Microsoft Intune ile rol tabanlı yönetim denetimi (RBAC)Role-based administration control (RBAC) with Microsoft Intune

RBAC, kuruluşunuzda çeşitli Intune görevlerini kimin gerçekleştirebileceğini ve bu görevlerin kime uygulanacağını denetlemenize yardımcı olur.RBAC helps you control who can perform various Intune tasks within your organization, and who those tasks apply to. Bazı yaygın Intune senaryolarını kapsayan yerleşik rolleri kullanabileceğiniz gibi, kendi rollerinizi de oluşturabilirsiniz.You can either use the built-in roles that cover some common Intune scenarios, or you can create your own roles. Bir rol, şunlarla tanımlanır:A role is defined by:

  • Rol tanımı: Bir rol, yönettiği kaynaklar ve her bir kaynak için verilen izinler adı.Role definition: The name of a role, the resources it manages, and the permissions granted for each resource.
  • Üyeleri: İzinlerin verildiği kullanıcı grupları.Members: The user groups that are granted the permissions.
  • Kapsam (gruplar): Üyelerin yönetebileceği kullanıcı veya cihaz grupları.Scope (Groups): The user or device groups that the members can manage.
  • Kapsam (etiketler): Rol ataması burada geçerli etiketler.Scope (Tags): Tags where the role assignment applies.
  • Atama: Tanım, üyeler ve kapsam yapılandırıldığında, rol atanır.Assignment: When the definition, members, and scope have been configured, the role is assigned.

Intune RBAC örneği

Yeni Azure portalıyla artık Azure Active Directory (Azure AD), Intune ile kullanılabilecek iki Dizin Rolü sağlar.Starting at the new Azure portal, Azure Active Directory (Azure AD) provides two Directory Roles which can be used with Intune. Bu rollere Intune'da tüm etkinlikleri gerçekleştirmek için tam izin verilir:These roles are granted full permission to perform all activities in Intune:

  • Genel yönetici: Bu role sahip olan kullanıcılar Azure AD'deki tüm yönetim özelliklerine erişimi, hem de çevrimiçi Exchange Online, SharePoint Online ve Skype gibi Azure AD Federasyonu kullanan Hizmetleri.Global Administrator: Users with this role have access to all administrative features in Azure AD, as well as services that federate to Azure AD like Exchange Online, SharePoint Online, and Skype for Business Online. Azure AD kiracısı olarak kaydolan kişi genel yönetici olur.The person who signs up for the Azure AD tenant becomes a global administrator. Yalnızca genel yöneticiler diğer Azure AD yönetici rollerini atayabilir.Only global administrators can assign other Azure AD administrator roles. Kuruluşunuzda birden fazla genel yönetici olabilir.There can be more than one global administrator at your organization. Genel yöneticiler, tüm kullanıcıların ve diğer tüm yöneticilerin parolalarını sıfırlayabilir.Global admins can reset the password for any user and all other administrators.

  • Intune Hizmet Yöneticisi: Bu role sahip kullanıcılar, hizmet mevcut olduğunda Intune'da genel izinleri sahip.Intune Service Administrator: Users with this role have global permissions within Intune when the service is present. Buna ek olarak, yerini alan tüm Azure kısıtlamalarının dışında, bu rol kullanıcıları ve cihazları yönetme, Intune gruplarını oluşturma ve yönetme olanağı sağlar.Additionally, other than any superseding Azure restrictions, this role provides the ability to manage users, devices, and create and manage Intune groups.

  • Koşullu Erişim Yöneticisi: Bu role sahip kullanıcılar, yalnızca görüntülemek, oluşturmak, değiştirmek ve koşullu erişim ilkeleri silmek için izinlere sahip.Conditional Access Administrator: Users with this role only have permissions to view, create, modify, and delete conditional access policies.

    Önemli

    Intune Hizmet Yöneticisi rolü Azure AD'nin koşullu erişim ayarlarını yönetme olanağı sağlamaz.The Intune Service Administrator role does not provide the ability to manage Azure AD’s conditional access settings. Bir Intune rolü atanmış için kullanıcının bir Intune lisansı olması gerekir.To be assigned an Intune role, the user must have an Intune license.

    İpucu

    Intune ayrıca üç Azure AD uzantısı gösterir: Kullanıcılar, grupları, ve koşullu erişim, olmak üzere Azure AD RBAC ile denetlenen.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. Bunlara ek olarak, Kullanıcı Hesabı Yöneticisi yalnızca AAD kullanıcısı/grubu etkinliklerini gerçekleştirir ve Intune'daki tüm etkinlikleri gerçekleştirme izinlerinin tümüne sahip değildir.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Daha fazla bilgi için Azure AD ile RBAC.For more information, see RBAC with Azure AD.

Klasik Intune portalında oluşturulan rollerRoles created in the Intune classic portal

Yalnızca “Tam” izinlere sahip Intune Hizmet Yöneticileri kullanıcıları, klasik Intune portalından Azure portalında Intune’a geçirilir.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Intune atamalıdır hizmet yöneticileri "Salt okunur" veya "Yardım Masası" olan kullanıcılar Azure portalında Intune rollerine erişme ve bunları Klasik portaldan kaldırmanız.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Önemli

Yöneticilerinizin bilgisayarları Intune kullanarak yönetmek için erişim yine de gerekliyse Klasik portalda Intune Hizmet Yöneticisi erişimini tutmanız gerekebilir.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Yerleşik rollerBuilt-in roles

Daha fazla yapılandırma olmadan grupları için yerleşik roller atayabilirsiniz.You can assign built-in roles to groups without further configuration. Silemez veya yerleşik bir rol düzenleyin.You can't delete or edit a built-in role.

  • Yardım Masası operatörü: Kullanıcılar ve cihazlar üzerinde uzak görevler gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilirsiniz.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.

  • İlke ve Profil Yöneticisi: Uyumluluk İlkesi, yapılandırma profillerini, Apple kaydını ve kurumsal cihaz tanımlayıcıları yönetir.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, and corporate device identifiers.

  • Salt okunur operatör: Görünümleri kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgileri.Read Only Operator: Views user, device, enrollment, configuration, and application information. Intune'da değişiklik yapamaz.Can't make changes to Intune.

  • Uygulama Yöneticisi: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilirsiniz.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.

  • Intune Rol Yöneticisi: Özel Intune rolleri yönetir ve yerleşik Intune rol atamalarını ekler.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. Bu, yöneticilere izin atamanıza yalnızca Intune rolüdür.It's the only Intune role that can assign permissions to Administrators.

  • Okul Yöneticisi: Windows 10 cihazları yönetir eğitim için Intuneve aşağıdaki eylemleri gerçekleştirebilirsiniz:School Administrator: Manages Windows 10 devices in Intune for Education, and can take the following actions:

    İzinPermission İşlemOperation
    Veri DenetlemeAudit Data OkumaRead
    DeviceConfigurationsDeviceConfigurations Atama, Oluşturma, Silme, Okuma, GüncelleştirmeAssign, Create, Delete, Read, Update
    Cihaz Kayıt YöneticileriDevice Enrollment Managers Okuma, GüncelleştirmeRead, Update
    Yönetilen CihazlarManaged Devices Okuma, GüncelleştirmeRead, Update
    Mobil uygulamalarMobile apps Atama, Oluşturma, Silme, Okuma, GüncelleştirmeAssign, Create, Delete, Read, Update
    RaporlarReports OkumaRead
    Uzak EylemlerRemote Actions Bilgisayar Temizleme, Yeniden Başlatma, Uzak Kilit, Devre Dışı Bırakma, Cihaz Eşitleme, SilmeClean PC, Reboot, Remote Lock, Retire, Sync Devices, Wipe
    KuruluşOrganization OkumaRead

Yerleşik bir rol atamak içinTo assign a built-in role

  1. Azure portal oturum açın.Sign into the Azure portal.

  2. Tüm hizmetler > Intune’u seçin.Choose All services > Intune. Intune, İzleme + Yönetim bölümünde bulunur.Intune is located in the Monitoring + Management section.

  3. Üzerinde Intune dikey penceresinde, seçin rolleri > tüm rolleri.On the Intune blade, choose Roles > All roles.

  4. Üzerinde Intune rolleri - tüm roller dikey penceresinde, atamak istediğiniz yerleşik rolü seçin.On the Intune roles - All roles blade, choose the built-in role you want to assign.

  5. Üzerinde <rol adı>- genel bakış dikey penceresinde, seçin Yönet > atamaları.On the <role name> - Overview blade, choose Manage > Assignments.

  6. Özel rol dikey penceresinde, Ata'yı seçin.On the custom role blade, choose Assign.

  7. Üzerinde rol atamaları dikey penceresinde girin bir atama adı ve isteğe bağlı atama açıklaması atama.On the Role Assignments blade, enter an Assignment name and optional Assignment description for the assignment.

  8. İçin üyeler (gruplar), izinleri vermek istediğiniz kullanıcıyı içeren grubu seçin.For Members (Groups), choose a group that contains the user you want to give the permissions to.

  9. İçin kapsam (gruplar), yukarıda seçilen üyenin yönetmek için izin verilecek kullanıcıları içeren bir grubu seçin.For Scope (Groups), choose a group containing the users who the member above will be allowed to manage.

  10. İçin kapsam (etiketler), bu rol ataması burada uygulanacak etiketleri seçin.For Scope (Tags), choose tags where this role assigment will be applied.

  11. İşiniz bittiğinde Tamam’ı seçin.When you're done, choose OK. Yeni atama, atamalar listesinde görüntülenir.The new assignment is displayed in the list of assignments.

Intune RBAC tablosuIntune RBAC table

Özel rollerCustom roles

Belirli bir işi yapmak için gereken izinleri içeren özel bir rol oluşturabilirsiniz.You can create a custom role that includes any permissions required for a specific job function. Örneğin bir BT departmanı grubu, uygulamaları, ilkeleri ve yapılandırma profillerini yönetiyorsa tüm bu izinleri tek bir özel role ekleyebilirsiniz.For example, if an IT department group manages applications, policies, and configuration profiles, you can add all those permissions together in one custom role.

Önemli

Rolleri oluşturmak, düzenlemek ve atamak için, hesabınızın Azure AD’de aşağıdaki izinlerden birine sahip olması gerekir:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Genel YöneticiGlobal Administrator
  • Intune Hizmet YöneticisiIntune Service Administrator

Özel bir rol oluşturmak içinTo create a custom role

  1. Azure portalında Intune kimlik bilgilerinizle oturum açın.Sign into the Azure portal with your Intune credentials.

  2. Soldaki menüden Tüm hizmetler’i seçtikten sonra metin kutusu filtresine Intune yazın.Choose All services from the left menu, then type Intune in the text box filter.

  3. Seçin Intune > rolleri > tüm rolleri > Ekle.Choose Intune > Roles > All roles > Add.

  4. Özel Rol Ekle dikey penceresinde yeni rol için ad ve açıklama girin, ardından İzinler'e tıklayın.On the Add Custom Role blade, enter a name and description for the new role, then click Permissions.

  5. İzinler dikey penceresinde, bu rolle birlikte kullanmak istediğiniz izinleri seçin.On the Permissions blade, choose the permissions you want to use with this role. Hangi izinleri uygulamak istediğinize karar vermenize yardımcı olması için Intune RBAC tablosunu kullanın.Use the Intune RBAC table to help you decide which permissions you want to apply.

  6. Üzerinde kapsam (etiketler) dikey penceresinde, bu özel rolü burada uygulanacak etiketleri seçin.On the Scope (Tags) blade, choose tags where this custom role will be applied.

  7. İşiniz bittiğinde Tamam’ı seçin.When you're done, choose OK.

  8. Özel Rol Ekle dikey penceresinde Oluştur’a tıklayın.On the Add Custom Role blade, click Create. Yeni rol listesinde görüntülenen Intune rolleri - tüm roller dikey penceresi.The new role is displayed in the list on the Intune roles - All roles blade.

Özel bir rol atamak içinTo assign a custom role

Aynı adımları izleyerek yerleşik bir rol atamak için ve özel rolü seçin.Follow the same steps as To assign a built-in role and select the custom role.

Sonraki adımlarNext steps

Sorun giderme portalında Intune Yardım Masası Operatörü rolünü kullanmaUse the Intune Helpdesk operator role with the troubleshooting portal

Ayrıca bkz.See also

Azure AD kullanarak roller atamaAssign roles using Azure AD