Sıfır Güven için Microsoft Intune yapılandırma: Kiracıların güvenliğini sağlama (Önizleme)

Intune kiracınızı korumak, Sıfır Güven ilkelerini zorunlu tutmak ve güvenli, iyi yönetilen bir ortam sağlamak için önemlidir. Bu öneriler, patlama yarıçapını sınırlayarak ve segmentlere ayrılmış yönetim denetimi, güvenli cihaz ekleme ve ilke temelli korumalar aracılığıyla en az ayrıcalıklı erişimi zorunlu kılarak Microsoft'un Güvenli Gelecek Girişimi ile uyumlu hale getirir. Birlikte, riski azaltmaya, kiracı hijyeni sağlamaya ve platformlar arasında uyumluluğu güçlendirmeye yardımcı olur.

Sıfır Güven güvenlik önerileri

Kapsam etiketi yapılandırması, temsilcili yönetimi ve en az ayrıcalıklı erişimi desteklemek için zorunlu kılındı

Intune kapsam etiketleri temsilcili yönetim için düzgün yapılandırılmamışsa, Intune veya Microsoft Entra ID ayrıcalıklı erişim elde eden saldırganlar ayrıcalıkları yükseltebilir ve kiracı genelinde hassas cihaz yapılandırmalarına erişebilir. Ayrıntılı kapsam etiketleri olmadan, yönetim sınırları belirsizdir ve saldırganların yanı sıra hareket etmelerine, cihaz ilkelerini işlemelerine, yapılandırma verilerini sızdırmalarına veya kötü amaçlı ayarları tüm kullanıcılara ve cihazlara dağıtmalarına olanak tanır. Güvenliği aşılmış tek bir yönetici hesabı ortamın tamamını etkileyebilir. Temsilcili yönetimin olmaması, en az ayrıcalıklı erişimi de baltalar ve ihlalleri içermeyi ve sorumluluğu zorunlu kılmayı zorlaştırır. Saldırganlar, uyumluluk ilkelerini atlamak ve cihaz yönetimi üzerinde geniş denetim elde etmek için genel yönetici rollerinden veya yanlış yapılandırılmış rol tabanlı erişim denetimi (RBAC) atamalarından yararlanabilir.

Kapsam etiketlerinin zorunlu olması, yönetim erişimini segmentlere ayırır ve kuruluş sınırlarıyla hizalar. Bu, güvenliği aşılmış hesapların patlama yarıçapını sınırlar, en az ayrıcalıklı erişimi destekler ve segmentasyon, rol tabanlı denetim ve kapsama Sıfır Güven ilkeleriyle uyumludur.

Düzeltme eylemi

Rol, coğrafya veya iş birimine göre yönetici erişimini sınırlamak için Intune kapsam etiketlerini ve RBAC rollerini kullanın:

• Dağıtılmış BT için kapsam etiketleri oluşturmayı ve dağıtmayı öğrenin
• Microsoft Intune ile rol tabanlı erişim denetimi uygulama

Cihaz kayıt bildirimleri, kullanıcı tanıma ve güvenli ekleme sağlamak için zorunlu kılındı

Cihaz kayıt bildirimleri olmadan, kullanıcılar özellikle yetkisiz veya beklenmeyen kayıt durumlarında cihazlarının Intune kaydedildiğini bilmiyor olabilir. Bu görünürlük eksikliği, kullanıcının şüpheli etkinlik bildirimini geciktirebilir ve yönetilmeyen veya güvenliği aşılmış cihazların şirket kaynaklarına erişim kazanma riskini artırabilir. Kullanıcı kimlik bilgilerini alan veya kendi kendine kayıt akışlarından yararlanan saldırganlar cihazları sessizce ekleyebilir, kullanıcı incelemesini atlayabilir ve verilerin açığa çıkarılmasını veya yanal hareketi etkinleştirebilir.

Kayıt bildirimleri, kullanıcılara cihaz ekleme etkinliğinde gelişmiş görünürlük sağlar. Yetkisiz kaydı algılamaya, güvenli sağlama uygulamalarını güçlendirmeye ve görünürlük, doğrulama ve kullanıcı etkileşimi ilkelerini Sıfır Güven desteklemeye yardımcı olur.

Düzeltme eylemi

Cihazları kaydedildiğinde kullanıcıları uyarmak ve güvenli ekleme uygulamalarını güçlendirmek için Intune kayıt bildirimlerini yapılandırın:

• Intune'de kayıt bildirimlerini ayarlama

Yönetilmeyen uç noktalardan kaynaklanan riskleri ortadan kaldırmak için Windows otomatik cihaz kaydı zorunlu kılındı

Windows otomatik kaydı etkin değilse, yönetilmeyen cihazlar saldırganlar için bir giriş noktası haline gelebilir. Tehdit aktörleri bu cihazları şirket verilerine erişmek, uyumluluk ilkelerini atlamak ve ortama güvenlik açıkları eklemek için kullanabilir. Intune kayıt olmadan Microsoft Entra katılan cihazlar görünürlük ve denetimde boşluklar oluşturur. Bu yönetilmeyen uç noktalar, işletim sistemindeki zayıf noktaları veya saldırganların yararlanabileceği yanlış yapılandırılmış uygulamaları ortaya çıkarabilir.

Otomatik kaydı zorunlu tutma, Windows cihazlarının başından itibaren yönetilmesini sağlayarak tutarlı ilke uygulama ve uyumluluk görünürlüğü sağlar. Bu, tüm cihazların güvenlik denetimleri tarafından doğrulandığından, izlenildiğinden ve yönetildiğinden emin olarak Sıfır Güven destekler.

Düzeltme eylemi

Etki alanına katılmış veya Entra katılmış tüm cihazların yönetildiğinden emin olmak için Intune ve Microsoft Entra kullanarak Windows cihazları için otomatik kaydı etkinleştirin:

• Otomatik Windows kaydını etkinleştirme

Daha fazla bilgi için bkz.:

• Dağıtım kılavuzu - Windows kaydı

Uyumluluk ilkeleri Windows cihazlarını korur

Windows cihazları için uyumluluk ilkeleri yapılandırılmaz ve atanmazsa, tehdit aktörleri yönetilmeyen veya uyumsuz uç noktalardan yararlanarak şirket kaynaklarına yetkisiz erişim elde edebilir, güvenlik denetimlerini atlayabilir ve ortamda kalıcı olabilir. Zorunlu uyumluluk olmadan, cihazlarda BitLocker şifrelemesi, parola gereksinimleri, güvenlik duvarı ayarları ve işletim sistemi sürüm denetimleri gibi kritik güvenlik yapılandırmaları eksik olabilir. Bu boşluklar veri sızıntısı, ayrıcalık yükseltme ve yanal hareket riskini artırır. Tutarsız cihaz uyumluluğu, kuruluşun güvenlik duruşunu zayıflatır ve önemli hasarlar oluşmadan önce tehditleri algılamayı ve düzeltmeyi zorlaştırır.

Uyumluluk ilkelerini zorunlu tutma, Windows cihazlarının temel güvenlik gereksinimlerini karşılamasını sağlar ve cihaz durumunu doğrulayarak ve yanlış yapılandırılmış uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemi

Güvenli erişim ve yönetim için kuruluş standartlarını zorlamak için Windows cihazlarına Intune uyumluluk ilkeleri oluşturun ve atayın:

• Intune uyumluluk ilkeleri oluşturma ve atama
• Intune ile yönetebileceğiniz Windows uyumluluk ayarlarını gözden geçirin

Uyumluluk ilkeleri macOS cihazlarını korur

macOS cihazları için uyumluluk ilkeleri yapılandırılmaz ve atanmazsa, tehdit aktörleri yönetilmeyen veya uyumsuz uç noktalardan yararlanarak şirket kaynaklarına yetkisiz erişim elde edebilir, güvenlik denetimlerini atlayabilir ve ortamda kalıcı olabilir. Zorunlu uyumluluk olmadan, macOS cihazlarında veri depolama şifrelemesi, parola gereksinimleri ve işletim sistemi sürüm denetimleri gibi kritik güvenlik yapılandırmaları eksik olabilir. Bu boşluklar veri sızıntısı, ayrıcalık yükseltme ve yanal hareket riskini artırır. Tutarsız cihaz uyumluluğu, kuruluşun güvenlik duruşunu zayıflatır ve önemli hasarlar oluşmadan önce tehditleri algılamayı ve düzeltmeyi zorlaştırır.

Uyumluluk ilkelerini zorunlu tutma, macOS cihazlarının temel güvenlik gereksinimlerini karşılamasını sağlar ve cihaz durumunu doğrulayarak ve yanlış yapılandırılmış uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemleri

Güvenli erişim ve yönetim için kuruluş standartlarını zorlamak için macOS cihazlarına Intune uyumluluk ilkeleri oluşturun ve atayın:

• Intune uyumluluk ilkeleri oluşturma ve atama
• Intune ile yönetebileceğiniz macOS uyumluluk ayarlarını gözden geçirin

Uyumluluk ilkeleri, tam olarak yönetilen ve şirkete ait Android cihazları korur

uyumluluk ilkeleri Intune tam olarak yönetilen Android Kurumsal cihazlara atanmazsa, tehdit aktörleri şirket kaynaklarına yetkisiz erişim elde etmek, güvenlik denetimlerini atlamak ve ortamda kalıcı olmak için uyumsuz uç noktalardan yararlanabilir. Zorunlu uyumluluk olmadan, cihazlarda geçiş kodu gereksinimleri, veri depolama şifrelemesi ve işletim sistemi sürüm denetimleri gibi kritik güvenlik yapılandırmaları eksik olabilir. Bu boşluklar veri sızıntısı, ayrıcalık yükseltme ve yanal hareket riskini artırır. Tutarsız cihaz uyumluluğu, kuruluşun güvenlik duruşunu zayıflatır ve önemli hasarlar oluşmadan önce tehditleri algılamayı ve düzeltmeyi zorlaştırır.

Uyumluluk ilkelerini zorunlu tutma, Android Kurumsal cihazların temel güvenlik gereksinimlerini karşılamasını sağlar ve cihaz durumunu doğrulayarak ve yanlış yapılandırılmış veya yönetilmeyen uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemi

Güvenli erişim ve yönetim için kuruluş standartlarını zorlamak için tam olarak yönetilen ve şirkete ait Android Kurumsal cihazlara Intune uyumluluk ilkeleri oluşturun ve atayın:

• Microsoft Intune'da uyumluluk ilkesi oluşturma
• Intune ile yönetebileceğiniz Android Kurumsal uyumluluk ayarlarını gözden geçirin

Uyumluluk ilkeleri kişisel Android cihazları korur

Uyumluluk ilkeleri Intune'da Android Enterprise'a ait kişisel cihazlara atanmazsa, tehdit aktörleri şirket kaynaklarına yetkisiz erişim elde etmek, güvenlik denetimlerini atlamak ve güvenlik açıkları getirmek için uyumsuz uç noktalardan yararlanabilir. Zorunlu uyumluluk olmadan, cihazlarda geçiş kodu gereksinimleri, veri depolama şifrelemesi ve işletim sistemi sürüm denetimleri gibi kritik güvenlik yapılandırmaları eksik olabilir. Bu boşluklar veri sızıntısı ve yetkisiz erişim riskini artırır. Tutarsız cihaz uyumluluğu, kuruluşun güvenlik duruşunu zayıflatır ve önemli hasarlar oluşmadan önce tehditleri algılamayı ve düzeltmeyi zorlaştırır.

Uyumluluk ilkelerini zorunlu tutma, kişisel Android cihazlarının temel güvenlik gereksinimlerini karşılamasını sağlar ve cihaz durumunu doğrulayarak ve yanlış yapılandırılmış veya yönetilmeyen uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemi

Güvenli erişim ve yönetim için kuruluş standartlarını zorlamak için Android Kurumsal'a ait kişisel cihazlara Intune uyumluluk ilkeleri oluşturun ve atayın:

• Microsoft Intune'da uyumluluk ilkesi oluşturma
• Intune ile yönetebileceğiniz Android Kurumsal uyumluluk ayarlarını gözden geçirin

Uyumluluk ilkeleri iOS/iPadOS cihazlarını korur

uyumluluk ilkeleri Intune'deki iOS/iPadOS cihazlarına atanmazsa, tehdit aktörleri şirket kaynaklarına yetkisiz erişim elde etmek, güvenlik denetimlerini atlamak ve ortamda kalıcı olmak için uyumsuz uç noktalardan yararlanabilir. Zorunlu uyumluluk olmadan, cihazlarda geçiş kodu gereksinimleri ve işletim sistemi sürümü denetimleri gibi kritik güvenlik yapılandırmaları eksik olabilir. Bu boşluklar veri sızıntısı, ayrıcalık yükseltme ve yanal hareket riskini artırır. Tutarsız cihaz uyumluluğu, kuruluşun güvenlik duruşunu zayıflatır ve önemli hasarlar oluşmadan önce tehditleri algılamayı ve düzeltmeyi zorlaştırır.

Uyumluluk ilkelerini zorunlu tutma, iOS/iPadOS cihazlarının temel güvenlik gereksinimlerini karşılamasını sağlar ve cihaz durumunu doğrulayarak ve yanlış yapılandırılmış veya yönetilmeyen uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemi

Güvenli erişim ve yönetim için kuruluş standartlarını zorlamak için iOS/iPadOS cihazlarına Intune uyumluluk ilkeleri oluşturun ve atayın:

• Microsoft Intune'da uyumluluk ilkesi oluşturma
• Intune ile yönetebileceğiniz iOS/iPadOS uyumluluk ayarlarını gözden geçirin

Platform SSO, macOS cihazlarında kimlik doğrulamasını güçlendirmek için yapılandırıldı

Platform SSO ilkeleri macOS cihazlarda zorlanmazsa, uç noktalar güvenli olmayan veya tutarsız kimlik doğrulama mekanizmalarını kullanır ve saldırganların Koşullu Erişim ve uyumluluk ilkelerini atlamasına olanak tanır. Bu, özellikle federasyon kimlikleri kullanıldığında bulut hizmetleri ve şirket içi kaynaklar arasında yanal harekete kapı açar. Tehdit aktörleri, çalınan belirteçlerden veya önbelleğe alınmış kimlik bilgilerinden yararlanarak kalıcı hale gelebilir ve yönetilmeyen uygulamalar veya tarayıcı oturumları aracılığıyla hassas veri yok edebilir. SSO uygulamasının olmaması, uygulama koruma ilkelerini ve cihaz duruşu değerlendirmelerini de baltalar ve ihlalleri algılamayı ve içermeyi zorlaştırır. Sonuç olarak, macOS Platform SSO ilkelerinin yapılandırılmaması ve atanamaması kimlik güvenliğini tehlikeye atar ve kuruluşun Sıfır Güven duruşunu zayıflatır.

macOS cihazlarda Platform SSO ilkelerini zorunlu tutma, uygulamalar ve hizmetler arasında tutarlı ve güvenli kimlik doğrulaması sağlar. Bu, kimlik korumasını güçlendirir, Koşullu Erişim zorlamasını destekler ve yerel kimlik bilgilerine olan güveni azaltarak ve duruş değerlendirmelerini geliştirerek Sıfır Güven ile uyumlu hale getirme.

Düzeltme eylemi

Güvenli kimlik doğrulamasını zorunlu kılmak ve kimlik korumasını güçlendirmek amacıyla macOS cihazları için Platform SSO ilkelerini yapılandırmak ve atamak için Intune kullanın, bkz:

• Intune'de macOS için Platform SSO'larını yapılandırma – macOS cihazlarda Platform SSO'sını etkinleştirmeye yönelik adım adım yönergeler.
• Microsoft Intune'de Apple cihazları için çoklu oturum açmaya (SSO) genel bakış ve seçenekler – Apple platformlarında kullanılabilen SSO seçeneklerine genel bakış.

Yönetilmeyen Android tehditlerinden kaynaklanan riski azaltmak için Uç Nokta için Defender otomatik kaydı zorunlu kılındı

Intune'daki Android cihazlar için Uç Nokta için Microsoft Defender'a otomatik kayıt yapılandırılmamışsa, yönetilen uç noktalar mobil tehditlere karşı korumasız kalabilir. Defender ekleme olmadan, cihazlarda gelişmiş tehdit algılama ve yanıt özellikleri bulunmaması, kötü amaçlı yazılım, kimlik avı ve diğer mobil tabanlı saldırı riskini artırır. Korumasız cihazlar güvenlik ilkelerini atlayabilir, şirket kaynaklarına erişebilir ve hassas veri tehlikeye girebilir. Mobil tehdit savunmasındaki bu boşluk kuruluşun Sıfır Güven duruşunu zayıflatır ve uç nokta durumu görünürlüğünü azaltır.

Otomatik Defender kaydının etkinleştirilmesi, Android cihazların gelişmiş tehdit algılama ve yanıt özellikleriyle korunmasını sağlar. Bu, mobil tehdit korumasını zorunlu kılarak, görünürlüğü geliştirerek ve yönetilmeyen veya güvenliği aşılmış uç noktalara maruz kalma riskini azaltarak Sıfır Güven destekler.

Düzeltme eylemi

Mobil tehdit korumasını zorunlu kılmak üzere Android cihazlar için Uç Nokta için Microsoft Defender otomatik kaydı yapılandırmak için Intune kullanın:

• Uç Nokta için Microsoft Defender Intune ve Ekleme Cihazları ile tümleştirme

Cihaz temizleme kuralları, etkin olmayan cihazları gizleyerek kiracının hijyen durumunu korur

Cihaz temizleme kuralları Intune yapılandırılmamışsa eski veya etkin olmayan cihazlar kiracıda süresiz olarak görünür durumda kalabilir. Bu da karmaşık cihaz listelerine, yanlış raporlamaya ve etkin cihaz yatayında görünürlüğün azalmasına neden olur. Kullanılmayan cihazlar erişim kimlik bilgilerini veya belirteçleri koruyarak yetkisiz erişim veya yanlış bilgi verilen ilke kararları riskini artırabilir.

Cihaz temizleme kuralları, etkin olmayan cihazları yönetici görünümlerinden ve raporlarından otomatik olarak gizleyerek kiracının hijyen durumunu iyileştirir ve yönetim yükünü azaltır. Bu, denetim veya araştırma için geçmiş verileri korurken doğru ve güvenilir bir cihaz envanteri tutarak Sıfır Güven destekler.

Düzeltme eylemi

Etkin olmayan cihazları kiracıdan otomatik olarak gizlemek için Intune cihaz temizleme kurallarını yapılandırın:

• Cihaz temizleme kuralı oluşturma

Daha fazla bilgi için bkz.:

• Microsoft Tech Community blogda Intunecihaz temizleme kurallarını kullanma

Hüküm ve Koşullar ilkeleri hassas veri erişimi korur

Hüküm ve Koşullar ilkeleri Intune yapılandırılmaz ve atanmazsa, kullanıcılar gerekli yasal, güvenlik veya kullanım koşullarını kabul etmeden şirket kaynaklarına erişebilir. Bu ihmal, kuruluşu uyumluluk risklerine, yasal yükümlülüklere ve kaynakların olası kötüye kullanımına maruz bırakır.

Hüküm ve Koşulları zorunlu tutma, kullanıcıların hassas veri veya sistemlere erişmeden önce, mevzuat uyumluluğunu ve sorumlu kaynak kullanımını destekleyen şirket ilkelerini onaylamasını ve kabul etmesini sağlar.

Düzeltme eylemi

Kurumsal kaynaklara erişim izni vermeden önce kullanıcı kabulü gerektirmek için Intune Hüküm ve Koşullar ilkeleri oluşturun ve atayın:

• Hüküm ve koşullar ilkesi oluşturma

Şirket Portalı markalama ve destek ayarları kullanıcı deneyimini ve güvenini geliştirir

Intune Şirket Portalı markası kuruluşunuzun ayrıntılarını temsil etmek üzere yapılandırılmamışsa, kullanıcılar genel bir arabirimle karşılaşabilir ve doğrudan destek bilgilerine sahip olamaz. Bu, kullanıcı güvenini azaltır, destek yükünü artırır ve sorunların çözülmesinde karışıklığa veya gecikmelere yol açabilir.

Kuruluşunuzun marka ve destek iletişim ayrıntılarıyla Şirket Portalı özelleştirilmesi, kullanıcı güvenini artırır, desteği kolaylaştırır ve cihaz yönetimi iletişimlerinin meşruluğunu pekiştirir.

Düzeltme eylemi

Kullanıcı deneyimini geliştirmek ve destek yükünü azaltmak için kuruluşunuzun marka ve destek iletişim bilgileriyle Intune Şirket Portalı yapılandırın:

• Intune Şirket Portalı yapılandırma

Endpoint Analytics, Windows cihazlarında riskleri tanımlamaya yardımcı olmak için etkinleştirildi

Uç nokta analizi etkinleştirilmemişse tehdit aktörleri cihaz durumu, performans ve güvenlik duruşundaki boşluklardan yararlanabilir. Görünürlük uç noktası analizi getirilmediğinden, bir kuruluşun anormal cihaz davranışı, gecikmeli düzeltme eki uygulama veya yapılandırma kayması gibi göstergeleri algılaması zor olabilir. Bu boşluklar, saldırganların kalıcılık kurmasına, ayrıcalıkları yükseltmesine ve ortamda yaya olarak hareket etmesini sağlar. Analiz verilerinin olmaması, hızlı algılama ve yanıtı engelleyerek saldırganların komut ve denetim, veri sızdırma veya daha fazla güvenlik açığı için izlenmeyen uç noktalardan yararlanmasına olanak tanıyabilir.

Uç nokta analizinin etkinleştirilmesi, cihaz durumu ve davranışı hakkında görünürlük sağlayarak kuruluşların riskleri algılamasına, tehditlere hızlı yanıt vermesine ve güçlü bir Sıfır Güven duruşu sürdürmesine yardımcı olur.

Düzeltme eylemi

Cihaz durumunu izlemek ve riskleri belirlemek için Windows cihazlarını Intune uç nokta analizine kaydedin:

• Uç nokta analizini yapılandırma

Daha fazla bilgi için bkz.:

• Uç nokta analizi nedir?

İlgili içerik

• Microsoft Intune için dağıtım kılavuzu
• Microsoft Intune ile verileri ve cihazları koruma
• Daha fazla güvenlik için Microsoft Entra yapılandırma (Önizleme)