Microsoft Intune'da cihaz profili oluşturma

Cihaz profilleri; ayarları eklemenize, yapılandırmanıza ve ardından bu ayarları kuruluşunuzdaki cihazlara göndermenize izin verir. İlke oluştururken bazı seçenekleriniz vardır:

• Yönetim şablonları: Windows 10/11 cihazlarında, bu şablonlar, yapılandırdığınız ADMX ayarlarıdır. ADMX ilkelerine veya grup ilkesi nesnelerine (GPO) aşina iseniz yönetim şablonlarını kullanmak Microsoft Intune'a geçişte doğal bir adımdır.

  Daha fazla bilgi için: Yönetim Şablonları

• Temeller: Windows 10/11 cihazlarda bu temel çizgiler önceden yapılandırılmış güvenlik ayarlarını içerir. Microsoft güvenlik ekiplerinin önerilerini kullanarak güvenlik ilkesi oluşturmak istiyorsanız güvenlik temelleri size göredir.

  Daha fazla bilgi için Güvenlik temelleri bölümüne gidin.

• Ayarlar kataloğu: Apple ve Windows cihazlarınızda cihaz özelliklerini ve ayarlarını yapılandırmak için ayarlar kataloğunu kullanabilirsiniz. Ayarlar kataloğunda tüm kullanılabilir ayarlar mevcuttur tek bir konumdadır. Örneğin, BitLocker için geçerli olan tüm ayarları görebilir ve yalnızca BitLocker'a odaklanan bir politika oluşturabilirsiniz. macOS cihazlarında, Microsoft Edge sürüm 77 ve ayarları yapılandırmak için ayarlar kataloğunu kullanın.

  Daha fazla bilgi için Ayarlar kataloğuna gidin.

• Şablonlar: Android, iOS/iPadOS, macOS ve Windows cihazlarında şablonlar; VPN, e-posta, kiosk cihazları ve daha fazlası gibi bir özelliği veya konsepti yapılandıran mantıksal bir ayarlar grubu içerir. Microsoft Intune'da cihaz yapılandırma ilkeleri oluşturma konusunda bilgi sahibiyseniz bu şablonları zaten kullanıyorsunuz demektir.

  Kullanılabilir şablonlar da dahil olmak üzere daha fazla bilgi için Cihaz profillerini kullanarak özellikleri ve ayarları cihazlarınıza uygulama sayfasına gidin.

Bu makale:

• Profil oluşturma adımlarını listeler.
• İlkelerinizi "filtrelemek" için kapsam etiketi eklemeyi size gösterir.
• Windows istemci cihazlarında uygulanabilirlik kurallarını açıklar ve size nasıl kural oluşturulacağını gösterir.
• Cihazların profilleri ve profil güncellemelerini aldığı yoklama yenileme döngü süreleri hakkında daha fazla bilgi içerir.

Bu özellik şu platformlarda geçerlidir:

• Android
• iOS/iPadOS
• macOS
• Windows

Profili oluştur

Profiller Microsoft Intune yönetim merkezinde oluşturulur. Bu yönetim merkezinde Cihazlar'ı seçin. Seçenekleriniz şunlardır:

• Genel Bakış: Profillerinizin durumunu listeler ve kullanıcılara ve cihazlara atadığınız profiller hakkında daha fazla ayrıntı sağlar.
• İzleme: Başarı veya başarısızlık açısından profillerinizin durumunu kontrol edin ve ayrıca profillerinizdeki günlükleri görüntüleyin.
• Platforma göre: Platformunuza göre politikalar ve profiller oluşturun ve görüntüleyin. Bu görünüm aynı zamanda platforma özgü özellikleri de gösterebilir. Örneğin, Windows 10 ve üzerini seçin. Windows Update Halkaları ve PowerShell komut dosyaları gibi Windows'a özgü özellikleri görürsünüz.
• Cihazları yönetin: Cihaz profilleri oluşturun, cihazlarda çalıştırılacak özel PowerShell betiklerini yükleyin ve eSIM kullanarak cihazlara veri planları ekleyin.

Bir profil oluşturduğunuzda (Cihazlar>Cihazları Yönet>Yapılandır>Oluştur), platformunuzu seçin:

• Android cihaz yöneticisi
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 ve sonrası
• Windows 8.1 ve sonrası

Ardından profili seçin. Seçtiğiniz platforma bağlı olarak, yapılandırabileceğiniz ayarlar farklıdır. Aşağıdaki makaleler farklı profilleri açıklar:

• Yönetim şablonları (Windows)
• BIOS yapılandırması ve diğer ayarlar
• Özel
• Windows'da teslim iyileştirmesi
• Türetilmiş kimlik bilgisi (Android Kurumsal, iOS, iPadOS)
• Cihaz özellikleri (macOS, iOS, iPadOS)
• Cihaz üretici yazılımı yapılandırma arabirimi (DFCI) (Windows)
• Cihaz kısıtlamaları
• Etki alanına katılma (Windows)
• Sürüm yükseltme ve mod anahtarı (Windows)
• Eğitim (iOS, iPadOS)
• E-posta
• Uç nokta koruması (macOS, Windows)
• Uzantılar (macOS)
• Bilgi Noktası
• Uç Nokta için Microsoft Defender (Windows)
• Mobility Uzantıları (MX) profili (Android cihaz yöneticisi)
• Ağ sınırı (Windows)
• OEMConfig (Android Enterprise)
• PKCS sertifikası
• PKCS içeri aktarılan sertifika
• Tercih dosyası (macOS)
• SCEP sertifikası
• Güvenli değerlendirme (Eğitim) (Windows)
• Paylaşılan çok kullanıcılı cihaz (Windows)
• Güvenilen sertifika
• VPN
• Wi-Fi
• Windows sistem durumu izleme
• Kablolu ağlar (macOS)

Örneğin, platform için Android Enterprise'ı seçerseniz seçenekleriniz aşağıdaki profile benzer:

Platform için Windows 10 ve üzerini seçerseniz seçenekleriniz aşağıdaki profile benzer:

Kapsam etiketleri

Ayarları ekledikten sonra, profile bir kapsam etiketi de ekleyebilirsiniz. Kapsam etiketleri, profilleri US-NC IT Team veya JohnGlenn_ITDepartment gibi belirli BT gruplarına göre filtreler. Dağıtılmış BT'de de kullanılır.

Kapsam etiketleri ve yapabilecekleriniz hakkında daha fazla bilgi için Dağıtılmış BT için RBAC ve kapsam etiketlerini kullanma sayfasına gidin.

Uygulanabilirlik kuralları

Şunlar için geçerlidir:

• Windows 11
• Windows 10

Uygulanabilirlik kuralları, yöneticilerin belirli ölçütlere uyan bir gruptaki cihazları hedeflemesine olanak tanır. Örneğin, Tüm Windows 10/11 aygıtları grubu için geçerli olan bir aygıt kısıtlama profili oluşturursunuz. Ve profili yalnızca Windows Enterprise çalıştıran cihazlara atamalısınız.

Bu görevi gerçekleştirmek için bir uygulanabilirlik kuralı oluşturun. Bu kurallar aşağıdaki senaryolar için harikadır:

• Windows 10 Education kullanıyorsunuz (EDU). Bellows College'da RS3 ve RS4 arasındaki tüm Windows 10 EDU cihazlarını hedeflemek istiyorsunuz.
• Contoso'daki İnsan Kaynakları'ndaki tüm kullanıcıları hedeflemek istiyorsunuz ancak yalnızca Windows 10 Professional veya Enterprise cihazlarını istiyorsunuz.

Bu senaryolara yaklaşım için:

• Bellows College'daki tüm cihazları içeren bir cihaz grubu oluşturun. Profilde, işletim sistemi minimum sürümünün 16299 ve maksimum sürümünün 17134 olması durumunda geçerli olması için bir uygulanabilirlik kuralı ekleyin. Bu profili Bellows College cihazları grubuna atayın.

  Profil atandığında girdiğiniz minimum ve maksimum sürümler arasındaki cihazlara uygulanır. Girdiğiniz minimum ve maksimum sürümler arasında olmayan cihazların durumu Uygulanamaz olarak gösterilir.

• Contoso'da İnsan Kaynakları'ndaki (İK) tüm kullanıcıları içeren bir kullanıcı grubu oluşturun. Profilde, Windows 10 Professional veya Enterprise çalıştıran cihazlara uygulanması için bir uygulanabilirlik kuralı ekleyin. Bu profili İK kullanıcıları grubuna atayın.

  Profil atandığında Windows 10 Professional veya Enterprise çalıştıran cihazlara uygulanır. Bu sürümleri çalıştırmayan cihazların durumu Uygulanamaz olarak gösterilir.

• Tamamen aynı ayarlara sahip iki profil varsa uygulanabilirlik kuralı olmayan profil uygulanır.

  Örneğin ProfileA, Windows 10 cihaz grubunu hedefler, BitLocker'ı etkinleştirir ve uygulanabilirlik kuralı yoktur. ProfileB aynı Windows 10 cihaz grubunu hedefler, BitLocker'ı etkinleştirir ve profili yalnızca Windows 10 Enterprise'a uygulayacak bir uygulanabilirlik kuralına sahiptir.

  Her iki profil de atandığında, uygulanabilirlik kuralı olmadığı için ProfilA uygulanır.

Profili gruplara atadığınızda uygulanabilirlik kuralları filtre görevi görür ve yalnızca kriterlerinize uyan cihazları hedefler.

Kural ekleme

1. Politikanızda Uygulanabilirlik Kuralları'nı seçin. Kuralı ve Özelliği seçebilirsiniz:

   

2. Kural'da, kullanıcıları veya grupları dahil etmek veya hariç tutmak isteyip istemediğinizi seçin. Seçenekleriniz:

   • Şu durumda profil ata: Girdiğiniz kriterleri karşılayan kullanıcıları veya grupları içerir.
   • Şu durumda profil atama: Girdiğiniz kriterleri karşılayan kullanıcıları veya grupları hariç tutar.

3. Özellik'te filtrenizi seçin. Seçenekleriniz:

   • İşletim sistemi sürümü: Listede, kuralınıza dâhil etmek (veya hariç tutmak) istediğiniz Windows istemci sürümlerini işaretleyin.

   • İşletim Sistemi sürümü: Kuralınıza dâhil etmek (veya hariç tutmak) istediğiniz minimum ve maksimum Windows istemci sürüm numaralarını girin. Her iki değer de gereklidir.

     Örneğin minimum sürüm için 10.0.16299.0 (RS3 veya 1709), maksimum sürüm için 10.0.17134.0 (RS4 veya 1803) girebilirsiniz. Veya daha ayrıntılı olabilir ve 10.0.16299.001minimum sürüm ve 10.0.17134.319maksimum sürüm için giriş yapabilirsiniz.

     Daha fazla sürüm numarası için Windows istemcisi sürüm bilgilerine gidin.

4. Değişikliklerinizi kaydetmek için Tamam’ı seçin.

İlke yenileme döngüsü süreleri

Intune, yapılandırma profillerindeki güncelleştirmeleri denetlemek için farklı yenileme döngüleri kullanır. Cihaz yakın zamanda kaydedilmişse, kontrol daha sık çalışır. Politika ve profil yenileme döngüleri, tahmini yenileme sürelerini listeler.

Kullanıcılar istedikleri zaman Şirket Portalı uygulamasını açabilir ve profil güncellemelerini anında kontrol etmek için cihazı senkronize edebilir.

Öneriler

Profil oluştururken aşağıdaki önerileri dikkate alın:

• Politikalarınızı adlandırın, böylece ne olduklarını ve ne işe yaradıklarını bilirsiniz. Tüm uyumluluk ilkeleri ve yapılandırma profilleri isteğe bağlı bir Açıklama özelliğine sahiptir. Açıklama bölümünde spesifik olun ve diğerlerinin politikanın ne yaptığını bilmesi için bilgi ekleyin.

  Bazı yapılandırma profili örnekleri şunlardır:

  Profil adı: Yönetici şablonu - Tüm Windows 10 kullanıcıları için OneDrive yapılandırma profili
  Profil açıklaması: Tüm Windows 10 kullanıcıları için en düşük ve temel ayarları içeren OneDrive yönetici profili. Kullanıcıların kurumsal verileri kişisel OneDrive hesaplarıyla paylaşmasını önlemek için user@contoso.com tarafından oluşturulmuştur.

  Profil adı: Tüm iOS/iPadOS kullanıcıları için VPN profili
  Profil açıklaması: Tüm iOS/iPadOS kullanıcılarının Contoso VPN'e bağlanması için minimum ve temel ayarları içeren VPN profili. Kullanıcılardan kullanıcı adlarını ve şifrelerini istemek yerine kullanıcıların VPN'de otomatik olarak kimlik doğrulaması yapması için user@contoso.com tarafından oluşturulmuştur.

• Profilinizi, Microsoft Edge ayarlarını yapılandırma, Microsoft Defender anti-virüs ayarlarını etkinleştirme, iOS/iPadOS yazılımsal olarak kırılmış cihazları engelleme vb. gibi görevlere göre oluşturun.

• Pazarlama, Satış, BT Yöneticileri gibi belirli gruplara veya konum veya okul sistemine göre geçerli olan profiller oluşturun. Aşağıdakiler dâhil yerleşik özellikleri kullanın:

  • Intune'da dağıtılmış BT için rol tabanlı erişim denetimini (RBAC) ve kapsam etiketlerini kullanmaa
  • Aynı Intune kiracısı içinde birçok yöneticiyle dağıtılmış BT
  • Intune'da uygulamalarınızı, ilkelerinizi ve profillerinizi atamaya yönelik filtreleri kullanma

• Kullanıcı ilkelerini cihaz ilkelerinden ayırma.

  Örneğin, Intune'daki Yönetim Şablonlarında binlerce ADMX ayarı bulunur. Bu şablonlar, bir ayarın kullanıcılara mı cihazlara mı uygulandığını gösterir. Yönetici şablonları oluştururken kullanıcılarınızın ayarlarını bir kullanıcı grubuna, cihaz ayarlarınızı ise bir cihazlar grubuna atayın.

  Aşağıdaki resimde kullanıcılara, cihazlara veya her ikisine birden uygulanabilecek bir ayar örneği gösterilmektedir:

  

• İlkelerinizi değerlendirmek, bir ilke ayarı ve bunun kullanıcılarınız ve güvenliğiniz üzerindeki etkisi hakkında daha fazla bilgi edinmek ve iki cihaz arasındaki ilkeleri karşılaştırmak için Intune'da Microsoft Copilot'ı kullanın.

  Daha fazla bilgi için: Intune'da Microsoft Copilot.

• Her kısıtlayıcı politika oluşturduğunuzda, bu değişikliği kullanıcılarınıza iletin. Örneğin, parola gereksinimini dört (4) karakterden altı (6) karaktere değiştiriyorsanız, politikayı atamadan önce kullanıcılarınıza bunu bildirin.

Sonraki adımlar

Profili atayın ve durumunu izleyin.