ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Microsoft Intune管理センターを使用して、クラウド PC のロールを割り当てることができます。
サブスクリプション所有者またはユーザー アクセス管理者ロールを持つユーザーが ANC を作成、編集、または再試行すると、Windows 365は、必要な組み込みロールに次のリソースを透過的に割り当てます (まだ割り当てられない場合)。
- Azure のサブスクリプション
- リソース グループ
- ANC に関連付けられている仮想ネットワーク
サブスクリプション閲覧者ロールしかない場合、これらの割り当ては自動ではありません。 代わりに、Azureで Windows ファースト パーティ アプリに必要な組み込みロールを手動で構成する必要があります。
詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。
Windows 365 管理者
Windows 365では、Microsoft 管理 センターとMicrosoft Entra IDを通じてロールの割り当てに使用できるWindows 365管理者ロールがサポートされます。 この役割を使用すると、Enterprise エディションと Business エディションの両方の Windows 365 クラウド PC を管理できます。 Windows 365管理者ロールは、グローバル管理者などの他のMicrosoft Entraロールよりも多くのスコープ付きアクセス許可を付与できます。 詳細については、「Microsoft Entra組み込みロール」を参照してください。
クラウド PC の組み込みロール
クラウド PC では、次の組み込みロールを使用できます。
クラウド PC 管理者
次のようなクラウド PC のすべての側面を管理します。
- OS イメージ管理
- Azure ネットワーク接続の構成
- プロビジョニング
クラウド PC リーダー
Microsoft IntuneのWindows 365 ノードで使用可能なクラウド PC データを表示しますが、変更することはできません。
Windows 365 ネットワーク インターフェイス共同作成者
Windows 365 ネットワーク インターフェイス共同作成者ロールは、Azure ネットワーク接続 (ANC) に関連付けられているリソース グループに割り当てられます。 このロールを使用すると、Windows 365 サービスは NIC を作成して参加させ、リソース グループ内のデプロイを管理できます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。
| アクションの種類 | アクセス許可 |
|---|---|
| actions | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/readMicrosoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Windows 365 ネットワーク ユーザー
Windows 365 ネットワーク ユーザー ロールは、ANC に関連付けられている仮想ネットワークに割り当てられます。 このロールにより、Windows 365 サービスは NIC を仮想ネットワークに参加させることができます。 このロールは、ANC を使用するときにWindows 365を操作するために必要な最小限のアクセス許可のコレクションです。
| アクションの種類 | アクセス許可 |
|---|---|
| actions | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
カスタムの役割
管理センターでWindows 365のカスタム ロールMicrosoft Intune作成できます。 詳細については、「カスタム ロールの作成」を参照してください。
カスタム ロールを作成する場合は、次のアクセス許可を使用できます。
| アクセス許可 | 説明 |
|---|---|
| ActionStatus/Read | クラウド PC アクションの状態レポートを読み取ります。 |
| AdminHighlights/Operate | 管理者の強調表示と管理者の強調表示のプロパティを管理するために実行されたアクションを取得する |
| AuditData/Read | テナント内のクラウド PC リソースの監査ログを読み取ります。 |
| Azure ネットワーク接続/作成 | クラウド PC をプロビジョニングするためのオンプレミス接続を作成します。 オンプレミス接続を作成するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。 |
| ネットワーク接続のAzure/削除 | 特定のオンプレミス接続を削除します。 リマインダー: 使用中の接続を削除することはできません。 オンプレミス接続を削除するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。 |
| Azure ネットワーク接続/読み取り | オンプレミス接続のプロパティを読み取ります。 |
| Azure ネットワーク接続/RunHealthChecks | 特定のオンプレミス接続で正常性チェックを実行します。 正常性チェックを実行するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。 |
| Azure ネットワーク接続/更新 | 特定のオンプレミス接続のプロパティを更新します。 オンプレミス接続を更新するには、サブスクリプション所有者またはユーザー アクセス管理者Azureロールも必要です。 |
| Azure ネットワーク接続/UpdateAdDomainPassword | 特定のオンプレミス接続の Active Directory ドメイン パスワードを更新します。 |
| BulkActions/Read | クラウド PC の一括操作のプロパティを読み取ります。 |
| BulkActions/Write | 新しいクラウド PC の一括アクションを作成します。 |
| CloudApps/Create | 新しいクラウド アプリを作成します。 |
| CloudApps/Delete | クラウド アプリを削除します。 |
| CloudApps/Publish | クラウド アプリを発行します。 |
| CloudApps/Read | クラウド アプリまたは検出されたアプリのプロパティを読み取ります。 |
| CloudApps/Reset | クラウド アプリをリセットします。 |
| CloudApps/Unpublish | クラウド アプリの発行を解除します。 |
| CloudApps/Update | クラウド アプリのプロパティを更新します。 |
| CloudPC/ChangeUserAccountType | ローカル管理者とテナント内のクラウド PC の標準ユーザーの間でユーザー アカウントの種類を変更します。 |
| CloudPC/CheckAgentStatus | テナント内のクラウド PC のエージェント ステータス チェックをトリガーします。 |
| CloudPC/CreateSnapshot | テナントにクラウド PC 用のスナップショットを手動で作成します。 |
| CloudPC/Deprovision | テナント内のクラウド PC のプロビジョニングを解除します。 |
| CloudPC/DisasterRecoveryFailback | テナント内のクラウド PC のリージョン間ディザスター リカバリーを非アクティブ化します。 |
| CloudPC/DisasterRecoveryFailover | テナント内のクラウド PC のリージョン間ディザスター リカバリーをアクティブ化します。 |
| CloudPC/EndGracePeriod | テナント内のクラウド PC の猶予期間を終了します。 |
| CloudPC/GetCloudPcLaunchInfo | テナントで CloudPC 起動情報を取得します。 |
| CloudPC/ModifyDiskEncryptionType | テナントのクラウド PC ディスク暗号化の種類を変更します。 |
| CloudPC/PlaceUnderReview | テナントで確認中のクラウド PC を設定します。 |
| CloudPC/PowerOff | テナント内のクラウド PC の電源をオフにします。 |
| CloudPC/PowerOn | テナント内のクラウド PC の電源をオンにします。 |
| CloudPC/Provision | テナントでクラウド PC をプロビジョニングします。 |
| CloudPC/Read | テナント内のクラウド PC のプロパティを読み取ります。 |
| CloudPC/Reboot | テナント内のクラウド PC を再起動します。 |
| CloudPC/ReinstallAgent | テナントにクラウド PC 用エージェントを再インストールします。 |
| CloudPC/Rename | テナント内のクラウド PC の名前を変更します。 |
| CloudPC/再プロビジョニング | テナント内のクラウド PC を再プロビジョニングします。 |
| CloudPC/Resize | テナント内のクラウド PC のサイズを変更します。 |
| CloudPC/Restore | テナント内のクラウド PC を復元します。 |
| CloudPC/RetrieveAgentStatus | テナント内のクラウド PC のエージェントの状態を取得します。 |
| CloudPC/RetryPartnerAgentInstallation | インストールに失敗したクラウド PC にパーティ パートナー エージェントの再インストールを試みます。 |
| CloudPC/SetDeviceName | テナント内のクラウド PC の実際のデバイス名を設定します。 |
| CloudPC/Start | テナントでクラウド PC を起動します。 |
| CloudPC/Stop | テナント内のクラウド PC を停止します。 |
| CloudPC/トラブルシューティング | テナント内のクラウド PC のトラブルシューティングを行います。 |
| CloudPCUserSettingsPersistence/Delete | クラウド PC のプロビジョニング ポリシーにリンクされている保存済みユーザー ストレージを削除します。 |
| CloudPCUserSettingsPersistence/Read | クラウド PC ユーザー エクスペリエンス同期ストレージ (合計ストレージと使用済みストレージ、個々のユーザー ストレージ割り当てなど) を読み取ります。 |
| CloudPCUserSettingsPersistence/Update | 自動クリーンアップ設定や動的サイズ設定など、クラウド PC ユーザー エクスペリエンスの同期構成を更新します。 |
| CrossRegionDisasterRecovery/Read | リージョン間ディザスター リカバリーのWindows 365 クラウド PCレポートを読みます。 |
| デバイス イメージ/作成 | クラウド PC で後でプロビジョニングできるカスタム OS イメージをアップロードします。 |
| デバイス イメージ/削除 | クラウド PC から OS イメージを削除します。 |
| デバイス イメージ/読み取り | クラウド PC デバイス イメージのプロパティを読み取ります。 |
| デバイス イメージ/更新 | クラウド PC デバイス イメージのプロパティをUpdatesします。 現在、PATCH メソッドを使用して変更できるのは scopeIds プロパティのみです。 |
| DeviceRecommendation/Read | CloudPCs デバイスの推奨事項に関連するレポートを読み取ります。 |
| 外部パートナー設定/作成 | 新しいクラウド PC 外部パートナー設定を作成します。 |
| 外部パートナー設定/読み取り | クラウド PC 外部パートナー設定のプロパティを読み取ります。 |
| 外部パートナー設定/更新 | クラウド PC 外部パートナー設定のプロパティを更新します。 |
| FrontLineServicePlans/Read | クラウド PC フロント ライン サービス プランのプロパティを読み取ります。 |
| FrontlineReports/Read | Windows 365 クラウド PCフロントライン レポートを読む。 |
| InaccessibleReports/Read | アクセスできないクラウド PC レポートを読み取ります。 |
| MaintenanceWindows/Assign | クラウド PC メンテナンス期間をユーザー グループに割り当てます。 |
| MaintenanceWindows/Create | 新しいクラウド PC メンテナンス期間を作成します。 |
| MaintenanceWindows/Delete | クラウド PC のメンテナンス期間を削除します。 使用中のメンテナンス期間は削除できません。 |
| MaintenanceWindows/Read | クラウド PC メンテナンス期間のプロパティを読み取ります。 |
| MaintenanceWindows/Update | クラウド PC のメンテナンス期間のプロパティを更新します。 |
| ManagedLicenses/Read | Windows365 マネージド サービス プランのプロパティを読み取る。 |
| 組織の設定/読み取り | Cloud PC organization設定のプロパティを読み取ります。 |
| 組織の設定/更新 | Cloud PC organization設定のプロパティを更新します。 |
| PerformanceReports/Read | Windows 365 クラウド PCリモート接続関連レポートを読み取る。 |
| プロビジョニング ポリシー/適用 | テナント内のクラウド PC に現在のプロビジョニング ポリシー構成を適用します。 |
| プロビジョニング ポリシー/割り当て | クラウド PC プロビジョニング ポリシーをユーザー グループに割り当てます。 |
| プロビジョニング ポリシー/作成 | 新しいクラウド PC プロビジョニング ポリシーを作成します。 |
| プロビジョニング ポリシー/削除 | クラウド PC プロビジョニング ポリシーを削除します。 使用中のポリシーは削除できません。 |
| プロビジョニング ポリシー/読み取り | クラウド PC プロビジョニング ポリシーのプロパティを読み取ります。 |
| プロビジョニング ポリシー/再試行 | 失敗したクラウド PC のプロビジョニング操作を再試行します。 |
| プロビジョニング ポリシー/更新 | クラウド PC プロビジョニング ポリシーのプロパティを更新します。 |
| プロビジョニング ポリシー (エージェント)/作成 | 新しいクラウド PC プールを作成します。 |
| プロビジョニング ポリシー (エージェント)/削除 | クラウド PC プールを削除します。 |
| プロビジョニング ポリシー (エージェント)/読み取り | クラウド PC プールのプロパティを読み取ります。 |
| プロビジョニング ポリシー (エージェント)/更新 | クラウド PC プールのプロパティを更新します。 |
| ロールの割り当て/作成 | 新しいクラウド PC ロールの割り当てを作成します。 |
| ロールの割り当て/削除 | 特定のクラウド PC ロールの割り当てを削除します。 |
| ロールの割り当て/更新 | 特定のクラウド PC ロールの割り当てのプロパティを更新します。 |
| ロール/作成 | クラウド PC のロールを作成します。 作成操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| ロール/削除 | クラウド PC のロールを削除します。 削除操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| ロール/読み取り | クラウド PC ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 クラウド PC リソース (またはエンティティ) で実行できる操作またはアクションを表示します。 |
| ロール/更新 | クラウド PC のロールを更新します。 更新操作は、クラウド PC リソース (またはエンティティ) で実行できます。 |
| ServicePlan/Read | クラウド PC のサービス プランをお読みください。 |
| 設定/割り当て | クラウド PC 設定プロファイルをEntra グループに割り当てます。 |
| 設定/作成 | 新しいクラウド PC 設定プロファイルを作成します。 |
| 設定/削除 | クラウド PC 設定プロファイルを削除します。 |
| 設定/読み取り | クラウド PC 設定プロファイルのプロパティを読み取ります。 |
| 設定/更新 | クラウド PC 設定プロファイルのプロパティを更新します。 |
| SharedUseLicenseUsageReports/Read | Windows 365 クラウド PC共有使用ライセンスの使用状況に関するレポートを読みます。 |
| SharedUseServicePlans/Read | クラウド PC 共有使用サービス プランのプロパティを読み取ります。 |
| スナップショット/インポート | azure 仮想マシンから取得したスナップショットをインポートします。 |
| Snapshot/PurgeImportedSnapshot | クラウド PC プロビジョニングの顧客がインポートしたスナップショットを削除します。 このアクセス許可を持つことで、インポートされたスナップショットの削除のみが許可されることに注意してください。 |
| スナップショット/読み取り | クラウド PC のスナップショットを読み取ります。 |
| スナップショット/共有 | クラウド PC のスナップショットを共有します。 |
| サポートされているリージョン/読み取り | クラウド PC のサポートされているリージョンを読み取ります。 |
| ユーザー設定/割り当て | クラウド PC ユーザー設定をユーザー グループに割り当てます。 |
| ユーザー設定/作成 | 新しいクラウド PC ユーザー設定を作成します。 |
| ユーザー設定/削除 | クラウド PC ユーザー設定を削除します。 |
| ユーザー設定/読み取り | クラウド PC ユーザー設定のプロパティを読み取ります。 |
| ユーザー設定/更新 | クラウド PC ユーザー設定のプロパティを更新します。 |
| Webhooks/Create | Microsoft Power Platform の Webhook サブスクリプションを作成します。 |
| Webhooks/Delete | Microsoft Power Platform の Webhook サブスクリプションを削除します。 |
プロビジョニングポリシーを作成するには、管理者は次のアクセス許可が必要です。
- プロビジョニング ポリシー/読み取り
- プロビジョニング ポリシー/作成
- Azure ネットワーク接続/読み取り
- サポートされているリージョン/読み取り
- デバイス イメージ/読み取り
既存のアクセス許可の移行
2023 年 11 月 26 日より前に作成された ANC の場合、ネットワーク共同作成者ロールを使用して、リソース グループとVirtual Networkの両方にアクセス許可を適用します。 新しい RBAC ロールに適用するには、ANC 正常性チェックを再試行します。 既存のロールは手動で削除する必要があります。
既存のロールを手動で削除し、新しいロールを追加するには、各Azure リソースで使用されている既存のロールについて、次の表を参照してください。 既存のロールを削除する前に、更新されたロールが割り当てられていることを確認してください。
| Azure リソース | 既存のロール (2023 年 11 月 26 日より前) | ロールの更新 (2023 年 11 月 26 日以降) |
|---|---|---|
| リソース グループ | ネットワーク共同作成者 | Windows 365 ネットワーク インターフェイス共同作成者 |
| 仮想ネットワーク | ネットワーク共同作成者 | Windows 365 ネットワーク ユーザー |
| サブスクリプション | Reader | Reader |
Azure リソースからロールの割り当てを削除する方法の詳細については、「Azureロールの割り当てを削除する」を参照してください。
スコープ グループ
スコープ グループは、ロールの割り当ての一部として管理者が操作できるユーザーを定義するMicrosoft Entra ID グループです。 ロールは管理者が持つアクセス許可を定義しますが、スコープ グループはそれらのアクセス許可を適用するユーザーを定義します。
スコープ グループを構成する場合は、次のガイダンスを使用して、想定される動作を確認します。
スコープ グループが制御する内容を理解します。 スコープ グループは、管理者が管理できるユーザーとグループを決定します。 これは、ポリシー、アプリケーション、スクリプト、およびその他の管理オブジェクトを割り当てるときに対象となるグループと、管理者がロールの割り当てを通じてアクセスできるユーザー リソースの両方に影響します。
スコープに必要なすべてのユーザーを含めます。 割り当てられたスコープ グループにユーザーが含まれていない場合、管理者は正しいロールのアクセス許可を持っていても、そのユーザーのクラウド PC に対してアクションを実行できません。
より広範なカバレッジが必要な場合は、"すべてのユーザー" を使用します 。一部のアクションでは、テナント内のすべてのユーザーの可視性が必要な場合があります。 たとえば、特定のライフサイクルの状態 (ライセンス変更後など) に、ユーザーがクラウド PC に関連付けられていない可能性があります。 このような場合、 すべてのユーザー を使用すると、アクションを確実に完了できます。
入れ子になったグループは使用しないでください。 入れ子になったグループ メンバーシップは、スコープ グループに対して想定どおりに評価されません。 これは、Windows 365が入れ子になったグループをサポートしていないためです。 一貫性のある動作を確保するには、直接ユーザー メンバーシップを持つグループを使用します。
現在、スコープ グループは、管理者がデバイスアクションを実行するときに評価されることに注意してください。 管理者は、アクションを許可するために、割り当てられたスコープ グループを使用してターゲット デバイスにアクセスできる必要があります。
スコープ タグ
RBAC の場合、ロールは数式の一部にすぎません。 ロールは一連のアクセス許可を定義するのに役立ちますが、スコープ タグはorganizationのリソースの可視性を定義するのに役立ちます。 スコープ タグは、特定の階層、地理的な地域、部署などを対象にユーザーを対象にするようにテナントを整理する場合に最も役立ちます。
Intuneを使用して、スコープ タグを作成および管理します。 スコープ タグの作成方法と管理方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。
Windows 365では、スコープ タグを次のリソースに適用できます。
- プロビジョニング ポリシー
- Azure ネットワーク接続 (ANC)
- クラウド PC
- カスタム イメージ
- RBAC ロールの割り当てをWindows 365する
Intune所有のすべてのデバイスの一覧とWindows 365所有のすべてのクラウド PC の両方の一覧に、スコープに基づいて同じクラウド PC が表示されるようにするには、スコープ タグとプロビジョニング ポリシーを作成した後、次の手順に従います。
- enrollmentProfileName が作成されたプロビジョニング ポリシーの正確な名前と等しいルールを使用して、Microsoft Entra ID動的デバイス グループを作成します。
- 作成したスコープ タグを動的デバイス グループに割り当てます。
- クラウド PC がプロビジョニングされ、Intuneに登録されると、[すべてのデバイス] リストと [すべてのクラウド PC] の両方の一覧に同じクラウド PC が表示されます。
プロビジョニング ポリシーに新しいスコープ タグを追加する場合は、スコープ タグもIntune動的グループに追加してください。 この追加により、動的グループが新しいスコープ タグを確実に受け入れられます。 また、更新後も一意のスコープ タグが追加されている可能性があるクラウド PC でチェックします。
Windows 365スコープ タグの変更を確実に反映Intune、このデータはIntuneから同期されます。 詳細については、「Windows 365のプライバシー、顧客データ、顧客コンテンツ」を参照してください。
スコープ管理者が割り当てられているスコープ タグとそのスコープ内のオブジェクトを表示できるようにするには、次のいずれかのロールを割り当てる必要があります。
- 読み取り専用Intune
- クラウド PC 閲覧者/管理者
- 同様のアクセス許可を持つカスタム ロール。