役割ベースのアクセス制御

ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Microsoft Intune管理センターを使用して、クラウド PC のロールを割り当てることができます。

サブスクリプション所有者またはユーザー アクセス管理者ロールを持つユーザーが ANC を作成、編集、または再試行すると、Windows 365は、必要な組み込みロールに次のリソースを透過的に割り当てます (まだ割り当てられない場合)。

  • Azure のサブスクリプション
  • リソース グループ
  • ANC に関連付けられている仮想ネットワーク

サブスクリプション閲覧者ロールしかない場合、これらの割り当ては自動ではありません。 代わりに、Azureで Windows ファースト パーティ アプリに必要な組み込みロールを手動で構成する必要があります。

詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

Windows 365 管理者

Windows 365では、Microsoft 管理 センターとMicrosoft Entra IDを通じてロールの割り当てに使用できるWindows 365管理者ロールがサポートされます。 この役割を使用すると、Enterprise エディションと Business エディションの両方の Windows 365 クラウド PC を管理できます。 Windows 365管理者ロールは、グローバル管理者などの他のMicrosoft Entraロールよりも多くのスコープ付きアクセス許可を付与できます。 詳細については、「Microsoft Entra組み込みロール」を参照してください。

クラウド PC の組み込みロール

クラウド PC では、次の組み込みロールを使用できます。

クラウド PC 管理者

次のようなクラウド PC のすべての側面を管理します。

  • OS イメージ管理
  • Azure ネットワーク接続の構成
  • プロビジョニング

クラウド PC リーダー

Microsoft IntuneのWindows 365 ノードで使用可能なクラウド PC データを表示しますが、変更することはできません。

Windows 365 ネットワーク インターフェイス共同作成者

Windows 365 ネットワーク インターフェイス共同作成者ロールは、Azure ネットワーク接続 (ANC) に関連付けられているリソース グループに割り当てられます。 このロールを使用すると、Windows 365 サービスは NIC を作成して参加させ、リソース グループ内のデプロイを管理できます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。

アクションの種類 アクセス許可
actions Microsoft.Resources/subscriptions/resourcegroups/read
Microsoft.Resources/deployments/read
Microsoft.Resources/deployments/write
Microsoft.Resources/deployments/delete
Microsoft.Resources/deployments/operations/read

Microsoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/read
Microsoft.Network/locations/operationResults/read
Microsoft.Network/locations/usages/read
Microsoft.Network/networkInterfaces/write
Microsoft.Network/networkInterfaces/read
Microsoft.Network/networkInterfaces/delete
Microsoft.Network/networkInterfaces/join/action
Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action
Microsoft.Network/networkInterfaces/effectiveRouteTable/action
notActions なし
dataActions なし
notDataActions なし

Windows 365 ネットワーク ユーザー

Windows 365 ネットワーク ユーザー ロールは、ANC に関連付けられている仮想ネットワークに割り当てられます。 このロールにより、Windows 365 サービスは NIC を仮想ネットワークに参加させることができます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。

アクションの種類 アクセス許可
actions Microsoft.Network/virtualNetworks/read
Microsoft.Network/virtualNetworks/subnets/read
Microsoft.Network/virtualNetworks/usages/read
Microsoft.Network/virtualNetworks/subnets/join/action
notActions なし
dataActions なし
notDataActions なし

カスタムの役割

管理センターでWindows 365のカスタム ロールMicrosoft Intune作成できます。 詳細については、「カスタム ロールの作成」を参照してください。

カスタム ロールを作成する場合は、次のアクセス許可を使用できます。

アクセス許可 説明
ActionStatus/Read クラウド PC アクションの状態レポートを読み取ります。
AdminHighlights/Operate 管理者の強調表示と管理者の強調表示のプロパティを管理するために実行されたアクションを取得する
AuditData/Read テナント内のクラウド PC リソースの監査ログを読み取ります。
Azure ネットワーク接続/作成 クラウド PC をプロビジョニングするためのオンプレミス接続を作成します。 オンプレミス接続を作成するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。
ネットワーク接続のAzure/削除 特定のオンプレミス接続を削除します。 リマインダー: 使用中の接続を削除することはできません。 オンプレミス接続を削除するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。
Azure ネットワーク接続/読み取り オンプレミス接続のプロパティを読み取ります。
Azure ネットワーク接続/RunHealthChecks 特定のオンプレミス接続で正常性チェックを実行します。 正常性チェックを実行するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。
Azure ネットワーク接続/更新 特定のオンプレミス接続のプロパティを更新します。 オンプレミス接続を更新するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。
Azure ネットワーク接続/UpdateAdDomainPassword 特定のオンプレミス接続の Active Directory ドメイン パスワードを更新します。
BulkActions/Read クラウド PC の一括操作のプロパティを読み取ります。
BulkActions/Write 新しいクラウド PC の一括アクションを作成します。
CloudApps/Create 新しいクラウド アプリを作成します。
CloudApps/Delete クラウド アプリを削除します。
CloudApps/Publish クラウド アプリを発行します。
CloudApps/Read クラウド アプリまたは検出されたアプリのプロパティを読み取ります。
CloudApps/Reset クラウド アプリをリセットします。
CloudApps/Unpublish クラウド アプリの発行を解除します。
CloudApps/Update クラウド アプリのプロパティを更新します。
CloudPC/ChangeUserAccountType ローカル管理者とテナント内のクラウド PC の標準ユーザーの間でユーザー アカウントの種類を変更します。
CloudPC/CheckAgentStatus テナント内のクラウド PC のエージェント ステータス チェックをトリガーします。
CloudPC/CreateSnapshot テナントにクラウド PC 用のスナップショットを手動で作成します。
CloudPC/Deprovision テナント内のクラウド PC のプロビジョニングを解除します。
CloudPC/DisasterRecoveryFailback テナント内のクラウド PC のリージョン間ディザスター リカバリーを非アクティブ化します。
CloudPC/DisasterRecoveryFailover テナント内のクラウド PC のリージョン間ディザスター リカバリーをアクティブ化します。
CloudPC/EndGracePeriod テナント内のクラウド PC の猶予期間を終了します。
CloudPC/GetCloudPcLaunchInfo テナントで CloudPC 起動情報を取得します。
CloudPC/ModifyDiskEncryptionType テナントのクラウド PC ディスク暗号化の種類を変更します。
CloudPC/PlaceUnderReview テナントで確認中のクラウド PC を設定します。
CloudPC/PowerOff テナント内のクラウド PC の電源をオフにします。
CloudPC/PowerOn テナント内のクラウド PC の電源をオンにします。
CloudPC/Provision テナントでクラウド PC をプロビジョニングします。
CloudPC/Read テナント内のクラウド PC のプロパティを読み取ります。
CloudPC/Reboot テナント内のクラウド PC を再起動します。
CloudPC/ReinstallAgent テナントにクラウド PC 用エージェントを再インストールします。
CloudPC/Rename テナント内のクラウド PC の名前を変更します。
CloudPC/再プロビジョニング テナント内のクラウド PC を再プロビジョニングします。
CloudPC/Resize テナント内のクラウド PC のサイズを変更します。
CloudPC/Restore テナント内のクラウド PC を復元します。
CloudPC/RetrieveAgentStatus テナント内のクラウド PC のエージェントの状態を取得します。
CloudPC/RetryPartnerAgentInstallation インストールに失敗したクラウド PC にパーティ パートナー エージェントの再インストールを試みます。
CloudPC/SetDeviceName テナント内のクラウド PC の実際のデバイス名を設定します。
CloudPC/Start テナントでクラウド PC を起動します。
CloudPC/Stop テナント内のクラウド PC を停止します。
CloudPC/トラブルシューティング テナント内のクラウド PC のトラブルシューティングを行います。
CloudPCUserSettingsPersistence/Delete クラウド PC のプロビジョニング ポリシーにリンクされている保存済みユーザー ストレージを削除します。
CloudPCUserSettingsPersistence/Read クラウド PC ユーザー エクスペリエンス同期ストレージ (合計ストレージと使用済みストレージ、個々のユーザー ストレージ割り当てなど) を読み取ります。
CloudPCUserSettingsPersistence/Update 自動クリーンアップ設定や動的サイズ設定など、クラウド PC ユーザー エクスペリエンスの同期構成を更新します。
CrossRegionDisasterRecovery/Read リージョン間ディザスター リカバリーのWindows 365 クラウド PCレポートを読みます。
デバイス イメージ/作成 クラウド PC で後でプロビジョニングできるカスタム OS イメージをアップロードします。
デバイス イメージ/削除 クラウド PC から OS イメージを削除します。
デバイス イメージ/読み取り クラウド PC デバイス イメージのプロパティを読み取ります。
デバイス イメージ/更新 クラウド PC デバイス イメージのプロパティをUpdatesします。 現在、PATCH メソッドを使用して変更できるのは scopeIds プロパティのみです。
DeviceRecommendation/Read CloudPCs デバイスの推奨事項に関連するレポートを読み取ります。
外部パートナー設定/作成 新しいクラウド PC 外部パートナー設定を作成します。
外部パートナー設定/読み取り クラウド PC 外部パートナー設定のプロパティを読み取ります。
外部パートナー設定/更新 クラウド PC 外部パートナー設定のプロパティを更新します。
FrontLineServicePlans/Read クラウド PC フロント ライン サービス プランのプロパティを読み取ります。
FrontlineReports/Read Windows 365 クラウド PCフロントライン レポートを読む。
InaccessibleReports/Read アクセスできないクラウド PC レポートを読み取ります。
MaintenanceWindows/Assign クラウド PC メンテナンス期間をユーザー グループに割り当てます。
MaintenanceWindows/Create 新しいクラウド PC メンテナンス期間を作成します。
MaintenanceWindows/Delete クラウド PC のメンテナンス期間を削除します。 使用中のメンテナンス期間は削除できません。
MaintenanceWindows/Read クラウド PC メンテナンス期間のプロパティを読み取ります。
MaintenanceWindows/Update クラウド PC のメンテナンス期間のプロパティを更新します。
ManagedLicenses/Read Windows365 マネージド サービス プランのプロパティを読み取る。
組織の設定/読み取り Cloud PC organization設定のプロパティを読み取ります。
組織の設定/更新 Cloud PC organization設定のプロパティを更新します。
PerformanceReports/Read Windows 365 クラウド PCリモート接続関連レポートを読み取る。
プロビジョニング ポリシー/適用 テナント内のクラウド PC に現在のプロビジョニング ポリシー構成を適用します。
プロビジョニング ポリシー/割り当て クラウド PC プロビジョニング ポリシーをユーザー グループに割り当てます。
プロビジョニング ポリシー/作成 新しいクラウド PC プロビジョニング ポリシーを作成します。
プロビジョニング ポリシー/削除 クラウド PC プロビジョニング ポリシーを削除します。 使用中のポリシーは削除できません。
プロビジョニング ポリシー/読み取り クラウド PC プロビジョニング ポリシーのプロパティを読み取ります。
プロビジョニング ポリシー/再試行 失敗したクラウド PC のプロビジョニング操作を再試行します。
プロビジョニング ポリシー/更新 クラウド PC プロビジョニング ポリシーのプロパティを更新します。
プロビジョニング ポリシー (エージェント)/作成 新しいクラウド PC プールを作成します。
プロビジョニング ポリシー (エージェント)/削除 クラウド PC プールを削除します。
プロビジョニング ポリシー (エージェント)/読み取り クラウド PC プールのプロパティを読み取ります。
プロビジョニング ポリシー (エージェント)/更新 クラウド PC プールのプロパティを更新します。
ロールの割り当て/作成 新しいクラウド PC ロールの割り当てを作成します。
ロールの割り当て/削除 特定のクラウド PC ロールの割り当てを削除します。
ロールの割り当て/更新 特定のクラウド PC ロールの割り当てのプロパティを更新します。
ロール/作成 クラウド PC のロールを作成します。 作成操作は、クラウド PC リソース (またはエンティティ) で実行できます。
ロール/削除 クラウド PC のロールを削除します。 削除操作は、クラウド PC リソース (またはエンティティ) で実行できます。
ロール/読み取り クラウド PC ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 クラウド PC リソース (またはエンティティ) で実行できる操作またはアクションを表示します。
ロール/更新 クラウド PC のロールを更新します。 更新操作は、クラウド PC リソース (またはエンティティ) で実行できます。
ServicePlan/Read クラウド PC のサービス プランをお読みください。
設定/割り当て クラウド PC 設定プロファイルをEntra グループに割り当てます。
設定/作成 新しいクラウド PC 設定プロファイルを作成します。
設定/削除 クラウド PC 設定プロファイルを削除します。
設定/読み取り クラウド PC 設定プロファイルのプロパティを読み取ります。
設定/更新 クラウド PC 設定プロファイルのプロパティを更新します。
SharedUseLicenseUsageReports/Read Windows 365 クラウド PC共有使用ライセンスの使用状況に関するレポートを読みます。
SharedUseServicePlans/Read クラウド PC 共有使用サービス プランのプロパティを読み取ります。
スナップショット/インポート azure 仮想マシンから取得したスナップショットをインポートします。
Snapshot/PurgeImportedSnapshot クラウド PC プロビジョニングの顧客がインポートしたスナップショットを削除します。 このアクセス許可を持つことで、インポートされたスナップショットの削除のみが許可されることに注意してください。
スナップショット/読み取り クラウド PC のスナップショットを読み取ります。
スナップショット/共有 クラウド PC のスナップショットを共有します。
サポートされているリージョン/読み取り クラウド PC のサポートされているリージョンを読み取ります。
ユーザー設定/割り当て クラウド PC ユーザー設定をユーザー グループに割り当てます。
ユーザー設定/作成 新しいクラウド PC ユーザー設定を作成します。
ユーザー設定/削除 クラウド PC ユーザー設定を削除します。
ユーザー設定/読み取り クラウド PC ユーザー設定のプロパティを読み取ります。
ユーザー設定/更新 クラウド PC ユーザー設定のプロパティを更新します。
Webhooks/Create Microsoft Power Platform の Webhook サブスクリプションを作成します。
Webhooks/Delete Microsoft Power Platform の Webhook サブスクリプションを削除します。

プロビジョニングポリシーを作成するには、管理者は次のアクセス許可が必要です。

  • プロビジョニング ポリシー/読み取り
  • プロビジョニング ポリシー/作成
  • Azure ネットワーク接続/読み取り
  • サポートされているリージョン/読み取り
  • デバイス イメージ/読み取り

既存のアクセス許可の移行

2023 年 11 月 26 日より前に作成された ANC の場合、ネットワーク共同作成者ロールを使用して、リソース グループとVirtual Networkの両方にアクセス許可を適用します。 新しい RBAC ロールに適用するには、ANC 正常性チェックを再試行します。 既存のロールは手動で削除する必要があります。

既存のロールを手動で削除し、新しいロールを追加するには、各Azure リソースで使用されている既存のロールについて、次の表を参照してください。 既存のロールを削除する前に、更新されたロールが割り当てられていることを確認してください。

Azure リソース 既存のロール (2023 年 11 月 26 日より前) ロールの更新 (2023 年 11 月 26 日以降)
リソース グループ ネットワーク共同作成者 Windows 365 ネットワーク インターフェイス共同作成者
仮想ネットワーク ネットワーク共同作成者 Windows 365 ネットワーク ユーザー
サブスクリプション Reader Reader

Azure リソースからロールの割り当てを削除する方法の詳細については、「Azureロールの割り当てを削除する」を参照してください。

スコープ グループ

スコープ グループは、ロールの割り当ての一部として管理者が操作できるユーザーを定義するMicrosoft Entra ID グループです。 ロールは管理者が持つアクセス許可を定義しますが、スコープ グループはそれらのアクセス許可を適用するユーザーを定義します。

スコープ グループを構成する場合は、次のガイダンスを使用して、想定される動作を確認します。

  • スコープ グループが制御する内容を理解します。 スコープ グループは、管理者が管理できるユーザーとグループを決定します。 これは、ポリシー、アプリケーション、スクリプト、およびその他の管理オブジェクトを割り当てるときに対象となるグループと、管理者がロールの割り当てを通じてアクセスできるユーザー リソースの両方に影響します。

  • スコープに必要なすべてのユーザーを含めます。 割り当てられたスコープ グループにユーザーが含まれていない場合、管理者は正しいロールのアクセス許可を持っていても、そのユーザーのクラウド PC に対してアクションを実行できません。

  • より広範なカバレッジが必要な場合は、"すべてのユーザー" を使用します 。一部のアクションでは、テナント内のすべてのユーザーの可視性が必要な場合があります。 たとえば、特定のライフサイクルの状態 (ライセンス変更後など) に、ユーザーがクラウド PC に関連付けられていない可能性があります。 このような場合、 すべてのユーザー を使用すると、アクションを確実に完了できます。

  • 入れ子になったグループは使用しないでください。 入れ子になったグループ メンバーシップは、スコープ グループに対して想定どおりに評価されません。 これは、Windows 365が入れ子になったグループをサポートしていないためです。 一貫性のある動作を確保するには、直接ユーザー メンバーシップを持つグループを使用します。

現在、スコープ グループは、管理者がデバイスアクションを実行するときに評価されることに注意してください。 管理者は、アクションを許可するために、割り当てられたスコープ グループを使用してターゲット デバイスにアクセスできる必要があります。

スコープ タグ

RBAC の場合、ロールは数式の一部にすぎません。 ロールは一連のアクセス許可を定義するのに役立ちますが、スコープ タグはorganizationのリソースの可視性を定義するのに役立ちます。 スコープ タグは、特定の階層、地理的な地域、部署などを対象にユーザーを対象にするようにテナントを整理する場合に最も役立ちます。

Intuneを使用して、スコープ タグを作成および管理します。 スコープ タグの作成方法と管理方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。

Windows 365では、スコープ タグを次のリソースに適用できます。

  • プロビジョニング ポリシー
  • Azure ネットワーク接続 (ANC)
  • クラウド PC
  • カスタム イメージ
  • RBAC ロールの割り当てをWindows 365する

Intune所有のすべてのデバイスの一覧とWindows 365所有のすべてのクラウド PC の両方の一覧に、スコープに基づいて同じクラウド PC が表示されるようにするには、スコープ タグとプロビジョニング ポリシーを作成した後、次の手順に従います。

  1. enrollmentProfileName が作成されたプロビジョニング ポリシーの正確な名前と等しいルールを使用して、Microsoft Entra ID動的デバイス グループを作成します。
  2. 作成したスコープ タグを動的デバイス グループに割り当てます。
  3. クラウド PC がプロビジョニングされ、Intuneに登録されると、[すべてのデバイス] リストと [すべてのクラウド PC] の両方の一覧に同じクラウド PC が表示されます。

プロビジョニング ポリシーに新しいスコープ タグを追加する場合は、スコープ タグもIntune動的グループに追加してください。 この追加により、動的グループが新しいスコープ タグを確実に受け入れられます。 また、更新後も一意のスコープ タグが追加されている可能性があるクラウド PC でチェックします。

Windows 365スコープ タグの変更を確実に反映Intune、このデータはIntuneから同期されます。 詳細については、「Windows 365のプライバシー、顧客データ、顧客コンテンツ」を参照してください。

スコープ管理者が割り当てられているスコープ タグとそのスコープ内のオブジェクトを表示できるようにするには、次のいずれかのロールを割り当てる必要があります。

  • 読み取り専用Intune
  • クラウド PC 閲覧者/管理者
  • 同様のアクセス許可を持つカスタム ロール。

次の手順

Microsoft Intune でのロールベースのアクセス制御 (RBAC)

ロールの定義Azure理解する

Azureロールベースのアクセス制御 (Azure RBAC) とは