Dağıtılmış BT için rol tabanlı erişim denetimi (RBAC) ve kapsam etiketlerini kullanma

Makale
09/29/2023

Doğru yöneticilerin gerekli Intune nesnelerine doğru erişime ve görünürlüğe sahip olduğundan emin olmak için rol tabanlı erişim denetimi ve kapsam etiketlerini kullanabilirsiniz. Roller, yöneticilerin hangi nesnelere hangi erişime sahip olduğunu belirler. Kapsam etiketleri, yöneticilerin görebileceği nesneleri belirler.

Örneğin, Seattle bölgesel ofis yöneticisinin İlke ve Profil Yöneticisi rolüne sahip olduğunu varsayalım. Bu yöneticinin yalnızca Seattle cihazları için geçerli olan profilleri ve ilkeleri görmesini ve yönetmesini istiyorsunuz. Bu erişimi ayarlamak için şunları yaparsınız:

Seattle adlı bir kapsam etiketi oluşturun.
İlke ve Profil Yöneticisi rolü için aşağıdakilerle bir rol ataması oluşturun:
- Üyeler (Gruplar) = Seattle BT yöneticileri adlı bir güvenlik grubu. Bu gruptaki tüm yöneticilerin Kapsam 'daki (Gruplar) kullanıcılar/cihazlar için ilkeleri ve profilleri yönetme izni olacaktır.
- Kapsam (Gruplar) = Seattle kullanıcıları adlı bir güvenlik grubu. Bu gruptaki tüm kullanıcıların/cihazların profilleri ve ilkeleri Üyeler (Gruplar) içindeki yöneticiler tarafından yönetilebilir.
- Kapsam (Etiketler) = Seattle. Üye (Gruplar) içindeki yöneticiler, Seattle kapsam etiketine de sahip Intune nesnelerini görebilir.
Üyeler'deki (Gruplar) yöneticilerin erişmesini istediğiniz ilkelere ve profillere Seattle kapsam etiketini ekleyin.
Üyeler (Gruplar) içindeki yöneticilere görünür olmasını istediğiniz cihazlara Seattle kapsam etiketini ekleyin.

Varsayılan kapsam etiketi

Varsayılan kapsam etiketi, kapsam etiketlerini destekleyen etiketlenmemiş tüm nesnelere otomatik olarak eklenir.

Varsayılan kapsam etiketi özelliği, Microsoft Configuration Manager'deki güvenlik kapsamları özelliğine benzer.

Not

Intune ilkelerini yapılandırırken veya düzenlerken, kiracı için özel tanımlı kapsam etiketleri yoksa bazı ilke türleri Kapsam Etiketleri yapılandırma sayfasını görüntülemeyebilir. Kapsam Etiketi seçeneğini görmüyorsanız, varsayılan kapsam etiketine ek olarak en az bir etiketin tanımlandığından emin olun.

Kapsam etiketi oluşturmak için

Microsoft Intune yönetim merkezindeKiracı yönetimi>Rolleri>Kapsamı (Etiketler)Oluştur'u> seçin.
Temel Bilgiler sayfasında bir Ad ve isteğe bağlı bir Açıklama girin. İleri'yi seçin.
Atamalar sayfasında, bu kapsam etiketini atamak istediğiniz cihazları içeren grupları seçin. İleri'yi seçin.
Gözden Geçir + oluştur sayfasında Oluştur'u seçin.

Önemli

Otomatik kapsam etiketleri atamaları, el ile atanan kapsam etiketlerinin üzerine yazılır. Bir cihaza grup ataması aracılığıyla birden çok kapsam etiketi atanırsa, tüm kapsam etiketleri uygulanır.

Role kapsam etiketi atamak için

Microsoft Intune yönetim merkezindeKiracı yönetimi>Rolleri>Tüm roller> bir rol >Atamaları>Ata'yı seçin.
Temel Bilgiler sayfasında bir Atama adı ve Açıklama girin. İleri'yi seçin.
Yönetici Grupları sayfasında Grup ekle'yi seçin ve bu atamanın bir parçası olarak istediğiniz grupları seçin. Bu gruplardaki kullanıcıların Kapsam (Gruplar) içindeki kullanıcıları/cihazları yönetme izinleri olacaktır. İleri'yi seçin.
Kapsam Grupları sayfasında, Dahil edilen gruplar için aşağıdaki seçeneklerden birini belirleyin:
- Grup ekle: Yönetmek istediğiniz kullanıcıları/cihazları içeren grupları seçin. Seçilen gruplardaki tüm kullanıcılar/cihazlar Yönetici Gruplarındaki kullanıcılar tarafından yönetilir.
- Tüm kullanıcıları ekle: Tüm kullanıcılar Yönetici Gruplarındaki kullanıcılar tarafından yönetilebilir.
- Tüm cihazları ekle: Tüm cihazlar Yönetici Gruplarındaki kullanıcılar tarafından yönetilebilir.
İleri'yi seçin
Kapsam etiketleri sayfasında, bu role eklemek istediğiniz etiketleri seçin. Yönetici Grupları'ndaki kullanıcılar aynı kapsam etiketine sahip Intune nesnelerine erişebilir. Bir role en fazla 100 kapsam etiketi atayabilirsiniz.
gözden geçir ve oluştur sayfasına gitmek için İleri'yi seçin ve ardından Oluştur'u seçin.

Diğer nesnelere kapsam etiketleri atama

Kapsam etiketlerini destekleyen nesneler için kapsam etiketleri genellikle Özellikler altında görünür. Örneğin, bir yapılandırma profiline kapsam etiketi atamak için şu adımları izleyin:

Microsoft Intune yönetim merkezindeCihazlar>Yapılandırması'nı> seçerek bir profil seçin.
Özellikler>Kapsamı (Etiketler)>Düzenle>Kapsam etiketlerini> seçin, profile eklemek istediğiniz etiketleri seçin. Bir nesneye en fazla 100 kapsam etiketi atayabilirsiniz.
Gözden Geçir ve kaydet'iseçin>.

Kapsam etiketi ayrıntıları

Kapsam etiketleriyle çalışırken şu ayrıntıları unutmayın:

Kiracıda bu nesnenin birden çok sürümü (rol atamaları veya uygulamalar gibi) varsa, bir Intune nesne türüne kapsam etiketleri atayabilirsiniz. Aşağıdaki Intune nesneleri bu kuralın özel durumlarıdır ve şu anda kapsam etiketlerini desteklememektedir:
- Corp Cihaz Tanımlayıcıları
- Autopilot Cihazları
- Cihaz uyumluluk konumları
- Jamf cihazları
VPP belirteci ile ilişkili Toplu Satın Alma Programı (VPP) uygulamaları ve e-kitapları, ilişkili VPP belirtecine atanan kapsam etiketlerini devralır.
Bir yönetici Intune'da bir nesne oluşturduğunda, bu yöneticiye atanan tüm kapsam etiketleri otomatik olarak yeni nesneye atanır.
Intune RBAC, Microsoft Entra roller için geçerli değildir. Bu nedenle Intune Hizmet Yöneticileri ve Genel Yöneticiler rolleri hangi kapsam etiketlerine sahip olursa olsun Intune'a tam yönetici erişimine sahiptir.
Rol atamasının kapsam etiketi yoksa BT yöneticisi, BT yöneticileri izinlerine göre tüm nesneleri görebilir. Kapsam etiketleri olmayan yöneticilerin temelde tüm kapsam etiketleri vardır.
Yalnızca rol atamalarınızda bulunan bir kapsam etiketi atayabilirsiniz.
Yalnızca rol atamanızın Kapsamında (Gruplar) listelenen grupları hedefleyebilirsiniz.
Rolünüze atanmış bir kapsam etiketiniz varsa, Intune nesnesindeki tüm kapsam etiketlerini silemezsiniz. En az bir kapsam etiketi gereklidir.

Sonraki adımlar

Birden çok rol ataması olduğunda kapsam etiketlerinin nasıl davrandığını öğrenin. Rollerinizi ve profillerinizi yönetin.