Rol tabanlı erişim denetimi (RBAC) Microsoft Intune
Rol tabanlı erişim denetimi (RBAC), kimlerin kuruluş kaynaklarına erişimi olduğunu ve bu kaynaklarla neler yapalarını yönetmenize yardımcı olur. Intune kullanıcılarınıza roller ataarak, neleri göreblerini ve değişikliklerini sınırlandırabilirsiniz. Her rolün, bu role sahip kullanıcıların kuruluş içinde hangi kullanıcılara erişe ve değişiklik yaptığını belirleyen bir izin kümesi vardır.
Rolleri oluşturmak, düzenlemek ve atamak için, hesabınızın Azure AD’de aşağıdaki izinlerden birine sahip olması gerekir:
- Genel Yönetici
- Intune Hizmet Yöneticisi (Intune Yöneticisi olarak da bilinir)
Intune RBAC ile ilgili öneriler ve öneriler için örnekleri ve izlenecek yollara yer alan bu beş video serisine göz atabilirsiniz: 1, 2, 3, 4, 5.
Roller
Bir rol, bu role atanmış kullanıcılara verilen izinler kümesi tanımlar. Hem yerleşik hem de özel rolleri kullanabilirsiniz. Yerleşik roller bazı yaygın Intune senaryolarını kapsıyor. Tam olarak ihtiyacınız olan izin kümesiyle kendi özel rollerinizi oluşturabilirsiniz. Çeşitli Azure Active Directory rollerin Intune izinleri vardır. Bir rolü görmek için Intune Kiracı yönetimi Rolleri Tüm > > > roller'i > rol seçin. Rolü aşağıdaki sayfalarda yönetebilirsiniz:
- Özellikler: Rolün adı, açıklaması, izinleri ve kapsam etiketleri.
- Atamalar: Hangi kullanıcıların hangi kullanıcılara/cihazlara erişimi olduğunu tanımlayan rol atamalarının listesi. Bir rolün birden çok ataması olabilir ve bir kullanıcı birden çok atamada olabilir.
Not
Intune'i yöneteb için atanmış bir Intune lisansınız olması gerekir. Alternatif olarak, Lisanssız yöneticilere erişime izin ver ayarını Evet olarak ayarlayarak lisanslı olmayan kullanıcıların Intune'un yönetimine izin veebilirsiniz.
Yerleşik roller
Ek yapılandırma gerekmeden gruplara yerleşik roller attayın. Yerleşik rolün adını, açıklamasını, türünü veya izinlerini silemez veya düzenleyemezsiniz.
- Uygulama Yöneticisi: Mobil uygulamalar ve yönetilen uygulamaları yönetir, cihaz bilgilerini okuyabilir ve cihaz yapılandırma profillerini görüntüleyebilir.
- Endpoint Security Manager: Güvenlik temelleri, cihaz uyumluluğu, koşullu erişim ve Uç Nokta için Microsoft Defender gibi güvenlik ve uyumluluk özelliklerini yönetir.
- Yardım Masası Operatörü: Kullanıcılar ve cihazlar üzerinde uzak görevler gerçekleştirir, kullanıcılara ve cihazlara uygulama veya ilke atayabilir.
- Intune Rol Yöneticisi: Özel Intune rollerini yönetir ve yerleşik Intune rolleri için atamalar ekler. Yöneticilere izin atayabilirsiniz tek Intune rolü bu.
- İlke ve Profil Yöneticisi: Uyumluluk ilkesi, yapılandırma profilleri, Apple kaydı, kurumsal cihaz tanımlayıcıları ve güvenlik temellerini yönetir.
- Salt Okuma Operatörü: Kullanıcı, cihaz, kayıt, yapılandırma ve uygulama bilgilerini görüntüler. Intune'da değişiklik yapın.
- Okul Yöneticisi: Eğitim Windows 10 Intune'da cihazları yönetir.
Özel roller
Özel izinlerle kendi rollerinizi oluşturabilirsiniz. Özel roller hakkında daha fazla bilgi için bkz. Özel rol oluşturma.
Azure Active Directory Intune erişimiyle rollerini yeniden seçme
| Azure Active Directory rolü | Tüm Intune verileri | Intune denetim verileri |
|---|---|---|
| Genel Yönetici | Okuma/yazma | Okuma/yazma |
| Intune Hizmet Yöneticisi | Okuma/yazma | Okuma/yazma |
| Koşullu Erişim Yöneticisi | Hiçbiri | Hiçbiri |
| Güvenlik Yöneticisi | Salt okunur (Endpoint Security düğümü için tam yönetim izinleri) | Salt okunur |
| Güvenlik İşleci | Salt okunur | Salt okunur |
| Güvenlik Okuyucusu | Salt okunur | Salt okunur |
| Uyumluluk Yöneticisi | Hiçbiri | Salt okunur |
| Uyumluluk Veri Yöneticisi | Hiçbiri | Salt okunur |
| Genel Okuyucu | Salt Okunur | Salt Okunur |
| Raporlar Okuyucusu | Salt Okunur | Hiçbiri |
İpucu
Intune ayrıca üç Azure AD uzantısı gösterir: Kullanıcılar, Gruplar ve Koşullu Erişim, Azure AD RBAC kullanılarak denetlenen. Bunlara ek olarak, Kullanıcı Hesabı Yöneticisi yalnızca AAD kullanıcısı/grubu etkinliklerini gerçekleştirir ve Intune'daki tüm etkinlikleri gerçekleştirme izinlerinin tümüne sahip değildir. Daha fazla bilgi için bkz. Azure AD ile RBAC.
Rol atamaları
Rol ataması şunları tanımlar:
- role hangi kullanıcıların atandığı
- hangi kaynakları görebilirler?
- hangi kaynakları değiştirebilirler?
Kullanıcılarınıza hem özel hem de yerleşik roller atabilirsiniz. Bir Intune rolü atanacak kullanıcının bir Intune lisansına sahip olması gerekir. Rol ataması görmek için, Intune Kiracı yönetimi Rolleri Tüm > > > roller'i seçin > bir rol seçin > Atamalar > atama seçin. Özellikler sayfasında şunları düzenleyebilirsiniz:
- Temel Bilgiler: Atamaların adı ve açıklaması.
- Üyeler: Listelenen Azure güvenlik gruplarında yer alan tüm kullanıcıların Kapsam (Gruplar) içinde listelenen kullanıcıları/cihazları yönetme izni vardır.
- Kapsam (Gruplar): Bu Azure güvenlik gruplarında yer alan tüm kullanıcılar/cihazlar, Üyeler'de kullanıcılar tarafından yönetilebilir.
- Kapsam (Etiketler): Üyeler'de kullanıcılar aynı kapsam etiketlerine sahip kaynakları görebilir.
Birden çok rol ataması
Bir kullanıcının birden çok rol ataması, izni ve kapsam etiketi varsa, bu rol atamaları aşağıdaki gibi farklı nesnelere genişletildi:
- İzinleri ve kapsam etiketlerini atama yalnızca o rolün atama kapsamı (Gruplar) içinde yer alan nesnelere (ilkeler veya uygulamalar gibi) uygulanır. İzinleri ve kapsam etiketlerini atama, diğer atama özel olarak verilmediği sürece diğer rol atamalarında nesneler için geçerli değildir.
- Diğer izinler (Oluştur, Oku, Güncelleştir, Sil gibi) ve kapsam etiketleri kullanıcının atamalarının herhangi birsinde aynı türdeki tüm nesnelere (tüm ilkeler veya tüm uygulamalar gibi) uygulanır.
- Farklı türdeki nesneler (ilkeler veya uygulamalar gibi) için izinler ve kapsam etiketleri birbirine geçerli değildir. Örneğin, bir ilke için Okuma izni, kullanıcının atamalarında uygulamalara Okuma izni sağlamaz.