Controle de acesso baseado em função
O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Pode atribuir funções para os seus PCs na Cloud através do centro de administração do Microsoft Intune.
Quando um utilizador com a função Proprietário da Subscrição ou Administrador de Acesso de Utilizador cria, edições ou tenta novamente um ANC, o Windows 365 atribui de forma transparente as funções incorporadas necessárias aos seguintes recursos (se ainda não estiverem atribuídos):
- Assinatura do Azure
- Grupo de recursos
- Rede virtual associada ao ANC
Se tiver apenas a função Leitor de Subscrições, estas atribuições não são automáticas. Em vez disso, tem de configurar manualmente as funções incorporadas necessárias para a Aplicação Windows First Party no Azure.
Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.
Função Administrador do Windows 365
O Windows 365 suporta a função de Administrador do Windows 365 disponível para atribuição de funções através do Centro de Administração da Microsoft e do Microsoft Entra ID. Com essa função, você pode gerenciar Windows 365 Cloud PCs para edições Enterprise e Business. A função administrador do Windows 365 pode conceder mais permissões de âmbito do que outras funções do Microsoft Entra, como Administrador Global. Para obter mais informações, consulte Funções incorporadas do Microsoft Entra.
Funções internas do Cloud PC
As seguintes funções incorporadas estão disponíveis para o Cloud PC:
Administrador de PC na Nuvem
Gere todos os aspetos dos PCs na Cloud, como:
- Gerenciamento de imagens do sistema operacional
- Configuração de conexão de rede do Azure
- Provisionamento
Leitor de PC na Nuvem
Visualiza dados do Cloud PC disponíveis no nó do Windows 365 no Microsoft Intune, mas não pode fazer alterações.
Contribuidor da Interface de Rede do Windows 365
A função Contribuidor da Interface de Rede do Windows 365 é atribuída ao grupo de recursos associado à ligação de rede do Azure (ANC). Esta função permite que o serviço do Windows 365 crie e associe à NIC e faça a gestão da implementação no grupo de recursos. Esta função é uma coleção das permissões mínimas necessárias para operar o Windows 365 ao utilizar um ANC.
| Tipo de ação | Permissões |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Nenhum |
| dataActions | Nenhum |
| notDataActions | Nenhum |
Utilizador de Rede do Windows 365
A função Utilizador de Rede do Windows 365 é atribuída à rede virtual associada ao ANC. Esta função permite que o serviço do Windows 365 associe o NIC à rede virtual. Esta função é uma coleção das permissões mínimas necessárias para operar o Windows 365 ao utilizar um ANC.
| Tipo de ação | Permissões |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/sub-redes/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/sub-redes/join/action |
| notActions | Nenhum |
| dataActions | Nenhum |
| notDataActions | Nenhum |
Funções personalizadas
Pode criar funções personalizadas para o Windows 365 no centro de administração do Microsoft Intune. Para obter mais informações, consulte Criar uma função personalizada.
As permissões a seguir estão disponíveis ao criar funções personalizadas.
| Permissão | Descrição |
|---|---|
| Dados de Auditoria/Leitura | Leia os registos de auditoria dos recursos do CLOUD PC no seu inquilino. |
| Ligações de Rede do Azure/Criar | Crie uma ligação no local para aprovisionar PCs na Cloud. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para criar uma ligação no local. |
| Ligações de Rede do Azure/Eliminar | Eliminar uma ligação no local específica. Lembrete: não pode eliminar uma ligação em utilização. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para eliminar uma ligação no local. |
| Ligações de Rede do Azure/Leitura | Leia as propriedades das ligações no local. |
| Ligações de Rede do Azure/Atualização | Atualize as propriedades de uma ligação no local específica. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para atualizar uma ligação no local. |
| Ligações de Rede do Azure/RunHealthChecks | Execute verificações de estado de funcionamento numa ligação no local específica. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para executar verificações de estado de funcionamento. |
| Ligações de Rede do Azure/UpdateAdDomainPassword | Atualize a palavra-passe de domínio do Active Directory de uma ligação no local específica. |
| PCs na Cloud/Leitura | Leia as propriedades dos PCs na Cloud no seu inquilino. |
| Cloud PCs/Reaprovisionar | Volte a aprovisionar PCs na Cloud no seu inquilino. |
| PCs/Redimensionamento da Cloud | Redimensione os PCs na Cloud no seu inquilino. |
| PCs na Cloud/EndGracePeriod | Terminar período de tolerância para PCs na Cloud no seu inquilino. |
| Cloud PCs/Restore | Restaure PCs na Cloud no seu inquilino. |
| PCs na Cloud/Reiniciar | Reinicie os PCs na Cloud no seu inquilino. |
| Cloud PCs/Mudar o Nome | Mude o nome dos PCs na Cloud no seu inquilino. |
| Cloud PCs/Resolução de Problemas | Resolver problemas de PCs na Cloud no seu inquilino. |
| Cloud PCs/ChangeUserAccountType | Altere o tipo de conta de utilizador entre o administrador local e o utilizador padrão de um PC na Cloud no seu inquilino. |
| Cloud PCs/PlaceUnderReview | Defina os PCs na Cloud sob revisão no seu inquilino. |
| Cloud PCs/RetryPartnerAgentInstallation | Tentativa de reinstalar agentes de parceiros de entidades num PC na Cloud que não foi possível instalar. |
| Cloud PCs/ApplyCurrentProvisioningPolicy | Aplique a configuração da política de aprovisionamento atual aos PCs na Cloud no seu inquilino. |
| Cloud PCs/CreateSnapshot | Crie manualmente um instantâneo para PCs na Cloud no seu inquilino. |
| Imagens do Dispositivo/Criar | Carregue uma imagem personalizada do SO que pode aprovisionar posteriormente em PCs na Cloud. |
| Imagens do Dispositivo/Eliminar | Eliminar uma imagem do SO do Cloud PC. |
| Imagens/Leitura do Dispositivo | Leia as propriedades das imagens do dispositivo do CLOUD PC. |
| Definições de Parceiro Externo/Leitura | Leia as propriedades de uma definição de parceiro externo do PC na Cloud. |
| Definições de Parceiro Externo/Criar | Crie uma nova definição de parceiro externo do CLOUD PC. |
| Definições/Atualização de Parceiros Externos | Atualize as propriedades de uma definição de parceiro externo do PC na Cloud. |
| Definições da Organização/Leitura | Leia as propriedades das definições da organização do CLOUD PC. |
| Definições/Atualização da Organização | Atualize as propriedades das definições da organização do CLOUD PC. |
| Relatórios de Desempenho/Leitura | Leia os relatórios relacionados com ligações remotas do WINDOWS 365 Cloud PC. |
| Políticas de Aprovisionamento/Atribuir | Atribua uma política de aprovisionamento do CLOUD PC a grupos de utilizadores. |
| Políticas de Aprovisionamento/Criar | Crie uma nova política de aprovisionamento do Cloud PC. |
| Políticas de Aprovisionamento/Eliminar | Eliminar uma política de aprovisionamento de PC na Cloud. Não pode eliminar uma política que esteja a ser utilizada. |
| Políticas de Aprovisionamento/Leitura | Leia as propriedades de uma política de aprovisionamento de UM PC na Cloud. |
| Políticas de Aprovisionamento/Atualização | Atualize as propriedades de uma política de aprovisionamento de UM PC na Cloud. |
| Relatórios/Exportar | Exportar relatórios relacionados com o Windows 365. |
| Atribuições de Funções/Criar | Crie uma nova atribuição de função de PC na Cloud. |
| Atribuições de Funções/Atualização | Atualize as propriedades de uma atribuição de função específica do PC na Cloud. |
| Atribuições de Funções/Eliminar | Eliminar uma atribuição de função específica do CLOUD PC. |
| Funções/Leitura | Ver permissões, definições de funções e atribuições de funções para a função do PC na Cloud. Ver a operação ou ação que pode ser executada num recurso (ou entidade) do CLOUD PC. |
| Funções/Criar | Criar função para o CLOUD PC. As operações de criação podem ser efetuadas num recurso (ou entidade) do Cloud PC. |
| Funções/Atualizar | Função de atualização para o CLOUD PC. As operações de atualização podem ser realizadas num recurso (ou entidade) do CLOUD PC. |
| Funções/Excluir | Eliminar função para o CLOUD PC. As operações de eliminação podem ser realizadas num recurso (ou entidade) do CLOUD PC. |
| Plano de Serviço/Leitura | Leia os planos de serviço do Cloud PC. |
| SharedUseLicenseUsageReports/Read | Leia os relatórios relacionados com a utilização de licenças do Windows 365 Cloud PC Partilhado. |
| SharedUseServicePlans/Read | Leia as propriedades dos Planos de Serviço de Utilização Partilhada do CLOUD PC. |
| Instantâneo/Leitura | Leia o Instantâneo do CLOUD PC. |
| Instantâneo/Partilha | Partilhe o Instantâneo do CLOUD PC. |
| Região/Leitura Suportada | Leia as regiões suportadas do CLOUD PC. |
| Definições do Utilizador/Atribuir | Atribuir uma definição de utilizador do CLOUD PC a grupos de utilizadores. |
| Definições do Utilizador/Criar | Crie uma nova definição de utilizador do Cloud PC. |
| Definições do Utilizador/Eliminar | Eliminar uma definição de utilizador do CLOUD PC. |
| Definições do Utilizador/Leitura | Leia as propriedades de uma definição de utilizador do CLOUD PC. |
| Definições/Atualização do Utilizador | Atualize as propriedades de uma definição de utilizador do CLOUD PC. |
Para criar uma política de provisionamento, um administrador precisa das seguintes permissões:
- Políticas de Aprovisionamento/Leitura
- Políticas de Aprovisionamento/Criar
- Ligações de Rede do Azure/Leitura
- Região/Leitura Suportada
- Imagens/Leitura do Dispositivo
Migrar permissões existentes
Para ANCs criados antes de 26 de novembro de 2023, a função Contribuidor de Rede é utilizada para aplicar permissões no Grupo de Recursos e na Rede Virtual. Para aplicar às novas funções RBAC, pode repetir a verificação do estado de funcionamento do ANC. As funções existentes têm de ser removidas manualmente.
Para remover manualmente as funções existentes e adicionar as novas funções, consulte a tabela seguinte para as funções existentes utilizadas em cada recurso do Azure. Antes de remover as funções existentes, certifique-se de que as funções atualizadas estão atribuídas.
| Recurso do Azure | Função existente (antes de 26 de novembro de 2023) | Função atualizada (após 26 de novembro de 2023) |
|---|---|---|
| Grupo de recursos | Contribuidor de Rede | Contribuidor da Interface de Rede do Windows 365 |
| Rede virtual | Contribuidor de Rede | Utilizador de Rede do Windows 365 |
| Assinatura | Leitor | Leitor |
Para obter mais detalhes sobre como remover uma atribuição de função de um recurso do Azure, veja Remover atribuições de funções do Azure.
Marcas de escopo
O suporte do Windows 365 para etiquetas de âmbito está em pré-visualização pública.
Para RBAC, as funções são apenas parte da equação. Embora as funções funcionem bem para definir um conjunto de permissões, as etiquetas de âmbito ajudam a definir a visibilidade dos recursos da sua organização. As etiquetas de âmbito são mais úteis ao organizar o seu inquilino para que os utilizadores estejam no âmbito de determinadas hierarquias, regiões geográficas, unidades de negócio, etc.
Utilize o Intune para criar e gerir etiquetas de âmbito. Para obter mais informações sobre como as etiquetas de âmbito são criadas e geridas, veja Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída.
No Windows 365, as etiquetas de âmbito podem ser aplicadas aos seguintes recursos:
- Políticas de provisionamento
- Ligações de rede do Azure (ANC)
- Cloud PCs
- Imagens personalizadas
- Atribuições de funções RBAC do Windows 365
Para se certificar de que a lista Todos os dispositivos pertencentes ao Intune e todos os PCs na Cloud pertencentes ao Windows 365 mostram os mesmos PCs na Cloud com base no âmbito, siga estes passos depois de criar as etiquetas de âmbito e a política de aprovisionamento:
- Crie um grupo de dispositivos dinâmicos microsoft Entra ID com a regra que enrollmentProfileName é igual ao nome exato da política de aprovisionamento criada.
- Atribua a etiqueta de âmbito criada ao grupo de dispositivos dinâmico.
- Depois de o CLOUD PC ser aprovisionado e inscrito no Intune, a lista Todos os Dispositivos e Todos os PCs na Cloud devem apresentar os mesmos PCs na Cloud.
Para permitir que os administradores no âmbito vejam as etiquetas de âmbito que lhes são atribuídas e os objetos no âmbito, tem de lhes ser atribuída uma das seguintes funções:
- Apenas leitura do Intune
- Leitor/administrador do PC na Cloud
- Uma função personalizada com permissões semelhantes.
Ações em massa e etiquetas de âmbito da Graph API durante a pré-visualização pública
Durante a pré-visualização pública das etiquetas de âmbito, as seguintes ações em massa não honram as etiquetas de âmbito quando são chamadas diretamente a partir da Graph API:
- Restaurar
- Reprovisionar
- Colocar o CLOUD PC sob revisão
- Remover o CLOUD PC sob revisão
- Partilhar o ponto de restauro do CLOUD PC para o armazenamento
- Criar ponto de restauro manual do CLOUD PC
Próximas etapas
RBAC (controle de acesso baseado em função) com o Microsoft Intune.
Compreender as definições de funções do Azure
O que é o controlo de acesso baseado em funções do Azure (RBAC do Azure)?
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários