Microsoft Intune'da koruma ve yapılandırma düzeyleri

  • Makale

Microsoft Intune, yöneticilere kullanıcılara, cihazlara ve uygulamalara uygulanan ilkeler oluşturma olanağı sağlar. Bu ilkeler en düşük düzeyden daha güvenli veya denetimli ilkelere kadar değişebilir. Bu ilkeler kuruluşun ihtiyaçlarına, kullanılan cihazlara ve cihazların ne yapacağına bağlıdır.

İlke oluşturmaya hazır olduğunuzda, farklı koruma ve yapılandırma düzeylerini kullanabilirsiniz:

Ortamınız ve iş gereksinimleriniz farklı düzeylerde tanımlanmış olabilir. Bu düzeyleri başlangıç noktası olarak kullanabilir ve ardından gereksinimlerinize uyacak şekilde özelleştirebilirsiniz. Örneğin, düzey 1'deki cihaz yapılandırma ilkelerini ve düzey 3'teki uygulama ilkelerini kullanabilirsiniz.

Kuruluşunuz için uygun düzeyleri seçin. Yanlış bir seçim yok.

Düzey 1 - Minimum koruma ve yapılandırma

Bu düzey, her kuruluşun en azından sahip olması gereken ilkeleri içerir. Bu düzeydeki ilkeler, güvenlik özelliklerinin en düşük temelini oluşturur ve kullanıcılara işlerini yapmak için ihtiyaç duydukları kaynaklara erişim verir.

Uygulamalar (düzey 1)

Bu düzey, makul miktarda veri koruma ve erişim gereksinimlerini zorunlu tutar ve son kullanıcı kesintisini en aza indirir. Bu düzey, uygulamaların temel şifreleme & bir PIN ile korunmasını sağlar ve seçmeli temizleme işlemlerini çalıştırır. Android cihazlar için bu düzey Android cihaz kanıtlamasını doğrular. Bu düzey, Exchange Online posta kutusu ilkelerinde benzer veri koruma denetimi sağlayan bir giriş düzeyi yapılandırmasıdır. Ayrıca BT'ye ve son kullanıcılara uygulama koruma ilkelerini tanıtır.

Bu düzeyde Microsoft, uygulamalar için aşağıdaki korumayı ve erişimi yapılandırmanızı önerir:

  • Temel veri koruma gereksinimlerini etkinleştirme

    • Uygulama temel veri aktarımına izin ver
    • Temel uygulama şifrelemesini zorunlu kılma
    • Temel erişim işlevselliğine izin ver

  • Temel erişim gereksinimlerini etkinleştirme

    • PIN, yüz kimliği ve biyometrik erişim gerektirme
    • Temel erişim ayarlarını desteklemeyi zorunlu kılma

  • Temel koşullu uygulama başlatmayı etkinleştirme

    • Uygulama temel erişim girişimlerini yapılandırma
    • Jailbreak uygulanmış/kök erişim izni verilmiş cihazlara göre uygulama erişimini engelleme
    • Cihazların temel bütünlüğüne göre uygulama erişimini kısıtlama

Daha fazla bilgi için Düzey 1 temel uygulama koruması'na gidin.

Uyumluluk (düzey 1)

Bu düzeyde, cihaz uyumluluğu tüm cihazlar için geçerli olan kiracı genelindeki ayarları yapılandırıyor. Ayrıca temel uyumluluk gereksinimleri kümesini zorunlu kılmak için tüm cihazlara en düşük uyumluluk ilkelerini dağıtırsınız.

Microsoft, cihazların kuruluşunuzun kaynaklarına erişmesine izin vermeden önce bu yapılandırmaların yerinde olmasını önerir. Düzey 1 cihaz uyumluluğu şunları içerir:

  • Uyumluluk ilkesi ayarları , Intune uyumluluk hizmetinin cihazlarınızla nasıl çalıştığını etkileyen kiracı genelindeki birkaç ayardır.

  • Platforma özgü uyumluluk ilkeleri , platformlar arasında ortak temalara yönelik ayarları içerir. Gerçek ayar adı ve uygulaması farklı platformlara göre farklılık gösterebilir:

    • Virüsten koruma, casus yazılımdan koruma ve kötü amaçlı yazılımdan koruma gerektirme (yalnızca Windows)
    • İşletim sistemi sürümü
      • En fazla işletim sistemi
      • En düşük işletim sistemi
      • İkincil ve Ana derleme sürümleri
      • İşletim sistemi düzeltme eki düzeyleri
    • Parola yapılandırmaları
      • Kilit ekranını etkinlik dışı kalma süresinden sonra zorlama, kilidini açmak için parola veya pin gerektirme
      • Harf, sayı ve simge birleşimleriyle karmaşık parolalar gerektirme
      • Cihazların kilidini açmak için parola veya PIN iste
      • En düşük parola uzunluğu gerektir

  • Uyumsuzluk eylemleri, platforma özgü her ilkeye otomatik olarak eklenir. Bu eylemler, yapılandırdığınız bir veya daha fazla zaman sıralı eylemdir. İlkenizin uyumluluk gereksinimlerini karşılayemeyen cihazlar için geçerlidir. Varsayılan olarak, bir cihazı uyumsuz olarak işaretlemek, her ilkeyle birlikte gelen hemen bir eylemdir.

Daha fazla bilgi için Düzey 1 - Minimum cihaz uyumluluğu'na gidin.

Cihaz yapılandırması (düzey 1)

Bu düzeyde profiller, güvenlik ve kaynak erişimine odaklanan ayarları içerir. Özellikle, bu düzeyde, Microsoft aşağıdaki özellikleri yapılandırmanızı önerir:

  • Aşağıdakileri içeren temel güvenliği etkinleştirin:

    • Virüsten koruma ve tarama
    • Tehdit algılama ve yanıt
    • Güvenlik Duvarı
    • Yazılım güncelleştirmeleri
    • Güçlü PIN ve parola ilkesi

  • Kullanıcılara ağa erişim izni verin:

    • E-posta
    • Uzaktan erişim için VPN
    • Şirket içi erişim için Wi-Fi

Daha fazla bilgi için 4. Adım - Cihazların güvenliğini sağlamak ve kuruluş kaynaklarına bağlantılar oluşturmak için Cihaz yapılandırma profilleri oluşturma bölümüne gidin.

Düzey 2 - Gelişmiş koruma ve yapılandırma

Bu düzey, daha fazla güvenlik eklemek ve mobil cihaz yönetiminizi genişletmek için en düşük ilke kümesine göre genişler. Bu düzeydeki ilkeler daha fazla özelliğin güvenliğini sağlar, kimlik koruması sağlar ve daha fazla cihaz ayarını yönetir.

Düzey 1'de yapılandırdığınız ayarları eklemek için bu düzeydeki ayarları kullanın.

Uygulamalar (düzey 2)

Bu düzey, kullanıcıların daha hassas bilgilere eriştiği cihazlar için standart bir uygulama koruma düzeyi önerir. Bu düzey, uygulama koruma ilkesi veri sızıntısını önleme mekanizmalarını ve en düşük işletim sistemi gereksinimlerini tanıtır. Bu düzey, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerli olan yapılandırmadır.

Microsoft, Düzey 1 ayarlarına ek olarak aşağıdaki korumayı ve uygulamalar için erişimi yapılandırmanızı önerir:

  • Gelişmiş veri koruma gereksinimlerini etkinleştirme

    • Kuruluşla ilgili verileri aktarma
    • Seçili uygulamaların veri aktarımı gereksinimlerini muaf tutma (iOS/iPadOS)
    • Telekomünikasyon verilerini aktarma
    • Uygulamalar arasında kesme, kopyalama ve yapıştırmayı kısıtlama
    • Ekran yakalamayı engelle (Android)

  • Gelişmiş koşullu uygulama başlatmayı etkinleştirme

    • Uygulama hesaplarını devre dışı bırakmayı engelleme
    • En düşük cihaz işletim sistemi gereksinimlerini zorunlu kılma
    • En düşük düzeltme eki sürümünü gerektir (Android)
    • Yürütme bütünlüğü kararı değerlendirme türünü gerektir (Android)
    • Cihaz kilidi gerektir (Android)
    • Cihazın daha yüksek bütünlüğüne bağlı olarak uygulama erişimine izin verme

Daha fazla bilgi için Düzey 2 gelişmiş uygulama koruması'na gidin.

Uyumluluk (düzey 2)

Bu düzeyde Microsoft, uyumluluk ilkelerinize daha ayrıntılı seçenekler eklenmesini önerir. Bu düzeydeki ayarların çoğu, benzer sonuçlar veren platforma özgü adlara sahiptir. Microsoft'un kullanılabilir olduğunda kullanmanızı önerdiği kategoriler veya ayar türleri şunlardır:

  • Uygulamalar

    • Android için Google Play gibi cihazların uygulamaları nereden edineceğini yönetme
    • Belirli konumlardan uygulamalara izin ver
    • Bilinmeyen kaynaklardan gelen uygulamaları engelleme

  • Güvenlik duvarı ayarları

    • Güvenlik duvarı ayarları (macOS, Windows)

  • Şifreleme

    • Veri depolamanın şifrelenmesini gerektir
    • BitLocker (Windows)
    • FileVault (macOS)

  • Parolalar

    • Parola süre sonu ve yeniden kullanma

  • Sistem düzeyinde dosya ve önyükleme koruması

    • USB hata ayıklamasını engelleme (Android)
    • Kök erişim izni veya jailbreak uygulanmış cihazları engelleme (Android, iOS)
    • Sistem bütünlüğü koruması gerektir (macOS)
    • Kod bütünlüğü gerektir (Windows)
    • Güvenli önyüklemenin etkinleştirilmesini gerektir (Windows)
    • Güvenilen Platform Modülü (Windows)

Daha fazla bilgi için Düzey 2 - Gelişmiş cihaz uyumluluk ayarları'na gidin.

Cihaz yapılandırması (düzey 2)

Bu düzeyde, 1. düzeyde yapılandırdığınız ayarları ve özellikleri genişletirsiniz. Microsoft şunları sağlayan ilkeler oluşturmanızı önerir:

  • Cihazlarınızda disk şifrelemesini, güvenli önyüklemeyi ve Güvenilir Platform Modülünü (TPM) etkinleştirerek başka bir güvenlik katmanı ekleyin.
  • PIN'lerinizi & parolalarınızın süresinin dolmasına ve parolaların yeniden kullanılıp kullanılamayabileceğini/ne zaman yeniden kullanılabilmesini yönetecek şekilde yapılandırın.
  • Daha ayrıntılı cihaz özellikleri, ayarları ve davranışları yapılandırın.
  • Intune'da herhangi bir şirket içi Grup İlkesi Nesnesi (GPO) olup olmadığını belirleyin.

Bu düzeydeki cihaz yapılandırma ilkeleri hakkında daha ayrıntılı bilgi için Düzey 2 - Gelişmiş koruma ve yapılandırma'ya gidin.

Düzey 3 - Yüksek koruma ve yapılandırma

Bu düzey kurumsal düzeyde ilkeler içerir ve kuruluşunuzda farklı yöneticiler içerebilir. Bu ilkeler parolasız kimlik doğrulamasına geçiş yapmaya, daha fazla güvenliğe sahip ve özelleştirilmiş cihazları yapılandırmaya devam ediyor.

Düzey 1 ve 2'de yapılandırdığınız ayarları eklemek için bu düzeydeki ayarları kullanın.

Uygulamalar (düzey 3)

Bu düzey, kullanıcıların daha hassas bilgilere eriştiği cihazlar için standart bir uygulama koruma düzeyi önerir. Bu düzey, Mobile Threat Defense ile gelişmiş veri koruma, gelişmiş PIN yapılandırması ve uygulama koruma ilkesi sağlar. Bu yapılandırma, yüksek riskli verilere erişen kullanıcılara yöneliktir.

Microsoft, düzey 1 ve 2 ayarlarına ek olarak, uygulamalar için aşağıdaki korumayı ve erişimi yapılandırmanızı önerir:

  • Yüksek veri koruma gereksinimlerini etkinleştirme

    • Telekomünikasyon verilerini aktarırken yüksek koruma
    • Yalnızca ilkeyle yönetilen uygulamalardan veri alma
    • Kuruluş belgelerine veri açmayı engelleme
    • Kullanıcıların seçili hizmetlerden veri açmasına izin ver
    • İstenmeyen iş ortağı veya Microsoft dışı klavyeleri engelleme
    • Onaylı klavye gerektir/seç (Android)
    • Kuruluş verilerini yazdırmayı engelleme

  • Yüksek erişim gereksinimlerini etkinleştirme

    • Basit PIN'i engelleme ve belirli bir minimum PIN uzunluğu gerektirme
    • Gün sayısından sonra PIN sıfırlaması gerektir
    • Sınıf 3 Biyometri gerektirme (Android 9.0+)
    • Biyometrik güncelleştirmelerden sonra PIN ile Biyometrinin geçersiz kılınma gereksinimi (Android)

  • Yüksek koşullu uygulama başlatmayı etkinleştirme

    • Cihaz kilidi gerektir (Android)
    • İzin verilen en yüksek tehdit düzeyini gerektir
    • En Fazla İşletim Sistemi sürümü gerektir

Daha fazla bilgi için Düzey 3 yüksek uygulama koruması'na gidin.

Uyumluluk (düzey 3)

Bu düzeyde, aşağıdaki özellikler aracılığıyla Intune'un yerleşik uyumluluk özelliklerini genişletebilirsiniz:

  • Mobile Threat Defense (MTD) iş ortağından verileri tümleştirme

    • Bir MTD iş ortağıyla uyumluluk ilkeleriniz, cihazların ilgili iş ortağı tarafından belirlendiği şekilde cihaz tehdit düzeyinde veya makine risk puanı altında olmasını gerektirebilir.

  • Intune ile Microsoft dışı bir uyumluluk iş ortağı kullanın.

  • Intune kullanıcı arabiriminde bulunmayan ayarlar için ilkelerinize özel uyumluluk ayarları eklemek için betikleri kullanın. (Windows, Linux)

  • Kuruluşunuzun kaynaklarına erişimi geçit olarak kullanmak için Koşullu Erişim ilkeleriyle uyumluluk ilkesi verilerini kullanın.

Daha fazla bilgi için Düzey 3 - Gelişmiş cihaz uyumluluk yapılandırmaları'na gidin.

Cihaz yapılandırması (düzey 3)

Bu düzey, kurumsal düzeydeki hizmetlere ve özelliklere odaklanır ve bir altyapı yatırımı gerektirebilir. Bu düzeyde, aşağıdakileri sağlayan ilkeler oluşturabilirsiniz:

  • Sertifika tabanlı kimlik doğrulaması, uygulamalar için çoklu oturum açma, çok faktörlü kimlik doğrulaması (MFA) ve Microsoft Tunnel VPN ağ geçidi gibi kuruluşunuzdaki diğer hizmetler için parolasız kimlik doğrulamasını genişletin.

  • Intune'a kayıtlı olmayan iOS ve Android cihazlarına Tünel desteğini genişleten Mobil Uygulama Yönetimi için Microsoft Tunnel (MAM tüneli) dağıtarak Microsoft Tunnel'ı genişletin. MAM tüneli bir Intune eklentisi olarak kullanılabilir.

    Bilgi için Intune Paketi eklenti özelliklerini kullanma bölümüne gidin.

  • Windows üretici yazılımı katmanına uygulanan cihaz özelliklerini yapılandırın. Android ortak ölçüt modunu kullanın.

  • Yönetilen Windows cihazlarınızda yerleşik yerel yönetici hesabının güvenliğini sağlamaya yardımcı olmak için Windows Yerel Yönetici Parola Çözümü (LAPS) için Intune ilkesini kullanın.

    Bilgi için Windows LAPS için Intune desteği'ne gidin.

  • Endpoint Privilege Management (EPM) kullanarak Windows cihazlarını koruma. EPM, kuruluşunuzun kullanıcılarını standart kullanıcılar olarak (yönetici hakları olmadan) çalıştırmanıza yardımcı olur ve aynı kullanıcıların yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlamasına olanak tanır.

    EPM, Intune eklentisi olarak kullanılabilir. Bilgi için Intune Paketi eklenti özelliklerini kullanma bölümüne gidin.

  • Bilgi noktaları ve paylaşılan cihazlar gibi özel cihazları yapılandırın.

  • Gerekirse betikleri dağıtın.

Bu düzeydeki cihaz yapılandırma ilkeleri hakkında daha ayrıntılı bilgi için Düzey 3 - Yüksek koruma ve yapılandırma'ya gidin.

İlgili makale

Oluşturabileceğiniz tüm cihaz yapılandırma profillerinin tam listesi için Microsoft Intune'da cihaz profillerini kullanarak cihazlarınızda özellikleri ve ayarları uygulama bölümüne gidin.