Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il controllo degli accessi in base al ruolo consente di gestire chi può accedere alle risorse dell'organizzazione e cosa può fare con tali risorse. È possibile assegnare ruoli per i PC cloud usando l'interfaccia di amministrazione Microsoft Intune.
Quando un utente con il ruolo Proprietario sottoscrizione o Amministratore accesso utente crea, modifica o ritenta un anc, Windows 365 assegna in modo trasparente i ruoli predefiniti necessari alle risorse seguenti (se non sono già assegnate):
- Sottoscrizione di Azure
- Gruppo di risorse
- Rete virtuale associata all'ANC
Se si dispone solo del ruolo Lettore sottoscrizione, queste assegnazioni non sono automatiche. È invece necessario configurare manualmente i ruoli predefiniti necessari per l'app Di primo livello di Windows in Azure.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
ruolo amministratore Windows 365
Windows 365 supporta il ruolo di amministratore Windows 365 disponibile per l'assegnazione di ruolo tramite Microsoft Amministrazione Center e Microsoft Entra ID. Con questo ruolo, è possibile gestire Windows 365 PC cloud per le edizioni Enterprise e Business. Il ruolo amministratore Windows 365 può concedere più autorizzazioni con ambito rispetto ad altri ruoli Microsoft Entra, ad esempio Amministratore globale. Per altre informazioni, vedere Microsoft Entra ruoli predefiniti.
Ruoli predefiniti di Cloud PC
Per Cloud PC sono disponibili i ruoli predefiniti seguenti:
Amministratore di Cloud PC
Gestisce tutti gli aspetti dei PC cloud, ad esempio:
- Gestione delle immagini del sistema operativo
- configurazione della connessione di rete Azure
- Provisioning
Lettore PC cloud
Visualizza i dati di Cloud PC disponibili nel nodo Windows 365 in Microsoft Intune, ma non può apportare modifiche.
Collaboratore all'interfaccia di rete Windows 365
Il ruolo Collaboratore interfaccia di rete Windows 365 viene assegnato al gruppo di risorse associato alla connessione di rete Azure. Questo ruolo consente al servizio Windows 365 di creare e aggiungere la scheda di interfaccia di rete e gestire la distribuzione nel gruppo di risorse. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
utente di rete Windows 365
Il ruolo Windows 365 Utente di rete viene assegnato alla rete virtuale associata all'ANC. Questo ruolo consente al servizio Windows 365 di aggiungere la scheda di interfaccia di rete alla rete virtuale. Questo ruolo è una raccolta delle autorizzazioni minime necessarie per operare Windows 365 quando si usa un anc.
| Tipo di azione | Autorizzazioni |
|---|---|
| Azioni | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Nessuno |
| dataActions | Nessuno |
| notDataActions | Nessuno |
Ruoli personalizzati
È possibile creare ruoli personalizzati per Windows 365 nell'interfaccia di amministrazione di Microsoft Intune. Per altre informazioni, vedere Creare un ruolo personalizzato.
Quando si creano ruoli personalizzati, sono disponibili le autorizzazioni seguenti.
| Autorizzazione | Descrizione |
|---|---|
| ActionStatus/Read | Leggere i report Stato azione PC cloud. |
| AdminHighlights/Operate | Recuperare le azioni eseguite per gestire le evidenziazioni dell'amministratore e le proprietà degli elementi salienti dell'amministratore |
| AuditData/Read | Leggere i log di controllo delle risorse di Cloud PC nel tenant. |
| Azure connessioni di rete/creazione | Creare una connessione locale per il provisioning di PC cloud. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente Azure ruolo è necessario per creare una connessione locale. |
| Azure connessioni di rete/eliminazione | Eliminare una connessione locale specifica. Promemoria: non è possibile eliminare una connessione in uso. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente Azure ruolo è necessario per eliminare una connessione locale. |
| Azure connessioni di rete/lettura | Leggere le proprietà delle connessioni locali. |
| Azure Connessioni di rete/RunHealthChecks | Eseguire controlli di integrità in una connessione locale specifica. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente Azure ruolo è necessario per eseguire i controlli di integrità. |
| Azure connessioni di rete/aggiornamento | Aggiornare le proprietà di una connessione locale specifica. Anche il proprietario della sottoscrizione o l'amministratore dell'accesso utente Azure ruolo è necessario per aggiornare una connessione locale. |
| Azure Connessioni di rete/UpdateAdDomainPassword | Aggiornare la password di dominio active directory di una connessione locale specifica. |
| BulkActions/Read | Leggere le proprietà di Azioni bulk di Cloud PC. |
| BulkActions/Write | Creare una nuova azione bulk di Cloud PC. |
| CloudApps/Create | Creare una nuova app cloud. |
| CloudApps/Delete | Eliminare un'app cloud. |
| CloudApps/Publish | Pubblicare un'app cloud. |
| CloudApps/Read | Leggere le proprietà di un'app cloud o di un'app individuata. |
| CloudApps/Reset | Reimpostare un'app cloud. |
| CloudApps/Annulla pubblicazione | Annullare la pubblicazione di un'app cloud. |
| CloudApps/Update | Aggiornare le proprietà di un'app cloud. |
| CloudPCs/ChangeUserAccountType | Modificare il tipo di account utente tra l'amministratore locale e l'utente standard di un PC cloud nel tenant. |
| CloudPCs/CheckAgentStatus | Attivare i controlli dello stato dell'agente per i PC cloud nel tenant. |
| CloudPC/CreateSnapshot | Creare manualmente uno snapshot per i PC cloud nel tenant. |
| CloudPC/Deprovision | Deprovisioning dei PC cloud nel tenant. |
| CloudPCs/DisasterRecoveryFailback | Disattivare il ripristino di emergenza tra aree per i PC cloud nel tenant. |
| CloudPCs/DisasterRecoveryFailover | Attivare il ripristino di emergenza tra aree per i PC cloud nel tenant. |
| CloudPCs/EndGracePeriod | Periodo di tolleranza finale per i PC cloud nel tenant. |
| CloudPCs/GetCloudPcLaunchInfo | Ottenere le informazioni di avvio di CloudPC nel tenant. |
| CloudPCs/ModifyDiskEncryptionType | Modificare il tipo di crittografia del disco dei PC cloud nel tenant. |
| CloudPCs/PlaceUnderReview | Impostare i PC cloud sotto revisione nel tenant. |
| CloudPC/PowerOff | Spegnere i PC cloud nel tenant. |
| CloudPCs/PowerOn | Accendere i PC cloud nel tenant. |
| CloudPC/Provisioning | Effettuare il provisioning di PC cloud nel tenant. |
| CloudPC/Lettura | Leggere le proprietà dei PC cloud nel tenant. |
| CloudPC/Riavvio | Riavviare i PC cloud nel tenant. |
| CloudPCs/ReinstallAgent | Reinstallare l'agente per i PC cloud nel tenant. |
| CloudPCs/Rename | Rinominare i PC cloud nel tenant. |
| CloudPC/Reprovision | Eseguire di nuovo il provisioning dei PC cloud nel tenant. |
| CloudPC/Ridimensionamento | Ridimensionare i PC cloud nel tenant. |
| CloudPC/Restore | Ripristinare i PC cloud nel tenant. |
| CloudPCs/RetrieveAgentStatus | Recuperare lo stato dell'agente per i PC cloud nel tenant. |
| CloudPC/RetryPartnerAgentInstallation | Tentativo di reinstallare gli agenti partner di parte in un PC cloud che non è stato possibile installare. |
| CloudPCs/SetDeviceName | Impostare il nome effettivo del dispositivo dei PC cloud nel tenant. |
| CloudPC/Start | Avviare i PC cloud nel tenant. |
| CloudPC/Stop | Arrestare i PC cloud nel tenant. |
| CloudPC/Risoluzione dei problemi | Risolvere i problemi relativi ai PC cloud nel tenant. |
| CloudPCUserSettingsPersistence/Delete | Eliminare l'archiviazione utente salvata collegata ai criteri di provisioning di un PC cloud. |
| CloudPCUserSettingsPersistence/Read | Leggere l'archiviazione di sincronizzazione dell'esperienza utente di Cloud PC, inclusa l'archiviazione totale e usata e le allocazioni di archiviazione dei singoli utenti. |
| CloudPCUserSettingsPersistence/Update | Aggiornare la configurazione di sincronizzazione dell'esperienza utente di Cloud PC, incluse le impostazioni di pulizia automatica e il ridimensionamento dinamico. |
| CrossRegionDisasterRecovery/Read | Leggere i report Windows 365 Cloud PC Ripristino di emergenza tra aree. |
| Immagini/creazione del dispositivo | Caricare un'immagine del sistema operativo personalizzata di cui è possibile eseguire il provisioning in un secondo momento nei PC cloud. |
| Immagini/eliminazione del dispositivo | Eliminare un'immagine del sistema operativo da Cloud PC. |
| Immagini dispositivo/Lettura | Leggere le proprietà delle immagini dei dispositivi Cloud PC. |
| Immagini/aggiornamento del dispositivo | Aggiornamenti le proprietà di un'immagine del dispositivo Cloud PC. Attualmente, solo la proprietà scopeIds può essere modificata usando il metodo PATCH. |
| DeviceRecommendation/Read | Leggere i report correlati alle raccomandazioni per i dispositivi CloudPC. |
| Impostazioni partner esterni/Creazione | Creare una nuova impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Lettura | Leggere le proprietà di un'impostazione partner esterno di Cloud PC. |
| Impostazioni partner esterni/Aggiornamento | Aggiornare le proprietà di un'impostazione partner esterno di Cloud PC. |
| FrontLineServicePlans/Read | Leggere le proprietà dei piani di servizio Front Line di Cloud PC. |
| FrontlineReports/Read | Leggere i report Windows 365 Cloud PC Frontline. |
| InaccessibileReports/Read | Leggere i report sui PC cloud inaccessibili. |
| MaintenanceWindows/Assign | Assegnare una finestra di manutenzione di Cloud PC ai gruppi di utenti. |
| MaintenanceWindows/Create | Creare una nuova finestra di manutenzione di Cloud PC. |
| ManutenzioneWindows/Delete | Eliminare una finestra di manutenzione di Cloud PC. Non è possibile eliminare una finestra di manutenzione in uso. |
| ManutenzioneWindows/Lettura | Leggere le proprietà di una finestra di manutenzione di Cloud PC. |
| ManutenzioneWindows/Update | Aggiornare le proprietà di una finestra di manutenzione di Cloud PC. |
| ManagedLicenses/Read | Leggere le proprietà dei piani di servizio gestiti di Windows365. |
| Impostazioni organizzazione/Lettura | Leggere le proprietà delle impostazioni dell'organizzazione Cloud PC. |
| Impostazioni organizzazione/aggiornamento | Aggiornare le proprietà delle impostazioni dell'organizzazione di Cloud PC. |
| PerformanceReports/Read | Leggere i report correlati Windows 365 Cloud PC connessioni remote. |
| Criteri di provisioning/Applica | Applicare la configurazione corrente dei criteri di provisioning ai PC cloud nel tenant. |
| Criteri di provisioning/assegnazione | Assegnare un criterio di provisioning di Cloud PC ai gruppi di utenti. |
| Criteri di provisioning/creazione | Creare un nuovo criterio di provisioning di Cloud PC. |
| Criteri di provisioning/eliminazione | Eliminare un criterio di provisioning di Cloud PC. Non è possibile eliminare un criterio in uso. |
| Criteri di provisioning/Lettura | Leggere le proprietà di un criterio di provisioning di Cloud PC. |
| Criteri di provisioning/Ripetizione dei tentativi | Ripetere l'operazione di provisioning per i PC cloud non riusciti. |
| Criteri di provisioning/aggiornamento | Aggiornare le proprietà di un criterio di provisioning di Cloud PC. |
| Criteri di provisioning (agenti)/Creazione | Creare un nuovo pool di PC cloud. |
| Criteri di provisioning (agenti)/Eliminazione | Eliminare un pool di PC cloud. |
| Criteri di provisioning (agenti)/Lettura | Leggere le proprietà di un pool di PC cloud. |
| Criteri di provisioning (agenti)/Aggiornamento | Aggiornare le proprietà di un pool di PC cloud. |
| Assegnazioni di ruolo/creazione | Creare una nuova assegnazione di ruolo Cloud PC. |
| Assegnazioni di ruolo/eliminazione | Eliminare un'assegnazione di ruolo Cloud PC specifica. |
| Assegnazioni di ruolo/aggiornamento | Aggiornare le proprietà di un'assegnazione di ruolo Cloud PC specifica. |
| Ruoli/Creazione | Creare un ruolo per Cloud PC. Le operazioni di creazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/Eliminazione | Eliminare il ruolo per Cloud PC. Le operazioni di eliminazione possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| Ruoli/Lettura | Visualizzare le autorizzazioni, le definizioni dei ruoli e le assegnazioni di ruolo per il ruolo Cloud PC. Visualizzare l'operazione o l'azione che può essere eseguita su una risorsa (o un'entità) cloud PC. |
| Ruoli/aggiornamento | Aggiornare il ruolo per Cloud PC. Le operazioni di aggiornamento possono essere eseguite su una risorsa (o un'entità) cloud PC. |
| ServicePlan/Read | Leggere i piani di servizio di Cloud PC. |
| Impostazioni/Assegna | Assegnare un profilo di impostazioni di Cloud PC ai gruppi di Entra. |
| Impostazioni/Creazione | Creare un nuovo profilo di impostazioni di Cloud PC. |
| Impostazioni/Eliminazione | Eliminare un profilo di impostazioni di Cloud PC. |
| Impostazioni/Lettura | Leggere le proprietà di un profilo di impostazioni di Cloud PC. |
| Impostazioni/Aggiornamento | Aggiornare le proprietà di un profilo di impostazioni di Cloud PC. |
| SharedUseLicenseUsageReports/Read | Leggere i report relativi all'utilizzo delle licenze per uso condiviso Windows 365 Cloud PC. |
| SharedUseServicePlans/Read | Leggere le proprietà dei piani di servizio per l'uso condiviso del PC cloud. |
| Snapshot/Importazione | Importare lo snapshot acquisito dalla macchina virtuale di Azure. |
| Snapshot/PurgeImportedSnapshot | Eliminare gli snapshot importati dal cliente per il provisioning di CLOUD PC. Si noti che la presenza di questa autorizzazione consente solo l'eliminazione di snapshot importati. |
| Snapshot/Lettura | Leggere lo snapshot di Cloud PC. |
| Snapshot/Condivisione | Condividere lo snapshot di Cloud PC. |
| Area supportata/Lettura | Leggere le aree supportate di Cloud PC. |
| Impostazioni utente/Assegnazione | Assegnare un'impostazione utente di Cloud PC ai gruppi di utenti. |
| Impostazioni utente/Creazione | Creare una nuova impostazione utente di Cloud PC. |
| Impostazioni utente/Eliminazione | Eliminare un'impostazione utente di Cloud PC. |
| Impostazioni utente/Lettura | Leggere le proprietà di un'impostazione utente di Cloud PC. |
| Impostazioni utente/Aggiornamento | Aggiornare le proprietà di un'impostazione utente di Cloud PC. |
| Webhook/Creazione | Creare una sottoscrizione webhook per Microsoft Power Platform. |
| Webhook/Eliminazione | Eliminare una sottoscrizione webhook per Microsoft Power Platform. |
Per creare un criterio di provisioning, un amministratore deve disporre delle autorizzazioni seguenti:
- Criteri di provisioning/Lettura
- Criteri di provisioning/creazione
- Azure connessioni di rete/lettura
- Area supportata/Lettura
- Immagini dispositivo/Lettura
Migrazione delle autorizzazioni esistenti
Per gli ANC creati prima del 26 novembre 2023, il ruolo Collaboratore rete viene usato per applicare le autorizzazioni sia per il gruppo di risorse che per Rete virtuale. Per applicare ai nuovi ruoli controllo degli accessi in base al ruolo, è possibile ritentare il controllo dell'integrità dell'ANC. I ruoli esistenti devono essere rimossi manualmente.
Per rimuovere manualmente i ruoli esistenti e aggiungere i nuovi ruoli, fare riferimento alla tabella seguente per i ruoli esistenti usati in ogni risorsa Azure. Prima di rimuovere i ruoli esistenti, assicurarsi che i ruoli aggiornati siano assegnati.
| Azure risorsa | Ruolo esistente (prima del 26 novembre 2023) | Ruolo aggiornato (dopo il 26 novembre 2023) |
|---|---|---|
| Gruppo di risorse | Collaboratore alla rete | Collaboratore all'interfaccia di rete Windows 365 |
| Rete virtuale | Collaboratore alla rete | utente di rete Windows 365 |
| Abbonamento | Lettore | Lettore |
Per altre informazioni sulla rimozione di un'assegnazione di ruolo da una risorsa Azure, vedere Rimuovere le assegnazioni di ruolo Azure.
Tag di ambito
Per il controllo degli accessi in base al ruolo, i ruoli fanno solo parte dell'equazione. Sebbene i ruoli funzionino bene per definire un set di autorizzazioni, i tag di ambito consentono di definire la visibilità delle risorse dell'organizzazione. I tag di ambito sono particolarmente utili quando si organizza il tenant in modo che gli utenti abbiano l'ambito di determinate gerarchie, aree geografiche, business unit e così via.
Usare Intune per creare e gestire i tag di ambito. Per altre informazioni sulla modalità di creazione e gestione dei tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
In Windows 365, i tag di ambito possono essere applicati alle risorse seguenti:
- Criteri di provisioning
- Azure connessioni di rete (ANC)
- PC cloud
- Immagini personalizzate
- Windows 365 assegnazioni di ruolo controllo degli accessi in base al ruolo
Per assicurarsi che l'elenco Tutti i dispositivi di proprietà Intune e l'elenco Tutti i PC cloud di proprietà Windows 365 mostrino gli stessi PC cloud in base all'ambito, seguire questa procedura dopo aver creato i tag di ambito e i criteri di provisioning:
- Creare un Microsoft Entra ID gruppo di dispositivi dinamico con la regola che enrollmentProfileName è uguale al nome esatto dei criteri di provisioning creati.
- Assegnare il tag di ambito creato al gruppo di dispositivi dinamico.
- Dopo aver effettuato il provisioning e la registrazione del PC cloud in Intune, sia l'elenco Tutti i dispositivi che l'elenco Tutti i PC cloud dovrebbero visualizzare gli stessi PC cloud.
Se si aggiungono nuovi tag di ambito a un criterio di provisioning, assicurarsi di aggiungere anche i tag di ambito al gruppo dinamico Intune. Questa aggiunta garantisce che il gruppo dinamico rispetti i nuovi tag di ambito. Controllare anche tutti i PC cloud a cui potrebbero essere stati aggiunti tag di ambito univoci per assicurarsi che siano ancora presenti dopo eventuali aggiornamenti.
Per assicurarsi che Windows 365 possano rispettare le modifiche apportate ai tag di ambito Intune, questi dati vengono sincronizzati da Intune. Per altre informazioni, vedere Privacy, dati dei clienti e contenuto dei clienti in Windows 365.
Per consentire agli amministratori con ambito di visualizzare i tag di ambito assegnati e gli oggetti all'interno dell'ambito, è necessario assegnare loro uno dei ruoli seguenti:
- Intune sola lettura
- Lettore/amministratore di PC cloud
- Ruolo personalizzato con autorizzazioni simili.
Passaggi successivi
Controllo degli accessi in base al ruolo con Microsoft Intune.