Řízení přístupu na základě role
Řízení přístupu na základě role (RBAC) pomáhá spravovat, kdo má přístup k prostředkům vaší organizace a co s těmito prostředky může dělat. Role ke cloudovým počítačům můžete přiřadit pomocí Centra pro správu Microsoft Intune.
Když uživatel s rolí Vlastník předplatného nebo Správce uživatelských přístupů vytvoří, upraví nebo opakuje ANC, Windows 365 transparentně přiřadí požadované předdefinované role následující prostředky (pokud ještě nejsou přiřazené):
- Předplatné Azure
- Skupina prostředků
- Virtuální síť přidružená k ANC
Pokud máte jenom roli Čtenář předplatného, nejsou tato přiřazení automatická. Místo toho musíte ručně nakonfigurovat požadované předdefinované role pro aplikaci Windows First Party v Azure.
Další informace najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.
role správce Windows 365
Windows 365 podporuje roli správce Windows 365, která je k dispozici pro přiřazení rolí prostřednictvím centra Microsoft Správa Center a Microsoft Entra ID. S touto rolí můžete spravovat Windows 365 cloudové počítače pro edice Enterprise i Business. Role správce Windows 365 může udělit více oprávnění s vymezeným oborem než jiné role Microsoft Entra, jako je globální správce. Další informace najdete v tématu Microsoft Entra předdefinovaných rolí.
Předdefinované role cloudových počítačů
Pro Cloud PC jsou k dispozici následující předdefinované role:
Správce cloudových počítačů
Spravuje všechny aspekty cloudových počítačů, například:
- Správa imagí operačního systému
- Konfigurace síťového připojení Azure
- Zajišťování
Cloud PC Reader
Zobrazí data Cloud PC dostupná v uzlu Windows 365 v Microsoft Intune, ale nemůže provádět změny.
Přispěvatel síťového rozhraní Windows 365
Role přispěvatele síťového rozhraní Windows 365 je přiřazená ke skupině prostředků přidružené k síťovému připojení Azure (ANC). Tato role umožňuje službě Windows 365 vytvořit síťové rozhraní a připojit se k ní a spravovat nasazení ve skupině prostředků. Tato role je kolekcí minimálních oprávnění potřebných k provozu Windows 365 při použití ANC.
| Typ akce | Oprávnění |
|---|---|
| Akce | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Žádné |
| dataActions | Žádné |
| notDataActions | Žádné |
uživatel sítě Windows 365
K virtuální síti přidružené k ANC je přiřazena role Windows 365 Network User( Uživatel sítě). Tato role umožňuje službě Windows 365 připojit síťové rozhraní k virtuální síti. Tato role je kolekcí minimálních oprávnění potřebných k provozu Windows 365 při použití ANC.
| Typ akce | Oprávnění |
|---|---|
| Akce | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Žádné |
| dataActions | Žádné |
| notDataActions | Žádné |
Vlastní role
Vlastní role pro Windows 365 můžete vytvořit v Centru pro správu Microsoft Intune. Další informace najdete v tématu Vytvoření vlastní role.
Při vytváření vlastních rolí jsou k dispozici následující oprávnění.
| Povolení | Popis |
|---|---|
| Auditovat data / Číst | Přečtěte si protokoly auditu prostředků Cloud PC ve vašem tenantovi. |
| Azure Network Connections/ Vytvoření | Vytvořte místní připojení pro zřizování cloudových počítačů. K vytvoření místního připojení se také vyžaduje role vlastníka předplatného nebo správce přístupu uživatelů Azure. |
| Azure Network Connections/Odstranit | Odstraňte konkrétní místní připojení. Připomenutí: Nemůžete odstranit používané připojení. Role vlastníka předplatného nebo správce přístupu uživatelů Azure se také vyžaduje k odstranění místního připojení. |
| Azure Network Connections/čtení | Přečtěte si vlastnosti místních připojení. |
| Azure Network Connections/Update | Aktualizujte vlastnosti konkrétního místního připojení. K aktualizaci místního připojení se také vyžaduje role vlastníka předplatného nebo správce přístupu uživatelů Azure. |
| Azure Network Connections/RunHealthChecks | Spusťte kontroly stavu u konkrétního místního připojení. Ke spouštění kontrol stavu se také vyžaduje role vlastníka předplatného nebo správce uživatelských přístupů Azure. |
| Azure Network Connections/UpdateAdDomainPassword | Aktualizujte heslo domény Active Directory pro konkrétní místní připojení. |
| Cloudové počítače / čtení | Přečtěte si vlastnosti cloudových počítačů ve vašem tenantovi. |
| Cloudové počítače / Opětovné zřízení | Opětovné zřízení cloudových počítačů ve vašem tenantovi |
| Cloudové počítače / Změna velikosti | Změňte velikost cloudových počítačů ve vašem tenantovi. |
| Cloudové počítače / EndGracePeriod | Ukončit období odkladu pro cloudové počítače ve vašem tenantovi |
| Cloudové počítače / Obnovení | Obnovte cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / restartování | Restartujte cloudové počítače ve svém tenantovi. |
| Cloudové počítače / Přejmenování | Přejmenujte cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / Řešení potíží | Řešení potíží s cloudovými počítači ve vašem tenantovi |
| Cloudové počítače / ChangeUserAccountType | Změňte typ uživatelského účtu mezi místním správcem a standardním uživatelem cloudového počítače ve vašem tenantovi. |
| Cloudové počítače / PlaceUnderReview | Nastavte ve svém tenantovi kontrolu cloudových počítačů. |
| Cloudové počítače / RetryPartnerAgentInstallation | Pokuste se přeinstalovat agenty partnera strany v cloudovém počítači, který se nepodařilo nainstalovat. |
| Cloudové počítače / ApplyCurrentProvisioningPolicy | Použijte aktuální konfiguraci zásad zřizování na cloudové počítače ve vašem tenantovi. |
| Cloudové počítače / CreateSnapshot | Ručně vytvořte snímek pro cloudové počítače ve vašem tenantovi. |
| Image zařízení / Vytvořit | Nahrajte vlastní image operačního systému, kterou můžete později zřídit na cloudových počítačích. |
| Image zařízení / Odstranění | Odstraňte image operačního systému z Cloud PC. |
| Obrázky zařízení / Čtení | Přečtěte si vlastnosti imagí zařízení Cloud PC. |
| Nastavení externího partnera / čtení | Přečtěte si vlastnosti nastavení externího partnera pro Cloud PC. |
| Nastavení externího partnera / Vytvoření | Vytvořte nové nastavení externího partnera Cloud PC. |
| Nastavení externího partnera / aktualizace | Aktualizujte vlastnosti nastavení externího partnera Cloud PC. |
| Nastavení organizace / čtení | Přečtěte si vlastnosti nastavení organizace cloudových počítačů. |
| Nastavení organizace / Aktualizace | Aktualizujte vlastnosti nastavení organizace cloudových počítačů. |
| Sestavy výkonu / Čtení | Přečtěte si Windows 365 Cloud PC sestavách souvisejících se vzdálenými připojeními. |
| Zásady zřizování / Přiřazení | Přiřaďte skupinám uživatelů zásady zřizování Cloud PC. |
| Zásady zřizování / Vytvoření | Vytvořte novou zásadu zřizování Cloud PC. |
| Zásady zřizování/odstranění | Odstraňte zásadu zřizování Cloud PC. Nemůžete odstranit zásadu, která se používá. |
| Zásady zřizování / čtení | Přečtěte si vlastnosti zásad zřizování cloudových počítačů. |
| Zásady zřizování / Aktualizace | Aktualizujte vlastnosti zásad zřizování cloudových počítačů. |
| Sestavy/ Export | Export Windows 365 souvisejících sestav. |
| Přiřazení rolí / Vytvoření | Vytvořte nové přiřazení role Cloud PC. |
| Přiřazení rolí / aktualizace | Aktualizujte vlastnosti konkrétního přiřazení role cloudového počítače. |
| Přiřazení rolí/ odstranění | Odstraňte konkrétní přiřazení role cloudového počítače. |
| Role/čtení | Umožňuje zobrazit oprávnění, definice rolí a přiřazení rolí pro roli cloudových počítačů. Zobrazení operace nebo akce, kterou je možné provést s prostředkem (nebo entitou) cloudového počítače. |
| Role/Vytvoření | Vytvořte roli pro Cloud PC. Operace vytváření je možné provádět s prostředkem (nebo entitou) cloudového počítače. |
| Role/aktualizace | Aktualizace role pro Cloud PC Operace aktualizací je možné provádět na prostředku (nebo entitě) cloudového počítače. |
| Role/odstranění | Odstraňte roli pro Cloud PC. Operace odstranění je možné provádět na prostředku (nebo entitě) cloudového počítače. |
| Plán/čtení služby | Přečtěte si plány služby Cloud PC. |
| SharedUseLicenseUsageReports/Read | Přečtěte si sestavy týkající se využití licencí Windows 365 Cloud PC Sdílené použití. |
| SharedUseServicePlans/Read | Přečtěte si vlastnosti Cloud PC Shared Use Service Plans. |
| Snímek/čtení | Přečtěte si snímek cloudového počítače. |
| Snímek/sdílená složka | Sdílejte snímek počítače Cloud PC. |
| Podporovaná oblast/ čtení | Přečtěte si podporované oblasti cloudových počítačů. |
| Uživatelská nastavení/přiřazení | Přiřaďte uživatelské nastavení Cloud PC skupinám uživatelů. |
| Uživatelská nastavení/ Vytvoření | Vytvořte nové uživatelské nastavení Cloud PC. |
| Uživatelská nastavení/odstranění | Odstraňte uživatelské nastavení Cloud PC. |
| Uživatelská nastavení/ čtení | Přečtěte si vlastnosti nastavení uživatele Cloud PC. |
| Uživatelská nastavení/aktualizace | Aktualizujte vlastnosti uživatelského nastavení Cloud PC. |
K vytvoření zásad zřizování potřebuje správce následující oprávnění:
- Zásady zřizování / čtení
- Zásady zřizování / Vytvoření
- Azure Network Connections/čtení
- Podporovaná oblast/ čtení
- Obrázky zařízení / Čtení
Migrace existujících oprávnění
U řadičů ANC vytvořených před 26. listopadem 2023 se role Přispěvatel sítě používá k použití oprávnění pro skupinu prostředků i pro Virtual Network. Pokud chcete použít nové role RBAC, můžete zkusit znovu kontrolu stavu ANC. Existující role je potřeba odebrat ručně.
Pokud chcete ručně odebrat existující role a přidat nové role, projděte si následující tabulku pro existující role použité v jednotlivých prostředcích Azure. Před odebráním existujících rolí se ujistěte, že jsou přiřazené aktualizované role.
| Prostředek Azure | Existující role (do 26. listopadu 2023) | Aktualizovaná role (po 26. listopadu 2023) |
|---|---|---|
| Skupina prostředků | Přispěvatel sítě | Přispěvatel síťového rozhraní Windows 365 |
| Virtuální síť | Přispěvatel sítě | uživatel sítě Windows 365 |
| Předplatné | Čtenář | Čtenář |
Další podrobnosti o odebrání přiřazení role z prostředku Azure najdete v tématu Odebrání přiřazení rolí Azure.
Značky oboru
V případě řízení přístupu na základě role jsou pouze součástí rovnice. I když role dobře fungují při definování sady oprávnění, značky oboru pomáhají definovat viditelnost prostředků vaší organizace. Značky oboru jsou nejužitečnější při uspořádání tenanta tak, aby uživatelé měli vymezený na určité hierarchie, geografické oblasti, obchodní jednotky atd.
Pomocí Intune můžete vytvářet a spravovat značky oboru. Další informace o vytváření a správě značek oboru najdete v tématu Použití řízení přístupu na základě role (RBAC) a značek oboru pro distribuované IT.
V Windows 365 je možné značky oboru použít u následujících prostředků:
- Zásady zřizování
- Síťová připojení Azure (ANC)
- Cloudové počítače
- Vlastní image
- Windows 365 přiřazení rolí RBAC
Pokud chcete mít jistotu, že seznam Intune vlastněná Všechna zařízení i Windows 365 vlastněné cloudové počítače zobrazují stejné cloudové počítače v závislosti na rozsahu, po vytvoření značek oboru a zásad zřizování postupujte takto:
- Vytvořte Microsoft Entra ID dynamickou skupinu zařízení s pravidlem, které enrollmentProfileName odpovídá přesnému názvu vytvořené zásady zřizování.
- Přiřaďte vytvořenou značku oboru dynamické skupině zařízení.
- Po zřízení a registraci počítače Cloud PC do Intune by se v seznamu Všechna zařízení i v seznamu Všechny cloudové počítače měly zobrazovat stejné cloudové počítače.
Pokud do zásad zřizování přidáte nové značky oboru, nezapomeňte také přidat značky oboru do dynamické skupiny Intune. Toto přidání umožňuje zajistit, aby dynamická skupina dodržovala nové značky oboru. Zkontrolujte také všechny cloudové počítače, které můžou mít přidané jedinečné značky oboru, a ujistěte se, že jsou tam i po všech aktualizacích.
Aby Windows 365 mohli respektovat změny značek Intune oboru, synchronizují se tato data z Intune. Další informace najdete v tématu Ochrana osobních údajů, zákaznická data a zákaznický obsah v Windows 365.
Aby správci s vymezeným oborem mohli zobrazit, které značky oboru jsou jim přiřazeny a jaké objekty v rámci jejich oboru mají, musí mít přiřazenou jednu z následujících rolí:
- Intune jen pro čtení
- Čtenář/správce cloudových počítačů
- Vlastní role s podobnými oprávněními