Bu yazımda sizlere Microsoft Intune üzerinde rol (role), kapsam (scope) ve kapsam etiketleri (scope tag) kavramlarının ne olduğundan ve rol bazlı erişim senaryolarını nasıl yapılandıracağınızdan bahsedeceğim. Microsoft 365 içerisinde Microsoft Exchange, Sharepoint, Intune ve benzeri hizmetleri yönetmek için Azure Active Directory yönetici rolleri sağlar. Intune yerleşik roller ile beraber gelir. Bu rol tanımları değişmezdir, yani izinleri görünen adları veya açıklamaları düzenleyemezsiniz. Bir rolü özelleştirmek istiyorsanız istediğiniz yerleşik rolü kopyalayabilir ve ardından özel bir rol haline getirebilirsiniz. Intune içerisinde kullanıcılarınıza rol atamak için kullanıcılarınızın bir Intune lisansına sahip olması gerektiğini unutmamalısınız. Tüm Intune rollerini ve RBAC (Rol tabanlı erişim kontrolü) ayarlarını Microsoft Endpoint Manager Admin Center ekranında Tenant Administrator bölümünden Intune roles sekmesi altından görebilirsiniz.
Resim-1
Intune Role Based Access Control (RBAC)’ı uygulayarak Intune içerisinde kimin neyi görebileceğini ve hangi eylemleri gerçekleştirebileceğini yapılandırabilirsiniz. Bir rol yalnızca o rolün ne yapmasına izin verildiğini tanımlar, ancak kullanıcının görmesine veya değiştirmesine izin verilen ilkeleri veya cihazları da sınırlamak isteyebilirsiniz. Bunu kapsam etiketleri (scope tags) ve kapsam grupları (scope groups) atayarak yapılandırabilirsiniz. Kapsam etiketleri (scope tags) kullanarak bir üye tarafından hangi kaynakların görülebileceğini belirtebilirsiniz. Kapsam gruplarını (scope groups) kullanarak bir kullanıcı tarafından hangi kullanıcıların veya cihazların yönetilmesine izin verileceğini tanımlayabilirsiniz.
Varsayılan olarak Intune rolü olmayan bir kullanıcıdan oluşturulan tüm Intune varlıklarına kadar bu yerleşik (Default) kapsam etiketi otomatik olarak atanır. Intune içerisindeki her nesneye en az bir tane kapsam etiketi (scope tag) atanmış olması gerekir. Intune ortamlarında kapsam etiketini oluşturmak için Microsoft Endpoint Manager Admin Center ekranında Tenant Administrator bölümünden Roles sekmesine gelelim. Intune Roles | Scope (Tags) ekranında “+ Create” butonunu kullanarak kapsam etiketi (Scope Tags) yaratabilirsiniz.
Resim-2
Yazımızın içerisinde şimdiye kadar rollerden, kapsam etiketlerinden ve kapsam gruplarından kısaca bahsetmeye çalıştık. Peki Intune içerisinde hangi durumda böyle yapıları kullanmalıyız? Konuyu daha da pekiştirmek ve akılda kalmasını daha kolay hale getirmek için canlı bir senaryo üzerinden gidelim.
Günümüzde birçok kurum bazı dönemlerde şirket birleşmeleri yaşamıştır. Şirket birleşmeleri sonrasında IT ekipleri bu tip senaryolarda kullanıcı ve cihazların yönetilmesi kapsamında bazı ayrımlara gitmek isteyebilir. Örneğin contoso.com domain’i içerisinde çalışan IT yöneticileri sadece constoso.com içerisinde yer alan kullanıcı ve cihazların yönetiminden sorumlu iken fabrikam.com domain’i içerisinde çalışan IT çalışanları da sadece kendi domain’i içerisindeki kaynakları yönetmek isteyebilirler. Bu gibi durumlarda her şirketin IT yöneticileri için ihtiyaclarının karşılanacağı bir rol yapısı oluşturulmalı, her şirketin kendi kaynaklarını kapsayacağı uygun kapsam etiketleri belirlenmeli ve her şirket kapsam grupları kullanılarak hangi kullanıcı veya cihazları yönetmek istediğini belirleyebilir. Bu tür senaryolara ek olarak şirketinizin içerisinde de bu tür yapılandırmalara gidebilirsiniz. Şirketinizin bazı bölümlerinde çalışanları için cihazlar alınmış ve bu cihazların konfigürasyonları sadece belirli bir ekip tarafından gerçekleştirilmesini sağlamak isteyebilirsiniz.
Bu tür Intune senaryolarında rol bazlı erişimler sağlayarak ortamlarınızı daha güvenilir hale getirebilirsiniz. Gerçek dünya senaryoları ile ilgili örnekler verdikten sonra ilk olarak bu gibi durumlarda ne yapabiliriz ona bakalım. İlk olarak şirket birleşmesi senaryosunu baz alarak IT yöneticilerinin şirketiniz içerisinde bulunan kullanıcıların ve cihazlarının yönetilmesi için bir rol yapısına ihtiyacı olacaktır. Kullanıcıların ve sistemlerin yönetimini sağlayacak olan kişiler için isterseniz Intune üzerindeki yerleşik rollerden uygun olanı veya kullanıcıların yönetmesi gereken belirli izinlere sahip özelleştirilmiş rolleri kullanabilirsiniz. Intune ortamında herhangi bir rolü oluşturmak için varolan yerleşik rol üzerinde sağ tıklayarak “Duplicate” seçeneğini seçerek bu şablon yapısını kendi isteğinize uygun olarak özelleştirebilirsiniz.
Resim-3
Bu yöntemi kullanarak rol oluşturmak istemezseniz aynı ekranda bulunan Create butonuna basarak custom role oluşturma işlemine başlayabilirsiniz. Add Custom Role ekranında Basics bölümünde oluşturmak istediğiniz role için bir isim ve kısa bir özet bilgisi girebilirsiniz.
Resim-4
Tüm bu bilgileri doldurduktan sonra Next butonu ile ilerleyelim. Permissions ekranında ilgili kullanıcı grubuna hangi yetkileri vermek istiyorsanız o yetkileri belirleyip Next butonu ile ilerleyebilirsiniz.
Resim-5
Scope Tags bölümünde ise ilgili sistem yöneticilerinin hangi kaynakları görebileceğini belirleyebilirsiniz. Review + Create ekranında ilgili rol oluşturma işlemine ait özet bilgileri görüp rol oluşturma işlemini tamamlayabilirsiniz.
Resim-6
Intune ortamında ilgili cihazlar ve kullanıcılarınızın üzerinde yönetimi sağlayacak kullanıcılar için özelleştirilmiş rol yapısını oluşturduktan sonra o kullanıcıların hangi kaynaklara erişeceğini belirleyeceğiniz kapsam etiketleri oluşturabilirsiniz. Microsoft Endpoint Manager Admin Center ekranında Tenant Administration bölümü içerisinde Roles seçeneğini seçip ilerleyin. Intune roles ekranında Scope (Tags) seçeneğini seçip karşınıza gelen ekranda “+ Create” butonuna tıklayarak kapsam etiketi oluşturma işlemine başlayabilirsiniz.
Resim-7
Create Scope Tag ekranında Basics bölümünde oluşturmak istediğiniz kapsam etiketi adını ve bu etiket ile ilgili özet bir bilgi girebilirsiniz. İlgili tanımları girdikten sonra Next butonu ile ilerleyebilirsiniz. Assignments ekranında sistem yöneticilerinin hangi kaynakları görebileceğini bu bölümden tanımlayabilirsiniz. İlgili kaynak grubunu seçtikten sonra Next butonu ile ilerleyebilirsiniz. Review + Create ekranında yapılan işlemleri özet bilgilerini görüp ilgili kapsam etiketini oluşturmaya başlayabilirsiniz.
Resim-8
Sistem yöneticileriniz için özelleştirilmiş rol yapısının oluşturulması ve Intune ortamında hangi kaynakları görüp hangi kaynakları göremeyeceğinin belirlenmesi için kapsam etiketi tanımlarını tamamladık. Artık sıra geldi oluşturduğunuz rol’ü kapsam etiketi ve kapsam gruplarına atama işlemine. Oluşturduğunuz özelleşmiş rolü seçip sağ bölümde bulunan Assignments seçeneğine tıklayın. Assignments ekranında “ + Assign” butonunu kullanarak atama işlemlerine başlayabilirsiniz.
Resim-9
Add Role Assignment ekranında Basics bölümünde atama işlemleri için bir isim ve bu işlem ile ilgili kısa bir özet bilgisi yazıp Next butonu ile ilerleyebilirsiniz.
Resim-10
Admin Groups ekranında yönetici hakkına sahip olacak kullanıcının sahip olacağı rol’ün atamasını yapabilirsiniz. Yetkili kullanıcı grubunu belirledikten sonra Next butonu ile ilerleyebilirsiniz.
Resim-11
Scope Groups ekranında oluşturulan rol içerisinde yetkilere sahip olan kullanıcıların hangi kaynaklarda erişim yetkilerinin olacağını bu bölümden belirleyebilirsiniz. İlgili kaynakların bulunduğu grubu seçip Next butonu ile ilerleyebilirsiniz.
Resim-12
Scope Tags ekranında yetkilendirme yapacağınız kullanıcıların hangi kaynakları görmesini istiyorsanız o kaynaklara belirlediğiniz kapsam etiketini verip bütün ortamlar içerisinde sadece o kapsam etiketine sahip olan kaynaklara erişmesini sağlayabilirsiniz.
Resim-13
Scope Tag ekranında kapsam etiketlerini belirledikten sonra Next butonu ile ilerleyebilirsiniz. Review + Create ekranında rol atama işlemleri ile ilgili tüm ayarları görebilirsiniz. Tüm bu işlemleri yaptıktan sonra artık elinizde Intune ortamlarınıza ait özelleşmiş bir rolünüz, bu role sahip olan kullanıcıların yetkilendirmeleri ve bu kullanıcıların hangi kaynaklar üzerinde yetkili olabileceğini sağlamış oldunuz. Intune ortamlarında rol bazlı erişim senaryolarını kullanarak granüler yetki dağılımı yapabilirsiniz.
Faydalı Olması Dileğiyle…
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Scope Tags, Scope Groups, Custom Role, Admin Groups, Intune Roles, Tenant Admin, Role Based Access Control (RBAC)
