Control de acceso basado en roles
El control de acceso basado en rol (RBAC) ayuda a administrar quién tiene acceso a los recursos de la organización y qué se puede hacer con dichos recursos. Puede asignar roles para los equipos en la nube mediante el centro de administración de Microsoft Intune.
Cuando un usuario con el rol Propietario de suscripción o Administrador de acceso de usuario crea, edita o reintenta un ANC, Windows 365 asigna de forma transparente los roles integrados necesarios a los siguientes recursos (si aún no están asignados):
- Suscripción a Azure
- Grupo de recursos
- Red virtual asociada al ANC
Si solo tiene el rol Lector de suscripciones, estas asignaciones no son automáticas. En su lugar, debe configurar manualmente los roles integrados necesarios para la aplicación windows first party en Azure.
Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.
Rol Administrador de Windows 365
Windows 365 admite el rol de administrador de Windows 365 disponible para la asignación de roles a través del Centro de microsoft Administración y Microsoft Entra ID. Con este rol, puede administrar equipos en la nube de Windows 365 para las ediciones Enterprise y Business. El rol de administrador de Windows 365 puede conceder más permisos de ámbito que otros roles de Microsoft Entra como administrador global. Para obtener más información, consulte Microsoft Entra roles integrados.
Roles integrados de PC en la nube
Los siguientes roles integrados están disponibles para pc en la nube:
Administrador de equipo en la nube
Administra todos los aspectos de los equipos en la nube, como:
- Administración de imágenes de SO
- Configuración de conexión de red de Azure
- Aprovisionamiento
Lector de equipo en la nube
Visualiza los datos del equipo en la nube disponibles en el nodo Windows 365 de Microsoft Intune, pero no puede realizar cambios.
Colaborador de la interfaz de red de Windows 365
El rol colaborador de Windows 365 interfaz de red se asigna al grupo de recursos asociado a la conexión de red de Azure (ANC). Este rol permite que el servicio de Windows 365 cree y una la NIC y administre la implementación en el grupo de recursos. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Windows 365 usuario de red
El rol de usuario de red Windows 365 se asigna a la red virtual asociada al ANC. Este rol permite que el servicio de Windows 365 una la NIC a la red virtual. Este rol es una colección de los permisos mínimos necesarios para operar Windows 365 cuando se usa un ANC.
| Tipo de acción | Permissions |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Ninguno |
| dataActions | Ninguno |
| notDataActions | Ninguno |
Roles personalizados
Puede crear roles personalizados para Windows 365 en Microsoft Intune centro de administración. Para obtener más información, vea Crear un rol personalizado.
Los siguientes permisos estarán disponibles cuando cree roles personalizados.
| Permiso | Descripción |
|---|---|
| Auditar datos o lecturas | Lea los registros de auditoría de los recursos del equipo en la nube en el inquilino. |
| Azure Network Connections/Create | Cree una conexión local para aprovisionar equipos en la nube. También se requiere el rol de azure propietario de suscripción o administrador de acceso de usuario para crear una conexión local. |
| Azure Network Connections/Delete | Elimine una conexión local específica. Recordatorio: No se puede eliminar una conexión en uso. El rol de Azure de administrador de acceso de usuario o propietario de suscripción también es necesario para eliminar una conexión local. |
| Azure Network Connections/Read | Lea las propiedades de las conexiones locales. |
| Azure Network Connections/Update | Actualice las propiedades de una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para actualizar una conexión local. |
| Azure Network Connections/RunHealthChecks | Ejecute comprobaciones de estado en una conexión local específica. El rol de Azure de administrador de acceso de usuario o propietario de la suscripción también es necesario para ejecutar comprobaciones de estado. |
| Azure Network Connections/UpdateAdDomainPassword | Actualice la contraseña de dominio de Active Directory de una conexión local específica. |
| Equipos en la nube o lectura | Lea las propiedades de los equipos en la nube en el inquilino. |
| Equipos en la nube/Reprovision | Reprovisione equipos en la nube en el inquilino. |
| Pc en la nube/cambio de tamaño | Cambie el tamaño de los equipos en la nube en el inquilino. |
| Equipos en la nube/EndGracePeriod | Finalizar el período de gracia de los equipos en la nube en el inquilino. |
| Equipos en la nube o restauración | Restaure equipos en la nube en el inquilino. |
| Equipos en la nube o reinicio | Reinicie los equipos en la nube en el inquilino. |
| Equipos en la nube/cambio de nombre | Cambie el nombre de los equipos en la nube en el inquilino. |
| Pc en la nube o solución de problemas | Solución de problemas de equipos en la nube en el inquilino. |
| Equipos en la nube/ChangeUserAccountType | Cambie el tipo de cuenta de usuario entre el administrador local y el usuario estándar de un equipo en la nube en el inquilino. |
| Pc en la nube/PlaceUnderReview | Establezca equipos en la nube en revisión en el inquilino. |
| Pc en la nube/RetryPartnerAgentInstallation | Intente volver a instalar agentes asociados de terceros en un equipo en la nube que no se pudo instalar. |
| Pc en la nube/ApplyCurrentProvisioningPolicy | Aplique la configuración de directiva de aprovisionamiento actual a los equipos en la nube del inquilino. |
| Pc en la nube/CreateSnapshot | Cree manualmente una instantánea para equipos en la nube en el inquilino. |
| Imágenes o creación de dispositivos | Cargue una imagen de sistema operativo personalizada que pueda aprovisionar más adelante en equipos en la nube. |
| Imágenes o eliminación de dispositivos | Elimine una imagen del sistema operativo del equipo en la nube. |
| Imágenes o lectura del dispositivo | Lea las propiedades de las imágenes de dispositivo de PC en la nube. |
| Configuración o lectura de asociados externos | Lea las propiedades de una configuración de asociado externo de PC en la nube. |
| Configuración o creación de asociados externos | Cree una nueva configuración de asociado externo de Cloud PC. |
| Configuración o actualización de asociados externos | Actualice las propiedades de una configuración de asociado externo de Pc en la nube. |
| Configuración o lectura de la organización | Lea las propiedades de la configuración de la organización de PC en la nube. |
| Configuración o actualización de la organización | Actualice las propiedades de la configuración de la organización de PC en la nube. |
| Informes de rendimiento/lectura | Lea el PC en la nube Windows 365 los informes relacionados con las conexiones remotas. |
| Aprovisionamiento de directivas o asignación | Asigne una directiva de aprovisionamiento de EQUIPOS en la nube a grupos de usuarios. |
| Aprovisionamiento de directivas o creación | Cree una nueva directiva de aprovisionamiento de EQUIPOS en la nube. |
| Directivas de aprovisionamiento o eliminación | Elimine una directiva de aprovisionamiento de PC en la nube. No se puede eliminar una directiva que esté en uso. |
| Aprovisionamiento de directivas o lectura | Lea las propiedades de una directiva de aprovisionamiento de PC en la nube. |
| Aprovisionamiento de directivas o actualización | Actualice las propiedades de una directiva de aprovisionamiento de EQUIPOS en la nube. |
| Informes o exportación | Exportar Windows 365 informes relacionados. |
| Asignaciones de roles/creación | Cree una nueva asignación de roles de PC en la nube. |
| Asignaciones o actualizaciones de roles | Actualice las propiedades de una asignación de roles de PC en la nube específica. |
| Asignaciones o eliminaciones de roles | Elimine una asignación de roles de PC en la nube específica. |
| Roles/Leer | Ver permisos, definiciones de roles y asignaciones de roles para el rol de PC en la nube. Ver la operación o acción que se puede realizar en un recurso de PC en la nube (o entidad). |
| Roles/Crear | Crear rol para pc en la nube. Las operaciones de creación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Actualizar | Actualizar rol para pc en la nube. Las operaciones de actualización se pueden realizar en un recurso de PC en la nube (o entidad). |
| Roles/Eliminar | Eliminar rol para pc en la nube. Las operaciones de eliminación se pueden realizar en un recurso de PC en la nube (o entidad). |
| Plan de servicio/lectura | Lea los planes de servicio de Cloud PC. |
| SharedUseLicenseUsageReports/Read | Lea los PC en la nube Windows 365 informes relacionados con el uso compartido de licencias. |
| SharedUseServicePlans/Read | Lea las propiedades de Los planes de servicio de uso compartido de PC en la nube. |
| Instantánea/lectura | Lea la instantánea del equipo en la nube. |
| Instantánea/recurso compartido | Comparta la instantánea del equipo en la nube. |
| Región o lectura admitidas | Lea las regiones admitidas de Cloud PC. |
| Configuración o asignación del usuario | Asigne una configuración de usuario de PC en la nube a grupos de usuarios. |
| Configuración o creación de usuario | Cree una nueva configuración de usuario de PC en la nube. |
| Configuración o eliminación del usuario | Elimine una configuración de usuario de PC en la nube. |
| Configuración o lectura del usuario | Lea las propiedades de una configuración de usuario de PC en la nube. |
| Configuración o actualización del usuario | Actualice las propiedades de una configuración de usuario de PC en la nube. |
Para crear una directiva de aprovisionamiento, un administrador necesita los siguientes permisos:
- Aprovisionamiento de directivas o lectura
- Aprovisionamiento de directivas o creación
- Azure Network Connections/Read
- Región o lectura admitidas
- Imágenes o lectura del dispositivo
Migración de permisos existentes
En el caso de las ANC creadas antes del 26 de noviembre de 2023, el rol Colaborador de red se usa para aplicar permisos tanto en el grupo de recursos como en Virtual Network. Para aplicar a los nuevos roles de RBAC, puede volver a intentar la comprobación de estado de ANC. Los roles existentes se deben quitar manualmente.
Para quitar manualmente los roles existentes y agregar los nuevos roles, consulte la tabla siguiente para ver los roles existentes que se usan en cada recurso de Azure. Antes de quitar los roles existentes, asegúrese de que se asignan los roles actualizados.
| Recurso de Azure | Rol existente (antes del 26 de noviembre de 2023) | Rol actualizado (después del 26 de noviembre de 2023) |
|---|---|---|
| Grupo de recursos | Colaborador de red | Colaborador de la interfaz de red de Windows 365 |
| Red virtual | Colaborador de red | Windows 365 usuario de red |
| Suscripción | Lector | Lector |
Para obtener más información sobre cómo quitar una asignación de roles de un recurso de Azure, consulte Eliminación de asignaciones de roles de Azure.
Etiquetas de ámbito
En el caso de RBAC, los roles solo forman parte de la ecuación. Aunque los roles funcionan bien para definir un conjunto de permisos, las etiquetas de ámbito ayudan a definir la visibilidad de los recursos de la organización. Las etiquetas de ámbito son más útiles al organizar el inquilino para que los usuarios tengan el ámbito de determinadas jerarquías, regiones geográficas, unidades de negocio, etc.
Use Intune para crear y administrar etiquetas de ámbito. Para obtener más información sobre cómo se crean y administran las etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.
En Windows 365, las etiquetas de ámbito se pueden aplicar a los siguientes recursos:
- Directivas de aprovisionamiento
- Conexiones de red de Azure (ANC)
- Equipos en la nube
- Imágenes personalizadas
- Windows 365 asignaciones de roles de RBAC
Para asegurarse de que tanto la lista de todos los dispositivos propiedad de Intune como la lista De todos los equipos en la nube propiedad de Windows 365 muestran los mismos equipos en la nube en función del ámbito, siga estos pasos después de crear las etiquetas de ámbito y la directiva de aprovisionamiento:
- Cree un Microsoft Entra ID grupo de dispositivos dinámicos con una regla que enrollmentProfileName sea igual al nombre exacto de la directiva de aprovisionamiento creada.
- Asigne la etiqueta de ámbito creada al grupo de dispositivos dinámicos.
- Después de aprovisionar y inscribir el equipo en la nube en Intune, tanto la lista Todos los dispositivos como la lista Todos los equipos en la nube deben mostrar los mismos equipos en la nube.
Si agrega nuevas etiquetas de ámbito a una directiva de aprovisionamiento, asegúrese de agregar también las etiquetas de ámbito al grupo dinámico de Intune. Esta adición garantiza que el grupo dinámico respeta las nuevas etiquetas de ámbito. Además, compruebe los equipos en la nube que puedan tener etiquetas de ámbito únicas agregadas para asegurarse de que siguen allí después de las actualizaciones.
Para asegurarse de que Windows 365 puede respetar los cambios en las etiquetas de ámbito de Intune, estos datos se sincronizan desde Intune. Para obtener más información, consulte Privacidad, datos de clientes y contenido del cliente en Windows 365.
Para permitir que los administradores con ámbito vean qué etiquetas de ámbito se les asignan y los objetos dentro de su ámbito, se les debe asignar uno de los siguientes roles:
- Intune solo lectura
- Lector o administrador de PC en la nube
- Un rol personalizado con permisos similares.
Siguientes pasos
Control de acceso basado en rol (RBAC) con Microsoft Intune.
Descripción de las definiciones de roles de Azure
¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?