Microsoft Intune ile rol tabanlı erişim denetimi (RBAC)
Rol tabanlı erişim denetimi (RBAC), kuruluşunuzun kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceklerini yönetmenize yardımcı olur. Intune kullanıcılarınıza roller atayarak, görebileceklerini ve değiştirebileceklerini sınırlayabilirsiniz. Her rolün, kuruluşunuzda hangi kullanıcılara erişebileceğini ve değiştirebileceğini belirleyen bir dizi izni vardır.
Rol oluşturmak, düzenlemek veya atamak için hesabınızın Microsoft Entra ID'de aşağıdaki izinlerden birine sahip olması gerekir:
- Genel Yönetici
- Intune Hizmet Yöneticisi (Intune Yöneticisi olarak da bilinir)
Roller
Rol, bu role atanan kullanıcılara verilen izin kümesini tanımlar. Hem yerleşik hem de özel rolleri kullanabilirsiniz. Yerleşik roller bazı yaygın Intune senaryolarını kapsar. İhtiyacınız olan tam izin kümesiyle kendi özel rollerinizi oluşturabilirsiniz . Bazı Microsoft Entra rollerin Intune izinleri vardır. Intune yönetim merkezinde bir rol görmek için Kiracı yönetimi>Rolleri>Tüm roller> bir rol seçin'e gidin. Rolü aşağıdaki sayfalarda yönetebilirsiniz:
- Özellikler: Rolün adı, açıklaması, izinleri ve kapsam etiketleri.
- Atamalar: Hangi kullanıcıların hangi kullanıcılara/cihazlara erişimi olduğunu tanımlayan rol atamalarının listesi. Bir rolün birden çok ataması olabilir ve bir kullanıcı birden çok atamada yer alabilir.
Not
Intune yönetebilmek için atanmış bir Intune lisansınız olmalıdır. Alternatif olarak, Lisanssız yöneticilere erişime izin ver ayarını Evet olarak ayarlayarak lisanslı olmayan kullanıcıların Intune yönetmesine izin vekleyebilirsiniz.
Yerleşik roller
Daha fazla yapılandırma yapmadan gruplara yerleşik roller atayabilirsiniz. Yerleşik rolün adını, açıklamasını, türünü veya izinlerini silemez veya düzenleyemezsiniz.
- Application Manager: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilir.
- Endpoint Privilege Manager: Intune konsolunda Endpoint Privilege Management ilkelerini yönetir.
- Uç Nokta Ayrıcalık Okuyucusu: Uç Nokta Ayrıcalık Okuyucuları, uç nokta ayrıcalık yönetimi ilkelerini Intune konsolunda görüntüleyebilir.
- Endpoint Security Manager: Güvenlik temelleri, cihaz uyumluluğu, koşullu erişim ve Uç Nokta için Microsoft Defender gibi güvenlik ve uyumluluk özelliklerini yönetir.
- Yardım Masası Operatörü: Kullanıcılar ve cihazlarda uzak görevler gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilir.
- Intune Rol Yöneticisi: Özel Intune rollerini yönetir ve yerleşik Intune rolleri için atamalar ekler. Yöneticilere izin atayabilen tek Intune rol bu.
- İlke ve Profil Yöneticisi: Uyumluluk ilkesini, yapılandırma profillerini, Apple kaydını, kurumsal cihaz tanımlayıcılarını ve güvenlik temellerini yönetir.
- Kuruluş İletileri Yöneticisi: Intune konsolunda kuruluş iletilerini yönetir.
- Salt Okunur İşleci: Kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgilerini görüntüler. Intune'da değişiklik yapılamaz.
- Okul Yöneticisi: Eğitim için Intune'da Windows 10 cihazları yönetir.
- Cloud PC Yöneticisi: Cloud PC Yöneticisi, Cloud PC alanında bulunan tüm Cloud PC özelliklerine okuma ve yazma erişimine sahiptir.
- Cloud PC Reader: Cloud PC Reader, Cloud PC alanında bulunan tüm Cloud PC özelliklerine okuma erişimine sahiptir.
Özel roller
Özel izinlerle kendi rollerinizi oluşturabilirsiniz. Özel roller hakkında daha fazla bilgi için bkz. Özel rol oluşturma.
Intune erişimi olan rolleri Microsoft Entra
| Microsoft Entra rolü | Tüm Intune verileri | Denetim verilerini Intune |
|---|---|---|
| Genel Yönetici | Okuma/yazma | Okuma/yazma |
| Intune Hizmet Yöneticisi | Okuma/yazma | Okuma/yazma |
| Koşullu Erişim Yöneticisi | Yok | Yok |
| Güvenlik Yöneticisi | Salt okunur (Endpoint Security düğümü için tam yönetim izinleri) | Salt okunur |
| Güvenlik İşleci | Salt okunur | Salt okunur |
| Güvenlik Okuyucusu | Salt okunur | Salt okunur |
| Uyumluluk Yöneticisi | Yok | Salt okunur |
| Uyumluluk Verileri Yöneticisi | Yok | Salt okunur |
| Genel Okuyucu (Bu rol, Intune Yardım Masası Operatörü rolüne eşdeğerdir) | Salt Okunur | Salt Okunur |
| Yardım masası yöneticisi (Bu rol, Intune Yardım Masası Operatörü rolüne eşdeğerdir) | Salt Okunur | Salt Okunur |
| Rapor Okuyucusu | Yok | Salt Okunur |
İpucu
Intune üç Microsoft Entra uzantısı da gösterir: kullanıcılar, gruplar ve koşullu erişim, Microsoft Entra RBAC kullanılarak denetlenen. Ayrıca, Kullanıcı Hesabı Yöneticisi yalnızca Microsoft Entra kullanıcı/grup etkinlikleri gerçekleştirir ve Intune tüm etkinlikleri gerçekleştirmek için tam izinlere sahip değildir. Daha fazla bilgi için bkz. Microsoft Entra ID ile RBAC.
Rol atamaları
Rol ataması şu tanımları tanımlar:
- hangi kullanıcıların role atandığı
- görebilecekleri kaynaklar
- değiştirebilecekleri kaynaklar.
Kullanıcılarınıza hem özel hem de yerleşik roller atayabilirsiniz. Intune rolüne atanabilmesi için kullanıcının Intune lisansı olması gerekir. Rol atamasını görmek için Intune>Yeni yönetim>Rolleri>Tüm roller> bir rol > seçin Atamalar> bir atama seçin. Özellikler sayfasında şunları düzenleyebilirsiniz:
- Temel bilgiler: Ödevlerin adı ve açıklaması.
- Üyeler: Listelenen Azure güvenlik gruplarındaki tüm kullanıcıların Kapsam (Gruplar) içinde listelenen kullanıcıları/cihazları yönetme izni vardır.
- Kapsam (Gruplar): Kapsam Grupları Microsoft Entra kullanıcı veya cihaz güvenlik gruplarıdır ya da bu rol atamasında yöneticilerin üzerinde işlem yapmakla sınırlı olduğu her ikisi de vardır. Örneğin, bir ilkenin veya uygulamanın bir kullanıcıya dağıtılması veya cihazı uzaktan kilitlemesi. Bu Microsoft Entra güvenlik gruplarındaki tüm kullanıcılar ve cihazlar Üyeler'deki kullanıcılar tarafından yönetilebilir.
- Kapsam (Etiketler): Üyeler'deki kullanıcılar aynı kapsam etiketlerine sahip kaynakları görebilir.
Not
Kapsam Etiketleri, yöneticinin tanımlayıp rol atamasına eklediği serbest biçimli metin değerleridir. Role eklenen kapsam etiketi rolün görünürlüğünü denetlerken rol atamasına eklenen kapsam etiketi, rol ataması bir veya daha fazla eşleşen kapsam etiketi içerdiğinden, Intune nesnelerinin (ilkeler ve uygulamalar gibi) veya cihazların görünürlüğünü yalnızca bu rol ataması içindeki yöneticilerle sınırlar.
Birden çok rol ataması
Kullanıcının birden çok rol ataması, izni ve kapsam etiketi varsa, bu rol atamaları aşağıdaki gibi farklı nesnelere genişletir:
- İki veya daha fazla rolün aynı nesneye izin vermesi durumunda izinler artımlı olur. Örneğin, bir rolden Okuma izinlerine ve başka bir rolden Okuma/yazma izinlerine sahip bir kullanıcının etkin okuma/yazma izni vardır (her iki rol için atamaların aynı kapsam etiketlerini hedeflediğini varsayarsak).
- İzinleri ve kapsam etiketlerini atama yalnızca bu rolün atama Kapsamındaki (Gruplar) nesnelere (ilkeler veya uygulamalar gibi) uygulanır. Atama izinleri ve kapsam etiketleri, diğer atama özel olarak vermediği sürece diğer rol atamalarındaki nesnelere uygulanmaz.
- Diğer izinler (Oluşturma, Okuma, Güncelleştirme, Silme gibi) ve kapsam etiketleri, kullanıcının atamalarındaki aynı türdeki tüm nesnelere (tüm ilkeler veya tüm uygulamalar gibi) uygulanır.
- Farklı türlerdeki nesneler (ilkeler veya uygulamalar gibi) için izinler ve kapsam etiketleri birbirine uygulanmaz. Örneğin, bir ilke için Okuma izni, kullanıcının atamalarındaki uygulamalara Okuma izni sağlamaz.
- Herhangi bir kapsam etiketi olmadığında veya bazı kapsam etiketleri farklı atamalardan atandığında, kullanıcı yalnızca bazı kapsam etiketlerinin parçası olan ve tüm cihazları görebilen cihazları görebilir.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin