Rollbaserad åtkomstkontroll
Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera vem som har åtkomst till organisationens resurser och vad de kan göra med dessa resurser. Du kan tilldela roller för dina molndatorer med hjälp av Microsoft Intune administrationscenter.
När en användare med rollen Prenumerationsägare eller Administratör för användaråtkomst skapar, redigerar eller försöker göra om en ANC Windows 365 transparent tilldelar de nödvändiga inbyggda rollerna följande resurser (om de inte redan har tilldelats):
- Azure-prenumeration
- Resursgrupp
- Virtuellt nätverk som är associerat med ANC
Om du bara har rollen Prenumerationsläsare är dessa tilldelningar inte automatiska. I stället måste du manuellt konfigurera de inbyggda rollerna som krävs för Windows First Party-appen i Azure.
Mer information finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.
Windows 365 administratörsroll
Windows 365 stöder rollen Windows 365 administratör som är tillgänglig för rolltilldelning via Microsoft Admin Center och Microsoft Entra ID. Med den här rollen kan du hantera Windows 365 cloud-datorer för både Enterprise- och Business-utgåvor. Rollen Windows 365 administratör kan ge mer begränsade behörigheter än andra Microsoft Entra roller som global administratör. Mer information finns i Microsoft Entra inbyggda roller.
Inbyggda roller för Molndator
Följande inbyggda roller är tillgängliga för Cloud PC:
Molndatoradministratör
Hanterar alla aspekter av molndatorer, till exempel:
- Hantering av operativsystemavbildningar
- Konfiguration av Azure-nätverksanslutning
- Etableringen
Molndatorläsare
Visar Cloud PC-data som är tillgängliga i noden Windows 365 i Microsoft Intune, men kan inte göra ändringar.
Windows 365 deltagare i nätverksgränssnittet
Rollen Windows 365 nätverksgränssnittsdeltagare tilldelas till resursgruppen som är associerad med Azure-nätverksanslutningen (ANC). Med den här rollen kan Windows 365-tjänsten skapa och ansluta till nätverkskortet och hantera distributionen i resursgruppen. Den här rollen är en samling med de minsta behörigheter som krävs för att använda Windows 365 när du använder en ANC.
| Åtgärdstyp | Behörigheter |
|---|---|
| Åtgärder | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Ingen |
| dataActions | Ingen |
| notDataActions | Ingen |
Windows 365 nätverksanvändare
Rollen Windows 365 nätverksanvändare tilldelas till det virtuella nätverk som är associerat med ANC. Med den här rollen kan Windows 365-tjänsten ansluta nätverkskortet till det virtuella nätverket. Den här rollen är en samling med de minsta behörigheter som krävs för att använda Windows 365 när du använder en ANC.
| Åtgärdstyp | Behörigheter |
|---|---|
| Åtgärder | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Ingen |
| dataActions | Ingen |
| notDataActions | Ingen |
Anpassade roller
Du kan skapa anpassade roller för Windows 365 i Microsoft Intune administrationscenter. Mer information finns i Skapa en anpassad roll.
Följande behörigheter är tillgängliga när du skapar anpassade roller.
| Behörighet | Beskrivning |
|---|---|
| Granska data/läsa | Läs granskningsloggarna för Cloud PC-resurser i din klientorganisation. |
| Azure Network Connections/Skapa | Skapa en lokal anslutning för etablering av molndatorer. Azure-rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att skapa en lokal anslutning. |
| Azure Network Connections/Delete | Ta bort en specifik lokal anslutning. Påminnelse: Du kan inte ta bort en anslutning som används. Rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att ta bort en lokal anslutning. |
| Azure Network Connections/Read | Läs egenskaperna för lokala anslutningar. |
| Azure Network Connections/Update | Uppdatera egenskaperna för en specifik lokal anslutning. Rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att uppdatera en lokal anslutning. |
| Azure Network Connections/RunHealthChecks | Kör hälsokontroller på en specifik lokal anslutning. Azure-rollen Prenumerationsägare eller administratör för användaråtkomst krävs också för att köra hälsokontroller. |
| Azure Network Connections/UpdateAdDomainPassword | Uppdatera Active Directory-domänlösenordet för en specifik lokal anslutning. |
| Molndatorer/läsa | Läs egenskaperna för molndatorer i din klientorganisation. |
| Molndatorer/återetablering | Återskapa molndatorer i din klientorganisation. |
| Molndatorer/Ändra storlek | Ändra storlek på molndatorer i din klientorganisation. |
| Molndatorer/EndGracePeriod | Slut på respitperiod för molndatorer i din klientorganisation. |
| Molndatorer/återställning | Återställa molndatorer i din klientorganisation. |
| Molndatorer/omstart | Starta om molndatorer i din klientorganisation. |
| Molndatorer/byt namn | Byt namn på molndatorer i din klientorganisation. |
| Molndatorer/Felsöka | Felsöka molndatorer i din klientorganisation. |
| Molndatorer/ChangeUserAccountType | Ändra användarkontotyp mellan lokal administratör och standardanvändare för en molndator i din klientorganisation. |
| Molndatorer/PlaceUnderReview | Ange molndatorer under granskning i din klientorganisation. |
| Cloud PC/RetryPartnerAgentInstallation | Försök att installera om partneragenter från en molndator som inte kunde installeras. |
| Molndatorer/ApplyCurrentProvisioningPolicy | Tillämpa den aktuella konfigurationsprincipkonfigurationen på molndatorer i din klientorganisation. |
| Molndatorer/CreateSnapshot | Skapa en ögonblicksbild manuellt för molndatorer i din klientorganisation. |
| Enhetsbilder/Skapa | Ladda upp en anpassad OS-avbildning som du senare kan etablera på molndatorer. |
| Enhetsbilder/Ta bort | Ta bort en OS-avbildning från Cloud PC. |
| Enhetsbilder/läsa | Läs egenskaperna för Cloud PC-enhetsavbildningar. |
| Inställningar/läsning för extern partner | Läs egenskaperna för en extern partnerinställning för en molndator. |
| Inställningar för extern partner/Skapa | Skapa en ny inställning för extern partner i Cloud PC. |
| Inställningar/uppdatering för extern partner | Uppdatera egenskaperna för en extern partnerinställning för en molndator. |
| Organisationsinställningar/läsa | Läs egenskaperna för organisationsinställningarna för Cloud PC. |
| Organisationsinställningar/uppdatering | Uppdatera egenskaperna för organisationsinställningarna för Cloud PC. |
| Prestandarapporter/läsning | Läs de Windows 365 Molnbaserad dator fjärranslutningsrelaterade rapporterna. |
| Etableringsprinciper/Tilldela | Tilldela en molndators etableringsprincip till användargrupper. |
| Etableringsprinciper/Skapa | Skapa en ny etableringsprincip för Molndator. |
| Etableringsprinciper/Ta bort | Ta bort en etableringsprincip för molndator. Du kan inte ta bort en princip som används. |
| Etableringsprinciper/Läsa | Läs egenskaperna för en etableringsprincip för molndator. |
| Etableringsprinciper/uppdatering | Uppdatera egenskaperna för en etableringsprincip för molndator. |
| Rapporter/exportera | Exportera Windows 365 relaterade rapporter. |
| Rolltilldelningar/Skapa | Skapa en ny rolltilldelning för Cloud PC. |
| Rolltilldelningar/uppdatering | Uppdatera egenskaperna för en specifik rolltilldelning för Molndator. |
| Rolltilldelningar/ta bort | Ta bort en specifik rolltilldelning för Molndator. |
| Roller/läsa | Visa behörigheter, rolldefinitioner och rolltilldelningar för Cloud PC-rollen. Visa åtgärd eller åtgärd som kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/Skapa | Skapa roll för Cloud PC. Skapa åtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/uppdatera | Uppdateringsroll för Cloud PC. Uppdateringsåtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Roller/ta bort | Ta bort roll för Cloud PC. Borttagningsåtgärder kan utföras på en Cloud PC-resurs (eller entitet). |
| Tjänstplan/läs | Läs molndatorns tjänstplaner. |
| SharedUseLicenseUsageReports/Read | Läs rapporterna om licensanvändning relaterad till Windows 365 Molnbaserad dator delad användning. |
| SharedUseServicePlans/Read | Läs egenskaperna för Cloud PC Shared Use Service-planer. |
| Ögonblicksbild/läsning | Läs ögonblicksbilden av Cloud PC. |
| Ögonblicksbild/resurs | Dela ögonblicksbilden av Cloud PC. |
| Region/läsning som stöds | Läs de regioner i Cloud PC som stöds. |
| Användarinställningar/Tilldela | Tilldela en användarinställning för Cloud PC till användargrupper. |
| Användarinställningar/Skapa | Skapa en ny användarinställning för Cloud PC. |
| Användarinställningar/Ta bort | Ta bort en användarinställning för Cloud PC. |
| Användarinställningar/läsa | Läs egenskaperna för en Cloud PC-användarinställning. |
| Användarinställningar/uppdatering | Uppdatera egenskaperna för en Cloud PC-användarinställning. |
För att skapa en etableringsprincip behöver en administratör följande behörigheter:
- Etableringsprinciper/Läsa
- Etableringsprinciper/Skapa
- Azure Network Connections/Read
- Region/läsning som stöds
- Enhetsbilder/läsa
Migrera befintliga behörigheter
För ANCs som skapats före den 26 november 2023 används rollen Nätverksdeltagare för att tillämpa behörigheter för både resursgruppen och Virtual Network. Om du vill tillämpa på de nya RBAC-rollerna kan du göra ett nytt försök med ANC-hälsokontrollen. Befintliga roller måste tas bort manuellt.
Om du vill ta bort befintliga roller manuellt och lägga till de nya rollerna läser du följande tabell för de befintliga roller som används för varje Azure-resurs. Kontrollera att de uppdaterade rollerna har tilldelats innan du tar bort de befintliga rollerna.
| Azure-resurs | Befintlig roll (före den 26 november 2023) | Uppdaterad roll (efter den 26 november 2023) |
|---|---|---|
| Resursgrupp | Nätverksdeltagare | Windows 365 deltagare i nätverksgränssnittet |
| Virtuellt nätverk | Nätverksdeltagare | Windows 365 nätverksanvändare |
| Prenumeration | Läsare | Läsare |
Mer information om hur du tar bort en rolltilldelning från en Azure-resurs finns i Ta bort Azure-rolltilldelningar.
Omfattningstaggar
För RBAC är roller bara en del av ekvationen. Även om roller fungerar bra för att definiera en uppsättning behörigheter, hjälper omfångstaggar till att definiera synligheten för organisationens resurser. Omfångstaggar är mest användbara när du organiserar din klientorganisation så att användare begränsas till vissa hierarkier, geografiska regioner, affärsenheter och så vidare.
Använd Intune för att skapa och hantera omfångstaggar. Mer information om hur omfångstaggar skapas och hanteras finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.
I Windows 365 kan omfångstaggar tillämpas på följande resurser:
- Etableringsprinciper
- Azure-nätverksanslutningar (ANC)
- Molndatorer
- Anpassade avbildningar
- Windows 365 RBAC-rolltilldelningar
Följ dessa steg när du har skapat omfångstaggar och etableringsprincip för att se till att både listan över Intune-ägda alla enheter och listan över Windows 365-ägda alla molndatorer visar samma molndatorer baserat på omfång:
- Skapa en Microsoft Entra ID dynamisk enhetsgrupp med regeln att enrollmentProfileName är lika med det exakta namnet på etableringsprincipen som skapats.
- Tilldela den skapade omfångstaggen till den dynamiska enhetsgruppen.
- När molndatorn har etablerats och registrerats i Intune bör både listan Alla enheter och Alla molndatorer visa samma molndatorer.
Om du lägger till nya omfångstaggar i en etableringsprincip ska du även lägga till omfångstaggar i den Intune dynamiska gruppen. Detta gör att försäkra den dynamiska gruppen respekterar de nya omfångstaggar. Kontrollera också på alla molndatorer som kan ha unika omfångstaggar som lagts till för dem för att se till att de fortfarande finns kvar efter eventuella uppdateringar.
För att säkerställa att Windows 365 kan respektera ändringar i Intune omfångstaggar synkroniseras dessa data från Intune. Mer information finns i Sekretess, kunddata och kundinnehåll i Windows 365.
Om du vill låta begränsade administratörer visa vilka omfångstaggar som har tilldelats dem och objekten inom deras omfång, måste de tilldelas någon av följande roller:
- Intune skrivskyddad
- Cloud PC-läsare/administratör
- En anpassad roll med liknande behörigheter.
Nästa steg
Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.