Toegangsbeheer op basis van rollen
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. U kunt rollen toewijzen voor uw cloud-pc's met behulp van het Microsoft Intune-beheercentrum.
Wanneer een gebruiker met de rol Abonnementseigenaar of Beheerder voor gebruikerstoegang een ANC maakt, bewerkt of opnieuw probeert, wijst Windows 365 de vereiste ingebouwde rollen transparant de volgende resources toe (als deze nog niet zijn toegewezen):
- Azure-abonnement
- Resourcegroep
- Virtueel netwerk dat is gekoppeld aan de ANC
Als u alleen de rol Abonnementslezer hebt, zijn deze toewijzingen niet automatisch. In plaats daarvan moet u de vereiste ingebouwde rollen handmatig configureren voor de Windows First Party-app in Azure.
Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.
Windows 365 beheerdersrol
Windows 365 ondersteunt de rol Windows 365 Administrator die beschikbaar is voor roltoewijzing via het Microsoft Beheer Center en Microsoft Entra ID. Met deze rol kunt u Windows 365 Cloud-pc's beheren voor zowel Enterprise- als Business-edities. De rol Windows 365 Beheerder kan meer machtigingen binnen het bereik verlenen dan andere Microsoft Entra rollen, zoals Globale beheerder. Zie ingebouwde rollen Microsoft Entra voor meer informatie.
Ingebouwde cloud-pc-rollen
De volgende ingebouwde rollen zijn beschikbaar voor cloud-pc's:
Cloud-pc-beheerder
Beheert alle aspecten van cloud-pc's, zoals:
- Beheer van installatiekopieën van het besturingssysteem
- Configuratie van Azure-netwerkverbinding
- Bevoorrading
Cloud-pc-lezer
Hiermee worden cloud-pc-gegevens weergegeven die beschikbaar zijn in het knooppunt Windows 365 in Microsoft Intune, maar kunnen geen wijzigingen aanbrengen.
Windows 365 Network Interface-inzender
De rol Windows 365 Inzender netwerkinterface wordt toegewezen aan de resourcegroep die is gekoppeld aan de Azure-netwerkverbinding (ANC). Met deze rol kan de Windows 365-service de NIC maken en toevoegen en de implementatie in de resourcegroep beheren. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
Actietype | Machtigingen |
---|---|
Acties | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | Geen |
dataActions | Geen |
notDataActions | Geen |
Windows 365-netwerkgebruiker
De rol Windows 365 Netwerkgebruiker wordt toegewezen aan het virtuele netwerk dat is gekoppeld aan de ANC. Met deze rol kan de Windows 365-service de NIC koppelen aan het virtuele netwerk. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
Actietype | Machtigingen |
---|---|
Acties | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnetten/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | Geen |
dataActions | Geen |
notDataActions | Geen |
Aangepaste rollen
U kunt aangepaste rollen voor Windows 365 maken in Microsoft Intune beheercentrum. Zie Een aangepaste rol maken voor meer informatie.
De volgende machtigingen zijn beschikbaar bij het maken van aangepaste rollen.
Machtiging | Beschrijving |
---|---|
Gegevens controleren/lezen | Lees de auditlogboeken van cloud-pc-resources in uw tenant. |
Azure Network Connections/maken | Maak een on-premises verbinding voor het inrichten van cloud-pc's. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te maken. |
Azure Network Connections/verwijderen | Een specifieke on-premises verbinding verwijderen. Herinnering: U kunt een verbinding die in gebruik is niet verwijderen. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te verwijderen. |
Azure Network Connections/lezen | Lees de eigenschappen van on-premises verbindingen. |
Azure Network Connections/update | Werk de eigenschappen van een specifieke on-premises verbinding bij. De Azure-rol Van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding bij te werken. |
Azure Network Connections/RunHealthChecks | Statuscontroles uitvoeren op een specifieke on-premises verbinding. De Azure-rol van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om statuscontroles uit te voeren. |
Azure Network Connections/UpdateAdDomainPassword | Active Directory-domeinwachtwoord van een specifieke on-premises verbinding bijwerken. |
Cloud-pc's/lezen | Lees de eigenschappen van Cloud-pc's in uw tenant. |
Cloud-pc's/opnieuw inrichten | Cloud-pc's in uw tenant opnieuw inrichten. |
Cloud-pc's/formaat wijzigen | Wijzig het formaat van cloud-pc's in uw tenant. |
Cloud-pc's/EndGracePeriod | Respijtperiode voor cloud-pc's in uw tenant beëindigen. |
Cloud-pc's/herstellen | Cloud-pc's in uw tenant herstellen. |
Cloud-pc's/opnieuw opstarten | Start Cloud-pc's opnieuw op in uw tenant. |
Cloud-pc's/naam wijzigen | Wijzig de naam van cloud-pc's in uw tenant. |
Cloud-pc's/problemen oplossen | Problemen met cloud-pc's in uw tenant oplossen. |
Cloud-pc's/ChangeUserAccountType | Wijzig het gebruikersaccounttype tussen lokale beheerder en standaardgebruiker van een cloud-pc in uw tenant. |
Cloud-pc's/PlaceUnderReview | Stel Cloud-pc's in die worden beoordeeld in uw tenant. |
Cloud-pc's/RetryPartnerAgentInstallation | Poging om partneragents opnieuw te installeren op een cloud-pc die niet kan worden geïnstalleerd. |
Cloud-pc's/ApplyCurrentProvisioningPolicy | De huidige configuratie van het inrichtingsbeleid toepassen op cloud-pc's in uw tenant. |
Cloud-pc's/CreateSnapshot | Maak handmatig een momentopname voor cloud-pc's in uw tenant. |
Apparaatinstallatiekopieën/maken | Upload een aangepaste installatiekopieën van het besturingssysteem die u later kunt inrichten op cloud-pc's. |
Apparaatafbeeldingen/verwijderen | Een installatiekopieën van het besturingssysteem verwijderen van cloud-pc. |
Apparaatafbeeldingen/lezen | Lees de eigenschappen van cloud-pc-apparaatinstallatiekopieën. |
Instellingen van externe partner/lezen | Lees de eigenschappen van een instelling voor externe cloud-pc-partners. |
Instellingen voor externe partner/maken | Maak een nieuwe instelling voor externe cloud-pc-partners. |
Instellingen van externe partner/update | Werk de eigenschappen van een instelling van een externe cloud-pc-partner bij. |
Organisatie-instellingen/lezen | Lees de eigenschappen van de organisatie-instellingen voor cloud-pc's. |
Organisatie-instellingen/bijwerken | Werk de eigenschappen van de organisatie-instellingen voor cloud-pc's bij. |
Prestatierapporten/lezen | Lees de rapporten Windows 365 Cloud-pc externe verbindingen. |
Inrichtingsbeleid/toewijzen | Wijs een inrichtingsbeleid voor cloud-pc's toe aan gebruikersgroepen. |
Inrichtingsbeleid/maken | Maak een nieuw inrichtingsbeleid voor cloud-pc's. |
Inrichtingsbeleid/verwijderen | Een inrichtingsbeleid voor cloud-pc's verwijderen. U kunt een beleid dat wordt gebruikt niet verwijderen. |
Inrichtingsbeleid/lezen | Lees de eigenschappen van het inrichtingsbeleid voor cloud-pc's. |
Inrichtingsbeleid/update | Werk de eigenschappen van het inrichtingsbeleid voor cloud-pc's bij. |
Rapporten/exporteren | Exporteer Windows 365 gerelateerde rapporten. |
Roltoewijzingen/maken | Maak een nieuwe cloud-pc-roltoewijzing. |
Roltoewijzingen/bijwerken | Werk de eigenschappen van een specifieke cloud-pc-roltoewijzing bij. |
Roltoewijzingen/verwijderen | Een specifieke roltoewijzing voor cloud-pc's verwijderen. |
Rollen/lezen | Machtigingen, roldefinities en roltoewijzingen voor cloud-pc-rollen weergeven. Bewerking of actie weergeven die kan worden uitgevoerd op een cloud-pc-resource (of entiteit). |
Rollen/maken | Een rol maken voor cloud-pc. Maakbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
Rollen/bijwerken | Update-rol voor cloud-pc. Updatebewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
Rollen/verwijderen | Verwijder de rol voor cloud-pc. Verwijderbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
Serviceplan/lezen | Lees de serviceplannen van Cloud-pc. |
SharedUseLicenseUsageReports/Read | Lees de Windows 365 Cloud-pc Rapporten met betrekking tot gedeeld gebruikslicentiegebruik. |
SharedUseServicePlans/Read | Lees de eigenschappen van Cloud PC Shared Use Service Plans. |
Momentopname/lezen | Lees de momentopname van cloud-pc. |
Momentopname/delen | Deel de momentopname van cloud-pc. |
Ondersteunde regio/lezen | Lees de ondersteunde regio's van Cloud-pc. |
Gebruikersinstellingen/Toewijzen | Wijs een cloud-pc-gebruikersinstelling toe aan gebruikersgroepen. |
Gebruikersinstellingen/Maken | Maak een nieuwe cloud-pc-gebruikersinstelling. |
Gebruikersinstellingen/Verwijderen | Een cloud-pc-gebruikersinstelling verwijderen. |
Gebruikersinstellingen/lezen | Lees de eigenschappen van een cloud-pc-gebruikersinstelling. |
Gebruikersinstellingen/bijwerken | Werk de eigenschappen van een cloud-pc-gebruikersinstelling bij. |
Een beheerder heeft de volgende machtigingen nodig om een inrichtingsbeleid te maken:
- Inrichtingsbeleid/lezen
- Inrichtingsbeleid/maken
- Azure Network Connections/lezen
- Ondersteunde regio/lezen
- Apparaatafbeeldingen/lezen
Bestaande machtigingen migreren
Voor ANC's die vóór 26 november 2023 zijn gemaakt, wordt de rol Netwerkbijdrager gebruikt om machtigingen toe te passen op zowel de resourcegroep als Virtual Network. Als u wilt toepassen op de nieuwe RBAC-rollen, kunt u de ANC-statuscontrole opnieuw proberen. De bestaande rollen moeten handmatig worden verwijderd.
Als u de bestaande rollen handmatig wilt verwijderen en de nieuwe rollen wilt toevoegen, raadpleegt u de volgende tabel voor de bestaande rollen die voor elke Azure-resource worden gebruikt. Voordat u de bestaande rollen verwijdert, moet u ervoor zorgen dat de bijgewerkte rollen zijn toegewezen.
Azure-resource | Bestaande rol (vóór 26 november 2023) | Bijgewerkte rol (na 26 november 2023) |
---|---|---|
Resourcegroep | Netwerkbijdrager | Windows 365 Network Interface-inzender |
Virtueel netwerk | Netwerkbijdrager | Windows 365-netwerkgebruiker |
Abonnement | Lezer | Lezer |
Zie Azure-roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing uit een Azure-resource.
Bereiktags
Voor RBAC zijn rollen slechts een deel van de vergelijking. Hoewel rollen goed werken om een set machtigingen te definiëren, helpen bereiktags de zichtbaarheid van de resources van uw organisatie te definiëren. Bereiktags zijn het handigst bij het ordenen van uw tenant, zodat gebruikers zich kunnen richten op bepaalde hiërarchieën, geografische regio's, bedrijfseenheden, enzovoort.
Gebruik Intune om bereiktags te maken en te beheren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over hoe bereiktags worden gemaakt en beheerd.
In Windows 365 kunnen bereiktags worden toegepast op de volgende resources:
- Inrichtingsbeleid
- Azure-netwerkverbindingen (ANC)
- Cloud-pc's
- Aangepaste afbeeldingen
- RBAC-roltoewijzingen Windows 365
Volg deze stappen na het maken van uw bereiktags en het inrichtingsbeleid om ervoor te zorgen dat zowel de lijst Alle apparaten in Intune-eigendom als alle cloud-pc's in Windows 365-eigendom dezelfde cloud-pc's weergeven op basis van het bereik:
- Maak een Microsoft Entra ID dynamische apparaatgroep met de regel dat enrollmentProfileName gelijk is aan de exacte naam van het gemaakte inrichtingsbeleid.
- Wijs de gemaakte bereiktag toe aan de dynamische apparaatgroep.
- Nadat de cloud-pc is ingericht en ingeschreven bij Intune, moeten in zowel de lijst Alle apparaten als de lijst Alle cloud-pc's dezelfde cloud-pc's worden weergegeven.
Als u nieuwe bereiktags toevoegt aan een inrichtingsbeleid, moet u ervoor zorgen dat u ook de bereiktags toevoegt aan de Intune dynamische groep. Met deze toevoeging zorgt u ervoor dat de dynamische groep de nieuwe bereiktags respecteert. Controleer ook op cloud-pc's waarop mogelijk unieke bereiktags zijn toegevoegd om ervoor te zorgen dat ze er nog steeds zijn na eventuele updates.
Om ervoor te zorgen dat Windows 365 wijzigingen in Intune bereiktags kunt honoreren, worden deze gegevens vanuit Intune gesynchroniseerd. Zie Privacy, klantgegevens en klantinhoud in Windows 365 voor meer informatie.
Als u beheerders met een bereik wilt laten zien welke bereiktags aan hen zijn toegewezen en welke objecten binnen hun bereik vallen, moeten ze een van de volgende rollen toegewezen krijgen:
- Intune alleen-lezen
- Cloud-pc-lezer/beheerder
- Een aangepaste rol met vergelijkbare machtigingen.
Volgende stappen
Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.
Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?