top of page
Ara

M365'de Yeni Kurulan / Eklenen Endpoint'te Yönetici Erişimini Kısıtlama Ayarı

Güncelleme tarihi: 30 Oca

Default olarak, yeni bir cihaz domaine eklendiğinde, windows cihazı kaydeden kullanıcının hesabını bilgisayara lokal admin olarak ekler. Bu kişisel kullanım için sorun olmayabilir ancak yetkili kullanıcının cihazlarla her şeyi yapabileceğinden kurumsal cihazlar için iyi güvenli değildir. Bu makalede, hem Autopilot hem de Intune kullanarak iki yöntemle yönetici haklarının cihazlardan nasıl kaldırılacağını açıklıyoruz.


Autopilot ile Hazırlanan Cihazlarİlk yöntem, cihazınızı yapılandırmak için Autopilot kullanmaktır. Autopilot dağıtım profilinde, kullanıcının OOBE sırasında yönetici mi yoksa standart kullanıcı haklarına mı sahip olacağını kontrol eden bir seçenek bulunmaktadır. Eğer uç noktayı kuran kullanıcılara yerel yönetici hakları verilmesini istemiyorsanız, bu seçeneğin standart kullanıcı olarak ayarlandığından emin olmanız yeterlidir (Şekil 1’de gösterildiği gibi).


Bu yaklaşımın dezavantajlarından biri, yalnızca Autopilot provisioning sırasında çalışmasıdır. Autopilot mode'a girebilmek için cihazın resetlenmesi gerekir.

Windows, join process sırasında tüm uç noktalardaki local Administrator group'a aşağıdaki iki Entra role'ü ekleyecektir:

  • Microsoft Entra Joined Device Local Administrator

  • Global Administrator

Bu roller, cihazın hangi yöntemle join edildiğinden bağımsız olarak cihazın join anında atanır. Bu nedenle, Autopilot ile provision edilen cihazlar bile bu iki rolü local Administrators group'a ekler.

Bu rollerin amacı, cloud administrators'ın Entra admin center aracılığıyla hangi cloud users'ların local administrator rights'a sahip olacağını kontrol edebilmesini sağlamaktır (Şekil 2’de turuncu kutu içinde gösterildiği gibi).

Bu özelliği kullanabilmek için kullanıcıların Entra P1 veya P2 license'a sahip olması gerekmektedir.


Şekil 2'de yeşil kutu içinde gösterilen bölüm, Entra admin center'da Global Administrator role'ünün local administrator group'a eklenmesini kontrol eden bir seçenek bulunduğunu ve Windows endpoint'i register eden kullanıcının local administrator olarak atanıp atanmayacağını belirleyen bir ayar içerdiğini göstermektedir. Ancak, bu iki ayar şu anda preview aşamasındadır ve davranışları değişebilir.

Bu iki ayar yalnızca endpoint'in Entra ID'ye register olduğu anda uygulanır.

Bununla birlikte, bu ayarlar endpoint'in Entra ID registration süreci tamamlandıktan sonra hangi kullanıcıların local administrator yetkisine sahip olacağını veya kimlerin local Administrators grubunda olmaması gerektiğini kontrol etmez. İşte burada Intune devreye girer.


Lokal Admin Yetkilerinin Intune ile Kontrol Edilmesi

Önceki bölümde belirtildiği gibi, local Administrators group'a kullanıcı ataması OOBE sırasında veya endpoint Entra ID'ye join edildiğinde gerçekleşir. Bu durum bir güvenlik riski yaratır çünkü biri kötü niyetle üyeliği değiştirebilir.

Bu nedenle, Autopilot kullanarak Windows endpoint'leri provision etsek bile, local administrator group'u kontrol etmek için aşağıdaki yaklaşımları uygulamak gereklidir. Bu sadece üyelikleri değiştirmek için değil, aynı zamanda düzenli denetimler yapmak ve yanlışlıkla eklenen kullanıcıları düzeltmek için önemlidir.

Intune ile local Administrators group üyeliğini kontrol etmenin iki yolu vardır.Bu yöntemler, yalnızca local Administrators group için değil, üyelik kontrolü sağlamak istediğiniz herhangi bir grup için kullanılabilir.

Intune Konfigürasyonları İle Kural Ekleme

Local Administrators group üyeliğini kontrol etmek ve yönetilen Windows endpoint üzerinde tam yetkiye sahip olacak kullanıcıları belirlemek için iki seçenek bulunmaktadır:

  1. Restricted Group settings kullanmak

  2. Endpoint Security Profile kullanmak

Bu iki yöntem, local Administrators group üyeliğini yönetmek ve yetkileri sınırlandırmak için etkili çözümler sunar.


Intune Configuration Profile – RestrictedGroup CSP

RestrictedGroup CSP ayarı, GPO kullanarak uç noktaları yönetirken sıkça kullanılan Restricted Group ayarına benzer.

  • Bu politika uygulandığında, hedef grubun üyeliğini, politikada tanımlanan üyelik listesiyle değiştirir.

  • Arayüz üzerinden doğrudan grup üyeliğini tanımlamak mümkün değildir, bunun yerine grup üyeliğini tanımlayan bir XML dosyası oluşturulması gerekir.

  • Daha sonra, Custom CSP configuration profile oluşturularak bu yapılandırma uç noktalara uygulanmalıdır (Şekil 3'te gösterildiği gibi).


Örnek: RestrictedGroup CSP için XML Ayarı

OMA-URI:

./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership

Data Type:

String

İçerik:

OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
Data Type: String
Content:
<groupmembership>
  <accessgroup desc = "Administrators">
    <member name = "admin"/>
    <member name = "AzureAD\admin@xxx.onmicrosoft.com"/>
  </accessgroup>
</groupmembership>

💡 Not:

  • Tüm bulut kullanıcı hesapları için AzureAD\ önekini eklediğinizden emin olun.

  • Alternatif olarak, kullanıcıları tanımlamak için SID belirtebilirsiniz.

🔹 Microsoft’un belgesi, RestrictedGroup CSP yerine LocalUsersAndGroups CSP'nin kullanılmasını öneriyor.🔹 Ancak, RestrictedGroup CSP hala çalışıyor ve on-prem GPO’dan Intune’a geçiş yapan müşterilere yardımcı olurken sıkça kullanılıyor.🔹 Yeni bir politika oluşturuyorsanız, Account Protection policy kullanmanız daha iyi olur.


Intune Configuration Profile – Account Protection Policy

Yerel grup üyeliğini Account Protection policy ile yapılandırmak da mümkündür.

  • Bu ayar, Intune Admin Center’daki Endpoint Security bölümüne taşınmıştır.

  • Arka planda, LocalUsersAndGroups CSP kullanır.

  • RestrictedGroup CSP’ye kıyasla daha temiz ve kullanıcı dostu bir arayüze sahiptir (Şekil 4’te gösterildiği gibi).

  • Belirli bir işlem türü (Ekle/Kaldır/Değiştir) seçme imkanı sunar, RestrictedGroup CSP ise tüm üyelik listesini değiştirir.

💡 Hangi politikayı kullanmalısınız?

  • Microsoft, LocalUsersAndGroups CSP kullanmanızı öneriyor.

  • Ancak, ihtiyacınıza göre en uygun olanı seçmelisiniz.

  • Eğer RestrictedGroups CSP zaten kullanıyorsanız ve mevcut yapılandırmanız buna dayanıyorsa, değiştirmeden kullanmaya devam edebilirsiniz.

  • Yeni bir politika oluşturuyorsanız, Account Protection policy kullanmanız önerilir.


    Intune ile Local Admin Kontrolü Yaparken Dikkat Edilmesi Gerekenler

    RestrictedGroups ve LocalUsersAndGroups CSP’yi aynı makineye atamayın!

    • Microsoft, bu iki politikanın aynı cihazda kullanılmaması gerektiğini özellikle belirtiyor.

    • Aksi takdirde beklenmeyen sonuçlar oluşabilir.

    Intune politikaları “gerçek zamanlı” uygulanmaz!

    • Politika, ilk uygulama veya yapılandırma yenileme sırasında etkinleşir.

    • Bu nedenle, bir değişiklik yapıldıktan sonra etkili olması için belirli bir zaman gecikmesi olabilir.

    • Örneğin, fazla eklenen bir üye, ancak yapılandırma yenilendikten sonra kaldırılır.

    🔹 Yerleşik administrator hesapları bu politikalar ile kaldırılamaz!

    • Microsoft LAPS uygulanmalı ve yerleşik administrator hesap adı değiştirilerek bir politika dağıtılmalıdır.

    • Böylece, yerleşik admin hesaplarının kontrolü daha güvenli bir şekilde sağlanabilir.


  • ÖZETLE


    Local Administrators group'u kontrol ederken Autopilot Deployment Profile ve Intune Configuration Profile'ın birlikte kullanılması önerilir.

    • Bu yaklaşım, uç nokta provision edildikten sonra local Administrators group üyeliğinin değiştirilme olasılığını azaltır.

    • Yeni bir tenant oluştururken bu önerilerin mutlaka yapılandırılması ve düzenli olarak gözden geçirilerek güncel tutulması önemlidir.


Comments

İletişime Geç

bottom of page