Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie tym, kto ma dostęp do zasobów organizacji i co może zrobić z tymi zasobami. Role dla komputerów w chmurze można przypisać za pomocą centrum administracyjnego usługi Microsoft Intune.
Gdy użytkownik z rolą Właściciel subskrypcji lub Administrator dostępu użytkowników tworzy, edytuje lub ponawia próbę anc, system Windows 365 w sposób niewidoczny przypisuje wymagane role wbudowane do następujących zasobów (jeśli nie zostały jeszcze przypisane):
- Subskrypcja platformy Azure
- Grupa zasobów
- Sieć wirtualna skojarzona z usługą ANC
Jeśli masz tylko rolę Czytelnik subskrypcji, te przypisania nie są automatyczne. Zamiast tego należy ręcznie skonfigurować wymagane role wbudowane w aplikacji pierwszej firmy systemu Windows na platformie Azure.
Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune.
Rola administratora systemu Windows 365
System Windows 365 obsługuje rolę administratora systemu Windows 365 dostępną do przypisania roli za pośrednictwem Centrum administracyjnego firmy Microsoft i identyfikatora Microsoft Entra. Dzięki tej roli możesz zarządzać komputerami z systemem Windows 365 Cloud zarówno w wersji Enterprise, jak i Business. Rola administratora systemu Windows 365 może przyznać uprawnienia o większym zakresie niż inne role usługi Microsoft Entra, takie jak administrator globalny. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.
Role wbudowane na komputerze w chmurze
Następujące wbudowane role są dostępne dla komputera w chmurze:
Administrator komputera w chmurze
Zarządza wszystkimi aspektami komputerów w chmurze, takimi jak:
- Zarządzanie obrazami systemu operacyjnego
- Konfiguracja połączenia sieciowego platformy Azure
- Inicjowania obsługi
Czytnik komputerów w chmurze
Wyświetla dane komputera w chmurze dostępne w węźle Systemu Windows 365 w usłudze Microsoft Intune, ale nie może wprowadzać zmian.
Współautor interfejsu sieciowego systemu Windows 365
Rola Współautor interfejsu sieciowego systemu Windows 365 jest przypisywana do grupy zasobów skojarzonej z połączeniem sieciowym platformy Azure (ANC). Ta rola umożliwia usłudze Windows 365 tworzenie karty sieciowej i dołączanie do niej oraz zarządzanie wdrożeniem w grupie zasobów. Ta rola jest kolekcją minimalnych uprawnień wymaganych do obsługi systemu Windows 365 podczas korzystania z usługi ANC.
Typ akcji | Uprawnienia |
---|---|
akcje | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | Brak |
dataActions | Brak |
notDataActions | Brak |
Użytkownik sieci systemu Windows 365
Rola Użytkownika sieci systemu Windows 365 jest przypisywana do sieci wirtualnej skojarzonej z usługą ANC. Ta rola umożliwia usłudze Windows 365 dołączenie karty sieciowej do sieci wirtualnej. Ta rola jest kolekcją minimalnych uprawnień wymaganych do obsługi systemu Windows 365 podczas korzystania z usługi ANC.
Typ akcji | Uprawnienia |
---|---|
akcje | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | Brak |
dataActions | Brak |
notDataActions | Brak |
Role niestandardowe
Role niestandardowe dla systemu Windows 365 można tworzyć w centrum administracyjnym usługi Microsoft Intune. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej.
Podczas tworzenia ról niestandardowych są dostępne następujące uprawnienia.
Uprawnienie | Opis |
---|---|
Inspekcja danych/odczytu | Przeczytaj dzienniki inspekcji zasobów komputera w chmurze w dzierżawie. |
Połączenia sieciowe platformy Azure/Tworzenie | Utwórz połączenie lokalne na potrzeby aprowizacji komputerów w chmurze. Do utworzenia połączenia lokalnego jest również wymagana rola właściciela subskrypcji lub administratora dostępu użytkowników platformy Azure. |
Połączenia sieciowe platformy Azure/usuwanie | Usuń określone połączenie lokalne. Przypomnienie: nie można usunąć używanego połączenia. Właściciel subskrypcji lub administrator dostępu użytkowników rola platformy Azure jest również wymagana do usunięcia połączenia lokalnego. |
Połączenia sieciowe platformy Azure/odczyt | Przeczytaj właściwości połączeń lokalnych. |
Połączenia sieciowe platformy Azure/aktualizacja | Zaktualizuj właściwości określonego połączenia lokalnego. Właściciel subskrypcji lub administrator dostępu użytkowników rola platformy Azure jest również wymagana do zaktualizowania połączenia lokalnego. |
Połączenia sieciowe platformy Azure/RunHealthChecks | Uruchom testy kondycji dla określonego połączenia lokalnego. Do przeprowadzania kontroli kondycji jest również wymagana rola właściciela subskrypcji lub administratora dostępu użytkowników na platformie Azure. |
Połączenia sieciowe platformy Azure/UpdateAdDomainPassword | Zaktualizuj hasło domeny usługi Active Directory dla określonego połączenia lokalnego. |
Komputery w chmurze/odczyt | Przeczytaj właściwości komputerów w chmurze w dzierżawie. |
Komputery w chmurze/ponowne aprowizowanie | Ponowne aprowizowanie komputerów w chmurze w dzierżawie. |
Komputery w chmurze/Zmiana rozmiaru | Zmień rozmiar komputerów w chmurze w dzierżawie. |
Komputery w chmurze/EndGracePeriod | Zakończ okres prolongaty dla komputerów w chmurze w dzierżawie. |
Komputery w chmurze/przywracanie | Przywróć komputery w chmurze w dzierżawie. |
Komputery w chmurze/ponowne uruchamianie | Uruchom ponownie komputery w chmurze w dzierżawie. |
Komputery w chmurze/Zmiana nazwy | Zmień nazwę komputerów w chmurze w dzierżawie. |
Komputery w chmurze/rozwiązywanie problemów | Rozwiązywanie problemów z komputerami w chmurze w dzierżawie. |
Komputery w chmurze/ChangeUserAccountType | Zmień typ konta użytkownika między administratorem lokalnym a standardowym użytkownikiem komputera w chmurze w dzierżawie. |
Komputery w chmurze/PlaceUnderReview | Ustaw komputery w chmurze pod kontrolą w dzierżawie. |
Komputery w chmurze/RetryPartnerAgentInstallation | Spróbuj ponownie zainstalować agentów partnera firmowego na komputerze w chmurze, którego instalacja nie powiodła się. |
Komputery w chmurze/ApplyCurrentProvisioningPolicy | Zastosuj bieżącą konfigurację zasad aprowizacji do komputerów w chmurze w dzierżawie. |
Komputery w chmurze/CreateSnapshot | Ręcznie utwórz migawkę dla komputerów w chmurze w dzierżawie. |
Obrazy urządzeń/tworzenie | Przekaż niestandardowy obraz systemu operacyjnego, który można później aprowizować na komputerach w chmurze. |
Obrazy urządzeń/usuwanie | Usuń obraz systemu operacyjnego z komputera w chmurze. |
Obrazy urządzeń/odczyt | Odczytywanie właściwości obrazów urządzeń z komputerem w chmurze. |
Ustawienia partnera zewnętrznego/odczyt | Zapoznaj się z właściwościami ustawienia partnera zewnętrznego komputera w chmurze. |
Ustawienia partnera zewnętrznego/tworzenie | Utwórz nowe ustawienie partnera zewnętrznego komputera w chmurze. |
Ustawienia partnera zewnętrznego/aktualizacja | Zaktualizuj właściwości ustawienia partnera zewnętrznego komputera w chmurze. |
Ustawienia organizacji/odczyt | Zapoznaj się z właściwościami ustawień organizacji komputera w chmurze. |
Ustawienia organizacji/aktualizacja | Zaktualizuj właściwości ustawień organizacji komputera w chmurze. |
Raporty wydajności/odczyt | Przeczytaj raporty dotyczące połączeń zdalnych komputera z systemem Windows 365 Cloud. |
Zasady aprowizacji/Przypisywanie | Przypisz zasady aprowizacji komputera w chmurze do grup użytkowników. |
Zasady aprowizacji/Tworzenie | Utwórz nowe zasady aprowizacji komputera w chmurze. |
Zasady aprowizacji/Usuwanie | Usuń zasady aprowizacji komputera w chmurze. Nie można usunąć zasad, które są używane. |
Zasady aprowizacji/Odczyt | Zapoznaj się z właściwościami zasad aprowizacji komputera w chmurze. |
Zasady aprowizacji/aktualizacja | Zaktualizuj właściwości zasad aprowizacji komputera w chmurze. |
Raporty/eksportowanie | Eksportowanie raportów związanych z systemem Windows 365. |
Przypisania ról/Tworzenie | Utwórz nowe przypisanie roli komputera w chmurze. |
Przypisania ról/Aktualizacja | Zaktualizuj właściwości określonego przypisania roli komputera w chmurze. |
Przypisania ról/Usuwanie | Usuń przypisanie określonej roli komputera w chmurze. |
Role/Odczyt | Wyświetlanie uprawnień, definicji ról i przypisań ról dla roli komputera w chmurze. Wyświetl operację lub akcję, którą można wykonać na zasobie komputera w chmurze (lub jednostce). |
Role/Tworzenie | Utwórz rolę dla komputera w chmurze. Operacje tworzenia można wykonywać na zasobie komputera w chmurze (lub jednostce). |
Role/aktualizacja | Zaktualizuj rolę dla komputera w chmurze. Operacje aktualizacji można wykonywać na zasobie komputera w chmurze (lub jednostce). |
Role/Usuwanie | Usuń rolę dla komputera w chmurze. Operacje usuwania można wykonywać na zasobie komputera w chmurze (lub jednostce). |
Plan usługi/odczyt | Zapoznaj się z planami usług komputera w chmurze. |
SharedUseLicenseUsageReports/Read | Zapoznaj się z raportami dotyczącymi użycia licencji użycia udostępnionego komputera z systemem Windows 365 Cloud PC. |
SharedUseServicePlans/Read | Zapoznaj się z właściwościami planów usługi współużytkowania komputera w chmurze. |
Migawka/odczyt | Przeczytaj migawkę komputera w chmurze. |
Migawka/udział | Udostępnij migawkę komputera w chmurze. |
Obsługiwany region/odczyt | Przeczytaj obsługiwane regiony komputera w chmurze. |
Ustawienia użytkownika/Przypisywanie | Przypisywanie ustawienia użytkownika komputera w chmurze do grup użytkowników. |
Ustawienia użytkownika/Tworzenie | Utwórz nowe ustawienie użytkownika komputera w chmurze. |
Ustawienia użytkownika/usuwanie | Usuń ustawienie użytkownika komputera w chmurze. |
Ustawienia użytkownika/odczyt | Zapoznaj się z właściwościami ustawienia użytkownika komputera w chmurze. |
Ustawienia użytkownika/aktualizacja | Zaktualizuj właściwości ustawienia użytkownika komputera w chmurze. |
Aby utworzyć zasady aprowizacji, administrator musi mieć następujące uprawnienia:
- Zasady aprowizacji/Odczyt
- Zasady aprowizacji/Tworzenie
- Połączenia sieciowe platformy Azure/odczyt
- Obsługiwany region/odczyt
- Obrazy urządzeń/odczyt
Migrowanie istniejących uprawnień
W przypadku kontrolerów ANC utworzonych przed 26 listopada 2023 r. rola Współautor sieci jest używana do stosowania uprawnień zarówno w grupie zasobów, jak i w sieci wirtualnej. Aby zastosować do nowych ról RBAC, możesz ponowić próbę sprawdzenia kondycji usługi ANC. Istniejące role muszą zostać usunięte ręcznie.
Aby ręcznie usunąć istniejące role i dodać nowe role, zapoznaj się z poniższą tabelą dotyczącą istniejących ról używanych w każdym zasobie platformy Azure. Przed usunięciem istniejących ról upewnij się, że zaktualizowane role zostały przypisane.
Zasób platformy Azure | Istniejąca rola (przed 26 listopada 2023 r.) | Zaktualizowano rolę (po 26 listopada 2023 r.) |
---|---|---|
Grupa zasobów | Współautor sieci | Współautor interfejsu sieciowego systemu Windows 365 |
Sieć wirtualna | Współautor sieci | Użytkownik sieci systemu Windows 365 |
Subskrypcja | Czytelnik | Czytelnik |
Aby uzyskać więcej informacji na temat usuwania przypisania roli z zasobu platformy Azure, zobacz Usuwanie przypisań ról platformy Azure.
Tagi zakresu
Obsługa tagów zakresu w systemie Windows 365 jest dostępna w publicznej wersji zapoznawczej.
W przypadku kontroli dostępu opartej na rolach role są tylko częścią równania. Chociaż role dobrze definiują zestaw uprawnień, tagi zakresu pomagają zdefiniować widoczność zasobów organizacji. Tagi zakresu są najbardziej przydatne podczas organizowania dzierżawy tak, aby użytkownicy mieli zakres do określonych hierarchii, regionów geograficznych, jednostek biznesowych itd.
Tworzenie tagów zakresu i zarządzanie nimi za pomocą usługi Intune. Aby uzyskać więcej informacji na temat sposobu tworzenia i zarządzania tagami zakresu, zobacz Korzystanie z kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.
W systemie Windows 365 tagi zakresu można zastosować do następujących zasobów:
- Zasady aprowizacji
- Połączenia sieciowe platformy Azure (ANC)
- Komputery w chmurze
- Obrazy niestandardowe
- Przypisania ról RBAC systemu Windows 365
Aby upewnić się, że zarówno lista Wszystkie urządzenia należące do usługi Intune, jak i lista Wszystkie komputery w chmurze należące do systemu Windows 365 zawierają te same komputery w chmurze oparte na zakresie, wykonaj następujące kroki po utworzeniu tagów zakresu i zasad aprowizacji:
- Utwórz dynamiczną grupę urządzeń o identyfikatorze Microsoft Entra z regułą, że enrollmentProfileName jest równa dokładnej nazwie utworzonych zasad aprowizacji.
- Przypisz utworzony tag zakresu do dynamicznej grupy urządzeń.
- Po aprowizacji i zarejestrowaniu komputera w chmurze w usłudze Intune zarówno lista Wszystkie urządzenia, jak i Wszystkie komputery w chmurze powinny wyświetlać te same komputery w chmurze.
Aby umożliwić administratorom o określonym zakresie wyświetlanie, które tagi zakresu są przypisane do nich i obiektów w ich zakresie, muszą mieć przypisaną jedną z następujących ról:
- Tylko do odczytu w usłudze Intune
- Czytelnik/administrator komputera w chmurze
- Rola niestandardowa z podobnymi uprawnieniami.
Akcje zbiorcze i tagi zakresu interfejsu API programu Graph w publicznej wersji zapoznawczej
Na czas trwania tagów zakresu w publicznej wersji zapoznawczej następujące akcje zbiorcze nie uwzględniają tagów zakresu, gdy są wywoływane bezpośrednio z interfejsu API programu Graph:
- Przywróć
- Ponowne aprowizowanie
- Umieść komputer w chmurze pod przeglądem
- Usuwanie komputera z chmurą w trakcie przeglądu
- Udostępnianie punktu przywracania komputera w chmurze do magazynu
- Tworzenie ręcznego punktu przywracania komputera w chmurze
Następne kroki
Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune.
Omówienie definicji ról platformy Azure
Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure?