Kontrola dostępu oparta na rolach
Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie tym, kto ma dostęp do zasobów organizacji i co może zrobić z tymi zasobami. Role dla komputerów w chmurze można przypisać przy użyciu centrum administracyjnego Microsoft Intune.
Gdy użytkownik z rolą Właściciel subskrypcji lub Administrator dostępu użytkowników tworzy, edytuje lub ponawia próbę anc, Windows 365 w sposób niewidoczny przypisuje wymagane role wbudowane do następujących zasobów (jeśli nie zostały jeszcze przypisane):
- Subskrypcja platformy Azure
- Grupa zasobów
- Sieć wirtualna skojarzona z usługą ANC
Jeśli masz tylko rolę Czytelnik subskrypcji, te przypisania nie są automatyczne. Zamiast tego należy ręcznie skonfigurować wymagane role wbudowane w aplikacji pierwszej firmy systemu Windows na platformie Azure.
Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.
Rola administratora Windows 365
Windows 365 obsługuje rolę administratora Windows 365 dostępną do przypisania roli za pośrednictwem Centrum Administracja Firmy Microsoft i Tożsamość Microsoft Entra. Dzięki tej roli możesz zarządzać komputerami w chmurze Windows 365 dla wersji Enterprise i Business. Rola administratora Windows 365 może przyznać uprawnienia o większym zakresie niż inne role Microsoft Entra, takie jak administrator globalny. Aby uzyskać więcej informacji, zobacz Microsoft Entra role wbudowane.
Role wbudowane na komputerze w chmurze
Następujące wbudowane role są dostępne dla komputera w chmurze:
Administrator komputera w chmurze
Zarządza wszystkimi aspektami komputerów w chmurze, takimi jak:
- Zarządzanie obrazami systemu operacyjnego
- Konfiguracja połączenia sieciowego platformy Azure
- Inicjowania obsługi
Czytnik komputerów w chmurze
Wyświetla dane komputera w chmurze dostępne w węźle Windows 365 w Microsoft Intune, ale nie może wprowadzać zmian.
współautor interfejsu sieciowego Windows 365
Rola współautora interfejsu sieciowego Windows 365 jest przypisywana do grupy zasobów skojarzonej z połączeniem sieciowym platformy Azure (ANC). Ta rola umożliwia usłudze Windows 365 tworzenie karty sieciowej i dołączanie do niej oraz zarządzanie wdrożeniem w grupie zasobów. Ta rola jest kolekcją minimalnych uprawnień wymaganych do działania Windows 365 podczas korzystania z usługi ANC.
| Typ akcji | Uprawnienia |
|---|---|
| akcje | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Brak |
| dataActions | Brak |
| notDataActions | Brak |
użytkownik sieci Windows 365
Rola użytkownika sieci Windows 365 jest przypisywana do sieci wirtualnej skojarzonej z usługą ANC. Ta rola umożliwia usłudze Windows 365 dołączenie karty sieciowej do sieci wirtualnej. Ta rola jest kolekcją minimalnych uprawnień wymaganych do działania Windows 365 podczas korzystania z usługi ANC.
| Typ akcji | Uprawnienia |
|---|---|
| akcje | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Brak |
| dataActions | Brak |
| notDataActions | Brak |
Role niestandardowe
Role niestandardowe dla Windows 365 można tworzyć w centrum administracyjnym Microsoft Intune. Aby uzyskać więcej informacji, zobacz Tworzenie roli niestandardowej.
Podczas tworzenia ról niestandardowych są dostępne następujące uprawnienia.
| Uprawnienie | Opis |
|---|---|
| Inspekcja danych/odczytu | Przeczytaj dzienniki inspekcji zasobów komputera w chmurze w dzierżawie. |
| Azure Network Connections/Create | Utwórz połączenie lokalne na potrzeby aprowizacji komputerów w chmurze. Do utworzenia połączenia lokalnego jest również wymagana rola właściciela subskrypcji lub administratora dostępu użytkowników platformy Azure. |
| Azure Network Connections/Delete | Usuń określone połączenie lokalne. Przypomnienie: nie można usunąć używanego połączenia. Właściciel subskrypcji lub administrator dostępu użytkowników rola platformy Azure jest również wymagana do usunięcia połączenia lokalnego. |
| Azure Network Connections/Read | Przeczytaj właściwości połączeń lokalnych. |
| Azure Network Connections/Update | Zaktualizuj właściwości określonego połączenia lokalnego. Właściciel subskrypcji lub administrator dostępu użytkowników rola platformy Azure jest również wymagana do zaktualizowania połączenia lokalnego. |
| Azure Network Connections/RunHealthChecks | Uruchom testy kondycji dla określonego połączenia lokalnego. Do przeprowadzania kontroli kondycji jest również wymagana rola właściciela subskrypcji lub administratora dostępu użytkowników na platformie Azure. |
| Azure Network Connections/UpdateAdDomainPassword | Zaktualizuj hasło domeny usługi Active Directory dla określonego połączenia lokalnego. |
| Komputery w chmurze/odczyt | Przeczytaj właściwości komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/ponowne aprowizowanie | Ponowne aprowizowanie komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/Zmiana rozmiaru | Zmień rozmiar komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/EndGracePeriod | Zakończ okres prolongaty dla komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/przywracanie | Przywróć komputery w chmurze w dzierżawie. |
| Komputery w chmurze/ponowne uruchamianie | Uruchom ponownie komputery w chmurze w dzierżawie. |
| Komputery w chmurze/Zmiana nazwy | Zmień nazwę komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/rozwiązywanie problemów | Rozwiązywanie problemów z komputerami w chmurze w dzierżawie. |
| Komputery w chmurze/ChangeUserAccountType | Zmień typ konta użytkownika między administratorem lokalnym a standardowym użytkownikiem komputera w chmurze w dzierżawie. |
| Komputery w chmurze/PlaceUnderReview | Ustaw komputery w chmurze pod kontrolą w dzierżawie. |
| Komputery w chmurze/RetryPartnerAgentInstallation | Spróbuj ponownie zainstalować agentów partnera firmowego na komputerze w chmurze, którego instalacja nie powiodła się. |
| Komputery w chmurze/ApplyCurrentProvisioningPolicy | Zastosuj bieżącą konfigurację zasad aprowizacji do komputerów w chmurze w dzierżawie. |
| Komputery w chmurze/CreateSnapshot | Ręcznie utwórz migawkę dla komputerów w chmurze w dzierżawie. |
| Obrazy urządzeń/tworzenie | Przekaż niestandardowy obraz systemu operacyjnego, który można później aprowizować na komputerach w chmurze. |
| Obrazy urządzeń/usuwanie | Usuń obraz systemu operacyjnego z komputera w chmurze. |
| Obrazy urządzeń/odczyt | Odczytywanie właściwości obrazów urządzeń z komputerem w chmurze. |
| Ustawienia partnera zewnętrznego/odczyt | Zapoznaj się z właściwościami ustawienia partnera zewnętrznego komputera w chmurze. |
| Ustawienia partnera zewnętrznego/tworzenie | Utwórz nowe ustawienie partnera zewnętrznego komputera w chmurze. |
| Ustawienia partnera zewnętrznego/aktualizacja | Zaktualizuj właściwości ustawienia partnera zewnętrznego komputera w chmurze. |
| Ustawienia organizacji/odczyt | Zapoznaj się z właściwościami ustawień organizacji komputera w chmurze. |
| Ustawienia organizacji/aktualizacja | Zaktualizuj właściwości ustawień organizacji komputera w chmurze. |
| Raporty wydajności/odczyt | Przeczytaj raporty dotyczące Komputer w chmurze Windows 365 połączeń zdalnych. |
| Zasady aprowizacji/Przypisywanie | Przypisz zasady aprowizacji komputera w chmurze do grup użytkowników. |
| Zasady aprowizacji/Tworzenie | Utwórz nowe zasady aprowizacji komputera w chmurze. |
| Zasady aprowizacji/Usuwanie | Usuń zasady aprowizacji komputera w chmurze. Nie można usunąć zasad, które są używane. |
| Zasady aprowizacji/Odczyt | Zapoznaj się z właściwościami zasad aprowizacji komputera w chmurze. |
| Zasady aprowizacji/aktualizacja | Zaktualizuj właściwości zasad aprowizacji komputera w chmurze. |
| Raporty/eksportowanie | Eksportowanie Windows 365 powiązanych raportów. |
| Przypisania ról/Tworzenie | Utwórz nowe przypisanie roli komputera w chmurze. |
| Przypisania ról/Aktualizacja | Zaktualizuj właściwości określonego przypisania roli komputera w chmurze. |
| Przypisania ról/Usuwanie | Usuń przypisanie określonej roli komputera w chmurze. |
| Role/Odczyt | Wyświetlanie uprawnień, definicji ról i przypisań ról dla roli komputera w chmurze. Wyświetl operację lub akcję, którą można wykonać na zasobie komputera w chmurze (lub jednostce). |
| Role/Tworzenie | Utwórz rolę dla komputera w chmurze. Operacje tworzenia można wykonywać na zasobie komputera w chmurze (lub jednostce). |
| Role/aktualizacja | Zaktualizuj rolę dla komputera w chmurze. Operacje aktualizacji można wykonywać na zasobie komputera w chmurze (lub jednostce). |
| Role/Usuwanie | Usuń rolę dla komputera w chmurze. Operacje usuwania można wykonywać na zasobie komputera w chmurze (lub jednostce). |
| Plan usługi/odczyt | Zapoznaj się z planami usług komputera w chmurze. |
| SharedUseLicenseUsageReports/Read | Przeczytaj raporty dotyczące użycia licencji użycia współdzielonego Komputer w chmurze Windows 365. |
| SharedUseServicePlans/Read | Zapoznaj się z właściwościami planów usługi współużytkowania komputera w chmurze. |
| Migawka/odczyt | Przeczytaj migawkę komputera w chmurze. |
| Migawka/udział | Udostępnij migawkę komputera w chmurze. |
| Obsługiwany region/odczyt | Przeczytaj obsługiwane regiony komputera w chmurze. |
| Ustawienia użytkownika/Przypisywanie | Przypisywanie ustawienia użytkownika komputera w chmurze do grup użytkowników. |
| Ustawienia użytkownika/Tworzenie | Utwórz nowe ustawienie użytkownika komputera w chmurze. |
| Ustawienia użytkownika/usuwanie | Usuń ustawienie użytkownika komputera w chmurze. |
| Ustawienia użytkownika/odczyt | Zapoznaj się z właściwościami ustawienia użytkownika komputera w chmurze. |
| Ustawienia użytkownika/aktualizacja | Zaktualizuj właściwości ustawienia użytkownika komputera w chmurze. |
Aby utworzyć zasady aprowizacji, administrator musi mieć następujące uprawnienia:
- Zasady aprowizacji/Odczyt
- Zasady aprowizacji/Tworzenie
- Azure Network Connections/Read
- Obsługiwany region/odczyt
- Obrazy urządzeń/odczyt
Migrowanie istniejących uprawnień
W przypadku kontrolerów ANC utworzonych przed 26 listopada 2023 r. rola Współautor sieci jest używana do stosowania uprawnień zarówno do grupy zasobów, jak i Virtual Network. Aby zastosować do nowych ról RBAC, możesz ponowić próbę sprawdzenia kondycji usługi ANC. Istniejące role muszą zostać usunięte ręcznie.
Aby ręcznie usunąć istniejące role i dodać nowe role, zapoznaj się z poniższą tabelą dotyczącą istniejących ról używanych w każdym zasobie platformy Azure. Przed usunięciem istniejących ról upewnij się, że zaktualizowane role zostały przypisane.
| Zasób platformy Azure | Istniejąca rola (przed 26 listopada 2023 r.) | Zaktualizowano rolę (po 26 listopada 2023 r.) |
|---|---|---|
| Grupa zasobów | Współautor sieci | współautor interfejsu sieciowego Windows 365 |
| Sieć wirtualna | Współautor sieci | użytkownik sieci Windows 365 |
| Subskrypcja | Czytelnik | Czytelnik |
Aby uzyskać więcej informacji na temat usuwania przypisania roli z zasobu platformy Azure, zobacz Usuwanie przypisań ról platformy Azure.
Tagi zakresu
W przypadku kontroli dostępu opartej na rolach role są tylko częścią równania. Chociaż role dobrze definiują zestaw uprawnień, tagi zakresu pomagają zdefiniować widoczność zasobów organizacji. Tagi zakresu są najbardziej przydatne podczas organizowania dzierżawy tak, aby użytkownicy mieli zakres do określonych hierarchii, regionów geograficznych, jednostek biznesowych itd.
Użyj Intune, aby tworzyć tagi zakresu i zarządzać nimi. Aby uzyskać więcej informacji na temat sposobu tworzenia i zarządzania tagami zakresu, zobacz Korzystanie z kontroli dostępu opartej na rolach (RBAC) i tagów zakresu dla rozproszonego it.
W Windows 365 tagi zakresu można zastosować do następujących zasobów:
- Zasady aprowizacji
- Połączenia sieciowe platformy Azure (ANC)
- Komputery w chmurze
- Obrazy niestandardowe
- Windows 365 przypisań ról RBAC
Aby upewnić się, że zarówno lista Wszystkie urządzenia należące do Intune, jak i lista wszystkich komputerów w chmurze należących do Windows 365 zawierają te same komputery w chmurze oparte na zakresie, wykonaj następujące kroki po utworzeniu tagów zakresu i zasad aprowizacji:
- Utwórz Tożsamość Microsoft Entra dynamiczną grupę urządzeń z regułą, że enrollmentProfileName jest równa dokładnej nazwie utworzonych zasad aprowizacji.
- Przypisz utworzony tag zakresu do dynamicznej grupy urządzeń.
- Po aprowizacji i zarejestrowaniu komputera w chmurze w Intune zarówno lista Wszystkie urządzenia, jak i Wszystkie komputery w chmurze powinny wyświetlać te same komputery w chmurze.
Jeśli dodasz nowe tagi zakresu do zasad aprowizacji, upewnij się, że tagi zakresu są również dodawane do grupy dynamicznej Intune. To dodanie powoduje, że grupa dynamiczna uwzględnia nowe tagi zakresu. Sprawdź również wszystkie komputery w chmurze, które mogą mieć dodane unikatowe tagi zakresu, aby upewnić się, że są one nadal dostępne po aktualizacji.
Aby upewnić się, że Windows 365 może uwzględniać zmiany Intune tagów zakresu, te dane są synchronizowane z Intune. Aby uzyskać więcej informacji, zobacz Prywatność, dane klienta i zawartość klienta w Windows 365.
Aby umożliwić administratorom o określonym zakresie wyświetlanie, które tagi zakresu są przypisane do nich i obiektów w ich zakresie, muszą mieć przypisaną jedną z następujących ról:
- Intune tylko do odczytu
- Czytelnik/administrator komputera w chmurze
- Rola niestandardowa z podobnymi uprawnieniami.
Następne kroki
Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.
Omówienie definicji ról platformy Azure
Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure?