Controle de acesso baseado em função

O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Pode atribuir funções para os seus PCs na Cloud através do centro de administração do Microsoft Intune.

Quando um utilizador com a função Proprietário da Subscrição ou Administrador de Acesso de Utilizador cria, edições ou tenta novamente um ANC, o Windows 365 atribui de forma transparente as funções incorporadas necessárias aos seguintes recursos (se ainda não estiverem atribuídos):

  • Assinatura do Azure
  • Grupo de recursos
  • Rede virtual associada ao ANC

Se tiver apenas a função Leitor de Subscrições, estas atribuições não são automáticas. Em vez disso, tem de configurar manualmente as funções incorporadas necessárias para a Aplicação Windows First Party no Azure.

Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Função Administrador do Windows 365

O Windows 365 suporta a função de Administrador do Windows 365 disponível para atribuição de funções através do Centro de Administração da Microsoft e do Microsoft Entra ID. Com essa função, você pode gerenciar Windows 365 Cloud PCs para edições Enterprise e Business. A função administrador do Windows 365 pode conceder mais permissões de âmbito do que outras funções do Microsoft Entra, como Administrador Global. Para obter mais informações, consulte Funções incorporadas do Microsoft Entra.

Funções internas do Cloud PC

As seguintes funções incorporadas estão disponíveis para o Cloud PC:

Administrador de PC na Nuvem

Gere todos os aspetos dos PCs na Cloud, como:

  • Gerenciamento de imagens do sistema operacional
  • Configuração de conexão de rede do Azure
  • Provisionamento

Leitor de PC na Nuvem

Visualiza dados do Cloud PC disponíveis no nó do Windows 365 no Microsoft Intune, mas não pode fazer alterações.

Contribuidor da Interface de Rede do Windows 365

A função Contribuidor da Interface de Rede do Windows 365 é atribuída ao grupo de recursos associado à ligação de rede do Azure (ANC). Esta função permite que o serviço do Windows 365 crie e associe à NIC e faça a gestão da implementação no grupo de recursos. Esta função é uma coleção das permissões mínimas necessárias para operar o Windows 365 ao utilizar um ANC.

Tipo de ação Permissões
actions Microsoft.Resources/subscriptions/resourcegroups/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read
Microsoft.Resources/deployments/operationstatuses/read
Microsoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Utilizador de Rede do Windows 365

A função Utilizador de Rede do Windows 365 é atribuída à rede virtual associada ao ANC. Esta função permite que o serviço do Windows 365 associe o NIC à rede virtual. Esta função é uma coleção das permissões mínimas necessárias para operar o Windows 365 ao utilizar um ANC.

Tipo de ação Permissões
actions Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/sub-redes/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/sub-redes/join/action
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Funções personalizadas

Pode criar funções personalizadas para o Windows 365 no centro de administração do Microsoft Intune. Para obter mais informações, consulte Criar uma função personalizada.

As permissões a seguir estão disponíveis ao criar funções personalizadas.

Permissão Descrição
Dados de Auditoria/Leitura Leia os registos de auditoria dos recursos do CLOUD PC no seu inquilino.
Ligações de Rede do Azure/Criar Crie uma ligação no local para aprovisionar PCs na Cloud. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para criar uma ligação no local.
Ligações de Rede do Azure/Eliminar Eliminar uma ligação no local específica. Lembrete: não pode eliminar uma ligação em utilização. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para eliminar uma ligação no local.
Ligações de Rede do Azure/Leitura Leia as propriedades das ligações no local.
Ligações de Rede do Azure/Atualização Atualize as propriedades de uma ligação no local específica. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para atualizar uma ligação no local.
Ligações de Rede do Azure/RunHealthChecks Execute verificações de estado de funcionamento numa ligação no local específica. O proprietário da subscrição ou a função de administrador de acesso de utilizador do Azure também são necessários para executar verificações de estado de funcionamento.
Ligações de Rede do Azure/UpdateAdDomainPassword Atualize a palavra-passe de domínio do Active Directory de uma ligação no local específica.
PCs na Cloud/Leitura Leia as propriedades dos PCs na Cloud no seu inquilino.
Cloud PCs/Reaprovisionar Volte a aprovisionar PCs na Cloud no seu inquilino.
PCs/Redimensionamento da Cloud Redimensione os PCs na Cloud no seu inquilino.
PCs na Cloud/EndGracePeriod Terminar período de tolerância para PCs na Cloud no seu inquilino.
Cloud PCs/Restore Restaure PCs na Cloud no seu inquilino.
PCs na Cloud/Reiniciar Reinicie os PCs na Cloud no seu inquilino.
Cloud PCs/Mudar o Nome Mude o nome dos PCs na Cloud no seu inquilino.
Cloud PCs/Resolução de Problemas Resolver problemas de PCs na Cloud no seu inquilino.
Cloud PCs/ChangeUserAccountType Altere o tipo de conta de utilizador entre o administrador local e o utilizador padrão de um PC na Cloud no seu inquilino.
Cloud PCs/PlaceUnderReview Defina os PCs na Cloud sob revisão no seu inquilino.
Cloud PCs/RetryPartnerAgentInstallation Tentativa de reinstalar agentes de parceiros de entidades num PC na Cloud que não foi possível instalar.
Cloud PCs/ApplyCurrentProvisioningPolicy Aplique a configuração da política de aprovisionamento atual aos PCs na Cloud no seu inquilino.
Cloud PCs/CreateSnapshot Crie manualmente um instantâneo para PCs na Cloud no seu inquilino.
Imagens do Dispositivo/Criar Carregue uma imagem personalizada do SO que pode aprovisionar posteriormente em PCs na Cloud.
Imagens do Dispositivo/Eliminar Eliminar uma imagem do SO do Cloud PC.
Imagens/Leitura do Dispositivo Leia as propriedades das imagens do dispositivo do CLOUD PC.
Definições de Parceiro Externo/Leitura Leia as propriedades de uma definição de parceiro externo do PC na Cloud.
Definições de Parceiro Externo/Criar Crie uma nova definição de parceiro externo do CLOUD PC.
Definições/Atualização de Parceiros Externos Atualize as propriedades de uma definição de parceiro externo do PC na Cloud.
Definições da Organização/Leitura Leia as propriedades das definições da organização do CLOUD PC.
Definições/Atualização da Organização Atualize as propriedades das definições da organização do CLOUD PC.
Relatórios de Desempenho/Leitura Leia os relatórios relacionados com ligações remotas do WINDOWS 365 Cloud PC.
Políticas de Aprovisionamento/Atribuir Atribua uma política de aprovisionamento do CLOUD PC a grupos de utilizadores.
Políticas de Aprovisionamento/Criar Crie uma nova política de aprovisionamento do Cloud PC.
Políticas de Aprovisionamento/Eliminar Eliminar uma política de aprovisionamento de PC na Cloud. Não pode eliminar uma política que esteja a ser utilizada.
Políticas de Aprovisionamento/Leitura Leia as propriedades de uma política de aprovisionamento de UM PC na Cloud.
Políticas de Aprovisionamento/Atualização Atualize as propriedades de uma política de aprovisionamento de UM PC na Cloud.
Relatórios/Exportar Exportar relatórios relacionados com o Windows 365.
Atribuições de Funções/Criar Crie uma nova atribuição de função de PC na Cloud.
Atribuições de Funções/Atualização Atualize as propriedades de uma atribuição de função específica do PC na Cloud.
Atribuições de Funções/Eliminar Eliminar uma atribuição de função específica do CLOUD PC.
Funções/Leitura Ver permissões, definições de funções e atribuições de funções para a função do PC na Cloud. Ver a operação ou ação que pode ser executada num recurso (ou entidade) do CLOUD PC.
Funções/Criar Criar função para o CLOUD PC. As operações de criação podem ser efetuadas num recurso (ou entidade) do Cloud PC.
Funções/Atualizar Função de atualização para o CLOUD PC. As operações de atualização podem ser realizadas num recurso (ou entidade) do CLOUD PC.
Funções/Excluir Eliminar função para o CLOUD PC. As operações de eliminação podem ser realizadas num recurso (ou entidade) do CLOUD PC.
Plano de Serviço/Leitura Leia os planos de serviço do Cloud PC.
SharedUseLicenseUsageReports/Read Leia os relatórios relacionados com a utilização de licenças do Windows 365 Cloud PC Partilhado.
SharedUseServicePlans/Read Leia as propriedades dos Planos de Serviço de Utilização Partilhada do CLOUD PC.
Instantâneo/Leitura Leia o Instantâneo do CLOUD PC.
Instantâneo/Partilha Partilhe o Instantâneo do CLOUD PC.
Região/Leitura Suportada Leia as regiões suportadas do CLOUD PC.
Definições do Utilizador/Atribuir Atribuir uma definição de utilizador do CLOUD PC a grupos de utilizadores.
Definições do Utilizador/Criar Crie uma nova definição de utilizador do Cloud PC.
Definições do Utilizador/Eliminar Eliminar uma definição de utilizador do CLOUD PC.
Definições do Utilizador/Leitura Leia as propriedades de uma definição de utilizador do CLOUD PC.
Definições/Atualização do Utilizador Atualize as propriedades de uma definição de utilizador do CLOUD PC.

Para criar uma política de provisionamento, um administrador precisa das seguintes permissões:

  • Políticas de Aprovisionamento/Leitura
  • Políticas de Aprovisionamento/Criar
  • Ligações de Rede do Azure/Leitura
  • Região/Leitura Suportada
  • Imagens/Leitura do Dispositivo

Migrar permissões existentes

Para ANCs criados antes de 26 de novembro de 2023, a função Contribuidor de Rede é utilizada para aplicar permissões no Grupo de Recursos e na Rede Virtual. Para aplicar às novas funções RBAC, pode repetir a verificação do estado de funcionamento do ANC. As funções existentes têm de ser removidas manualmente.

Para remover manualmente as funções existentes e adicionar as novas funções, consulte a tabela seguinte para as funções existentes utilizadas em cada recurso do Azure. Antes de remover as funções existentes, certifique-se de que as funções atualizadas estão atribuídas.

Recurso do Azure Função existente (antes de 26 de novembro de 2023) Função atualizada (após 26 de novembro de 2023)
Grupo de recursos Contribuidor de Rede Contribuidor da Interface de Rede do Windows 365
Rede virtual Contribuidor de Rede Utilizador de Rede do Windows 365
Assinatura Leitor Leitor

Para obter mais detalhes sobre como remover uma atribuição de função de um recurso do Azure, veja Remover atribuições de funções do Azure.

Marcas de escopo

O suporte do Windows 365 para etiquetas de âmbito está em pré-visualização pública.

Para RBAC, as funções são apenas parte da equação. Embora as funções funcionem bem para definir um conjunto de permissões, as etiquetas de âmbito ajudam a definir a visibilidade dos recursos da sua organização. As etiquetas de âmbito são mais úteis ao organizar o seu inquilino para que os utilizadores estejam no âmbito de determinadas hierarquias, regiões geográficas, unidades de negócio, etc.

Utilize o Intune para criar e gerir etiquetas de âmbito. Para obter mais informações sobre como as etiquetas de âmbito são criadas e geridas, veja Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída.

No Windows 365, as etiquetas de âmbito podem ser aplicadas aos seguintes recursos:

  • Políticas de provisionamento
  • Ligações de rede do Azure (ANC)
  • Cloud PCs
  • Imagens personalizadas
  • Atribuições de funções RBAC do Windows 365

Para se certificar de que a lista Todos os dispositivos pertencentes ao Intune e todos os PCs na Cloud pertencentes ao Windows 365 mostram os mesmos PCs na Cloud com base no âmbito, siga estes passos depois de criar as etiquetas de âmbito e a política de aprovisionamento:

  1. Crie um grupo de dispositivos dinâmicos microsoft Entra ID com a regra que enrollmentProfileName é igual ao nome exato da política de aprovisionamento criada.
  2. Atribua a etiqueta de âmbito criada ao grupo de dispositivos dinâmico.
  3. Depois de o CLOUD PC ser aprovisionado e inscrito no Intune, a lista Todos os Dispositivos e Todos os PCs na Cloud devem apresentar os mesmos PCs na Cloud.

Para permitir que os administradores no âmbito vejam as etiquetas de âmbito que lhes são atribuídas e os objetos no âmbito, tem de lhes ser atribuída uma das seguintes funções:

  • Apenas leitura do Intune
  • Leitor/administrador do PC na Cloud
  • Uma função personalizada com permissões semelhantes.

Ações em massa e etiquetas de âmbito da Graph API durante a pré-visualização pública

Durante a pré-visualização pública das etiquetas de âmbito, as seguintes ações em massa não honram as etiquetas de âmbito quando são chamadas diretamente a partir da Graph API:

  • Restaurar
  • Reprovisionar
  • Colocar o CLOUD PC sob revisão
  • Remover o CLOUD PC sob revisão
  • Partilhar o ponto de restauro do CLOUD PC para o armazenamento
  • Criar ponto de restauro manual do CLOUD PC

Próximas etapas

RBAC (controle de acesso baseado em função) com o Microsoft Intune.

Compreender as definições de funções do Azure

O que é o controlo de acesso baseado em funções do Azure (RBAC do Azure)?