Microsoft Intune ile rol tabanlı erişim denetimi (RBAC)

Rol tabanlı erişim denetimi (RBAC), kuruluşunuzun kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceklerini yönetmenize yardımcı olur. Intune kullanıcılarınıza roller atayarak , görebileceklerini ve değiştirebileceklerini sınırlayabilirsiniz. Her rolün, kuruluşunuzda hangi kullanıcılara erişebileceğini ve değiştirebileceğini belirleyen bir dizi izni vardır.

Rol oluşturmak, düzenlemek veya atamak için hesabınızın Microsoft Entra Id'de aşağıdaki izinlerden birine sahip olması gerekir:

  • Genel Yönetici
  • Intune Hizmet Yöneticisi ( Intune Yöneticisi olarak da bilinir)

Roller

Rol, bu role atanan kullanıcılara verilen izin kümesini tanımlar. Hem yerleşik hem de özel rolleri kullanabilirsiniz. Yerleşik roller bazı yaygın Intune senaryolarını kapsar. İhtiyacınız olan tam izin kümesiyle kendi özel rollerinizi oluşturabilirsiniz . Bazı Microsoft Entra rollerinin Intune izinleri vardır. Intune yönetim merkezinde bir rol görmek için Kiracı yönetimi>Rolleri>Tüm roller> bir rol seçin'e gidin. Rolü aşağıdaki sayfalarda yönetebilirsiniz:

  • Özellikler: Rolün adı, açıklaması, izinleri ve kapsam etiketleri.
  • Atamalar: Hangi kullanıcıların hangi kullanıcılara/cihazlara erişimi olduğunu tanımlayan rol atamalarının listesi. Bir rolün birden çok ataması olabilir ve bir kullanıcı birden çok atamada yer alabilir.

Not

Intune'ı yönetebilmek için atanmış bir Intune lisansınız olmalıdır. Alternatif olarak, Lisanssız yöneticilere erişime izin ver ayarını Evet olarak ayarlayarak lisanslı olmayan kullanıcıların Intune'ı yönetmesine izin vekleyebilirsiniz.

Yerleşik roller

Daha fazla yapılandırma yapmadan gruplara yerleşik roller atayabilirsiniz. Yerleşik rolün adını, açıklamasını, türünü veya izinlerini silemez veya düzenleyemezsiniz.

  • Application Manager: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilir.
  • Endpoint Privilege Manager: Intune konsolunda Endpoint Privilege Management ilkelerini yönetir.
  • Uç Nokta Ayrıcalık Okuyucusu: Uç Nokta Ayrıcalık Okuyucuları, Uç Nokta Ayrıcalık Yönetimi ilkelerini Intune konsolunda görüntüleyebilir.
  • Endpoint Security Manager: Güvenlik temelleri, cihaz uyumluluğu, koşullu erişim ve Uç Nokta için Microsoft Defender gibi güvenlik ve uyumluluk özelliklerini yönetir.
  • Yardım Masası Operatörü: Kullanıcılar ve cihazlarda uzak görevler gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilir.
  • Intune Rol Yöneticisi: Özel Intune rollerini yönetir ve yerleşik Intune rolleri için atamalar ekler. Yöneticilere izin atayabilen tek Intune rolü bu.
  • İlke ve Profil Yöneticisi: Uyumluluk ilkesini, yapılandırma profillerini, Apple kaydını, kurumsal cihaz tanımlayıcılarını ve güvenlik temellerini yönetir.
  • Kuruluş İletileri Yöneticisi: Intune konsolunda kuruluş iletilerini yönetir.
  • Salt Okunur İşleci: Kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgilerini görüntüler. Intune'da değişiklik yapılamaz.
  • Okul Yöneticisi: Eğitim için Intune'da Windows 10 cihazlarını yönetir.
  • Cloud PC Yöneticisi: Cloud PC Yöneticisi, Cloud PC alanında bulunan tüm Cloud PC özelliklerine okuma ve yazma erişimine sahiptir.
  • Cloud PC Reader: Cloud PC Reader, Cloud PC alanında bulunan tüm Cloud PC özelliklerine okuma erişimine sahiptir.

Özel roller

Özel izinlerle kendi rollerinizi oluşturabilirsiniz. Özel roller hakkında daha fazla bilgi için bkz. Özel rol oluşturma.

Intune erişimi olan Microsoft Entra rolleri

Microsoft Entra rolü Tüm Intune verileri Intune denetim verileri
Genel Yönetici Okuma/yazma Okuma/yazma
Intune Hizmet Yöneticisi Okuma/yazma Okuma/yazma
Koşullu Erişim Yöneticisi Yok Yok
Güvenlik Yöneticisi Salt okunur (Endpoint Security düğümü için tam yönetim izinleri) Salt okunur
Güvenlik İşleci Salt okunur Salt okunur
Güvenlik Okuyucusu Salt okunur Salt okunur
Uyumluluk Yöneticisi Hiçbiri Salt okunur
Uyumluluk Verileri Yöneticisi Hiçbiri Salt okunur
Genel Okuyucu (Bu rol, Intune Yardım Masası Operatörü rolüne eşdeğerdir) Salt Okunur Salt Okunur
Yardım masası yöneticisi (Bu rol, Intune Yardım Masası Operatörü rolüne eşdeğerdir) Salt Okunur Salt Okunur
Rapor Okuyucusu Hiçbiri Salt Okunur

İpucu

Intune ayrıca üç Microsoft Entra uzantısı da gösterir: Microsoft Entra RBAC kullanılarak denetlenen Kullanıcılar, Gruplar ve Koşullu Erişim. Buna ek olarak, Kullanıcı Hesabı Yöneticisi yalnızca Microsoft Entra kullanıcı/grup etkinliklerini gerçekleştirir ve Intune'daki tüm etkinlikleri gerçekleştirmek için tam izinlere sahip değildir. Daha fazla bilgi için bkz. Microsoft Entra Id ile RBAC.

Rol atamaları

Rol ataması şu tanımları tanımlar:

  • hangi kullanıcıların role atandığı
  • görebilecekleri kaynaklar
  • değiştirebilecekleri kaynaklar.

Kullanıcılarınıza hem özel hem de yerleşik roller atayabilirsiniz. Bir Intune rolüne atanabilmesi için kullanıcının intune lisansına sahip olması gerekir. Rol atamasını görmek için Intune>Kiracı yönetimi>Rolleri>Tüm roller> bir rol > seçin Atamalar> bir atama seçer. Özellikler sayfasında şunları düzenleyebilirsiniz:

  • Temel bilgiler: Ödevlerin adı ve açıklaması.
  • Üyeler: Listelenen Azure güvenlik gruplarındaki tüm kullanıcıların Kapsam (Gruplar) içinde listelenen kullanıcıları/cihazları yönetme izni vardır.
  • Kapsam (Gruplar): Kapsam Grupları, microsoft Entra kullanıcı veya cihaz güvenlik gruplarıdır ya da bu rol atamasında yöneticilerin üzerinde işlem yapmakla sınırlı olduğu her ikisidir. Örneğin, bir ilkenin veya uygulamanın bir kullanıcıya dağıtılması veya cihazı uzaktan kilitlemesi. Bu Microsoft Entra güvenlik gruplarındaki tüm kullanıcılar ve cihazlar Üyeler'deki kullanıcılar tarafından yönetilebilir.
  • Kapsam (Etiketler): Üyeler'deki kullanıcılar aynı kapsam etiketlerine sahip kaynakları görebilir.

Not

Kapsam Etiketleri, yöneticinin tanımlayıp rol atamasına eklediği serbest biçimli metin değerleridir. Role eklenen kapsam etiketi rolün görünürlüğünü denetlerken rol atamasına eklenen kapsam etiketi, Rol ataması bir veya daha fazla eşleşen kapsam etiketi içerdiğinden, Intune nesnelerinin (ilkeler ve uygulamalar gibi) veya cihazların görünürlüğünü yalnızca bu rol atamasında bulunan yöneticilerle sınırlar.

Birden çok rol ataması

Kullanıcının birden çok rol ataması, izni ve kapsam etiketi varsa, bu rol atamaları aşağıdaki gibi farklı nesnelere genişletir:

  • İki veya daha fazla rolün aynı nesneye izin vermesi durumunda izinler artımlı olur. Örneğin, bir rolden Okuma izinlerine ve başka bir rolden Okuma/yazma izinlerine sahip bir kullanıcının etkin okuma/yazma izni vardır (her iki rol için atamaların aynı kapsam etiketlerini hedeflediğini varsayarsak).
  • İzinleri ve kapsam etiketlerini atama yalnızca bu rolün atama Kapsamındaki (Gruplar) nesnelere (ilkeler veya uygulamalar gibi) uygulanır. Atama izinleri ve kapsam etiketleri, diğer atama özel olarak vermediği sürece diğer rol atamalarındaki nesnelere uygulanmaz.
  • Diğer izinler (Oluşturma, Okuma, Güncelleştirme, Silme gibi) ve kapsam etiketleri, kullanıcının atamalarındaki aynı türdeki tüm nesnelere (tüm ilkeler veya tüm uygulamalar gibi) uygulanır.
  • Farklı türlerdeki nesneler (ilkeler veya uygulamalar gibi) için izinler ve kapsam etiketleri birbirine uygulanmaz. Örneğin, bir ilke için Okuma izni, kullanıcının atamalarındaki uygulamalara Okuma izni sağlamaz.
  • Herhangi bir kapsam etiketi olmadığında veya bazı kapsam etiketleri farklı atamalardan atandığında, kullanıcı yalnızca bazı kapsam etiketlerinin parçası olan ve tüm cihazları görebilen cihazları görebilir.

Sonraki adımlar