Microsoft Intune'de ilke atama

  • Makale

bir Intune ilkesi oluşturduğunuzda, ilke içinde eklediğiniz ve yapılandırdığınız tüm ayarları içerir. İlke dağıtılmaya hazır olduğunda, sonraki adım ilkeyi kullanıcı veya cihaz gruplarınıza "atamak"tır. Atandığında kullanıcılar ve cihazlar ilkenizi alır ve girdiğiniz ayarlar uygulanır.

Intune'da aşağıdaki ilkeleri oluşturabilir ve atayabilirsiniz:

  • Uygulama koruması ilkeleri
  • Uygulama yapılandırma ilkeleri
  • Uyumluluk ilkeleri
  • Koşullu erişim ilkeleri
  • Cihaz yapılandırma profilleri
  • Kayıt ilkeleri

Bu makalede bir ilkenin nasıl atandığı gösterilir, kapsam etiketlerini kullanma hakkında bazı bilgiler, kullanıcı gruplarına veya cihaz gruplarına ilkelerin ne zaman atandığı ve daha fazlası açıklanır.

Başlamadan önce

İlkeleri ve profilleri atamak için doğru role sahip olduğunuzdan emin olun. Daha fazla bilgi için Microsoft Intune ile Rol tabanlı erişim denetimi (RBAC) bölümüne gidin.

Kullanıcılara veya gruplara ilke atama

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. CihazlarYapılandırması'na> tıklayın. Tüm profiller listelenir.

  3. Özellik>Atamaları>Düzenleme atamak > istediğiniz profili seçin:

    Örneğin, bir cihaz yapılandırma profili atamak için:

    1. Cihazlar>Yapılandırması'na gidin. Tüm profiller listelenir.

    2. Özellik>Atamaları>Düzenleme atamak > istediğiniz ilkeyi seçin:

      profilin Microsoft Intune kullanıcılara ve gruplara dağıtılması için atamaların nasıl seçildiğini gösteren ekran görüntüsü.

  4. Dahil edilen gruplar veya Dışlanan gruplar'ın altında Grup ekle'yi seçerek bir veya daha fazla Microsoft Entra grubu seçin. İlkeyi tüm geçerli cihazlara genel olarak dağıtmak istiyorsanız Tüm kullanıcıları ekle'yi veya Tüm cihazları ekle'yi seçin.

    Not

    "Tüm Cihazlar" ve "Tüm Kullanıcılar" seçeneğini belirlediğinizde, ek Microsoft Entra grupları ekleme seçeneği devre dışı bırakılır.

  5. Gözden Geçir + Kaydet'i seçin. Bu adım ilkenizi atamaz.

  6. Kaydet'i seçin. Kaydettiğinizde ilkeniz atanır. Cihazlar Intune hizmetine giriş yaparken, gruplarınız ilke ayarlarınızı alır.

Bilmeniz ve kullanmanız gereken atama özellikleri

Kullanıcı grupları ile cihaz grupları karşılaştırması

Birçok kullanıcı, kullanıcı gruplarının ne zaman kullanılacağını ve cihaz gruplarının ne zaman kullanılacağını sorar. Yanıt hedefinize bağlıdır. Başlamanıza yönelik bazı yönergeler aşağıda verilmiştir.

Cihaz grupları

Kimlerin oturum açtığından bağımsız olarak bir cihaza ayarları uygulamak istiyorsanız, ilkelerinizi bir cihaz grubuna atayın. Cihaz gruplarına uygulanan ayarlar her zaman kullanıcıyla değil, cihazla birlikte gider.

Örneğin:

  • Cihaz grupları, ayrılmış kullanıcısı olmayan cihazları yönetmek için kullanışlıdır. Örneğin, bilet yazdıran, envanteri tarayan, vardiya çalışanları tarafından paylaşılan, belirli bir ambara atanan ve benzeri cihazlara sahipsiniz. Bu cihazları bir cihaz grubuna yerleştirin ve ilkelerinizi bu cihaz grubuna atayın.

  • BIOS'ta ayarları güncelleştiren bir Cihaz Üretici Yazılımı Yapılandırma Arabirimi (DFCI) Intune profili oluşturursunuz. Örneğin, bu ilkeyi cihaz kamerasını devre dışı bırakmak veya kullanıcıların başka bir işletim sistemini önyüklemesini önlemek için önyükleme seçeneklerini kilitleyecek şekilde yapılandırırsınız. Bu ilke, bir cihaz grubuna atamak için iyi bir senaryodur.

  • Bazı belirli Windows cihazlarında, cihazı kimin kullandığından bağımsız olarak her zaman bazı Microsoft Edge ayarlarını denetlemek istersiniz. Örneğin, tüm indirmeleri engellemek, tüm tanımlama bilgilerini geçerli gözatma oturumuyla sınırlamak ve gözatma geçmişini silmek istiyorsunuz. Bu senaryo için, bu belirli Windows cihazlarını bir cihaz grubuna yerleştirin. Ardından, Intune bir Yönetim Şablonu oluşturun, bu cihaz ayarlarını ekleyin ve ardından bu ilkeyi cihazlar grubuna atayın.

Özetlemek gerekirse, cihazda kimin oturum açtığını veya herhangi birinin oturum açtığını önemsemediğinizde cihaz gruplarını kullanın. Ayarlarınızın her zaman cihazda olmasını istiyorsunuz.

Kullanıcı grupları

Kullanıcı gruplarına uygulanan ilke ayarları her zaman kullanıcıyla birlikte gider ve birçok cihazında oturum açtığında kullanıcıyla birlikte gider. Kullanıcıların iş için Surface Pro ve kişisel bir iOS/iPadOS cihazı gibi birçok cihaza sahip olması normaldir. Ayrıca, bir kişinin bu cihazlardan e-postaya ve diğer kuruluş kaynaklarına erişmesi normaldir.

Bir kullanıcının aynı platformda birden çok cihazı varsa, grup ataması üzerindeki filtreleri kullanabilirsiniz. Örneğin, bir kullanıcının kişisel bir iOS/iPadOS cihazı ve kuruluşa ait bir iOS/iPadOS cihazı vardır. Bu kullanıcı için bir ilke atadığınızda, yalnızca kuruluşa ait cihazı hedeflemek için filtreleri kullanabilirsiniz.

Bu genel kuralı izleyin: Bir özellik e-posta veya kullanıcı sertifikaları gibi bir kullanıcıya aitse, kullanıcı gruplarına atayın.

Örneğin:

  • Tüm cihazlarındaki tüm kullanıcılar için bir Yardım Masası simgesi koymak istiyorsunuz. Bu senaryoda, bu kullanıcıları bir kullanıcı grubuna yerleştirin ve Yardım Masası simge ilkenizi bu kullanıcı grubuna atayın.

  • Kullanıcı kuruluşa ait yeni bir cihaz alır. Kullanıcı, etki alanı hesabıyla cihazda oturum açar. Cihaz otomatik olarak Microsoft Entra ID kaydedilir ve Intune tarafından otomatik olarak yönetilir. Bu ilke, bir kullanıcı grubuna atamak için iyi bir senaryodur.

  • Bir kullanıcı cihazda her oturum açtığında, OneDrive veya Office gibi uygulamalardaki özellikleri denetlemek istersiniz. Bu senaryoda, OneDrive veya Office ilke ayarlarınızı bir kullanıcı grubuna atayın.

    Örneğin, Office uygulamalarınızda güvenilmeyen ActiveX denetimlerini engellemek istiyorsunuz. Intune'da bir Yönetim Şablonu oluşturabilir, bu ayarı yapılandırabilir ve ardından bu ilkeyi bir kullanıcı grubuna atayabilirsiniz.

Özetlemek gerekirse, ayarlarınızın ve kurallarınızın her zaman kullanıcıyla (kullandığı cihazla) birlikte gitmesini istediğinizde kullanıcı gruplarını kullanın.

Azure Sanal Masaüstü çoklu oturumu

Azure Sanal Masaüstü ile oluşturulan Windows çok oturumlu uzak masaüstlerini yönetmek için Intune kullanabilirsiniz. Aynı diğer paylaşılan Windows istemci cihazlarını yönettiğiniz gibi. Kullanıcı gruplarına veya cihazlara ilke atadığınızda, Azure Sanal Masaüstü çoklu oturumu özel bir senaryodur. Bu sanal makineleri kullanırken cihaz CSP'lerinin cihaz gruplarını hedeflemesi gerekir. Kullanıcı CSP'lerinin kullanıcı gruplarını hedeflemesi gerekir.

Daha fazla bilgi için Azure Sanal Masaüstü'nü Microsoft Intune ile çoklu oturum kullanma bölümüne gidin.

Windows CSP'leri ve davranışları

Windows cihazları için ilke ayarları , yapılandırma hizmeti sağlayıcılarına (CSP) dayanır. Bu ayarlar, cihazlardaki kayıt defteri anahtarları veya dosyalarıyla eşler.

Windows CSP'leri hakkında bilmeniz gerekenler şunlardır:

  • Intune bu CSP'leri kullanıma sunar, böylece bu ayarları yapılandırabilir ve Bunları Windows cihazlarınıza atayabilirsiniz. Bu ayarlar, yerleşik şablonlar ve ayarlar kataloğu kullanılarak yapılandırılabilir. Ayarlar kataloğunda bazı ayarların kullanıcı kapsamına, bazı ayarların da cihaz kapsamına uygulandığını görürsünüz.

    Kullanıcı kapsamlı ve cihaz kapsamlı ayarların Windows cihazlarına nasıl uygulandığı hakkında bilgi için Ayarlar kataloğu: Cihaz kapsamı ve kullanıcı kapsamı ayarları bölümüne gidin.

  • bir ilke kaldırıldığında veya bir cihaza atanmadığında, ilkedeki ayarlara bağlı olarak farklı şeyler olabilir. Her CSP, ilke kaldırma işlemini farklı şekilde işleyebilir.

    Örneğin, bir ayar mevcut değeri tutabilir ve varsayılan değere geri dönmeyebilir. Davranış, işletim sistemindeki her CSP tarafından denetlener. Windows CSP'lerin listesi için bkz . yapılandırma hizmeti sağlayıcısı (CSP) başvurusu.

    Bir ayarı farklı bir değere değiştirmek için yeni bir ilke oluşturun, ayarı Yapılandırılmadı olarak yapılandırın ve ilkeyi atayın. İlke cihaza uygulandığında, kullanıcıların ayarı tercih ettikleri değerle değiştirme denetimine sahip olması gerekir.

  • Bu ayarları yapılandırırken bir pilot gruba dağıtmanızı öneririz. Daha fazla Intune dağıtım önerisi için bkz. Dağıtım planı oluşturma.

İlke atamasından grupları dışlama

Intune cihaz yapılandırma ilkeleri, grupları ilke atamasına dahil edip bunların dışında tutmanızı sağlar.

En iyi uygulama olarak:

  • Kullanıcı gruplarınız için özel olarak ilkeler oluşturun ve atayın. Bu kullanıcıların cihazlarını dahil etmek veya hariç tutmak için filtreleri kullanın.
  • Cihaz gruplarınız için özel olarak farklı ilkeler oluşturun ve atayın.

Gruplar hakkında daha fazla bilgi için bkz. Kullanıcıları ve cihazları düzenlemek için grup ekleme.

Grupları dahil etme ve dışlama ilkeleri

İlkelerinizi ve ilkelerinizi atarken aşağıdaki genel ilkeleri uygulayın:

  • dahil edilen grupları veya Dışlanan grupları ilkelerinizi alacak kullanıcılar ve cihazlar için bir başlangıç noktası olarak düşünün. Microsoft Entra grubu sınırlayıcı grup olduğundan mümkün olan en küçük grup kapsamını kullanın. İlke atamanızı sınırlamak veya daraltmak için filtreleri kullanın.

  • Statik gruplar olarak da bilinen atanmış Microsoft Entra grupları Dahil edilen gruplara veya Dışlanan gruplara eklenebilir.

    Genellikle, Windows Autopilot'ta olduğu gibi Microsoft Entra ID önceden kaydedilmiş cihazları statik olarak bir Microsoft Entra grubuna atarsınız. Ya da cihazları tek seferlik, geçici bir dağıtım için birleştirmek istiyorsanız. Aksi takdirde, cihazları statik olarak bir Microsoft Entra grubuna atamak pratik olmayabilir.

  • Dinamik Microsoft Entra kullanıcı grupları Dahil edilen gruplara veya Dışlanan gruplara eklenebilir.

  • Dışlanan gruplar, kullanıcıları olan gruplar veya cihazları olan gruplar olabilir.

  • Dinamik Microsoft Entra cihaz grupları Dahil edilen gruplara eklenebilir. Ancak dinamik grup üyeliği doldurulduğunda gecikme yaşanabilir. Gecikmeye duyarlı senaryolarda, belirli cihazları hedeflemek için filtreleri kullanın ve ilkelerinizi kullanıcı gruplarına atayın.

    Örneğin, ilkeler kaydedilir kaydedilmez cihazlara atanmasını istersiniz. Gecikmeye duyarlı bu durumda, istediğiniz cihazları hedeflemek için bir filtre oluşturun ve ilkeyi bu filtreyle kullanıcı gruplarına atayın. Cihaz gruplarına atama.

    Kullanıcısız bir senaryoda, istediğiniz cihazları hedeflemek için bir filtre oluşturun ve ilkeyi filtreyle birlikte "Tüm cihazlar" grubuna atayın.

  • Dışlanan gruplara dinamik Microsoft Entra cihaz grupları eklemekten kaçının. Kayıtta dinamik cihaz grubu hesaplamasında gecikme süresi istenmeyen sonuçlara neden olabilir. Örneğin, dışlanan grup üyeliği doldurulmadan önce istenmeyen uygulamalar ve ilkeler dağıtılabilir.

Destek matrisi

Grupları dışlama desteğini anlamak için aşağıdaki matrisi kullanın:

  • ✔️:Desteklenen
  • ❌: Desteklenmez
  • ❕ : Kısmen desteklenir

İlke atamasına grup eklemek veya dışlamak için desteklenen seçenekleri gösteren ekran görüntüsü.

Senaryo Destek
1 ❕ Başka bir dinamik cihaz grubu dışlanırken dinamik cihaz grubuna ilke atama kısmen

desteklenir. Ancak gecikme süresine duyarlı senaryolarda önerilmez. Grup üyeliğini dışlama hesaplamasında herhangi bir gecikme, ilkelerin cihazlara sunulmasına neden olabilir. Bu senaryoda, cihazları dışlamak için dinamik cihaz grupları yerine filtrelerin kullanılmasını öneririz.

Örneğin, Tüm cihazlara atanmış bir cihaz ilkeniz vardır. Daha sonra, yeni pazarlama cihazlarının bu ilkeyi almama gereksinimine sahip olursunuz. Bu nedenle, özelliğinedevice.enrollmentProfileName -eq "Marketing_devices" () göre enrollmentProfilenamePazarlama cihazları adlı dinamik bir cihaz grubu oluşturursunuz. İlkeye Pazarlama cihazları dinamik grubunu dışlanan bir grup olarak eklersiniz.

yeni bir pazarlama cihazı Intune ilk kez kaydedilir ve yeni bir Microsoft Entra cihaz nesnesi oluşturulur. Dinamik gruplandırma işlemi, cihazı olası bir gecikmeli hesaplamayla Pazarlama cihazları grubuna yerleştirir. Aynı zamanda cihaz Intune kaydolarak tüm geçerli ilkeleri almaya başlar. Intune ilkesi, cihaz dışlama grubuna yerleştirilmeden önce dağıtılabilir. Bu davranış, istenmeyen bir ilkenin (veya uygulamanın) Pazarlama cihazları grubuna dağıtılmasıyla sonuçlanır.

Sonuç olarak, gecikme süresine duyarlı senaryolarda dışlamalar için dinamik cihaz gruplarının kullanılması önerilmez. Bunun yerine filtreleri kullanın.
2 ✔️ Desteklenir

Statik cihaz grubu dışlanırken dinamik cihaz grubuna ilke atama desteklenir.
3 ❌ Desteklenmez

Kullanıcı grupları (hem dinamik hem de statik) dışlarken dinamik cihaz grubuna ilke atama desteklenmez. Intune kullanıcıdan cihaza grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları dışlanmaz.
4 ❌ Desteklenmez

Dinamik cihaz grubuna ilke atama ve kullanıcı gruplarını dışlama (hem dinamik hem de statik) desteklenmez. Intune kullanıcıdan cihaza grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları dışlanmaz.
5 ❕ Dinamik cihaz grubu dışlanırken statik cihaz grubuna ilke atama kısmen

desteklenir. Ancak gecikme süresine duyarlı senaryolarda önerilmez. Grup üyeliğini dışlama hesaplamasında herhangi bir gecikme, ilkelerin cihazlara sunulmasına neden olabilir. Bu senaryoda, cihazları dışlamak için dinamik cihaz grupları yerine filtrelerin kullanılmasını öneririz.
6 ✔️ Desteklenir

Statik cihaz grubuna ilke atama ve farklı bir statik cihaz grubunu dışlama desteklenir.
7 ❌ Desteklenmez

Statik cihaz grubuna ilke atama ve kullanıcı gruplarını dışlama (hem dinamik hem de statik) desteklenmez. Intune kullanıcıdan cihaza grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları dışlanmaz.
8 ❌ Desteklenmez

Statik cihaz grubuna ilke atama ve kullanıcı gruplarını dışlama (hem dinamik hem de statik) desteklenmez. Intune kullanıcıdan cihaza grup ilişkilerini değerlendirmez ve dahil edilen kullanıcıların cihazları dışlanmaz.
9 ❌ Desteklenmez

Dinamik kullanıcı grubuna ilke atama ve cihaz gruplarını dışlama (hem dinamik hem de statik) desteklenmez.
10 ❌ Desteklenmez

Dinamik kullanıcı grubuna ilke atama ve cihaz gruplarını dışlama (hem dinamik hem de statik) desteklenmez.
11 ✔️ Desteklenir

Diğer kullanıcı grupları (hem dinamik hem de statik) dışlanırken dinamik bir kullanıcı grubuna ilke atama desteklenir.
12 ✔️ Desteklenir

Diğer kullanıcı grupları (hem dinamik hem de statik) dışlanırken dinamik bir kullanıcı grubuna ilke atama desteklenir.
13 ❌ Desteklenmez

Cihaz grupları (hem dinamik hem de statik) dışlarken statik kullanıcı grubuna ilke atama desteklenmez.
14 ❌ Desteklenmez

Cihaz grupları (hem dinamik hem de statik) dışlarken statik kullanıcı grubuna ilke atama desteklenmez.
15 ✔️ Desteklenir

Diğer kullanıcı grupları (hem dinamik hem de statik) dışlanırken statik bir kullanıcı grubuna ilke atama desteklenir.
16 ✔️ Desteklenir

Diğer kullanıcı grupları (hem dinamik hem de statik) dışlanırken statik bir kullanıcı grubuna ilke atama desteklenir.

Sonraki adımlar

İlkelerinizi ve ilkelerinizi çalıştıran cihazları izleme yönergeleri için bkz. cihaz profillerini izleme.