Uygulama Koruma İlkelerine Genel Bakış

Intune uygulama koruma ilkeleri, kuruluşun verilerinin güvenli kalmasını veya yönetilen bir uygulamada yer almamasını sağlar. Bu ilkeler, mobil cihazlardaki uygulamalar tarafından verilere nasıl erişilip paylaşılmalarını denetlemenizi sağlar. Kullanıcı "kurumsal" verilere erişmeye veya verileri taşımaya çalıştığında ilke kuralları zorunlu kılabilir. Ayrıca kullanıcı uygulamanın içindeyken eylemleri yasaklayabilir veya izleyebilir. Intune'da yönetilen uygulama, Intune uygulama koruma ilkelerini uyguladığı ve uygulamayı yönettiği korumalı bir uygulamadır.

Intune uygulama koruma ilkeleri çeşitli avantajlar sağlar. Bu avantajlar, cihaz kaydı gerektirmeden mobil cihazlardaki şirket verilerini korumayı ve mobil cihazlardaki uygulamalar tarafından verilere nasıl erişilip paylaşılmalarını denetlemeyi içerir.

Microsoft Intune ile uygulama koruma ilkelerini kullanma örnekleri şunlardır:

• Mobil cihazda şirket e-postasına erişmek için PIN veya parmak izi gerektirme
• Kullanıcıların kurumsal verileri kişisel uygulamalara kopyalamasını ve yapıştırmasını engelleme
• Şirket verilerine erişimi yalnızca onaylanan uygulamalarla kısıtlama

Intune MAM, Microsoft 365 (Office) uygulamaları gibi birçok üretkenlik uygulaması yönetir. Genel kullanıma açık Microsoft Intune korumalı uygulamaların resmi listesine bakın.

Uygulama verilerini nasıl koruyabilirsiniz?

Çalışanlarınız hem kişisel hem de iş görevleri için mobil cihazlar kullanır. Çalışanlarınızın üretken olduğundan emin olurken veri kaybını önleyin. Buna hem kasıtlı hem de kasıtsız veri kaybı dahildir. Ayrıca, sizin tarafınızdan yönetilmeyen cihazlardan erişilen şirket verilerini de koruyun.

Herhangi bir mobil cihaz yönetimi (MDM) çözümünden bağımsız olarak Intune uygulama koruma ilkelerini kullanabilirsiniz. Bu bağımsızlık, cihazları bir cihaz yönetimi çözümüne kaydederek veya kaydetmeden şirketinizin verilerini korumanıza yardımcı olur. Uygulama düzeyi ilkeleri uygulayarak şirket kaynaklarına erişimi kısıtlayabilir ve verileri BT departmanınızın çerçevesinde tutabilirsiniz.

Not

İlkelerin uygulanmasını sağlamak için koşullu erişimi Intune uygulama koruma ilkeleriyle birlikte kullanın.

Cihazlarda ilkeleri Uygulama koruması

Aşağıdaki cihazlarda çalışan uygulamalar için uygulama koruma ilkelerini yapılandırın:

• Microsoft Intune kayıtlı: Bu cihazlar genellikle şirkete aittir.

• Microsoft Mobile olmayan bir cihaz yönetimi (MDM) çözümüne kayıtlı: Bu cihazlar genellikle şirkete aittir.

  Not

  Mobil uygulama yönetimi ilkeleri, Microsoft dışı mobil uygulama yönetimi veya güvenli kapsayıcı çözümleriyle kullanılmamalıdır.

• Herhangi bir mobil cihaz yönetimi çözümüne kayıtlı değil: Bu cihazlar genellikle, Intune veya diğer MDM çözümlerine kaydedilmemiş veya yönetilmeyen çalışanlara ait cihazlardır.

Önemli

Microsoft 365 hizmetlerine bağlanan Office mobil uygulamaları için mobil uygulama yönetimi ilkeleri oluşturun. Ayrıca karma Modern Kimlik Doğrulaması ile etkinleştirilen iOS/iPadOS ve Android için Outlook için Intune uygulama koruma ilkeleri oluşturarak Exchange şirket içi posta kutularına erişimi koruyun. Bu özelliği kullanmadan önce iOS/iPadOS ve Android için Outlook gereksinimlerini karşıladığınızdan emin olun. Şirket içi Exchange veya SharePoint hizmetlerine bağlanan diğer uygulamalar uygulama koruma ilkelerini desteklemez.

Uygulama koruma ilkelerini kullanmanın avantajları

Uygulama koruma ilkelerini kullanmanın önemli avantajları şunlardır:

• Şirket verilerinizi uygulama düzeyinde koruma. Mobil uygulama yönetimi cihaz yönetimi gerektirmediğinden, hem yönetilen hem de yönetilmeyen cihazlardaki şirket verilerini koruyun. Yönetim, cihaz yönetimi gereksinimini ortadan kaldıran kullanıcı kimliğine göre ortalanır.

• Kullanıcı üretkenliği etkilenmez ve uygulama kişisel bağlamda kullanılırken ilkeler uygulanmaz. Intune ilkeleri yalnızca iş bağlamında uygular ve bu da kişisel verilere dokunmadan şirket verilerini korumanızı sağlar.

• Uygulama koruması ilkeleri, uygulama katmanı korumalarının yerinde olmasını sağlar. Örneğin:

  • Bir uygulamayı iş bağlamında açmak için PIN gerektirme
  • Uygulamalar arasında veri paylaşımını denetleme
  • Şirket uygulaması verilerinin kişisel depolama konumuna kaydedilmesini engelleme

• MAM ile MDM, cihazın korunmasını sağlar. Örneğin, cihaza erişmek için bir PIN gerektirebilir veya yönetilen uygulamaları cihaza dağıtabilirsiniz. Ayrıca, uygulama yönetimi üzerinde daha fazla denetim sağlamak için uygulamaları MDM çözümünüz aracılığıyla cihazlara dağıtın.

MDM'yi uygulama koruma ilkeleriyle kullanmanın daha fazla avantajı vardır ve şirketler aynı anda MDM ile ve MDM olmadan uygulama koruma ilkelerini kullanabilir. Örneğin, hem şirket tarafından verilen bir telefonu hem de kendi kişisel tabletini kullanan bir çalışanı düşünün. Şirket telefonu MDM'ye kaydedilir ve uygulama koruma ilkeleri tarafından korunur. Kişisel cihaz yalnızca uygulama koruma ilkeleriyle korunur.

Cihaz durumunu ayarlamadan kullanıcıya bir MAM ilkesi uygularsanız, kullanıcı mam ilkesini hem KCG'de (kendi cihazını getir) hem de Intune yönetilen cihazda alır. Ayrıca cihaz yönetimi durumuna göre MAM ilkeleri uygulayın. Daha fazla bilgi için bkz. Cihaz yönetimi durumuna göre uygulama koruma ilkelerini hedefleme. Bir uygulama koruma ilkesi oluşturduğunuzda, Tüm uygulama türlerini hedefle'nin yanındaki Hayır'ı seçin. Ardından aşağıdakilerden birini yapın:

• Yönetilen cihazlara Intune daha az katı bir MAM ilkesi uygulayın ve MDM'ye kayıtlı olmayan cihazlara daha kısıtlayıcı bir MAM ilkesi uygulayın.
• Mam ilkesini yalnızca kaydı kaldırılmış cihazlara uygulayın.

Uygulama koruma ilkeleri için desteklenen platformlar

Intune, ihtiyacınız olan uygulamaları çalıştırmak istediğiniz cihazlara almanıza yardımcı olacak çeşitli özellikler sunar. Daha fazla bilgi için bkz. Platforma göre uygulama yönetimi özellikleri.

Intune uygulama koruma ilkeleri platform desteği, Android ve iOS/iPadOS cihazları için Office mobil uygulama platformu desteğiyle uyumludur. Ayrıntılar için Office Sistem Gereksinimleri'ninMobil uygulamalar bölümüne bakın.

Ayrıca, Windows cihazları için uygulama koruma ilkeleri oluşturun. Ayrıntılar için bkz. Windows cihazları için Uygulama koruması deneyimi.

Önemli

Android'de Uygulama Koruma İlkeleri'ni almak için cihazda Intune Şirket Portalı gereklidir.

Uygulama koruması ilkesi veri koruma çerçevesi

Uygulama koruma ilkelerinde sağlanan seçenekler, kuruluşların korumayı kendi ihtiyaçlarına göre uyarlamasına olanak tanır. Bazıları için, tam bir senaryo uygulamak için hangi ilke ayarlarının gerekli olduğu açık olmayabilir. Microsoft, kuruluşların mobil istemci uç noktası sağlamlaştırmasına öncelik vermelerine yardımcı olmak için iOS ve Android mobil uygulama yönetimi için uygulama koruma ilkeleri veri koruma çerçevesi için taksonomi uygular.

Uygulama koruma ilkeleri veri koruma çerçevesi üç farklı yapılandırma düzeyi halinde düzenlenmiştir ve her düzey önceki düzeyin dışında oluşturulur:

• Kurumsal temel veri koruması (Düzey 1), uygulamaların PIN ile korunmasını ve şifrelenmesini sağlar ve seçmeli temizleme işlemleri gerçekleştirir. Android cihazlar için bu düzey Android cihaz kanıtlamasını doğrular. Düzey 1 yapılandırması, Exchange Online posta kutusu ilkelerinde benzer veri koruma denetimi sağlayan ve BT'yi ve kullanıcı popülasyonunu APP'e tanıtır.
• Kurumsal gelişmiş veri koruması (Düzey 2), uygulama koruma ilkeleri veri sızıntısını önleme mekanizmaları ve en düşük işletim sistemi gereksinimlerini sunar. Düzey 2 yapılandırması, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
• Kurumsal yüksek veri koruması (Düzey 3), gelişmiş veri koruma mekanizmaları, gelişmiş PIN yapılandırması ve uygulama koruma ilkeleri Mobile Threat Defense'i tanıtır. Düzey 3 yapılandırması, yüksek riskli verilere erişen kullanıcılar için tercih edilir.

Her yapılandırma düzeyine ve korunması gereken minimum uygulamalara yönelik belirli önerileri görmek için Uygulama koruma ilkelerini kullanan veri koruma çerçevesi makalesini inceleyin.

Uygulama koruma ilkeleri uygulama verilerini nasıl korur?

Uygulama koruma ilkeleri olmayan uygulamalar

Uygulamaları kısıtlama olmadan kullandığınızda, şirket ve kişisel veriler birbirine karışabilir. Şirket verileri kişisel depolama gibi konumlara gelebilir veya purview'unuzun dışındaki uygulamalara aktarılabilir ve veri kaybına neden olabilir. Aşağıdaki diyagramdaki oklar, hem kurumsal hem de kişisel uygulamalar arasında ve depolama konumları arasında sınırsız veri hareketini gösterir.

Uygulama koruma ilkeleriyle veri koruma

Şirket verilerinin cihazın yerel depolama alanına kaydedilmesini önlemek için Uygulama koruması ilkelerini kullanın (aşağıdaki görüntüye bakın.) Ayrıca veri taşımayı Uygulama koruması ilkeleriyle korunmaz diğer uygulamalarla kısıtlayın. Uygulama koruması ilke ayarları şunlardır:

• Kuruluş verilerinin kopyalarını kaydetme ve Kesme, kopyalama ve yapıştırmayı kısıtla gibi veri yeniden konumlandırma ilkeleri.
• Erişim için basit PIN gerektir ve Yönetilen uygulamaların jailbreak uygulanmış veya kök erişim izni verilmiş cihazlarda çalışmasını engelle gibi erişim ilkesi ayarları.

MDM çözümü tarafından yönetilen cihazlarda APP ile veri koruma

Aşağıdaki çizimde MDM ve Uygulama koruması ilkelerinin birlikte sunduğu koruma katmanları gösterilmektedir.

MDM çözümü aşağıdakileri sağlayarak değer ekler:

• Cihazı kaydeder
• Uygulamaları cihaza dağıtır
• Sürekli cihaz uyumluluğu ve yönetimi sağlar

Uygulama koruması ilkeleri aşağıdakileri sağlayarak değer katıyor:

• Şirket verilerinin tüketici uygulamalarına ve hizmetlerine sızmasını engellemeye yardımcı olun
• İstemci uygulamalarına farklı kaydetme, pano veya PIN gibi kısıtlamalar uygulama
• Gerektiğinde bu uygulamaları cihazdan kaldırmadan uygulamalardan şirket verilerini silme

Kayıt olmadan cihazlar için APP ile veri koruma

Aşağıdaki diyagramda, veri koruma ilkelerinin MDM olmadan uygulama düzeyinde nasıl çalıştığı gösterilmektedir.

Herhangi bir MDM çözümüne kayıtlı olmayan KCG cihazları için Uygulama koruması ilkeleri, şirket verilerinin uygulama düzeyinde korunmasına yardımcı olabilir. Ancak, aşağıdakiler gibi dikkat edilmesi gereken bazı sınırlamalar vardır:

• Uygulamalar cihaza dağıtılmaz. Kullanıcı uygulamaları mağazadan alır.
• Sertifika profilleri bu cihazlarda sağlanmaz.
• Şirket Wi-Fi ve VPN ayarları bu cihazlarda sağlanmamıştır.

Uygulama koruma ilkeleriyle yönetebileceğiniz uygulamalar

Intune SDK ile tümleşen veya Intune App Wrapping Tool tarafından sarmalayan tüm uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Bu araçları kullanan ve genel kullanıma sunulan Microsoft Intune korumalı uygulamaların resmi listesine bakın.

Intune SDK geliştirme ekibi, yerel Android ve iOS/iPadOS (Obj-C, Swift) platformları ile oluşturulan uygulamalar için etkin bir şekilde test ve destek sağlar. Bazı müşteriler React Native ve NativeScript gibi diğer platformlarla Intune SDK tümleştirmesi konusunda başarılı olsa da, uygulama geliştiricilerine desteklenen platformlar dışında bir şey kullanan açık rehberlik veya eklentiler sağlanmaz.

Uygulama koruma ilkelerini kullanmak için kullanıcı gereksinimleri

Aşağıdaki liste, Intune yönetilen bir uygulamada uygulama koruma ilkelerini kullanmak için kullanıcı gereksinimlerini sağlar:

• Kullanıcının bir Microsoft Entra hesabı olmalıdır. Microsoft Entra ID'da Intune kullanıcıları oluşturmayı öğrenmek için bkz. Kullanıcı ekleme ve Intune yönetici izni verme.

• Kullanıcının Microsoft Entra hesabına atanmış Microsoft Intune lisansı olmalıdır. Kullanıcılara Intune lisans atamayı öğrenmek için bkz. Intune lisanslarını yönetme.

• Kullanıcının bir uygulama koruma ilkesi tarafından hedeflenen bir güvenlik grubuna ait olması gerekir. Aynı uygulama koruma ilkesi, kullanılmakta olan belirli bir uygulamayı hedeflemelidir. Uygulama koruması ilkeleri Microsoft Intune yönetim merkezinde oluşturulabilir ve dağıtılabilir. Güvenlik grupları şu anda Microsoft 365 yönetim merkezi oluşturulabilir.

• Kullanıcının Microsoft Entra hesabını kullanarak uygulamada oturum açması gerekir.

Microsoft 365 (Office) uygulamaları için Uygulama koruması ilkeleri

Microsoft 365 (Office) uygulamalarıyla Uygulama koruması ilkeleri kullanırken dikkat etmeniz gereken birkaç gereksinim daha vardır.

Önemli

Android'de Intune mobil uygulama yönetimi (MAM), Microsoft 365 uygulamaları için Microsoft Entra ID cihaz kaydı gerektirir. Güvenliği geliştirmek için, Microsoft 365 uygulamaları için MAM ilkesini almaya devam etmek için Android cihazların Microsoft Entra ID kayıtlı olması gerekir.

Mam ilkesiyle hedeflenen Microsoft 365 uygulamalarına erişirken, cihaz henüz Microsoft Entra ID kayıtlı değilse kullanıcılardan kimlik doğrulaması istenir. Kullanıcıların Microsoft 365 MAM özellikli uygulamalarına erişmek için kimlik doğrulama ve kayıt işlemini tamamlaması gerekir.

Koşullu Erişim ilkeleriniz veya çok faktörlü kimlik doğrulamanız etkinse, cihazların zaten kayıtlı olması gerekir ve kullanıcılar herhangi bir değişiklik fark etmez.

Hangi cihazların kayıtlı olduğunu görüntülemek için Microsoft Entra yönetim merkezi>Cihazlar>Tüm cihazlar raporuna gidin, işletim sistemine göre filtreleyin ve Kayıtlı olarak sıralayın. İlgili bilgiler için bkz. Microsoft Entra yönetim merkezi kullanarak cihaz kimliklerini yönetme.

Outlook mobil uygulaması

Outlook mobil uygulamasını kullanma gereksinimleri şunlardır:

• Kullanıcının cihazında Outlook mobil uygulamasının yüklü olması gerekir.

• Kullanıcının Microsoft Entra hesabına bağlı bir Microsoft 365 Exchange Online posta kutusuna ve lisansına sahip olması gerekir.

  Not

  Outlook mobil uygulaması şu anda yalnızca karma modern kimlik doğrulamasıyla Microsoft Exchange Online ve Exchange Server için Intune App Protection'ı destekler ve Office 365 Ayrılmış'ta Exchange'i desteklemez.

Word, Excel ve PowerPoint

Word, Excel ve PowerPoint uygulamalarını kullanma gereksinimleri şunları içerir:

• Kullanıcının Microsoft Entra hesabına bağlı İş için Microsoft 365 Uygulamaları veya kuruluş lisansına sahip olması gerekir. Abonelik, mobil cihazlarda Microsoft 365 uygulamalarını içermelidir ve Microsoft OneDrive ile bir bulut depolama hesabı içerebilir. Microsoft 365 lisansları bu yönergeleri izleyerek Microsoft 365 yönetim merkezi atanabilir.

• Kullanıcı, "Kuruluş verilerinin kopyalarını kaydet" uygulama koruma ilkesi ayarı altında ayrıntılı olarak kaydetme işlevi kullanılarak yapılandırılmış bir yönetilen konuma sahip olmalıdır. Örneğin, yönetilen konum OneDrive ise, OneDrive uygulaması kullanıcının Word, Excel veya PowerPoint uygulamasında yapılandırılmalıdır.

• Yönetilen konum OneDrive ise, uygulamanın kullanıcıya dağıtılan uygulama koruma ilkesi tarafından hedeflenmiş olması gerekir.

  Not

  Office mobil uygulamaları şu anda şirket içi SharePoint'i değil yalnızca SharePoint Online'ı destekler.

Office için gereken yönetilen konum

Office için yönetilen bir konum (yani OneDrive) gerekir. Intune, uygulamadaki tüm verileri "kurumsal" veya "kişisel" olarak işaretler. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. Microsoft 365 uygulamaları için, Intune iş konumları olarak aşağıdakileri dikkate alır: e-posta (Exchange) veya bulut depolama (iş veya okul hesabı için OneDrive ile OneDrive uygulaması).

Skype Kurumsal

Skype Kurumsal kullanmak için daha fazla gereksinim vardır. Bkz. Skype Kurumsal lisans gereksinimleri. Skype Kurumsal (SfB) karma ve şirket içi yapılandırmalar için bkz. SfB ve Exchange için Karma Modern Kimlik Doğrulaması sırasıyla Microsoft Entra ID ile şirket içi SfB için GA ve Modern Kimlik Doğrulaması'dır.

Uygulama koruması Genel ilkesi

OneDrive yöneticisi admin.onedrive.com göz atar ve Cihaz erişimi'ni seçerse, Mobil uygulama yönetimi denetimlerini OneDrive ve SharePoint istemci uygulamalarına ayarlayabilir.

OneDrive Yönetici konsolunun kullanımına sunulan ayarlar, Genel ilke adlı özel bir Intune uygulama koruma ilkesi yapılandırın. Bu genel ilke kiracınızdaki tüm kullanıcılar için geçerlidir ve ilke hedeflemesini denetlemenin hiçbir yolu yoktur.

Etkinleştirildikten sonra, iOS/iPadOS ve Android için OneDrive ve SharePoint uygulamaları varsayılan olarak seçili ayarlarla korunur. BT Uzmanı, daha fazla hedeflenen uygulama eklemek ve herhangi bir ilke ayarını değiştirmek için bu ilkeyi Microsoft Intune yönetim merkezinde düzenleyebilir.

Varsayılan olarak, kiracı başına yalnızca bir Genel ilke olabilir. Ancak kiracı başına ek genel ilkeler oluşturmak için Intune Graph API'lerini kullanabilirsiniz, ancak bunu yapmanız önerilmez. Böyle bir ilkenin uygulanmasıyla ilgili sorunları gidermek karmaşık hale gelebileceğinden fazladan genel ilkeler oluşturulması önerilmez.

Genel ilke kiracınızdaki tüm kullanıcılar için geçerli olsa da, tüm standart Intune uygulama koruma ilkesi bu ayarları geçersiz kılar.

Not

OneDrive Yönetici Merkezi'ndeki ilke ayarları artık güncelleştiriliyor. bunun yerine Microsoft Intune kullanılabilir. Daha fazla bilgi için bkz. OneDrive ve SharePoint mobil uygulamalarındaki özelliklere erişimi denetleme.

Uygulama koruması özellikleri

Çoklu kimlik

Çoklu kimlik desteği, bir uygulamanın birden çok hedef kitleyi desteklemesine olanak tanır. Bu hedef kitleler hem "kurumsal" kullanıcılar hem de "kişisel" kullanıcılardır. "Kurumsal" hedef kitleler iş ve okul hesaplarını kullanırken, Microsoft 365 (Office) kullanıcıları gibi tüketici hedef kitleleri kişisel hesapları kullanır. Çoklu kimliği destekleyen bir uygulama herkese açık olarak yayımlanabilir. Burada uygulama koruma ilkeleri yalnızca uygulama iş ve okul ("kurumsal") bağlamında kullanıldığında uygulanır. Çok kimlikli destek, Intune SDK'sını kullanarak yalnızca uygulamada oturum açmış iş veya okul hesabına uygulama koruma ilkeleri uygular. Uygulamada kişisel bir hesap oturum açtıysa verilere dokunulmaz. Uygulama koruması ilkeleri, iş veya okul hesabı verilerinin çok kimlikli uygulamadaki kişisel hesaplara, diğer uygulamalar içindeki kişisel hesaplara veya kişisel uygulamalara aktarılmasını önlemek için kullanılabilir.

Önemli

Bir uygulamanın çoklu kimliği destekleyip desteklemediğine bakılmaksızın, yalnızca tek bir "kurumsal" kimlikte Intune Uygulama Koruma İlkesi uygulanabilir.

"Kişisel" bağlam örneği için, Word'da yeni bir belge başlatan bir kullanıcıyı düşünün; bu kişisel bağlam olarak kabul edilir, bu nedenle Intune Uygulama Koruma ilkeleri uygulanmaz. Belge "kurumsal" OneDrive hesabına kaydedildikten sonra "şirket" bağlamı olarak kabul edilir ve Intune Uygulama Koruma ilkeleri uygulanır.

İş veya "kurumsal" bağlam için aşağıdaki örnekleri göz önünde bulundurun:

• Kullanıcı onedrive uygulamasını kendi iş hesabını kullanarak başlatır. İş bağlamında dosyaları kişisel depolama konumuna taşıyamaz. Daha sonra, kişisel hesaplarıyla OneDrive'ı kullandıklarında, kişisel OneDrive'larından kısıtlama olmadan veri kopyalayıp taşıyabilirler.
• Bir kullanıcı Outlook uygulamasında e-posta taslağı hazırlamaya başlar. Konu veya ileti gövdesi doldurulduktan sonra, konu ve ileti gövdesi Uygulama Koruması ilkesi tarafından korunduğundan, kullanıcı FROM adresini iş bağlamından kişisel bağlama geçiremez.

Not

Outlook hem "kişisel" hem de "kurumsal" e-postaların birleştirilmiş e-posta görünümüne sahiptir. Bu durumda, Outlook uygulaması başlatmada Intune PIN'ini ister.

Önemli

Edge "şirket" bağlamında olsa da, kullanıcılar OneDrive "kurumsal" bağlam dosyalarını bilerek bilinmeyen bir kişisel bulut depolama konumuna taşıyabilir. Bunu önlemek için bkz. Dosyaları karşıya yüklemeye izin vermek için web sitelerini yönetme ve Edge için izin verilen/engellenen site listesini yapılandırma.

uygulama PIN'ini Intune

Kişisel Kimlik Numarası (PIN), doğru kullanıcının bir uygulamadaki kuruluşun verilerine eriştiğini doğrulamak için kullanılan bir geçiş kodudur.

PIN istemi
Intune, kullanıcı "şirket" verilerine erişmek üzereyken kullanıcının uygulama PIN'ini ister. Word, Excel veya PowerPoint gibi çok kimlikli uygulamalarda, "kurumsal" bir belgeyi veya dosyayı açmaya çalıştığında kullanıcıdan PIN'i istenir. Intune App Wrapping Tool kullanılarak yönetilen iş kolu uygulamaları gibi tek kimlikli uygulamalarda, IntuneSDK'sı kullanıcının uygulamadaki deneyiminin her zaman "kurumsal" olduğunu bildiği için başlatma sırasında PIN istenir.

PIN istemi veya şirket kimlik bilgisi istemi, sıklık
BT yöneticisi, Microsoft Intune yönetim merkezinde Intune uygulama koruma ilkesi ayarını (dakika) sonra yeniden denetle seçeneğini tanımlayabilir. Bu ayar, cihazda erişim gereksinimleri denetlenmeden önce geçmesi gereken süreyi belirtir ve uygulama PIN ekranı veya kurumsal kimlik bilgisi istemi yeniden gösterilir. Ancak, kullanıcıdan ne sıklıkta sorulduğunu etkileyen PIN ile ilgili önemli ayrıntılar şunlardır:

• PIN, kullanılabilirliği geliştirmek için aynı yayımcının uygulamaları arasında paylaşılır:
  iOS/iPadOS'ta, aynı uygulama yayımcısının tüm uygulamaları arasında bir uygulama PIN'i paylaşılır. Örneğin, tüm Microsoft uygulamaları aynı PIN'i paylaşır. Android'de bir uygulama PIN'i tüm uygulamalar arasında paylaşılır.
• Cihaz yeniden başlatıldıktan sonra (dakika) sonra erişim gereksinimlerini yeniden denetle davranışı:
  Zamanlayıcı, Intune uygulama PIN'inin veya kurumsal kimlik bilgisi isteminin ne zaman gösterileceğini belirleyen işlem yapılmadan geçen dakika sayısını izler. iOS/iPadOS'ta zamanlayıcı, cihazın yeniden başlatılmasından etkilenmez. Bu nedenle, cihazın yeniden başlatılması, kullanıcının Intune PIN (veya kurumsal kimlik bilgisi) ilkesi hedeflenen bir iOS/iPadOS uygulamasından devre dışı kaldığı dakika sayısını etkilemez. Android'de cihaz yeniden başlatıldığında zamanlayıcı sıfırlanır. Bu nedenle, Intune PIN (veya kurumsal kimlik bilgileri) ilkesine sahip Android uygulamaları, cihaz yeniden başlatıldıktan sonra "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarı değerinden bağımsız olarak büyük olasılıkla bir uygulama PIN'i veya şirket kimlik bilgisi istemi ister.
• PIN ile ilişkili zamanlayıcının sıralı yapısı:
  Bir uygulamaya (uygulama A) erişmek için bir PIN girildikten ve uygulama cihazda ön planı (ana giriş odağı) bıraktıktan sonra, söz konusu PIN için zamanlayıcı sıfırlanır. Bu PIN'i paylaşan herhangi bir uygulama (uygulama B), zamanlayıcı sıfırlandığından kullanıcıdan PIN girişi istemez. 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' değeri karşılandığında istem yeniden gösterilir.

iOS/iPadOS cihazları için, PIN farklı yayımcılardan gelen uygulamalar arasında paylaşılsa bile, ana giriş odağı olmayan uygulama için erişim gereksinimlerini yeniden denetle (dakika) değeri karşılandığında istem yeniden gösterilir. Örneğin, bir kullanıcının X yayımcısından A uygulaması ve Y yayımcısından B uygulaması vardır ve bu iki uygulama aynı PIN'i paylaşır. Kullanıcı A uygulamasına (ön plan) odaklanır ve B uygulaması simge durumuna küçültülmüş olur. Erişim gereksinimlerini (dakika) sonra yeniden denetle değeri karşılandığında ve kullanıcı B uygulamasına geçtikten sonra PIN gereklidir.

Not

Özellikle sık kullanılan bir uygulama için kullanıcının erişim gereksinimlerini daha sık doğrulamak için (PIN istemi), "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarının değerini azaltın.

Outlook ve OneDrive için yerleşik uygulama PIN'leri
Intune PIN'i, etkinlik dışı bir süreölçer (erişim gereksinimlerini (dakika) sonra yeniden denetle değeri) temel alarak çalışır. Bu nedenle, Intune PIN istemleri Outlook ve OneDrive için yerleşik uygulama PIN istemlerinden bağımsız olarak gösterilir ve bunlar genellikle varsayılan olarak uygulama başlatmaya bağlıdır. Kullanıcı her iki PIN istemini de aynı anda alırsa beklenen davranış, Intune PIN'in öncelikli olmasıdır.

PIN güvenliğini Intune
PIN, yalnızca doğru kullanıcının uygulamadaki kuruluş verilerine erişmesine izin verir. Bu nedenle, kullanıcının Intune uygulama PIN'ini ayarlayabilmesi veya sıfırlayabilmesi için önce iş veya okul hesabıyla oturum açması gerekir. Microsoft Entra ID bu kimlik doğrulamasını güvenli belirteç değişimi aracılığıyla işler ve Intune SDK bunu görmez. Güvenlik açısından bakıldığında, iş veya okul verilerini korumanın en iyi yolu verileri şifrelemektir. Şifreleme uygulama PIN'i ile ilgili değildir, ancak kendi uygulama koruma ilkesidir.

Deneme yanılma saldırılarına ve Intune PIN'e karşı koruma
Uygulama PIN ilkesinin bir parçası olarak, BT yöneticisi bir kullanıcının uygulamayı kilitlemeden önce PIN'ini doğrulamayı deneyebileceği maksimum sayıda ayarlayabilir. Deneme sayısı karşılandığında, Intune SDK uygulamadaki "şirket" verilerini silebilir.

PIN'i ve seçmeli silmeyi Intune
iOS/iPadOS'ta uygulama düzeyi PIN bilgileri, tüm birinci taraf Microsoft uygulamaları gibi aynı yayımcıyla uygulamalar arasında paylaşılan anahtarlıkta depolanır. Bu PIN bilgileri bir kullanıcı hesabına da bağlıdır. Bir uygulamanın seçmeli olarak silinmesi farklı bir uygulamayı etkilemez.

Örneğin, oturum açmış kullanıcı için Outlook'a yönelik bir PIN kümesi paylaşılan bir anahtarlıkta depolanır. Kullanıcı OneDrive'da oturum açtığında (Microsoft tarafından da yayımlandığında), aynı paylaşılan anahtar zincirini kullandığından Outlook ile aynı PIN'i görür. Outlook oturumunu kapattığınızda veya Outlook'ta kullanıcı verilerini silerken, OneDrive hala bu PIN'i kullanabileceğinden Intune SDK bu anahtar zincirini temizlemez. Bu nedenle, seçmeli temizlemeler PIN de dahil olmak üzere paylaşılan anahtar zincirini temizlemez. Cihazda yayımcı tarafından yalnızca bir uygulama olsa bile bu davranış aynı kalır.

PIN aynı yayımcıyla uygulamalar arasında paylaşıldığından, silme işlemi tek bir uygulamaya giderse, Intune SDK'sı cihazda aynı yayımcıya sahip başka uygulama olup olmadığını bilmez. Bu nedenle, Intune SDK'sı PIN'i temizlemez çünkü diğer uygulamalar için hala kullanılabilir. Bu yayımcıdan son uygulama kaldırıldığında uygulama PIN'inin bir işletim sistemi temizleme işlemi kapsamında silinmesi beklenir.

Bazı cihazlarda PIN'in silindiğini gözlemlerseniz, büyük olasılıkla şu davranış olur: PIN bir kimliğe bağlı olduğundan, kullanıcı silme işleminden sonra farklı bir hesapla oturum açarsa, yeni bir PIN girmesi istenir. Ancak, daha önce var olan bir hesapla oturum açarlarsa, oturum açmak için anahtarlıkta depolanan bir PIN kullanılabilir.

Aynı yayımcıdan gelen uygulamalarda PIN'i iki kez mi ayarlayabilirsiniz?
MAM (iOS/iPadOS üzerinde) şu anda iOS için Intune SDK'sını tümleştirmek için uygulamaların (WXP, Outlook, Viva Engage) katılımını gerektiren alfasayısal ve özel karakterlerle (geçiş kodu olarak adlandırılır) uygulama düzeyi PIN'e izin verir. Bu olmadan, geçiş kodu ayarları hedeflenen uygulamalar için düzgün bir şekilde zorlanmaz. Bu, iOS v. 7.1.12 için Intune SDK'sında yayımlanan bir özellikti.

Bu özelliği desteklemek ve iOS/iPadOS için Intune SDK'sının önceki sürümleriyle geriye dönük uyumluluğu sağlamak için, 7.1.12+ sürümündeki tüm PIN'ler (sayısal veya geçiş kodu) SDK'nın önceki sürümlerindeki sayısal PIN'den ayrı olarak işlenir. iOS v 14.6.0 için Intune SDK'sında, 14.6.0+ sürümündeki tüm PIN'lerin SDK'nın önceki sürümlerindeki PIN'lerden ayrı olarak işlenmesine neden olan başka bir değişiklik daha yapıldı.

Bu nedenle, bir cihazda aynı yayımcıdan (veya 14.6.0 VE 14.6.0'dan sonraki sürümlerden) 7.1.12 öncesi ve 7.1.12'den sonraki iOS sürümleri için Intune SDK'sı olan uygulamalar varsa, iki PIN ayarlaması gerekir. İki PIN (her uygulama için) hiçbir şekilde ilişkili değildir (yani, uygulamaya uygulanan uygulama koruma ilkesine uymalıdır). Bu nedenle, A ve B uygulamalarında aynı ilkeler uygulanmışsa (PIN ile ilgili olarak), kullanıcı aynı PIN'i iki kez ayarlayabilir.

Bu davranış, Intune Mobil Uygulama Yönetimi ile etkinleştirilen iOS/iPadOS uygulamalarında PIN'e özgüdür. Zamanla, uygulamalar iOS/iPadOS için Intune SDK'sının sonraki sürümlerini benimsedikçe, aynı yayımcının uygulamalarında iki kez PIN ayarlamak zorunda kalmak daha az sorun haline gelir.

Not

Örneğin, A uygulaması 7.1.12 (veya 14.6.0) öncesi bir sürümle oluşturulduysa ve B uygulaması aynı yayımcıdan 7.1.12'den (veya 14.6.0'a) eşit veya daha büyük bir sürümle oluşturulduysa, her ikisi de bir iOS/iPadOS cihazında yüklüyse kullanıcının A ve B için piN'leri ayrı olarak ayarlaması gerekir.

Cihazda SDK sürümü 7.1.9 (veya 14.5.0) olan bir uygulama C yüklüyse, A uygulamasıyla aynı PIN'i paylaşır.

7.1.14 (veya 14.6.2) ile oluşturulan bir D uygulaması, B uygulamasıyla aynı PIN'i paylaşır.

A ve C uygulamaları bir cihazda yüklüyse bir PIN'in ayarlanması gerekir. Aynı durum, B ve D uygulamalarının bir cihaza yüklenmesi durumunda da geçerlidir.

Uygulama veri şifrelemesi

BT yöneticileri, uygulama verilerinin şifrelenmesini gerektiren bir uygulama koruma ilkesi dağıtabilir. İlkenin bir parçası olarak, BT yöneticisi içeriğin ne zaman şifreleneceğini de belirtebilir.

Veri şifreleme işlemini nasıl Intune
Şifreleme uygulaması koruma ilkesi ayarı hakkında ayrıntılı bilgi için Android uygulama koruma ilkesi ayarlarına ve iOS/iPadOS uygulama koruma ilkesi ayarlarına bakın.

Şifrelenmiş veriler
Yalnızca "kurumsal" olarak işaretlenen veriler BT yöneticisinin uygulama koruma ilkesine göre şifrelenir. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. Intune, Microsoft 365 uygulamaları için aşağıdakileri iş konumları olarak değerlendirir:

• Email (Exchange)
• Bulut depolama (iş veya okul hesabı için OneDrive ile OneDrive uygulaması)

Intune App Wrapping Tool tarafından yönetilen iş kolu uygulamaları için tüm uygulama verileri "kurumsal" olarak kabul edilir.

Seçmeli silme

Verileri uzaktan silme
Intune uygulama verilerini üç farklı yolla silebilir:

• Tam cihaz silme
• MDM için seçmeli silme
• MAM seçmeli silme

MDM için uzaktan silme hakkında daha fazla bilgi için bkz. Temizleme veya devre dışı bırakma kullanarak cihazları kaldırma. MAM kullanarak seçmeli silme hakkında daha fazla bilgi için Kullanımdan kaldırma eylemine ve Uygulamalardan yalnızca şirket verilerini silme bölümüne bakın.

Tam cihaz temizleme, cihazı fabrika varsayılan ayarlarına geri yükleyerek tüm kullanıcı verilerini ve ayarlarını cihazdan kaldırır. Cihaz Intune kaldırılır.

Not

MDM için tam cihaz temizleme ve seçmeli silme işlemleri yalnızca Intune mobil cihaz yönetimi (MDM) ile kaydedilen cihazlarda gerçekleştirilebilir.

MDM için seçmeli silme
Bkz . Cihazları kaldırma - şirket verilerini kaldırma hakkında bilgi edinmek için devre dışı bırakma.

MAM için seçmeli silme
MAM için seçmeli temizleme, uygulamadan şirket uygulaması verilerini kaldırır. İstek Intune kullanılarak başlatılır. Silme isteğinin nasıl başlatıldığını öğrenmek için bkz. Uygulamalardan yalnızca şirket verilerini silme.

Seçmeli temizleme başlatıldığında kullanıcı uygulamayı kullanıyorsa, Intune SDK'sı 30 dakikada bir Intune MAM hizmetinden seçmeli temizleme isteği olup olmadığını denetler. Ayrıca kullanıcı uygulamayı ilk kez başlattığında ve iş veya okul hesabıyla oturum açtığında seçmeli silme olup olmadığını denetler.

Şirket İçi (şirket içi) hizmetler korumalı Intune uygulamalarla çalışmadığında
Intune uygulama koruması, uygulamanın Intune SDK'sı arasında tutarlı olması için kullanıcının kimliğine bağlıdır. Bunu garanti etmenin tek yolu modern kimlik doğrulamasıdır. Uygulamaların şirket içi yapılandırmayla çalışabileceği ancak tutarlı veya garantili olmadığı senaryolar vardır.

Yönetilen uygulamalardan web bağlantılarını açmanın güvenli yolu
BT yöneticisi, Intune ile kolayca yönetilebilen bir web tarayıcısı olan Microsoft Edge için uygulama koruma ilkesi dağıtabilir ve ayarlayabilir. BT yöneticisi, Intune yönetilen uygulamalardaki tüm web bağlantılarının Microsoft Edge kullanılarak açılmasını gerektirebilir.

iOS cihazları için Uygulama koruması deneyimi

Cihaz parmak izi veya yüz kimlikleri

Intune uygulama koruma ilkeleri yalnızca Intune lisanslı kullanıcıya uygulama erişimi üzerinde denetim sağlar. Uygulamaya erişimi denetlemenin yollarından biri, desteklenen cihazlarda Apple'ın Touch ID'sini veya Face ID'sini gerektirmektir. Intune, cihazın biyometrik veritabanında herhangi bir değişiklik olması Intune bir sonraki etkinlik dışı zaman aşımı değeri karşılandığında kullanıcıdan PIN istemesi gibi bir davranış uygular. Biyometrik verilerde yapılan değişiklikler parmak izi veya yüzün eklenmesini veya kaldırılmasını içerir. Intune kullanıcının PIN kümesi yoksa, Intune PIN'i ayarlaması istenir.

Bu işlemin amacı, kuruluşunuzun verilerini uygulama düzeyinde güvenli ve korumalı tutmaya devam etmektir. Bu özellik yalnızca iOS/iPadOS için kullanılabilir ve iOS/iPadOS, sürüm 9.0.1 veya üzeri için Intune SDK'sını tümleştiren uygulamaların katılımını gerektirir. Sdk'nın tümleştirilmesi, davranışın hedeflenen uygulamalarda zorlanması için gereklidir. Bu tümleştirme sıralı olarak gerçekleşir ve belirli uygulama ekiplerine bağlıdır. Katılan bazı uygulamalar WXP, Outlook ve Viva Engage içerir.

iOS paylaşım uzantısı

İş veya okul verilerini yönetilmeyen uygulamalarda açmak için iOS/iPadOS paylaşım uzantısını kullanın; veri aktarımı ilkesi yalnızca yönetilen uygulamalara ayarlanmış olsa da veya hiç uygulama olmadan. Intune uygulama koruma ilkesi, cihazı yönetmeden iOS/iPadOS paylaşım uzantısını denetleyemez. Bu nedenle, Intune "kurumsal" verileri uygulama dışında paylaşılmadan önce şifreler. Yönetilen uygulamanın dışında bir "kurumsal" dosya açmaya çalışarak bu şifreleme davranışını doğrulayın. Dosya şifrelenmelidir ve yönetilen uygulamanın dışında açılamaz.

Evrensel Bağlantılar desteği

Varsayılan olarak, Intune uygulama koruma ilkeleri yetkisiz uygulama içeriğine erişimi engeller. iOS/iPadOS'ta, Evrensel Bağlantılar'ı kullanarak belirli içeriği veya uygulamaları açma işlevselliği vardır.

Kullanıcılar, Safari'de ziyaret edip Yeni Sekmede Aç veya Aç'ı seçerek uygulamanın Evrensel Bağlantılarını devre dışı bırakabilir. Evrensel Bağlantıları Intune uygulama koruma ilkeleriyle kullanmak için evrensel bağlantıları yeniden etkinleştirmek önemlidir. Kullanıcının, ilgili bağlantıya uzun süre bastıktan sonra Safari'de<uygulama adında> aç işlemi yapması gerekir. Bu, tüm korumalı uygulamalardan tüm Evrensel Bağlantıları cihazdaki korumalı uygulamaya yönlendirmesini istemelidir.

Aynı uygulama ve kullanıcı kümesi için birden çok Intune uygulama koruma erişim ayarı

erişim için Intune uygulama koruma ilkeleri, şirket hesaplarından hedeflenen bir uygulamaya erişmeye çalışırken kullanıcı cihazlarında belirli bir sırayla uygulanır. Genel olarak, silme önceliklidir ve ardından bir blok ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı iOS/iPadOS sürümünü güncelleştirme konusunda uyaran en düşük iOS/iPadOS işletim sistemi ayarı, kullanıcının erişimini engelleyen en düşük iOS/iPadOS işletim sistemi ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük iOS işletim sistemini 11.0.0.0 ve min iOS işletim sistemini (yalnızca uyarı) 11.1.0.0 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz iOS 10'dayken, kullanıcı, engellenen erişimle sonuçlanan en düşük iOS işletim sistemi sürümü için daha kısıtlayıcı ayara bağlı olarak engellenir.

Farklı ayar türleriyle ilgilenirken, bir Intune SDK sürümü gereksinimi öncelikli olur, ardından bir uygulama sürümü gereksinimi ve ardından iOS/iPadOS işletim sistemi sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor. Intune SDK sürüm gereksinimini yalnızca temel engelleme senaryoları için Intune ürün ekibinin yönergeleriyle yapılandırın.

Android cihazlar için Uygulama koruması deneyimi

Not

Uygulama koruması ilkeleri, Paylaşılan cihaz modu olmadan yönetilen Intune Android Kurumsal ayrılmış cihazlarında desteklenmez. Bu cihazlarda, uygulama koruma ilkeleri engelleme ilkesinin kullanıcı üzerinde hiçbir etkisi olmadan etkili olması için Şirket Portalı yükleme gerekir. Uygulama koruması ilkeleri, Paylaşılan cihaz moduyla yönetilen Intune Android Kurumsal ayrılmış cihazlarında ve Paylaşılan cihaz modunu kullanan AOSP kullanıcısız cihazlarda desteklenir. Uygulama koruması ilkeleri Paylaşılan cihaz modunda destekleniyor olsa da, Android Uygulama koruması ilkesinde aşağıdaki ayarlardan biri uygulandığında bir özel durum vardır:

• Erişim için PIN
• Erişim için iş veya okul hesabı kimlik bilgileri

Bu senaryoda, PIN sıfırlama akışı sırasında bir kullanıcı engellenirse engelini kaldırmak için Hesabı kaldır düğmesini kullanması gerekir.

Microsoft Teams Android cihazları

Microsoft Teams Android cihazlarında Teams uygulaması uygulama koruma ilkelerini desteklemez (Şirket Portalı uygulaması aracılığıyla ilke almaz). Bu, uygulama koruma ilkesi ayarlarının Microsoft Teams Android cihazlarında Teams'e uygulanmayacağı anlamına gelir. Bu cihazlar için yapılandırılmış uygulama koruma ilkeleriniz varsa, bir grup Teams cihaz kullanıcısı oluşturmayı ve bu grubu ilgili uygulama koruma ilkelerinin dışında tutmayı göz önünde bulundurun. Ayrıca Intune Kayıt İlkenizi, Koşullu Erişim İlkelerinizi ve Intune Uyumluluk ilkelerinizi desteklenen ayarları içerecek şekilde değiştirmeyi de göz önünde bulundurun. Mevcut ilkelerinizi değiştiremiyorsanız Cihaz Filtrelerini yapılandırmanız (dışlamanız) gerekir. Desteklenmeyen ayarlar ekleyip eklemediğinizden emin olmak için her ayarı mevcut Koşullu Erişim yapılandırmasına ve Intune Uyumluluk ilkesine göre doğrulayın. Daha fazla bilgi için bkz. Microsoft Teams Odaları ve Teams Android Cihazları için Desteklenen Koşullu Erişim ve Intune cihaz uyumluluk ilkeleri. Microsoft Teams Odaları ile ilgili bilgi için bkz. koşullu erişim ve Microsoft Teams Odaları için Intune uyumluluğu.

Cihaz biyometrik kimlik doğrulaması

Biyometrik kimlik doğrulamasını destekleyen Android cihazlarda, kullanıcıların Android cihazlarının neleri desteklediğine bağlı olarak parmak izi veya Yüz Açma özelliğini kullanmasına izin verin. Kimlik doğrulaması için parmak izi dışındaki tüm biyometrik türlerin kullanılıp kullanılamayacağını yapılandırın. Parmak İzi ve Yüz Kilidi Açma yalnızca bu biyometrik türleri desteklemek için üretilen ve Android'in doğru sürümünü çalıştıran cihazlarda kullanılabilir. Parmak izi için Android 6 ve üzeri, Yüz Kilidi Açma için ise Android 10 ve üzeri gereklidir.

Uygulama ve Intune uygulama korumasını Şirket Portalı

Uygulama koruma işlevlerinin çoğu Şirket Portalı uygulamasında yerleşik olarak bulunur. Şirket Portalı uygulaması her zaman gerekli olsa bile cihaz kaydı gerekli değildir*. Mobil Uygulama Yönetimi (MAM) için kullanıcının cihazda Şirket Portalı uygulamasının yüklü olması gerekir.

Aynı uygulama ve kullanıcı kümesi için birden çok Intune uygulama koruma erişim ayarı

erişim için Intune uygulama koruma ilkeleri, şirket hesaplarından hedeflenen bir uygulamaya erişmeye çalışırken kullanıcı cihazlarında belirli bir sırayla uygulanır. Genel olarak, bir blok önceliklidir ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcının erişimini engelleyen en düşük Android yama sürümü ayarından sonra kullanıcıyı düzeltme eki yükseltmesi için uyaran en düşük Android düzeltme eki sürümü ayarı uygulanır. Bu nedenle, BT yöneticisinin uygulamasına 2018-03-01 erişmeye çalışan cihaz bir 2018-01-01yama sürümündeyken için en düşük Android yama sürümünü ve en düşük Android yama sürümünü (Yalnızca uyarı) 2018-02-01yapılandırdığı senaryoda, kullanıcı, erişimin engellenmesine neden olan en düşük Android yama sürümü için daha kısıtlayıcı ayara göre engellenir.

Farklı ayar türleriyle ilgilenirken, bir uygulama sürümü gereksinimi önceliklidir ve ardından android işletim sistemi sürümü gereksinimi ve Android yama sürümü gereksinimi gelir. Ardından, tüm uyarılar tüm ayar türleri için aynı sırayla denetleniyor.

Uygulama koruma ilkelerini ve Google Play'in Android cihazlar için cihaz bütünlüğü denetimini Intune

Intune uygulama koruma ilkeleri, yöneticilerin kullanıcı cihazlarının Android cihazlar için Google Play'in cihaz bütünlüğü denetimini geçirmesini gerektirme özelliği sağlar. bt yöneticisine Intune hizmeti tarafından belirlenen bir aralıkta yeni bir Google Play hizmeti belirlemesi bildirilir. Hizmet çağrısının ne sıklıkta yapıldığı yük nedeniyle kısıtlanır, bu nedenle bu değer dahili olarak korunur ve yapılandırılamaz. Google cihaz bütünlüğü ayarı için BT yöneticisi tarafından yapılandırılmış herhangi bir eylem, koşullu başlatma sırasında Intune hizmetine bildirilen son sonuç temelinde gerçekleştirilir. Veri yoksa, başarısız olan diğer koşullu başlatma denetimlerine bağlı olarak erişime izin verilir ve kanıtlama sonuçlarını belirlemek için Google Play Hizmeti "gidiş dönüş" arka uçta başlar ve cihaz başarısız olursa kullanıcıya zaman uyumsuz olarak sorar. Eski veriler varsa, son bildirilen sonuca bağlı olarak erişim engellenir veya erişime izin verilir ve benzer şekilde, kanıtlama sonuçlarını belirlemeye yönelik bir Google Play Hizmeti "gidiş dönüş" başlar ve cihaz başarısız olursa kullanıcıya zaman uyumsuz olarak sorar.

Uygulama koruma ilkelerini ve Google'ın Android cihazları için Uygulamaları Doğrulama API'sini Intune

Intune Uygulama Koruma İlkeleri, yöneticilerin kullanıcı cihazlarının Android cihazlar için Google'ın Uygulamaları Doğrulama API'si aracılığıyla sinyal göndermesini gerektirme özelliği sağlar. Bunun nasıl yapılacağını açıklayan yönergeler cihaza göre biraz değişiklik gösterir. Genel işlem, Google Play Store'a gitmeyi, ardından Uygulamalarım & oyunları seçmeyi, son uygulama taramasının sonucunu seçerek Sizi Play Protect menüsüne götürür. Cihazı güvenlik tehditleri için tara düğmesinin açık olduğundan emin olun.

Google'ın Play Bütünlük API'si

Intune, kaydı kaldırılmış cihazlar için mevcut kök algılama denetimlerine eklemek için Google'ın Play Bütünlük API'lerini kullanır. Google, android uygulamalarının kök erişimli cihazlarda çalışmasını istemiyorsa bu API kümesini android uygulamalarının benimsemesi için geliştirir ve korur. Örneğin Android Pay uygulaması bunu içerir. Google, gerçekleşen kök algılama denetimlerinin tamamını genel olarak paylaşmasa da, bu API'ler cihazlarının kökünü oluşturan kullanıcıları algılar. Bu kullanıcıların erişimi engellenebilir veya şirket hesapları ilke etkin uygulamalarından silinebilir. Temel bütünlüğü denetleyin , cihazın genel bütünlüğü hakkında bilgi sağlar. Kök erişimli cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. Sertifikalı cihazlar & temel bütünlüğü kontrol edin , cihazın Google'ın hizmetleriyle uyumluluğu hakkında bilgi verir. Bu denetimi yalnızca Google onaylı değiştirilmemiş cihazlar geçirebilir. Başarısız olan cihazlar şunlardır:

• Temel bütünlüğü başarısız olan cihazlar
• Kilidi açılmış önyükleyicisi olan cihazlar
• Özel sistem görüntüsü/ROM'una sahip cihazlar
• Üreticinin Google sertifikası için başvurmamış veya onaylamamış cihazlar
• Doğrudan Android Açık Kaynak Programı kaynak dosyalarından oluşturulmuş sistem görüntüsüne sahip cihazlar
• Beta/geliştirici önizleme sistemi görüntüsüne sahip cihazlar

Teknik ayrıntılar için Google'ın Play Integrity API'sinde Google'ın belgelerine bakın.

Yürütme bütünlüğü kararı ayarı ve 'jailbreak uygulanmış/kök erişim izni verilmiş cihazlar' ayarı

Yürütme bütünlüğü kararı, kullanıcının en azından kanıtlama sonuçlarını belirlemek için "gidiş dönüş" işleminin yürütülürken çevrimiçi olmasını gerektirir. Kullanıcı çevrimdışıysa BT yöneticisi yine de jailbreak uygulanmış/kök erişim izni verilmiş cihazlar ayarından bir sonucun uygulanmasını bekleyebilir. Ancak, kullanıcı çok uzun süre çevrimdışı kalırsa Çevrimdışı yetkisiz kullanım süresi değeri devreye girer ve ağ erişimi kullanılabilir olana kadar zamanlayıcı değerine ulaşıldıktan sonra iş veya okul verilerine tüm erişim engellenir. Her iki ayarın da etkinleştirilmesi, kullanıcı cihazlarının iyi durumda kalmasını sağlamak için katmanlı bir yaklaşım sağlar. Bu, kullanıcılar mobil cihazlarda iş veya okul verilerine eriştiğinde önemlidir.

Google Play Koruma API'leri ve Google Play Hizmetleri

Google Play Koruma API'lerini kullanan uygulama koruma ilkesi ayarları, Google Play Hizmetleri'nin çalışmasını gerektirir. Hem Play bütünlüğü kararı hem de uygulama ayarlarında Tehdit taraması için Google Play Services'ın google tarafından belirlenen sürümünün düzgün çalışması gerekir. Bu ayarlar güvenlik alanına düştüğünden, kullanıcı bu ayarlarla hedefleniyorsa ve Google Play Hizmetleri'nin uygun sürümünü karşılamıyorsa veya Google Play Hizmetleri'ne erişimi yoksa engellenir.

Windows cihazları için Uygulama koruması deneyimi

İlke ayarlarının iki kategorisi vardır: Veri koruma ve Sistem Durumu Denetimleri. İlkeyle yönetilen uygulama terimi, uygulama koruma ilkeleriyle yapılandırılan uygulamaları ifade eder.

Veri koruması

Veri koruma ayarları kuruluş verilerini ve bağlamını etkiler. Yönetici olarak, verilerin kuruluş koruması bağlamından içeri ve dışarı hareketini denetleyebilirsiniz. Kuruluş bağlamı, belirtilen kuruluş hesabı tarafından erişilen belgeler, hizmetler ve siteler tarafından tanımlanır. Aşağıdaki ilke ayarları, kuruluş bağlamında alınan dış verileri ve kuruluş bağlamından gönderilen kuruluş verilerini denetlemeye yardımcı olur.

Sistem Durumu Denetimleri

Sistem durumu denetimleri, koşullu başlatma özelliklerini yapılandırmanıza olanak sağlar. Bunu yapmak için uygulama koruma ilkeniz için sistem durumu denetimi koşullarını ayarlamanız gerekir. Bir Ayar seçin ve kullanıcıların kuruluş verilerinize erişmek için karşılaması gereken Değeri girin. Ardından, kullanıcılar koşullu değerlerinizi karşılamıyorsa, uygulamak istediğiniz Eylemi seçin. Bazı durumlarda, tek bir ayar için birden çok eylem yapılandırılabilir.

Sonraki adımlar

Microsoft Intune ile uygulama koruma ilkeleri oluşturma ve dağıtma

Microsoft Intune ile kullanılabilir Android uygulama koruma ilkesi ayarları

Microsoft Intune ile kullanılabilir iOS/iPadOS uygulama koruma ilkesi ayarları