Kiracıya bağlı istemciler için rol tabanlı erişim denetimini Intune
Uygulama hedefi: Configuration Manager (güncel dalı)
Configuration Manager sürüm 2207'den başlayarak, Microsoft Intune yönetim merkezinden kiracıya bağlı cihazlarla etkileşim kurarken rol tabanlı erişim denetimini (RBAC) Intune kullanabilirsiniz. Örneğin, rol tabanlı erişim denetimi yetkilisi olarak Intune kullanırken, Yardım Masası Operatörü rolüne sahip bir kullanıcının atanmış bir güvenlik rolüne veya Configuration Manager ek izinlerine ihtiyacı yoktur. Intune rol tabanlı erişim denetimi, cihaz zaman çizelgesi, CMPivot ve betikler gibi Microsoft Intune yönetim merkezindeki tüm buluta bağlı cihaz sayfalarının izinlerini yönetir.
Önemli
Şu anda, Microsoft Intune yönetim merkezinden kiracıya bağlı cihazlarda görüntüleme ve eylem gerçekleştirmeye yönelik Intune rol tabanlı erişim denetiminin uygulanması isteğe bağlıdır. Buluta bağlı Configuration Manager ortamları olan tüm yöneticilerin Intune rol tabanlı erişim denetimi izinlerini doğrulamaya başlamasını öneririz.
Kiracıya bağlı cihazlar için rol tabanlı erişim denetimi yetkilisi olarak Intune yapılandırmaya yönelik üç üst düzey adım şunlardır:
- Configuration Manager konsolundan, buluta bağlı istemciler için Configuration Manager rol tabanlı erişim denetiminin uygulanmasını devre dışı bırakın
- Intune buluta bağlı cihazlar için kullanıcı izinlerinin yönetilmesini etkinleştirin
- Intune buluta bağlı cihazlar için rol tabanlı erişim denetimi izinlerini doğrulayın
Önkoşullar
- Configuration Manager sürüm 2207 veya üzeri
- Kiracıya bağlı cihazlar
Sınırlamalar
- Şu anda Microsoft Intune yönetim merkezinden kiracıya bağlı cihazlarda görüntüleme ve eylem gerçekleştirme için yalnızca Intune rol tabanlı erişim denetimi kullanılırken kapsam belirleme desteklenmez.
- Şu anda yazılım güncelleştirmeleri sayfası, Configuration Manager sürüm 2207'nin erken güncelleştirme halkasını kullanırken yalnızca bulut kullanıcıları tarafından kullanılamaz.
Buluta bağlı istemciler için Configuration Manager rol tabanlı erişim denetiminin uygulanmasını devre dışı bırakma
Configuration Manager rol tabanlı erişim denetimi yerine kiracı ekleme için Intune rol tabanlı erişim denetimi kullanmak için aşağıdaki yönergeleri kullanın:
Configuration Manager konsolundan Yönetim>Cloud Services>Cloud Ekleme'ye gidin.
Rol tabanlı erişim denetimi seçeneğinin konumu, ortamınızın zaten buluta bağlı olup olmadığınıza bağlı olarak değişir.
- Ortamınız zaten buluta bağlıysa CoMgmtSettingsProd özelliklerini açın. Yönetim merkezine yüklenmiş cihazlarınız yoksa önce bu seçeneği yapılandırın. Daha fazla bilgi için bkz . Bulut eklemeyi etkinleştirme.
- Ortamınız buluta bağlı değilse Bulut Ekini Yapılandır'ı seçerek Bulut Ekleme Yapılandırma sihirbazını açın.
Karşıya yüklemeyi yapılandır sekmesinde veya sihirbazdaki sayfada Rol tabanlı Access Control başlığı altında aşağıdaki seçeneğin onay kutusunu temizleyin:
Configuration Manager ile etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'yi zorunlu tutma
Değişikliği CoMgmtSettingsProd özelliklerine kaydetmek için Tamam'ı seçin veya bulut ekleme sihirbazını tamamlamaya devam edin.
Intune rol tabanlı erişim denetimini etkinleştirme
buluta bağlı cihazların kullanıcı izinlerini yönetmek üzere Intune etkinleştirmek için aşağıdaki adımları kullanın:
- Microsoft Intune yönetim merkezini açın ve Roller/Güncelleştirme iznine sahip bir kullanıcı olarak oturum açın. İzin hakkında daha fazla bilgi için bkz. Intune'da özel rol izinleri.
- Kiracı yönetimi>Bağlayıcıları ve belirteçleri>Microsoft Endpoint Configuration Manager'ı seçin.
- Başlıkta Kullanıcı izinlerini de Intune yönetebilirsiniz'i seçin. Bu seçenek hakkında daha fazla bilgi edinmek için buraya tıklayın.
- RBAC Intune kullan açılır öğesi görüntülenir.
- RBAC Intune kullan seçeneği için Açık'ı ve ardından Uygula'yı seçin.
- Değişikliğin geçerlilik kazanması yaklaşık 10 dakika sürebilir.
Intune rol tabanlı erişim denetimi izinlerini doğrulama
Intune rol tabanlı erişim denetimi yetkilisine ayarlandıktan sonra rollerinizin izinlerini doğrulayın. Gerekirse, bu izinleri Intune'de oluşturduğunuz özel rollere ekleyebilirsiniz.
- Microsoft Intune yönetim merkezini açın ve oturum açın.
- Kiracı yönetimi>Rolleri'ne tıklayın.
- Application Manager gibi bir rol seçin ve Buluta bağlı cihazlar için listelenen izinleri gözden geçirin. Gerekirse, Intune'de oluşturduğunuz tüm özel roller için izinleri düzenleyin.
Aşağıdaki Intune izinleri, buluta bağlı Configuration Manager cihazlara erişimi denetler:
| İzin | Açıklama | İzinle yerleşik rolleri Intune |
|---|---|---|
| Buluta bağlı cihazlar\Koleksiyonları görüntüleme | Buluta bağlı Configuration Manager cihazlar için Koleksiyonlar sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Kaynak gezginini görüntüle | Buluta bağlı Configuration Manager cihazlar için Kaynak gezgini sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Zaman çizelgesini görüntüle | Buluta bağlı Configuration Manager cihazlar için Zaman Çizelgesi sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Yazılım güncelleştirmelerini görüntüleme | Configuration Manager buluta bağlı cihazlar için Yazılım güncelleştirmeleri sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Betikleri görüntüleme | Buluta bağlı Configuration Manager cihazlar için Betikler sayfasını görüntüler | Endpoint Security Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Betik çalıştırma | Betik çalıştır eylemini görüntüler ve kullanıcının buluta bağlı Configuration Manager cihazlarda betik çalıştırmasına izin verir | Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\CMPivot sorgusu çalıştırma | Buluta bağlı Configuration Manager cihazlar için CMPivot sayfasını görüntüler | Endpoint Security Manager, Okul Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\İstemci ayrıntılarını görüntüleme | Configuration Manager buluta bağlı cihazlar için İstemci ayrıntıları sayfasını görüntüler | Application Manager, Endpoint Security Manager, Salt Okunur Operatör,Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Uygulamaları görüntüleme | Configuration Manager buluta bağlı cihazlar için Uygulamalar sayfasını görüntüler | Application Manager, Salt Okunur Operatör, Okul Yöneticisi, İlke Profili Yöneticisi, Yardım Masası Operatörü |
| Buluta bağlı cihazlar\Uygulama eylemleri gerçekleştirme | Uygulamalar sayfasında uygulama eylemlerini görüntüler ve kullanıcının buluta bağlı Configuration Manager cihazlarda uygulama eylemleri gerçekleştirmesine izin verir | Uygulama Yöneticisi, Okul Yöneticisi, Yardım Masası Operatörü |
| Uzak görevler/BitLocker Tuşlarını Döndürme (önizleme) | Cihazda BitLocker Kurtarma Parolaları için bir anahtar döndürme işlemi başlatır. Buluta bağlı Configuration Manager cihazlar için Kurtarma anahtarları sayfasını görüntüler. | Endpoint Security Manager, Yardım Masası Operatörü |
Sık sorulan sorular
Intune'da kiracıya bağlı cihazlara erişmesi gereken yalnızca bulut kullanıcılarım var, bu onlara erişim sağlayacak mı?
Evet. Bir kullanıcı yalnızca bulut olduğunda, bu senaryoda Microsoft Entra ID olduğu ve Intune erişebileceği anlamına gelir; Intune RBAC kullanıldığında kiracıya bağlı cihazlara erişim sağlanır.
Kiracıma bağlı birden çok Configuration Manager hiyerarşim varsa ne olur?
Microsoft Intune yönetim merkezindeki Intune RBAC kullan ayarı, kiracıda listelenen tüm Configuration Manager hiyerarşileri için geçerlidir.
Configuration Manager ve Intune ayarları eşleşmezse ne olur?
Intune Intune RBAC kullan iki durumlu düğmesi Kapalı olarak ayarlanırsa, etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'yi zorla olsa bile rol tabanlı erişim Configuration Manager zorlanır Configuration Manager onay kutusu temizlendi. Configuration Manager ile etkileşim kuran bulut konsolu istekleri için Configuration Manager RBAC'yi zorla seçeneğinin devre dışı bırakılması, Intune'da Intune RBAC kullan iki durumlu düğmesinin Açık olarak ayarlanmasına kadar hiçbir etkisi olmaz.
Test hiyerarşim Intune RBAC kullanacak şekilde yapılandırılmışsa, ancak üretim hiyerarşim değilse ve aynı kiracıdaysa ne olur?
Intune RBAC kullan ayarı, kiracıda listelenen tüm Configuration Manager hiyerarşileri için geçerlidir. Configuration Manager RBAC'yi zorunlu kılmak için onay kutusunu da temizlediğinizden, yalnızca bulut kullanıcıları test hiyerarşisinden karşıya yüklenen kiracıya bağlı cihazlara erişebilir. Yalnızca bulut kullanıcısı üretim ortamından karşıya yüklenen kiracıya bağlı bir cihaza erişmeye çalışırsa, üretim cihazları RBAC Configuration Manager zorunlu kıldığından bir hata alır. Yalnızca bulut kullanıcısı aşağıdaki iletiye benzer bir hata alır: Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.
Sonraki adımlar
- Buluta bağlı bir cihazın zaman çizelgesini gözden geçirme
- Buluta bağlı bir cihazda CMPivot sorgusu çalıştırma