Управление доступом на основе ролей

Управление доступом на основе ролей (RBAC) помогает управлять доступом пользователей к ресурсам вашей организации и выполнению операций с этими ресурсами. Вы можете назначить роли для облачных компьютеров с помощью центра администрирования Microsoft Intune.

Когда пользователь с ролью владелец подписки или администратор доступа пользователей создает, изменяет или повторяет ANC, Windows 365 прозрачно назначает необходимые встроенные роли в подписке Azure, группе ресурсов и виртуальной сети, связанной с ANC, если они еще не назначены. Если у вас есть только роль читателя подписки, эти назначения не будут выполняться автоматически. Вместо этого необходимо вручную настроить необходимые встроенные роли для приложения Windows First Party в Azure.

Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Роль администратора Windows 365

Windows 365 поддерживает роль администратора Windows 365, доступную для назначения ролей через Центр Администратор Майкрософт и идентификатор Microsoft Entra. Эта роль позволяет управлять облачными компьютерами в Windows 365 для бизнеса и Windows 365 Корпоративная. Роль администратора Windows 365 может предоставлять больше разрешений, чем другие Microsoft Entra роли, например глобальный администратор. Дополнительные сведения см. в разделе Microsoft Entra встроенных ролей.

Встроенные роли для облачных компьютеров

Для облачного компьютера доступны следующие встроенные роли:

Администратор облачного компьютера

Управляет всеми аспектами облачных компьютеров, например:

  • управление образами ОС;
  • Конфигурация сетевого подключения Azure
  • Подготовка

Читатель облачного компьютера

Просматривает данные облачного компьютера, доступные в узле Windows 365 в Microsoft Intune, но не может вносить изменения.

Участник сетевого интерфейса Windows 365

Роль участника сетевого интерфейса Windows 365 назначается группе ресурсов, связанной с сетевым подключением Azure (ANC). Эта роль позволяет службе Windows 365 создавать сетевые карты и присоединяться к ней, а также управлять развертыванием в группе ресурсов. Эта роль представляет собой коллекцию минимальных разрешений, необходимых для работы Windows 365 при использовании ANC.

Тип действия Разрешения
actions Microsoft.Resources/subscriptions/resourcegroups/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read
Microsoft.Resources/deployments/operationstatuses/read
Microsoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
NotActions Нет
dataActions Нет
notDataActions Нет

пользователь сети Windows 365

Роль пользователя сети Windows 365 назначается виртуальной сети, связанной с ANC. Эта роль позволяет службе Windows 365 присоединить сетевой адаптер к виртуальной сети. Эта роль представляет собой коллекцию минимальных разрешений, необходимых для работы Windows 365 при использовании ANC.

Тип действия Разрешения
actions Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/subnets/join/action
NotActions Нет
dataActions Нет
notDataActions Нет

Настраиваемые роли

Вы можете создать настраиваемые роли для Windows 365 в Центре администрирования Microsoft Intune. Дополнительные сведения см. в статье Создание настраиваемой роли.

При создании настраиваемых ролей доступны следующие разрешения.

Разрешение Описание
Аудит данных и чтения Чтение журналов аудита ресурсов облачного компьютера в клиенте.
Сетевые подключения Azure и создание Создайте локальное подключение для подготовки облачных компьютеров. Для создания локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей.
Сетевые подключения Azure и удаление Удалите определенное локальное подключение. Напоминание. Вы не можете удалить используемое подключение. Для удаления локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей.
Сетевые подключения и чтение Azure Чтение свойств локальных подключений.
Сетевые подключения и обновление Azure Обновите свойства определенного локального подключения. Для обновления локального подключения также требуется роль Azure владельца подписки или администратора доступа пользователей.
Сетевые подключения Azure/RunHealthChecks Выполните проверки работоспособности для определенного локального подключения. Для выполнения проверок работоспособности также требуется роль Azure владельца подписки или администратора доступа пользователей.
Сетевые подключения Azure/UpdateAdDomainPassword Обновление пароля домена Active Directory для определенного локального подключения.
Облачные компьютеры и чтение Чтение свойств облачных компьютеров в клиенте.
Облачные компьютеры/повторная подготовка Повторное создание облачных компьютеров в клиенте.
Облачные компьютеры/изменение размера Изменение размера облачных компьютеров в клиенте.
Облачные компьютеры/EndGracePeriod Окончание льготного периода для облачных компьютеров в клиенте.
Облачные компьютеры/восстановление Восстановление облачных компьютеров в клиенте.
Облачные компьютеры/перезагрузка Перезагрузите облачные компьютеры в клиенте.
Облачные компьютеры/переименование Переименуйте облачные компьютеры в клиенте.
Облачные компьютеры и устранение неполадок Устранение неполадок облачных компьютеров в клиенте.
Облачные компьютеры/ChangeUserAccountType Измените тип учетной записи пользователя между локальным администратором и стандартным пользователем облачного компьютера в клиенте.
Облачные компьютеры/PlaceUnderReview Настройка облачных компьютеров в клиенте.
Облачные компьютеры/RetryPartnerAgentInstallation Попытка повторной установки сторонних агентов партнеров на облачном компьютере, которые не удалось установить.
Облачные компьютеры/ApplyCurrentProvisioningPolicy Примените текущую конфигурацию политики подготовки к облачным компьютерам в клиенте.
Облачные компьютеры/CreateSnapshot Вручную создайте snapshot для облачных компьютеров в клиенте.
Образы устройств и создание Отправьте пользовательский образ ОС, который позже можно подготовить на облачных компьютерах.
Изображения и удаление устройств Удаление образа ОС с облачного компьютера.
Изображения и чтение устройств Чтение свойств образов облачных компьютеров.
Параметры внешнего партнера/чтение Чтение свойств параметра внешнего партнера облачного компьютера.
Параметры внешнего партнера/Создание Создайте новый параметр внешнего партнера облачного компьютера.
Параметры и обновление внешних партнеров Обновите свойства параметра внешнего партнера облачного компьютера.
Параметры организации/чтение Ознакомьтесь со свойствами параметров организации облачного компьютера.
Параметры организации/обновление Обновите свойства параметров организации облачного компьютера.
Отчеты о производительности и чтение Ознакомьтесь с отчетами, связанными с Облачный компьютер Windows 365 удаленными подключениями.
Политики подготовки и назначение Назначьте политику подготовки облачных компьютеров группам пользователей.
Политики подготовки/создание Создайте новую политику подготовки облачных компьютеров.
Политики подготовки/удаление Удалите политику подготовки облачных компьютеров. Вы не можете удалить используемую политику.
Политики подготовки/чтение Чтение свойств политики подготовки облачных компьютеров.
Политики подготовки и обновление Обновите свойства политики подготовки облачных компьютеров.
Отчеты и экспорт Экспорт Windows 365 связанных отчетов.
Назначение ролей или создание Создайте назначение роли облачного компьютера.
Назначения ролей и обновление Обновите свойства определенного назначения роли облачного компьютера.
Назначения ролей и удаление Удалите определенное назначение роли облачного компьютера.
Роли/Чтение Просмотр разрешений, определений ролей и назначений ролей для роли облачного компьютера. Просмотр операции или действия, которые можно выполнить для ресурса (или сущности) облачного компьютера.
Роли/Создание Создайте роль для облачного компьютера. Операции создания можно выполнять с ресурсом (или сущностью) облачного компьютера.
Роли/Обновление Роль обновления для облачного компьютера. Операции обновления можно выполнять для ресурса (или сущности) облачного компьютера.
Роли/Удаление Удаление роли для облачного компьютера. Операции удаления можно выполнять с ресурсом (или сущностью) облачного компьютера.
План обслуживания и чтение Ознакомьтесь с планами обслуживания облачного компьютера.
SharedUseLicenseUsageReports/Read Ознакомьтесь с отчетами об использовании лицензий Облачный компьютер Windows 365 общего использования.
SharedUseServicePlans/Read Ознакомьтесь со свойствами планов общего использования облачных компьютеров.
Моментальный снимок и чтение Прочтите моментальный снимок облачного компьютера.
Моментальный снимок или общий доступ Общий доступ к моментальному снимку облачного компьютера.
Поддерживаемый регион и чтение Ознакомьтесь с поддерживаемыми регионами облачного компьютера.
Параметры пользователя/назначение Назначьте параметр пользователя Cloud PC группам пользователей.
Параметры пользователя/создание Создайте новый параметр пользователя облачного компьютера.
Параметры пользователя/удаление Удаление параметра пользователя облачного компьютера.
Параметры пользователя/чтение Чтение свойств параметра пользователя облачного компьютера.
Параметры пользователя/обновление Обновите свойства параметра пользователя облачного компьютера.

Для создания политики подготовки администратору необходимы следующие разрешения:

  • Политики подготовки/чтение
  • Политики подготовки/создание
  • Сетевые подключения и чтение Azure
  • Поддерживаемый регион и чтение
  • Изображения и чтение устройств

Перенос существующих разрешений

Для ACS, созданных до 26 ноября 2023 г., роль участник сети используется для применения разрешений как для группы ресурсов, так и для виртуальная сеть. Чтобы применить к новым ролям RBAC, можно повторить проверка работоспособности ANC. Обратите внимание, что существующие роли необходимо удалить вручную.

Чтобы вручную удалить существующие роли и добавить новые роли, см. следующую таблицу для существующих ролей, используемых в каждом ресурсе Azure. Перед удалением существующих ролей убедитесь, что обновленные роли назначены.

Ресурс Azure Существующая роль (до 26 ноября 2023 г.) Обновленная роль (после 26 ноября 2023 г.)
Группа ресурсов Участник сети Участник сетевого интерфейса Windows 365
Виртуальная сеть Участник сети пользователь сети Windows 365
Подписка Читатель Читатель

Дополнительные сведения об удалении назначения ролей из ресурса Azure см. в статье Удаление назначений ролей Azure.

Дальнейшие действия

Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune

Общие сведения об определениях ролей Azure

Что такое управление доступом на основе ролей Azure (Azure RBAC)?