Rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Du kan tilldela roller för dina molndatorer med hjälp av administrationscentret för Microsoft Intune.
När en användare med rollen Prenumerationsägare eller Administratör för användaråtkomst skapar, redigerar eller försöker göra om en ANC tilldelar Windows 365 transparent de nödvändiga inbyggda rollerna följande resurser (om de inte redan har tilldelats):
- Azure-prenumeration
- Resursgrupp
- Virtuellt nätverk som är associerat med ANC
Om du bara har rollen Prenumerationsläsare är dessa tilldelningar inte automatiska. I stället måste du manuellt konfigurera de inbyggda rollerna som krävs för Windows First Party-appen i Azure.
Mer information finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.
Rollen Windows 365-administratör
Windows 365 stöder windows 365-administratörsrollen som är tillgänglig för rolltilldelning via Microsoft Admin Center och Microsoft Entra ID. Med den här rollen kan du hantera Windows 365 Cloud-datorer för både Enterprise- och Business-utgåvor. Windows 365-administratörsrollen kan bevilja fler begränsade behörigheter än andra Microsoft Entra-roller som global administratör. Mer information finns i Inbyggda roller i Microsoft Entra.
Inbyggda roller för Molndator
Följande inbyggda roller är tillgängliga för Cloud PC:
Molndatoradministratör
Hanterar alla aspekter av molndatorer, till exempel:
- Hantering av operativsystemavbildningar
- Konfiguration av Azure-nätverksanslutning
- Etableringen
Molndatorläsare
Visar cloud pc-data som är tillgängliga i Windows 365-noden i Microsoft Intune, men kan inte göra ändringar.
Windows 365-nätverksgränssnittsdeltagare
Rollen windows 365-nätverksgränssnittsdeltagare tilldelas till resursgruppen som är associerad med Azure-nätverksanslutningen (ANC). Med den här rollen kan Windows 365-tjänsten skapa och ansluta till nätverkskortet och hantera distributionen i resursgruppen. Den här rollen är en samling med de minsta behörigheter som krävs för att använda Windows 365 när du använder en ANC.
| Åtgärdstyp | Behörigheter |
|---|---|
| Åtgärder | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Inga |
| dataActions | Inga |
| notDataActions | Inga |
Windows 365-nätverksanvändare
Nätverksanvändarrollen i Windows 365 tilldelas till det virtuella nätverk som är associerat med ANC. Med den här rollen kan Windows 365-tjänsten ansluta nätverkskortet till det virtuella nätverket. Den här rollen är en samling med de minsta behörigheter som krävs för att använda Windows 365 när du använder en ANC.
| Åtgärdstyp | Behörigheter |
|---|---|
| Åtgärder | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Inga |
| dataActions | Inga |
| notDataActions | Inga |
Anpassade roller
Du kan skapa anpassade roller för Windows 365 i administrationscentret för Microsoft Intune. Mer information finns i Skapa en anpassad roll.
Följande behörigheter är tillgängliga när du skapar anpassade roller.
| Behörighet | Beskrivning |
|---|---|
| Granska data/läsa | Läs granskningsloggarna för Cloud PC-resurser i din klientorganisation. |
| Azure-nätverksanslutningar/Skapa | Skapa en lokal anslutning för etablering av molndatorer. Azure-rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att skapa en lokal anslutning. |
| Azure-nätverksanslutningar/ta bort | Ta bort en specifik lokal anslutning. Påminnelse: Du kan inte ta bort en anslutning som används. Rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att ta bort en lokal anslutning. |
| Azure-nätverksanslutningar/läsning | Läs egenskaperna för lokala anslutningar. |
| Azure-nätverksanslutningar/uppdatering | Uppdatera egenskaperna för en specifik lokal anslutning. Rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att uppdatera en lokal anslutning. |
| Azure-nätverksanslutningar/RunHealthChecks | Kör hälsokontroller på en specifik lokal anslutning. Azure-rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att köra hälsokontroller. |
| Azure-nätverksanslutningar/UpdateAdDomainPassword | Uppdatera Active Directory-domänlösenordet för en specifik lokal anslutning. |
| Molndatorer/läsa | Läs egenskaperna för molndatorer i din klientorganisation. |
| Molndatorer/återetablering | Återskapa molndatorer i din klientorganisation. |
| Molndatorer/Ändra storlek | Ändra storlek på molndatorer i din klientorganisation. |
| Molndatorer/EndGracePeriod | Slut på respitperiod för molndatorer i din klientorganisation. |
| Molndatorer/återställning | Återställa molndatorer i din klientorganisation. |
| Molndatorer/omstart | Starta om molndatorer i din klientorganisation. |
| Molndatorer/byt namn | Byt namn på molndatorer i din klientorganisation. |
| Molndatorer/Felsöka | Felsöka molndatorer i din klientorganisation. |
| Molndatorer/ChangeUserAccountType | Ändra användarkontotyp mellan lokal administratör och standardanvändare för en molndator i din klientorganisation. |
| Molndatorer/PlaceUnderReview | Ange molndatorer under granskning i din klientorganisation. |
| Cloud PC/RetryPartnerAgentInstallation | Försök att installera om partneragenter från en molndator som inte kunde installeras. |
| Molndatorer/ApplyCurrentProvisioningPolicy | Tillämpa den aktuella konfigurationsprincipkonfigurationen på molndatorer i din klientorganisation. |
| Molndatorer/CreateSnapshot | Skapa en ögonblicksbild manuellt för molndatorer i din klientorganisation. |
| Enhetsbilder/Skapa | Ladda upp en anpassad OS-avbildning som du senare kan etablera på molndatorer. |
| Enhetsbilder/Ta bort | Ta bort en OS-avbildning från Cloud PC. |
| Enhetsbilder/läsa | Läs egenskaperna för Cloud PC-enhetsavbildningar. |
| Inställningar/läsning för extern partner | Läs egenskaperna för en extern partnerinställning för en molndator. |
| Inställningar för extern partner/Skapa | Skapa en ny inställning för extern partner i Cloud PC. |
| Inställningar/uppdatering för extern partner | Uppdatera egenskaperna för en extern partnerinställning för en molndator. |
| Organisationsinställningar/läsa | Läs egenskaperna för organisationsinställningarna för Cloud PC. |
| Organisationsinställningar/uppdatering | Uppdatera egenskaperna för organisationsinställningarna för Cloud PC. |
| Prestandarapporter/läsning | Läs fjärranslutningsrelaterade rapporter för Windows 365 Cloud PC. |
| Etableringsprinciper/Tilldela | Tilldela en molndators etableringsprincip till användargrupper. |
| Etableringsprinciper/Skapa | Skapa en ny etableringsprincip för Molndator. |
| Etableringsprinciper/Ta bort | Ta bort en etableringsprincip för molndator. Du kan inte ta bort en princip som används. |
| Etableringsprinciper/Läsa | Läs egenskaperna för en etableringsprincip för molndator. |
| Etableringsprinciper/uppdatering | Uppdatera egenskaperna för en etableringsprincip för molndator. |
| Rapporter/exportera | Exportera Windows 365-relaterade rapporter. |
| Rolltilldelningar/Skapa | Skapa en ny rolltilldelning för Cloud PC. |
| Rolltilldelningar/uppdatering | Uppdatera egenskaperna för en specifik rolltilldelning för Molndator. |
| Rolltilldelningar/ta bort | Ta bort en specifik rolltilldelning för Molndator. |
| Roller/läsa | Visa behörigheter, rolldefinitioner och rolltilldelningar för Cloud PC-rollen. Visa åtgärd eller åtgärd som kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/Skapa | Skapa roll för Cloud PC. Skapa åtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/uppdatera | Uppdateringsroll för Cloud PC. Uppdateringsåtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/ta bort | Ta bort roll för Cloud PC. Borttagningsåtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Tjänstplan/läs | Läs molndatorns tjänstplaner. |
| SharedUseLicenseUsageReports/Read | Läs licensanvändningsrelaterade rapporter för delad användning av Windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Läs egenskaperna för Cloud PC Shared Use Service-planer. |
| Ögonblicksbild/läsning | Läs ögonblicksbilden av Cloud PC. |
| Ögonblicksbild/resurs | Dela ögonblicksbilden av Cloud PC. |
| Region/läsning som stöds | Läs de regioner i Cloud PC som stöds. |
| Användarinställningar/Tilldela | Tilldela en användarinställning för Cloud PC till användargrupper. |
| Användarinställningar/Skapa | Skapa en ny användarinställning för Cloud PC. |
| Användarinställningar/Ta bort | Ta bort en användarinställning för Cloud PC. |
| Användarinställningar/läsa | Läs egenskaperna för en Cloud PC-användarinställning. |
| Användarinställningar/uppdatering | Uppdatera egenskaperna för en Cloud PC-användarinställning. |
För att skapa en etableringsprincip behöver en administratör följande behörigheter:
- Etableringsprinciper/Läsa
- Etableringsprinciper/Skapa
- Azure-nätverksanslutningar/läsning
- Region/läsning som stöds
- Enhetsbilder/läsa
Migrera befintliga behörigheter
För ANCs som skapats före den 26 november 2023 används rollen Nätverksdeltagare för att tillämpa behörigheter för både resursgruppen och det virtuella nätverket. Om du vill tillämpa på de nya RBAC-rollerna kan du göra ett nytt försök med ANC-hälsokontrollen. Befintliga roller måste tas bort manuellt.
Om du vill ta bort befintliga roller manuellt och lägga till de nya rollerna läser du följande tabell för de befintliga roller som används för varje Azure-resurs. Kontrollera att de uppdaterade rollerna har tilldelats innan du tar bort de befintliga rollerna.
| Azure-resurs | Befintlig roll (före den 26 november 2023) | Uppdaterad roll (efter den 26 november 2023) |
|---|---|---|
| Resursgrupp | Nätverksdeltagare | Windows 365-nätverksgränssnittsdeltagare |
| Virtuellt nätverk | Nätverksdeltagare | Windows 365-nätverksanvändare |
| Prenumeration | Läsare | Läsare |
Mer information om hur du tar bort en rolltilldelning från en Azure-resurs finns i Ta bort Azure-rolltilldelningar.
Omfattningstaggar
Windows 365-stöd för omfångstaggar finns i offentlig förhandsversion.
För RBAC är roller bara en del av ekvationen. Även om roller fungerar bra för att definiera en uppsättning behörigheter, hjälper omfångstaggar till att definiera synligheten för organisationens resurser. Omfångstaggar är mest användbara när du organiserar din klientorganisation så att användare begränsas till vissa hierarkier, geografiska regioner, affärsenheter och så vidare.
Använd Intune för att skapa och hantera omfångstaggar. Mer information om hur omfångstaggar skapas och hanteras finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.
I Windows 365 kan omfångstaggar tillämpas på följande resurser:
- Etableringsprinciper
- Azure-nätverksanslutningar (ANC)
- Molndatorer
- Anpassade avbildningar
- Rolltilldelningar för Windows 365 RBAC
Följ dessa steg när du har skapat omfångstaggar och etableringsprincip för att se till att både listan över Intune-ägda alla enheter och listan över Windows 365-ägda alla molndatorer visar samma molndatorer baserat på omfång:
- Skapa en dynamisk enhetsgrupp för Microsoft Entra-ID med regeln att enrollmentProfileName är lika med det exakta namnet på etableringsprincipen som skapats.
- Tilldela den skapade omfångstaggen till den dynamiska enhetsgruppen.
- När molndatorn har etablerats och registrerats i Intune bör både listan Alla enheter och Alla molndatorer visa samma molndatorer.
Om du vill låta begränsade administratörer visa vilka omfångstaggar som har tilldelats dem och objekten inom deras omfång, måste de tilldelas någon av följande roller:
- Skrivskyddad intune
- Cloud PC-läsare/administratör
- En anpassad roll med liknande behörigheter.
Massåtgärder och omfångstaggar för Graph API under den offentliga förhandsversionen
För den offentliga förhandsversionen av omfångstaggar följer inte följande massåtgärder omfångstaggar när de anropas direkt från Graph API:
- Återställ
- Återskapa
- Placera Cloud PC under granskning
- Ta bort molndator under granskning
- Dela återställningspunkt för cloud pc till lagring
- Skapa manuell återställningspunkt för Cloud PC
Nästa steg
Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för