Toegangsbeheer op basis van rollen
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. U kunt rollen toewijzen voor uw cloud-pc's met behulp van het Microsoft Intune-beheercentrum.
Wanneer een gebruiker met de rol Abonnementseigenaar of Beheerder van gebruikerstoegang een ANC maakt, bewerkt of opnieuw probeert, wijst Windows 365 de vereiste ingebouwde rollen transparant de volgende resources toe (als deze nog niet zijn toegewezen):
- Azure-abonnement
- Resourcegroep
- Virtueel netwerk dat is gekoppeld aan de ANC
Als u alleen de rol Abonnementslezer hebt, zijn deze toewijzingen niet automatisch. In plaats daarvan moet u de vereiste ingebouwde rollen handmatig configureren voor de Windows First Party-app in Azure.
Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.
Windows 365-beheerdersrol
Windows 365 ondersteunt de Windows 365-beheerdersrol die beschikbaar is voor roltoewijzing via het Microsoft-beheercentrum en Microsoft Entra ID. Met deze rol kunt u Windows 365 Cloud-pc's beheren voor zowel Enterprise- als Business-edities. De rol Windows 365-beheerder kan meer machtigingen met een bereik verlenen dan andere Microsoft Entra-rollen, zoals globale beheerder. Zie Ingebouwde Rollen van Microsoft Entra voor meer informatie.
Ingebouwde cloud-pc-rollen
De volgende ingebouwde rollen zijn beschikbaar voor cloud-pc's:
Cloud-pc-beheerder
Beheert alle aspecten van cloud-pc's, zoals:
- Beheer van installatiekopieën van het besturingssysteem
- Configuratie van Azure-netwerkverbinding
- Provisioning
Cloud-pc-lezer
Hiermee worden cloud-pc-gegevens weergegeven die beschikbaar zijn in het Windows 365-knooppunt in Microsoft Intune, maar kunnen geen wijzigingen aanbrengen.
Inzender voor Windows 365-netwerkinterface
De rol Inzender voor Windows 365-netwerkinterface wordt toegewezen aan de resourcegroep die is gekoppeld aan de Azure-netwerkverbinding (ANC). Met deze rol kan de Windows 365-service de NIC maken en toevoegen en de implementatie in de resourcegroep beheren. Deze rol is een verzameling van de minimale machtigingen die vereist zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Windows 365-netwerkgebruiker
De rol Windows 365-netwerkgebruiker wordt toegewezen aan het virtuele netwerk dat is gekoppeld aan de ANC. Met deze rol kan de Windows 365-service de NIC koppelen aan het virtuele netwerk. Deze rol is een verzameling van de minimale machtigingen die vereist zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnetten/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Aangepaste rollen
U kunt aangepaste rollen voor Windows 365 maken in het Microsoft Intune-beheercentrum. Zie Een aangepaste rol maken voor meer informatie.
De volgende machtigingen zijn beschikbaar bij het maken van aangepaste rollen.
| Machtiging | Beschrijving |
|---|---|
| Gegevens controleren/lezen | Lees de auditlogboeken van cloud-pc-resources in uw tenant. |
| Azure-netwerkverbindingen/maken | Maak een on-premises verbinding voor het inrichten van cloud-pc's. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te maken. |
| Azure-netwerkverbindingen/verwijderen | Een specifieke on-premises verbinding verwijderen. Herinnering: U kunt een verbinding die in gebruik is niet verwijderen. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te verwijderen. |
| Azure-netwerkverbindingen/lezen | Lees de eigenschappen van on-premises verbindingen. |
| Azure-netwerkverbindingen/update | Werk de eigenschappen van een specifieke on-premises verbinding bij. De Azure-rol Van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding bij te werken. |
| Azure-netwerkverbindingen/RunHealthChecks | Statuscontroles uitvoeren op een specifieke on-premises verbinding. De Azure-rol van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om statuscontroles uit te voeren. |
| Azure-netwerkverbindingen/UpdateAdDomainPassword | Active Directory-domeinwachtwoord van een specifieke on-premises verbinding bijwerken. |
| Cloud-pc's/lezen | Lees de eigenschappen van Cloud-pc's in uw tenant. |
| Cloud-pc's/opnieuw inrichten | Cloud-pc's in uw tenant opnieuw inrichten. |
| Cloud-pc's/formaat wijzigen | Wijzig het formaat van cloud-pc's in uw tenant. |
| Cloud-pc's/EndGracePeriod | Respijtperiode voor cloud-pc's in uw tenant beëindigen. |
| Cloud-pc's/herstellen | Cloud-pc's in uw tenant herstellen. |
| Cloud-pc's/opnieuw opstarten | Start Cloud-pc's opnieuw op in uw tenant. |
| Cloud-pc's/naam wijzigen | Wijzig de naam van cloud-pc's in uw tenant. |
| Cloud-pc's/problemen oplossen | Problemen met cloud-pc's in uw tenant oplossen. |
| Cloud-pc's/ChangeUserAccountType | Wijzig het gebruikersaccounttype tussen lokale beheerder en standaardgebruiker van een cloud-pc in uw tenant. |
| Cloud-pc's/PlaceUnderReview | Stel Cloud-pc's in die worden beoordeeld in uw tenant. |
| Cloud-pc's/RetryPartnerAgentInstallation | Poging om partneragents opnieuw te installeren op een cloud-pc die niet kan worden geïnstalleerd. |
| Cloud-pc's/ApplyCurrentProvisioningPolicy | De huidige configuratie van het inrichtingsbeleid toepassen op cloud-pc's in uw tenant. |
| Cloud-pc's/CreateSnapshot | Maak handmatig een momentopname voor cloud-pc's in uw tenant. |
| Apparaatinstallatiekopieën/maken | Upload een aangepaste installatiekopieën van het besturingssysteem die u later kunt inrichten op cloud-pc's. |
| Apparaatafbeeldingen/verwijderen | Een installatiekopieën van het besturingssysteem verwijderen van cloud-pc. |
| Apparaatafbeeldingen/lezen | Lees de eigenschappen van cloud-pc-apparaatinstallatiekopieën. |
| Instellingen van externe partner/lezen | Lees de eigenschappen van een instelling voor externe cloud-pc-partners. |
| Instellingen voor externe partner/maken | Maak een nieuwe instelling voor externe cloud-pc-partners. |
| Instellingen van externe partner/update | Werk de eigenschappen van een instelling van een externe cloud-pc-partner bij. |
| Organisatie-instellingen/lezen | Lees de eigenschappen van de organisatie-instellingen voor cloud-pc's. |
| Organisatie-instellingen/bijwerken | Werk de eigenschappen van de organisatie-instellingen voor cloud-pc's bij. |
| Prestatierapporten/lezen | Lees de rapporten met betrekking tot externe verbindingen voor Windows 365 Cloud-pc's. |
| Inrichtingsbeleid/toewijzen | Wijs een inrichtingsbeleid voor cloud-pc's toe aan gebruikersgroepen. |
| Inrichtingsbeleid/maken | Maak een nieuw inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/verwijderen | Een inrichtingsbeleid voor cloud-pc's verwijderen. U kunt een beleid dat wordt gebruikt niet verwijderen. |
| Inrichtingsbeleid/lezen | Lees de eigenschappen van het inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/update | Werk de eigenschappen van het inrichtingsbeleid voor cloud-pc's bij. |
| Rapporten/exporteren | Gerelateerde rapporten voor Windows 365 exporteren. |
| Roltoewijzingen/maken | Maak een nieuwe cloud-pc-roltoewijzing. |
| Roltoewijzingen/bijwerken | Werk de eigenschappen van een specifieke cloud-pc-roltoewijzing bij. |
| Roltoewijzingen/verwijderen | Een specifieke roltoewijzing voor cloud-pc's verwijderen. |
| Rollen/lezen | Machtigingen, roldefinities en roltoewijzingen voor cloud-pc-rollen weergeven. Bewerking of actie weergeven die kan worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/maken | Een rol maken voor cloud-pc. Maakbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/bijwerken | Update-rol voor cloud-pc. Updatebewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/verwijderen | Verwijder de rol voor cloud-pc. Verwijderbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Serviceplan/lezen | Lees de serviceplannen van Cloud-pc. |
| SharedUseLicenseUsageReports/Read | Lees de rapporten met betrekking tot gebruik van gedeelde gebruikslicenties voor Windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Lees de eigenschappen van Cloud PC Shared Use Service Plans. |
| Momentopname/lezen | Lees de momentopname van cloud-pc. |
| Momentopname/delen | Deel de momentopname van cloud-pc. |
| Ondersteunde regio/lezen | Lees de ondersteunde regio's van Cloud-pc. |
| Gebruikersinstellingen/Toewijzen | Wijs een cloud-pc-gebruikersinstelling toe aan gebruikersgroepen. |
| Gebruikersinstellingen/Maken | Maak een nieuwe cloud-pc-gebruikersinstelling. |
| Gebruikersinstellingen/Verwijderen | Een cloud-pc-gebruikersinstelling verwijderen. |
| Gebruikersinstellingen/lezen | Lees de eigenschappen van een cloud-pc-gebruikersinstelling. |
| Gebruikersinstellingen/bijwerken | Werk de eigenschappen van een cloud-pc-gebruikersinstelling bij. |
Een beheerder heeft de volgende machtigingen nodig om een inrichtingsbeleid te maken:
- Inrichtingsbeleid/lezen
- Inrichtingsbeleid/maken
- Azure-netwerkverbindingen/lezen
- Ondersteunde regio/lezen
- Apparaatafbeeldingen/lezen
Bestaande machtigingen migreren
Voor ANC's die vóór 26 november 2023 zijn gemaakt, wordt de rol Netwerkbijdrager gebruikt om machtigingen toe te passen op zowel de resourcegroep als het virtuele netwerk. Als u wilt toepassen op de nieuwe RBAC-rollen, kunt u de ANC-statuscontrole opnieuw proberen. De bestaande rollen moeten handmatig worden verwijderd.
Als u de bestaande rollen handmatig wilt verwijderen en de nieuwe rollen wilt toevoegen, raadpleegt u de volgende tabel voor de bestaande rollen die voor elke Azure-resource worden gebruikt. Voordat u de bestaande rollen verwijdert, moet u ervoor zorgen dat de bijgewerkte rollen zijn toegewezen.
| Azure-resource | Bestaande rol (vóór 26 november 2023) | Bijgewerkte rol (na 26 november 2023) |
|---|---|---|
| Resourcegroep | Netwerkbijdrager | Inzender voor Windows 365-netwerkinterface |
| Virtueel netwerk | Netwerkbijdrager | Windows 365-netwerkgebruiker |
| Abonnement | Lezer | Lezer |
Zie Azure-roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing uit een Azure-resource.
Bereiktags
Windows 365-ondersteuning voor bereiktags is in openbare preview.
Voor RBAC zijn rollen slechts een deel van de vergelijking. Hoewel rollen goed werken om een set machtigingen te definiëren, helpen bereiktags de zichtbaarheid van de resources van uw organisatie te definiëren. Bereiktags zijn het handigst bij het ordenen van uw tenant, zodat gebruikers zich kunnen richten op bepaalde hiërarchieën, geografische regio's, bedrijfseenheden, enzovoort.
Gebruik Intune om bereiktags te maken en te beheren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over hoe bereiktags worden gemaakt en beheerd.
In Windows 365 kunnen bereiktags worden toegepast op de volgende resources:
- Inrichtingsbeleid
- Azure-netwerkverbindingen (ANC)
- Cloud-pc's
- Aangepaste afbeeldingen
- Windows 365 RBAC-roltoewijzingen
Volg deze stappen na het maken van uw bereiktags en het inrichtingsbeleid om ervoor te zorgen dat zowel de lijst Alle apparaten van Intune als alle cloud-pc's in Windows 365-eigendom dezelfde cloud-pc's weergeven op basis van het bereik:
- Maak een dynamische Microsoft Entra ID-apparaatgroep met de regel dat enrollmentProfileName gelijk is aan de exacte naam van het gemaakte inrichtingsbeleid.
- Wijs de gemaakte bereiktag toe aan de dynamische apparaatgroep.
- Nadat de cloud-pc is ingericht en ingeschreven bij Intune, moeten in zowel de lijst Alle apparaten als de lijst Alle cloud-pc's dezelfde cloud-pc's worden weergegeven.
Als u beheerders met een bereik wilt laten zien welke bereiktags aan hen zijn toegewezen en welke objecten binnen hun bereik vallen, moeten ze een van de volgende rollen toegewezen krijgen:
- Intune alleen-lezen
- Cloud-pc-lezer/beheerder
- Een aangepaste rol met vergelijkbare machtigingen.
Graph API-bulkacties en bereiktags tijdens de openbare preview
Voor de duur van de openbare preview van bereiktags worden de volgende bulkacties geen bereiktags uitgevoerd wanneer ze rechtstreeks vanuit de Graph API worden aangeroepen:
- Herstellen
- Herinrichting
- Cloud-pc onder controle plaatsen
- Cloud-pc verwijderen onder beoordeling
- Herstelpunt van cloud-pc delen naar opslag
- Handmatig herstelpunt voor cloud-pc's maken
Volgende stappen
Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.
Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor