1. Ana Sayfa
  2. Cloud Hizmetleri (Bulut Bilişim)
  3. Microsoft Intune Ortamlarında Yerel Yönetici Gruplarının Yönetilmesi

Microsoft Intune Ortamlarında Yerel Yönetici Gruplarının Yönetilmesi

Bu yazımda sizlere kısıtlı grupları kullanarak, Windows 10 cihazlarınızın içerisindeki yerel yöneticileri MDM aracılığıyla (Local Administrators) nasıl yapılandıracağınız hakkında bilgi vermeye çalışacağım.

Azure Active Directory’e join cihazlarda yerel yöneticilerden bahsederken konu genellikle genel (global) yönetici ve cihaz (device) yöneticisi rolü ile ilgilidir. Bu roller Azure Active Directory’e katılan cihazlarda varsayılan olarak yerel yöneticidir. (Local Administrator)

Kullanıcılar, diğer herhangi bir yönetici gibi Global Administrator rolüne eklenebilir. Device Administrator rolüne kullanıcı ekleme işlemi ise farklı bir konfigürasyondur. Bu iki rolün ortak bir yönü, Azure Active Directory’e join olan tüm cihazlar için geçerli olmasıdır. Kullanıcılar, Azure Active Directory’e katılmış olan cihazlarda ek yerel yöneticiler olarak yapılandırılarak eklenebilirler. Genellikle Azure Active Directory’e katılan Microsoft Intune tarafından yönetilen cihazlarda yerel yöneticiyi yönetmek için başka bir seçenek de kısıtlı grupları kullanmaktır. Bunun için Policy CSP’deki Restricted bölümü kullanılmalıdır. Bu, yerel yöneticileri eklemek için (veya mevcut herhangi bir yerel grubu ayarlamak için) kullanılabilen tek bir düğümü (node) içerir. Yerel yöneticileri yönetirken aşağıdaki hususları gözden geçirmelisiniz:

  • Kısıtlı grupları kullanarak sağlanan yerel yöneticiler mevcut yerel yöneticilerin yerini alacaktır.
  • CSP’sinin bir yapılandırma düğümü (node) olan kısıtlı grupları (restricted groups) kullanarak sağlanan yerel yöneticiler, kullanıcı tarafından değiştirildiğinde bile sekiz (8) saat içerisinde yeniden uygulanır. (Windows 10, 1903 sürümü ile beraber gelen özellik)
  • Azure Active Directory’e join olan her cihaz varsayılan olarak yerel yöneticilerin bir parçası olarak iki SID değeri içermektedir. (Global Administrator, Device Administrator)
  • Varsayılan olarak Azure Active Directory’e katılan cihazlarda cihazı Azure Active Directory’e katan kullanıcı cihazda yerel yönetici olacaktır.

Konu ile ilgili bu kadar bilgi verdikten sonra artık ilgili konfigürasyon işlemlerine başlayabiliriz.

Microsoft Admin Center ekranında, Devices bölümünde, Configuration Profiles seçeneğini seçip ilerleyelim.


-1

Configuration Profiles ekranında ( + Create Profile) seçeneğini seçip, platform ve profile type bilgilerini girip, Create butonu ile ilgili profile yapısını oluşturabilirsiniz.

Platform: Windows 10 and later

Profile Type: Custom


Resim-2

Custom ekranında Name bölümünde ilgili politikanın adını, Description bölümünde ise politikanız ile ilgili kısa bir tanım bilgisi girebilirsiniz. Next butonu ile ilerleyebilirsiniz.


Resim-3

Configuration Settings ekranında, OMA-URI Settings bölümünde Add butonuna tıklayın. Karşınıza gelen OMA-URI Settings bölümünde;

Name: İlgili politika için geçerli bir isim,

Description: İlgili politika için geçerli bir açıklama,

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Data Type: String

Value:

<groupmembership>

    <accessgroup desc = “Administrators”>

        <member name = “Administrator” />

        <member name = “AzureAD\member1@domain.com” />

        <member name = “AzureAD\member2@domain.com” />

        <member name = “LocalUserName” />

    </accessgroup>

</groupmembership>


Resim-4

Burada girilecek değer XML formatında olmalıdır. Bu XML bir grup üyeliği öğesi içermeli ve bu grup üyeliği öğesi bir erişim grubu öğesi içermelidir. İlgili alanları doldurduktan sonra Next butonunu kullanarak ilerleyebilirsiniz.

Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.


Resim-5

Restricted Groups bölümünü, bir cihazdaki herhangi bir yerel gruba üye eklemek için kullanabilirsiniz.

Bu yapılandırma, aygıtın birincil kullanıcısı yerel yönetici olmadığında en yaygın kullanılan yöntemdir. Hangi nedenle olursa olsun yerel yöneticilerin yapılandırması ayarlandığında, yapılandırma ayarı sekiz (8) saat sonra yenilenecektir.

Faydalı Olması Dileğiyle …

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Azure Active Directory, Local Administrator, , Global Administrator, Device Administrator, Configuration Profiles, Azure RBAC, Custom OMA-URI Policies

Yorum Yap

Yazar Hakkında

Uluslararası Kıbrıs Üniversitesi Bilişim Sistemleri Mühendisliği bölümü mezunuyum. 2010 yılından beri Bilgi Teknoloji sektörünün içerisindeyim. Şu anda Türkiye'nin önde gelen bankalarından birinde Sistem Uzmanı olarak çalışmaktayım.

Yorum Yap