Intune'da uç nokta güvenliği için hesap koruma ilkesi

  • Makale

Kullanıcılarınızın kimliğini ve hesaplarını korumak ve cihazlarda yerleşik grup üyeliklerini yönetmek için hesap koruması için Intune uç nokta güvenlik ilkelerini kullanın.

Önemli

Temmuz 2024'te, kimlik koruması ve hesap koruması için aşağıdaki Intune profilleri kullanım dışı bırakıldı ve hesap koruması adlı yeni bir birleştirilmiş profille değiştirildi. Bu yeni profil, uç nokta güvenliğinin hesap koruma ilkesi düğümünde bulunur ve kimlik ve hesap koruması için yeni ilke örnekleri oluşturmak için kullanılabilir durumda kalan tek profil şablonudur. Bu yeni profildeki ayarlara ayarlar kataloğu aracılığıyla da erişilebilir.

Oluşturduğunuz aşağıdaki eski profillerin tüm örnekleri kullanılabilir durumda kalır ve bunları düzenleyebilir:

  • Kimlik koruması – daha önce Cihazlar>Yapılandırması>Yeni İlke>Oluştur>Windows 10 ve üzeri>Şablonlar>Kimlik Koruması'ndan kullanılabilir
  • Hesap koruması (Önizleme) – Daha önce Endpoint Security>Account protectionWindows 10 ve üzeri> Hesap korumasında >kullanılabilir ( Önizleme)

Microsoft Intune yönetim merkezinin Uç nokta güvenlik düğümünde Yönet altında Hesap koruması için uç nokta güvenlik ilkelerini bulun.

Hesap koruma profilleri için önkoşullar

  • Hesap koruma profilini desteklemek için cihazların Windows 10 veya Windows 11 çalıştırması gerekir.
  • Yerel kullanıcı grubu üyelik profilini desteklemek için cihazların Windows 10 20H2 veya üzerini veya Windows 11'i çalıştırması gerekir.
  • *Yerel yönetici parolası çözümünü (Windows LAPS) desteklemek için bkz. Windows LAPS için Microsoft Intune desteği önkoşulları.

Rol tabanlı erişim denetimleri (RBAC)

Intune hesap koruma profillerini yönetmek için doğru izin ve hak düzeyini atama yönergeleri için bkz. Assign-role-based-access-controls-for-endpoint-security-policy.

Hesap koruma profilleri

Platform: Windows:

Profil:

  • Hesap koruması – Hesap koruma ilkeleri ayarları, kullanıcı kimlik bilgilerini korumanıza yardımcı olur. Hesap koruma ilkesi, hem cihaz kapsamlı hem de kullanıcı kapsamlı ayarları içeren İş için Windows Hello ayarlarına ve Windows kimlik ve erişim yönetiminin bir parçası olan Credential Guard'a odaklanır.

    • İş İçin Windows Hello , bilgisayarlarda ve mobil cihazlarda parolaları güçlü iki faktörlü kimlik doğrulamasıyla değiştirir.
    • Credential Guard , cihazlarınızla kullandığınız kimlik bilgilerini ve gizli dizileri korumaya yardımcı olur.

    Daha fazla bilgi edinmek için Windows kimlik ve erişim yönetimi belgelerindeki Kimlik ve erişim yönetimi bölümüne bakın.

    Bu profildeki ayarlar Ayarlar kataloğunda da kullanılabilir.

  • Yerel yönetici parolası çözümü (Windows LAPS) - Cihazlarda Windows LAPS'yi yapılandırmak için bu profili kullanın. Windows LAPS, cihaz başına tek bir yerel yönetici hesabının yönetimine olanak tanır. Intune ilkesi, Yönetici Hesabı Adı ilke ayarını kullanarak hangi yerel yönetici hesabına uygulanacağını belirtebilir.

    Windows LAPS'yi yönetmek için Intune kullanma hakkında daha fazla bilgi için bkz:

  • Yerel kullanıcı grubu üyeliği – Windows cihazlarında yerleşik yerel grupların üyelerini eklemek, kaldırmak veya değiştirmek için bu profili kullanın. Örneğin, Yöneticiler yerel grubunun geniş hakları vardır. Yönetici grubunun üyeliğini düzenlemek için bu ilkeyi kullanarak özel olarak tanımlanmış bir üye kümesine kilitleyebilirsiniz.

    Bu profilin kullanımı, Windows cihazlarında yerel grupları yönetme başlıklı aşağıdaki bölümde ayrıntılı olarak açıklanmıştır.

Windows cihazlarında yerel grupları yönetme

Windows 10 20H2 ve üzerini ve Windows 11 cihazlarını çalıştıran cihazlarda yerleşik yerel grupların üyesi olan kullanıcıları yönetmek için Yerel kullanıcı grubu üyelik profilini kullanın.

İpucu

Microsoft Entra gruplarını kullanarak yönetici ayrıcalıklarını yönetme desteği hakkında daha fazla bilgi edinmek için Microsoft Entra belgelerindeki Microsoft Entra gruplarını kullanarak yönetici ayrıcalıklarını yönetme bölümüne bakın.

Profili yapılandırma

Bu profil, cihazlardaki yerel grup üyeliğini İlke CSP - LocalUsersAndGroups aracılığıyla yönetir. CSP belgelerinde yapılandırmaların nasıl uygulandığı hakkında daha fazla ayrıntı ve CSP kullanımı hakkında SSS yer alır.

Bu profili yapılandırdığınızda, Yapılandırma ayarları sayfasında hangi yerleşik yerel grupları değiştirmek istediğinizi, grup eylemini ve kullanıcıları seçme yöntemini yönetmek için birden çok kural oluşturabilirsiniz.

Profili yapılandırmaya yönelik Yapılandırma ayarları sayfasının ekran görüntüsü.

Yapabileceğiniz yapılandırmalar şunlardır:

  • Yerel grup: Açılan listeden bir veya daha fazla grup seçin. Bu grupların tümü, atadığınız kullanıcılara aynı Grup ve kullanıcı eylemini uygular. Tek bir profilde birden fazla yerel grup grubu oluşturabilir ve her yerel grup grubuna farklı eylemler ve kullanıcı grupları atayabilirsiniz.

Not

Yerel grupların listesi, Microsoft Entra'ya katılmış cihazlarda yerel yöneticiler grubunu yönetme belgelerinde belirtildiği gibi oturum açma sırasında değerlendirilmesi garanti edilen altı yerleşik yerel grupla sınırlıdır.

  • Grup ve kullanıcı eylemi: Eylemi seçili gruplara uygulanacak şekilde yapılandırın. Bu eylem, aynı eylem ve yerel hesapları gruplandırma için seçtiğiniz kullanıcılar için geçerlidir. Seçebileceğiniz eylemler şunlardır:

    • Ekle (Güncelleştir): Seçili gruplara üye ekler. İlke tarafından belirtilmeyen kullanıcıların grup üyeliği değiştirilmez.
    • Kaldır (Güncelleştir): Seçili gruplardan üyeleri kaldırın. İlke tarafından belirtilmeyen kullanıcıların grup üyeliği değiştirilmez.
    • Ekle (Değiştir): Seçili grupların üyelerini bu eylem için belirttiğiniz yeni üyelerle değiştirin. Bu seçenek Kısıtlı Grup ile aynı şekilde çalışır ve ilkede belirtilmeyen tüm grup üyeleri kaldırılır.

    Dikkat

    Aynı grup hem Değiştir hem de Güncelleştir eylemiyle yapılandırılmışsa Değiştir eylemi kazanır. Bu bir çakışma olarak kabul edilmez. Bu tür bir yapılandırma, aynı cihaza birden çok ilke dağıttığınızda veya bu CSP de Microsoft Graph kullanımıyla yapılandırıldığında ortaya çıkabilir.

  • Kullanıcı seçim türü: Kullanıcıların nasıl seçileceğini seçin. Seçenekler şunlardır:

    • Kullanıcılar: Microsoft Entra Id'den kullanıcıları ve kullanıcı gruplarını seçin. (Yalnızca Microsoft Entra'ya katılmış cihazlar için desteklenir).
    • El ile: Microsoft Entra kullanıcılarını ve gruplarını kullanıcı adı, etki alanı\kullanıcıadı veya grup güvenlik tanımlayıcısı (SID) ile el ile belirtin. (Microsoft Entra'ya katılmış ve Microsoft Entra hibrite katılmış cihazlar için desteklenir).

  • Seçili kullanıcılar: Kullanıcı seçim türü seçiminize bağlı olarak aşağıdaki seçeneklerden birini kullanın:

    • Kullanıcıları seçin: Microsoft Entra'dan kullanıcıları ve kullanıcı gruplarını seçin.

    • Kullanıcı ekle: Bu seçenek , kullanıcı ekle bölmesini açar ve bu bölmede bir veya daha fazla kullanıcı tanımlayıcısını cihazda göründüklerinde belirtebilirsiniz. Kullanıcıyı güvenlik tanımlayıcısı (SID), Etkialanı\kullanıcıadı veya Kullanıcı adı ile belirtebilirsiniz.

      Intune yönetim merkezindeki Kullanıcı ekle sayfasının ekran görüntüsü.

Şirket içi Active Directory kullanıcılarınızı Active Directory'den Microsoft Entra karmasına katılmış bir cihaz için yerel bir gruba yönetmek istediğiniz senaryolarda El ile seçeneğinin seçilmesi yararlı olabilir. Kullanıcı seçimini en az tercih edilen sırada tanımlamanın desteklenen biçimleri SID, etki alanı\kullanıcı adı veya üyenin kullanıcı adı üzerinden yapılır. Active Directory değerleri karma birleştirilmiş cihazlar için, Microsoft Entra Id değerleri ise Microsoft Entra katılımı için kullanılmalıdır. Microsoft Entra grubu SID'leri Gruplar için Graph API'si kullanılarak elde edilebilir.

Çakışmalar

İlkeler grup üyeliği için çakışma oluşturursa, her ilkeden çakışan ayarlar cihaza gönderilmez. Bunun yerine, bu ilkeler için çakışma Microsoft Intune yönetim merkezinde bildirilir. Çakışmayı çözmek için bir veya daha fazla ilkeyi yeniden yapılandırın.

Raporlama

Cihazlar ilkeyi iade edip uygularken, yönetim merkezi cihazların ve kullanıcıların durumunu başarılı veya hatalı olarak görüntüler.

İlke birden çok kural içerebileceğinden aşağıdaki noktaları göz önünde bulundurun:

  • Cihazlar için ilke işlenirken, ayar başına durum görünümü kural grubunun durumunu tek bir ayarmış gibi görüntüler.
  • İlkedeki hatayla sonuçlanan her kural atlanır ve cihazlara gönderilmez.
  • Başarılı olan her kural uygulanacak cihazlara gönderilir.

Sonraki adımlar

Uç nokta güvenlik ilkelerini yapılandırma