Controllo dell'accesso basato sui ruoli
Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. È possibile assegnare ruoli per i PC cloud usando l'interfaccia di amministrazione Microsoft Intune.
Quando un utente con il ruolo Proprietario sottoscrizione o Amministratore accesso utente crea, modifica o ritenta un anc, Windows 365 assegna in modo trasparente i ruoli predefiniti necessari alle risorse seguenti (se non sono già assegnate):
- Sottoscrizione di Azure
- Gruppo di risorse
- Rete virtuale associata all'ANC
Se si dispone solo del ruolo Lettore sottoscrizione, queste assegnazioni non sono automatiche. È invece necessario configurare manualmente i ruoli predefiniti necessari per l'app Windows First Party in Azure.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
ruolo amministratore Windows 365
Windows 365 supporta il ruolo di amministratore Windows 365 disponibile per l'assegnazione di ruolo tramite Microsoft Amministrazione Center e Microsoft Entra ID. Con questo ruolo, è possibile gestire Windows 365 PC cloud per le edizioni Enterprise e Business. Il ruolo amministratore Windows 365 può concedere più autorizzazioni con ambito rispetto ad altri ruoli Microsoft Entra, ad esempio Amministratore globale. Per altre informazioni, vedere Microsoft Entra ruoli predefiniti.
Ruoli predefiniti di Cloud PC
Per Cloud PC sono disponibili i ruoli predefiniti seguenti:
Amministratore di Cloud PC
Gestisce tutti gli aspetti dei PC cloud, ad esempio:
- Gestione delle immagini del sistema operativo
- Configurazione della connessione di rete di Azure
- Provisioning
Lettore PC cloud
Visualizza i dati di Cloud PC disponibili nel nodo Windows 365 in Microsoft Intune, ma non può apportare modifiche.
Collaboratore all'interfaccia di rete Windows 365
Il ruolo Collaboratore interfaccia di rete Windows 365 viene assegnato al gruppo di risorse associato alla connessione di rete di Azure. Questo ruolo consente al servizio Windows 365 di creare e aggiungere la scheda di interfaccia di rete e gestire la distribuzione nel gruppo di risorse. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
utente di rete Windows 365
Il ruolo Windows 365 Utente di rete viene assegnato alla rete virtuale associata all'ANC. Questo ruolo consente al servizio Windows 365 di aggiungere la scheda di interfaccia di rete alla rete virtuale. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
Ruoli personalizzati
È possibile creare ruoli personalizzati per Windows 365 nell'interfaccia di amministrazione di Microsoft Intune. Per altre informazioni, vedere Creare un ruolo personalizzato.
Quando si creano ruoli personalizzati, sono disponibili le autorizzazioni seguenti.
| Autorizzazione | Descrizione |
|---|---|
| Dati di controllo/lettura | Leggere i log di controllo delle risorse di Cloud PC nel tenant. |
| Azure Network Connections/Create | Creare una connessione locale per il provisioning di PC cloud. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per creare una connessione locale. |
| Azure Network Connections/Delete | Eliminare una connessione locale specifica. Promemoria: non è possibile eliminare una connessione in uso. Il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario anche il ruolo azure per eliminare una connessione locale. |
| Connections/Lettura rete di Azure | Leggere le proprietà delle connessioni locali. |
| Connections/aggiornamento della rete di Azure | Aggiornare le proprietà di una connessione locale specifica. Per aggiornare una connessione locale, è necessario anche il ruolo azure del proprietario della sottoscrizione o dell'amministratore dell'accesso utente. |
| Connections di rete di Azure/RunHealthChecks | Eseguire controlli di integrità in una connessione locale specifica. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente è necessario il ruolo di Azure per eseguire i controlli di integrità. |
| Connections di rete di Azure/UpdateAdDomainPassword | Aggiornare la password di dominio active directory di una connessione locale specifica. |
| Pc cloud/lettura | Leggere le proprietà dei PC cloud nel tenant. |
| Pc cloud/reprovisioning | Eseguire di nuovo il provisioning dei PC cloud nel tenant. |
| PC cloud/Ridimensionamento | Ridimensionare i PC cloud nel tenant. |
| PC cloud/EndGracePeriod | Periodo di tolleranza finale per i PC cloud nel tenant. |
| Pc cloud/ripristino | Ripristinare i PC cloud nel tenant. |
| Pc cloud/riavvio | Riavviare i PC cloud nel tenant. |
| PC cloud/ridenominazione | Rinominare i PC cloud nel tenant. |
| Pc cloud/Risoluzione dei problemi | Risolvere i problemi relativi ai PC cloud nel tenant. |
| PC cloud/ChangeUserAccountType | Modificare il tipo di account utente tra l'amministratore locale e l'utente standard di un PC cloud nel tenant. |
| PC cloud/PlaceUnderReview | Impostare i PC cloud sotto revisione nel tenant. |
| PC cloud/RetryPartnerAgentInstallation | Tentativo di reinstallare gli agenti partner di parte in un PC cloud che non è stato possibile installare. |
| Pc cloud/ApplyCurrentProvisioningPolicy | Applicare la configurazione corrente dei criteri di provisioning ai PC cloud nel tenant. |
| Pc cloud/CreateSnapshot | Creare manualmente uno snapshot per i PC cloud nel tenant. |
| Immagini/creazione del dispositivo | Caricare un'immagine del sistema operativo personalizzata di cui è possibile eseguire il provisioning in un secondo momento nei PC cloud. |
| Immagini/eliminazione del dispositivo | Eliminare un'immagine del sistema operativo da Cloud PC. |
| Immagini dispositivo/Lettura | Leggere le proprietà delle immagini dei dispositivi Cloud PC. |
| Impostazioni partner esterni/Lettura | Leggere le proprietà di un'impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Creazione | Creare una nuova impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Aggiornamento | Aggiornare le proprietà di un'impostazione partner esterno di Cloud PC. |
| Impostazioni organizzazione/Lettura | Leggere le proprietà delle impostazioni dell'organizzazione Cloud PC. |
| Impostazioni organizzazione/aggiornamento | Aggiornare le proprietà delle impostazioni dell'organizzazione di Cloud PC. |
| Report prestazioni/Lettura | Leggere i report correlati Windows 365 Cloud PC connessioni remote. |
| Criteri di provisioning/assegnazione | Assegnare un criterio di provisioning di Cloud PC ai gruppi di utenti. |
| Criteri di provisioning/creazione | Creare un nuovo criterio di provisioning di Cloud PC. |
| Criteri di provisioning/eliminazione | Eliminare un criterio di provisioning di Cloud PC. Non è possibile eliminare un criterio in uso. |
| Criteri di provisioning/Lettura | Leggere le proprietà di un criterio di provisioning di Cloud PC. |
| Criteri di provisioning/aggiornamento | Aggiornare le proprietà di un criterio di provisioning di Cloud PC. |
| Report/Esportazione | Esportare Windows 365 report correlati. |
| Assegnazioni di ruolo/creazione | Creare una nuova assegnazione di ruolo Cloud PC. |
| Assegnazioni di ruolo/aggiornamento | Aggiornare le proprietà di un'assegnazione di ruolo Cloud PC specifica. |
| Assegnazioni di ruolo/eliminazione | Eliminare un'assegnazione di ruolo Cloud PC specifica. |
| Ruoli/Lettura | Visualizzare le autorizzazioni, le definizioni dei ruoli e le assegnazioni di ruolo per il ruolo Cloud PC. Visualizzare l'operazione o l'azione che può essere eseguita su una risorsa (o un'entità) cloud PC. |
| Ruoli/Creazione | Creare un ruolo per Cloud PC. Le operazioni di creazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/aggiornamento | Aggiornare il ruolo per Cloud PC. Le operazioni di aggiornamento possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/Eliminazione | Eliminare il ruolo per Cloud PC. Le operazioni di eliminazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Piano di servizio/Lettura | Leggere i piani di servizio di Cloud PC. |
| SharedUseLicenseUsageReports/Read | Leggere i report relativi all'utilizzo delle licenze per uso condiviso Windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Leggere le proprietà dei piani di servizio per l'uso condiviso del PC cloud. |
| Snapshot/Lettura | Leggere lo snapshot di Cloud PC. |
| Snapshot/Condivisione | Condividere lo snapshot di Cloud PC. |
| Area supportata/Lettura | Leggere le aree supportate di Cloud PC. |
| Impostazioni utente/Assegnazione | Assegnare un'impostazione utente di Cloud PC ai gruppi di utenti. |
| Impostazioni utente/Creazione | Creare una nuova impostazione utente di Cloud PC. |
| Impostazioni utente/Eliminazione | Eliminare un'impostazione utente di Cloud PC. |
| Impostazioni utente/Lettura | Leggere le proprietà di un'impostazione utente di Cloud PC. |
| Impostazioni utente/Aggiornamento | Aggiornare le proprietà di un'impostazione utente di Cloud PC. |
Per creare un criterio di provisioning, un amministratore deve disporre delle autorizzazioni seguenti:
- Criteri di provisioning/Lettura
- Criteri di provisioning/creazione
- Connections/Lettura rete di Azure
- Area supportata/Lettura
- Immagini dispositivo/Lettura
Migrazione delle autorizzazioni esistenti
Per gli ANC creati prima del 26 novembre 2023, il ruolo Collaboratore rete viene usato per applicare le autorizzazioni sia per il gruppo di risorse che per Rete virtuale. Per applicare ai nuovi ruoli controllo degli accessi in base al ruolo, è possibile ritentare il controllo dell'integrità dell'ANC. I ruoli esistenti devono essere rimossi manualmente.
Per rimuovere manualmente i ruoli esistenti e aggiungere i nuovi ruoli, vedere la tabella seguente per i ruoli esistenti usati in ogni risorsa di Azure. Prima di rimuovere i ruoli esistenti, assicurarsi che i ruoli aggiornati siano assegnati.
| Risorsa di Azure | Ruolo esistente (prima del 26 novembre 2023) | Ruolo aggiornato (dopo il 26 novembre 2023) |
|---|---|---|
| Gruppo di risorse | Collaboratore alla rete | Collaboratore all'interfaccia di rete Windows 365 |
| Rete virtuale | Collaboratore alla rete | utente di rete Windows 365 |
| Abbonamento | Lettore | Lettore |
Per altre informazioni sulla rimozione di un'assegnazione di ruolo da una risorsa di Azure, vedere Rimuovere le assegnazioni di ruolo di Azure.
Tag di ambito
Per il controllo degli accessi in base al ruolo, i ruoli fanno solo parte dell'equazione. Sebbene i ruoli funzionino bene per definire un set di autorizzazioni, i tag di ambito consentono di definire la visibilità delle risorse dell'organizzazione. I tag di ambito sono particolarmente utili quando si organizza il tenant in modo che gli utenti abbiano l'ambito di determinate gerarchie, aree geografiche, business unit e così via.
Usare Intune per creare e gestire i tag di ambito. Per altre informazioni sulla modalità di creazione e gestione dei tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
In Windows 365, i tag di ambito possono essere applicati alle risorse seguenti:
- Criteri di provisioning
- Connessioni di rete di Azure (ANC)
- PC cloud
- Immagini personalizzate
- Windows 365 assegnazioni di ruolo controllo degli accessi in base al ruolo
Per assicurarsi che l'elenco Tutti i dispositivi di proprietà Intune e l'elenco Tutti i PC cloud di proprietà Windows 365 mostrino gli stessi PC cloud in base all'ambito, seguire questa procedura dopo aver creato i tag di ambito e i criteri di provisioning:
- Creare un Microsoft Entra ID gruppo di dispositivi dinamico con la regola che enrollmentProfileName è uguale al nome esatto dei criteri di provisioning creati.
- Assegnare il tag di ambito creato al gruppo di dispositivi dinamico.
- Dopo aver effettuato il provisioning e la registrazione del PC cloud in Intune, sia l'elenco Tutti i dispositivi che l'elenco Tutti i PC cloud dovrebbero visualizzare gli stessi PC cloud.
Se si aggiungono nuovi tag di ambito a un criterio di provisioning, assicurarsi di aggiungere anche i tag di ambito al gruppo dinamico Intune. Questa aggiunta garantisce che il gruppo dinamico rispetti i nuovi tag di ambito. Controllare anche tutti i PC cloud a cui potrebbero essere stati aggiunti tag di ambito univoci per assicurarsi che siano ancora presenti dopo eventuali aggiornamenti.
Per assicurarsi che Windows 365 possano rispettare le modifiche apportate ai tag di ambito Intune, questi dati vengono sincronizzati da Intune. Per altre informazioni, vedere Privacy, dati dei clienti e contenuto dei clienti in Windows 365.
Per consentire agli amministratori con ambito di visualizzare i tag di ambito assegnati e gli oggetti all'interno dell'ambito, è necessario assegnare loro uno dei ruoli seguenti:
- Intune sola lettura
- Lettore/amministratore di PC cloud
- Ruolo personalizzato con autorizzazioni simili.
Passaggi successivi
Controllo degli accessi in base al ruolo con Microsoft Intune.
Informazioni sulle definizioni dei ruoli di Azure
Che cos'è il controllo degli accessi in base al ruolo di Azure?