Řízení přístupu na základě role
Řízení přístupu na základě role (RBAC) pomáhá spravovat, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky může dělat. Role ke cloudovým počítačům můžete přiřadit pomocí Centra pro správu Microsoft Intune.
Když uživatel s rolí Vlastník předplatného nebo Správce uživatelských přístupů vytvoří, upraví nebo opakuje ANC, Windows 365 transparentně přiřadí požadované předdefinované role následující prostředky (pokud ještě nejsou přiřazené):
- Předplatné Azure
- Skupina prostředků
- Virtuální síť přidružená k ANC
Pokud máte jenom roli Čtenář předplatného, nejsou tato přiřazení automatická. Místo toho musíte ručně nakonfigurovat požadované předdefinované role pro aplikaci Windows First Party v Azure.
Další informace najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.
Role správce windows 365
Systém Windows 365 podporuje roli Správce systému Windows 365, která je k dispozici pro přiřazení rolí prostřednictvím Centra pro správu Microsoftu a Microsoft Entra ID. S touto rolí můžete spravovat cloudové počítače s Windows 365 pro edice Enterprise i Business. Role Správce systému Windows 365 může udělit více vymezených oprávnění než jiné role Microsoft Entra, jako je globální správce. Další informace najdete v tématu Předdefinované role Microsoft Entra.
Předdefinované role cloudových počítačů
Pro Cloud PC jsou k dispozici následující předdefinované role:
Správce cloudových počítačů
Spravuje všechny aspekty cloudových počítačů, například:
- Správa imagí operačního systému
- Konfigurace síťového připojení Azure
- Zajišťování
Cloud PC Reader
Zobrazí data cloudových počítačů dostupná v uzlu Windows 365 v Microsoft Intune, ale nemůžou provádět změny.
Přispěvatel síťového rozhraní windows 365
Role Přispěvatel síťového rozhraní windows 365 je přiřazená ke skupině prostředků přidružené k síťovému připojení Azure (ANC). Tato role umožňuje službě Windows 365 vytvořit a připojit se k síťové kartě a spravovat nasazení ve skupině prostředků. Tato role je kolekcí minimálních oprávnění potřebných k provozu Windows 365 při použití ANC.
| Typ akce | Oprávnění |
|---|---|
| Akce | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Žádné |
| dataActions | Žádné |
| notDataActions | Žádné |
Uživatel sítě ve Windows 365
Role Windows 365 Network User je přiřazená virtuální síti přidružené k ANC. Tato role umožňuje službě Windows 365 připojit síťovou kartu k virtuální síti. Tato role je kolekcí minimálních oprávnění potřebných k provozu Windows 365 při použití ANC.
| Typ akce | Oprávnění |
|---|---|
| Akce | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Žádné |
| dataActions | Žádné |
| notDataActions | Žádné |
Vlastní role
Vlastní role pro Windows 365 můžete vytvořit v Centru pro správu Microsoft Intune. Další informace najdete v tématu Vytvoření vlastní role.
Při vytváření vlastních rolí jsou k dispozici následující oprávnění.
| Povolení | Popis |
|---|---|
| Auditovat data / Číst | Přečtěte si protokoly auditu prostředků Cloud PC ve vašem tenantovi. |
| Síťová připojení Azure / Vytvoření | Vytvořte místní připojení pro zřizování cloudových počítačů. K vytvoření místního připojení se také vyžaduje role vlastníka předplatného nebo správce přístupu uživatelů Azure. |
| Síťová připojení Azure / Odstranění | Odstraňte konkrétní místní připojení. Připomenutí: Nemůžete odstranit používané připojení. Role vlastníka předplatného nebo správce přístupu uživatelů Azure se také vyžaduje k odstranění místního připojení. |
| Síťová připojení Azure / Čtení | Přečtěte si vlastnosti místních připojení. |
| Síťová připojení Azure / Aktualizace | Aktualizujte vlastnosti konkrétního místního připojení. K aktualizaci místního připojení se také vyžaduje role vlastníka předplatného nebo správce přístupu uživatelů Azure. |
| Síťová připojení Azure / RunHealthChecks | Spusťte kontroly stavu u konkrétního místního připojení. Ke spouštění kontrol stavu se také vyžaduje role vlastníka předplatného nebo správce uživatelských přístupů Azure. |
| Síťová připojení Azure / UpdateAdDomainPassword | Aktualizujte heslo domény Active Directory pro konkrétní místní připojení. |
| Cloudové počítače / čtení | Přečtěte si vlastnosti cloudových počítačů ve vašem tenantovi. |
| Cloudové počítače / Opětovné zřízení | Opětovné zřízení cloudových počítačů ve vašem tenantovi |
| Cloudové počítače / Změna velikosti | Změňte velikost cloudových počítačů ve vašem tenantovi. |
| Cloudové počítače / EndGracePeriod | Ukončit období odkladu pro cloudové počítače ve vašem tenantovi |
| Cloudové počítače / Obnovení | Obnovte cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / restartování | Restartujte cloudové počítače ve svém tenantovi. |
| Cloudové počítače / Přejmenování | Přejmenujte cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / Řešení potíží | Řešení potíží s cloudovými počítači ve vašem tenantovi |
| Cloudové počítače / ChangeUserAccountType | Změňte typ uživatelského účtu mezi místním správcem a standardním uživatelem cloudového počítače ve vašem tenantovi. |
| Cloudové počítače / PlaceUnderReview | Nastavte ve svém tenantovi kontrolu cloudových počítačů. |
| Cloudové počítače / RetryPartnerAgentInstallation | Pokuste se přeinstalovat agenty partnera strany v cloudovém počítači, který se nepodařilo nainstalovat. |
| Cloudové počítače / ApplyCurrentProvisioningPolicy | Použijte aktuální konfiguraci zásad zřizování na cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / CreateSnapshot | Ručně vytvořte snímek pro cloudové počítače ve vašem tenantovi. |
| Image zařízení / Vytvořit | Nahrajte vlastní image operačního systému, kterou můžete později zřídit na cloudových počítačích. |
| Image zařízení / Odstranění | Odstraňte image operačního systému z Cloud PC. |
| Obrázky zařízení / Čtení | Přečtěte si vlastnosti imagí zařízení Cloud PC. |
| Nastavení externího partnera / čtení | Přečtěte si vlastnosti nastavení externího partnera pro Cloud PC. |
| Nastavení externího partnera / Vytvoření | Vytvořte nové nastavení externího partnera Cloud PC. |
| Nastavení externího partnera / aktualizace | Aktualizujte vlastnosti nastavení externího partnera Cloud PC. |
| Nastavení organizace / čtení | Přečtěte si vlastnosti nastavení organizace cloudových počítačů. |
| Nastavení organizace / Aktualizace | Aktualizujte vlastnosti nastavení organizace cloudových počítačů. |
| Sestavy výkonu / Čtení | Přečtěte si sestavy týkající se vzdálených připojení ke cloudovým počítačům s Windows 365. |
| Zásady zřizování / Přiřazení | Přiřaďte skupinám uživatelů zásady zřizování Cloud PC. |
| Zásady zřizování / Vytvoření | Vytvořte novou zásadu zřizování Cloud PC. |
| Zásady zřizování/odstranění | Odstraňte zásadu zřizování Cloud PC. Nemůžete odstranit zásadu, která se používá. |
| Zásady zřizování / čtení | Přečtěte si vlastnosti zásad zřizování cloudových počítačů. |
| Zásady zřizování / Aktualizace | Aktualizujte vlastnosti zásad zřizování cloudových počítačů. |
| Sestavy/ Export | Export sestav souvisejících s Windows 365 |
| Přiřazení rolí / Vytvoření | Vytvořte nové přiřazení role Cloud PC. |
| Přiřazení rolí / aktualizace | Aktualizujte vlastnosti konkrétního přiřazení role cloudového počítače. |
| Přiřazení rolí/ odstranění | Odstraňte konkrétní přiřazení role cloudového počítače. |
| Role/čtení | Umožňuje zobrazit oprávnění, definice rolí a přiřazení rolí pro roli cloudových počítačů. Zobrazení operace nebo akce, kterou je možné provést s prostředkem (nebo entitou) cloudového počítače. |
| Role/Vytvoření | Vytvořte roli pro Cloud PC. Operace vytváření je možné provádět s prostředkem (nebo entitou) cloudového počítače. |
| Role/aktualizace | Aktualizace role pro Cloud PC Operace aktualizací je možné provádět na prostředku (nebo entitě) cloudového počítače. |
| Role/odstranění | Odstraňte roli pro Cloud PC. Operace odstranění je možné provádět na prostředku (nebo entitě) cloudového počítače. |
| Plán/čtení služby | Přečtěte si plány služby Cloud PC. |
| SharedUseLicenseUsageReports/Read | Přečtěte si sestavy týkající se využití licencí se sdíleným využitím windows 365 cloudových počítačů. |
| SharedUseServicePlans/Read | Přečtěte si vlastnosti Cloud PC Shared Use Service Plans. |
| Snímek/čtení | Přečtěte si snímek cloudového počítače. |
| Snímek/sdílená složka | Sdílejte snímek počítače Cloud PC. |
| Podporovaná oblast/ čtení | Přečtěte si podporované oblasti cloudových počítačů. |
| Uživatelská nastavení/přiřazení | Přiřaďte uživatelské nastavení Cloud PC skupinám uživatelů. |
| Uživatelská nastavení/ Vytvoření | Vytvořte nové uživatelské nastavení Cloud PC. |
| Uživatelská nastavení/odstranění | Odstraňte uživatelské nastavení Cloud PC. |
| Uživatelská nastavení/ čtení | Přečtěte si vlastnosti nastavení uživatele Cloud PC. |
| Uživatelská nastavení/aktualizace | Aktualizujte vlastnosti uživatelského nastavení Cloud PC. |
K vytvoření zásad zřizování potřebuje správce následující oprávnění:
- Zásady zřizování / čtení
- Zásady zřizování / Vytvoření
- Síťová připojení Azure / Čtení
- Podporovaná oblast/ čtení
- Obrázky zařízení / Čtení
Migrace existujících oprávnění
U anc vytvořených před 26. listopadem 2023 se role Přispěvatel sítě používá k použití oprávnění pro skupinu prostředků i virtuální síť. Pokud chcete použít nové role RBAC, můžete zkusit znovu kontrolu stavu ANC. Existující role je potřeba odebrat ručně.
Pokud chcete ručně odebrat existující role a přidat nové role, projděte si následující tabulku pro existující role použité v jednotlivých prostředcích Azure. Před odebráním existujících rolí se ujistěte, že jsou přiřazené aktualizované role.
| Prostředek Azure | Existující role (do 26. listopadu 2023) | Aktualizovaná role (po 26. listopadu 2023) |
|---|---|---|
| Skupina prostředků | Přispěvatel sítě | Přispěvatel síťového rozhraní windows 365 |
| Virtuální síť | Přispěvatel sítě | Uživatel sítě ve Windows 365 |
| Předplatné | Čtenář | Čtenář |
Další podrobnosti o odebrání přiřazení role z prostředku Azure najdete v tématu Odebrání přiřazení rolí Azure.
Značky oboru
Podpora značek oborů ve Windows 365 je ve verzi Public Preview.
V případě řízení přístupu na základě role jsou pouze součástí rovnice. I když role dobře fungují při definování sady oprávnění, značky oboru pomáhají definovat viditelnost prostředků vaší organizace. Značky oboru jsou nejužitečnější při uspořádání tenanta tak, aby uživatelé měli vymezený na určité hierarchie, geografické oblasti, obchodní jednotky atd.
Pomocí Intune můžete vytvářet a spravovat značky oboru. Další informace o vytváření a správě značek oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.
Ve Windows 365 je možné značky oboru použít u následujících prostředků:
- Zásady zřizování
- Síťová připojení Azure (ANC)
- Cloudové počítače
- Vlastní image
- Přiřazení rolí RBAC ve Windows 365
Pokud chcete zajistit, aby seznam Všechna zařízení vlastněná Intune i všechny cloudové počítače vlastněné Windows 365 zobrazovaly stejné cloudové počítače v závislosti na rozsahu, po vytvoření značek oboru a zásad zřizování postupujte takto:
- Vytvořte dynamickou skupinu zařízení Microsoft Entra ID s pravidlem, které enrollmentProfileName odpovídá přesnému názvu vytvořené zásady zřizování.
- Přiřaďte vytvořenou značku oboru dynamické skupině zařízení.
- Po zřízení a registraci cloudových počítačů v Intune by se v seznamu Všechna zařízení i všechny cloudové počítače měly zobrazovat stejné cloudové počítače.
Aby správci s vymezeným oborem mohli zobrazit, které značky oboru jsou jim přiřazeny a jaké objekty v rámci jejich oboru mají, musí mít přiřazenou jednu z následujících rolí:
- Intune jen pro čtení
- Čtenář/správce cloudových počítačů
- Vlastní role s podobnými oprávněními
Hromadné akce a značky oboru v rozhraní Graph API během verze Public Preview
Po dobu trvání značek oboru ve verzi Public Preview následující hromadné akce neresektuje značky oboru, pokud jsou volány přímo z rozhraní Graph API:
- Obnovení
- Opětovné zřízení
- Kontrola cloudových počítačů
- Odebrání cloudových počítačů pod kontrolou
- Sdílení bodu obnovení cloudových počítačů s úložištěm
- Vytvoření bodu ručního obnovení v Cloud PC