角色型存取控制
角色型訪問控制 (RBAC) 可協助您管理可存取貴組織資源的人員,以及他們可以使用這些資源執行的動作。 您可以使用 Microsoft Intune 系統管理中心為雲端電腦指派角色。
當具有訂用帳戶擁有者或使用者存取系統管理員角色的使用者建立、編輯或重試 ANC 時,Windows 365 會明確地指派必要的內建角色,如果尚未指派) ,則 (下列資源:
- Azure 訂用帳戶
- 資源群組
- 與 ANC 相關聯的虛擬網路
如果您只有訂用帳戶讀取者角色,則這些指派不會自動執行。 相反地,您必須手動設定 Azure 中 Windows 第一方應用程式所需的內建角色。
如需詳細資訊,請 參閱使用 Microsoft Intune (RBAC) 角色型訪問控制。
Windows 365 系統管理員角色
Windows 365 支援可透過 Microsoft Admin Center 和 Microsoft Entra ID 指派角色的 Windows 365 系統管理員角色。 使用此角色,您可以管理企業版和商務版的 Windows 365 雲端電腦。 Windows 365 系統管理員角色可以授與比全域管理員等其他Microsoft Entra 角色更多的限定範圍許可權。 如需詳細資訊, 請參閱 Microsoft Entra 內建角色。
雲端計算機內建角色
下列內建角色適用於雲端電腦:
雲端電腦系統管理員
管理雲端電腦的所有層面,例如:
- 操作系統映像管理
- Azure 網路連線設定
- 佈建
雲端電腦讀取器
檢視 Microsoft Intune 中 Windows 365 節點中可用的雲端電腦數據,但無法進行變更。
Windows 365 網路介面參與者
Windows 365 網路介面參與者角色會指派給與 Azure 網路連線相關聯的資源群組 (ANC) 。 此角色可讓 Windows 365 服務建立並加入 NIC,以及管理資源群組中的部署。 此角色是使用 ANC 時操作 Windows 365 所需最低許可權的集合。
| 動作類型 | 權限 |
|---|---|
| 行動 | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | 無 |
| dataActions | 無 |
| notDataActions | 無 |
Windows 365 網路使用者
Windows 365 網路使用者角色會指派給與 ANC 相關聯的虛擬網路。 此角色可讓 Windows 365 服務將 NIC 加入虛擬網路。 此角色是使用 ANC 時操作 Windows 365 所需最低許可權的集合。
| 動作類型 | 權限 |
|---|---|
| 行動 | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | 無 |
| dataActions | 無 |
| notDataActions | 無 |
自訂角色
您可以在 Microsoft Intune 系統管理中心建立 Windows 365 的自定義角色。 如需詳細資訊,請 參閱建立自定義角色。
建立自定義角色時,可以使用下列許可權。
| 權限 | 描述 |
|---|---|
| 稽核數據/讀取 | 讀取租用戶中雲端計算機資源的稽核記錄。 |
| Azure 網路連線/建立 | 建立布建雲端電腦的內部部署連線。 建立內部部署連線也需要訂用帳戶擁有者或使用者存取系統管理員 Azure 角色。 |
| Azure 網路連線/刪除 | 刪除特定的內部部署連線。 提醒:您無法刪除使用中的連線。 訂用帳戶擁有者或使用者存取系統管理員 Azure 角色也需要刪除內部部署連線。 |
| Azure 網路連線/讀取 | 讀取內部部署連線的屬性。 |
| Azure 網路連線/更新 | 更新特定內部部署連線的屬性。 您也需要訂用帳戶擁有者或使用者存取系統管理員 Azure 角色,才能更新內部部署連線。 |
| Azure 網路連線/RunHealthChecks | 在特定內部部署連線上執行健康情況檢查。 訂用帳戶擁有者或使用者存取系統管理員 Azure 角色也需要執行健康情況檢查。 |
| Azure 網路連線/更新AdDomainPassword | 更新特定內部部署連線的 Active Directory 網域密碼。 |
| 雲端電腦/讀取 | 讀取租用戶中雲端計算機的屬性。 |
| 雲端電腦/重新佈建 | 重新布建租使用者中的雲端計算機。 |
| 雲端電腦/重設大小 | 調整租使用者中的雲端計算機大小。 |
| 雲端電腦/EndGracePeriod | 租用戶中雲端計算機的結束寬限期。 |
| 雲端電腦/還原 | 還原租使用者中的雲端電腦。 |
| 雲端電腦/重新啟動 | 重新啟動租使用者中的雲端電腦。 |
| 雲端電腦/重新命名 | 重新命名租使用者中的雲端電腦。 |
| 雲端電腦/疑難解答 | 針對租使用者中的雲端計算機進行疑難解答。 |
| 雲端電腦/變更UserAccountType | 變更租用戶中雲端計算機的本機系統管理員和標準使用者之間的用戶帳戶類型。 |
| 雲端電腦/PlaceUnderReview | 在您的租用戶中設定受檢閱的雲端電腦。 |
| 雲端電腦/RetryPartnerAgentInstallation | 嘗試在無法安裝的雲端計算機中重新安裝合作物件代理程式。 |
| 雲端電腦/ApplyCurrentProvisioningPolicy | 將目前的布建原則設定套用至租使用者中的雲端電腦。 |
| 雲端電腦/CreateSnapshot | 在租使用者中手動建立雲端計算機的快照集。 |
| 裝置映像/建立 | 上傳您可以稍後在雲端計算機上布建的自定義OS映像。 |
| 裝置映像/刪除 | 從雲端電腦刪除OS映像。 |
| 裝置映像/讀取 | 讀取雲端電腦裝置映像的屬性。 |
| 外部合作夥伴設定/讀取 | 讀取雲端電腦外部夥伴設定的屬性。 |
| 外部合作夥伴設定/建立 | 建立新的雲端電腦外部合作夥伴設定。 |
| 外部合作夥伴設定/更新 | 更新 Cloud PC 外部合作夥伴設定的屬性。 |
| 組織設定/讀取 | 讀取雲端計算機組織設定的屬性。 |
| 組織設定/更新 | 更新雲端計算機組織設定的屬性。 |
| 效能報告/讀取 | 閱讀 Windows 365 雲端電腦遠端連線相關報告。 |
| 布建原則/指派 | 將雲端電腦布建原則指派給使用者群組。 |
| 布建原則/建立 | 建立新的雲端電腦布建原則。 |
| 布建原則/刪除 | 刪除雲端電腦布建原則。 您不能刪除正在使用中的原則。 |
| 布建原則/讀取 | 讀取雲端電腦布建原則的屬性。 |
| 布建原則/更新 | 更新雲端電腦布建原則的屬性。 |
| 報表/導出 | 匯出 Windows 365 相關報表。 |
| 角色指派/建立 | 建立新的雲端電腦角色指派。 |
| 角色指派/更新 | 更新特定雲端電腦角色指派的屬性。 |
| 角色指派/刪除 | 刪除特定的雲端電腦角色指派。 |
| 角色/讀取 | 檢視雲端電腦角色的許可權、角色定義和角色指派。 檢視可以在雲端計算機資源 (或實體) 上執行的作業或動作。 |
| 角色/建立 | 建立雲端電腦的角色。 您可以在雲端電腦資源 (或實體) 上執行建立作業。 |
| 角色/更新 | 更新雲端電腦的角色。 您可以在雲端電腦資源 (或實體) 上執行更新作業。 |
| 角色/刪除 | 刪除雲端電腦的角色。 您可以在雲端電腦資源 (或實體) 上執行刪除作業。 |
| 服務方案/讀取 | 閱讀雲端電腦的服務方案。 |
| SharedUseLicenseUsageReports/Read | 閱讀 Windows 365 雲端電腦共用使用許可證使用量相關報告。 |
| SharedUseServicePlans/Read | 讀取雲端電腦共用使用服務方案的屬性。 |
| 快照集/讀取 | 閱讀雲端電腦的快照集。 |
| 快照集/共用 | 共用雲端電腦的快照集。 |
| 支援的區域/讀取 | 閱讀雲端電腦支援的區域。 |
| 用戶設定/指派 | 將雲端電腦用戶設定指派給使用者群組。 |
| 用戶設定/建立 | 建立新的雲端電腦用戶設定。 |
| 用戶設定/刪除 | 刪除 Cloud PC 用戶設定。 |
| 用戶設定/讀取 | 讀取 Cloud PC 使用者設定的屬性。 |
| 用戶設定/更新 | 更新 Cloud PC 使用者設定的屬性。 |
若要建立布建原則,系統管理員需要下列許可權:
- 布建原則/讀取
- 布建原則/建立
- Azure 網路連線/讀取
- 支援的區域/讀取
- 裝置映像/讀取
移轉現有的許可權
對於在 2023 年 11 月 26 日之前建立的 ANC,網路參與者角色可用來套用資源群組和虛擬網路的許可權。 若要套用至新的 RBAC 角色,您可以重試 ANC 健康情況檢查。 必須手動移除現有的角色。
若要手動移除現有角色並新增角色,請參閱下表以瞭解每個 Azure 資源上使用的現有角色。 拿掉現有角色之前,請確定已指派更新的角色。
| Azure 資源 | 在 2023 年 11 月 26 日之前 (現有角色) | 在 2023 年 11 月 26 日之後更新角色 () |
|---|---|---|
| 資源群組 | 網路參與者 | Windows 365 網路介面參與者 |
| 虛擬網路 | 網路參與者 | Windows 365 網路使用者 |
| 訂閱 | 讀者 | 讀者 |
如需從 Azure 資源移除角色指派的詳細資訊,請參閱 移除 Azure 角色指派。
範圍標籤
範圍卷標的 Windows 365 支援處於 公開預覽狀態。
針對 RBAC,角色只是方程式的一部分。 雖然角色在定義一組許可權時運作良好,但範圍標籤有助於定義貴組織資源的可見度。 當組織租使用者將使用者的範圍設定為特定階層、地理區域、業務單位等時,範圍標籤最有用。
使用 Intune 建立和管理範圍標籤。 如需如何建立和管理範圍標籤的詳細資訊,請參閱 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍卷標。
在 Windows 365 中,範圍標籤可以套用至下列資源:
- 布建原則
- Azure 網路連線 (ANC)
- 雲端電腦
- 自定義映像
- Windows 365 RBAC 角色指派
若要確定 Intune 擁有 的所有裝置 清單和 Windows 365 擁有 的所有雲端電腦 清單都根據範圍顯示相同的雲端電腦,請在建立範圍卷標和布建原則之後,遵循下列步驟:
- 建立 Microsoft Entra ID 動態裝置群組,其中的規則 enrollmentProfileName 等於所建立布建原則的確切名稱。
- 將建立的範圍標籤指派給動態裝置群組。
- 在雲端電腦布建並註冊到 Intune 之後,[所有裝置] 清單和 [所有雲端計算機] 清單都應該顯示相同的雲端電腦。
若要讓限域系統管理員檢視指派給他們的範圍卷標及其範圍內的對象,必須指派下列其中一個角色:
- Intune 唯讀
- 雲端電腦讀取器/系統管理員
- 具有類似許可權的自定義角色。
公開預覽期間的圖形 API 大量動作和範圍標籤
在範圍卷標公開預覽期間,下列大量動作不會在直接從圖形 API 呼叫時接受範圍標籤:
- 還原
- 重新佈建
- 將雲端電腦置於檢閱之下
- 拿掉受檢閱的雲端電腦
- 共用雲端電腦還原點至記憶體
- 建立雲端電腦手動還原點