Управление доступом на основе ролей
Управление доступом на основе ролей (RBAC) помогает управлять доступом пользователей к ресурсам вашей организации и выполнению операций с этими ресурсами. Роли для облачных компьютеров можно назначить с помощью Центра администрирования Microsoft Intune.
Когда пользователь с ролью владельца подписки или администратора доступа пользователей создает, изменяет или повторяет ANC, Windows 365 прозрачно назначает необходимые встроенные роли следующим ресурсам (если они еще не назначены):
- Подписка на Azure
- Группа ресурсов
- Виртуальная сеть, связанная с ANC
Если у вас есть только роль читателя подписки, эти назначения не являются автоматическими. Вместо этого необходимо вручную настроить необходимые встроенные роли для приложения Windows First Party в Azure.
Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.
Роль администратора Windows 365
Windows 365 поддерживает роль администратора Windows 365, доступную для назначения ролей через Центр администрирования Майкрософт и идентификатор Microsoft Entra. Эта роль позволяет управлять облачными компьютерами в Windows 365 для бизнеса и Windows 365 Корпоративная. Роль администратора Windows 365 может предоставить больше разрешений, чем другие роли Microsoft Entra, такие как глобальный администратор. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.
Встроенные роли для облачных компьютеров
Для облачного компьютера доступны следующие встроенные роли:
Администратор облачного компьютера
Управляет всеми аспектами облачных компьютеров, например:
- управление образами ОС;
- Конфигурация сетевого подключения Azure
- Подготовка
Читатель облачного компьютера
Просматривает данные облачного компьютера, доступные в узле Windows 365 в Microsoft Intune, но не может вносить изменения.
Участник сетевого интерфейса Windows 365
Роль участника сетевого интерфейса Windows 365 назначается группе ресурсов, связанной с сетевым подключением Azure (ANC). Эта роль позволяет службе Windows 365 создавать сетевые карты и присоединяться к ней, а также управлять развертыванием в группе ресурсов. Эта роль представляет собой коллекцию минимальных разрешений, необходимых для работы с Windows 365 при использовании ANC.
| Тип действия | Разрешения |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| NotActions | Нет |
| dataActions | Нет |
| notDataActions | Нет |
Пользователь сети Windows 365
Роль пользователя сети Windows 365 назначается виртуальной сети, связанной с ANC. Эта роль позволяет службе Windows 365 присоединить сетевой адаптер к виртуальной сети. Эта роль представляет собой коллекцию минимальных разрешений, необходимых для работы с Windows 365 при использовании ANC.
| Тип действия | Разрешения |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| NotActions | Нет |
| dataActions | Нет |
| notDataActions | Нет |
Настраиваемые роли
Вы можете создать настраиваемые роли для Windows 365 в Центре администрирования Microsoft Intune. Дополнительные сведения см. в статье Создание настраиваемой роли.
При создании настраиваемых ролей доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| Аудит данных и чтения | Чтение журналов аудита ресурсов облачного компьютера в клиенте. |
| Сетевые подключения Azure и создание | Создайте локальное подключение для подготовки облачных компьютеров. Для создания локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей. |
| Сетевые подключения Azure и удаление | Удалите определенное локальное подключение. Напоминание. Вы не можете удалить используемое подключение. Для удаления локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей. |
| Сетевые подключения и чтение Azure | Чтение свойств локальных подключений. |
| Сетевые подключения и обновление Azure | Обновите свойства определенного локального подключения. Для обновления локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей. |
| Сетевые подключения Azure/RunHealthChecks | Выполните проверки работоспособности для определенного локального подключения. Для выполнения проверок работоспособности также требуется роль Azure владельца подписки или администратора доступа пользователей. |
| Сетевые подключения Azure/UpdateAdDomainPassword | Обновление пароля домена Active Directory для определенного локального подключения. |
| Облачные компьютеры и чтение | Чтение свойств облачных компьютеров в клиенте. |
| Облачные компьютеры/повторная подготовка | Повторное создание облачных компьютеров в клиенте. |
| Облачные компьютеры/изменение размера | Изменение размера облачных компьютеров в клиенте. |
| Облачные компьютеры/EndGracePeriod | Окончание льготного периода для облачных компьютеров в клиенте. |
| Облачные компьютеры/восстановление | Восстановление облачных компьютеров в клиенте. |
| Облачные компьютеры/перезагрузка | Перезагрузите облачные компьютеры в клиенте. |
| Облачные компьютеры/переименование | Переименуйте облачные компьютеры в клиенте. |
| Облачные компьютеры и устранение неполадок | Устранение неполадок облачных компьютеров в клиенте. |
| Облачные компьютеры/ChangeUserAccountType | Измените тип учетной записи пользователя между локальным администратором и стандартным пользователем облачного компьютера в клиенте. |
| Облачные компьютеры/PlaceUnderReview | Настройка облачных компьютеров в клиенте. |
| Облачные компьютеры/RetryPartnerAgentInstallation | Попытка переустановки сторонних агентов партнеров на облачном компьютере, который не удалось установить. |
| Облачные компьютеры/ApplyCurrentProvisioningPolicy | Примените текущую конфигурацию политики подготовки к облачным компьютерам в клиенте. |
| Облачные компьютеры/CreateSnapshot | Создайте моментальный снимок для облачных компьютеров в клиенте вручную. |
| Образы устройств и создание | Отправьте пользовательский образ ОС, который позже можно подготовить на облачных компьютерах. |
| Изображения и удаление устройств | Удаление образа ОС с облачного компьютера. |
| Изображения и чтение устройств | Чтение свойств образов облачных компьютеров. |
| Параметры внешнего партнера/чтение | Чтение свойств параметра внешнего партнера облачного компьютера. |
| Параметры внешнего партнера/Создание | Создайте новый параметр внешнего партнера облачного компьютера. |
| Параметры и обновление внешних партнеров | Обновите свойства параметра внешнего партнера облачного компьютера. |
| Параметры организации/чтение | Ознакомьтесь со свойствами параметров организации облачного компьютера. |
| Параметры организации/обновление | Обновите свойства параметров организации облачного компьютера. |
| Отчеты о производительности и чтение | Ознакомьтесь с отчетами, связанными с удаленными подключениями к облачному компьютеру Windows 365. |
| Политики подготовки и назначение | Назначьте политику подготовки облачных компьютеров группам пользователей. |
| Политики подготовки/создание | Создайте новую политику подготовки облачных компьютеров. |
| Политики подготовки/удаление | Удалите политику подготовки облачных компьютеров. Вы не можете удалить используемую политику. |
| Политики подготовки/чтение | Чтение свойств политики подготовки облачных компьютеров. |
| Политики подготовки и обновление | Обновите свойства политики подготовки облачных компьютеров. |
| Отчеты и экспорт | Экспорт отчетов, связанных с Windows 365. |
| Назначение ролей или создание | Создайте назначение роли облачного компьютера. |
| Назначения ролей и обновление | Обновите свойства определенного назначения роли облачного компьютера. |
| Назначения ролей и удаление | Удалите определенное назначение роли облачного компьютера. |
| Роли/Чтение | Просмотр разрешений, определений ролей и назначений ролей для роли облачного компьютера. Просмотр операции или действия, которые можно выполнить для ресурса (или сущности) облачного компьютера. |
| Роли/Создание | Создайте роль для облачного компьютера. Операции создания можно выполнять с ресурсом (или сущностью) облачного компьютера. |
| Роли/Обновление | Роль обновления для облачного компьютера. Операции обновления можно выполнять для ресурса (или сущности) облачного компьютера. |
| Роли/Удаление | Удаление роли для облачного компьютера. Операции удаления можно выполнять с ресурсом (или сущностью) облачного компьютера. |
| План обслуживания и чтение | Ознакомьтесь с планами обслуживания облачного компьютера. |
| SharedUseLicenseUsageReports/Read | Ознакомьтесь с отчетами об использовании лицензий для общего использования облачных компьютеров Windows 365. |
| SharedUseServicePlans/Read | Ознакомьтесь со свойствами планов общего использования облачных компьютеров. |
| Моментальный снимок и чтение | Прочтите моментальный снимок облачного компьютера. |
| Моментальный снимок или общий доступ | Общий доступ к моментальному снимку облачного компьютера. |
| Поддерживаемый регион и чтение | Ознакомьтесь с поддерживаемыми регионами облачного компьютера. |
| Параметры пользователя/назначение | Назначьте параметр пользователя Cloud PC группам пользователей. |
| Параметры пользователя/создание | Создайте новый параметр пользователя облачного компьютера. |
| Параметры пользователя/удаление | Удаление параметра пользователя облачного компьютера. |
| Параметры пользователя/чтение | Чтение свойств параметра пользователя облачного компьютера. |
| Параметры пользователя/обновление | Обновите свойства параметра пользователя облачного компьютера. |
Для создания политики подготовки администратору необходимы следующие разрешения:
- Политики подготовки/чтение
- Политики подготовки/создание
- Сетевые подключения и чтение Azure
- Поддерживаемый регион и чтение
- Изображения и чтение устройств
Перенос существующих разрешений
Для ACS, созданных до 26 ноября 2023 г., роль "Участник сети" используется для применения разрешений как для группы ресурсов, так и для виртуальной сети. Чтобы применить к новым ролям RBAC, можно повторить проверку работоспособности ANC. Существующие роли необходимо удалить вручную.
Чтобы вручную удалить существующие роли и добавить новые роли, см. следующую таблицу для существующих ролей, используемых в каждом ресурсе Azure. Перед удалением существующих ролей убедитесь, что назначены обновленные роли.
| Ресурс Azure | Существующая роль (до 26 ноября 2023 г.) | Обновленная роль (после 26 ноября 2023 г.) |
|---|---|---|
| Группа ресурсов | Участник сети | Участник сетевого интерфейса Windows 365 |
| Виртуальная сеть | Участник сети | Пользователь сети Windows 365 |
| Подписка | Читатель | Читатель |
Дополнительные сведения об удалении назначения ролей из ресурса Azure см. в статье Удаление назначений ролей Azure.
Теги области
Поддержка тегов области в Windows 365 доступна в общедоступной предварительной версии.
Для RBAC роли являются только частью уравнения. Хотя роли хорошо определяют набор разрешений, теги области помогают определить видимость ресурсов вашей организации. Теги области наиболее полезны при организации клиента, чтобы пользователи были ограничены определенными иерархиями, географическими регионами, подразделениями и т. д.
Используйте Intune для создания тегов области и управления ими. Дополнительные сведения о создании тегов области и управлении ими см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ-служб.
В Windows 365 теги области можно применять к следующим ресурсам:
- Политики подготовки
- Сетевые подключения Azure (ANC)
- Облачные компьютеры
- Пользовательские образы
- Назначения ролей RBAC в Windows 365
Чтобы убедиться, что в списке Все устройства , принадлежащие Intune, и в списке Все облачные компьютеры , принадлежащие Windows 365, отображаются одни и те же облачные компьютеры в зависимости от области, выполните следующие действия после создания тегов области и политики подготовки.
- Создайте динамическую группу устройств Microsoft Entra ID с правилом enrollmentProfileName, равным точному имени созданной политики подготовки.
- Назначьте созданный тег области динамической группе устройств.
- После подготовки и регистрации облачного компьютера в Intune в списке Все устройства и Все облачные компьютеры должны отображаться одни и те же облачные компьютеры.
Чтобы позволить администраторам области просматривать назначенные им теги области и объекты в их области, им должна быть назначена одна из следующих ролей:
- Только для чтения в Intune
- Читатель или администратор облачного компьютера
- Настраиваемая роль с похожими разрешениями.
Массовые действия API Graph и теги области во время общедоступной предварительной версии
В течение срока действия общедоступной предварительной версии тегов области следующие массовые действия не учитывают теги области при вызове непосредственно из API Graph:
- Восстановление
- Повторная подготовка
- Переместите облачный компьютер под проверку
- Удаление проверяемого облачного компьютера
- Совместное использование точки восстановления облачного компьютера в хранилище
- Создание точки восстановления cloud PC вручную
Дальнейшие действия
Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune
Общие сведения об определениях ролей Azure
Что такое управление доступом на основе ролей Azure (Azure RBAC)?