Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kuruluşunuza erişimin güvenliğini sağlamak önemli bir güvenlik adımıdır. Bu makalede, Microsoft Entra ID RBAC denetimlerinin uzantısı olan Microsoft Intune rol tabanlı erişim denetimlerini (RBAC) kullanmaya yönelik temel ayrıntılar tanıtılır. Sonraki makaleler, kuruluşunuzda Intune RBAC dağıtmanıza yardımcı olabilir.
Intune RBAC ile yöneticilerinize kuruluşunuzun kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceklerini denetlemek için ayrıntılı izinler vekleyebilirsiniz. Intune RBAC rolleri atadığınızda ve en az ayrıcalıklı erişim ilkelerini uyguladığınızda, yöneticileriniz atanan görevlerini yalnızca yönetme yetkisine sahip olmaları gereken kullanıcılar ve cihazlarda gerçekleştirebilir.
RBAC Rolleri
Her Intune RBAC rolü, bu role atanan kullanıcıların kullanabileceği bir dizi izin belirtir. İzinler , Cihaz yapılandırması veya Denetim verileri gibi bir veya daha fazla yönetim kategorisinden ve Okuma, Yazma, Güncelleştirme ve Silme gibi gerçekleştirilebilecek eylem kümelerinden oluşur. Birlikte, Intune içindeki yönetim erişiminin ve izinlerinin kapsamını tanımlar.
Intune hem yerleşik hem de özel rolleri içerir. Yerleşik roller tüm kiracılarda aynıdır ve yaygın yönetim senaryolarını ele almak için sağlanırken, oluşturduğunuz özel roller bir yöneticinin ihtiyaç duyduğu belirli izinlere izin verir. Ayrıca, çeşitli Microsoft Entra rolleri Intune içindeki izinleri içerir.
Intune yönetim merkezinde bir rolü görüntülemek için Kiracı yönetimi>Rolleri>Tüm roller'e> gidin ve bir rol seçin. Ardından bu rolü aşağıdaki sayfalardan yönetebilirsiniz:
- Özellikler: Rolün adı, açıklaması, izinleri ve kapsam etiketleri. Bu belgedeki yerleşik rollerin adını, açıklamasını ve izinlerini yerleşik rol izinleri sayfasında da görüntüleyebilirsiniz.
- Atamalar: Atamanın içerdiği gruplar ve kapsamlar dahil olmak üzere rolle ilgili ayrıntıları görüntülemek üzere bir atama seçin. Bir rolün birden çok ataması olabilir ve bir kullanıcı birden çok atama alabilir.
Not
Haziran 2021'de Intune lisanssız yöneticileri desteklemeye başladı. Bu değişiklik sonrasında oluşturulan kullanıcı hesapları, atanmış lisans olmadan Intune yönetebilir. Bu değişiklik öncesinde oluşturulan hesaplar ve bir role atanmış iç içe güvenlik grubundaki yönetici hesapları, Intune yönetmek için lisans gerektirir.
Yerleşik roller
Yeterli izinlere sahip bir Intune yöneticisi, Intune rollerinden herhangi birini kullanıcı gruplarına atayabilir. Yerleşik roller, rolün amacına uygun yönetim görevlerini gerçekleştirmek için gereken belirli izinleri verir. Intune, yerleşik rolün açıklaması, türü veya izinlerine yönelik düzenlemeleri desteklemez.
- Application Manager: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilir.
- Endpoint Privilege Manager: Intune konsolundaki Uç Nokta Ayrıcalık Yönetimi ilkelerini yönetir.
- Uç Nokta Ayrıcalık Okuyucusu: Uç Nokta Ayrıcalık Okuyucuları Intune konsolunda Uç Nokta Ayrıcalık Yönetimi ilkelerini görüntüleyebilir.
- Endpoint Security Manager: Güvenlik temelleri, cihaz uyumluluğu, Koşullu Erişim ve Uç Nokta için Microsoft Defender gibi güvenlik ve uyumluluk özelliklerini yönetir.
- Yardım Masası Operatörü: Kullanıcılar ve cihazlarda uzak görevler gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilir.
- Intune Rol Yöneticisi: Özel Intune rollerini yönetir ve yerleşik Intune rolleri için atamalar ekler. Yöneticilere izin atayabilen tek Intune rol bu.
- İlke ve Profil Yöneticisi: Uyumluluk ilkesini, yapılandırma profillerini, Apple kaydını, kurumsal cihaz tanımlayıcılarını ve güvenlik temellerini yönetir.
- Salt Okunur İşleci: Kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgilerini görüntüler. Intune'da değişiklik yapılamaz.
- Okul Yöneticisi: Okul Yöneticileri, Eğitim için Intune'de gruplarına yönelik uygulamaları, ayarları ve cihazları yönetir. Cihazlar üzerinde uzaktan kilitleme, yeniden başlatma ve yönetimden kaldırma gibi uzak eylemler gerçekleştirebilirler.
Kiracınız Bulut bilgisayarları desteklemek için Windows 365 aboneliği içerdiğinde, Intune yönetim merkezinde aşağıdaki Cloud PC rollerini de görürsünüz. Bu roller varsayılan olarak kullanılamaz ve Bulut bilgisayarlarıyla ilgili görevler için Intune izinleri içerir. Bu roller hakkında daha fazla bilgi için Windows 365 belgelerindeki Cloud PC yerleşik rolleri bölümüne bakın.
- Cloud PC Yöneticisi: Bulut Bilgisayar Yöneticisi, Bulut Bilgisayar alanında bulunan tüm Cloud PC özelliklerine Okuma ve Yazma erişimine sahiptir.
- Cloud PC Reader: Cloud PC Reader, Cloud PC alanında bulunan tüm Cloud PC özelliklerine Okuma erişimine sahiptir.
Özel roller
Yöneticilere yalnızca görevleri için gereken belirli izinleri vermek için kendi özel Intune rollerinizi oluşturabilirsiniz. Bu özel roller herhangi bir Intune RBAC izni içerebilir ve bu sayede kuruluş içinde en az ayrıcalıklı erişim ilkesine yönelik gelişmiş yönetici erişimi ve desteği sağlanır.
Bkz. Özel rol oluşturma.
Intune erişimi olan rolleri Microsoft Entra
Intune RBAC izinleri, Microsoft Entra RBAC izinlerinin bir alt kümesidir. Alt küme olarak, Intune içinde izinleri içeren bazı Microsoft Entra rolleri vardır. Intune erişimi olan çoğu Entra kimliği rolü ayrıcalıklı roller olarak kabul edilir. Ayrıcalıklı rollerin kullanımı ve ataması sınırlı olmalı ve Intune içindeki günlük yönetim görevleri için kullanılmamalıdır.
Microsoft, bir yöneticinin görevlerini gerçekleştirmesi için yalnızca gerekli minimum izinleri atayarak en az izin ilkesinin izlenmesini önerir. Bu ilkeyi desteklemek için günlük Intune yönetim görevleri için Intune'nin yerleşik RBAC rollerini kullanın ve Intune erişimi olan Microsoft Entra rolleri kullanmaktan kaçının.
Aşağıdaki tabloda, Intune erişimi olan Microsoft Entra rolleri ve içerdikleri Intune izinleri tanımlanır.
| Microsoft Entra rolü | Tüm Intune verileri | Denetim verilerini Intune |
|---|---|---|
Genel Yönetici 
|
Okuma/yazma | Okuma/yazma |
| Intune Yöneticisi
|
Okuma/yazma | Okuma/yazma |
| Koşullu Erişim Yöneticisi
|
Yok | Yok |
| Güvenlik Yöneticisi
|
Salt okunur (Endpoint Security düğümü için tam yönetim izinleri) | Salt okunur |
| Güvenlik İşleci
|
Salt okunur | Salt okunur |
| Güvenlik Okuyucusu
|
Salt okunur | Salt okunur |
| Uyumluluk Yöneticisi | Yok | Salt okunur |
| Uyumluluk Verileri Yöneticisi | Yok | Salt okunur |
| Genel Okuyucu
|
Salt Okunur | Salt Okunur |
| Yardım masası yöneticisi
(Bu rol, Intune Yardım Masası Operatörü rolüne eşdeğerdir) |
Salt Okunur | Salt Okunur |
| Rapor Okuyucusu | Yok | Salt Okunur |
Intune içinde izni olan Microsoft Entra rollerine ek olarak, Intune aşağıdaki üç alanı doğrudan Microsoft Entra uzantılarıdır: Kullanıcılar, Gruplar ve Koşullu Erişim. Intune içinden yapılan bu nesnelerin ve yapılandırmaların örnekleri Microsoft Entra'de mevcuttur. Microsoft Entra nesneler olarak, Microsoft Entra rolü tarafından verilen yeterli izinlere sahip Microsoft Entra yöneticiler tarafından yönetilebilir. Benzer şekilde, Intune için yeterli izinlere sahip Intune yöneticileri, Microsoft Entra'de oluşturulan bu nesne türlerini görüntüleyebilir ve yönetebilir.
Genel Yönetici ve Intune Yöneticisi rolleri
Genel Yönetici rolü, Microsoft Entra'da yerleşik bir roldür ve Microsoft Intune tam erişime sahiptir. Genel yöneticilerin Microsoft Entra ID yönetim özelliklerine ve Microsoft Intune dahil olmak üzere Microsoft Entra kimlikleri kullanan hizmetlere erişimi vardır.
Riski azaltmak için:
Intune'da Genel Yönetici rolünü kullanmayın. Microsoft, Intune yönetmek veya yönetmek için Genel Yönetici rolünün kullanılmasını önermez.
Intune'de, bazı mobil tehdit savunması (MTD) bağlayıcıları gibi Genel Yönetici rolü gerektiren bazı özellikler vardır. Bu gibi durumlarda, Genel Yönetici rolünü yalnızca gerektiğinde kullanın ve görev tamamlandığında kaldırın.
Intune yerleşik rollerini kullanın veya Intune yönetmek ve yönetmek için özel roller oluşturun.
Yöneticinin görevlerini yapması için gereken en az ayrıcalıklı Intune rolünü atayın.
Microsoft Entra Genel Yönetici rolü hakkında daha fazla bilgi edinmek için bkz. yerleşik roller - Genel Yönetici Microsoft Entra.
Intune Yöneticisi rolü, Microsoft Entra'da yerleşik bir roldür. Microsoft Intune genelinde genel okuma/yazma izinleri verir ve ayrıcalıklı rol olarak sınıflandırılır. Kapsamı Genel Yönetici rolünden daha dar olsa da, neredeyse tüm günlük Intune yönetim görevleri için gerekenleri yine de aşıyor. Bu rolü rutin yönetim için kullanmayın. Bunun yerine en az ayrıcalıklı yerleşik Intune rolü veya özel rol kullanın.
Not
Microsoft Graph API ve Microsoft PowerShell'de bu rol Intune Hizmet Yöneticisi olarak görünür.
Riski azaltmak için:
- Günlük Intune yönetimi için Intune Yöneticisi rolünü kullanmayın.
- Bunun yerine yerleşik bir Intune rolü veya özel bir rol atayın. Bu roller izinleri yalnızca her görevin gerektirdiğiyle sınırlar.
- Intune Yöneticisi rolü gerektiğinde, yalnızca gereken süre için atayın ve ardından kaldırın. İsteğe bağlı olarak, P2 veya Microsoft Entra ID Yönetimi lisansına sahip Microsoft Entra ID varsa, bu rol için zaman sınırı yükseltmesi sağlamak için Privileged Identity Management (PIM) kullanabilirsiniz.
Gelişmiş Güvenlik Denetimleri:
Çoklu Yönetici Onayı artık rol tabanlı erişim denetimini destekliyor. Bu ayar açıkken, ikinci bir yöneticinin rollerde yapılan değişiklikleri onaylaması gerekir. Bu değişiklikler rol izinlerine, yönetici gruplarına veya üye grubu atamalarına yönelik güncelleştirmeleri içerebilir. Değişiklik yalnızca onaydan sonra geçerli olur. Bu çift yetkilendirme işlemi, kuruluşunuzu yetkisiz veya yanlışlıkla rol tabanlı erişim denetimi değişikliklerinden korumaya yardımcı olur. Daha fazla bilgi için bkz. Intune'da Çoklu Yönetici Onayı Kullanma.
Microsoft Entra Intune Yöneticisi rolü hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra yerleşik roller - Intune Yönetici.
Intune için Privileged Identity Management
Entra Kimliği Privileged Identity Management (PIM) kullandığınızda, kullanıcının Intune RBAC rolü veya Entra kimliğinden Intune Yönetici rolü tarafından sağlanan ayrıcalıkları ne zaman kullanabileceğini yönetebilirsiniz.
Intune iki rol yükseltme yöntemini destekler. İki yöntem arasında performans ve en az ayrıcalık farklılıkları vardır.
Yöntem 1: Microsoft Entra yerleşik Intune Yönetici rolü için Microsoft Entra Privileged Identity Management (PIM) ile tam zamanında (JIT) bir ilke oluşturun ve bu ilkeye bir yönetici hesabı atayın.
Yöntem 2: Intune RBAC rol ataması olan Gruplar için Privileged Identity Management (PIM) kullanın. Intune RBAC rolleriyle Gruplar için PIM kullanma hakkında daha fazla bilgi için bkz. Gruplar için Microsoft Entra PIM ile Microsoft Intune tam zamanında yönetici erişimini yapılandırma | Microsoft Community Hub
Entra Kimliğinden Intune Yönetici rolü için PIM yükseltmesi kullandığınızda, yükseltme genellikle 10 saniye içinde gerçekleşir. Intune yerleşik veya özel rolleri için PIM Grupları tabanlı yükseltmenin uygulanması genellikle 15 dakika kadar sürer.
Intune rol atamaları hakkında
Hem Intune özel hem de yerleşik roller kullanıcı gruplarına atanır. Atanan rol gruptaki her kullanıcı için geçerlidir ve şunu tanımlar:
- hangi kullanıcıların role atandığı
- görebilecekleri kaynaklar
- değiştirebilecekleri kaynaklar.
Bir Intune rolüne atanan her grup, yalnızca bu rol için yönetim görevlerini gerçekleştirme yetkisine sahip kullanıcıları içermelidir.
- En az ayrıcalıklı yerleşik rol aşırı ayrıcalıklar veya izinler verirse, yönetim erişiminin kapsamını sınırlamak için özel bir rol kullanmayı göz önünde bulundurun.
- Rol atamalarını planlarken , birden çok rol ataması olan bir kullanıcının sonuçlarını göz önünde bulundurun.
Bir kullanıcıya Intune rolü atanıp Intune yönetme erişimine sahip olması için hesabı Haziran 2021'in ardından Entra oluşturulduysa Intune lisansı gerekmez. Haziran 2021'dan önce oluşturulan hesaplar için Intune kullanmak için bir lisans atanması gerekir.
Mevcut bir rol atamasını görüntülemek için Intune>Yeni yönetim>Rolleri>Tüm roller> bir rol > seçin Atamalar> bir atama seçer. Atama özellikleri sayfasında şunları düzenleyebilirsiniz:
Temel bilgiler: Ödevlerin adı ve açıklaması.
Üyeler: Üyeler, rol ataması oluşturulurken Yönetici Grupları sayfasında yapılandırılan gruplardır. Listelenen Azure güvenlik grubundaki tüm kullanıcıların Kapsam (Gruplar) içinde listelenen kullanıcıları ve cihazları yönetme izni vardır.
Kapsam (Gruplar): Bu rol atamasına sahip bir yöneticinin yönetebileceği kullanıcı ve cihaz gruplarını tanımlamak için Kapsam (Gruplar) kullanın. Bu rol atamasına sahip yönetici kullanıcılar, rol atamaları tanımlı kapsam grupları içindeki her kullanıcıyı veya cihazı yönetmek için rol tarafından verilen izinleri kullanabilir.
İpucu
Bir kapsam grubu yapılandırırken, yalnızca bu rol ataması olan bir yöneticinin yönetmesi gereken kullanıcı ve cihazları içeren güvenlik gruplarını seçerek erişimi sınırlayın. Bu role sahip yöneticilerin tüm kullanıcıları veya tüm cihazları hedefleyemediğinden emin olmak için Tüm kullanıcıları ekle'yi veya Tüm cihazları ekle'yi seçmeyin.
İlke veya uygulama ataması gibi bir atama için dışlama grubu belirtirseniz, RBAC ataması kapsam gruplarından birinde iç içe yerleştirilmiş olması veya RBAC rol atamasında ayrı olarak kapsam grubu olarak listelenmesi gerekir.
Kapsam Etiketleri: Bu rol ataması atanan yönetici kullanıcılar, aynı kapsam etiketlerine sahip kaynakları görebilir.
Not
Kapsam Etiketleri, yöneticinin tanımladığı ve ardından rol atamasına eklediği serbest biçimli metin değerleridir. Bir role eklenen kapsam etiketi, rolün görünürlüğünü denetler. Rol atamasına eklenen kapsam etiketi, ilkeler, uygulamalar veya cihazlar gibi Intune nesnelerin görünürlüğünü yalnızca bu rol atamasında yöneticilerle sınırlar çünkü rol ataması bir veya daha fazla eşleşen kapsam etiketi içerir.
Birden çok rol ataması
Kullanıcının birden çok rol ataması, izni ve kapsam etiketi varsa, bu rol atamaları aşağıdaki gibi farklı nesnelere genişletir:
- İki veya daha fazla rolün aynı nesneye izin vermesi durumunda izinler artımlı olur. Örneğin, bir rolden Okuma izinlerine ve başka bir rolden Okuma/yazma izinlerine sahip bir kullanıcının etkin okuma/yazma izni vardır (her iki rol için atamaların aynı kapsam etiketlerini hedeflediğini varsayarsak).
- İzinleri ve kapsam etiketlerini atama yalnızca bu rolün atama Kapsamındaki (Gruplar) nesnelere (ilkeler veya uygulamalar gibi) uygulanır. Atama izinleri ve kapsam etiketleri, diğer atama özel olarak vermediği sürece diğer rol atamalarındaki nesnelere uygulanmaz.
- Diğer izinler (Oluşturma, Okuma, Güncelleştirme, Silme gibi) ve kapsam etiketleri, kullanıcının atamalarındaki aynı türdeki tüm nesnelere (tüm ilkeler veya tüm uygulamalar gibi) uygulanır.
- Farklı türlerdeki nesneler (ilkeler veya uygulamalar gibi) için izinler ve kapsam etiketleri birbirine uygulanmaz. Örneğin, bir ilke için Okuma izni, kullanıcının atamalarındaki uygulamalara Okuma izni sağlamaz.
- Herhangi bir kapsam etiketi olmadığında veya bazı kapsam etiketleri farklı atamalardan atandığında, kullanıcı yalnızca bazı kapsam etiketlerinin parçası olan ve tüm cihazları görebilen cihazları görebilir.
Not
Bir yöneticinin farklı kapsam etiketleri kullanan birden çok rol ataması olduğunda, bu davranış hedeflenenden daha geniş erişime neden olabilir. Intune, her rol atamasına ait izinlerin kendi kapsam etiketi bağlamında yer almaları için izinlerin uygulanma şeklini değiştiren bir kabul önizleme ayarı içerir. Ayrıntılar ve kiracınız üzerindeki etkiyi değerlendirme adımları için bkz. Rol atamaları arasında izin davranışı.
RBAC atamalarını izleme
Intune kiracınızda atanan izinleri izlemenize ve anlamanıza yardımcı olmak için Intune yönetim merkezi çeşitli görünümler içerir. Kiracı yönetimi>Rolleri'ne gidin ve bu görünümlere erişmek için İzleyici'yi genişletin. Örneğin, karmaşık bir yönetim ortamında, Yönetici izinleri görünümünü kullanarak bir hesap belirtebilir ve geçerli yönetim ayrıcalıklarının kapsamını görebilirsiniz.
İzinlerim
İzinlerim düğümü, oturum açmış kullanıcının etkin izinlerinin bir görünümünü sağlar. Bu düğümü seçtiğinizde, hesabınıza verilen geçerli Intune RBAC kategorilerinin ve izinlerinin birleşik bir listesini görürsünüz. Bu birleştirilmiş liste tüm rol atamalarından gelen tüm izinleri içerir, ancak hangi rol atamalarının bunları sağladığını veya hangi grup üyeliğine atandıklarını içermez.
İzine göre roller
İzin düğümüne göre Roller , her rol ataması tarafından verilen izinlerin bir görünümünü sağlar. Bu görünümde, belirli bir Intune RBAC izniyle ilgili ayrıntıları ve hangi rol atamaları ile bu birleşimin hangi gruplar için kullanılabilir hale getirildiğini görebilirsiniz.
Başlamak için bir Intune izni ve ardından bu izinden belirli bir eylemi seçin. Ardından yönetim merkezi, aşağıdakiler dahil olmak üzere bu iznin atanmasına neden olan örneklerin listesini görüntüler:
- Rol görünen adı: İzin veren yerleşik veya özel RBAC rolünün adı.
- Rol ataması görünen adı: Rolü kullanıcı gruplarına atayan rol atamasının adı.
- Grup adı: Bu rol atamasını alan grubun adı.
Yönetici izinleri
Yönetici izinleri düğümü, bir hesaba verilen belirli izinlerin görünümünü sağlar.
Bir Kullanıcı hesabı belirterek başlayın. Kullanıcının hesabına atanmış Intune izinleri olduğu sürece, Intune İzin ve Eylem tarafından tanımlanan bu izinlerin tam listesini görüntüler.
