次の方法で共有


役割ベースのアクセス制御

ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Microsoft Intune 管理センターを使用して、クラウド PC のロールを割り当てることができます。

サブスクリプション所有者またはユーザー アクセス管理者ロールを持つユーザーが ANC を作成、編集、または再試行すると、Windows 365 では、必要な組み込みロールに次のリソースが透過的に割り当てられます (まだ割り当てられない場合)。

  • Azure のサブスクリプション
  • リソース グループ
  • ANC に関連付けられている仮想ネットワーク

サブスクリプション閲覧者ロールしかない場合、これらの割り当ては自動ではありません。 代わりに、Azure の Windows ファースト パーティ アプリに必要な組み込みロールを手動で構成する必要があります。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

Windows 365 管理者

Windows 365 では、Microsoft Admin Center と Microsoft Entra ID を使用してロールの割り当てに使用できる Windows 365 管理者ロールがサポートされています。 この役割を使用すると、Enterprise エディションと Business エディションの両方の Windows 365 クラウド PC を管理できます。 Windows 365 管理者ロールは、グローバル管理者などの他の Microsoft Entra ロールよりも多くのスコープ付きアクセス許可を付与できます。 詳細については、「 Microsoft Entra 組み込みロール」を参照してください。

クラウド PC の組み込みロール

クラウド PC では、次の組み込みロールを使用できます。

クラウド PC 管理者

次のようなクラウド PC のすべての側面を管理します。

  • OS イメージ管理
  • Azure ネットワーク接続の構成
  • プロビジョニング

クラウド PC リーダー

Microsoft Intune の Windows 365 ノードで使用できるクラウド PC データを表示しますが、変更することはできません。

Windows 365 ネットワーク インターフェイス共同作成者

Windows 365 ネットワーク インターフェイス共同作成者ロールは、Azure ネットワーク接続 (ANC) に関連付けられているリソース グループに割り当てられます。 このロールを使用すると、Windows 365 サービスは NIC を作成して参加させ、リソース グループ内のデプロイを管理できます。 このロールは、ANC を使用するときに Windows 365 を操作するために必要な最小限のアクセス許可のコレクションです。

アクションの種類 アクセス許可
actions Microsoft.Resources/subscriptions/resourcegroups/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read

Microsoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
notActions なし
dataActions なし
notDataActions なし

Windows 365 ネットワーク ユーザー

Windows 365 ネットワーク ユーザー ロールは、ANC に関連付けられている仮想ネットワークに割り当てられます。 この役割により、Windows 365 サービスは NIC を仮想ネットワークに参加させることができます。 このロールは、ANC を使用するときに Windows 365 を操作するために必要な最小限のアクセス許可のコレクションです。

アクションの種類 アクセス許可
actions Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/subnets/join/action
notActions なし
dataActions なし
notDataActions なし

カスタムの役割

Windows 365 のカスタム ロールは 、Microsoft Intune 管理センターで作成できます。 詳細については、「カスタム ロールの作成」を参照してください。

カスタム ロールを作成する場合は、次のアクセス許可を使用できます。

アクセス許可 説明
データの監査/読み取り テナント内のクラウド PC リソースの監査ログを読み取ります。
Azure ネットワーク接続/作成 クラウド PC をプロビジョニングするためのオンプレミス接続を作成します。 オンプレミス接続を作成するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。
Azure ネットワーク接続/削除 特定のオンプレミス接続を削除します。 リマインダー: 使用中の接続を削除することはできません。 オンプレミス接続を削除するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。
Azure ネットワーク接続/読み取り オンプレミス接続のプロパティを読み取ります。
Azure ネットワーク接続/更新 特定のオンプレミス接続のプロパティを更新します。 オンプレミス接続を更新するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。
Azure Network Connections/RunHealthChecks 特定のオンプレミス接続で正常性チェックを実行します。 正常性チェックを実行するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。
Azure Network Connections/UpdateAdDomainPassword 特定のオンプレミス接続の Active Directory ドメイン パスワードを更新します。
クラウド PC/読み取り テナント内のクラウド PC のプロパティを読み取ります。
クラウド PC/再プロビジョニング テナント内のクラウド PC を再プロビジョニングします。
クラウド PC/サイズ変更 テナント内のクラウド PC のサイズを変更します。
クラウド PC/EndGracePeriod テナント内のクラウド PC の猶予期間を終了します。
クラウド PC/復元 テナント内のクラウド PC を復元します。
クラウド PC/再起動 テナント内のクラウド PC を再起動します。
クラウド PC/名前の変更 テナント内のクラウド PC の名前を変更します。
クラウド PC/トラブルシューティング テナント内のクラウド PC のトラブルシューティングを行います。
クラウド PC/ChangeUserAccountType ローカル管理者とテナント内のクラウド PC の標準ユーザーの間でユーザー アカウントの種類を変更します。
クラウド PC/PlaceUnderReview テナントで確認中のクラウド PC を設定します。
クラウド PC/RetryPartnerAgentInstallation インストールに失敗したクラウド PC にパーティ パートナー エージェントの再インストールを試みます。
クラウド PC/ApplyCurrentProvisioningPolicy テナント内のクラウド PC に現在のプロビジョニング ポリシー構成を適用します。
クラウド PC/CreateSnapshot テナントにクラウド PC のスナップショットを手動で作成します。
デバイス イメージ/作成 クラウド PC で後でプロビジョニングできるカスタム OS イメージをアップロードします。
デバイス イメージ/削除 クラウド PC から OS イメージを削除します。
デバイス イメージ/読み取り クラウド PC デバイス イメージのプロパティを読み取ります。
外部パートナー設定/読み取り クラウド PC 外部パートナー設定のプロパティを読み取ります。
外部パートナー設定/作成 新しいクラウド PC 外部パートナー設定を作成します。
外部パートナー設定/更新 クラウド PC 外部パートナー設定のプロパティを更新します。
組織の設定/読み取り クラウド PC 組織の設定のプロパティを読み取ります。
組織の設定/更新 クラウド PC 組織の設定のプロパティを更新します。
パフォーマンス レポート/読み取り Windows 365 Cloud PC のリモート接続に関連するレポートを読みます。
プロビジョニング ポリシー/割り当て クラウド PC プロビジョニング ポリシーをユーザー グループに割り当てます。
プロビジョニング ポリシー/作成 新しいクラウド PC プロビジョニング ポリシーを作成します。
プロビジョニング ポリシー/削除 クラウド PC プロビジョニング ポリシーを削除します。 使用中のポリシーは削除できません。
プロビジョニング ポリシー/読み取り クラウド PC プロビジョニング ポリシーのプロパティを読み取ります。
プロビジョニング ポリシー/更新 クラウド PC プロビジョニング ポリシーのプロパティを更新します。
レポート/エクスポート Windows 365 関連レポートをエクスポートします。
ロールの割り当て/作成 新しいクラウド PC ロールの割り当てを作成します。
ロールの割り当て/更新 特定のクラウド PC ロールの割り当てのプロパティを更新します。
ロールの割り当て/削除 特定のクラウド PC ロールの割り当てを削除します。
ロール/読み取り クラウド PC ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 クラウド PC リソース (またはエンティティ) で実行できる操作またはアクションを表示します。
ロール/作成 クラウド PC のロールを作成します。 作成操作は、クラウド PC リソース (またはエンティティ) で実行できます。
ロール/更新 クラウド PC のロールを更新します。 更新操作は、クラウド PC リソース (またはエンティティ) で実行できます。
ロール/削除 クラウド PC のロールを削除します。 削除操作は、クラウド PC リソース (またはエンティティ) で実行できます。
サービス プラン/読み取り クラウド PC のサービス プランをお読みください。
SharedUseLicenseUsageReports/Read Windows 365 Cloud PC Shared use ライセンスの使用状況に関するレポートを読みます。
SharedUseServicePlans/Read クラウド PC 共有使用サービス プランのプロパティを読み取ります。
スナップショット/読み取り クラウド PC のスナップショットを読み取ります。
スナップショット/共有 クラウド PC のスナップショットを共有します。
サポートされているリージョン/読み取り クラウド PC のサポートされているリージョンを読み取ります。
ユーザー設定/割り当て クラウド PC ユーザー設定をユーザー グループに割り当てます。
ユーザー設定/作成 新しいクラウド PC ユーザー設定を作成します。
ユーザー設定/削除 クラウド PC ユーザー設定を削除します。
ユーザー設定/読み取り クラウド PC ユーザー設定のプロパティを読み取ります。
ユーザー設定/更新 クラウド PC ユーザー設定のプロパティを更新します。

プロビジョニングポリシーを作成するには、管理者は次のアクセス許可が必要です。

  • プロビジョニング ポリシー/読み取り
  • プロビジョニング ポリシー/作成
  • Azure ネットワーク接続/読み取り
  • サポートされているリージョン/読み取り
  • デバイス イメージ/読み取り

既存のアクセス許可の移行

2023 年 11 月 26 日より前に作成された ANC の場合、ネットワーク共同作成者ロールを使用して、リソース グループと仮想ネットワークの両方にアクセス許可を適用します。 新しい RBAC ロールに適用するには、ANC 正常性チェックを再試行します。 既存のロールは手動で削除する必要があります。

既存のロールを手動で削除し、新しいロールを追加するには、各 Azure リソースで使用されている既存のロールについて、次の表を参照してください。 既存のロールを削除する前に、更新されたロールが割り当てられていることを確認してください。

Azure リソース 既存のロール (2023 年 11 月 26 日より前) ロールの更新 (2023 年 11 月 26 日以降)
リソース グループ ネットワーク共同作成者 Windows 365 ネットワーク インターフェイス共同作成者
仮想ネットワーク ネットワーク共同作成者 Windows 365 ネットワーク ユーザー
サブスクリプション Reader Reader

Azure リソースからロールの割り当てを削除する方法の詳細については、「Azure ロールの割り当てを削除する」を参照してください。

スコープ タグ

スコープ タグに対する Windows 365 のサポートは パブリック プレビュー段階です

RBAC の場合、ロールは数式の一部にすぎません。 ロールは一連のアクセス許可を定義するのに役立ちますが、スコープ タグは組織のリソースの可視性を定義するのに役立ちます。 スコープ タグは、特定の階層、地理的な地域、部署などを対象にユーザーを対象にするようにテナントを整理する場合に最も役立ちます。

Intune を使用してスコープ タグを作成および管理します。 スコープ タグの作成方法と管理方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。

Windows 365 では、スコープ タグを次のリソースに適用できます。

  • プロビジョニング ポリシー
  • Azure ネットワーク接続 (ANC)
  • クラウド PC
  • カスタム イメージ
  • Windows 365 RBAC ロールの割り当て

Intune 所有 のすべてのデバイス の一覧と Windows 365 所有 のすべてのクラウド PC の両方の一覧に、スコープに基づいて同じクラウド PC が表示されるようにするには、スコープ タグとプロビジョニング ポリシーを作成した後、次の手順に従います。

  1. enrollmentProfileName が作成されたプロビジョニング ポリシーの正確な名前と等しいルールを使用して、Microsoft Entra ID 動的デバイス グループを作成します。
  2. 作成したスコープ タグを動的デバイス グループに割り当てます。
  3. クラウド PC をプロビジョニングして Intune に登録すると、[すべてのデバイス] リストと [すべてのクラウド PC] の両方の一覧に同じクラウド PC が表示されます。

スコープ管理者が割り当てられているスコープ タグとそのスコープ内のオブジェクトを表示できるようにするには、次のいずれかのロールを割り当てる必要があります。

  • Intune の読み取り専用
  • クラウド PC 閲覧者/管理者
  • 同様のアクセス許可を持つカスタム ロール。

パブリック プレビュー中の Graph API の一括アクションとスコープ タグ

スコープ タグのパブリック プレビュー期間中、Graph API から直接呼び出された場合、次の一括アクションではスコープ タグは適用されません。

  • 復元
  • 再プロビジョニング
  • クラウド PC をレビュー中に配置する
  • レビュー中のクラウド PC を削除する
  • クラウド PC の復元ポイントを記憶域に共有する
  • クラウド PC の手動復元ポイントの作成

次の手順

Microsoft Intune でのロールベースのアクセス制御 (RBAC)

Azure ロールの定義について

Azure ロールベースのアクセス制御 (Azure RBAC) とは