Rol tabanlı erişim denetimi
Rol tabanlı erişim denetimi (RBAC), kuruluşunuzun kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceklerini yönetmenize yardımcı olur. Microsoft Intune yönetim merkezini kullanarak Bulut bilgisayarlarınızın rollerini atayabilirsiniz.
Abonelik Sahibi veya Kullanıcı Erişim Yöneticisi rolüne sahip bir kullanıcı ANC oluşturur, düzenler veya yeniden denerse, Windows 365 gerekli yerleşik rolleri saydam olarak aşağıdaki kaynakları atar (henüz atanmamışsa):
- Azure Aboneliği
- Kaynak grubu
- ANC ile ilişkilendirilmiş sanal ağ
Yalnızca Abonelik Okuyucusu rolüne sahipseniz, bu atamalar otomatik değildir. Bunun yerine, Azure'daki Windows Birinci Taraf Uygulaması için gerekli yerleşik rolleri el ile yapılandırmanız gerekir.
Daha fazla bilgi için bkz. Microsoft Intune ile rol tabanlı erişim denetimi (RBAC).
Windows 365 Yönetici rolü
Windows 365, Microsoft Yönetim Merkezi ve Microsoft Entra Id aracılığıyla rol ataması için kullanılabilen Windows 365 Yöneticisi rolünü destekler. Bu rolle, hem Kurumsal hem de İş sürümleri için Windows 365 Bulut bilgisayarlarını yönetebilirsiniz. Windows 365 Yönetici rolü, Genel Yönetici gibi diğer Microsoft Entra rollerinden daha kapsamlı izinler verebilir. Daha fazla bilgi için bkz. Microsoft Entra yerleşik rolleri.
Cloud PC yerleşik rolleri
Cloud PC için aşağıdaki yerleşik roller kullanılabilir:
Cloud PC Yöneticisi
Bulut bilgisayarların tüm yönlerini yönetir, örneğin:
- İşletim sistemi görüntü yönetimi
- Azure ağ bağlantısı yapılandırması
- Sağlama
Bulut BILGISAYAR Okuyucusu
Microsoft Intune'daki Windows 365 düğümünde bulunan bulut bilgisayar verilerini görüntüler, ancak değişiklik yapamaz.
Windows 365 Ağ Arabirimi Katkıda Bulunanı
Windows 365 Ağ Arabirimi Katkıda Bulunanı rolü, Azure ağ bağlantısı (ANC) ile ilişkili kaynak grubuna atanır. Bu rol, Windows 365 hizmetinin kaynak grubunda NIC oluşturup katılmasını ve dağıtımı yönetmesini sağlar. Bu rol, ANC kullanırken Windows 365'i çalıştırmak için gereken en düşük izinlerden oluşan bir koleksiyondur.
| Eylem türü | İzinler |
|---|---|
| eylemler | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Hiçbiri |
| dataActions | Hiçbiri |
| notDataActions | Hiçbiri |
Windows 365 Ağ Kullanıcısı
Windows 365 Ağ Kullanıcısı rolü ANC ile ilişkili sanal ağa atanır. Bu rol, Windows 365 hizmetinin NIC'yi sanal ağa eklemesine olanak tanır. Bu rol, ANC kullanırken Windows 365'i çalıştırmak için gereken en düşük izinlerden oluşan bir koleksiyondur.
| Eylem türü | İzinler |
|---|---|
| eylemler | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Hiçbiri |
| dataActions | Hiçbiri |
| notDataActions | Hiçbiri |
Özel roller
Microsoft Intune yönetim merkezinde Windows 365 için özel roller oluşturabilirsiniz. Daha fazla bilgi için bkz. Özel rol oluşturma.
Özel roller oluşturulurken aşağıdaki izinler kullanılabilir.
| İzin | Açıklama |
|---|---|
| Denetim Verileri/Okuma | Kiracınızdaki Cloud PC kaynaklarının denetim günlüklerini okuyun. |
| Azure Ağ Bağlantıları/Oluşturma | Bulut bilgisayarları sağlamak için şirket içi bağlantı oluşturun. Şirket içi bağlantı oluşturmak için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Bağlantıları/Silme | Belirli bir şirket içi bağlantıyı silin. Anımsatıcı: Kullanımdaki bir bağlantıyı silemezsiniz. Şirket içi bağlantıyı silmek için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Bağlantıları/Okuma | Şirket içi bağlantıların özelliklerini okuyun. |
| Azure Ağ Bağlantıları/Güncelleştirme | Belirli bir şirket içi bağlantının özelliklerini güncelleştirin. Şirket içi bağlantıyı güncelleştirmek için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Bağlantıları/RunHealthChecks | Belirli bir şirket içi bağlantıda sistem durumu denetimlerini çalıştırın. Sistem durumu denetimlerini çalıştırmak için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Bağlantıları/UpdateAdDomainPassword | Belirli bir şirket içi bağlantının Active Directory etki alanı parolasını güncelleştirin. |
| Bulut Bilgisayarlar/Okuma | Kiracınızdaki Bulut bilgisayarların özelliklerini okuyun. |
| Bulut Bilgisayarları/Yeniden Sağlama | Kiracınızdaki Bulut bilgisayarlarını yeniden sağlama. |
| Bulut Bilgisayarlar/Yeniden Boyutlandırma | Kiracınızdaki Bulut bilgisayarlarını yeniden boyutlandırabilirsiniz. |
| Bulut Bilgisayarlar/EndGracePeriod | Kiracınızdaki Bulut bilgisayarları için son yetkisiz kullanım süresi. |
| Bulut Bilgisayarlar/Geri Yükleme | Kiracınızdaki Bulut bilgisayarlarını geri yükleyin. |
| Bulut Bilgisayarlar/Yeniden Başlatma | Kiracınızdaki Bulut bilgisayarlarını yeniden başlatın. |
| Bulut Bilgisayarlar/Yeniden Adlandırma | Kiracınızdaki Bulut bilgisayarlarını yeniden adlandırın. |
| Bulut bilgisayarlar/sorun giderme | Kiracınızdaki Bulut bilgisayarlarında sorun giderme. |
| Bulut Bilgisayarlar/ChangeUserAccountType | Yerel yönetici ile kiracınızdaki bir Bulut bilgisayarın standart kullanıcısı arasında kullanıcı hesabı türünü değiştirin. |
| Bulut Bilgisayarlar/PlaceUnderReview | Kiracınızda bulut bilgisayarlarını gözden geçirildi olarak ayarlayın. |
| Bulut Bilgisayarlar/Yeniden DenemePartnerAgentInstallation | Yüklenemeyen bir Bulut bilgisayara taraf iş ortağı aracılarını yeniden yüklemeyi deneyin. |
| Bulut Bilgisayarlar/ApplyCurrentProvisioningPolicy | Kiracınızdaki Bulut bilgisayarlara geçerli sağlama ilkesi yapılandırmasını uygulayın. |
| Bulut Bilgisayarlar/CreateSnapshot | Kiracınızda Bulut bilgisayarları için el ile anlık görüntü oluşturun. |
| Cihaz Görüntüleri/Oluşturma | Daha sonra Bulut bilgisayarlarda sağlayabileceğiniz özel bir işletim sistemi görüntüsünü karşıya yükleyin. |
| Cihaz Görüntüleri/Silme | Cloud PC'den bir işletim sistemi görüntüsünü silin. |
| Cihaz Görüntüleri/Okuma | Cloud PC cihaz görüntülerinin özelliklerini okuyun. |
| Dış İş Ortağı Ayarları/Okuma | Cloud PC dış iş ortağı ayarının özelliklerini okuyun. |
| Dış İş Ortağı Ayarları/Oluşturma | Yeni bir Cloud PC dış iş ortağı ayarı oluşturun. |
| Dış İş Ortağı Ayarları/Güncelleştirme | Cloud PC dış iş ortağı ayarının özelliklerini güncelleştirin. |
| Kuruluş Ayarları/Okuma | Cloud PC kuruluş ayarlarının özelliklerini okuyun. |
| Kuruluş Ayarları/Güncelleştirme | Cloud PC kuruluş ayarlarının özelliklerini güncelleştirin. |
| Performans Raporları/Okuma | Windows 365 Cloud PC uzak bağlantıları ile ilgili raporları okuyun. |
| Sağlama İlkeleri/Atama | Kullanıcı gruplarına Bir Bulut Bilgisayar sağlama ilkesi atayın. |
| Sağlama İlkeleri/Oluşturma | Yeni bir Cloud PC sağlama ilkesi oluşturun. |
| Sağlama İlkeleri/Silme | Bulut bilgisayar sağlama ilkesini silin. Kullanımda olan bir ilkeyi silemezsiniz. |
| Sağlama İlkeleri/Okuma | Bulut bilgisayar sağlama ilkesinin özelliklerini okuyun. |
| Sağlama İlkeleri/Güncelleştirme | Bulut bilgisayar sağlama ilkesinin özelliklerini güncelleştirin. |
| Raporlar/Dışarı Aktarma | Windows 365 ile ilgili raporları dışarı aktarın. |
| Rol Atamaları/Oluşturma | Yeni bir Cloud PC rol ataması oluşturun. |
| Rol Atamaları/Güncelleştirme | Belirli bir Bulut Bilgisayarı rol atamasının özelliklerini güncelleştirin. |
| Rol Atamaları/Silme | Belirli bir Bulut Bilgisayarı rol ataması silin. |
| Roller/Okuma | Cloud PC rolü için izinleri, rol tanımlarını ve rol atamalarını görüntüleyin. Cloud PC kaynağında (veya varlığında) gerçekleştirilebilecek işlemi veya eylemi görüntüleyin. |
| Roller/Oluşturma | Cloud PC için rol oluşturma. Oluşturma işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Roller/Güncelleştirme | Cloud PC için rolü güncelleştirin. Güncelleştirme işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Roller/Silme | Cloud PC'nin rolünü silin. Silme işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Hizmet Planı/Okuma | Cloud PC'nin hizmet planlarını okuyun. |
| SharedUseLicenseUsageReports/Read | Windows 365 Cloud PC Paylaşılan kullanım lisansı kullanımıyla ilgili raporları okuyun. |
| SharedUseServicePlans/Read | Cloud PC Paylaşılan Kullanım Hizmeti Planlarının özelliklerini okuyun. |
| Anlık Görüntü/Okuma | Cloud PC'nin Anlık Görüntüsünü okuyun. |
| Anlık Görüntü/Paylaşım | Cloud PC'nin Anlık Görüntüsünü paylaşın. |
| Desteklenen Bölge/Okuma | Cloud PC'nin desteklenen bölgelerini okuyun. |
| Kullanıcı Ayarları/Atama | Kullanıcı gruplarına bir Cloud PC kullanıcı ayarı atayın. |
| Kullanıcı Ayarları/Oluşturma | Yeni bir Cloud PC kullanıcı ayarı oluşturun. |
| Kullanıcı Ayarları/Silme | Cloud PC kullanıcı ayarını silin. |
| Kullanıcı Ayarları/Okuma | Cloud PC kullanıcı ayarının özelliklerini okuyun. |
| Kullanıcı Ayarları/Güncelleştirme | Cloud PC kullanıcı ayarının özelliklerini güncelleştirin. |
Sağlama ilkesi oluşturmak için bir yöneticinin aşağıdaki izinlere ihtiyacı vardır:
- Sağlama İlkeleri/Okuma
- Sağlama İlkeleri/Oluşturma
- Azure Ağ Bağlantıları/Okuma
- Desteklenen Bölge/Okuma
- Cihaz Görüntüleri/Okuma
Mevcut izinleri geçirme
26 Kasım 2023'den önce oluşturulan ANC'ler için, hem Kaynak Grubuna hem de Sanal Ağa izinler uygulamak için Ağ Katılımcısı rolü kullanılır. Yeni RBAC rollerine uygulamak için ANC sistem durumu denetimini yeniden deneyebilirsiniz. Mevcut roller el ile kaldırılmalıdır.
Mevcut rolleri el ile kaldırmak ve yeni rolleri eklemek için, her Azure kaynağında kullanılan mevcut roller için aşağıdaki tabloya bakın. Mevcut rolleri kaldırmadan önce güncelleştirilmiş rollerin atandığından emin olun.
| Azure kaynağı | Mevcut rol (26 Kasım 2023'den önce) | Rol güncelleştirildi (26 Kasım 2023'den sonra) |
|---|---|---|
| Kaynak grubu | Ağ Katkıda Bulunanı | Windows 365 Ağ Arabirimi Katkıda Bulunanı |
| Sanal ağ | Ağ Katkıda Bulunanı | Windows 365 Ağ Kullanıcısı |
| Abonelik | Okuyucu | Okuyucu |
Azure kaynağından rol atamasını kaldırma hakkında daha fazla ayrıntı için bkz. Azure rol atamalarını kaldırma.
Kapsam etiketleri
Kapsam etiketleri için Windows 365 desteği genel önizleme aşamasındadır.
RBAC için roller denklemin yalnızca bir parçasıdır. Roller bir izin kümesi tanımlamak için iyi çalışsa da, kapsam etiketleri kuruluşunuzun kaynaklarının görünürlüğünü tanımlamaya yardımcı olur. Kapsam etiketleri, kiracınızı kullanıcıların kapsamı belirli hiyerarşiler, coğrafi bölgeler, iş birimleri vb. olacak şekilde düzenlerken yararlıdır.
Kapsam etiketleri oluşturmak ve yönetmek için Intune'u kullanın. Kapsam etiketlerinin nasıl oluşturulduğu ve yönetıldığı hakkında daha fazla bilgi için bkz. Dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanma.
Windows 365'te kapsam etiketleri aşağıdaki kaynaklara uygulanabilir:
- Sağlama ilkeleri
- Azure ağ bağlantıları (ANC)
- Bulut bilgisayarlar
- Özel görüntüler
- Windows 365 RBAC rol atamaları
Hem Intune'a ait Tüm cihazlar listesinin hem de Windows 365'e ait Tüm Bulut bilgisayarları listesinin kapsama göre aynı Bulut bilgisayarlarını gösterdiğinden emin olmak için kapsam etiketlerinizi ve sağlama ilkenizi oluşturduktan sonra aşağıdaki adımları izleyin:
- enrollmentProfileName öğesinin oluşturulan sağlama ilkesinin tam adına eşit olduğu kuralıyla bir Microsoft Entra ID dinamik cihaz grubu oluşturun.
- Oluşturulan kapsam etiketini dinamik cihaz grubuna atayın.
- Bulut bilgisayar sağlandıktan ve Intune'a kaydedildikten sonra, hem Tüm Cihazlar listesi hem de Tüm Bulut bilgisayarları listesi aynı Bulut bilgisayarlarını göstermelidir.
Kapsamı belirlenmiş yöneticilerin kendilerine hangi kapsam etiketlerinin atandığı ve kapsamları içindeki nesneleri görüntülemesine izin vermek için aşağıdaki rollerden birine atanmaları gerekir:
- Intune salt okunur
- Bulut bilgisayar okuyucusu/yöneticisi
- Benzer izinlere sahip özel bir rol.
Genel önizleme sırasında Graph API toplu eylemleri ve kapsam etiketleri
Kapsam etiketleri genel önizlemesi süresi boyunca, aşağıdaki toplu eylemler doğrudan Graph API'sinden çağrıldığında kapsam etiketlerine uymaz:
- Geri yüklemek
- Yeniden sağlama
- Cloud PC'nin gözden geçirilmesini sağlama
- Cloud PC'yi gözden geçirme aşamasında kaldırma
- Cloud PC geri yükleme noktasını depolama alanına paylaşma
- Cloud PC el ile geri yükleme noktası oluşturma