Intune'da Microsoft Graph için Verilmesi Gereken Scope İzinl...

Herkese Selam,

Microsoft Intune'u yönetirken, Microsoft Graph API'yi kullanarak çeşitli otomasyon ve entegrasyonlar gerçekleştirmek mümkün. Ancak, bu API ile işlem yapabilmek için doğru izinlerin verilmesi gerekmektedir. Bu noktada, hangi izinlerin verilmesi gerektiği konusu tartışmaya açık gibi görünüyor.

Graph API için izinler belirlenirken, en az yetki ilkesine (principle of least privilege) uyarak yalnızca gerekli izinleri vermek lazim Bunu biliyoruz ancak sizlerin fikirlerini merak ediyorum. Sizce bu noktada hangi Scope'lar için izinler verilmeli? Böyle bir platform yöneticisi için hangi yetkiler gereklidir?

Örnek vereyim: DeviceManagementManagedDevices.ReadWrite.All

Bu konu 1 ay önce Fatih Türkoğlu tarafından düzenlendi

merhaba

Microsoft Intune yönetiminde Graph API kullanırken, en düşük yetki ilkesine (principle of least privilege) uymak çok önemlidir. Örneğin:

Cihaz Yönetimi:
Sadece cihaz envanterini görüntüleyecekseniz, DeviceManagementManagedDevices.Read.All yeterli. Cihaz yönetimi veya ayar değişiklikleri yapacaksanız, DeviceManagementManagedDevices.ReadWrite.All gerekebilir.
Yapılandırma ve Politika Yönetimi:
Sadece okuma işlemi için DeviceManagementConfiguration.Read.All, yapılandırma değişiklikleri için ise DeviceManagementConfiguration.ReadWrite.All kullanabilirsiniz.
Uygulama Dağıtımı:
Uygulama envanteri veya dağıtımı için DeviceManagementApps.Read.All (okuma) ve DeviceManagementApps.ReadWrite.All (yazma) izinleri uygundur.
RBAC (Rol Bazlı Erişim Kontrolü):
Eğer rol ve yetki yönetimi yapacaksanız, DeviceManagementRBAC.Read.All veya DeviceManagementRBAC.ReadWrite.All izinleri değerlendirilebilir.

Bu izinler, yapılacak işlemlere göre seçilmeli; yani sadece gerçekten ihtiyaç duyulan izinler verilmeli. Ayrıca, uygulamanızın çalışma şeklini (delegated veya application permission) göz önünde bulundurarak uygun izin tiplerini seçmek önemlidir.

Gönderildi : 25/02/2025 17:47

Fatih Türkoğlu reacted