Microsoft Intune'da ilkeler atama
Bir Intune ilkesi oluşturduğunuzda, bu ilkeye eklediğiniz ve yapılandırdığınız tüm ayarları içerir. İlke dağıtılmaya hazır olduğunda sonraki adım, ilkeyi kullanıcı veya cihaz gruplarınıza "atamaktır". İlkeyi atadığınızda kullanıcılar ve cihazlar ilkenizi alır ve girdiğiniz ayarlar uygulanır.
Intune'da aşağıdaki ilkeleri oluşturabilir ve atayabilirsiniz:
- Uygulama koruma ilkeleri
- Uygulama yapılandırma ilkeleri
- Uyumluluk ilkeleri
- Koşullu erişim ilkeleri
- Cihaz yapılandırma profilleri
- Kayıt ilkeleri
Bu makale size bir ilkenin nasıl atanacağını gösterir, kapsam etiketlerinin kullanımına ilişkin bazı bilgiler içerir, ilkelerin kullanıcı gruplarına veya cihaz gruplarına ne zaman atanacağını açıklar ve daha fazlasını içerir.
Bu özellik şu platformlarda geçerlidir:
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
Başlamadan önce
İlkeleri ve profilleri atayabilecek doğru role sahip olduğunuzdan emin olun. Daha fazla bilgi için Microsoft Intune ile Rol tabanlı erişim kontrolüne (RBAC) gidin.
Intune'da Microsoft Copilot'u kullanmayı değerlendirin. Bazı avantajları şunlardır:
- Bir ilke oluşturduğunuzda ve ayarları yapılandırdığınızda, Copilot her ayar hakkında daha fazla bilgi sağlar, bir değer önerebilir ve olası çakışmaları bulabilir.
- Bir ilke atadığınızda, Copilot size ilkenin atandığı grupları söyleyebilir ve ilkenin etkisini anlamanıza yardımcı olabilir.
Daha fazla bilgi için: Intune'da Microsoft Copilot.
Kullanıcılara veya gruplara ilke atama
Microsoft Intune yönetim merkezinde oturum açın.
Cihazlar>Cihazları yönet>Yapılandırma sekmesini seçin. Tüm profiller listelenir.
Atamak istediğiniz profili seçin. >Özellikler>Atamalar>Düzenle:
Örneğin, bir cihaz yapılandırma profili atamak için:
Cihazlar>Cihazları yönet>Yapılandırma sekmesine gidin. Tüm profiller listelenir.
Atamak istediğiniz ilkeyi seçin. >Özellikler>Atamalar>Düzenle:
Dâhil edilen gruplar veya Hariç tutulan gruplar altında, bir veya daha fazla Microsoft Entra grubunu seçmek için Grup ekle'yi seçin. İlkeyi geçerli tüm cihazlara geniş çapta dağıtmak istiyorsanız Tüm kullanıcıları ekle veya Tüm cihazları ekle'yi seçin.
Not
"Tüm Cihazlar" ve "Tüm Kullanıcılar"ı seçerseniz ek Microsoft Entra grupları ekleme seçeneği devre dışı bırakılır.
İncele + Kaydet'i seçin. Bu adım, ilkenizi atamaz.
Kaydet'i seçin. Kaydettiğinizde ilkeniz atanır. Cihazlar Intune hizmetine giriş yaptığında gruplarınız ilke ayarlarınızı alacaktır.
Bilmeniz ve kullanmanız gereken ödev özellikleri
Oluşturduğunuz kurallara dayalı bir ilke atamak için Filtreleri kullanın. Aşağıdakiler için filtre oluşturabilirsiniz:
- Uygulama yapılandırma ilkeleri
- Uygulama koruma ilkeleri
- Uygulama atamaları
- Uyumluluk ilkeleri
- Cihaz yapılandırma profilleri
Daha fazla bilgi için:
İlke kümeleri, mevcut uygulamalardan ve ilkelerden oluşan bir grup veya koleksiyon oluşturur. İlke kümesi oluşturulduğunda ilke kümesini Microsoft Intune yönetim merkezinde tek bir yerden atayabilirsiniz.
Daha fazla bilgi için Microsoft Intune'da yönetim nesnelerinin koleksiyonlarını gruplandırmak için ilke kümelerini kullanma konusuna gidin.
Kapsam etiketleri, ilkeleri
US-NC IT TeamveyaJohnGlenn_ITDepartmentgibi belirli gruplara göre filtrelemenin harika bir yoludur. Daha fazla bilgi için: Dağıtılmış BT için RBAC ve kapsam etiketlerini kullanma.Windows cihazlarında, ilkenin yalnızca belirli bir işletim sistemi sürümüne veya belirli bir Windows sürümüne uygulanması için uygulanabilirlik kuralları ekleyebilirsiniz. Daha fazla bilgi için Geçerlilik kuralları sayfasına gidin.
Kullanıcı grupları ile cihaz grupları karşılaştırması
Birçok kullanıcı, kullanıcı gruplarının ne zaman kullanılacağını ve cihaz gruplarının ne zaman kullanılacağını soruyor. Yanıt hedefinize bağlıdır. İşte başlamanıza yardımcı olacak bazı yönergeler.
Cihaz grupları
Bir cihazda kimlerin oturum açtığına bakılmaksızın ayarları uygulamak istiyorsanız ilkelerinizi bir cihaz grubuna atayın. Cihaz gruplarına uygulanan ayarlar kullanıcıya değil her zaman cihaza uygulanır.
Örneğin:
Cihaz grupları, ayrılmış bir kullanıcısı olmayan cihazları yönetmek için yararlıdır. Örneğin, biletleri yazdıran, envanteri tarayan, vardiya çalışanları tarafından paylaşılan, belirli bir depoya atanan vb. cihazlarınız var. Bu cihazları bir cihaz grubuna yerleştirin ve ilkelerinizi bu cihaz grubuna atayın.
BIOS'taki ayarları güncelleyen bir Cihaz Ürün Yazılımı Yapılandırma Arayüzü (DFCI) Intune profili oluşturursunuz. Örneğin, bu ilkeyi cihazın kamerasını devre dışı bırakacak veya kullanıcıların başka bir işletim sistemi başlatmasını önlemek için önyükleme seçeneklerini kilitleyecek şekilde yapılandırırsınız. Bu ilke, bir cihaz grubuna atamak için iyi bir senaryodur.
Bazı belirli Windows cihazlarında, cihazı kimin kullandığına bakılmaksızın her zaman bazı Microsoft Edge ayarlarını kontrol etmek istersiniz. Örneğin, tüm indirmeleri engellemek, tüm çerezleri geçerli tarama oturumuyla sınırlandırmak ve tarama geçmişini silmek istiyorsunuz. Bu senaryo için, bu belirli Windows aygıtlarını bir aygıt grubuna yerleştirin. Ardından Intune'da Yönetim Şablonu oluşturun, bu cihaz ayarlarını ekleyin ve ardından bu ilkeyi cihazlar grubuna atayın.
Özetlemek gerekirse, cihazda kimin oturum açtığını veya herhangi birinin oturum açıp açmadığını umursamadığınızda cihaz gruplarını kullanın. Ayarlarınız her zaman cihazda olmalıdır.
Kullanıcı grupları
Kullanıcı gruplarına uygulanan ilke ayarları her zaman kullanıcıyla birlikte gelir ve birçok cihazda oturum açtığında kullanıcıyla birlikte gider. Kullanıcıların iş için Surface Pro ve kişisel iOS/iPadOS cihazı gibi birçok cihaza sahip olması normaldir. Ayrıca bir kişinin bu cihazlardan e-postaya ve diğer kuruluş kaynaklarına erişmesi de normaldir.
Bir kullanıcının aynı platformda birden fazla cihazı varsa grup atamasında filtreleri kullanabilirsiniz. Örneğin, bir kullanıcının kişisel bir iOS/iPadOS cihazı ve kuruluşa ait bir iOS/iPadOS'u vardır. Söz konusu kullanıcı için bir ilke atadığınızda yalnızca kuruluşa ait cihazı hedeflemek için filtreleri kullanabilirsiniz.
Şu genel kuralı izleyin: E-posta veya kullanıcı sertifikaları gibi bir özellik bir kullanıcıya aitse kullanıcı gruplarına atayın.
Örneğin:
Tüm kullanıcıların tüm cihazlarına bir Yardım Masası simgesi koymak istiyorsunuz. Bu senaryoda, bu kullanıcıları bir kullanıcı grubuna yerleştirin ve Yardım Masası simge ilkenizi bu kullanıcı grubuna atayın.
Kullanıcı, kuruluşa ait yeni bir cihaz alır. Kullanıcı, etki alanı hesabıyla cihazda oturum açar. Cihaz otomatik olarak Microsoft Entra ID'ye kaydedilir ve Intune tarafından otomatik olarak yönetilir. Bu ilke, bir kullanıcı grubuna atamak için iyi bir senaryodur.
Bir kullanıcı bir cihazda oturum açtığında OneDrive veya Office gibi uygulamalardaki özellikleri kontrol etmek istersiniz. Bu senaryoda OneDrive veya Office ilke ayarlarınızı bir kullanıcı grubuna atayın.
Örneğin, Office uygulamalarınızda, güvenilmeyen ActiveX denetimlerini engellemelisiniz. Intune'da Yönetim Şablonu oluşturabilir, bu ayarı yapılandırabilir ve ardından bu ilkeyi bir kullanıcı grubuna atayabilirsiniz.
Özetle, kullanıcı hangi cihazı kullanırsa kullansın, ayarlarınızın ve kurallarınızın her zaman kullanıcıyla uyumlu olmasını istiyorsanız kullanıcı gruplarını kullanın.
Azure Sanal Masaüstü çoklu oturum
Azure Sanal Masaüstü ile oluşturulan Windows çok oturumlu uzak masaüstlerini, diğer paylaşılan Windows istemci cihazlarını yönettiğiniz gibi yönetmek için Intune'u kullanabilirsiniz. Kullanıcı gruplarına veya cihazlara ilkeler atadığınızda Azure Sanal Masaüstü çoklu oturumu özel bir senaryodur. Sanal makinelerde cihaz CSP'lerinin cihaz gruplarını hedeflemesi gerekir. Kullanıcı CSP'leri kullanıcı gruplarını hedeflemelidir.
Daha fazla bilgi için Microsoft Intune ile Azure Sanal Masaüstü çoklu oturumunu kullanma konusuna gidin.
Windows CSP'leri ve davranışları
Windows cihazlarına ilişkin ilke ayarları, yapılandırma hizmeti sağlayıcılarına (CSP'ler) dayalıdır. Bu ayarlar, cihazlardaki kayıt defteri anahtarları veya dosyalarıyla eşlenir.
Windows CSP'ler hakkında bilmeniz gerekenler:
Intune, bu ayarları yapılandırabilmeniz ve Windows cihazlarınıza atayabilmeniz için bu CSP'leri kullanıma sunar. Bu ayarlar yerleşik şablonlar ve ayarlar kataloğu kullanılarak yapılandırılabilir. Ayarlar kataloğunda bazı ayarların kullanıcı kapsamına, bazı ayarların ise cihaz kapsamına uygulandığını görürsünüz.
Kullanıcı kapsamlı ve cihaz kapsamlı ayarların Windows cihazlarına nasıl uygulandığı hakkında bilgi için Ayarlar kataloğu: Cihaz kapsamı ve kullanıcı kapsamı ayarları karşılaştırması bölümüne gidin.
Bir ilke kaldırıldığında veya artık bir cihaza atanmadığında, ilkedeki ayarlara bağlı olarak farklı şeyler meydana gelebilir. Her CSP, ilke kaldırma işlemini farklı şekilde işler.
Örneğin, bir ayar var olan değeri tutsa da varsayılan değere geri dönmez. Her CSP davranışı kontrol eder. Windows CSP'lerin listesi için bkz. yapılandırma hizmeti sağlayıcısı (CSP) referansı.
Bir ayarı farklı bir değerle değiştirmek için yeni bir ilke oluşturun, ayarı Yapılandırılmadı olarak yapılandırın ve ilkeyi atayın. İlke cihaza uygulandığında, kullanıcıların ayarı tercih ettikleri değere değiştirme kontrolü olmalıdır.
Bu ayarları yapılandırırken bir pilot gruba dağıtmanızı öneririz. Daha fazla Intune kullanıma sunma önerisi için bkz. kullanıma sunma planı oluşturma.
İlke atamasından grupları dışla
Intune cihaz yapılandırma ilkeleri, grupları ilke atamasına dâhil etmenize ve hariç tutmanıza olanak tanır.
En iyi uygulama olarak:
- Kullanıcı gruplarınız için özel olarak ilkeler oluşturun ve atayın. Bu kullanıcıların cihazlarını dahil etmek veya hariç tutmak için filtreleri kullanın.
- Cihaz gruplarınıza özel farklı ilkeler oluşturun ve atayın.
Gruplar hakkında daha fazla bilgi için bkz. Kullanıcıları ve cihazları düzenlemek için grup ekleme.
Grupları dâhil etme ve hariç tutma ilkeleri
İlkelerinizi ve politikalarınızı atarken aşağıdaki genel ilkeleri uygulayın:
Dâhil edilen grupları veya Hariç tutulan grupları, ilkelerinizi alacak kullanıcılar ve cihazlar için bir başlangıç noktası olarak düşünün. Microsoft Entra grubu sınırlayıcı grup olduğundan mümkün olan en küçük grup kapsamını kullanın. İlke atamanızı sınırlamak veya hassaslaştırmak için filtreleri kullanın.
Statik gruplar olarak da bilinen atanmış Microsoft Entra grupları Dahil edilen gruplara veya Hariç Tutulan gruplara eklenebilir.
Tipik olarak, aygıtları Windows Autopilot'ta olduğu gibi Microsoft Entra ID'de önceden kayıtlıysa statik olarak bir Microsoft Entra grubuna atarsınız. Veya cihazları bir defaya mahsus, geçici bir sunmak için birleştirmek istiyorsanız. Aksi halde cihazları statik olarak bir Microsoft Entra grubuna atamak pratik olmayabilir.
Dinamik Microsoft Entra kullanıcı grupları Dahil edilen gruplara veya Hariç tutulan gruplara eklenebilir.
Hariç tutulan gruplar, kullanıcıların bulunduğu gruplar veya cihazların bulunduğu gruplar olabilir.
Dinamik Microsoft Entra cihaz grupları Dahil edilen gruplara eklenebilir. Ancak dinamik grup üyeliğini doldururken gecikme yaşanabilir. Gecikmeye duyarlı senaryolarda, belirli cihazları hedeflemek için filtreleri kullanın ve ilkelerinizi kullanıcı gruplarına atayın.
Örneğin, ilkeleri cihazlara kaydolur kaydolmaz atamalısınız. Gecikmeye duyarlı bu durumda, istediğiniz cihazları hedeflemek için bir filtre oluşturun ve bu filtreyle ilkeyi kullanıcı gruplarına atayın. Cihaz gruplarına atama.
Kullanıcısız bir senaryoda, istediğiniz cihazları hedeflemek için bir filtre oluşturun ve filtreyi içeren ilkeyi "Tüm cihazlar" grubuna atayın.
Hariç tutulan gruplara dinamik Microsoft Entra cihaz gruplarını eklemekten kaçının. Kayıt sırasında dinamik cihaz grubu hesaplamasında yaşanan gecikme, istenmeyen sonuçlara neden olabilir. Örneğin, istenmeyen uygulamalar ve ilkeler, hariç tutulan grup üyeliği doldurulmadan önce dağıtılabilir.
Destek matrisi
Grupların hariç tutulmasına yönelik desteği anlamak için aşağıdaki matrisi kullanın:
- ✅: Destekleniyor
- ❌: Desteklenmiyor.
- ❕ : Kısmen destekleniyor
| Senaryo | Destek |
|---|---|
| 1 | ❕ Kısmen desteklenir Başka bir dinamik aygıt grubunu hariç tutarken dinamik bir aygıt grubuna ilke atama desteklenir. Ancak gecikmeye duyarlı senaryolarda önerilmez. Hariç tutulan grup üyeliği hesaplamasındaki herhangi bir gecikme, ilkelerin cihazlara sunulmasına neden olabilir. Bu senaryoda, cihazları hariç tutmak için dinamik cihaz grupları yerine filtrelerin kullanılmasını öneririz. Örneğin, Tüm cihazlar'a atanmış bir cihaz ilkeniz varsa. Daha sonra yeni pazarlama cihazlarının bu ilkeyi almaması şartına sahip olursunuz. Böylece, ( device.enrollmentProfileName -eq "Marketing_devices") enrollmentProfilenameözelliğine dayalı olarak Pazarlama cihazları adı verilen dinamik bir cihaz grubu oluşturursunuz. İlkede Pazarlama cihazları dinamik grubunu hariç tutulan grup olarak eklersiniz.
Yeni bir pazarlama cihazı Intune'a ilk kez kaydolur ve yeni bir Microsoft Entra cihaz nesnesi oluşturulur. Dinamik gruplama işlemi, cihazı olası bir gecikmeli hesaplamayla Pazarlama cihazları grubuna yerleştirir. Aynı zamanda cihaz Intune'a kaydolur ve geçerli tüm ilkeleri almaya başlar. Intune ilkesi, cihaz dışlama grubuna yerleştirilmeden önce dağıtılabilir. Bu davranış, Pazarlama cihazları grubuna istenmeyen bir ilkenin (veya uygulamanın) dağıtılmasına neden olur. Sonuç olarak, gecikmeye duyarlı senaryolarda hariç tutmalar için dinamik cihaz gruplarının kullanılması önerilmez. Bunun yerine filtreleri kullanın. |
| 2 |
✅ Destekleniyor Statik bir cihaz grubunu hariç tutarken dinamik bir cihaz grubuna ilke atamak desteklenir. |
| 3 |
❌ Desteklenmiyor Kullanıcı gruplarını (hem dinamik hem de statik) hariç tutarken dinamik bir cihaz grubuna ilke atamak desteklenmez. Intune, kullanıcı-cihaz grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları hariç tutulmaz. |
| 4 |
❌ Desteklenmiyor Dinamik bir cihaz grubuna ilke atamak ve kullanıcı gruplarını (hem dinamik hem de statik) hariç tutmak desteklenmez. Intune, kullanıcı-cihaz grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları hariç tutulmaz. |
| 5 | ❕Kısmen destekleniyor Dinamik bir aygıt grubunu hariç tutarken statik bir aygıt grubuna ilke atamak desteklenir. Ancak gecikmeye duyarlı senaryolarda önerilmez. Hariç tutulan grup üyeliği hesaplamasındaki herhangi bir gecikme, ilkelerin cihazlara sunulmasına neden olabilir. Bu senaryoda, cihazları hariç tutmak için dinamik cihaz grupları yerine filtrelerin kullanılmasını öneririz. |
| 6 |
✅ Destekleniyor Statik bir aygıt grubuna ilke atama ve farklı bir statik aygıt grubunu hariç tutma desteklenir. |
| 7 |
❌ Desteklenmiyor Statik bir cihaz grubuna ilke atamak ve kullanıcı gruplarını (hem dinamik hem de statik) hariç tutmak desteklenmez. Intune, kullanıcı-cihaz grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları hariç tutulmaz. |
| 8 |
❌ Desteklenmiyor Statik bir cihaz grubuna ilke atamak ve kullanıcı gruplarını (hem dinamik hem de statik) hariç tutmak desteklenmez. Intune, kullanıcı-cihaz grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları hariç tutulmaz. |
| 9 |
❌ Desteklenmiyor Dinamik bir kullanıcı grubuna ilke atamak ve cihaz gruplarını (hem dinamik hem de statik) hariç tutmak desteklenmez. |
| 10 |
❌ Desteklenmiyor Dinamik bir kullanıcı grubuna ilke atamak ve cihaz gruplarını (hem dinamik hem de statik) hariç tutmak desteklenmez. |
| 11 |
✅ Destekleniyor Diğer kullanıcı gruplarını (hem dinamik hem de statik) hariç tutarken dinamik bir kullanıcı grubuna ilke atamak desteklenir. |
| 12 |
✅ Destekleniyor Diğer kullanıcı gruplarını (hem dinamik hem de statik) hariç tutarken dinamik bir kullanıcı grubuna ilke atamak desteklenir. |
| 13 |
❌ Desteklenmiyor Cihaz gruplarını (hem dinamik hem de statik) hariç tutarken statik bir kullanıcı grubuna ilke atamak desteklenmez. |
| 14 |
❌ Desteklenmiyor Cihaz gruplarını (hem dinamik hem de statik) hariç tutarken statik bir kullanıcı grubuna ilke atamak desteklenmez. |
| 15 |
✅ Destekleniyor Diğer kullanıcı gruplarını (hem dinamik hem de statik) hariç tutarken statik bir kullanıcı grubuna ilke atamak desteklenir. |
| 16 |
✅ Destekleniyor Diğer kullanıcı gruplarını (hem dinamik hem de statik) hariç tutarken statik bir kullanıcı grubuna ilke atamak desteklenir. |
İlgili makaleler
İlkelerinizi ve ilkelerinizi çalıştıran cihazları izlemeye ilişkin rehberlik için cihaz profillerini izleme’ye bakın.