Dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanma

Intune yöneticilerinizin yönetmesini beklediğiniz Intune nesnelerine doğru erişim ve görünürlüğe sahip olduğundan emin olmak için rol tabanlı erişim denetimi ve kapsam etiketlerini kullanabilirsiniz. Roller, yöneticilerin hangi nesnelere hangi erişime sahip olduğunu belirler. Kapsam etiketleri, yöneticilerin görebileceği nesneleri belirler.

Örneğin, Seattle bölgesel ofis yöneticisinin İlke ve Profil Yöneticisi rolüne sahip olduğunu varsayalım. Bu yöneticinin yalnızca Seattle ofisinde bulunan bir cihaz grubu olan Seattle cihazları için geçerli olan profilleri ve ilkeleri görmesini ve yönetmesini istiyorsunuz. Bu erişimi ayarlamak için şunları yaparsınız:

  1. Seattle adlı bir kapsam etiketi oluşturun.
  2. İlke ve Profil Yöneticisi rolü için aşağıdakilerle bir rol ataması oluşturun:
    • Üyeler (Gruplar) = Seattle BT yöneticileri adlı bir güvenlik grubu. Bu gruptaki tüm yöneticilerin Kapsam (Gruplar) içindeki kullanıcılar/cihazlar için ilkeleri ve profilleri yönetme izni vardır.
    • Kapsam (Gruplar) = Seattle kullanıcıları adlı bir güvenlik grubu. Bu gruptaki tüm kullanıcıların/cihazların profilleri ve ilkeleri Üyeler (Gruplar) içindeki yöneticiler tarafından yönetilebilir.
    • Kapsam (Etiketler) = Seattle. Üye (Gruplar) içindeki yöneticiler, Seattle kapsam etiketine sahip Intune nesneleri görebilir.
  3. Üyeler'deki (Gruplar) yöneticilerin erişmesini istediğiniz ilkelere ve profillere Seattle kapsam etiketini ekleyin.
  4. Üyeler (Gruplar) içindeki yöneticilere görünür olmasını istediğiniz cihazlara Seattle kapsam etiketini ekleyin.

Varsayılan kapsam etiketi

Varsayılan kapsam etiketi, kapsam etiketlerini destekleyen etiketlenmemiş tüm nesnelere otomatik olarak eklenir.

Varsayılan kapsam etiketi özelliği, Microsoft Configuration Manager'deki güvenlik kapsamları özelliğine benzer.

Not

Intune ilkelerini yapılandırdığınızda veya düzenlediğinizde, kiracı için özel tanımlı kapsam etiketleri yoksa bazı ilke türleri Kapsam Etiketleri yapılandırma sayfasını görüntülemeyebilir. Kapsam Etiketi seçeneğini görmüyorsanız, varsayılan kapsam etiketine ek olarak en az bir etiketin tanımlandığından emin olun.

Kapsam etiketi oluşturmak için

Kapsam etiketlerini oluşturma, güncelleştirme veya silme, yöneticinin Intune Yönetici Microsoft Entra rolüne atanmış olmasını gerektirir. Ayrıcalıklı bir rol olduğundan, Microsoft bunu yalnızca gerektiğinde kullanmanızı önerir. Rol atamalarında kapsam etiketi olan yöneticiler kapsam etiketini ana kapsam etiketleri listesinden güncelleştiremez veya silemez.

  1. Microsoft Intune yönetim merkezindeKiracı yönetimi>Rolleri>Kapsamı (Etiketler)Oluştur'u> seçin.

  2. Temel Bilgiler sayfasında bir Ad ve isteğe bağlı bir Açıklama girin. İleri'yi seçin.

  3. Atamalar sayfasında, bu kapsam etiketini atamak istediğiniz cihazları içeren grupları seçin. İleri'yi seçin.

  4. Gözden Geçir + oluştur sayfasında Oluştur'u seçin.

    Önemli

    Otomatik kapsam etiketleri atamaları, el ile atanan kapsam etiketlerinin üzerine yazılır. Bir cihaza grup ataması aracılığıyla birden çok kapsam etiketi atanırsa, tüm kapsam etiketleri uygulanır.

Role kapsam etiketi atamak için

  1. Microsoft Intune yönetim merkezindeKiracı yönetimi>Rolleri>Tüm roller> bir rol >Atamaları>Ata'yı seçin.

  2. Temel Bilgiler sayfasında bir Atama adı ve Açıklama girin. İleri'yi seçin.

  3. Yönetici Grupları sayfasında Grup ekle'yi seçin ve bu atamanın bir parçası olarak istediğiniz grupları seçin. Bu gruplardaki kullanıcıların Kapsam (Gruplar) içindeki kullanıcıları/cihazları yönetme izinleri vardır. İleri'yi seçin.

    Üye gruplarını seçme ekran görüntüsü.

  4. Kapsam Grupları sayfasında, Dahil edilen gruplar için aşağıdaki seçeneklerden birini belirleyin:

    • Grup ekle: Yönetmek istediğiniz kullanıcıları/cihazları içeren grupları seçin. Seçili gruplardaki tüm kullanıcılar/cihazlar Yönetici Gruplarındaki kullanıcılar tarafından yönetilir.
    • Tüm kullanıcıları ekle: Yönetici Gruplarındaki kullanıcılar tüm kullanıcıları yönetebilir.
    • Tüm cihazları ekle: Yönetici Gruplarındaki kullanıcılar tüm cihazları yönetebilir.

    İpucu

    İlke veya uygulama ataması gibi bir atama için dışlama grubu belirtirseniz, RBAC ataması kapsam gruplarından birinde iç içe yerleştirilmiş olması veya RBAC rol atamasında ayrı olarak kapsam grubu olarak listelenmesi gerekir.

  5. İleri'yi seçin

  6. Kapsam etiketleri sayfasında, bu role eklemek istediğiniz etiketleri seçin. Yönetici Grupları'ndaki kullanıcılar, aynı kapsam etiketine sahip Intune nesnelere erişebilir. Bir role en fazla 100 kapsam etiketi atayabilirsiniz.

  7. gözden geçir ve oluştur sayfasına gitmek için İleri'yi seçin ve ardından Oluştur'u seçin.

Diğer nesnelere kapsam etiketleri atama

Kapsam etiketlerini destekleyen nesneler için kapsam etiketleri genellikle Özellikler altında görünür. Örneğin, bir yapılandırma profiline kapsam etiketi atamak için şu adımları izleyin:

  1. Microsoft Intune yönetim merkezindeCihazlar Cihazları>>yönetYapılandırma> bir profil seçin'i seçin.

  2. Özellikler>Kapsamı (Etiketler)>Düzenle>Kapsam etiketlerini> seçin, profile eklemek istediğiniz etiketleri seçin. Bir nesneye en fazla 100 kapsam etiketi atayabilirsiniz.

  3. Gözden Geçir ve kaydet'iseçin>.

Kapsam etiketi ayrıntıları

Kapsam etiketleriyle çalışırken şu ayrıntıları unutmayın:

  • Kiracıda bu nesnenin birden çok sürümü (rol atamaları veya uygulamalar gibi) varsa, kapsam etiketlerini bir Intune nesne türüne atayabilirsiniz. Aşağıdaki Intune nesneleri bu kuralın özel durumlarıdır ve şu anda kapsam etiketlerini desteklemez:
    • Corp Cihaz Tanımlayıcıları
    • Windows Autopilot Cihazları
    • Cihaz uyumluluk konumları
    • Jamf cihazları
  • VPP belirteci ile ilişkili Toplu Satın Alma Programı (VPP) uygulamaları ve e-kitapları, ilişkili VPP belirtecine atanan kapsam etiketlerini devralır.
  • Bir yönetici Intune içinde bir nesne oluşturduğunda, o yöneticiye atanan tüm kapsam etiketleri otomatik olarak yeni nesneye atanır.
  • Intune RBAC, Microsoft Entra roller için geçerli değildir. Bu nedenle, Intune Hizmet Yöneticileri rolü, hangi kapsam etiketlerine sahip olursa olsun Intune tam yönetici erişimine sahiptir.
  • Rol atamasının kapsam etiketi yoksa BT yöneticisi, BT yöneticileri izinlerine göre tüm nesneleri görebilir. Kapsam etiketleri olmayan yöneticilerin temelde tüm kapsam etiketleri vardır.
  • Yalnızca rol atamalarınızda bulunan bir kapsam etiketi atayabilirsiniz.
  • Yalnızca rol atamanızın Kapsamında (Gruplar) listelenen grupları hedefleyebilirsiniz.
  • Rolünüze atanmış bir kapsam etiketiniz varsa, Intune nesnedeki tüm kapsam etiketlerini silemezsiniz. En az bir kapsam etiketi gereklidir.

Rol atamaları arasında izin davranışı

Aşağıdaki bölümlerde, Intune kapsamlı izinler için mevcut ve varsayılan davranışı ve gelecekteki bir sürümde tüm kiracılar için varsayılan davranış olacak geliştirilmiş genel önizleme davranışı açıklanmaktadır.

Önemli

Mart 2026'da Intune Kapsamlı izinler için genel önizlemeyi kabul etme seçeneğini kullanıma sundu. Bu yeni davranış, bir yöneticinin farklı kapsam etiketlerine sahip birden çok rol ataması olduğunda izinlerin nasıl uygulanacağını değiştirir. Bu ayarı etkinleştirene kadar kiracınız varsayılan davranışı kullanmaya devam eder. Her iki davranışı da gözden geçirin ve bu değişiklik tersine çevrilemediğinden, kabul etmeden önce etkiyi anlamak için İzin değerlendirme raporunu kullanın.

Varsayılan davranış

Varsayılan olarak, bir yönetici farklı kapsam etiketleri kullanan ve aynı izin kategorisini (örneğin, Mobile Apps) paylaşan birden çok rol atamasına aitse Intune izinleri bu atamalar arasında birleştirir. Bu, bir yöneticinin hedeflenenden daha geniş erişim almasına neden olabilir. Örneğin:

  • Uygulama Yöneticileri güvenlik grubuna, Mobile Apps için yalnızca Okuma izinleri veren ve genel merkez olarak belirlenmiş ve onlara orada salt okunur erişim vermeyi amaçlayan bir rol atanır.
  • Aynı gruba Ayrıca , Mobile Apps için tam izinler (Oluşturma, Okuma, Güncelleştirme, Silme) veren ve kapsamı Bölgesel Office olarak belirlenmiş bir role de atanır.
  • Her iki atama da Mobile Apps izin kategorisini paylaştığından Intune bunları birleştirir. Sonuç: Uygulama Yöneticileri üyeleri, Genel Merkez'e yönelik salt okunur erişime değil, hem Genel Merkez hem de Bölgesel Ofis'e bağlı Mobile Apps üzerinde tam izinlere sahiptir.

İstediğiniz erişim bu değilse, Kapsamlı izinlere katılmadan önce geçerli atamalarınızın tam olarak nasıl değişeceğini görmek için İzin değerlendirme raporunu kullanın.

Kapsamlı izinler (genel önizlemeyi kabul etme)

Kabul etme genel önizlemesi olarak sunulan Kapsamlı izinler ayarını kullanarak her bir yöneticinin her kapsam etiketinde neler yapabileceğini tam olarak kontrol edebilirsiniz. Rol atamaları arasında Intune sessizce birleştirme izinlerine sahip olmak yerine, her atamanın izinleri kendi kapsamında kalır. Yöneticiler artık tam olarak istediğiniz erişimi elde eder.

Kapsamlı izinler etkinleştirildiğinde, her rol ataması izinleri yalnızca kendi kapsam etiketi bağlamında uygulanır. Aynı örnekte , Uygulama Yöneticileri üyeleri Tam olarak amaçlandığı gibi Genel Merkezi etiketli Mobile Apps'e salt okunur erişime ve Mobile Apps etiketli Bölgesel Office için tam izinlere sahip olacaktır.

Kapsamlı izinlerin etkinleştirilmesi, geri alınamayan tek seferlik bir kiracı eylemidir. Bu ayarı etkinleştirmeden önce, kiracınızda etkilenen her yönetici için izinleri tam olarak nasıl değiştireceğini önizlemek için İzin Değerlendirme Raporu'nu kullanın. Rapor Kiracı yönetimi>Rolleri>Ayarları'nda sağlanır ve gerektiği kadar çok kez çalıştırılabilir.

Kapsamlı izinleri etkinleştirmek için Kiracı yönetimi>Rolleri>Ayarları'na gidin ve aşağıdaki rollerden birine sahip bir hesap kullanarak Kapsamlı izinler iki durumlu düğmesini açın:

  • Özel Intune rolü (önerilir) - Kuruluş için Güncelleştir eylemini içeren özel bir rol oluşturun. Yerleşik Intune rolü bu izni içermiyor.
  • Intune Yöneticisi - Bu Microsoft Entra rolü, Intune tam okuma/yazma erişimi sağlar. Ayrıcalıklı bir rol olduğundan, Microsoft bunun yerine en az ayrıcalıklı özel Intune rolü kullanmanızı önerir.

İzin Değerlendirme Raporu

Kapsamlı izinleri etkinleştirmeden önce, kiracınızdaki etkilenen her yönetici için izinleri tam olarak nasıl değiştireceğini önizlemek için İzin Değerlendirme Raporu'nı kullanın. Rapor Kiracı yönetimi>Rolleri>Ayarları'nda sağlanır ve ayar etkinleştirilmeden önce veya etkinleştirildikten sonra gerektiği sıklıkta çalıştırılabilir.

Rapor, etkilenen her güvenlik grubunu, ilgili rolleri ve kapsam etiketlerini ve geçerli (birleştirilmiş) izinlerin karşılaştırmasını ve Kapsamlı izinler etkinleştirildikten sonra uygulanacak izinleri gösterir. Her satır, izin azaltmanın gerçekleşeceği belirli bir kaynağı temsil eder ve azaltmalar birden fazla kaynak türüne uygulanırsa grup birden çok satırda görünebilir. İzin azaltmalarını belirlemek ve ayarı etkinleştirmeden önce etkilenen yöneticilere iletmek için sonuçları gözden geçirin.

Rapor sütunları:

  • Grup: İzinleri rol atamaları arasında birleştirmeden etkilenen güvenlik grubu.
  • Roller: Şu anda bu grup için izinleri birleştirilmiş olan roller, Eski İzinler'de gösterilen daha geniş erişimi oluşturur.
  • Kapsam Etiketi: İzin azaltmanın gerçekleşeceği kapsam etiketi. Yalnızca net azaltması olan kapsam etiketleri listelenir.
  • Kaynak: DeviceConfigurations gibi değişikliğin geçerli olduğu kaynak türü.
  • Eski İzinler: Grubun bu kaynak için geçerli izinleri, bu izin kategorisini paylaşan tüm rol atamalarının birleştirilmiş sonucunu yansıtır. Bu birleştirilmiş izinler şu anda bu atamalardaki tüm kapsam etiketlerine uygulanır.
  • Yeni İzinler: Kapsamlı izinler etkinleştirildikten sonra bu belirli kapsam etiketine uygulanacak izinler, yalnızca bu kapsam etiketiyle ilişkili rol atamasına bağlıdır.

Rapor, üyesi olmayan güvenlik gruplarını ve izin birleştirmeden etkilenmeyen güvenlik gruplarını dışlar.

Kiracınız üzerindeki etkisini gözden geçirmek ve Kapsamlı izinleri etkinleştirmek için:

  1. Kiracı yönetimi>Rolleri>Ayarları'na gidin.

  2. İzin Değerlendirme Raporunu çalıştırmak için Rapor Oluştur'u seçin.

    Sonuçları gözden geçirin, rol atamalarını gerektiği gibi ayarlayın ve etkilenen yöneticilere izin azaltmalarını iletin. Raporu çevrimdışı gözden geçirme veya paylaşma amacıyla Excel'e de aktarabilirsiniz.

  3. Hazır olduğunuzda , Kapsamlı izinler iki durumlu düğmesini etkinleştirin.

    Önemli

    Bu değişikliği uygulamaya hazır olana kadar kapsamlı izinleri etkinleştirmeyin. Kapsamlı izinlerin etkinleştirilmesi, geri alınamaz tek yönlü bir eylemdir.

Sonraki adımlar

Birden çok rol ataması olduğunda kapsam etiketlerinin nasıl davrandığını öğrenin. Rollerinizi ve profillerinizi yönetin.

  • Last updated on