows 365
Windows 365 supporta il ruolo amministratore Windows 365 disponibile per l'assegnazione di ruolo tramite Microsoft Amministrazione Center e l'ID Microsoft Entra. Con questo ruolo, è possibile gestire Windows 365 PC cloud per le edizioni Enterprise e Business. Il ruolo amministratore Windows 365 può concedere più autorizzazioni con ambito rispetto ad altri ruoli Microsoft Entra, ad esempio Amministratore globale. Per altre informazioni, vedere Microsoft Entra ruoli predefiniti.
Ruoli predefiniti di Cloud PC
Per Cloud PC sono disponibili i ruoli predefiniti seguenti:
Amministratore di Cloud PC
Gestisce tutti gli aspetti dei PC cloud, ad esempio:
- Gestione delle immagini del sistema operativo
- Configurazione della connessione di rete di Azure
- Provisioning
Lettore PC cloud
Visualizza i dati di Cloud PC disponibili nel nodo Windows 365 in Microsoft Intune, ma non può apportare modifiche.
Collaboratore all'interfaccia di rete Windows 365
Il ruolo Collaboratore interfaccia di rete Windows 365 viene assegnato al gruppo di risorse associato alla connessione di rete di Azure. Questo ruolo consente al servizio Windows 365 di creare e aggiungere la scheda di interfaccia di rete e gestire la distribuzione nel gruppo di risorse. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
utente di rete Windows 365
Il ruolo Windows 365 Utente di rete viene assegnato alla rete virtuale associata all'ANC. Questo ruolo consente al servizio Windows 365 di aggiungere la scheda di interfaccia di rete alla rete virtuale. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
Ruoli personalizzati
È possibile creare ruoli personalizzati per Windows 365 nell'interfaccia di amministrazione di Microsoft Intune. Per altre informazioni, vedere Creare un ruolo personalizzato.
Quando si creano ruoli personalizzati, sono disponibili le autorizzazioni seguenti.
| Autorizzazione | Descrizione |
|---|---|
| Dati di controllo/lettura | Leggere i log di controllo delle risorse di Cloud PC nel tenant. |
| Connessioni di rete/creazione di Azure | Creare una connessione locale per il provisioning di PC cloud. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per creare una connessione locale. |
| Connessioni di rete/eliminazione di Azure | Eliminare una connessione locale specifica. Promemoria: non è possibile eliminare una connessione in uso. Il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario anche il ruolo azure per eliminare una connessione locale. |
| Connessioni di rete di Azure/Lettura | Leggere le proprietà delle connessioni locali. |
| Connessioni di rete/aggiornamento di Azure | Aggiornare le proprietà di una connessione locale specifica. Per aggiornare una connessione locale, è necessario anche il ruolo azure del proprietario della sottoscrizione o dell'amministratore dell'accesso utente. |
| Connessioni di rete di Azure/RunHealthChecks | Eseguire controlli di integrità in una connessione locale specifica. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per eseguire i controlli di integrità. |
| Connessioni di rete di Azure/UpdateAdDomainPassword | Aggiornare la password di dominio active directory di una connessione locale specifica. |
| Pc cloud/lettura | Leggere le proprietà dei PC cloud nel tenant. |
| Pc cloud/reprovisioning | Eseguire di nuovo il provisioning dei PC cloud nel tenant. |
| PC cloud/Ridimensionamento | Ridimensionare i PC cloud nel tenant. |
| PC cloud/EndGracePeriod | Periodo di tolleranza finale per i PC cloud nel tenant. |
| Pc cloud/ripristino | Ripristinare i PC cloud nel tenant. |
| Pc cloud/riavvio | Riavviare i PC cloud nel tenant. |
| PC cloud/ridenominazione | Rinominare i PC cloud nel tenant. |
| Pc cloud/Risoluzione dei problemi | Risolvere i problemi relativi ai PC cloud nel tenant. |
| PC cloud/ChangeUserAccountType | Modificare il tipo di account utente tra l'amministratore locale e l'utente standard di un PC cloud nel tenant. |
| PC cloud/PlaceUnderReview | Impostare i PC cloud sotto revisione nel tenant. |
| PC cloud/RetryPartnerAgentInstallation | Tentativo di reinstallare gli agenti partner di parte in un PC cloud che non è stato possibile installare. |
| Pc cloud/ApplyCurrentProvisioningPolicy | Applicare la configurazione corrente dei criteri di provisioning ai PC cloud nel tenant. |
| Pc cloud/CreateSnapshot | Creare manualmente uno snapshot per i PC cloud nel tenant. |
| Immagini/creazione del dispositivo | Caricare un'immagine del sistema operativo personalizzata di cui è possibile eseguire il provisioning in un secondo momento nei PC cloud. |
| Immagini/eliminazione del dispositivo | Eliminare un'immagine del sistema operativo da Cloud PC. |
| Immagini dispositivo/Lettura | Leggere le proprietà delle immagini dei dispositivi Cloud PC. |
| Impostazioni partner esterni/Lettura | Leggere le proprietà di un'impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Creazione | Creare una nuova impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Aggiornamento | Aggiornare le proprietà di un'impostazione partner esterno di Cloud PC. |
| Impostazioni organizzazione/Lettura | Leggere le proprietà delle impostazioni dell'organizzazione Cloud PC. |
| Impostazioni organizzazione/aggiornamento | Aggiornare le proprietà delle impostazioni dell'organizzazione di Cloud PC. |
| Report prestazioni/Lettura | Leggere i report correlati Windows 365 Cloud PC connessioni remote. |
| Criteri di provisioning/assegnazione | Assegnare un criterio di provisioning di Cloud PC ai gruppi di utenti. |
| Criteri di provisioning/creazione | Creare un nuovo criterio di provisioning di Cloud PC. |
| Criteri di provisioning/eliminazione | Eliminare un criterio di provisioning di Cloud PC. Non è possibile eliminare un criterio in uso. |
| Criteri di provisioning/Lettura | Leggere le proprietà di un criterio di provisioning di Cloud PC. |
| Criteri di provisioning/aggiornamento | Aggiornare le proprietà di un criterio di provisioning di Cloud PC. |
| Report/Esportazione | Esportare Windows 365 report correlati. |
| Assegnazioni di ruolo/creazione | Creare una nuova assegnazione di ruolo Cloud PC. |
| Assegnazioni di ruolo/aggiornamento | Aggiornare le proprietà di un'assegnazione di ruolo Cloud PC specifica. |
| Assegnazioni di ruolo/eliminazione | Eliminare un'assegnazione di ruolo Cloud PC specifica. |
| Ruoli/Lettura | Visualizzare le autorizzazioni, le definizioni dei ruoli e le assegnazioni di ruolo per il ruolo Cloud PC. Visualizzare l'operazione o l'azione che può essere eseguita su una risorsa (o un'entità) cloud PC. |
| Ruoli/Creazione | Creare un ruolo per Cloud PC. Le operazioni di creazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/aggiornamento | Aggiornare il ruolo per Cloud PC. Le operazioni di aggiornamento possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/Eliminazione | Eliminare il ruolo per Cloud PC. Le operazioni di eliminazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Piano di servizio/Lettura | Leggere i piani di servizio di Cloud PC. |
| SharedUseLicenseUsageReports/Read | Leggere i report relativi all'utilizzo delle licenze per uso condiviso Windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Leggere le proprietà dei piani di servizio per l'uso condiviso del PC cloud. |
| Snapshot/Lettura | Leggere lo snapshot di Cloud PC. |
| Snapshot/Condivisione | Condividere lo snapshot di Cloud PC. |
| Area supportata/Lettura | Leggere le aree supportate di Cloud PC. |
| Impostazioni utente/Assegnazione | Assegnare un'impostazione utente di Cloud PC ai gruppi di utenti. |
| Impostazioni utente/Creazione | Creare una nuova impostazione utente di Cloud PC. |
| Impostazioni utente/Eliminazione | Eliminare un'impostazione utente di Cloud PC. |
| Impostazioni utente/Lettura | Leggere le proprietà di un'impostazione utente di Cloud PC. |
| Impostazioni utente/Aggiornamento | Aggiornare le proprietà di un'impostazione utente di Cloud PC. |
Per creare un criterio di provisioning, un amministratore deve disporre delle autorizzazioni seguenti:
- Criteri di provisioning/Lettura
- Criteri di provisioning/creazione
- Connessioni di rete di Azure/Lettura
- Area supportata/Lettura
- Immagini dispositivo/Lettura
Migrazione delle autorizzazioni esistenti
Per gli ANC creati prima del 26 novembre 2023, il ruolo Collaboratore rete viene usato per applicare le autorizzazioni sia per il gruppo di risorse che per Rete virtuale. Per applicare ai nuovi ruoli controllo degli accessi in base al ruolo, è possibile ritentare il controllo dell'integrità dell'ANC. Si noti che i ruoli esistenti devono essere rimossi manualmente.
Per rimuovere manualmente i ruoli esistenti e aggiungere i nuovi ruoli, vedere la tabella seguente per i ruoli esistenti usati in ogni risorsa di Azure. Prima di rimuovere i ruoli esistenti, assicurarsi che siano stati assegnati i ruoli aggiornati.
| Risorsa di Azure | Ruolo esistente (prima del 26 novembre 2023) | Ruolo aggiornato (dopo il 26 novembre 2023) |
|---|---|---|
| Gruppo di risorse | Collaboratore alla rete | Collaboratore all'interfaccia di rete Windows 365 |
| Rete virtuale | Collaboratore alla rete | utente di rete Windows 365 |
| Abbonamento | Lettore | Lettore |
Per altre informazioni sulla rimozione di un'assegnazione di ruolo da una risorsa di Azure, vedere Rimuovere le assegnazioni di ruolo di Azure.
Passaggi successivi
Controllo degli accessi in base al ruolo con Microsoft Intune.
Informazioni sulle definizioni dei ruoli di Azure
Che cos'è il controllo degli accessi in base al ruolo di Azure?
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per