Rollenbasierte Zugriffssteuerung
Mithilfe der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) können Sie verwalten, wer Zugriff auf die Ressourcen Ihrer Organisation hat und wozu diese verwendet werden können. Sie können Rollen für Ihre Cloud-PCs über das Microsoft Intune Admin Center zuweisen.
Wenn ein Benutzer mit der Rolle Abonnementbesitzer oder Benutzerzugriffsadministrator einen ANC erstellt, bearbeitet oder wiederholt, weist Windows 365 den erforderlichen integrierten Rollen transparent die folgenden Ressourcen zu (sofern sie nicht bereits zugewiesen sind):
- Azure-Abonnement
- Ressourcengruppe
- Virtuelles Netzwerk, das dem ANC zugeordnet ist
Wenn Sie nur über die Rolle Abonnementleser verfügen, erfolgen diese Zuweisungen nicht automatisch. Stattdessen müssen Sie die erforderlichen integrierten Rollen für die Windows-Erstanbieter-App in Azure manuell konfigurieren.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) mit Microsoft Intune.
Windows 365-Administratorrolle
Windows 365 unterstützt die Windows 365-Administratorrolle, die über das Microsoft Admin Center und microsoft Entra ID für die Rollenzuweisung verfügbar ist. Mit dieser Rolle können Sie Windows 365 Cloud-PCs für die Enterprise- und Business-Editionen verwalten. Die Rolle "Windows 365-Administrator" kann mehr bereichsbezogene Berechtigungen als andere Microsoft Entra-Rollen wie globaler Administrator gewähren. Weitere Informationen finden Sie unter Integrierte Microsoft Entra-Rollen.
Integrierte Cloud-PC-Rollen
Die folgenden integrierten Rollen sind für Cloud-PC verfügbar:
Cloud-PC-Administrator
Verwaltet alle Aspekte von Cloud-PCs, z. B.:
- Verwaltung des Betriebssystemimage
- Konfiguration der Azure-Netzwerkverbindung
- Bereitstellung
Cloud PC Lesegerät
Zeigt Cloud-PC-Daten an, die im Windows 365-Knoten in Microsoft Intune verfügbar sind, können aber keine Änderungen vornehmen.
Mitwirkender an der Windows 365-Netzwerkschnittstelle
Die Rolle Mitwirkender an der Windows 365-Netzwerkschnittstelle wird der Ressourcengruppe zugewiesen, die der Azure-Netzwerkverbindung (ANC) zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC zu erstellen und der NIC beizutreten und die Bereitstellung in der Ressourcengruppe zu verwalten. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb von Windows 365 bei Verwendung eines ANC erforderlich sind.
| Aktionstyp | Berechtigungen |
|---|---|
| Aktionen | Microsoft.Resources/subscriptions/operations/readMicrosoft.Resources/deployments/readMicrosoft.Resources/deployments/writeMicrosoft.Resources/deployments/deleteMicrosoft.Resources/deployments/operations/readMicrosoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/readMicrosoft.Network/locations/operationResults/readMicrosoft.Network/locations/usages/readMicrosoft.Network/networkInterfaces/writeMicrosoft.Network/networkInterfaces/readMicrosoft.Network/networkInterfaces/deleteMicrosoft.Network/networkInterfaces/join/actionMicrosoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/actionMicrosoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Keine |
| dataActions | Keine |
| notDataActions | Keine |
Windows 365-Netzwerkbenutzer
Die Rolle Windows 365-Netzwerkbenutzer wird dem virtuellen Netzwerk zugewiesen, das dem ANC zugeordnet ist. Diese Rolle ermöglicht es dem Windows 365-Dienst, die NIC mit dem virtuellen Netzwerk zu verbinden. Diese Rolle ist eine Sammlung der Mindestberechtigungen, die für den Betrieb von Windows 365 bei Verwendung eines ANC erforderlich sind.
| Aktionstyp | Berechtigungen |
|---|---|
| Aktionen | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Keine |
| dataActions | Keine |
| notDataActions | Keine |
Benutzerdefinierte Rollen
Sie können benutzerdefinierte Rollen für Windows 365 im Microsoft Intune Admin Center erstellen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle.
Bei der Erstellung von benutzerdefinierten Rollen sind die folgenden Berechtigungen verfügbar:
| Berechtigung | Beschreibung |
|---|---|
| Überwachungsdaten/Lesen | Lesen Sie die Überwachungsprotokolle von Cloud-PC-Ressourcen in Ihrem Mandanten. |
| Azure-Netzwerkverbindungen/Erstellen | Erstellen Sie eine lokale Verbindung für die Bereitstellung von Cloud-PCs. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um eine lokale Verbindung zu erstellen. |
| Azure-Netzwerkverbindungen/Löschen | Löschen sie eine bestimmte lokale Verbindung. Erinnerung: Sie können eine verwendete Verbindung nicht löschen. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu löschen. |
| Azure-Netzwerkverbindungen/Lesen | Lesen sie die Eigenschaften von lokalen Verbindungen. |
| Azure-Netzwerkverbindungen/Update | Aktualisieren sie die Eigenschaften einer bestimmten lokalen Verbindung. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist auch erforderlich, um eine lokale Verbindung zu aktualisieren. |
| Azure-Netzwerkverbindungen/RunHealthChecks | Führen Sie Integritätsprüfungen für eine bestimmte lokale Verbindung aus. Die Azure-Rolle "Abonnementbesitzer" oder "Benutzerzugriffsadministrator" ist ebenfalls erforderlich, um Integritätsprüfungen auszuführen. |
| Azure-Netzwerkverbindungen/UpdateAdDomainPassword | Aktualisieren Sie das Active Directory-Domänenkennwort einer bestimmten lokalen Verbindung. |
| Cloud-PCs/Lesen | Lesen Sie die Eigenschaften von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Erneute Bereitstellung | Erneutes Bereitstellen von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Größe ändern | Ändern Sie die Größe von Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/EndGracePeriod | Beenden Sie die Toleranzperiode für Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/Wiederherstellung | Stellen Sie Cloud-PCs in Ihrem Mandanten wieder her. |
| Cloud-PCs/Neustart | Starten Sie Cloud-PCs in Ihrem Mandanten neu. |
| Cloud-PCs/Umbenennen | Benennen Sie Cloud-PCs in Ihrem Mandanten um. |
| Cloud-PCs/Problembehandlung | Problembehandlung für Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/ChangeUserAccountType | Ändern Sie den Benutzerkontotyp zwischen dem lokalen Administrator und dem Standardbenutzer eines Cloud-PCs in Ihrem Mandanten. |
| Cloud-PCs/PlaceUnderReview | Legen Sie Cloud-PCs in Ihrem Mandanten unter Überprüfung fest. |
| Cloud-PCs/RetryPartnerAgentInstallation | Versuchen Sie, Partner-Agents auf einem Cloud-PC neu zu installieren, der nicht installiert werden konnte. |
| Cloud-PCs/ApplyCurrentProvisioningPolicy | Wenden Sie die aktuelle Konfiguration der Bereitstellungsrichtlinie auf Cloud-PCs in Ihrem Mandanten an. |
| Cloud-PCs/CreateSnapshot | Erstellen Sie manuell eine Momentaufnahme für Cloud-PCs in Ihrem Mandanten. |
| Geräteimages/Erstellen | Laden Sie ein benutzerdefiniertes Betriebssystemimage hoch, das Sie später auf Cloud-PCs bereitstellen können. |
| Geräteimages/Löschen | Löschen Sie ein Betriebssystemimage von Cloud-PC. |
| Geräteimages/Lesen | Lesen Sie die Eigenschaften von Cloud-PC-Geräteimages. |
| Einstellungen für externe Partner/Lesen | Lesen Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
| Einstellungen für externe Partner/Erstellen | Erstellen Sie eine neue Einstellung für externe Cloud-PC-Partner. |
| Einstellungen/Updates für externe Partner | Aktualisieren Sie die Eigenschaften einer Einstellung für externe Cloud-PC-Partner. |
| Organisationseinstellungen/Lesen | Lesen Sie die Eigenschaften der Cloud-PC-Organisationseinstellungen. |
| Organisationseinstellungen/Update | Aktualisieren Sie die Eigenschaften der Cloud-PC-Organisationseinstellungen. |
| Leistungsberichte/Lesen | Lesen Sie die Berichte zu Remoteverbindungen für Windows 365 Cloud-PC. |
| Bereitstellungsrichtlinien/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Bereitstellungsrichtlinie zu. |
| Bereitstellungsrichtlinien/Erstellen | Erstellen Sie eine neue Cloud-PC-Bereitstellungsrichtlinie. |
| Bereitstellungsrichtlinien/Löschen | Löschen sie eine Cloud-PC-Bereitstellungsrichtlinie. Sie können eine richtlinie, die verwendet wird, nicht löschen. |
| Bereitstellungsrichtlinien/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
| Bereitstellungsrichtlinien/Update | Aktualisieren sie die Eigenschaften einer Cloud-PC-Bereitstellungsrichtlinie. |
| Berichte/Export | Exportieren sie Windows 365-bezogene Berichte. |
| Rollenzuweisungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Rollenzuweisung. |
| Rollenzuweisungen/Aktualisierung | Aktualisieren Sie die Eigenschaften einer bestimmten Cloud-PC-Rollenzuweisung. |
| Rollenzuweisungen/Löschen | Löschen sie eine bestimmte Cloud-PC-Rollenzuweisung. |
| Rollen/Lesen | Anzeigen von Berechtigungen, Rollendefinitionen und Rollenzuweisungen für die Cloud-PC-Rolle. Anzeigen eines Vorgangs oder einer Aktion, die für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden kann. |
| Rollen/Erstellen | Erstellen einer Rolle für Cloud-PC. Erstellungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Rollen/Update | Aktualisieren der Rolle für Cloud-PC. Aktualisierungsvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Rollen/Löschen | Löscht die Rolle für Cloud-PC. Löschvorgänge können für eine Cloud-PC-Ressource (oder Entität) ausgeführt werden. |
| Serviceplan/Lesen | Lesen Sie die Servicepläne von Cloud-PC. |
| SharedUseLicenseUsageReports/Read | Lesen Sie die Berichte zur Nutzung von Windows 365 Cloud-PCs für gemeinsame Nutzungslizenzen. |
| SharedUseServicePlans/Read | Lesen Sie die Eigenschaften der Cloud-PC-Dienstpläne für die gemeinsame Verwendung. |
| Momentaufnahme/Lesevorgang | Lesen Sie die Momentaufnahme des Cloud-PCs. |
| Momentaufnahme/Freigabe | Teilen Sie die Momentaufnahme des Cloud-PCs. |
| Unterstützte Region/Lesevorgänge | Lesen Sie die unterstützten Regionen von Cloud-PC. |
| Benutzereinstellungen/Zuweisen | Weisen Sie Benutzergruppen eine Cloud-PC-Benutzereinstellung zu. |
| Benutzereinstellungen/Erstellen | Erstellen Sie eine neue Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Löschen | Löschen einer Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Lesen | Lesen sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
| Benutzereinstellungen/Aktualisierung | Aktualisieren sie die Eigenschaften einer Cloud-PC-Benutzereinstellung. |
Zum Erstellen einer Bereitstellungsrichtlinie benötigt ein Administrator die folgenden Berechtigungen:
- Bereitstellungsrichtlinien/Lesen
- Bereitstellungsrichtlinien/Erstellen
- Azure-Netzwerkverbindungen/Lesen
- Unterstützte Region/Lesevorgänge
- Geräteimages/Lesen
Migrieren vorhandener Berechtigungen
Für ANCs, die vor dem 26. November 2023 erstellt wurden, wird die Rolle Netzwerkmitwirkender verwendet, um Berechtigungen sowohl für die Ressourcengruppe als auch für das virtuelle Netzwerk anzuwenden. Um auf die neuen RBAC-Rollen anzuwenden, können Sie die ANC-Integritätsprüfung wiederholen. Die vorhandenen Rollen müssen manuell entfernt werden.
Informationen zum manuellen Entfernen der vorhandenen Rollen und Hinzufügen der neuen Rollen finden Sie in der folgenden Tabelle für die vorhandenen Rollen, die für jede Azure-Ressource verwendet werden. Stellen Sie vor dem Entfernen der vorhandenen Rollen sicher, dass die aktualisierten Rollen zugewiesen sind.
| Azure-Ressource | Vorhandene Rolle (vor dem 26. November 2023) | Rolle aktualisiert (nach dem 26. November 2023) |
|---|---|---|
| Ressourcengruppe | Netzwerkmitwirkender | Mitwirkender an der Windows 365-Netzwerkschnittstelle |
| Virtuelles Netzwerk | Netzwerkmitwirkender | Windows 365-Netzwerkbenutzer |
| Abonnement | Reader | Reader |
Weitere Informationen zum Entfernen einer Rollenzuweisung aus einer Azure-Ressource finden Sie unter Entfernen von Azure-Rollenzuweisungen.
Bereichstags
Die Windows 365-Unterstützung für Bereichstags befindet sich in der öffentlichen Vorschau.
Bei RBAC sind Rollen nur ein Teil der Gleichung. Während Rollen gut geeignet sind, um einen Satz von Berechtigungen zu definieren, helfen Bereichsmarkierungen bei der Definition der Sichtbarkeit der Ressourcen Ihrer Organisation. Bereichstags sind besonders hilfreich, wenn Sie Ihren Mandanten so organisieren, dass Benutzer auf bestimmte Hierarchien, geografische Regionen, Geschäftseinheiten usw. begrenzt sind.
Verwenden Sie Intune zum Erstellen und Verwalten von Bereichstags. Weitere Informationen zum Erstellen und Verwalten von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
In Windows 365 können Bereichstags auf die folgenden Ressourcen angewendet werden:
- Bereitstellungsrichtlinien
- Azure-Netzwerkverbindungen (ANC)
- Cloud-PCs
- Benutzerdefinierte Images
- Windows 365 RBAC-Rollenzuweisungen
Führen Sie nach dem Erstellen Ihrer Bereichsmarkierungen und der Bereitstellungsrichtlinie die folgenden Schritte aus, um sicherzustellen, dass sowohl in der Liste Alle Intune-Geräte als auch in der Liste Alle Cloud-PCs im Besitz von Windows 365 dieselben Cloud-PCs angezeigt werden:
- Erstellen Sie eine dynamische Microsoft Entra ID-Gerätegruppe mit der Regel enrollmentProfileName entspricht dem genauen Namen der erstellten Bereitstellungsrichtlinie.
- Weisen Sie das erstellte Bereichstag der dynamischen Gerätegruppe zu.
- Nachdem der Cloud-PC bereitgestellt und bei Intune registriert wurde, sollten sowohl in der Liste Alle Geräte als auch in der Liste Alle Cloud-PCs dieselben Cloud-PCs angezeigt werden.
Damit bereichsbezogene Administratoren anzeigen können, welche Bereichstags ihnen und die Objekte in ihrem Bereich zugewiesen sind, muss ihnen eine der folgenden Rollen zugewiesen werden:
- Intune schreibgeschützt
- Cloud-PC-Leser/Administrator
- Eine benutzerdefinierte Rolle mit ähnlichen Berechtigungen.
Graph-API-Massenaktionen und Bereichstags während der öffentlichen Vorschau
Für die Dauer der öffentlichen Vorschau der Bereichstags berücksichtigen die folgenden Massenaktionen keine Bereichstags, wenn sie direkt über die Graph-API aufgerufen werden:
- Wiederherstellen
- Erneute Bereitstellung
- Cloud-PC unter Überprüfung platzieren
- Cloud-PC zu überprüfen entfernen
- Freigeben des Cloud-PC-Wiederherstellungspunkts für speicher
- Erstellen eines manuellen Wiederherstellungspunkts für Cloud-PCs
Nächste Schritte
Rollenbasierte Zugriffssteuerung für Microsoft Intune
Grundlegendes zu Azure-Rollendefinitionen
Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC)?