Microsoft Intune Ortamlarında Yerel Yönetici Gruplarının Yönetilmesi
  1. Anasayfa
  2. Cloud Hizmetleri (Bulut Bilişim)
  3. Alakalı Konular

Microsoft Intune Ortamlarında Yerel Yönetici Gruplarının Yönetilmesi

Ömer Üçler tarafından
10/06/2021 Okuma süresi: 3dk, 49sn
0

Bu yazımda sizlere kısıtlı grupları kullanarak, Windows 10 cihazlarınızın içerisindeki yerel yöneticileri MDM aracılığıyla (Local Administrators) nasıl yapılandıracağınız hakkında bilgi vermeye çalışacağım.

Azure Active Directory’e join cihazlarda yerel yöneticilerden bahsederken konu genellikle genel (global) yönetici ve cihaz (device) yöneticisi rolü ile ilgilidir. Bu roller Azure Active Directory’e katılan cihazlarda varsayılan olarak yerel yöneticidir. (Local Administrator)

Kullanıcılar, diğer herhangi bir yönetici gibi Global Administrator rolüne eklenebilir. Device Administrator rolüne kullanıcı ekleme işlemi ise farklı bir konfigürasyondur. Bu iki rolün ortak bir yönü, Azure Active Directory’e join olan tüm cihazlar için geçerli olmasıdır. Kullanıcılar, Azure Active Directory’e katılmış olan cihazlarda ek yerel yöneticiler olarak yapılandırılarak eklenebilirler. Genellikle Azure Active Directory’e katılan Microsoft Intune tarafından yönetilen cihazlarda yerel yöneticiyi yönetmek için başka bir seçenek de kısıtlı grupları kullanmaktır. Bunun için Policy CSP’deki Restricted Groups bölümü kullanılmalıdır. Bu, yerel yöneticileri eklemek için (veya mevcut herhangi bir yerel grubu ayarlamak için) kullanılabilen tek bir düğümü (node) içerir. Yerel yöneticileri yönetirken aşağıdaki hususları gözden geçirmelisiniz:

  • Kısıtlı grupları kullanarak sağlanan yerel yöneticiler mevcut yerel yöneticilerin yerini alacaktır.
  • Politika CSP’sinin bir yapılandırma düğümü (node) olan kısıtlı grupları (restricted groups) kullanarak sağlanan yerel yöneticiler, kullanıcı tarafından değiştirildiğinde bile sekiz (8) saat içerisinde yeniden uygulanır. (Windows 10, 1903 sürümü ile beraber gelen özellik)
  • Azure Active Directory’e join olan her cihaz varsayılan olarak yerel yöneticilerin bir parçası olarak iki SID değeri içermektedir. (Global Administrator, Device Administrator)
  • Varsayılan olarak Azure Active Directory’e katılan cihazlarda cihazı Azure Active Directory’e katan kullanıcı cihazda yerel yönetici olacaktır.

Konu ile ilgili bu kadar bilgi verdikten sonra artık ilgili konfigürasyon işlemlerine başlayabiliriz.

Microsoft Endpoint Manager Admin Center ekranında, Devices bölümünde, Configuration Profiles seçeneğini seçip ilerleyelim.


Resim-1

Configuration Profiles ekranında ( + Create Profile) seçeneğini seçip, platform ve profile type bilgilerini girip, Create butonu ile ilgili profile yapısını oluşturabilirsiniz.

Platform: Windows 10 and later

Profile Type: Custom


Resim-2

Custom ekranında Name bölümünde ilgili politikanın adını, Description bölümünde ise politikanız ile ilgili kısa bir tanım bilgisi girebilirsiniz. Next butonu ile ilerleyebilirsiniz.


Resim-3

Configuration Settings ekranında, OMA-URI Settings bölümünde Add butonuna tıklayın. Karşınıza gelen OMA-URI Settings bölümünde;

Name: İlgili politika için geçerli bir isim,

Description: İlgili politika için geçerli bir açıklama,

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Data Type: String

Value:

<groupmembership>

    <accessgroup desc = “Administrators”>

        <member name = “Administrator” />

        <member name = “AzureAD\member1@domain.com” />

        <member name = “AzureAD\member2@domain.com” />

        <member name = “LocalUserName” />

    </accessgroup>

</groupmembership>


Resim-4

Burada girilecek değer XML formatında olmalıdır. Bu XML bir grup üyeliği öğesi içermeli ve bu grup üyeliği öğesi bir erişim grubu öğesi içermelidir. İlgili alanları doldurduktan sonra Next butonunu kullanarak ilerleyebilirsiniz.

Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.


Resim-5

Restricted Groups bölümünü, bir cihazdaki herhangi bir yerel gruba üye eklemek için kullanabilirsiniz.

Bu yapılandırma, aygıtın birincil kullanıcısı yerel yönetici olmadığında en yaygın kullanılan yöntemdir. Hangi nedenle olursa olsun yerel yöneticilerin yapılandırması ayarlandığında, yapılandırma ayarı sekiz (8) saat sonra yenilenecektir.

Faydalı Olması Dileğiyle …

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Azure Active Directory, Local Administrator, Restricted Groups CSP, Global Administrator, Device Administrator, Configuration Profiles, Azure RBAC, Custom OMA-URI Policies

Bu İçeriğe Tepkin Ne Oldu?
  • 1
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Etiketler
Ömer Üçler

Uluslararası Kıbrıs Üniversitesi Bilişim Sistemleri Mühendisliği bölümü mezunuyum. 2010 yılından beri Bilgi Teknoloji sektörünün içerisindeyim. Şu anda Türkiye'nin önde gelen bankalarından birinde Sistem Uzmanı olarak çalışmaktayım.

Yazarın Profili
İlginizi Çekebilir
061419_1316_Office365Hy1.jpg
25/06/2019
Office 365 Hybrid Deployment Nasıl Yapılır Bölüm-2

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir