역할 기반 액세스 제어
RBAC(역할 기반 액세스 제어)를 사용하여 조직의 리소스에 액세스할 수 있는 사람과 그 사람이 해당 리소스로 할 수 있는 일을 관리할 수 있습니다. Microsoft Intune 관리 센터를 사용하여 클라우드 PC에 대한 역할을 할당할 수 있습니다.
구독 소유자 또는 사용자 액세스 관리자 역할이 있는 사용자가 ANC를 만들거나 편집하거나 다시 시도하면 Windows 365 필요한 기본 제공 역할을 다음 리소스에 투명하게 할당합니다(아직 할당되지 않은 경우).
- Azure 구독
- 리소스 그룹
- ANC와 연결된 가상 네트워크
구독 읽기 권한자 역할만 있는 경우 이러한 할당은 자동으로 수행되지 않습니다. 대신 Azure의 Windows 자사 앱에 필요한 기본 제공 역할을 수동으로 구성해야 합니다.
자세한 내용은 Microsoft Intune을 통한 RBAC(역할 기반 액세스 제어)를 참조하세요.
Windows 365 관리자
Windows 365 Microsoft 관리 센터 및 Microsoft Entra ID 통해 역할 할당에 사용할 수 있는 Windows 365 관리자 역할을 지원합니다. 이 역할을 사용하면 Enterprise 및 Business 버전 모두에 대해 Windows 365 클라우드 PC를 관리할 수 있습니다. Windows 365 관리자 역할은 전역 관리자와 같은 다른 Microsoft Entra 역할보다 더 많은 범위의 권한을 부여할 수 있습니다. 자세한 내용은 기본 제공 역할 Microsoft Entra 참조하세요.
클라우드 PC 기본 제공 역할
클라우드 PC에 사용할 수 있는 기본 제공 역할은 다음과 같습니다.
클라우드 PC 관리자
다음과 같은 클라우드 PC의 모든 측면을 관리합니다.
- OS 이미지 관리
- Azure 네트워크 연결 구성
- 프로비전
클라우드 PC 판독기
Microsoft Intune Windows 365 노드에서 사용할 수 있는 클라우드 PC 데이터를 볼 수 있지만 변경할 수는 없습니다.
Windows 365 네트워크 인터페이스 기여자
Windows 365 네트워크 인터페이스 기여자 역할은 ANC(Azure 네트워크 연결)와 연결된 리소스 그룹에 할당됩니다. 이 역할을 사용하면 Windows 365 서비스에서 NIC를 만들고 조인하고 리소스 그룹에서 배포를 관리할 수 있습니다. 이 역할은 ANC를 사용할 때 Windows 365 작동하는 데 필요한 최소 권한의 컬렉션입니다.
| 작업 유형 | 권한 |
|---|---|
| 작업 | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | 없음 |
| dataActions | 없음 |
| notDataActions | 없음 |
네트워크 사용자 Windows 365
Windows 365 네트워크 사용자 역할은 ANC와 연결된 가상 네트워크에 할당됩니다. 이 역할을 사용하면 Windows 365 서비스가 NIC를 가상 네트워크에 조인할 수 있습니다. 이 역할은 ANC를 사용할 때 Windows 365 작동하는 데 필요한 최소 권한의 컬렉션입니다.
| 작업 유형 | 권한 |
|---|---|
| 작업 | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/서브넷/읽기 Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | 없음 |
| dataActions | 없음 |
| notDataActions | 없음 |
사용자 지정 역할
Microsoft Intune 관리 센터에서 Windows 365 대한 사용자 지정 역할을 만들 수 있습니다. 자세한 내용은 사용자 지정 역할 만들기를 참조하세요.
사용자 지정 역할을 만들 때 사용할 수 있는 권한은 다음과 같습니다.
| 사용 권한 | 설명 |
|---|---|
| 데이터 감사/읽기 | 테넌트에서 클라우드 PC 리소스의 감사 로그를 읽습니다. |
| Azure Network Connections/Create | 클라우드 PC를 프로비전하기 위한 온-프레미스 연결을 Create. 온-프레미스 연결을 만들려면 구독 소유자 또는 사용자 액세스 관리자 Azure 역할도 필요합니다. |
| Azure Network Connections/삭제 | 특정 온-프레미스 연결을 삭제합니다. 미리 알림: 사용 중인 연결을 삭제할 수 없습니다. 온-프레미스 연결을 삭제하려면 구독 소유자 또는 사용자 액세스 관리자 Azure 역할도 필요합니다. |
| Azure Network Connections/읽기 | 온-프레미스 연결의 속성을 읽습니다. |
| Azure 네트워크 Connections/업데이트 | 특정 온-프레미스 연결의 속성을 업데이트합니다. 온-프레미스 연결을 업데이트하려면 구독 소유자 또는 사용자 액세스 관리자 Azure 역할도 필요합니다. |
| Azure Network Connections/RunHealthChecks | 특정 온-프레미스 연결에서 상태 검사를 실행합니다. 상태 검사를 실행하려면 구독 소유자 또는 사용자 액세스 관리자 Azure 역할도 필요합니다. |
| Azure Network Connections/UpdateAdDomainPassword | 특정 온-프레미스 연결의 Active Directory 도메인 암호를 업데이트합니다. |
| 클라우드 PC/읽기 | 테넌트에서 클라우드 PC의 속성을 읽습니다. |
| 클라우드 PC/다시 프로비전 | 테넌트에서 클라우드 PC를 다시 프로비전합니다. |
| 클라우드 PC/크기 조정 | 테넌트에서 클라우드 PC의 크기를 조정합니다. |
| 클라우드 PC/EndGracePeriod | 테넌트에서 클라우드 PC에 대한 유예 기간을 종료합니다. |
| 클라우드 PC/복원 | 테넌트에서 클라우드 PC를 복원합니다. |
| 클라우드 PC/다시 부팅 | 테넌트에서 클라우드 PC를 다시 부팅합니다. |
| 클라우드 PC/이름 바꾸기 | 테넌트에서 클라우드 PC의 이름을 바꿉니다. |
| 클라우드 PC/문제 해결 | 테넌트에서 클라우드 PC 문제를 해결합니다. |
| 클라우드 PC/ChangeUserAccountType | 테넌트에서 클라우드 PC의 로컬 관리자와 표준 사용자 간에 사용자 계정 유형을 변경합니다. |
| 클라우드 PC/PlaceUnderReview | 테넌트에서 검토 중인 클라우드 PC를 설정합니다. |
| 클라우드 PC/RetryPartnerAgentInstallation | 설치에 실패한 클라우드 PC에서 파티 파트너 에이전트를 다시 설치하려고 시도합니다. |
| 클라우드 PC/ApplyCurrentProvisioningPolicy | 테넌트에서 클라우드 PC에 현재 프로비저닝 정책 구성을 적용합니다. |
| 클라우드 PC/CreateSnapshot | 테넌트에서 클라우드 PC에 대한 스냅샷 수동으로 만듭니다. |
| 디바이스 이미지/Create | 나중에 클라우드 PC에서 프로비전할 수 있는 사용자 지정 OS 이미지를 업로드합니다. |
| 디바이스 이미지/삭제 | 클라우드 PC에서 OS 이미지를 삭제합니다. |
| 디바이스 이미지/읽기 | 클라우드 PC 디바이스 이미지의 속성을 읽습니다. |
| 외부 파트너 설정/읽기 | 클라우드 PC 외부 파트너 설정의 속성을 읽습니다. |
| 외부 파트너 설정/Create | 새 클라우드 PC 외부 파트너 설정을 Create. |
| 외부 파트너 설정/업데이트 | 클라우드 PC 외부 파트너 설정의 속성을 업데이트합니다. |
| 조직 설정/읽기 | 클라우드 PC organization 설정의 속성을 읽습니다. |
| 조직 설정/업데이트 | 클라우드 PC organization 설정의 속성을 업데이트합니다. |
| 성능 보고서/읽기 | Windows 365 클라우드 PC 원격 연결 관련 보고서를 읽습니다. |
| 프로비저닝 정책/할당 | 사용자 그룹에 클라우드 PC 프로비저닝 정책을 할당합니다. |
| 프로비저닝 정책/Create | 새 클라우드 PC 프로비저닝 정책을 Create. |
| 프로비저닝 정책/삭제 | 클라우드 PC 프로비저닝 정책을 삭제합니다. 사용 중인 정책은 삭제할 수 없습니다. |
| 프로비저닝 정책/읽기 | 클라우드 PC 프로비저닝 정책의 속성을 읽습니다. |
| 프로비저닝 정책/업데이트 | 클라우드 PC 프로비저닝 정책의 속성을 업데이트합니다. |
| 보고서/내보내기 | Windows 365 관련 보고서를 내보냅니다. |
| 역할 할당/Create | 새 클라우드 PC 역할 할당을 Create. |
| 역할 할당/업데이트 | 특정 클라우드 PC 역할 할당의 속성을 업데이트합니다. |
| 역할 할당/삭제 | 특정 클라우드 PC 역할 할당을 삭제합니다. |
| 역할/읽기 | 클라우드 PC 역할에 대한 권한, 역할 정의 및 역할 할당을 봅니다. 클라우드 PC 리소스(또는 엔터티)에서 수행할 수 있는 작업 또는 작업을 봅니다. |
| 역할/만들기 | 클라우드 PC에 대한 Create 역할입니다. Create 작업은 클라우드 PC 리소스(또는 엔터티)에서 수행할 수 있습니다. |
| 역할/업데이트 | 클라우드 PC에 대한 역할을 업데이트합니다. 업데이트 작업은 클라우드 PC 리소스(또는 엔터티)에서 수행할 수 있습니다. |
| 역할/삭제 | 클라우드 PC에 대한 역할을 삭제합니다. 삭제 작업은 클라우드 PC 리소스(또는 엔터티)에서 수행할 수 있습니다. |
| 서비스 계획/읽기 | 클라우드 PC의 서비스 계획을 읽어보세요. |
| SharedUseLicenseUsageReports/Read | Windows 365 클라우드 PC 공유 사용 라이선스 사용 관련 보고서를 읽습니다. |
| SharedUseServicePlans/읽기 | 클라우드 PC 공유 사용 서비스 계획의 속성을 읽습니다. |
| 스냅샷/읽기 | 클라우드 PC의 스냅샷을 읽습니다. |
| 스냅샷/공유 | 클라우드 PC의 스냅샷을 공유합니다. |
| 지원되는 지역/읽기 | 클라우드 PC의 지원되는 지역을 읽어보세요. |
| 사용자 설정/할당 | 사용자 그룹에 클라우드 PC 사용자 설정을 할당합니다. |
| 사용자 설정/Create | 새 클라우드 PC 사용자 설정을 Create. |
| 사용자 설정/삭제 | 클라우드 PC 사용자 설정을 삭제합니다. |
| 사용자 설정/읽기 | 클라우드 PC 사용자 설정의 속성을 읽습니다. |
| 사용자 설정/업데이트 | 클라우드 PC 사용자 설정의 속성을 업데이트합니다. |
프로비전 정책을 생성하려면 관리자에게 다음 권한이 필요합니다.
- 프로비저닝 정책/읽기
- 프로비저닝 정책/Create
- Azure Network Connections/읽기
- 지원되는 지역/읽기
- 디바이스 이미지/읽기
기존 권한 마이그레이션
2023년 11월 26일 이전에 만든 ANC의 경우 네트워크 기여자 역할은 리소스 그룹 및 Virtual Network 모두에 대한 권한을 적용하는 데 사용됩니다. 새 RBAC 역할에 적용하려면 ANC 상태 검사 다시 시도할 수 있습니다. 기존 역할을 수동으로 제거해야 합니다.
기존 역할을 수동으로 제거하고 새 역할을 추가하려면 각 Azure 리소스에 사용되는 기존 역할에 대해 다음 표를 참조하세요. 기존 역할을 제거하기 전에 업데이트된 역할이 할당되었는지 확인합니다.
| Azure 리소스 | 기존 역할(2023년 11월 26일 이전) | 역할 업데이트(2023년 11월 26일 이후) |
|---|---|---|
| 리소스 그룹 | 네트워크 기여자 | Windows 365 네트워크 인터페이스 기여자 |
| 가상 네트워크 | 네트워크 기여자 | 네트워크 사용자 Windows 365 |
| 구독 | 리더 | 리더 |
Azure 리소스에서 역할 할당을 제거하는 방법에 대한 자세한 내용은 Azure 역할 할당 제거를 참조하세요.
범위 태그
RBAC의 경우 역할은 수식의 일부일 뿐입니다. 역할은 권한 집합을 정의하는 데 잘 작동하지만 scope 태그는 organization 리소스의 가시성을 정의하는 데 도움이 됩니다. 범위 태그는 사용자가 특정 계층, 지리적 지역, 사업부 등으로 범위가 지정되도록 테넌트 구성 시 가장 유용합니다.
Intune 사용하여 scope 태그를 만들고 관리합니다. scope 태그를 만들고 관리하는 방법에 대한 자세한 내용은 RBAC(역할 기반 액세스 제어) 및 분산 IT에 scope 태그 사용을 참조하세요.
Windows 365 scope 태그를 다음 리소스에 적용할 수 있습니다.
- 프로비전 정책
- ANC(Azure 네트워크 연결)
- 클라우드 PC
- 사용자 지정 이미지
- RBAC 역할 할당 Windows 365
Intune 소유의 모든 디바이스 목록과 Windows 365 소유의 모든 클라우드 PC 목록에 scope 따라 동일한 클라우드 PC가 표시되도록 하려면 scope 태그 및 프로비저닝 정책을 만든 후 다음 단계를 수행합니다.
- enrollmentProfileName이 만든 프로비저닝 정책의 정확한 이름과 같은 규칙을 사용하여 Microsoft Entra ID 동적 디바이스 그룹을 Create.
- 생성된 scope 태그를 동적 디바이스 그룹에 할당합니다.
- 클라우드 PC가 프로비전되고 Intune 등록되면 모든 디바이스 목록과 모든 클라우드 PC 목록에 동일한 클라우드 PC가 표시됩니다.
범위가 지정된 관리자가 할당된 scope 태그와 scope 내의 개체를 볼 수 있도록 하려면 다음 역할 중 하나를 할당받아야 합니다.
- 읽기 전용인 Intune
- 클라우드 PC 판독기/관리자
- 비슷한 권한이 있는 사용자 지정 역할입니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기