Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O RBAC (controle de acesso baseado em função) ajuda a gerenciar quem tem acesso aos recursos da sua organização e o que podem fazer com esses recursos. Pode atribuir funções para os seus PCs na Cloud através do centro de administração do Microsoft Intune.
Quando um utilizador com a função Proprietário da Subscrição ou Administrador de Acesso de Utilizador cria, edições ou tenta novamente um ANC, Windows 365 atribui de forma transparente as funções incorporadas necessárias aos seguintes recursos (se ainda não estiverem atribuídos):
- Assinatura do Azure
- Grupo de recursos
- Rede virtual associada ao ANC
Se tiver apenas a função Leitor de Subscrições, estas atribuições não são automáticas. Em vez disso, tem de configurar manualmente as funções incorporadas necessárias para a Aplicação Windows First Party no Azure.
Para obter mais informações, confira RBAC (controle de acesso baseado em função) com o Microsoft Intune.
Função Administrador do Windows 365
Windows 365 suporta a função de Administrador Windows 365 disponível para atribuição de funções através do Centro de Administração da Microsoft e Microsoft Entra ID. Com essa função, você pode gerenciar Windows 365 Cloud PCs para edições Enterprise e Business. A função administrador Windows 365 pode conceder mais permissões de âmbito do que outras funções de Microsoft Entra, como Administrador Global. Para obter mais informações, veja Microsoft Entra funções incorporadas.
Funções internas do Cloud PC
As seguintes funções incorporadas estão disponíveis para o Cloud PC:
Administrador de PC na Nuvem
Gere todos os aspetos dos PCs na Cloud, como:
- Gerenciamento de imagens do sistema operacional
- Configuração de conexão de rede do Azure
- Provisionamento
Leitor de PC na Nuvem
Visualiza dados do Cloud PC disponíveis no nó Windows 365 no Microsoft Intune, mas não pode fazer alterações.
Contribuidor da Interface de Rede do Windows 365
A função Contribuidor da Interface de Rede Windows 365 é atribuída ao grupo de recursos associado à ligação de rede Azure (ANC). Esta função permite que o serviço Windows 365 crie e associe à NIC e faça a gestão da implementação no grupo de recursos. Esta função é uma coleção das permissões mínimas necessárias para operar Windows 365 ao utilizar um ANC.
| Tipo de ação | Permissões |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Nenhum |
| dataActions | Nenhum |
| notDataActions | Nenhum |
Utilizador de Rede do Windows 365
A função utilizador de rede Windows 365 é atribuída à rede virtual associada ao ANC. Esta função permite que o serviço Windows 365 associe o NIC à rede virtual. Esta função é uma coleção das permissões mínimas necessárias para operar Windows 365 ao utilizar um ANC.
| Tipo de ação | Permissões |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/sub-redes/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/sub-redes/join/action |
| notActions | Nenhum |
| dataActions | Nenhum |
| notDataActions | Nenhum |
Funções personalizadas
Pode criar funções personalizadas para Windows 365 no centro de administração do Microsoft Intune. Para obter mais informações, consulte Criar uma função personalizada.
As permissões a seguir estão disponíveis ao criar funções personalizadas.
| Permissão | Descrição |
|---|---|
| ActionStatus/Read | Leia os relatórios de Estado de Ação do PC na Cloud. |
| AdminHighlights/Operate | Obter as ações que foram tomadas para gerir os destaques do administrador e as propriedades dos destaques do administrador |
| AuditData/Leitura | Leia os registos de auditoria dos recursos do CLOUD PC no seu inquilino. |
| Azure Ligações de Rede/Criar | Crie uma ligação no local para aprovisionar PCs na Cloud. O proprietário da subscrição ou administrador de acesso de utilizador Azure função também é necessária para criar uma ligação no local. |
| Azure Ligações de Rede/Eliminar | Eliminar uma ligação no local específica. Lembrete: não pode eliminar uma ligação em utilização. O proprietário da subscrição ou o administrador de acesso de utilizador Azure função também é necessária para eliminar uma ligação no local. |
| Azure Ligações de Rede/Leitura | Leia as propriedades das ligações no local. |
| Azure Ligações de Rede/RunHealthChecks | Execute verificações de estado de funcionamento numa ligação no local específica. O proprietário da subscrição ou o administrador de acesso de utilizador Azure função também é necessária para executar verificações de estado de funcionamento. |
| Azure Ligações/Atualização de Rede | Atualize as propriedades de uma ligação no local específica. O proprietário da subscrição ou administrador de acesso de utilizador Azure função também é necessária para atualizar uma ligação no local. |
| Azure Network Connections/UpdateAdDomainPassword | Atualize a palavra-passe de domínio do Active Directory de uma ligação no local específica. |
| BulkActions/Read | Leia as propriedades das Ações em Massa do CLOUD PC. |
| BulkActions/Write | Crie uma nova ação em massa do Cloud PC. |
| CloudApps/Criar | Crie uma nova aplicação na cloud. |
| CloudApps/Delete | Eliminar uma aplicação na cloud. |
| CloudApps/Publish | Publicar uma aplicação na cloud. |
| CloudApps/Leitura | Leia as propriedades de uma aplicação na cloud ou de uma aplicação detetada. |
| CloudApps/Repor | Repor uma aplicação na cloud. |
| CloudApps/Anular publicação | Anular a publicação de uma aplicação na cloud. |
| CloudApps/Update | Atualize as propriedades de uma aplicação na cloud. |
| CloudPCs/ChangeUserAccountType | Altere o tipo de conta de utilizador entre o administrador local e o utilizador padrão de um PC na Cloud no seu inquilino. |
| CloudPCs/CheckAgentStatus | Acionar o agente verificações de status para PCs na Cloud no seu inquilino. |
| CloudPCs/CreateSnapshot | Crie manualmente snapshot para PCs na Cloud no seu inquilino. |
| CloudPCs/Desaprovisionar | Desaprovisionar PCs na Cloud no seu inquilino. |
| CloudPCs/DisasterRecoveryFailback | Desative a recuperação após desastre entre regiões para PCs na Cloud no seu inquilino. |
| CloudPCs/DisasterRecoveryFailover | Ativar a recuperação após desastre entre regiões para PCs na Cloud no seu inquilino. |
| CloudPCs/EndGracePeriod | Terminar período de tolerância para PCs na Cloud no seu inquilino. |
| CloudPCs/GetCloudPcLaunchInfo | Obtenha informações de Iniciação do CloudPC no seu inquilino. |
| CloudPCs/ModifyDiskEncryptionType | Modifique o tipo de encriptação de disco dos PCs na Cloud no seu inquilino. |
| CloudPCs/PlaceUnderReview | Defina os PCs na Cloud sob revisão no seu inquilino. |
| CloudPCs/PowerOff | Desligue os PCs na Cloud no seu inquilino. |
| CloudPCs/PowerOn | Ligar PCs na Cloud no seu inquilino. |
| CloudPCs/Aprovisionamento | Aprovisionar PCs na Cloud no seu inquilino. |
| CloudPCs/Leitura | Leia as propriedades dos PCs na Cloud no seu inquilino. |
| CloudPCs/Reiniciar | Reinicie os PCs na Cloud no seu inquilino. |
| CloudPCs/ReinstallAgent | Reinstale o agente para PCs cloud no seu inquilino. |
| CloudPCs/Mudar o Nome | Mude o nome dos PCs na Cloud no seu inquilino. |
| CloudPCs/Reaprovisionar | Volte a aprovisionar PCs na Cloud no seu inquilino. |
| CloudPCs/Redimensionar | Redimensione os PCs na Cloud no seu inquilino. |
| CloudPCs/Restaurar | Restaure PCs na Cloud no seu inquilino. |
| CloudPCs/RetrieveAgentStatus | Obtenha o agente status para PCs na Cloud no seu inquilino. |
| CloudPCs/RetryPartnerAgentInstallation | Tentativa de reinstalar agentes de parceiros de grupo num PC na Cloud que não foi possível instalar. |
| CloudPCs/SetDeviceName | Defina o nome real do dispositivo dos PCs na Cloud no seu inquilino. |
| CloudPCs/Iniciar | Inicie PCs na Cloud no seu inquilino. |
| CloudPCs/Parar | Pare os PCs na Cloud no seu inquilino. |
| CloudPCs/Resolução de Problemas | Resolver problemas de PCs na Cloud no seu inquilino. |
| CloudPCUserSettingsPersistence/Delete | Elimine o armazenamento de utilizadores guardado associado à política de aprovisionamento de um PC na Cloud. |
| CloudPCUserSettingsPersistence/Read | Leia o armazenamento de sincronização da experiência do utilizador do Cloud PC, incluindo o armazenamento total e utilizado, bem como as alocações de armazenamento de utilizadores individuais. |
| CloudPCUserSettingsPersistence/Update | Atualize a configuração de sincronização da experiência do utilizador do Cloud PC, incluindo as definições de limpeza automática e o dimensionamento dinâmico. |
| CrossRegionDisasterRecovery/Read | Leia os relatórios PC na nuvem do Windows 365 Recuperação Após Desastre entre Regiões. |
| Imagens do Dispositivo/Criar | Carregue uma imagem personalizada do SO que pode aprovisionar posteriormente em PCs na Cloud. |
| Imagens do Dispositivo/Eliminar | Eliminar uma imagem do SO do Cloud PC. |
| Imagens/Leitura do Dispositivo | Leia as propriedades das imagens do dispositivo do CLOUD PC. |
| Imagens/Atualização do Dispositivo | Atualizações as propriedades de uma imagem de dispositivo do CLOUD PC. Atualmente, apenas a propriedade scopeIds pode ser modificada com o método PATCH. |
| DeviceRecommendation/Read | Leia relatórios relacionados com recomendações de dispositivos do CloudPCs. |
| Definições de Parceiro Externo/Criar | Crie uma nova definição de parceiro externo do CLOUD PC. |
| Definições de Parceiro Externo/Leitura | Leia as propriedades de uma definição de parceiro externo do PC na Cloud. |
| Definições/Atualização de Parceiros Externos | Atualize as propriedades de uma definição de parceiro externo do PC na Cloud. |
| FrontLineServicePlans/Leitura | Leia as propriedades dos Planos de Serviço de Front-Line do CLOUD PC. |
| FrontlineReports/Read | Leia os relatórios PC na nuvem do Windows 365 Frontline. |
| InaccessibleReports/Read | Leia os relatórios de PCs na Cloud inacessíveis. |
| ManutençãoWindows/Assign | Atribua uma janela de manutenção do CLOUD PC a grupos de utilizadores. |
| ManutençãoWindows/Criar | Crie uma nova janela de manutenção do CLOUD PC. |
| ManutençãoWindows/Delete | Eliminar uma janela de manutenção do CLOUD PC. Não pode eliminar uma janela de manutenção que esteja a ser utilizada. |
| ManutençãoWindows/Leitura | Leia as propriedades de uma janela de manutenção do CLOUD PC. |
| ManutençãoWindows/Update | Atualize as propriedades de uma janela de manutenção do CLOUD PC. |
| ManagedLicenses/Leitura | Leia as propriedades dos planos de serviço gerido do Windows365. |
| Definições da Organização/Leitura | Leia as propriedades das definições da organização do CLOUD PC. |
| Definições/Atualização da Organização | Atualize as propriedades das definições da organização do CLOUD PC. |
| PerformanceReports/Read | Leia o PC na nuvem do Windows 365 relatórios relacionados com ligações remotas. |
| Políticas de Aprovisionamento/Aplicar | Aplique a configuração da política de aprovisionamento atual aos PCs na Cloud no seu inquilino. |
| Políticas de Aprovisionamento/Atribuir | Atribua uma política de aprovisionamento do CLOUD PC a grupos de utilizadores. |
| Políticas de Aprovisionamento/Criar | Crie uma nova política de aprovisionamento do Cloud PC. |
| Políticas de Aprovisionamento/Eliminar | Eliminar uma política de aprovisionamento de PC na Cloud. Não pode eliminar uma política que esteja a ser utilizada. |
| Políticas de Aprovisionamento/Leitura | Leia as propriedades de uma política de aprovisionamento de UM PC na Cloud. |
| Políticas de Aprovisionamento/Repetição | Repita a operação de aprovisionamento para PCs na Cloud que falharam. |
| Políticas de Aprovisionamento/Atualização | Atualize as propriedades de uma política de aprovisionamento de UM PC na Cloud. |
| Políticas de Aprovisionamento (Agentes)/Criar | Crie um novo conjunto de PC na Cloud. |
| Políticas de Aprovisionamento (Agentes)/Eliminar | Eliminar um conjunto de PC na Cloud. |
| Políticas de Aprovisionamento (Agentes)/Leitura | Leia as propriedades de um conjunto de PC na Cloud. |
| Políticas de Aprovisionamento (Agentes)/Atualização | Atualize as propriedades de um conjunto de PC na Cloud. |
| Atribuições de Funções/Criar | Crie uma nova atribuição de função de PC na Cloud. |
| Atribuições de Funções/Eliminar | Eliminar uma atribuição de função específica do CLOUD PC. |
| Atribuições de Funções/Atualização | Atualize as propriedades de uma atribuição de função específica do PC na Cloud. |
| Funções/Criar | Criar função para o CLOUD PC. As operações de criação podem ser efetuadas num recurso (ou entidade) do Cloud PC. |
| Funções/Excluir | Eliminar função para o CLOUD PC. As operações de eliminação podem ser realizadas num recurso (ou entidade) do CLOUD PC. |
| Funções/Leitura | Ver permissões, definições de funções e atribuições de funções para a função do PC na Cloud. Ver a operação ou ação que pode ser executada num recurso (ou entidade) do CLOUD PC. |
| Funções/Atualizar | Função de atualização para o CLOUD PC. As operações de atualização podem ser realizadas num recurso (ou entidade) do CLOUD PC. |
| ServicePlan/Read | Leia os planos de serviço do Cloud PC. |
| Definições/Atribuir | Atribua um perfil de definições do Cloud PC a grupos de Entra. |
| Definições/Criar | Crie um novo perfil de definições do Cloud PC. |
| Definições/Eliminar | Eliminar um perfil de definições do CLOUD PC. |
| Definições/Leitura | Leia as propriedades de um perfil de definições do CLOUD PC. |
| Definições/Atualização | Atualize as propriedades de um perfil de definições do CLOUD PC. |
| SharedUseLicenseUsageReports/Read | Leia o PC na nuvem do Windows 365 Relatórios relacionados com a utilização da licença de utilização partilhada. |
| SharedUseServicePlans/Read | Leia as propriedades dos Planos de Serviço de Utilização Partilhada do CLOUD PC. |
| Instantâneo/Importação | Importe os snapshot retirados da máquina virtual do Azure. |
| Snapshot/PurgeImportedSnapshot | Elimine os instantâneos importados do cliente para o aprovisionamento do CLOUD PC. Tenha em atenção que ter esta permissão só permite eliminar instantâneos importados. |
| Instantâneo/Leitura | Leia o Instantâneo do CLOUD PC. |
| Instantâneo/Partilha | Partilhe o Instantâneo do CLOUD PC. |
| Região/Leitura Suportada | Leia as regiões suportadas do CLOUD PC. |
| Definições do Utilizador/Atribuir | Atribuir uma definição de utilizador do CLOUD PC a grupos de utilizadores. |
| Definições do Utilizador/Criar | Crie uma nova definição de utilizador do Cloud PC. |
| Definições do Utilizador/Eliminar | Eliminar uma definição de utilizador do CLOUD PC. |
| Definições do Utilizador/Leitura | Leia as propriedades de uma definição de utilizador do CLOUD PC. |
| Definições/Atualização do Utilizador | Atualize as propriedades de uma definição de utilizador do CLOUD PC. |
| Webhooks/Criar | Crie uma subscrição de webhook para o Microsoft Power Platform. |
| Webhooks/Delete | Eliminar uma subscrição de webhook para o Microsoft Power Platform. |
Para criar uma política de provisionamento, um administrador precisa das seguintes permissões:
- Políticas de Aprovisionamento/Leitura
- Políticas de Aprovisionamento/Criar
- Azure Ligações de Rede/Leitura
- Região/Leitura Suportada
- Imagens/Leitura do Dispositivo
Migrar permissões existentes
Para ANCs criados antes de 26 de novembro de 2023, a função Contribuidor de Rede é utilizada para aplicar permissões no Grupo de Recursos e Rede Virtual. Para aplicar às novas funções RBAC, pode repetir o estado de funcionamento do ANC marcar. As funções existentes têm de ser removidas manualmente.
Para remover manualmente as funções existentes e adicionar as novas funções, consulte a tabela seguinte para as funções existentes utilizadas em cada recurso Azure. Antes de remover as funções existentes, certifique-se de que as funções atualizadas estão atribuídas.
| Recurso do Azure | Função existente (antes de 26 de novembro de 2023) | Função atualizada (após 26 de novembro de 2023) |
|---|---|---|
| Grupo de recursos | Contribuidor de Rede | Contribuidor da Interface de Rede do Windows 365 |
| Rede virtual | Contribuidor de Rede | Utilizador de Rede do Windows 365 |
| Assinatura | Leitor | Leitor |
Para obter mais detalhes sobre como remover uma atribuição de função de um recurso Azure, veja Remover atribuições de funções Azure.
Marcas de escopo
Para RBAC, as funções são apenas parte da equação. Embora as funções funcionem bem para definir um conjunto de permissões, as etiquetas de âmbito ajudam a definir a visibilidade dos recursos da sua organização. As etiquetas de âmbito são mais úteis ao organizar o seu inquilino para que os utilizadores estejam no âmbito de determinadas hierarquias, regiões geográficas, unidades de negócio, etc.
Utilize Intune para criar e gerir etiquetas de âmbito. Para obter mais informações sobre como as etiquetas de âmbito são criadas e geridas, veja Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída.
No Windows 365, as etiquetas de âmbito podem ser aplicadas aos seguintes recursos:
- Políticas de provisionamento
- Azure ligações de rede (ANC)
- Cloud PCs
- Imagens personalizadas
- Windows 365 atribuições de funções RBAC
Para se certificar de que a lista Todos os dispositivos pertencentes à Intune e a lista todos os PCs em Nuvem propriedade Windows 365 mostram os mesmos PCs na Cloud com base no âmbito, siga estes passos depois de criar as etiquetas de âmbito e a política de aprovisionamento:
- Crie um Microsoft Entra ID grupo de dispositivos dinâmico com a regra que enrollmentProfileName é igual ao nome exato da política de aprovisionamento criada.
- Atribua a etiqueta de âmbito criada ao grupo de dispositivos dinâmico.
- Depois de o CLOUD PC ser aprovisionado e inscrito no Intune, tanto a lista Todos os Dispositivos como a lista Todos os PCs na Cloud devem apresentar os mesmos PCs na Cloud.
Se adicionar novas etiquetas de âmbito a uma política de aprovisionamento, certifique-se de que também adiciona as etiquetas de âmbito ao Intune grupo dinâmico. Esta adição garante que o grupo dinâmico honra as novas etiquetas de âmbito. Além disso, marcar em quaisquer PCs na Cloud que possam ter etiquetas de âmbito exclusivas adicionadas aos mesmos para garantir que ainda estão lá após quaisquer atualizações.
Para garantir que Windows 365 podem respeitar as alterações às etiquetas de âmbito Intune, estes dados são sincronizados a partir de Intune. Para obter mais informações, veja Privacidade, dados do cliente e conteúdo do cliente no Windows 365.
Para permitir que os administradores no âmbito vejam as etiquetas de âmbito que lhes são atribuídas e os objetos no âmbito, tem de lhes ser atribuída uma das seguintes funções:
- Intune só de leitura
- Leitor/administrador do PC na Cloud
- Uma função personalizada com permissões semelhantes.
Próximas etapas
RBAC (controle de acesso baseado em função) com o Microsoft Intune.
Compreender Azure definições de função
O que é Azure controlo de acesso baseado em funções (Azure RBAC)?