基于角色的访问控制
基于角色的访问控制 (RBAC) 有助于管理有权访问组织资源的用户及其可以使用这些资源执行的操作。 可以使用 Microsoft Intune 管理中心为云电脑分配角色。
当具有订阅所有者或用户访问管理员角色的用户创建、编辑或重试 ANC 时,Windows 365 以透明方式分配所需的内置角色, (以下资源) :
- Azure 订阅
- 资源组
- 与 ANC 关联的虚拟网络
如果只有订阅读取者角色,则这些分配不会自动进行。 相反,必须手动配置 Azure 中的 Windows 第一方应用所需的内置角色。
有关详细信息,请参阅 使用 Microsoft Intune 实现基于角色的访问控制 (RBAC)。
Windows 365 管理员角色
Windows 365 支持通过 Microsoft 管理中心和 Microsoft Entra ID 分配角色的 Windows 365 管理员角色。 使用此角色,可以管理企业版和商业版的 Windows 365 云电脑。 与全局管理员等其他Microsoft Entra 角色相比,Windows 365 管理员角色可以授予范围更广的权限。 有关详细信息,请参阅 Microsoft Entra 内置角色。
云电脑内置角色
以下内置角色可用于云电脑:
云电脑管理员
管理云电脑的所有方面,例如:
- OS 映像管理
- Azure 网络连接配置
- 预配
云电脑阅读器
查看 Microsoft Intune 中 Windows 365 节点中可用的云电脑数据,但无法进行更改。
Windows 365 网络接口参与者
Windows 365 网络接口参与者角色分配给与 AZURE 网络连接关联的资源组, (ANC) 。 此角色允许 Windows 365 服务创建和加入 NIC,以及管理资源组中的部署。 此角色是使用 ANC 时运行 Windows 365 所需的最低权限的集合。
操作类型 | 权限 |
---|---|
actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | None |
dataActions | None |
notDataActions | None |
Windows 365 网络用户
Windows 365 网络用户角色分配给与 ANC 关联的虚拟网络。 此角色允许 Windows 365 服务将 NIC 加入虚拟网络。 此角色是使用 ANC 时运行 Windows 365 所需的最低权限的集合。
操作类型 | 权限 |
---|---|
actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | None |
dataActions | None |
notDataActions | None |
自定义角色
可以在 Microsoft Intune 管理中心为 Windows 365 创建自定义角色。 有关详细信息,请参阅 创建自定义角色。
创建自定义角色时,可以使用以下权限。
权限 | 说明 |
---|---|
审核数据/读取 | 读取租户中云电脑资源的审核日志。 |
Azure 网络连接/创建 | 创建用于预配云电脑的本地连接。 创建本地连接还需要订阅所有者或用户访问管理员 Azure 角色。 |
Azure 网络连接/删除 | 删除特定的本地连接。 提醒:无法删除正在使用的连接。 删除本地连接还需要订阅所有者或用户访问管理员 Azure 角色。 |
Azure 网络连接/读取 | 读取本地连接的属性。 |
Azure 网络连接/更新 | 更新特定本地连接的属性。 更新本地连接还需要订阅所有者或用户访问管理员 Azure 角色。 |
Azure 网络连接/RunHealthChecks | 在特定本地连接上运行运行状况检查。 运行运行状况检查还需要订阅所有者或用户访问管理员 Azure 角色。 |
Azure 网络连接/UpdateAdDomainPassword | 更新特定本地连接的 Active Directory 域密码。 |
云电脑/读取 | 读取租户中云电脑的属性。 |
云电脑/重新预配 | 在租户中重新预配云电脑。 |
云电脑/调整大小 | 调整租户中云电脑的大小。 |
云电脑/EndGracePeriod | 租户中云电脑的结束宽限期。 |
云电脑/还原 | 还原租户中的云电脑。 |
云电脑/重启 | 重启租户中的云电脑。 |
云电脑/重命名 | 重命名租户中的云电脑。 |
云电脑/故障排除 | 排查租户中的云电脑问题。 |
云电脑/ChangeUserAccountType | 更改租户中云电脑的本地管理员和标准用户之间的用户帐户类型。 |
云电脑/PlaceUnderReview | 在租户中设置正在审查的云电脑。 |
云电脑/RetryPartnerAgentInstallation | 尝试在无法安装的云电脑中重新安装参与方合作伙伴代理。 |
云电脑/ApplyCurrentProvisioningPolicy | 将当前预配策略配置应用于租户中的云电脑。 |
云电脑/CreateSnapshot | 为租户中的云电脑手动创建快照。 |
设备映像/创建 | 上传稍后可在云电脑上预配的自定义 OS 映像。 |
设备映像/删除 | 从云电脑中删除 OS 映像。 |
设备映像/读取 | 读取云电脑设备映像的属性。 |
外部合作伙伴设置/读取 | 读取云电脑外部合作伙伴设置的属性。 |
外部合作伙伴设置/创建 | 创建新的云电脑外部合作伙伴设置。 |
外部合作伙伴设置/更新 | 更新云电脑外部合作伙伴设置的属性。 |
组织设置/读取 | 读取云电脑组织设置的属性。 |
组织设置/更新 | 更新云电脑组织设置的属性。 |
性能报告/读取 | 阅读与 Windows 365 云电脑远程连接相关的报告。 |
预配策略/分配 | 将云电脑预配策略分配给用户组。 |
预配策略/创建 | 创建新的云电脑预配策略。 |
预配策略/删除 | 删除云电脑预配策略。 无法删除正在使用的策略。 |
预配策略/读取 | 读取云电脑预配策略的属性。 |
预配策略/更新 | 更新云电脑预配策略的属性。 |
报表/导出 | 导出与 Windows 365 相关的报表。 |
角色分配/创建 | 创建新的云电脑角色分配。 |
角色分配/更新 | 更新特定云电脑角色分配的属性。 |
角色分配/删除 | 删除特定的云电脑角色分配。 |
角色/读取 | 查看云电脑角色的权限、角色定义和角色分配。 查看可在云电脑资源 (或实体) 执行的操作。 |
角色/创建 | 为云电脑创建角色。 可以在云电脑资源 (或实体) 上执行创建操作。 |
角色/更新 | 更新云电脑的角色。 可以在云电脑资源 (或实体) 执行更新操作。 |
角色/删除 | 删除云电脑的角色。 可以在云电脑资源 (或实体) 上执行删除操作。 |
服务计划/读取 | 阅读云电脑的服务计划。 |
SharedUseLicenseUsageReports/Read | 阅读 Windows 365 云电脑共享使用许可证使用情况相关报告。 |
SharedUseServicePlans/Read | 读取云电脑共享使用服务计划的属性。 |
快照/读取 | 阅读云电脑的快照。 |
快照/共享 | 共享云电脑的快照。 |
支持的区域/读取 | 阅读云电脑支持的区域。 |
用户设置/分配 | 将云电脑用户设置分配给用户组。 |
用户设置/创建 | 创建新的云电脑用户设置。 |
用户设置/删除 | 删除云电脑用户设置。 |
用户设置/读取 | 读取云电脑用户设置的属性。 |
用户设置/更新 | 更新云电脑用户设置的属性。 |
要创建预配策略,管理员需要以下权限:
- 预配策略/读取
- 预配策略/创建
- Azure 网络连接/读取
- 支持的区域/读取
- 设备映像/读取
迁移现有权限
对于 2023 年 11 月 26 日之前创建的 ANC,网络参与者角色用于对资源组和虚拟网络应用权限。 若要应用于新的 RBAC 角色,可以重试 ANC 运行状况检查。 必须手动删除现有角色。
若要手动删除现有角色并添加新角色,请参阅下表,了解每个 Azure 资源上使用的现有角色。 在删除现有角色之前,请确保已分配更新的角色。
Azure 资源 | 2023 年 11 月 26 日之前的现有角色 () | 2023 年 11 月 26 日之后更新的角色 () |
---|---|---|
资源组 | 网络参与者 | Windows 365 网络接口参与者 |
虚拟网络 | 网络参与者 | Windows 365 网络用户 |
订阅 | 读者 | 读者 |
有关从 Azure 资源中删除角色分配的更多详细信息,请参阅 删除 Azure 角色分配。
作用域标记
Windows 365 对范围标记的支持以 公共预览版提供。
对于 RBAC,角色只是公式的一部分。 虽然角色可以很好地定义一组权限,但范围标记有助于定义组织资源的可见性。 将租户组织为将用户范围限定为某些层次结构、地理区域、业务部门等时,作用域标记最有用。
使用 Intune 创建和管理范围标记。 有关如何创建和管理范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。
在 Windows 365 中,范围标记可以应用于以下资源:
- 预配策略
- AZURE 网络连接 (ANC)
- 云电脑
- 自定义映像
- Windows 365 RBAC 角色分配
若要确保 Intune 拥有 的所有设备 列表和 Windows 365 拥有 的所有云电脑 列表都基于范围显示相同的云电脑,请在创建范围标记和预配策略后执行以下步骤:
- 使用 enrollmentProfileName 等于所创建的预配策略的确切名称的规则创建Microsoft Entra ID 动态设备组。
- 将创建的范围标记分配给动态设备组。
- 预配云电脑并将其注册到 Intune 后,“所有设备”列表和“所有云电脑”列表应显示相同的云电脑。
若要让作用域管理员查看为其分配的范围标记及其范围内的对象,必须为其分配以下角色之一:
- Intune 只读
- 云电脑阅读器/管理员
- 具有类似权限的自定义角色。
公共预览版期间的图形 API 批量操作和范围标记
在范围标记公共预览版的持续时间内,当直接从图形 API 调用时,以下批量操作不遵循范围标记:
- 还原
- 重新预配
- 将云电脑置于审查之下
- 删除正在审查的云电脑
- 共享云电脑还原点到存储
- 创建云电脑手动还原点