役割ベースのアクセス制御
ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Microsoft Intune管理センターを使用して、クラウド PC のロールを割り当てることができます。
サブスクリプション所有者またはユーザー アクセス管理者ロールを持つユーザーが ANC を作成、編集、または再試行すると、Windows 365は、必要な組み込みロールに次のリソースを透過的に割り当てます (まだ割り当てられない場合)。
- Azure のサブスクリプション
- リソース グループ
- ANC に関連付けられている仮想ネットワーク
サブスクリプション閲覧者ロールしかない場合、これらの割り当ては自動ではありません。 代わりに、Azure の Windows ファースト パーティ アプリに必要な組み込みロールを手動で構成する必要があります。
詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。
Windows 365 管理者
Windows 365では、Microsoft 管理 センターとMicrosoft Entra IDを通じてロールの割り当てに使用できるWindows 365管理者ロールがサポートされます。 この役割を使用すると、Enterprise エディションと Business エディションの両方の Windows 365 クラウド PC を管理できます。 Windows 365管理者ロールは、グローバル管理者などの他のMicrosoft Entraロールよりも多くのスコープ付きアクセス許可を付与できます。 詳細については、「Microsoft Entra組み込みロール」を参照してください。
クラウド PC の組み込みロール
クラウド PC では、次の組み込みロールを使用できます。
クラウド PC 管理者
次のようなクラウド PC のすべての側面を管理します。
- OS イメージ管理
- Azure ネットワーク接続の構成
- プロビジョニング
クラウド PC リーダー
Microsoft IntuneのWindows 365 ノードで使用可能なクラウド PC データを表示しますが、変更することはできません。
Windows 365 ネットワーク インターフェイス共同作成者
Windows 365 ネットワーク インターフェイス共同作成者ロールは、Azure ネットワーク接続 (ANC) に関連付けられているリソース グループに割り当てられます。 このロールを使用すると、Windows 365 サービスは NIC を作成して参加させ、リソース グループ内のデプロイを管理できます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。
| アクションの種類 | アクセス許可 |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/read Microsoft.Network/locations/usages/read Microsoft.Resources/deploymentss/read Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationsMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Windows 365 ネットワーク ユーザー
Windows 365 ネットワーク ユーザー ロールは、ANC に関連付けられている仮想ネットワークに割り当てられます。 このロールにより、Windows 365 サービスは NIC を仮想ネットワークに参加させることができます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。
| アクションの種類 | アクセス許可 |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
カスタムの役割
管理センターでWindows 365のカスタム ロールMicrosoft Intune作成できます。 詳細については、「カスタム ロールの作成」を参照してください。
カスタム ロールを作成する場合は、次のアクセス許可を使用できます。
| アクセス許可 | 説明 |
|---|---|
| データの監査/読み取り | テナント内のクラウド PC リソースの監査ログを読み取ります。 |
| Azure Network Connections/Create | クラウド PC をプロビジョニングするためのオンプレミス接続をCreateします。 オンプレミス接続を作成するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。 |
| Azure Network Connections/Delete | 特定のオンプレミス接続を削除します。 リマインダー: 使用中の接続を削除することはできません。 オンプレミス接続を削除するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。 |
| Azure Network Connections/Read | オンプレミス接続のプロパティを読み取ります。 |
| Azure Network Connections/Update | 特定のオンプレミス接続のプロパティを更新します。 オンプレミス接続を更新するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。 |
| Azure Network Connections/RunHealthChecks | 特定のオンプレミス接続で正常性チェックを実行します。 正常性チェックを実行するには、サブスクリプション所有者またはユーザー アクセス管理者の Azure ロールも必要です。 |
| Azure Network Connections/UpdateAdDomainPassword | 特定のオンプレミス接続の Active Directory ドメイン パスワードを更新します。 |
| クラウド PC/読み取り | テナント内のクラウド PC のプロパティを読み取ります。 |
| クラウド PC/再プロビジョニング | テナント内のクラウド PC を再プロビジョニングします。 |
| クラウド PC/サイズ変更 | テナント内のクラウド PC のサイズを変更します。 |
| クラウド PC/EndGracePeriod | テナント内のクラウド PC の猶予期間を終了します。 |
| クラウド PC/復元 | テナント内のクラウド PC を復元します。 |
| クラウド PC/再起動 | テナント内のクラウド PC を再起動します。 |
| クラウド PC/名前の変更 | テナント内のクラウド PC の名前を変更します。 |
| クラウド PC/トラブルシューティング | テナント内のクラウド PC のトラブルシューティングを行います。 |
| クラウド PC/ChangeUserAccountType | ローカル管理者とテナント内のクラウド PC の標準ユーザーの間でユーザー アカウントの種類を変更します。 |
| クラウド PC/PlaceUnderReview | テナントで確認中のクラウド PC を設定します。 |
| クラウド PC/RetryPartnerAgentInstallation | インストールに失敗したクラウド PC にパーティ パートナー エージェントの再インストールを試みます。 |
| クラウド PC/ApplyCurrentProvisioningPolicy | テナント内のクラウド PC に現在のプロビジョニング ポリシー構成を適用します。 |
| クラウド PC/CreateSnapshot | テナントにクラウド PC 用のスナップショットを手動で作成します。 |
| デバイス イメージ/Create | クラウド PC で後でプロビジョニングできるカスタム OS イメージをアップロードします。 |
| デバイス イメージ/削除 | クラウド PC から OS イメージを削除します。 |
| デバイス イメージ/読み取り | クラウド PC デバイス イメージのプロパティを読み取ります。 |
| 外部パートナー設定/読み取り | クラウド PC 外部パートナー設定のプロパティを読み取ります。 |
| 外部パートナー設定/Create | 新しいクラウド PC 外部パートナー設定をCreateします。 |
| 外部パートナー設定/更新 | クラウド PC 外部パートナー設定のプロパティを更新します。 |
| 組織の設定/読み取り | Cloud PC organization設定のプロパティを読み取ります。 |
| 組織の設定/更新 | Cloud PC organization設定のプロパティを更新します。 |
| パフォーマンス レポート/読み取り | Windows 365 クラウド PCリモート接続関連レポートを読み取る。 |
| プロビジョニング ポリシー/割り当て | クラウド PC プロビジョニング ポリシーをユーザー グループに割り当てます。 |
| プロビジョニング ポリシー/Create | 新しいクラウド PC プロビジョニング ポリシーをCreateします。 |
| プロビジョニング ポリシー/削除 | クラウド PC プロビジョニング ポリシーを削除します。 使用中のポリシーは削除できません。 |
| プロビジョニング ポリシー/読み取り | クラウド PC プロビジョニング ポリシーのプロパティを読み取ります。 |
| プロビジョニング ポリシー/更新 | クラウド PC プロビジョニング ポリシーのプロパティを更新します。 |
| レポート/エクスポート | 関連するレポートWindows 365エクスポートします。 |
| ロールの割り当て/Create | 新しいクラウド PC ロールの割り当てをCreateします。 |
| ロールの割り当て/更新 | 特定のクラウド PC ロールの割り当てのプロパティを更新します。 |
| ロールの割り当て/削除 | 特定のクラウド PC ロールの割り当てを削除します。 |
| ロール/読み取り | クラウド PC ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 クラウド PC リソース (またはエンティティ) で実行できる操作またはアクションを表示します。 |
| ロール/作成 | クラウド PC のCreateロール。 Create操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| ロール/更新 | クラウド PC のロールを更新します。 更新操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| ロール/削除 | クラウド PC のロールを削除します。 削除操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| サービス プラン/読み取り | クラウド PC のサービス プランをお読みください。 |
| SharedUseLicenseUsageReports/Read | Windows 365 クラウド PC共有使用ライセンスの使用状況に関するレポートを読みます。 |
| SharedUseServicePlans/Read | クラウド PC 共有使用サービス プランのプロパティを読み取ります。 |
| スナップショット/読み取り | クラウド PC のスナップショットを読み取ります。 |
| スナップショット/共有 | クラウド PC のスナップショットを共有します。 |
| サポートされているリージョン/読み取り | クラウド PC のサポートされているリージョンを読み取ります。 |
| ユーザー設定/割り当て | クラウド PC ユーザー設定をユーザー グループに割り当てます。 |
| ユーザー設定/Create | 新しいクラウド PC ユーザー設定をCreateします。 |
| ユーザー設定/削除 | クラウド PC ユーザー設定を削除します。 |
| ユーザー設定/読み取り | クラウド PC ユーザー設定のプロパティを読み取ります。 |
| ユーザー設定/更新 | クラウド PC ユーザー設定のプロパティを更新します。 |
プロビジョニングポリシーを作成するには、管理者は次のアクセス許可が必要です。
- プロビジョニング ポリシー/読み取り
- プロビジョニング ポリシー/Create
- Azure Network Connections/Read
- サポートされているリージョン/読み取り
- デバイス イメージ/読み取り
既存のアクセス許可の移行
2023 年 11 月 26 日より前に作成された ANC の場合、ネットワーク共同作成者ロールを使用して、リソース グループとVirtual Networkの両方にアクセス許可を適用します。 新しい RBAC ロールに適用するには、ANC 正常性チェックを再試行します。 既存のロールは手動で削除する必要があります。
既存のロールを手動で削除し、新しいロールを追加するには、各 Azure リソースで使用されている既存のロールについて、次の表を参照してください。 既存のロールを削除する前に、更新されたロールが割り当てられていることを確認してください。
| Azure リソース | 既存のロール (2023 年 11 月 26 日より前) | ロールの更新 (2023 年 11 月 26 日以降) |
|---|---|---|
| リソース グループ | ネットワーク共同作成者 | Windows 365 ネットワーク インターフェイス共同作成者 |
| 仮想ネットワーク | ネットワーク共同作成者 | Windows 365 ネットワーク ユーザー |
| サブスクリプション | Reader | Reader |
Azure リソースからロールの割り当てを削除する方法の詳細については、「Azure ロールの割り当てを削除する」を参照してください。
スコープ タグ
RBAC の場合、ロールは数式の一部にすぎません。 ロールは一連のアクセス許可を定義するのに役立ちますが、スコープ タグはorganizationのリソースの可視性を定義するのに役立ちます。 スコープ タグは、特定の階層、地理的な地域、部署などを対象にユーザーを対象にするようにテナントを整理する場合に最も役立ちます。
Intuneを使用して、スコープ タグを作成および管理します。 スコープ タグの作成方法と管理方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。
Windows 365では、スコープ タグを次のリソースに適用できます。
- プロビジョニング ポリシー
- Azure ネットワーク接続 (ANC)
- クラウド PC
- カスタム イメージ
- RBAC ロールの割り当てをWindows 365する
Intune所有のすべてのデバイスの一覧とWindows 365所有のすべてのクラウド PC の両方の一覧に、スコープに基づいて同じクラウド PC が表示されるようにするには、スコープ タグとプロビジョニング ポリシーを作成した後、次の手順に従います。
- enrollmentProfileName が作成されたプロビジョニング ポリシーの正確な名前と等しいルールを使用して、Microsoft Entra ID動的デバイス グループをCreateします。
- 作成したスコープ タグを動的デバイス グループに割り当てます。
- クラウド PC がプロビジョニングされ、Intuneに登録されると、[すべてのデバイス] リストと [すべてのクラウド PC] の両方の一覧に同じクラウド PC が表示されます。
スコープ管理者が割り当てられているスコープ タグとそのスコープ内のオブジェクトを表示できるようにするには、次のいずれかのロールを割り当てる必要があります。
- 読み取り専用Intune
- クラウド PC 閲覧者/管理者
- 同様のアクセス許可を持つカスタム ロール。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示