Contrôle d'accès basé sur les rôles
Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer qui a accès aux ressources de votre organisation et ce qu’ils peuvent faire avec ces ressources. Vous pouvez attribuer des rôles pour vos PC cloud à l’aide du centre d’administration Microsoft Intune.
Lorsqu’un utilisateur disposant du rôle Propriétaire de l’abonnement ou Administrateur de l’accès utilisateur crée, modifie ou retente un ANC, Windows 365 attribue en toute transparence les rôles intégrés requis sur votre abonnement Azure, votre groupe de ressources et votre réseau virtuel associés à l’ANC, s’ils ne sont pas déjà attribués. Si vous avez uniquement le rôle Lecteur d’abonnement, ces affectations ne sont pas effectuées automatiquement. Au lieu de cela, vous devez configurer manuellement les rôles intégrés requis pour l’application interne Windows dans Azure.
Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Rôle Administrateur Windows 365
Windows 365 prend en charge le rôle Administrateur Windows 365 disponible pour l’attribution de rôle via le Centre Administration Microsoft et l’ID Microsoft Entra. Grâce à ce rôle, vous pouvez gérer Windows pc cloud 365 pour les éditions Enterprise et Business. Le rôle Administrateur Windows 365 peut accorder des autorisations plus étendues que d’autres rôles Microsoft Entra comme Administrateur général. Pour plus d’informations, consultez Microsoft Entra rôles intégrés.
Rôles intégrés des PC cloud
Les rôles intégrés suivants sont disponibles pour pc cloud :
Administrateur de PC en cloud
Gère tous les aspects des PC cloud, comme :
- La gestion des images de système d’exploitation
- Configuration de la connexion au réseau Azure
- Approvisionnement
Lecteur PC en cloud
Affiche les données de PC cloud disponibles dans le nœud Windows 365 dans Microsoft Intune, mais ne peut pas apporter de modifications.
contributeur d’interface réseau Windows 365
Le rôle contributeur d’interface réseau Windows 365 est attribué au groupe de ressources associé à la connexion réseau Azure (ANC). Ce rôle permet au service Windows 365 de créer et de rejoindre la carte réseau et de gérer le déploiement dans le groupe de ressources. Ce rôle est une collection des autorisations minimales requises pour fonctionner Windows 365 lors de l’utilisation d’un ANC.
Type d’action | Autorisations |
---|---|
actions | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
notActions | Aucun |
dataActions | Aucun |
notDataActions | Aucun |
utilisateur réseau Windows 365
Le rôle d’utilisateur réseau Windows 365 est attribué au réseau virtuel associé à l’ANC. Ce rôle permet au service Windows 365 de joindre la carte réseau au réseau virtuel. Ce rôle est une collection des autorisations minimales requises pour fonctionner Windows 365 lors de l’utilisation d’un ANC.
Type d’action | Autorisations |
---|---|
actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
notActions | Aucun |
dataActions | Aucun |
notDataActions | Aucun |
Rôles personnalisés
Vous pouvez créer des rôles personnalisés pour Windows 365 dans Microsoft Intune centre d’administration. Pour plus d’informations, voir Créer un rôle personnalisé.
Les autorisations suivantes sont disponibles lors de la création de rôles personnalisés.
Autorisation | Description |
---|---|
Données d’audit/lecture | Lisez les journaux d’audit des ressources pc cloud dans votre locataire. |
Connexions réseau Azure/Créer | Créez une connexion locale pour l’approvisionnement de PC cloud. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour créer une connexion locale. |
Connexions réseau Azure/Supprimer | Supprimer une connexion locale spécifique. Rappel : Vous ne pouvez pas supprimer une connexion en cours d’utilisation. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour supprimer une connexion locale. |
Connexions réseau Azure/Lecture | Lisez les propriétés des connexions locales. |
Connexions réseau Azure/Mise à jour | Mettez à jour les propriétés d’une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour mettre à jour une connexion locale. |
Connexions réseau Azure/RunHealthChecks | Exécutez des vérifications d’intégrité sur une connexion locale spécifique. Le rôle Azure propriétaire de l’abonnement ou administrateur de l’accès utilisateur est également requis pour exécuter des vérifications d’intégrité. |
Connexions réseau Azure/UpdateAdDomainPassword | Mettre à jour le mot de passe de domaine Active Directory d’une connexion locale spécifique. |
PC cloud/Lecture | Lisez les propriétés des PC cloud dans votre locataire. |
PC cloud/reprovisionnement | Reprovisionner les PC cloud dans votre locataire. |
PC cloud/Redimensionnement | Redimensionnez les PC cloud dans votre locataire. |
PC cloud/EndGracePeriod | Fin de la période de grâce pour les PC cloud de votre locataire. |
PC cloud/Restauration | Restaurez les PC cloud dans votre locataire. |
PC cloud/Redémarrage | Redémarrez les PC cloud dans votre locataire. |
Pc cloud/Renommage | Renommez les PC cloud dans votre locataire. |
Pc cloud/Résolution des problèmes | Résoudre les problèmes liés aux PC cloud dans votre locataire. |
Pc cloud/ChangeUserAccountType | Modifiez le type de compte d’utilisateur entre l’administrateur local et l’utilisateur standard d’un PC cloud dans votre locataire. |
PC cloud/PlaceUnderReview | Définissez les PC cloud en cours de révision dans votre locataire. |
Pc cloud/RetryPartnerAgentInstallation | Tentez de réinstaller des agents partenaires tiers sur un PC cloud qui n’ont pas pu être installés. |
Pc cloud/ApplyCurrentProvisioningPolicy | Appliquez la configuration actuelle de la stratégie d’approvisionnement aux PC cloud de votre locataire. |
PC cloud/CreateSnapshot | Créez manuellement instantané pour les PC cloud dans votre locataire. |
Images d’appareil/Créer | Chargez une image de système d’exploitation personnalisée que vous pourrez provisionner ultérieurement sur des PC cloud. |
Images d’appareil/Suppression | Supprimer une image de système d’exploitation d’un PC cloud. |
Images d’appareil/Lecture | Lisez les propriétés des images d’appareil PC cloud. |
Paramètres du partenaire externe/lecture | Lisez les propriétés d’un paramètre partenaire externe pc cloud. |
Paramètres du partenaire externe/Créer | Créez un paramètre partenaire externe PC cloud. |
Paramètres/Mise à jour du partenaire externe | Mettez à jour les propriétés d’un paramètre partenaire externe de PC cloud. |
Paramètres de l’organisation/Lecture | Lisez les propriétés des paramètres de organization pc cloud. |
Paramètres de l’organisation/Mise à jour | Mettez à jour les propriétés des paramètres de organization pc cloud. |
Rapports sur les performances/Lecture | Lisez les rapports liés aux connexions à distance Windows 365 PC Cloud. |
Stratégies d’approvisionnement/Affectation | Affectez une stratégie d’approvisionnement de PC cloud à des groupes d’utilisateurs. |
Stratégies d’approvisionnement/Créer | Créez une stratégie d’approvisionnement de PC cloud. |
Stratégies d’approvisionnement/Suppression | Supprimer une stratégie d’approvisionnement de PC cloud. Vous ne pouvez pas supprimer une stratégie en cours d’utilisation. |
Stratégies d’approvisionnement/lecture | Lisez les propriétés d’une stratégie d’approvisionnement de PC cloud. |
Stratégies d’approvisionnement/Mise à jour | Mettez à jour les propriétés d’une stratégie d’approvisionnement de PC cloud. |
Rapports/Exportation | Exporter Windows 365 rapports connexes. |
Attributions de rôles/Créer | Créez une attribution de rôle PC cloud. |
Attributions de rôles/mise à jour | Mettez à jour les propriétés d’une attribution de rôle PC cloud spécifique. |
Attributions de rôles/Suppression | Supprimer une attribution de rôle PC cloud spécifique. |
Rôles/Lecture | Affichez les autorisations, les définitions de rôle et les attributions de rôles pour le rôle PC cloud. Afficher l’opération ou l’action qui peut être effectuée sur une ressource (ou une entité DE PC cloud). |
Rôles/Créer | Créer un rôle pour pc cloud. Les opérations de création peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
Rôles/Mise à jour | Mettre à jour le rôle pour le PC cloud. Les opérations de mise à jour peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
Rôles/Supprimer | Supprimer le rôle pour PC cloud. Les opérations de suppression peuvent être effectuées sur une ressource de PC cloud (ou une entité). |
Plan de service/Lecture | Lisez les plans de service du PC cloud. |
SharedUseLicenseUsageReports/Read | Lisez les Windows 365 PC Cloud rapports relatifs à l’utilisation des licences d’utilisation partagée. |
SharedUseServicePlans/Read | Lisez les propriétés des plans de service d’utilisation partagée de PC cloud. |
Instantané/Lecture | Lisez l’instantané du PC cloud. |
Instantané/Partage | Partagez l’instantané du PC cloud. |
Région/Lecture prises en charge | Lisez les régions prises en charge de CLOUD PC. |
Paramètres utilisateur/Affectation | Affectez un paramètre utilisateur de PC cloud à des groupes d’utilisateurs. |
Paramètres utilisateur/Créer | Créez un paramètre utilisateur pc cloud. |
Paramètres utilisateur/Supprimer | Supprimer un paramètre utilisateur d’un PC cloud. |
Paramètres utilisateur/Lecture | Lisez les propriétés d’un paramètre utilisateur d’un PC cloud. |
Paramètres utilisateur/Mise à jour | Mettez à jour les propriétés d’un paramètre utilisateur d’un PC cloud. |
Pour créer une stratégie d’approvisionnement, un administrateur a besoin des autorisations suivantes :
- Stratégies d’approvisionnement/lecture
- Stratégies d’approvisionnement/Créer
- Connexions réseau Azure/Lecture
- Région/Lecture prises en charge
- Images d’appareil/Lecture
Migration d’autorisations existantes
Pour les ANC créés avant le 26 novembre 2023, le rôle Contributeur réseau est utilisé pour appliquer des autorisations sur le groupe de ressources et sur Réseau virtuel. Pour appliquer aux nouveaux rôles RBAC, vous pouvez réessayer l’case activée d’intégrité ANC. Notez que les rôles existants doivent être supprimés manuellement.
Pour supprimer manuellement les rôles existants et ajouter les nouveaux rôles, reportez-vous au tableau suivant pour connaître les rôles existants utilisés sur chaque ressource Azure. Avant de supprimer les rôles existants, assurez-vous que les rôles mis à jour ont été attribués.
Ressource Azure | Rôle existant (avant le 26 novembre 2023) | Rôle mis à jour (après le 26 novembre 2023) |
---|---|---|
Groupe de ressources | Contributeur réseau | contributeur d’interface réseau Windows 365 |
Réseau virtuel | Contributeur réseau | utilisateur réseau Windows 365 |
Abonnement | Lecteur | Lecteur |
Pour plus d’informations sur la suppression d’une attribution de rôle d’une ressource Azure, consultez Supprimer les attributions de rôles Azure.
Étapes suivantes
Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Comprendre les définitions de rôle Azure
Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour