Microsoft Intune ile rol tabanlı erişim denetimi (RBAC)Role-based access control (RBAC) with Microsoft Intune

Rol tabanlı erişim denetimi (RBAC), kuruluşunuzun Kaynaklarına kimlerin erişebileceğini ve bu kaynaklarla neler yapabileceğini yönetmenize yardımcı olur.Role-based access control (RBAC) helps you manage who has access to your organization’s resources and what they can do with those resources. Intune kullanıcılarınıza roller atayarak , neleri görebileceğini ve değiştirebileceklerini sınırlayabilirsiniz.By assigning roles to your Intune users, you can limit what they can see and change. Her rolün, bu role sahip kullanıcıların kuruluşunuzda ne şekilde erişebileceğini ve değiştirebileceklerini tespit eden bir izinler kümesi vardır.Each role has a set of permissions that determine what users with that role can access and change within your organization.

Rolleri oluşturmak, düzenlemek ve atamak için, hesabınızın Azure AD’de aşağıdaki izinlerden birine sahip olması gerekir:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Genel YöneticiGlobal Administrator
  • Intune Hizmet Yöneticisi ( Intune Yöneticisiolarak da bilinir)Intune Service Administrator (also known as Intune Administrator)

Intune RBAC hakkında öneri ve öneriler için, örnekleri ve izlenecek yolları gösteren bu beş video serisine bakabilirsiniz: 1, 2, 3, 4, 5.For advice and suggestions about Intune RBAC, you can check out this series of five videos that showcase examples and walkthroughs: 1, 2, 3, 4, 5.

RollerRoles

Rol, bu role atanan kullanıcılara verilen izin kümesini tanımlar.A role defines the set of permissions granted to users assigned to that role. Hem yerleşik hem de özel rolleri kullanabilirsiniz.You can use both the built-in and custom roles. Yerleşik roller bazı yaygın Intune senaryolarını kapsar.Built-in roles cover some common Intune scenarios. İhtiyaç duyduğunuz tam izinler kümesiyle kendi özel rollerinizi oluşturabilirsiniz .You can create your own custom roles with the exact set of permissions you need. Çeşitli Azure Active Directory rollerinin Intune izinleri vardır.Several Azure Active Directory roles have permissions to Intune. Bir rolü görmek için, Intune > rolleri > tüm roller ' i seçin > bir rol seçin.To see a role, choose Intune > Roles > All roles > choose a role. Aşağıdaki sayfaları görürsünüz:You’ll see the following pages:

  • Özellikler: Rolün adı, açıklaması, türü, atamaları ve kapsam etiketleri.Properties: The name, description, type, assignments, and scope tags for the role.
  • İzinler: Rolün sahip olduğu izinleri tanımlayan uzun bir geçiş kümesini listeler.Permissions: Lists a long set of toggles defining what permissions the role has.
  • Atamalar: Hangi kullanıcıların/cihazların erişimi olduğunu tanımlayan rol atamalarının listesi.Assignments: A list of role assignments defining which users have access to which users/devices. Bir rol birden çok atamalara sahip olabilir ve bir Kullanıcı birden çok atama içinde olabilir.A role can have multiple assignments, and a user can be in multiple assignments.

Yerleşik rollerBuilt-in roles

Daha fazla yapılandırma olmadan, gruplara yerleşik roller atayabilirsiniz.You can assign built-in roles to groups without further configuration. Yerleşik bir rolün adını, açıklamasını, türünü veya izinlerini silemez veya düzenleyemezsiniz.You can't delete or edit the name, description, type, or permissions of a built-in role. Yerleşik her rolün izinlerinin tam listesi için bkz. ıNTUNE RBAC tablosu.For a full list of the permissions for each built-in role, see the Intune RBAC Table.

  • Yardım Masası operatörü: Kullanıcılar ve cihazlarda uzak görevleri gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilir.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • İlke ve Profil Yöneticisi: Uyumluluk ilkesini, yapılandırma profillerini, Apple kaydını, kurumsal cihaz tanımlayıcılarını ve güvenlik temellerini yönetir.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • Salt okuma işleci: Kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgilerini görüntüler.Read Only Operator: Views user, device, enrollment, configuration, and application information. Intune üzerinde değişiklik yapılamıyor.Can't make changes to Intune.
  • Uygulama Yöneticisi: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilir.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune rol yöneticisi: Özel Intune rollerini yönetir ve yerleşik Intune rolleri için Atamalar ekler.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. Bu, yöneticilere izin atayabilecek tek Intune rolüdür.It's the only Intune role that can assign permissions to Administrators.
  • Okul yöneticisi: Eğitim için Intune'de Windows 10 cihazlarını yönetir.School Administrator: Manages Windows 10 devices in Intune for Education.

Özel rollerCustom roles

Özel izinlerle kendi rollerinizi oluşturabilirsiniz.You can create your own roles with custom permissions. Özel roller hakkında daha fazla bilgi için bkz. özel rol oluşturma.For more information about custom roles, see Create a custom role.

Intune erişimi olan Azure Active Directory rolleriAzure Active Directory roles with Intune access

Azure Active Directory rolüAzure Active Directory role Tüm Intune verileriAll Intune data Intune denetim verileriIntune audit data
Genel YöneticiGlobal Administrator Okuma/yazmaRead/write Okuma/yazmaRead/write
Intune Hizmet YöneticisiIntune Service Administrator Okuma/yazmaRead/write Okuma/yazmaRead/write
Koşullu Erişim YöneticisiConditional Access Administrator Yok.None Yok.None
Güvenlik YöneticisiSecurity Administrator Salt okunurRead only Salt okunurRead only
Güvenlik operatörüSecurity Operator Salt okunurRead only Salt okunurRead only
Güvenlik okuyucusuSecurity Reader Salt okunurRead only Salt okunurRead only
Uyumluluk YöneticisiCompliance Administrator Yok.None Salt okunurRead only
Uyumluluk verileri YöneticisiCompliance Data Administrator Yok.None Salt okunurRead only

İpucu

Intune Ayrıca üç Azure AD uzantısını da gösterir: Kullanıcılar, gruplarve koşullu erişim, Azure AD RBAC kullanılarak denetlenir.Intune also shows three Azure AD extensions: Users, Groups, and Conditional Access, which are controlled using Azure AD RBAC. Bunlara ek olarak, Kullanıcı Hesabı Yöneticisi yalnızca AAD kullanıcısı/grubu etkinliklerini gerçekleştirir ve Intune'daki tüm etkinlikleri gerçekleştirme izinlerinin tümüne sahip değildir.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Daha fazla bilgi için bkz. Azure AD Ile RBAC.For more information, see RBAC with Azure AD.

Klasik Intune portalında oluşturulan rollerRoles created in the Intune classic portal

Yalnızca “Tam” izinlere sahip Intune Hizmet Yöneticileri kullanıcıları, klasik Intune portalından Azure portalında Intune’a geçirilir.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Intune hizmet yöneticileri kullanıcılarını, Azure Portal Intune rollerine "salt okunurdur" veya "yardım masası" erişimiyle yeniden atamanız ve klasik portaldan kaldırmanız gerekir.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Önemli

Yöneticilerinizin Intune kullanarak bilgisayarları yönetmek için hala erişime ihtiyacı varsa, klasik portalda Intune Hizmet Yöneticisi erişimini saklamanız gerekebilir.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Rol atamalarıRole assignments

Rol ataması şunları tanımlar:A role assignment defines:

  • role atanan kullanıcılarwhich users are assigned to the role
  • hangi kaynakları görebilecekleriniwhat resources they can see
  • değiştirebilecekleri kaynaklar.what resources they can change.

Kullanıcılarınıza hem özel hem de yerleşik roller atayabilirsiniz.You can assign both custom and built-in roles to your users. Bir Intune rolü atamak için kullanıcının bir Intune lisansı olması gerekir.To be assigned an Intune role, the user must have an Intune license. Rol atamasını görmek için, Intune > rolleri > tüm roller ' i seçin > bir rol seçin > bir atama seçin.To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. Aşağıdaki sayfaları görürsünüz:You’ll see the following pages:

  • Özellikler: Atamanın adı, açıklaması, rolü, üyeleri, kapsamları ve etiketleri.Properties: The name, description, role, members, scopes, and tags of the assignment.
  • Üyeler: Listelenen Azure güvenlik gruplarındaki tüm kullanıcıların, kapsam (gruplar) bölümünde listelenen kullanıcıları/cihazları yönetme izni vardır.Members: All users in the listed Azure security groups have permission to manage the users/devices that are listed in Scope (Groups).
  • Kapsam (gruplar) : Bu Azure güvenlik gruplarındaki tüm kullanıcılar/cihazlar, üyelerdeki kullanıcılar tarafından yönetilebilir.Scope (Groups): All users/devices in these Azure security groups can be managed by the users in Members.
  • Kapsam (Etiketler) : Üyelerdeki kullanıcılar aynı kapsam etiketlerine sahip kaynakları görebilirler.Scope (Tags): Users in Members can see the resources that have the same scope tags.

Çoklu rol atamalarıMultiple role assignments

Bir kullanıcının birden fazla rol ataması, izinleri ve kapsam etiketi varsa, bu rol atamaları aşağıdaki gibi farklı nesnelere genişletilir:If a user has multiple role assignments, permissions, and scope tags, those role assignments extend to different objects as follows:

  • İzinleri ve kapsam etiketlerini ata yalnızca söz konusu rolün atama kapsamındaki nesneler (ilkeler veya uygulamalar gibi) için geçerlidir (gruplar).Assign permissions and scope tags only apply to the objects (like policies or apps) in that role’s assignment Scope (Groups). Farklı atama özel olarak kendisine izin vermediği takdirde, atama izinleri ve kapsam etiketleri diğer rol atamalarındaki nesnelere uygulanmaz.Assign permissions and scope tags don’t apply to objects in other role assignments unless the other assignment specifically grants them.
  • Diğer izinler (örneğin, oluşturma, okuma, güncelleştirme, silme) ve kapsam etiketleri, Kullanıcı atamalarının hiçbirinde aynı türdeki (tüm ilkeler veya tüm uygulamalar gibi) tüm nesneler için geçerlidir.Other permissions (such as Create, Read, Update, Delete) and scope tags apply to all objects of the same type (like all policies or all apps) in any of the user’s assignments.
  • Farklı türlerde nesneler için izinler ve kapsam etiketleri (ilkeler veya uygulamalar gibi), birbirlerine uygulanmaz.Permissions and scope tags for objects of different types (like policies or apps), don’t apply to each other. Bir ilke için okuma izni, örneğin, Kullanıcı atamalarındaki uygulamalar için okuma izni sağlamaz.A Read permission for a policy, for example, doesn’t provide a Read permission to apps in the user’s assignments.

Sonraki adımlarNext steps