Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. U kunt rollen toewijzen voor uw cloud-pc's met behulp van het Microsoft Intune-beheercentrum.
Wanneer een gebruiker met de rol Abonnementseigenaar of Beheerder voor gebruikerstoegang een ANC maakt, bewerkt of opnieuw probeert, wijst Windows 365 de vereiste ingebouwde rollen transparant de volgende resources toe (als deze nog niet zijn toegewezen):
- Azure-abonnement
- Resourcegroep
- Virtueel netwerk dat is gekoppeld aan de ANC
Als u alleen de rol Abonnementslezer hebt, zijn deze toewijzingen niet automatisch. In plaats daarvan moet u de vereiste ingebouwde rollen handmatig configureren voor de Windows First Party-app in Azure.
Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.
Windows 365 beheerdersrol
Windows 365 ondersteunt de rol Windows 365 Administrator die beschikbaar is voor roltoewijzing via het Microsoft Beheer Center en Microsoft Entra ID. Met deze rol kunt u Windows 365 Cloud-pc's beheren voor zowel Enterprise- als Business-edities. De rol Windows 365 Beheerder kan meer machtigingen binnen het bereik verlenen dan andere Microsoft Entra rollen, zoals Globale beheerder. Zie ingebouwde rollen Microsoft Entra voor meer informatie.
Ingebouwde cloud-pc-rollen
De volgende ingebouwde rollen zijn beschikbaar voor cloud-pc's:
Cloud-pc-beheerder
Beheert alle aspecten van cloud-pc's, zoals:
- Beheer van installatiekopieën van het besturingssysteem
- configuratie van Azure netwerkverbinding
- Provisioning
Cloud-pc-lezer
Hiermee worden cloud-pc-gegevens weergegeven die beschikbaar zijn in het knooppunt Windows 365 in Microsoft Intune, maar kunnen geen wijzigingen aanbrengen.
Windows 365 Network Interface-inzender
De rol Windows 365 Inzender voor netwerkinterface wordt toegewezen aan de resourcegroep die is gekoppeld aan de Azure netwerkverbinding (ANC). Met deze rol kan de Windows 365-service de NIC maken en toevoegen en de implementatie in de resourcegroep beheren. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Windows 365-netwerkgebruiker
De rol Windows 365 Netwerkgebruiker wordt toegewezen aan het virtuele netwerk dat is gekoppeld aan de ANC. Met deze rol kan de Windows 365-service de NIC koppelen aan het virtuele netwerk. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnetten/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Aangepaste rollen
U kunt aangepaste rollen voor Windows 365 maken in Microsoft Intune beheercentrum. Zie Een aangepaste rol maken voor meer informatie.
De volgende machtigingen zijn beschikbaar bij het maken van aangepaste rollen.
| Machtiging | Beschrijving |
|---|---|
| ActionStatus/Read | Lees de statusrapporten van de cloud-pc-actie. |
| AdminHighlights/Bediening | Acties ophalen die zijn uitgevoerd om markeringen voor beheerders en de eigenschappen van beheerders-markeringen te beheren |
| AuditData/Lezen | Lees de auditlogboeken van cloud-pc-resources in uw tenant. |
| netwerkverbindingen Azure/maken | Maak een on-premises verbinding voor het inrichten van cloud-pc's. Abonnementseigenaar of beheerder van gebruikerstoegang Azure rol is ook vereist om een on-premises verbinding te maken. |
| netwerkverbindingen Azure/verwijderen | Een specifieke on-premises verbinding verwijderen. Herinnering: U kunt een verbinding die in gebruik is niet verwijderen. Abonnementseigenaar of beheerder van gebruikerstoegang Azure rol is ook vereist om een on-premises verbinding te verwijderen. |
| netwerkverbindingen Azure/lezen | Lees de eigenschappen van on-premises verbindingen. |
| Azure netwerkverbindingen/RunHealthChecks | Statuscontroles uitvoeren op een specifieke on-premises verbinding. Abonnementseigenaar of beheerder van gebruikerstoegang Azure rol is ook vereist om statuscontroles uit te voeren. |
| netwerkverbindingen Azure/bijwerken | Werk de eigenschappen van een specifieke on-premises verbinding bij. Abonnementseigenaar of beheerder van gebruikerstoegang Azure rol is ook vereist om een on-premises verbinding bij te werken. |
| Azure netwerkverbindingen/UpdateAdDomainPassword | Active Directory-domeinwachtwoord van een specifieke on-premises verbinding bijwerken. |
| BulkActions/Read | Lees de eigenschappen van Bulkacties voor cloud-pc's. |
| BulkActions/Write | Maak een nieuwe bulkactie voor cloud-pc's. |
| CloudApps/Maken | Een nieuwe cloud-app maken. |
| CloudApps/Delete | Een cloud-app verwijderen. |
| CloudApps/publiceren | Een cloud-app publiceren. |
| CloudApps/Lezen | Lees de eigenschappen van een cloud-app of een gedetecteerde app. |
| CloudApps/opnieuw instellen | Een cloud-app opnieuw instellen. |
| CloudApps/publicatie ongedaan maken | Publicatie van een cloud-app ongedaan maken. |
| CloudApps/update | De eigenschappen van een cloud-app bijwerken. |
| CloudPCs/ChangeUserAccountType | Wijzig het gebruikersaccounttype tussen lokale beheerder en standaardgebruiker van een cloud-pc in uw tenant. |
| CloudPCs/CheckAgentStatus | Statuscontroles van agent activeren voor cloud-pc's in uw tenant. |
| CloudPCs/CreateSnapshot | Maak handmatig een momentopname voor cloud-pc's in uw tenant. |
| CloudPCs/inrichting ongedaan maken | De inrichting van cloud-pc's in uw tenant ongedaan maken. |
| CloudPCs/DisasterRecoveryFailback | Herstel na noodgeval tussen regio's deactiveren voor cloud-pc's in uw tenant. |
| CloudPCs/DisasterRecoveryFailover | Herstel na noodgeval tussen regio's activeren voor cloud-pc's in uw tenant. |
| CloudPCs/EndGracePeriod | Respijtperiode voor cloud-pc's in uw tenant beëindigen. |
| CloudPCs/GetCloudPcLaunchInfo | Informatie over CloudPC Launch ophalen in uw tenant. |
| CloudPCs/ModifyDiskEncryptionType | Wijzig het schijfversleutelingstype voor cloud-pc's in uw tenant. |
| CloudPCs/PlaceUnderReview | Stel Cloud-pc's in die worden beoordeeld in uw tenant. |
| CloudPCs/PowerOff | Schakel cloud-pc's in uw tenant uit. |
| CloudPC's/PowerOn | Cloud-pc's inschakelen in uw tenant. |
| CloudPC's/inrichten | Cloud-pc's inrichten in uw tenant. |
| CloudPCs/Lezen | Lees de eigenschappen van Cloud-pc's in uw tenant. |
| CloudPC's/opnieuw opstarten | Start Cloud-pc's opnieuw op in uw tenant. |
| CloudPCs/ReinstallAgent | Installeer de agent opnieuw voor cloud-pc's in uw tenant. |
| CloudPCs/naam wijzigen | Wijzig de naam van cloud-pc's in uw tenant. |
| CloudPCs/herinrichting | Cloud-pc's in uw tenant opnieuw inrichten. |
| CloudPCs/formaat wijzigen | Wijzig het formaat van cloud-pc's in uw tenant. |
| CloudPC's/herstellen | Cloud-pc's in uw tenant herstellen. |
| CloudPCs/RetrieveAgentStatus | Agentstatus ophalen voor cloud-pc's in uw tenant. |
| CloudPCs/RetryPartnerAgentInstallation | Poging om partneragents opnieuw te installeren op een cloud-pc die niet zijn geïnstalleerd. |
| CloudPCs/SetDeviceName | Stel de werkelijke apparaatnaam van cloud-pc's in uw tenant in. |
| CloudPCs/Start | Cloud-pc's starten in uw tenant. |
| CloudPC's/stoppen | Cloud-pc's in uw tenant stoppen. |
| CloudPC's/problemen oplossen | Problemen met cloud-pc's in uw tenant oplossen. |
| CloudPCUserSettingsPersistence/Delete | Verwijder de opgeslagen gebruikersopslag die is gekoppeld aan het inrichtingsbeleid van een cloud-pc. |
| CloudPCUserSettingsPersistence/Read | Lees de cloud-pc-gebruikerservaring voor het synchroniseren van opslag, inclusief totale en gebruikte opslag, en afzonderlijke gebruikersopslagtoewijzingen. |
| CloudPCUserSettingsPersistence/Update | Werk de synchronisatieconfiguratie voor cloud-pc-gebruikerservaring bij, inclusief instellingen voor automatisch opschonen en dynamische grootte. |
| CrossRegionDisasterRecovery/Read | Lees de Windows 365 Cloud-pc rapporten voor herstel na noodgeval tussen regio's. |
| Apparaatinstallatiekopieën/maken | Upload een aangepaste installatiekopieën van het besturingssysteem die u later kunt inrichten op cloud-pc's. |
| Apparaatafbeeldingen/verwijderen | Een installatiekopieën van het besturingssysteem verwijderen van cloud-pc. |
| Apparaatafbeeldingen/lezen | Lees de eigenschappen van cloud-pc-apparaatinstallatiekopieën. |
| Apparaatinstallatiekopieën/bijwerken | Updates de eigenschappen van een cloud-pc-apparaatafbeelding. Op dit moment kan alleen de eigenschap scopeIds worden gewijzigd met behulp van de PATCH-methode. |
| DeviceRecommendation/Read | Lees Rapporten met betrekking tot CloudPCs-apparaataanmeldingen. |
| Instellingen voor externe partner/maken | Maak een nieuwe instelling voor externe cloud-pc-partners. |
| Instellingen van externe partner/lezen | Lees de eigenschappen van een instelling voor externe cloud-pc-partners. |
| Instellingen van externe partner/update | Werk de eigenschappen van een instelling van een externe cloud-pc-partner bij. |
| FrontLineServicePlans/Read | Lees de eigenschappen van Front Line-serviceplannen voor cloud-pc's. |
| Frontlinerapporten/lezen | Lees de Windows 365 Cloud-pc Frontline-rapporten. |
| Niet-toegankelijkerapporten/lezen | Lees de rapporten over niet-toegankelijke cloud-pc's. |
| OnderhoudWindows/Toewijzen | Wijs een onderhoudsvenster voor cloud-pc's toe aan gebruikersgroepen. |
| MaintenanceWindows/Create | Maak een nieuw onderhoudsvenster voor cloud-pc's. |
| MaintenanceWindows/Delete | Een onderhoudsvenster voor cloud-pc's verwijderen. U kunt een onderhoudsvenster dat in gebruik is, niet verwijderen. |
| MaintenanceWindows/Read | Lees de eigenschappen van een onderhoudsvenster voor cloud-pc's. |
| MaintenanceWindows/Update | Werk de eigenschappen van een onderhoudsvenster voor cloud-pc's bij. |
| Beheerde licenties/lezen | Lees de eigenschappen van de beheerde Windows365-serviceplannen. |
| Organisatie-instellingen/lezen | Lees de eigenschappen van de organisatie-instellingen voor cloud-pc's. |
| Organisatie-instellingen/bijwerken | Werk de eigenschappen van de organisatie-instellingen voor cloud-pc's bij. |
| PerformanceReports/Read | Lees de rapporten Windows 365 Cloud-pc externe verbindingen. |
| Inrichtingsbeleid/Toepassen | De huidige configuratie van het inrichtingsbeleid toepassen op cloud-pc's in uw tenant. |
| Inrichtingsbeleid/toewijzen | Wijs een inrichtingsbeleid voor cloud-pc's toe aan gebruikersgroepen. |
| Inrichtingsbeleid/maken | Maak een nieuw inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/verwijderen | Een inrichtingsbeleid voor cloud-pc's verwijderen. U kunt een beleid dat wordt gebruikt niet verwijderen. |
| Inrichtingsbeleid/lezen | Lees de eigenschappen van het inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/opnieuw proberen | Voer de inrichtingsbewerking opnieuw uit voor cloud-pc's die zijn mislukt. |
| Inrichtingsbeleid/update | Werk de eigenschappen van het inrichtingsbeleid voor cloud-pc's bij. |
| Inrichtingsbeleid (agents)/maken | Maak een nieuwe cloud-pc-pool. |
| Inrichtingsbeleid (agents)/Verwijderen | Een cloud-pc-pool verwijderen. |
| Inrichtingsbeleid (agents)/lezen | Lees de eigenschappen van een cloud-pc-pool. |
| Inrichtingsbeleid (agents)/bijwerken | Werk de eigenschappen van een cloud-pc-pool bij. |
| Roltoewijzingen/maken | Maak een nieuwe cloud-pc-roltoewijzing. |
| Roltoewijzingen/verwijderen | Een specifieke roltoewijzing voor cloud-pc's verwijderen. |
| Roltoewijzingen/bijwerken | Werk de eigenschappen van een specifieke cloud-pc-roltoewijzing bij. |
| Rollen/maken | Een rol maken voor cloud-pc. Maakbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/verwijderen | Verwijder de rol voor cloud-pc. Verwijderbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/lezen | Machtigingen, roldefinities en roltoewijzingen voor cloud-pc-rollen weergeven. Bewerking of actie weergeven die kan worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/bijwerken | Update-rol voor cloud-pc. Updatebewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| ServicePlan/Read | Lees de serviceplannen van Cloud-pc. |
| Instellingen/toewijzen | Wijs een profiel voor cloud-pc-instellingen toe aan Entra groepen. |
| Instellingen/maken | Maak een nieuw profiel voor cloud-pc-instellingen. |
| Instellingen/Verwijderen | Een cloud-pc-instellingenprofiel verwijderen. |
| Instellingen/lezen | Lees de eigenschappen van een cloud-pc-instellingenprofiel. |
| Instellingen/bijwerken | Werk de eigenschappen van een cloud-pc-instellingenprofiel bij. |
| SharedUseLicenseUsageReports/Read | Lees de Windows 365 Cloud-pc Rapporten met betrekking tot gedeeld gebruikslicentiegebruik. |
| SharedUseServicePlans/Read | Lees de eigenschappen van Cloud PC Shared Use Service Plans. |
| Momentopname/importeren | Importeer de momentopname die is gemaakt van de virtuele Azure-machine. |
| Snapshot/PurgeImportedSnapshot | Verwijder de door de klant geïmporteerde momentopnamen voor het inrichten van cloud-pc's. Houd er rekening mee dat met deze machtiging alleen geïmporteerde momentopnamen kunnen worden verwijderd. |
| Momentopname/lezen | Lees de momentopname van cloud-pc. |
| Momentopname/delen | Deel de momentopname van cloud-pc. |
| Ondersteunde regio/lezen | Lees de ondersteunde regio's van Cloud-pc. |
| Gebruikersinstellingen/Toewijzen | Wijs een cloud-pc-gebruikersinstelling toe aan gebruikersgroepen. |
| Gebruikersinstellingen/Maken | Maak een nieuwe cloud-pc-gebruikersinstelling. |
| Gebruikersinstellingen/Verwijderen | Een cloud-pc-gebruikersinstelling verwijderen. |
| Gebruikersinstellingen/lezen | Lees de eigenschappen van een cloud-pc-gebruikersinstelling. |
| Gebruikersinstellingen/bijwerken | Werk de eigenschappen van een cloud-pc-gebruikersinstelling bij. |
| Webhooks/Maken | Maak een webhook-abonnement voor Microsoft Power Platform. |
| Webhooks/Verwijderen | Verwijder een webhook-abonnement voor Microsoft Power Platform. |
Een beheerder heeft de volgende machtigingen nodig om een inrichtingsbeleid te maken:
- Inrichtingsbeleid/lezen
- Inrichtingsbeleid/maken
- netwerkverbindingen Azure/lezen
- Ondersteunde regio/lezen
- Apparaatafbeeldingen/lezen
Bestaande machtigingen migreren
Voor ANC's die vóór 26 november 2023 zijn gemaakt, wordt de rol Netwerkbijdrager gebruikt om machtigingen toe te passen op zowel de resourcegroep als Virtual Network. Als u wilt toepassen op de nieuwe RBAC-rollen, kunt u de ANC-statuscontrole opnieuw proberen. De bestaande rollen moeten handmatig worden verwijderd.
Als u de bestaande rollen handmatig wilt verwijderen en de nieuwe rollen wilt toevoegen, raadpleegt u de volgende tabel voor de bestaande rollen die voor elke Azure resource worden gebruikt. Voordat u de bestaande rollen verwijdert, moet u ervoor zorgen dat de bijgewerkte rollen zijn toegewezen.
| Azure resource | Bestaande rol (vóór 26 november 2023) | Bijgewerkte rol (na 26 november 2023) |
|---|---|---|
| Resourcegroep | Netwerkbijdrager | Windows 365 Network Interface-inzender |
| Virtueel netwerk | Netwerkbijdrager | Windows 365-netwerkgebruiker |
| Abonnement | Lezer | Lezer |
Zie Azure roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing uit een Azure resource.
Bereiktags
Voor RBAC zijn rollen slechts een deel van de vergelijking. Hoewel rollen goed werken om een set machtigingen te definiëren, helpen bereiktags de zichtbaarheid van de resources van uw organisatie te definiëren. Bereiktags zijn het handigst bij het ordenen van uw tenant, zodat gebruikers zich kunnen richten op bepaalde hiërarchieën, geografische regio's, bedrijfseenheden, enzovoort.
Gebruik Intune om bereiktags te maken en te beheren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over hoe bereiktags worden gemaakt en beheerd.
In Windows 365 kunnen bereiktags worden toegepast op de volgende resources:
- Inrichtingsbeleid
- Azure netwerkverbindingen (ANC)
- Cloud-pc's
- Aangepaste afbeeldingen
- RBAC-roltoewijzingen Windows 365
Volg deze stappen na het maken van uw bereiktags en het inrichtingsbeleid om ervoor te zorgen dat zowel de lijst Alle apparaten in Intune-eigendom als alle cloud-pc's in Windows 365-eigendom dezelfde cloud-pc's weergeven op basis van het bereik:
- Maak een Microsoft Entra ID dynamische apparaatgroep met de regel dat enrollmentProfileName gelijk is aan de exacte naam van het gemaakte inrichtingsbeleid.
- Wijs de gemaakte bereiktag toe aan de dynamische apparaatgroep.
- Nadat de cloud-pc is ingericht en ingeschreven bij Intune, moeten in zowel de lijst Alle apparaten als de lijst Alle cloud-pc's dezelfde cloud-pc's worden weergegeven.
Als u nieuwe bereiktags toevoegt aan een inrichtingsbeleid, moet u ervoor zorgen dat u ook de bereiktags toevoegt aan de Intune dynamische groep. Deze toevoeging zorgt ervoor dat de dynamische groep de nieuwe bereiktags respecteert. Controleer ook op cloud-pc's waarop mogelijk unieke bereiktags zijn toegevoegd om ervoor te zorgen dat ze er nog steeds zijn na eventuele updates.
Om ervoor te zorgen dat Windows 365 wijzigingen in Intune bereiktags kunt honoreren, worden deze gegevens vanuit Intune gesynchroniseerd. Zie Privacy, klantgegevens en klantinhoud in Windows 365 voor meer informatie.
Als u beheerders met een bereik wilt laten zien welke bereiktags aan hen zijn toegewezen en welke objecten binnen hun bereik vallen, moeten ze een van de volgende rollen toegewezen krijgen:
- Intune alleen-lezen
- Cloud-pc-lezer/beheerder
- Een aangepaste rol met vergelijkbare machtigingen.
Volgende stappen
Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.
Inzicht in Azure roldefinities
Wat is Azure op rollen gebaseerd toegangsbeheer (Azure RBAC)?