Toegangsbeheer op basis van rollen
Met op rollen gebaseerd toegangsbeheer (RBAC) kunt u beheren wie toegang heeft tot de resources van uw organisatie en wat ze met die resources kunnen doen. U kunt rollen toewijzen voor uw cloud-pc's met behulp van het Microsoft Intune-beheercentrum.
Wanneer een gebruiker met de rol Abonnementseigenaar of Beheerder voor gebruikerstoegang een ANC maakt, bewerkt of opnieuw probeert, wijst Windows 365 de vereiste ingebouwde rollen transparant de volgende resources toe (als deze nog niet zijn toegewezen):
- Azure-abonnement
- Resourcegroep
- Virtueel netwerk dat is gekoppeld aan de ANC
Als u alleen de rol Abonnementslezer hebt, zijn deze toewijzingen niet automatisch. In plaats daarvan moet u de vereiste ingebouwde rollen handmatig configureren voor de Windows First Party-app in Azure.
Zie Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie.
Windows 365 beheerdersrol
Windows 365 ondersteunt de rol Windows 365 Administrator die beschikbaar is voor roltoewijzing via het Microsoft Beheer Center en Microsoft Entra ID. Met deze rol kunt u Windows 365 Cloud-pc's beheren voor zowel Enterprise- als Business-edities. De rol Windows 365 Beheerder kan meer machtigingen binnen het bereik verlenen dan andere Microsoft Entra rollen, zoals Globale beheerder. Zie ingebouwde rollen Microsoft Entra voor meer informatie.
Ingebouwde cloud-pc-rollen
De volgende ingebouwde rollen zijn beschikbaar voor cloud-pc's:
Cloud-pc-beheerder
Beheert alle aspecten van cloud-pc's, zoals:
- Beheer van installatiekopieën van het besturingssysteem
- Configuratie van Azure-netwerkverbinding
- Provisioning
Cloud-pc-lezer
Hiermee worden cloud-pc-gegevens weergegeven die beschikbaar zijn in het knooppunt Windows 365 in Microsoft Intune, maar kunnen geen wijzigingen aanbrengen.
Windows 365 Network Interface-inzender
De rol Windows 365 Inzender netwerkinterface wordt toegewezen aan de resourcegroep die is gekoppeld aan de Azure-netwerkverbinding (ANC). Met deze rol kan de Windows 365-service de NIC maken en toevoegen en de implementatie in de resourcegroep beheren. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Resources/subscriptions/resourcegroups/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Windows 365-netwerkgebruiker
De rol Windows 365 Netwerkgebruiker wordt toegewezen aan het virtuele netwerk dat is gekoppeld aan de ANC. Met deze rol kan de Windows 365-service de NIC koppelen aan het virtuele netwerk. Deze rol is een verzameling van de minimale machtigingen die nodig zijn om Windows 365 te gebruiken bij het gebruik van een ANC.
| Actietype | Machtigingen |
|---|---|
| Acties | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnetten/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Geen |
| dataActions | Geen |
| notDataActions | Geen |
Aangepaste rollen
U kunt aangepaste rollen voor Windows 365 maken in Microsoft Intune beheercentrum. Zie een aangepaste rol Creatie voor meer informatie.
De volgende machtigingen zijn beschikbaar bij het maken van aangepaste rollen.
| Machtiging | Beschrijving |
|---|---|
| Gegevens controleren/lezen | Lees de auditlogboeken van cloud-pc-resources in uw tenant. |
| Azure Network Connections/Creatie | Creatie een on-premises verbinding voor het inrichten van cloud-pc's. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te maken. |
| Azure Network Connections/verwijderen | Een specifieke on-premises verbinding verwijderen. Herinnering: U kunt een verbinding die in gebruik is niet verwijderen. De Azure-rol abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding te verwijderen. |
| Azure Network Connections/lezen | Lees de eigenschappen van on-premises verbindingen. |
| Azure Network Connections/update | Werk de eigenschappen van een specifieke on-premises verbinding bij. De Azure-rol Van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om een on-premises verbinding bij te werken. |
| Azure Network Connections/RunHealthChecks | Statuscontroles uitvoeren op een specifieke on-premises verbinding. De Azure-rol van abonnementseigenaar of gebruikerstoegangsbeheerder is ook vereist om statuscontroles uit te voeren. |
| Azure Network Connections/UpdateAdDomainPassword | Active Directory-domeinwachtwoord van een specifieke on-premises verbinding bijwerken. |
| Cloud-pc's/lezen | Lees de eigenschappen van Cloud-pc's in uw tenant. |
| Cloud-pc's/opnieuw inrichten | Cloud-pc's in uw tenant opnieuw inrichten. |
| Cloud-pc's/formaat wijzigen | Wijzig het formaat van cloud-pc's in uw tenant. |
| Cloud-pc's/EndGracePeriod | Respijtperiode voor cloud-pc's in uw tenant beëindigen. |
| Cloud-pc's/herstellen | Cloud-pc's in uw tenant herstellen. |
| Cloud-pc's/opnieuw opstarten | Start Cloud-pc's opnieuw op in uw tenant. |
| Cloud-pc's/naam wijzigen | Wijzig de naam van cloud-pc's in uw tenant. |
| Cloud-pc's/problemen oplossen | Problemen met cloud-pc's in uw tenant oplossen. |
| Cloud-pc's/ChangeUserAccountType | Wijzig het gebruikersaccounttype tussen lokale beheerder en standaardgebruiker van een cloud-pc in uw tenant. |
| Cloud-pc's/PlaceUnderReview | Stel Cloud-pc's in die worden beoordeeld in uw tenant. |
| Cloud-pc's/RetryPartnerAgentInstallation | Poging om partneragents opnieuw te installeren op een cloud-pc die niet kan worden geïnstalleerd. |
| Cloud-pc's/ApplyCurrentProvisioningPolicy | De huidige configuratie van het inrichtingsbeleid toepassen op cloud-pc's in uw tenant. |
| Cloud-pc's/CreateSnapshot | Maak handmatig een momentopname voor cloud-pc's in uw tenant. |
| Apparaatinstallatiekopieën/Creatie | Upload een aangepaste installatiekopieën van het besturingssysteem die u later kunt inrichten op cloud-pc's. |
| Apparaatafbeeldingen/verwijderen | Een installatiekopieën van het besturingssysteem verwijderen van cloud-pc. |
| Apparaatafbeeldingen/lezen | Lees de eigenschappen van cloud-pc-apparaatinstallatiekopieën. |
| Instellingen van externe partner/lezen | Lees de eigenschappen van een instelling voor externe cloud-pc-partners. |
| Instellingen voor externe partner/Creatie | Creatie een nieuwe instelling voor externe cloud-pc-partners. |
| Instellingen van externe partner/update | Werk de eigenschappen van een instelling van een externe cloud-pc-partner bij. |
| Organisatie-instellingen/lezen | Lees de eigenschappen van de organisatie-instellingen voor cloud-pc's. |
| Organisatie-instellingen/bijwerken | Werk de eigenschappen van de organisatie-instellingen voor cloud-pc's bij. |
| Prestatierapporten/lezen | Lees de rapporten Windows 365 Cloud-pc externe verbindingen. |
| Inrichtingsbeleid/toewijzen | Wijs een inrichtingsbeleid voor cloud-pc's toe aan gebruikersgroepen. |
| Inrichtingsbeleid/Creatie | Creatie een nieuw inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/verwijderen | Een inrichtingsbeleid voor cloud-pc's verwijderen. U kunt een beleid dat wordt gebruikt niet verwijderen. |
| Inrichtingsbeleid/lezen | Lees de eigenschappen van het inrichtingsbeleid voor cloud-pc's. |
| Inrichtingsbeleid/update | Werk de eigenschappen van het inrichtingsbeleid voor cloud-pc's bij. |
| Rapporten/exporteren | Exporteer Windows 365 gerelateerde rapporten. |
| Roltoewijzingen/Creatie | Creatie een nieuwe cloud-pc-roltoewijzing. |
| Roltoewijzingen/bijwerken | Werk de eigenschappen van een specifieke cloud-pc-roltoewijzing bij. |
| Roltoewijzingen/verwijderen | Een specifieke roltoewijzing voor cloud-pc's verwijderen. |
| Rollen/lezen | Machtigingen, roldefinities en roltoewijzingen voor cloud-pc-rollen weergeven. Bewerking of actie weergeven die kan worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/Creatie | Creatie rol voor cloud-pc. Creatie bewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/bijwerken | Update-rol voor cloud-pc. Updatebewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Rollen/verwijderen | Verwijder de rol voor cloud-pc. Verwijderbewerkingen kunnen worden uitgevoerd op een cloud-pc-resource (of entiteit). |
| Serviceplan/lezen | Lees de serviceplannen van Cloud-pc. |
| SharedUseLicenseUsageReports/Read | Lees de Windows 365 Cloud-pc Rapporten met betrekking tot gedeeld gebruikslicentiegebruik. |
| SharedUseServicePlans/Read | Lees de eigenschappen van Cloud PC Shared Use Service Plans. |
| Momentopname/lezen | Lees de momentopname van cloud-pc. |
| Momentopname/delen | Deel de momentopname van cloud-pc. |
| Ondersteunde regio/lezen | Lees de ondersteunde regio's van Cloud-pc. |
| Gebruikersinstellingen/Toewijzen | Wijs een cloud-pc-gebruikersinstelling toe aan gebruikersgroepen. |
| Gebruikersinstellingen/Creatie | Creatie een nieuwe gebruikersinstelling voor cloud-pc's. |
| Gebruikersinstellingen/Verwijderen | Een cloud-pc-gebruikersinstelling verwijderen. |
| Gebruikersinstellingen/lezen | Lees de eigenschappen van een cloud-pc-gebruikersinstelling. |
| Gebruikersinstellingen/bijwerken | Werk de eigenschappen van een cloud-pc-gebruikersinstelling bij. |
Een beheerder heeft de volgende machtigingen nodig om een inrichtingsbeleid te maken:
- Inrichtingsbeleid/lezen
- Inrichtingsbeleid/Creatie
- Azure Network Connections/lezen
- Ondersteunde regio/lezen
- Apparaatafbeeldingen/lezen
Bestaande machtigingen migreren
Voor ANC's die vóór 26 november 2023 zijn gemaakt, wordt de rol Netwerkbijdrager gebruikt om machtigingen toe te passen op zowel de resourcegroep als Virtual Network. Als u wilt toepassen op de nieuwe RBAC-rollen, kunt u de ANC-statuscontrole opnieuw proberen. De bestaande rollen moeten handmatig worden verwijderd.
Als u de bestaande rollen handmatig wilt verwijderen en de nieuwe rollen wilt toevoegen, raadpleegt u de volgende tabel voor de bestaande rollen die voor elke Azure-resource worden gebruikt. Voordat u de bestaande rollen verwijdert, moet u ervoor zorgen dat de bijgewerkte rollen zijn toegewezen.
| Azure-resource | Bestaande rol (vóór 26 november 2023) | Bijgewerkte rol (na 26 november 2023) |
|---|---|---|
| Resourcegroep | Netwerkbijdrager | Windows 365 Network Interface-inzender |
| Virtueel netwerk | Netwerkbijdrager | Windows 365-netwerkgebruiker |
| Abonnement | Lezer | Lezer |
Zie Azure-roltoewijzingen verwijderen voor meer informatie over het verwijderen van een roltoewijzing uit een Azure-resource.
Bereiktags
Voor RBAC zijn rollen slechts een deel van de vergelijking. Hoewel rollen goed werken om een set machtigingen te definiëren, helpen bereiktags de zichtbaarheid van de resources van uw organisatie te definiëren. Bereiktags zijn het handigst bij het ordenen van uw tenant, zodat gebruikers zich kunnen richten op bepaalde hiërarchieën, geografische regio's, bedrijfseenheden, enzovoort.
Gebruik Intune om bereiktags te maken en te beheren. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over hoe bereiktags worden gemaakt en beheerd.
In Windows 365 kunnen bereiktags worden toegepast op de volgende resources:
- Inrichtingsbeleid
- Azure-netwerkverbindingen (ANC)
- Cloud-pc's
- Aangepaste afbeeldingen
- RBAC-roltoewijzingen Windows 365
Volg deze stappen na het maken van uw bereiktags en het inrichtingsbeleid om ervoor te zorgen dat zowel de lijst Alle apparaten in Intune-eigendom als alle cloud-pc's in Windows 365-eigendom dezelfde cloud-pc's weergeven op basis van het bereik:
- Creatie een Microsoft Entra ID dynamische apparaatgroep met de regel dat enrollmentProfileName gelijk is aan de exacte naam van het gemaakte inrichtingsbeleid.
- Wijs de gemaakte bereiktag toe aan de dynamische apparaatgroep.
- Nadat de cloud-pc is ingericht en ingeschreven bij Intune, moeten in zowel de lijst Alle apparaten als de lijst Alle cloud-pc's dezelfde cloud-pc's worden weergegeven.
Als u beheerders met een bereik wilt laten zien welke bereiktags aan hen zijn toegewezen en welke objecten binnen hun bereik vallen, moeten ze een van de volgende rollen toegewezen krijgen:
- Intune alleen-lezen
- Cloud-pc-lezer/beheerder
- Een aangepaste rol met vergelijkbare machtigingen.
Volgende stappen
Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune.
Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor