Microsoft Intune ile rol tabanlı erişim denetimi (RBAC)Role-based access control (RBAC) with Microsoft Intune

Rol tabanlı erişim denetimi (RBAC) yönetmenize, kuruluşunuzun kaynakları ve bu kaynaklarla ne yapabileceklerini erişimi olan yardımcı olur.Role-based access control (RBAC) helps you manage who has access to your organization’s resources and what they can do with those resources. Tarafından rol atama Intune kullanıcılarınıza ne bunlar bkz değiştirmek ve sınırlayabilirsiniz.By assigning roles to your Intune users, you can limit what they can see and change. Her rolün ne Bu roldeki kullanıcıların erişebileceğini belirlemesine izin ve kuruluşunuz içindeki değişiklik kümesi vardır.Each role has a set of permissions that determine what users with that role can access and change within your organization.

Rolleri oluşturmak, düzenlemek ve atamak için, hesabınızın Azure AD’de aşağıdaki izinlerden birine sahip olması gerekir:To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • Genel YöneticiGlobal Administrator
  • Intune Hizmet Yöneticisi (diğer adıyla Intune yönetici)Intune Service Administrator (also known as Intune Administrator)

RollerRoles

Bir rol, bu role atanan kullanıcılar için izinler kümesini tanımlar.A role defines the set of permissions granted to users assigned to that role. Yerleşik ve özel rollerin kullanabilirsiniz.You can use both the built-in and custom roles. Yerleşik roller, bazı yaygın Intune senaryolarını kapsayan.Built-in roles cover some common Intune scenarios. Yapabilecekleriniz kendi özel roller oluşturma , ihtiyacı olan izinlerin tam kümesi.You can create your own custom roles with the exact set of permissions you need. Çeşitli Azure Active Directory rolleri Intune izinlere sahip olursunuz.Several Azure Active Directory roles have permissions to Intune. Bir rol görmek için Intune > rolleri > tüm rolleri > bir rol seçin.To see a role, choose Intune > Roles > All roles > choose a role. Aşağıdaki sayfaları görürsünüz:You’ll see the following pages:

  • Özellikler: Adı, açıklamayı, türü, atamalarını ve rolün kapsamı etiketleri.Properties: The name, description, type, assignments, and scope tags for the role.
  • İzinleri: Uzun bir role sahip hangi izinleri tanımlama değiştirir kümesini listeler.Permissions: Lists a long set of toggles defining what permissions the role has.
  • Atamalar: Listesini rol atamaları hangi kullanıcıların hangi kullanıcılara/cihazlara erişimi tanımlama.Assignments: A list of role assignments defining which users have access to which users/devices. Rol atamaları birden çok olabilir ve bir kullanıcı birden çok atamalarını olabilir.A role can have multiple assignments, and a user can be in multiple assignments.

Yerleşik rollerBuilt-in roles

Daha fazla yapılandırma olmadan grupları için yerleşik roller atayabilirsiniz.You can assign built-in roles to groups without further configuration. Silemez veya adı, açıklama, tür veya yerleşik bir rol izinlerini düzenleyin.You can't delete or edit the name, description, type, or permissions of a built-in role. Her yerleşik rolü için izinleri tam bir listesi için bkz. [Intune RBAC tablosu] ((https://gallery.technet.microsoft.com/Intune-RBAC-table-2e3c9a1a).For a full list of the permissions for each built-in role, see the [Intune RBAC Table]((https://gallery.technet.microsoft.com/Intune-RBAC-table-2e3c9a1a).

  • Yardım Masası operatörü: Kullanıcılar ve cihazlar üzerinde uzak görevler gerçekleştirir ve kullanıcılara veya cihazlara uygulama veya ilke atayabilirsiniz.Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • İlke ve Profil Yöneticisi: Uyumluluk İlkesi, yapılandırma profillerini, Apple kayıt, Kurumsal cihaz tanımlayıcıları ve güvenlik temellerini yönetir.Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • Salt okunur operatör: Görünümleri kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgileri.Read Only Operator: Views user, device, enrollment, configuration, and application information. Intune'da değişiklik yapamaz.Can't make changes to Intune.
  • Uygulama Yöneticisi: Mobil ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilirsiniz.Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune Rol Yöneticisi: Özel Intune rolleri yönetir ve yerleşik Intune rol atamalarını ekler.Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. Bu, yöneticilere izin atamanıza yalnızca Intune rolüdür.It's the only Intune role that can assign permissions to Administrators.
  • Okul Yöneticisi: Windows 10 cihazları yönetir eğitim için Intune.School Administrator: Manages Windows 10 devices in Intune for Education.

Özel rollerCustom roles

Özel izinlerle kendi rollerinizi oluşturabilirsiniz.You can create your own roles with custom permissions. Özel roller hakkında daha fazla bilgi için bkz: özel bir rol oluşturun.For more information about custom roles, see Create a custom role.

Intune erişimi olan Azure Active Directory rolleriAzure Active Directory roles with Intune access

Azure Active Directory rolAzure Active Directory role Tüm Intune verileriAll Intune data Intune denetim verileriIntune audit data
Genel YöneticiGlobal Administrator Okuma/yazmaRead/write Okuma/yazmaRead/write
Intune Hizmet YöneticisiIntune Service Administrator Okuma/yazmaRead/write Okuma/yazmaRead/write
Koşullu Erişim YöneticisiConditional Access Administrator Yok.None Yok.None
Güvenlik YöneticisiSecurity Administrator Salt okunurRead only Salt okunurRead only
Güvenlik işleciSecurity Operator Salt okunurRead only Salt okunurRead only
Güvenlik okuyucusuSecurity Reader Salt okunurRead only Salt okunurRead only
Genel okuyucusuGlobal Reader Salt okunurRead only Salt okunurRead only
Uyumluluk YöneticisiCompliance Administrator Yok.None Salt okunurRead only
Uyumluluk veri YöneticisiCompliance Data Administrator Yok.None Salt okunurRead only

İpucu

Intune ayrıca üç Azure AD uzantısı gösterir: Kullanıcılar, grupları, ve koşullu erişim, olmak üzere Azure AD RBAC ile denetlenen.Intune also shows three Azure AD extensions: Users, Groups, and Conditional access, which are controlled using Azure AD RBAC. Bunlara ek olarak, Kullanıcı Hesabı Yöneticisi yalnızca AAD kullanıcısı/grubu etkinliklerini gerçekleştirir ve Intune'daki tüm etkinlikleri gerçekleştirme izinlerinin tümüne sahip değildir.Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. Daha fazla bilgi için Azure AD ile RBAC.For more information, see RBAC with Azure AD.

Klasik Intune portalında oluşturulan rollerRoles created in the Intune classic portal

Yalnızca “Tam” izinlere sahip Intune Hizmet Yöneticileri kullanıcıları, klasik Intune portalından Azure portalında Intune’a geçirilir.Only Intune Service Administrators users with "Full" permissions get migrated from the Intune classic portal to Intune in the Azure portal. Intune atamalıdır hizmet yöneticileri "Salt okunur" veya "Yardım Masası" olan kullanıcılar Azure portalında Intune rollerine erişme ve bunları Klasik portaldan kaldırmanız.You must reassign Intune Service Administrators users with "Read-Only" or "Helpdesk" access into the Intune roles in the Azure portal, and remove them from the classic portal.

Önemli

Yöneticilerinizin bilgisayarları Intune kullanarak yönetmek için erişim yine de gerekliyse Klasik portalda Intune Hizmet Yöneticisi erişimini tutmanız gerekebilir.You might need to keep the Intune Service Administrator access in the classic portal if your admins still need access to manage PCs using Intune.

Rol atamalarıRole assignments

Bir rol ataması tanımlar:A role assignment defines:

  • hangi kullanıcı rolüne atananwhich users are assigned to the role
  • hangi kaynakların görebilirwhat resources they can see
  • hangi kaynakların bunlar değiştirebilirsiniz.what resources they can change.

Kullanıcılarınız için özel ve yerleşik roller atayabilirsiniz.You can assign both custom and built-in roles to your users. Bir Intune rolü atanmış için kullanıcının bir Intune lisansı olması gerekir.To be assigned an Intune role, the user must have an Intune license. Bir rol ataması görmek için Intune > rolleri > tüm rolleri > bir rol seçin > ataması seçin.To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. Aşağıdaki sayfaları görürsünüz:You’ll see the following pages:

  • Özellikler: Ad, açıklama, rol, üye, kapsamları ve etiketler atama.Properties: The name, description, role, members, scopes, and tags of the assignment.
  • Üyeleri: Listelenen gruplarındaki tüm kullanıcılar, kapsam (gruplar) listelenen kullanıcıları/cihazları yönetmek için izne sahip.Members: All users in listed groups have permission to manage the users/devices that are listed in Scope (Groups).
  • Kapsam (gruplar): Tüm kullanıcılara/cihazlara bu gruplardaki kullanıcılar üyeleri tarafından yönetilebilir.Scope (Groups): All users/devices in these groups can be managed by the users in Members.
  • Kapsam (etiketler): Kullanıcıların üye aynı kapsam etikete sahip kaynakları görebilirsiniz.Scope (Tags): Users in Members can see the resources that have the same scope tags.

Birden çok rol atamalarıMultiple role assignments

Bir kullanıcının birden çok rol atamaları varsa, bu rol atamaları izinleri gibi farklı nesnelere genişletin:If a user has multiple role assignments, permissions in those role assignments extend to different objects as follows:

  • Atama izinleri yalnızca geçerli nesnelerine (örneğin, ilke veya uygulamalar) Bu rol ataması kapsam (gruplar).Assign permissions only apply to the objects (like policies or apps) in that role’s assignment Scope (Groups). Atama izinleri uygulanmaz diğer rol atamaları nesnelerine sürece diğer atamayı özellikle bunları verir.Assign permissions don’t apply to objects in other role assignments unless the other assignment specifically grants them.
  • (Oluştur ve okuma) gibi diğer izinler geçerlidir (örneğin, tüm ilkeleri veya tüm uygulamalar) aynı türdeki tüm nesneler için herhangi bir kullanıcının atamaları.Other permissions (such as Create and Read), apply to all objects of the same type (like all policies or all apps) in any of the user’s assignments.
  • (İlke veya uygulamalar) gibi farklı türde nesneler için izinleri uygulanmaz arasındaki ilişki.Permissions for objects of different types (like policies or apps), don’t apply to each other. Okuma izni için bir ilke, örneğin, bir kullanıcının atamaları uygulamalar için okuma izni sağlamaz.A Read permission for a policy, for example, doesn’t provide a Read permission to apps in the user’s assignments.

Sonraki adımlarNext steps