Rol tabanlı erişim denetimi
Rol tabanlı erişim denetimi (RBAC), kuruluşunuzun kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceklerini yönetmenize yardımcı olur. Microsoft Intune yönetim merkezini kullanarak Bulut bilgisayarlarınıza roller atayabilirsiniz.
Abonelik Sahibi veya Kullanıcı Erişim Yöneticisi rolüne sahip bir kullanıcı ANC'yi oluşturur, düzenler veya yeniden denerse, Windows 365 gerekli yerleşik rolleri saydam olarak aşağıdaki kaynaklara atar (henüz atanmamışsa):
- Azure Aboneliği
- Kaynak grubu
- ANC ile ilişkilendirilmiş sanal ağ
Yalnızca Abonelik Okuyucusu rolüne sahipseniz, bu atamalar otomatik değildir. Bunun yerine, Azure'daki Windows Birinci Taraf Uygulaması için gerekli yerleşik rolleri el ile yapılandırmanız gerekir.
Daha fazla bilgi için bkz. Microsoft Intune ile rol tabanlı erişim denetimi (RBAC).
yönetici rolünü Windows 365
Windows 365, Microsoft Yönetici Merkezi ve Microsoft Entra ID aracılığıyla rol ataması için kullanılabilen Windows 365 Yöneticisi rolünü destekler. Bu rolle hem Kurumsal hem de İş sürümleri için Windows 365 Bulut bilgisayarlarını yönetebilirsiniz. Windows 365 Yöneticisi rolü, Genel Yönetici gibi diğer Microsoft Entra rollerinden daha kapsamlı izinler verebilir. Daha fazla bilgi için bkz. yerleşik rolleri Microsoft Entra.
Cloud PC yerleşik rolleri
Cloud PC için aşağıdaki yerleşik roller kullanılabilir:
Cloud PC Yöneticisi
Bulut bilgisayarların tüm yönlerini yönetir, örneğin:
- İşletim sistemi görüntü yönetimi
- Azure ağ bağlantısı yapılandırması
- Sağlama
Bulut BILGISAYAR Okuyucusu
Microsoft Intune'daki Windows 365 düğümünde bulunan ancak değişiklik yapabilen Bulut Bilgisayar verilerini görüntüler.
ağ arabirimi katkıda bulunanı Windows 365
Windows 365 Ağ Arabirimi Katkıda Bulunanı rolü, Azure ağ bağlantısı (ANC) ile ilişkili kaynak grubuna atanır. Bu rol, Windows 365 hizmetinin NIC'yi oluşturup birleştirmesine ve kaynak grubunda dağıtımı yönetmesine olanak tanır. Bu rol, ANC kullanırken Windows 365 çalıştırmak için gereken en düşük izinlerden oluşan bir koleksiyondur.
| Eylem türü | İzinler |
|---|---|
| eylemler | Microsoft.Resources/subscriptions/resourcegroups/read Microsoft.Resources/deployments/read Microsoft.Resources/deployments/write Microsoft.Resources/deployments/delete Microsoft.Resources/deployments/operations/read Microsoft.Resources/deployments/operationstatuses/read Microsoft.Network/locations/operations/read Microsoft.Network/locations/operationResults/read Microsoft.Network/locations/usages/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/delete Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/effectiveNetworkSecurityGroups/action Microsoft.Network/networkInterfaces/effectiveRouteTable/action |
| notActions | Hiçbiri |
| dataActions | Hiçbiri |
| notDataActions | Hiçbiri |
Ağ Kullanıcısını Windows 365
Windows 365 Ağ Kullanıcısı rolü ANC ile ilişkilendirilmiş sanal ağa atanır. Bu rol, Windows 365 hizmetinin NIC'yi sanal ağa eklemesine olanak tanır. Bu rol, ANC kullanırken Windows 365 çalıştırmak için gereken en düşük izinlerden oluşan bir koleksiyondur.
| Eylem türü | İzinler |
|---|---|
| eylemler | Microsoft.Network/virtualNetworks/read Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/usages/read Microsoft.Network/virtualNetworks/subnets/join/action |
| notActions | Hiçbiri |
| dataActions | Hiçbiri |
| notDataActions | Hiçbiri |
Özel roller
Microsoft Intune yönetim merkezinde Windows 365 için özel roller oluşturabilirsiniz. Daha fazla bilgi için bkz. Özel rol oluşturma.
Özel roller oluşturulurken aşağıdaki izinler kullanılabilir.
| İzin | Açıklama |
|---|---|
| Denetim Verileri/Okuma | Kiracınızdaki Cloud PC kaynaklarının denetim günlüklerini okuyun. |
| Azure Ağ Connections/Oluşturma | Bulut bilgisayarları sağlamak için şirket içi bağlantı oluşturun. Şirket içi bağlantı oluşturmak için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Connections/Silme | Belirli bir şirket içi bağlantıyı silin. Anımsatıcı: Kullanımdaki bir bağlantıyı silemezsiniz. Şirket içi bağlantıyı silmek için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Connections/Okuma | Şirket içi bağlantıların özelliklerini okuyun. |
| Azure Ağ Connections/Güncelleştirme | Belirli bir şirket içi bağlantının özelliklerini güncelleştirin. Şirket içi bağlantıyı güncelleştirmek için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Connections/RunHealthChecks | Belirli bir şirket içi bağlantıda sistem durumu denetimlerini çalıştırın. Sistem durumu denetimlerini çalıştırmak için abonelik sahibi veya kullanıcı erişim yöneticisi Azure rolü de gereklidir. |
| Azure Ağ Connections/UpdateAdDomainPassword | Belirli bir şirket içi bağlantının Active Directory etki alanı parolasını güncelleştirin. |
| Bulut Bilgisayarlar/Okuma | Kiracınızdaki Bulut bilgisayarların özelliklerini okuyun. |
| Bulut Bilgisayarları/Yeniden Sağlama | Kiracınızdaki Bulut bilgisayarlarını yeniden sağlama. |
| Bulut Bilgisayarlar/Yeniden Boyutlandırma | Kiracınızdaki Bulut bilgisayarlarını yeniden boyutlandırabilirsiniz. |
| Bulut Bilgisayarlar/EndGracePeriod | Kiracınızdaki Bulut bilgisayarları için son yetkisiz kullanım süresi. |
| Bulut Bilgisayarlar/Geri Yükleme | Kiracınızdaki Bulut bilgisayarlarını geri yükleyin. |
| Bulut Bilgisayarlar/Yeniden Başlatma | Kiracınızdaki Bulut bilgisayarlarını yeniden başlatın. |
| Bulut Bilgisayarlar/Yeniden Adlandırma | Kiracınızdaki Bulut bilgisayarlarını yeniden adlandırın. |
| Bulut bilgisayarlar/sorun giderme | Kiracınızdaki Bulut bilgisayarlarında sorun giderme. |
| Bulut Bilgisayarlar/ChangeUserAccountType | Yerel yönetici ile kiracınızdaki bir Bulut bilgisayarın standart kullanıcısı arasında kullanıcı hesabı türünü değiştirin. |
| Bulut Bilgisayarlar/PlaceUnderReview | Kiracınızda bulut bilgisayarlarını gözden geçirildi olarak ayarlayın. |
| Bulut Bilgisayarlar/Yeniden DenemePartnerAgentInstallation | Yüklenemeyen bir Bulut bilgisayara taraf iş ortağı aracılarını yeniden yüklemeyi deneyin. |
| Bulut Bilgisayarlar/ApplyCurrentProvisioningPolicy | Kiracınızdaki Bulut bilgisayarlara geçerli sağlama ilkesi yapılandırmasını uygulayın. |
| Bulut Bilgisayarlar/CreateSnapshot | Kiracınızda Bulut bilgisayarları için el ile anlık görüntü oluşturun. |
| Cihaz Görüntüleri/Oluşturma | Daha sonra Bulut bilgisayarlarda sağlayabileceğiniz özel bir işletim sistemi görüntüsünü karşıya yükleyin. |
| Cihaz Görüntüleri/Silme | Cloud PC'den bir işletim sistemi görüntüsünü silin. |
| Cihaz Görüntüleri/Okuma | Cloud PC cihaz görüntülerinin özelliklerini okuyun. |
| Dış İş Ortağı Ayarları/Okuma | Cloud PC dış iş ortağı ayarının özelliklerini okuyun. |
| Dış İş Ortağı Ayarları/Oluşturma | Yeni bir Cloud PC dış iş ortağı ayarı oluşturun. |
| Dış İş Ortağı Ayarları/Güncelleştirme | Cloud PC dış iş ortağı ayarının özelliklerini güncelleştirin. |
| Kuruluş Ayarları/Okuma | Cloud PC kuruluş ayarlarının özelliklerini okuyun. |
| Kuruluş Ayarları/Güncelleştirme | Cloud PC kuruluş ayarlarının özelliklerini güncelleştirin. |
| Performans Raporları/Okuma | Windows 365 Bulut PC uzak bağlantılarla ilgili raporları okuyun. |
| Sağlama İlkeleri/Atama | Kullanıcı gruplarına Bir Bulut Bilgisayar sağlama ilkesi atayın. |
| Sağlama İlkeleri/Oluşturma | Yeni bir Cloud PC sağlama ilkesi oluşturun. |
| Sağlama İlkeleri/Silme | Bulut bilgisayar sağlama ilkesini silin. Kullanımda olan bir ilkeyi silemezsiniz. |
| Sağlama İlkeleri/Okuma | Bulut bilgisayar sağlama ilkesinin özelliklerini okuyun. |
| Sağlama İlkeleri/Güncelleştirme | Bulut bilgisayar sağlama ilkesinin özelliklerini güncelleştirin. |
| Raporlar/Dışarı Aktarma | Windows 365 ilgili raporları dışarı aktarın. |
| Rol Atamaları/Oluşturma | Yeni bir Cloud PC rol ataması oluşturun. |
| Rol Atamaları/Güncelleştirme | Belirli bir Bulut Bilgisayarı rol atamasının özelliklerini güncelleştirin. |
| Rol Atamaları/Silme | Belirli bir Bulut Bilgisayarı rol ataması silin. |
| Roller/Okuma | Cloud PC rolü için izinleri, rol tanımlarını ve rol atamalarını görüntüleyin. Cloud PC kaynağında (veya varlığında) gerçekleştirilebilecek işlemi veya eylemi görüntüleyin. |
| Roller/Oluşturma | Cloud PC için rol oluşturma. Oluşturma işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Roller/Güncelleştirme | Cloud PC için rolü güncelleştirin. Güncelleştirme işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Roller/Silme | Cloud PC'nin rolünü silin. Silme işlemleri bir Cloud PC kaynağında (veya varlığında) gerçekleştirilebilir. |
| Hizmet Planı/Okuma | Cloud PC'nin hizmet planlarını okuyun. |
| SharedUseLicenseUsageReports/Read | Windows 365 Bulut PC Paylaşılan kullanım lisansı kullanımıyla ilgili raporları okuyun. |
| SharedUseServicePlans/Read | Cloud PC Paylaşılan Kullanım Hizmeti Planlarının özelliklerini okuyun. |
| Anlık Görüntü/Okuma | Cloud PC'nin Anlık Görüntüsünü okuyun. |
| Anlık Görüntü/Paylaşım | Cloud PC'nin Anlık Görüntüsünü paylaşın. |
| Desteklenen Bölge/Okuma | Cloud PC'nin desteklenen bölgelerini okuyun. |
| Kullanıcı Ayarları/Atama | Kullanıcı gruplarına bir Cloud PC kullanıcı ayarı atayın. |
| Kullanıcı Ayarları/Oluşturma | Yeni bir Cloud PC kullanıcı ayarı oluşturun. |
| Kullanıcı Ayarları/Silme | Cloud PC kullanıcı ayarını silin. |
| Kullanıcı Ayarları/Okuma | Cloud PC kullanıcı ayarının özelliklerini okuyun. |
| Kullanıcı Ayarları/Güncelleştirme | Cloud PC kullanıcı ayarının özelliklerini güncelleştirin. |
Sağlama ilkesi oluşturmak için bir yöneticinin aşağıdaki izinlere ihtiyacı vardır:
- Sağlama İlkeleri/Okuma
- Sağlama İlkeleri/Oluşturma
- Azure Ağ Connections/Okuma
- Desteklenen Bölge/Okuma
- Cihaz Görüntüleri/Okuma
Mevcut izinleri geçirme
26 Kasım 2023'den önce oluşturulan ANC'ler için Ağ Katkıda Bulunanı rolü hem Kaynak Grubuna hem de Sanal Ağ izinler uygulamak için kullanılır. Yeni RBAC rollerine uygulamak için ANC sistem durumu denetimini yeniden deneyebilirsiniz. Mevcut roller el ile kaldırılmalıdır.
Mevcut rolleri el ile kaldırmak ve yeni rolleri eklemek için, her Azure kaynağında kullanılan mevcut roller için aşağıdaki tabloya bakın. Mevcut rolleri kaldırmadan önce güncelleştirilmiş rollerin atandığından emin olun.
| Azure kaynağı | Mevcut rol (26 Kasım 2023'den önce) | Rol güncelleştirildi (26 Kasım 2023'den sonra) |
|---|---|---|
| Kaynak grubu | Ağ Katkıda Bulunanı | ağ arabirimi katkıda bulunanı Windows 365 |
| Sanal ağ | Ağ Katkıda Bulunanı | Ağ Kullanıcısını Windows 365 |
| Abonelik | Okuyucu | Okuyucu |
Azure kaynağından rol atamasını kaldırma hakkında daha fazla ayrıntı için bkz. Azure rol atamalarını kaldırma.
Kapsam etiketleri
RBAC için roller denklemin yalnızca bir parçasıdır. Roller bir izin kümesi tanımlamak için iyi çalışsa da, kapsam etiketleri kuruluşunuzun kaynaklarının görünürlüğünü tanımlamaya yardımcı olur. Kapsam etiketleri, kiracınızı kullanıcıların kapsamı belirli hiyerarşiler, coğrafi bölgeler, iş birimleri vb. olacak şekilde düzenlerken yararlıdır.
Kapsam etiketleri oluşturmak ve yönetmek için Intune kullanın. Kapsam etiketlerinin nasıl oluşturulduğu ve yönetıldığı hakkında daha fazla bilgi için bkz. Dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanma.
Windows 365'da kapsam etiketleri aşağıdaki kaynaklara uygulanabilir:
- Sağlama ilkeleri
- Azure ağ bağlantıları (ANC)
- Bulut bilgisayarlar
- Özel görüntüler
- RBAC rol atamalarını Windows 365
Hem Intune sahip olunan Tüm cihazlar listesinin hem de Windows 365 sahip olunan Tüm Bulut bilgisayarları listesinin kapsama göre aynı Bulut bilgisayarlarını gösterdiğinden emin olmak için kapsam etiketlerinizi ve sağlama ilkenizi oluşturduktan sonra aşağıdaki adımları izleyin:
- enrollmentProfileName öğesinin oluşturulan sağlama ilkesinin tam adına eşit olduğu kuralıyla Microsoft Entra ID dinamik cihaz grubu oluşturun.
- Oluşturulan kapsam etiketini dinamik cihaz grubuna atayın.
- Bulut bilgisayar sağlandıktan ve Intune kaydedildikten sonra, hem Tüm Cihazlar listesi hem de Tüm Bulut bilgisayarları listesi aynı Bulut bilgisayarlarını görüntülemelidir.
Sağlama ilkesine yeni kapsam etiketleri eklerseniz, kapsam etiketlerini Intune dinamik grubuna da eklediğinizden emin olun. Bu ekleme, dinamik grubun yeni kapsam etiketlerini yerine getirmesini sağlar. Ayrıca, herhangi bir güncelleştirmeden sonra hala orada olduklarından emin olmak için bunlara benzersiz kapsam etiketleri eklenmiş olabilecek bulut bilgisayarlarını denetleyin.
Windows 365 Intune kapsam etiketlerindeki değişiklikleri kabul etmelerini sağlamak için bu veriler Intune eşitlenir. Daha fazla bilgi için bkz. Windows 365'de gizlilik, müşteri verileri ve müşteri içeriği.
Kapsamı belirlenmiş yöneticilerin kendilerine hangi kapsam etiketlerinin atandığı ve kapsamları içindeki nesneleri görüntülemesine izin vermek için aşağıdaki rollerden birine atanmaları gerekir:
- Salt okunur Intune
- Bulut bilgisayar okuyucusu/yöneticisi
- Benzer izinlere sahip özel bir rol.