Kiracıya bağlı istemciler için Intune rol tabanlı erişim denetimi
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager sürüm 2207'den başlayarak, Microsoft Intune yönetim merkezinden kiracıya bağlı cihazlarla etkileşim kurarken Intune rol tabanlı erişim denetimini (RBAC) kullanabilirsiniz. Örneğin, rol tabanlı erişim denetimi yetkilisi olarak Intune kullanılırken , Yardım Masası Operatörü rolüne sahip bir kullanıcının atanmış bir güvenlik rolüne veya Configuration Manager'dan ek izinlere ihtiyacı yoktur. Intune rol tabanlı erişim denetimi, Microsoft Intune yönetim merkezindekicihaz zaman çizelgesi, CMPivot ve betikler gibi tüm buluta bağlı cihaz sayfalarının izinlerini yönetir.
Önemli
Şu anda, Microsoft Intune yönetim merkezinden kiracıya bağlı cihazları görüntülemek ve bu cihazlarda eylemde bulunmaya yönelik Intune rol tabanlı erişim denetiminin uygulanması isteğe bağlıdır. Buluta bağlı Configuration Manager ortamlarına sahip tüm yöneticilerin Intune'dan rol tabanlı erişim denetimi izinlerini doğrulamaya başlamasını öneririz.
Intune'un kiracıya bağlı cihazlar için rol tabanlı erişim denetimi yetkilisi olarak yapılandırılması için üç üst düzey adım şunlardır:
- Configuration Manager konsolundan, buluta bağlı istemciler için Configuration Manager rol tabanlı erişim denetiminin uygulanmasını devre dışı bırakın
- Intune'dan buluta bağlı cihazlar için kullanıcı izinlerinin yönetilmesini etkinleştirin
- Intune'dan, buluta bağlı cihazlar için rol tabanlı erişim denetimi izinlerini doğrulayın
Önkoşullar
- Configuration Manager sürüm 2207 veya üzeri
- Kiracıya bağlı cihazlar
Sınırlamalar
- Şu anda, Microsoft Intune yönetim merkezinden kiracıya bağlı cihazlarda görüntüleme ve eylem gerçekleştirme için yalnızca Intune rol tabanlı erişim denetimi kullanılırken kapsam belirleme desteklenmez.
- Şu anda Configuration Manager sürüm 2207'nin erken güncelleştirme halkasını kullanırken Yazılım güncelleştirmeleri sayfası yalnızca bulut kullanıcıları tarafından kullanılamaz.
Buluta bağlı istemciler için Configuration Manager rol tabanlı erişim denetiminin uygulanmasını devre dışı bırakma
Configuration Manager rol tabanlı erişim denetimi yerine kiracı ekleme için Intune rol tabanlı erişim denetimini kullanmak için aşağıdaki yönergeleri kullanın:
Configuration Manager konsolundan Yönetim>Bulut Hizmetleri>Bulut Ekleme bölümüne gidin.
Rol tabanlı erişim denetimi seçeneğinin konumu, ortamınızın zaten buluta bağlı olup olmadığınıza bağlı olarak değişir.
- Ortamınız zaten buluta bağlıysa CoMgmtSettingsProd özelliklerini açın. Yönetim merkezine yüklenmiş cihazlarınız yoksa önce bu seçeneği yapılandırın. Daha fazla bilgi için bkz . Bulut eklemeyi etkinleştirme.
- Ortamınız buluta bağlı değilse Bulut Ekini Yapılandır'ı seçerek Bulut Ekleme Yapılandırma sihirbazını açın.
Karşıya yüklemeyi yapılandır sekmesinde veya sihirbazdaki sayfada, Rol Tabanlı Erişim Denetimi başlığı altında aşağıdaki seçeneğin onay kutusunu temizleyin:
Configuration Manager ile etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'yi zorlama
Değişikliği CoMgmtSettingsProd özelliklerine kaydetmek için Tamam'ı seçin veya bulut ekleme sihirbazını tamamlamaya devam edin.
Intune'dan rol tabanlı erişim denetimini etkinleştirme
Intune'un buluta bağlı cihazlar için kullanıcı izinlerini yönetmesini etkinleştirmek için aşağıdaki adımları kullanın:
- Microsoft Intune yönetim merkezini açın ve Roller/Güncelleştirme iznine sahip bir kullanıcı olarak oturum açın. İzin hakkında daha fazla bilgi için bkz. Intune'da özel rol izinleri.
- Kiracı yönetimi>Bağlayıcıları ve belirteçleri>Microsoft Endpoint Configuration Manager'ı seçin.
- Başlıkta Intune'dan kullanıcı izinlerini de yönetebilirsiniz'i seçin. Bu seçenek hakkında daha fazla bilgi edinmek için buraya tıklayın.
- Intune RBAC kullan açılır öğesi görüntülenir.
- Intune RBAC Kullan seçeneği için Açık'ı ve ardından Uygula'yı seçin.
- Değişikliğin geçerlilik kazanması yaklaşık 10 dakika sürebilir.
Intune'dan rol tabanlı erişim denetimi izinlerini doğrulama
Intune rol tabanlı erişim denetimi yetkilisine ayarlandıktan sonra rollerinizin izinlerini doğrulayın. Gerekirse, bu izinleri Intune'da oluşturduğunuz özel rollere ekleyebilirsiniz.
- Microsoft Intune yönetim merkezini açın ve oturum açın.
- Kiracı yönetimi>Rolleri'ne tıklayın.
- Application Manager gibi bir rol seçin ve Buluta bağlı cihazlar için listelenen izinleri gözden geçirin. Gerekirse, Intune'da oluşturduğunuz tüm özel roller için izinleri düzenleyin.
Aşağıdaki Intune izinleri Configuration Manager buluta bağlı cihazlara erişimi denetler:
| İzin | Açıklama | İzinli Intune yerleşik rolleri |
|---|---|---|
| Buluta bağlı cihazlar\Koleksiyonları görüntüleme | Configuration Manager buluta bağlı cihazlar için Koleksiyonlar sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Kaynak gezginini görüntüle | Configuration Manager buluta bağlı cihazlar için Kaynak gezgini sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Zaman çizelgesini görüntüle | Configuration Manager buluta bağlı cihazlar için Zaman Çizelgesi sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Yazılım güncelleştirmelerini görüntüleme | Configuration Manager buluta bağlı cihazlar için Yazılım güncelleştirmeleri sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Betikleri görüntüleme | Configuration Manager buluta bağlı cihazlar için Betikler sayfasını görüntüler | Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Betik çalıştırma | Betik çalıştır eylemini görüntüler ve kullanıcının Configuration Manager buluta bağlı cihazlarda betik çalıştırmasına izin verir | Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\CMPivot sorgusu çalıştırma | Configuration Manager buluta bağlı cihazlar için CMPivot sayfasını görüntüler | Endpoint Security Manager, Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\İstemci ayrıntılarını görüntüleme | Configuration Manager buluta bağlı cihazlar için İstemci ayrıntıları sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör,Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Uygulamaları görüntüleme | Configuration Manager buluta bağlı cihazlar için Uygulamalar sayfasını görüntüler | Application Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Uygulama eylemleri gerçekleştirme | Uygulamalar sayfasında uygulama eylemlerini görüntüler ve kullanıcının Configuration Manager buluta bağlı cihazlarda uygulama eylemleri gerçekleştirmesine izin verir | Uygulama Yöneticisi, Okul Yöneticisi, Yardım Masası Operatörü |
| Uzak görevler/BitLocker Tuşlarını Döndürme (önizleme) | Cihazda BitLocker Kurtarma Parolaları için bir anahtar döndürme işlemi başlatır. Configuration Manager buluta bağlı cihazlar için Kurtarma anahtarları sayfasını görüntüler. | Endpoint Security Manager, Yardım Masası Operatörü |
Sık sorulan sorular
Intune'da kiracıya bağlı cihazlara erişmesi gereken yalnızca bulut kullanıcılarım var, bu onlara erişim sağlayacak mı?
Evet. Bir kullanıcı yalnızca bulut olduğunda, bu senaryoda Microsoft Entra Id'de olduğu ve Intune'a erişebildikleri anlamına gelir; Intune RBAC kullanıldığında kiracıya bağlı cihazlara erişim sağlanır.
Kiracıma bağlı birden çok Configuration Manager hiyerarşisi varsa ne olur?
Microsoft Intune yönetim merkezindeki Intune RBAC Kullan ayarı, kiracıda listelenen tüm Configuration Manager hiyerarşileri için geçerlidir.
Configuration Manager ve Intune ayarları eşleşmezse ne olur?
Intune'da Intune RBAC Kullan iki durumlu düğmesi Kapalı olarak ayarlanırsa Configuration Manager ile etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'sini Zorla onay kutusu temizlenmiş olsa bile Configuration Manager rol tabanlı erişim zorlanır. Configuration Manager ile etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'sini Zorla seçeneğinin devre dışı bırakılması, Intune'da Intune RBAC Kullan iki durumlu düğmesinin Açık olarak ayarlanmasına kadar hiçbir etkisi olmaz.
Test hiyerarşim Intune RBAC kullanacak şekilde yapılandırılmışsa, ancak üretim hiyerarşim değilse ve aynı kiracıdaysa ne olur?
Intune RBAC Kullan ayarı, kiracıda listelenen tüm Configuration Manager hiyerarşileri için geçerlidir. Configuration Manager RBAC'yi zorunlu kılmak için onay kutusunu da temizlediğinizden, yalnızca bulut kullanıcıları test hiyerarşisinden karşıya yüklenen kiracıya bağlı cihazlara erişebilir. Yalnızca bulut kullanıcısı üretim ortamından karşıya yüklenen kiracıya bağlı bir cihaza erişmeye çalışırsa, üretim cihazları Configuration Manager RBAC'yi zorunlu kıldığından bir hata alır. Yalnızca bulut kullanıcısı aşağıdaki iletiye benzer bir hata alır: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Sonraki adımlar
- Buluta bağlı bir cihazın zaman çizelgesini gözden geçirme
- Buluta bağlı bir cihazda CMPivot sorgusu çalıştırma