Microsoft Intune ve Microsoft Entra Koşullu Erişim ile Windows uygulamaları için cihaz güvenliği uyumluluğu gereksinimini zorunlu kılın.

Kullanıcıların cihazlarının Azure Sanal Masaüstü, Windows 365 ve Microsoft Dev Box'a bağlanabilmesi için önce belirli güvenlik gereksinimlerinizi karşılamasını istemek için Microsoft Intune ve Microsoft Entra Koşullu Erişim'in bir birleşimini kullanabilirsiniz. Bu yaklaşım, aşağıdaki senaryolarda Windows Uygulaması için güvenlik gereksinimlerini zorunlu kılmanızı sağlar:

Cihaz platformu	Intune cihaz yönetimi
iOS/iPadOS	Yönetilen veya yönetilmeyen
Android¹	Yönetilen veya yönetilmeyen
Web tarayıcısı (yalnızca Windows'ta Microsoft Edge)	Yalnızca yönetilmeyen

1. Chrome OS desteği içermez.

Yönetilen ve yönetilmeyen cihazlarla uygulama koruma ilkelerini kullanma hakkında bilgi için bkz. Cihaz yönetimi durumuna göre uygulama koruma ilkelerini hedefleme.

Uygulayabileceğiniz ilke ayarlarından bazıları PIN gerektirmeyi, belirli bir işletim sistemi sürümünü zorunlu kılmayı, üçüncü taraf klavyeleri engellemeyi ve yerel istemci cihazlarında diğer uygulamalar arasında kesme, kopyalama ve yapıştırma işlemlerini kısıtlamayı içerir. Kullanılabilir ayarların tam listesi için bkz . iOS uygulama koruma ilkesi ayarlarında koşullu başlatma ve Android uygulama koruma ilkesi ayarlarında koşullu başlatma.

Güvenlik gereksinimlerini ayarladıktan sonra, iOS/iPadOS ve Android cihazlarda kamera, mikrofon, depolama ve pano gibi yerel kaynaklarının uzak oturuma yönlendirilip yönlendirilmeyeceğini de yönetebilirsiniz. Yerel cihaz yeniden yönlendirme ayarlarını yönetmek için yerel cihaz güvenliği uyumluluğunu zorunlu kılması önkoşuldur. Yerel cihaz yeniden yönlendirme ayarlarını yönetme hakkında daha fazla bilgi edinmek için bkz. Microsoft Intune ile yerel cihaz yeniden yönlendirme ayarlarını yönetme.

Üst düzeyde yapılandırılan iki alan vardır:

• Intune uygulama koruma ilkesi: Uygulamanın ve yerel istemci cihazının karşılaması gereken güvenlik gereksinimlerini belirtmek için kullanılır. Belirli ölçütlere göre kullanıcıları hedeflemek için filtreleri kullanabilirsiniz.

• Koşullu Erişim ilkesi: Azure Sanal Masaüstü ve Windows 365'e erişimi yalnızca uygulama koruma ilkelerinde ayarlanan ölçütler karşılandığında denetlemek için kullanılır.

Önkoşullar

Intune ve Koşullu Erişim kullanarak yerel istemci cihaz güvenliği uyumluluğu gerektirebilmeniz için önce şunlar gerekir:

• Oturum konakları veya Bulut bilgisayarları içeren mevcut bir konak havuzu.

• İlkelerin uygulanacağı kullanıcıları içeren en az bir Microsoft Entra ID güvenlik grubu.

• Yalnızca yönetilen cihazlar için, kullanmak istediğiniz aşağıdaki uygulamaların her birini Intune'a eklemeniz gerekir:

  • iOS/iPadOS üzerinde Windows Uygulaması için bkz. Microsoft Intune'a iOS mağaza uygulamaları ekleme.
  • Windows üzerinde Microsoft Edge için bkz. Windows 10/11 için Microsoft Edge'i Microsoft Intune'a ekleme.

• Windows Uygulamasının aşağıdaki sürümlerinden birini çalıştıran veya Microsoft Edge'de Windows Uygulaması kullanan bir yerel istemci cihazı:

  • Windows Uygulaması:

    • iOS/iPadOS: 11.1.1 veya üzeri.
    • Android 1.0.0.161 veya üzeri.

  • Windows üzerinde Microsoft Edge: 134.0.3124.51 veya üzeri.

• Ayrıca yerel istemci cihazında aşağıdakilerin en son sürümüne ihtiyacınız vardır:

  • iOS/iPadOS: Microsoft Authenticator uygulaması
  • Android: Kişisel cihazlar için Windows Uygulaması ile aynı profile yüklenmiş Şirket Portalı uygulaması. İki uygulamanın da ya kişisel profilde ya da iş profilinde bulunması gerekir; her profilde olmamalıdır.

• Uygulama koruma ilkelerini ve Koşullu Erişim ilkelerini yapılandırmak için daha fazla Intune önkoşulu vardır. Daha fazla bilgi için bkz:

  • Uygulama koruma ilkeleri oluşturma ve atama.
  • Intune ile uygulama tabanlı Koşullu Erişim ilkelerini kullanın.

Filtre oluşturma

Filtre oluşturarak, ilke ayarlarını yalnızca filtrede ayarlanan ölçütler eşleştiğinde uygulayarak ilkenin atama kapsamını daraltabilirsiniz. Windows Uygulaması ile aşağıdaki filtreleri kullanabilirsiniz:

• iOS/iPadOS:

  • Yönetilmeyen ve yönetilen cihazlar için yönetilen uygulamalar filtresi oluşturun.
  • Yönetilen cihazlar için yönetilen cihazlar filtresi oluşturun.

• Android:

  • Yönetilmeyen ve yönetilen cihazlar için yönetilen uygulamalar filtresi oluşturun.

• Windows: Filtreler Windows üzerinde Microsoft Edge için geçerli değildir.

İlkenin atama kapsamını daraltmak için filtreleri kullanın. Filtre oluşturmak isteğe bağlıdır; filtre yapılandırmazsanız, yönetilen veya yönetilmeyen bir cihazda olmasına bakılmaksızın, aynı cihaz güvenlik uyumluluğu ve cihaz yeniden yönlendirme ayarları bir kullanıcıya uygulanır. Filtrede ne belirttiğiniz gereksinimlerinize bağlıdır.

Filtreler ve bunların nasıl oluşturulacağı hakkında bilgi edinmek için bkz. Microsoft Intune ve Yönetilen uygulama filtresi özelliklerinde uygulamalarınızı, ilkelerinizi ve profillerinizi atarken filtreleri kullanma.

Uygulama koruma ilkesi oluşturma

Uygulama koruma ilkeleri, uygulamaların ve cihazların verilere nasıl erişip veri paylaştığını denetlemenize olanak tanır. Windows üzerinde iOS/iPadOS, Android ve Microsoft Edge için ayrı bir uygulama koruma ilkesi oluşturmanız gerekir. Yönetilen ve yönetilmeyen cihazlara göre ilke hedeflemeyi yapılandıramadığınız için hem iOS/iPadOS hem de Android'i aynı uygulama koruma ilkesinde yapılandırmayın.

İlgili sekmeyi seçin.

iOS/iPadOS

Uygulama koruma ilkesi oluşturmak ve uygulamak için Uygulama koruma ilkeleri oluşturma ve atama bölümündeki adımları izleyin ve aşağıdaki ayarları kullanın:

• iOS/iPadOS için bir uygulama koruma ilkesi oluşturun.

• Uygulamalar sekmesinde Genel uygulamaları seç'i seçin, Windows Uygulaması'nı arayın ve seçin, ardından Seç'i seçin.

• Veri koruma sekmesinde, Yalnızca aşağıdaki ayarlar Windows Uygulaması ile ilgilidir. Diğer ayarlar, Windows Uygulaması uygulamadaki verilerle değil oturum konağıyla etkileşimde bulunduğundan geçerli değildir. Mobil cihazlarda onaylanmamış klavyeler, tuş vuruşlarını kaydetme ve hırsızlık kaynağıdır.

  Aşağıdaki ayarları yapılandırabilirsiniz:

  Parametre	Değer/Açıklama
  Veri aktarımı
  Kuruluş verilerini diğer uygulamalara gönderme	Ekran yakalama korumasını etkinleştirmek için Yok olarak ayarlayın. Azure Sanal Masaüstü'nde ekran yakalama koruması hakkında daha fazla bilgi için bkz. Azure Sanal Masaüstü'nde ekran yakalama korumasını etkinleştirme.
  Diğer uygulamalar arasında kesme, kopyalama ve yapıştırma işlemlerini kısıtlama	Windows Uygulaması ile yerel cihaz arasında pano yeniden yönlendirmesini devre dışı bırakmak için Engellendi olarak ayarlayın. Uygulama yapılandırma ilkesinde pano yeniden yönlendirmesini devre dışı bırakarak kullanın.
  Üçüncü taraf klavyeler	Üçüncü taraf klavyeleri engellemek için Engellendi olarak ayarlayın.

• Koşullu başlatma sekmesinde aşağıdaki koşulları eklemenizi öneririz:

  Koşul	Koşul türü	Değer	Eylem
  En düşük uygulama sürümü	Uygulama koşulu	Gereksinimlerinize göre. iOS/iPadOS'ta Windows Uygulaması için bir sürüm numarası girin	Erişimi engelle
  En düşük işletim sistemi sürümü	Cihaz koşulu	Gereksinimlerinize göre.	Erişimi engelle
  Birincil MTD hizmeti	Cihaz koşulu	Gereksinimlerinize göre. MTD bağlayıcınızın ayarlanması gerekir. Microsoft Defender for Endpoint için Intune'da Microsoft Defender for Endpoint'i yapılandırın.	Erişimi engelle
  İzin verilen maksimum cihaz tehdit düzeyi	Cihaz koşulu	Güvenli	Erişimi engelle

  Kullanılabilir ayarlar hakkında daha fazla bilgi için bkz. iOS uygulama koruma ilkesi ayarlarında koşullu başlatma.

• Atamalar sekmesinde, ilkeyi uygulamak istediğiniz kullanıcıları içeren güvenlik grubunuz için atayın. İlkenin geçerli olması için ilkeyi bir kullanıcı grubuna uygulamanız gerekir. Her grup için, isteğe bağlı olarak uygulama yapılandırma ilkesi hedeflemesinde daha belirgin olacak bir filtre seçebilirsiniz.

Android

Uygulama koruma ilkesi oluşturmak ve uygulamak için Uygulama koruma ilkeleri oluşturma ve atama bölümündeki adımları izleyin ve aşağıdaki ayarları kullanın:

• Android için bir uygulama koruma ilkesi oluşturun.

• Uygulamalar sekmesinde Genel uygulamaları seç'i seçin, Windows Uygulaması'nı arayın ve seçin, ardından Seç'i seçin.

• Veri koruma sekmesinde, Yalnızca aşağıdaki ayarlar Windows Uygulaması ile ilgilidir. Diğer ayarlar, Windows Uygulaması uygulamadaki verilerle değil oturum konağıyla etkileşimde bulunduğundan geçerli değildir. Mobil cihazlarda onaylanmamış klavyeler, tuş vuruşlarını kaydetme ve hırsızlık kaynağıdır.

  Aşağıdaki ayarları yapılandırabilirsiniz:

  Parametre	Değer/Açıklama
  Veri aktarımı
  Diğer uygulamalar arasında kesme, kopyalama ve yapıştırma işlemlerini kısıtlama	Windows Uygulaması ile yerel cihaz arasında pano yeniden yönlendirmesini devre dışı bırakmak için Engellendi olarak ayarlayın. Uygulama yapılandırma ilkesinde pano yeniden yönlendirmesini devre dışı bırakarak kullanın.
  Ekran yakalama ve Google Assistant	Ekran yakalama korumasını ve Google Assistant'ı engellemek için Engelle olarak ayarlayın. Azure Sanal Masaüstü'nde ekran yakalama koruması hakkında daha fazla bilgi için bkz. Azure Sanal Masaüstü'nde ekran yakalama korumasını etkinleştirme.
  Onaylı klavyeler	Klavyeleri listeden onaylayacak şekilde ayarlayın veya özel girdiler ekleyin.

• Koşullu başlatma sekmesinde aşağıdaki koşulları eklemenizi öneririz:

  Koşul	Koşul türü	Değer	Eylem
  En düşük uygulama sürümü	Uygulama koşulu	Gereksinimlerinize göre. Android'de Windows Uygulaması için bir sürüm numarası girin.	Erişimi engelle
  En düşük işletim sistemi sürümü	Cihaz koşulu	Gereksinimlerinize göre.	Erişimi engelle
  Birincil MTD hizmeti	Cihaz koşulu	Gereksinimlerinize göre. MTD bağlayıcınızın ayarlanması gerekir. Microsoft Defender for Endpoint için Intune'da Microsoft Defender for Endpoint'i yapılandırın.	Erişimi engelle
  İzin verilen maksimum cihaz tehdit düzeyi	Cihaz koşulu	Güvenli	Erişimi engelle

  Kullanılabilir ayarlar hakkında daha fazla bilgi için bkz. Android uygulama koruma ilkesi ayarlarında koşullu başlatma.

• Atamalar sekmesinde, ilkeyi uygulamak istediğiniz kullanıcıları içeren güvenlik grubunuz için atayın. İlkenin geçerli olması için ilkeyi bir kullanıcı grubuna uygulamanız gerekir. Her grup için, isteğe bağlı olarak uygulama yapılandırma ilkesi hedeflemesinde daha belirgin olacak bir filtre seçebilirsiniz.

Web tarayıcısı

Windows üzerinde Microsoft Edge için bir uygulama koruma ilkesi oluşturmak ve uygulamak için:

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Uygulamalar'ı ve ardından Uygulamaları yönet'in altında Koruma'yı seçin.

3. Oluştur'u ve ardından Windows'u seçin. İlke oluştur penceresi görüntülenir.

4. Temel Bilgiler sekmesinde aşağıdaki bilgileri tamamlayın:

   Parametre	Değer/Açıklama
   İsim	Bu uygulama koruma ilkesi için bir ad girin.
   Açıklama	İsteğe bağlı olarak bir açıklama girin.

   Bu sekmeyi tamamladıktan sonra İleri'yi seçin.

5. Uygulamalar sekmesinde Uygulamaları seç'i seçin. Açılan bölmede Microsoft Edge'i arayın ve seçin, ardından Seç'i seçin. Microsoft Edge seçili uygulamalar listenizde listelendikten sonra İleri'yi seçin.

6. Veri koruma sekmesinde aşağıdaki ayarları yapılandırabilirsiniz:

   Parametre	Değer/Açıklama
   Veri aktarımı
   Veriyi aldığınız yerden	Windows Uygulamasından sürücü yeniden yönlendirmesini devre dışı bırakmak için Kaynak yok olarak ayarlayın. "Kuruluş verilerini göndermeyi" de yapılandırmanız gerekir.
   Kuruluş verilerini gönder	Windows Uygulaması'na sürücü yeniden yönlendirmesini devre dışı bırakmak için Hedef yok olarak ayarlayın. Ayrıca Veri al'ı da yapılandırmalıdır.
   Kes, kopyala ve yapıştır işlemlerine izin ver	Windows Uygulaması ile yerel cihaz arasında pano yeniden yönlendirmesini devre dışı bırakmak için Hedef veya kaynak yok olarak ayarlayın.
   İşlevsellik
   Kuruluş verilerini yazdırma	Windows Uygulamasından yazdırmayı önlemek için Engelle olarak ayarlayın.

   Uyarı

   Bu senaryo, windows uygulamasının yerel olarak yüklenmiş sürümlerini kullanmaktan farklı olan bir uygulama koruma ilkesi kullanarak Microsoft Edge ile web tarayıcısında Windows Uygulamasını hedefler.

   • Sürücü yeniden yönlendirmesine ve yazdırmayı engellemeye izin vermezsiniz. Web tabanlı uzak oturumdan yazdırma, veri aktarımı ayarlarına bağlıdır. Yazdırmayı engellemek için Azure Sanal Masaüstü konak havuzu ayarları veya yerel cihaz yerine oturum konaklarını veya Bulut bilgisayarları yapılandırma gibi diğer yöntemleri kullanabilirsiniz. Alternatif olarak, Windows Uygulamasının yerel olarak yüklenmiş sürümlerinden birini kullanın. Daha fazla bilgi için bkz. Uzak Masaüstü Protokolü üzerinden yazıcı yeniden yönlendirmesini yapılandırma.

   • Sürücü yeniden yönlendirmesini engelleyebilir ve yazdırmaya izin vekleyebilirsiniz.

• Sistem Durumu Denetimleri sekmesinde aşağıdaki koşulları eklemenizi öneririz:

  Koşul	Koşul türü	Değer	Eylem
  En düşük uygulama sürümü	Uygulama koşulu	Gereksinimlerinize göre. Microsoft Edge için desteklenen en eski sürüm olarak 134.0.3124.51 olan bir sürüm numarası girin.	Erişimi engelle
  En düşük işletim sistemi sürümü	Cihaz koşulu	Gereksinimlerinize göre. Windows için şu biçimlerden birinde bir derleme numarası girin: major.minor, major.minor.build, major.minor.build.revision, , örneğin 10.0.26100.3476. Windows derleme numaralarını Windows sürüm durumu'nda bulabilir ve her işletim sistemi için sürüm bilgileri bağlantısını seçebilirsiniz.	Erişimi engelle
  İzin verilen maksimum cihaz tehdit düzeyi	Cihaz koşulu	Güvenli	Erişimi engelle

  Kullanılabilir ayarlar hakkında daha fazla bilgi için bkz. Windows için uygulama koruma ilkesi ayarlarında sistem durumu denetimleri.

• Atamalar sekmesinde, ilkeyi uygulamak istediğiniz kullanıcıları içeren güvenlik grubunuz için atayın. İlkenin geçerli olması için ilkeyi bir kullanıcı grubuna uygulamanız gerekir. Her grup için, isteğe bağlı olarak uygulama yapılandırma ilkesi hedeflemesinde daha belirgin olacak bir filtre seçebilirsiniz.

Koşullu Erişim ilkesi oluşturma

Koşullu Erişim ilkesi, bağlanan kullanıcının ve kullandığı cihazın belirli ölçütlerine göre Azure Sanal Masaüstü, Windows 365 ve Microsoft Dev Box'a erişimi denetlemenize olanak tanır. Gereksinimlerinize göre ayrıntılı senaryolar elde etmek için birden çok Koşullu Erişim ilkesi oluşturmanızı öneririz. Bazı örnek ilkeler aşağıdaki bölümlerde verilmiştir.

Önemli

Kullanıcılarınızın kullanabilmesini istediğiniz bulut hizmetleri, cihazları ve Windows Uygulaması sürümlerini dikkatle göz önünde bulundurun. Bu örnek Koşullu Erişim ilkeleri tüm senaryoları kapsamaz ve yanlışlıkla erişimi engellememeye dikkat etmeniz gerekir. İlkeler oluşturmanız ve ayarları gereksinimlerinize göre ayarlamanız gerekir.

Koşullu Erişim ilkesi oluşturmak ve uygulamak için , Intune ile uygulama tabanlı Koşullu Erişim ilkeleri ayarlama bölümündeki adımları izleyin ve aşağıdaki örneklerde yer alan bilgileri ve ayarları kullanın.

Örnek 1: Yalnızca Windows Uygulaması ile uygulama koruma ilkesi uygulandığında erişime izin ver

Bu örnek yalnızca Windows Uygulaması ile bir uygulama koruma ilkesi uygulandığında erişime izin verir:

• Atamalar için, Kullanıcılar veya iş yükü kimlikleri'nin altında 0 kullanıcı veya iş yükü kimlikleri'ni seçin, ardından ilkenin uygulanacağı kullanıcıları içeren güvenlik grubunu ekleyin. İlkenin geçerli olması için ilkeyi bir kullanıcı grubuna uygulamanız gerekir.

• Hedef kaynaklar için ilkeyi Kaynaklar'a uygulamayı seçin ve ardından Dahil Et için Kaynakları seç'i seçin. Aşağıdaki kaynakları arayın ve seçin. Bu kaynaklara yalnızca ilgili hizmeti kiracınıza kaydettiyseniz sahip olursunuz.

  Kaynak Adı	Başvuru Kimliği	Notlar
  Azure Sanal Masaüstü	9cdead84-a844-4324-93f2-b2e6bb768d07	Bunun yerine Windows Sanal Masaüstü olarak adlandırılabilir. Uygulama kimliğiyle doğrulayın.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box için de geçerlidir.
  Windows Bulut Oturumu Açma	270efc09-cd0d-444b-a71f-39af4910ec45	Diğer hizmetlerden biri kaydedildikten sonra kullanılabilir.

• Koşullar için:

  • Cihaz platformları'yı seçin, Yapılandır için Evet'i seçin ve ekle'nin altında Cihaz platformlarını seçin'i seçin ve iOS ile Android'i denetleyin.
  • İstemci uygulamaları'nı seçin, Yapılandır için Evet'i seçin, ardından Tarayıcı ve Mobil uygulamalar ve masaüstü istemcileri'ne bakın.

• Erişim denetimleri için, Erişim ver altında 0 denetim seçiliyi seçin. Sonra Uygulama koruma ilkesi gerektir kutusunu işaretleyin ve Seçili tüm denetimleri gerektir için seçenek düğmesini seçin.

• İlkeyi etkinleştirme için, onu Açık olarak ayarlayın.

Örnek 2: Windows cihazları için uygulama koruma ilkesi gerektirme

Bu örnek, yönetilmeyen kişisel Windows cihazlarını yalnızca web tarayıcısında Windows Uygulamasını kullanarak uzak oturuma erişmek için Microsoft Edge'i kullanacak şekilde sınırlar. Bu senaryo hakkında daha fazla bilgi için bkz . Windows cihazları için uygulama koruma ilkesi gerektirme.

• Atamalar için, Kullanıcılar veya iş yükü kimlikleri'nin altında 0 kullanıcı veya iş yükü kimlikleri'ni seçin, ardından ilkenin uygulanacağı kullanıcıları içeren güvenlik grubunu ekleyin. İlkenin geçerli olması için ilkeyi bir kullanıcı grubuna uygulamanız gerekir.

• Hedef kaynaklar için ilkeyi Kaynaklar'a uygulamayı seçin ve ardından Dahil Et için Kaynakları seç'i seçin. Aşağıdaki kaynakları arayın ve seçin. Bu kaynaklara yalnızca ilgili hizmeti kiracınıza kaydettiyseniz sahip olursunuz.

  Kaynak Adı	Başvuru Kimliği	Notlar
  Azure Sanal Masaüstü	9cdead84-a844-4324-93f2-b2e6bb768d07	Bunun yerine Windows Sanal Masaüstü olarak adlandırılabilir. Uygulama kimliğiyle doğrulayın.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box için de geçerlidir.
  Windows Bulut Oturumu Açma	270efc09-cd0d-444b-a71f-39af4910ec45	Diğer hizmetlerden biri kaydedildikten sonra kullanılabilir.

• Koşullar için:

  • Cihaz platformları'yı seçin, Yapılandır için Evet'i seçin ve ekle'nin altında Cihaz platformlarını seçin'i seçin ve Windows'a bakın.
  • İstemci uygulamaları'nı seçin, Yapılandır için Evet'i seçin ve ardından Tarayıcı'yı işaretleyin.

• Erişim denetimleri için Erişim ver seçin, ardından Uygulama koruma ilkesi gerektir kutusunu işaretleyin ve Seçili denetimlerden birini gerektir için seçenek düğmesini seçin.

• İlkeyi etkinleştirme için, onu Açık olarak ayarlayın.

Yapılandırmayı doğrulama

Intune ve Koşullu Erişim'i kişisel cihazlarda cihaz güvenliği uyumluluğu gerektirecek şekilde yapılandırdığınıza göre, uzak bir oturuma bağlanarak yapılandırmanızı doğrulayabilirsiniz. Test etmek için gerekenler, ilkeleri kayıtlı veya kaydı kaldırılmış cihazlara uygulanacak şekilde yapılandırıp yapılandırmadığınıza, hangi platformları ve ayarladığınız veri koruma ayarlarına bağlıdır. Gerçekleştirebildiğiniz eylemlerin beklentilerinizle eşleştiğini doğrulayın.

İlgili içerik

• Microsoft Intune ile yerel cihaz yeniden yönlendirme ayarlarını yönetme