Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Intune, yönetilen cihazların güvenliğini ve güncelliğini korurken, kuruluşunuzun verilerini de güvenliği ihlal edilmiş cihazlardan korumanıza yardımcı olur. Kullanıcıların hem yönetilen hem de yönetilmeyen cihazlardaki kurumsal verilerle ne yaptığını denetleyin ve güvenliği aşılmış olabilecek cihazlardan verilere erişimi engelleyin.
Bu makalede, kuruluşunuz için Sıfır Güven çözümleri desteklemek için birlikte çalışan Intune yerleşik güvenlik özellikleri ve iş ortağı teknolojileri tanıtılan makaleye yer verilmiştir. Genel bakış olarak, temel koruma özelliklerini açıklar ve yapılandırma ve dağıtım kılavuzu için ayrıntılı belgelere bağlantılar sağlar.
Intune ayrıca cihaz uyumluluğu ve Mobile Threat Defense (MTD) sinyalleri sağlayan üçüncü taraf ürünlerle tümleştirilebilir.
Platform desteği
Microsoft Intune yönetim merkezinden, Intune çalıştıran yönetilen cihazları destekler:
- Android
- iOS/iPadOS
- Linux
- macOS
- Windows
Ayrıca, şirket içi cihazları yönetmek için Yapılandırma Yöneticisi kullandığınızda, kiracı ekleme veya ortak yönetim aracılığıyla Intune ilkelerini bu cihazlara genişletebilirsiniz.
Cihazları korumak için güvenlik ilkeleri dağıtma
Kayıtlı cihazlarda güvenliği yapılandırmak ve zorunlu kılmak için ilkeleri dağıtın. Aşağıdaki ilke türleri cihazları korumak için birlikte çalışır:
Uç nokta güvenlik ilkeleri - Belirli koruma alanları için odaklanmış güvenlik ilkeleri:
- Hesap koruması - İş İçin Windows Hello, Credential Guard ve Windows LAPS
- Virüsten koruma - virüsten koruma yapılandırması ve dışlamaları Microsoft Defender
- İş İçin Uygulama Denetimi - Windows Defender Uygulama Denetimi kullanarak uygulama izin verilenler listesi
- Saldırı yüzeyini azaltma - Açıklardan yararlanma güvenlik açıklarını ve saldırı vektörlerini azaltma
- Disk şifrelemesi - BitLocker, Kişisel Veri Şifrelemesi (PDE) ve FileVault
- Uç nokta algılama ve yanıt - Uç Nokta için Microsoft Defender ekleme
- Güvenlik Duvarı - Ağ koruması ve güvenlik duvarı kuralları
Cihaz yapılandırma ilkeleri - Uç nokta koruması, sertifikalar, yazılım güncelleştirmeleri ve VPN gibi daha geniş cihaz ayarları. Güvenlik ayarlarını cihaz işlevselliği yapılandırmalarıyla birleştirmeniz gerektiğinde kullanın.
Cihaz uyumluluk ilkeleri - İşletim sistemi sürümleri, şifreleme durumu ve tehdit düzeyleri gibi cihaz gereksinimlerini tanımlayın. Uyumlu olmayan cihazlar uyarıları tetikler ve Koşullu Erişim ile birleştirildiğinde kuruluş kaynaklarından engellenebilir.
Temel güvenlik özellikleri
Aşağıdaki güvenlik alanları bu ilkeler aracılığıyla yönetilebilir:
Kimlik doğrulaması ve kimlik
- Sertifikalar - SCEP ve PKCS profillerini kullanarak sertifikaları dağıtın veya şirket içi altyapı olmadan basitleştirilmiş bulut tabanlı sertifika yönetimi için Microsoft Cloud PKI kullanın. Akıllı kart senaryoları için türetilmiş kimlik bilgilerini yapılandırın.
- Modern kimlik doğrulaması - Parolasız oturum açma için İş İçin Windows Hello etkinleştirin. Uygulamalar ve hizmetler arasında kimlik doğrulamasını güçlendirmek için macOS için Platform SSO'sını yapılandırın.
- Çok faktörlü kimlik doğrulaması - MFA gerektirmek için Microsoft Entra Koşullu Erişim'i kullanın ve cihaz PIN'ini/parolasını ve oturum açmayla ilgili diğer ayarları gerektiği gibi yapılandırmak için Intune kullanın.
Veri şifreleme
- Windows - Tam disk şifrelemesi için BitLocker'ı ve Windows 11 dosya düzeyinde şifreleme için Kişisel Veri Şifrelemesi'ni (PDE) dağıtın.
- macOS - Tam disk şifrelemesi için FileVault'i yönetin.
Yazılım güncelleştirmeleri - Cihazların güncelleştirmeleri ne zaman ve nasıl alacağını denetleme:
- Android - OEM üretici yazılımı için FOTA güncelleştirmeleri, Zebra cihazlar için Zebra LifeGuard OTA.
- iOS/iPadOS ve macOS - İşletim sistemi sürümlerini ve güncelleştirme zamanlamalarını yönetmek için güncelleştirme ilkelerini yapılandırın.
- Windows - Windows Update davranışlarını yapılandırın, güncelleştirmeleri zamanlayın ve özellik güncelleştirme uyumluluğunu koruyun.
Uygulama denetimi - Windows cihazlarında hangi uygulamaların çalışabileceğini tanımlamak için İş İçin Uygulama Denetimi ilkelerini kullanın.
Saldırı yüzeyini azaltma - Açıklardan yararlanma koruması, cihaz denetimi, uygulama yalıtımı ve ASR kuralları aracılığıyla güvenlik açıklarını azaltmak için ASR ilkelerini dağıtın.
Güvenlik temelleri - Windows cihazları, Microsoft Edge ve Microsoft güvenlik ekibi önerilerini yansıtan Uç Nokta için Microsoft Defender için önceden yapılandırılmış güvenlik temelleri dağıtın.
Ağ güvenliği
- VPN profilleri - Kuruluş kaynaklarına güvenli uzaktan erişim için VPN bağlantılarını yapılandırın.
- Güvenlik duvarı ilkeleri - Windows ve macOS cihazlarda yerleşik güvenlik duvarı korumasını yönetin.
Ayrıcalıklı erişim yönetimi
- Windows LAPS - Active Directory veya Microsoft Entra otomatik döndürme ve güvenli yedekleme ile yerel yönetici parolalarını yönetin.
- Uç Nokta Ayrıcalık Yönetimi - Kullanıcıları standart hesaplar olarak çalıştırırken onaylı uygulamalar için yükseltmeye izin verin.
Uygulama koruma ilkeleriyle verileri koruma
Intune yönetilen uygulamalarla uygulama koruma ilkelerini kullanarak uygulama katmanındaki kuruluş verilerini koruyun. Bu korumalar hem kayıtlı hem de kaydı kaldırılmış cihazlarda çalışır ve Kendi Cihazını Getir (KCG) senaryolarını destekler.
Intune yönetilen uygulamalar, Intune Uygulama SDK'sını tümleştirir veya Intune App Wrapping Tool kullanır. Desteklenen uygulamaların listesi için bkz. korumalı uygulamalar Intune.
Yönetilen uygulamalara ihtiyacınız olduğunda (örneğin, uygulama tabanlı Koşullu Erişim ilkelerini kullanarak), kullanıcılar kuruluş verilerine yalnızca bu yönetilen uygulamalar üzerinden erişebilir, kişisel veriler ise etkilenmez.
Önemli uygulama koruma ilkesi özellikleri:
- Kurumsal veri erişimi için PIN veya biyometrik kimlik doğrulaması gerektirme.
- Yönetilmeyen uygulamalara kopyalama/yapıştırma, ekran görüntüleri ve veri aktarımını engelleyin.
- Kuruluş verilerinin kişisel depolama alanına kaydedilmesini engelleme.
- Bekleyen kuruluş verilerinin şifrelenmesini zorunlu kılma.
- Cihazlar kaybolduğunda veya kullanıcılar ayrıldığında kuruluş verilerini uzaktan silin.
Cihazları ve verileri korumak için cihaz eylemlerini kullanma
Güvenlik olaylarına yanıt vermek veya cihaz güvenliğini korumak için anında cihaz eylemlerini çalıştırın. Devam eden yapılandırmaları koruyan ilkelerden farklı olarak, cihaz eylemleri çağrıldığında bir kez yürütülür. Eylemler çevrimiçi cihazlar için hemen veya çevrimdışı cihazlar için bir sonraki iadede etkinleşir. Toplu cihaz eylemleri aynı anda birden çok cihazı hedefleyebilir.
Yaygın güvenlik eylemleri:
- Uzaktan kilitleme - Yetkisiz erişimi önlemek için cihazı uzaktan kilitleyin.
- Temizleme - Tüm verileri ve ayarları kaldırarak bir cihazı fabrika ayarlarına sıfırlayın.
- Devre dışı bırakma - Kişisel verileri korurken kuruluş verilerini kaldırın.
- BitLocker anahtar döndürme (Windows) - Gelişmiş güvenlik için şifreleme anahtarlarını döndürün.
- Virüsten koruma taraması (Windows) - Tam veya hızlı kötü amaçlı yazılım taramaları çalıştırın.
- Defender zekası güncelleştirme - Tehdit tanımlarını yenileyin.
- Etkinleştirme Kilidini ( iOS/iPadOS) Devre Dışı Bırak - Cihazın yeniden kullanılması için Etkinleştirme Kilidi'ni kaldırın.
Bu eylemler, ortak yönetim veya kiracı ekleme kullanılırken Yapılandırma Yöneticisi aracılığıyla yönetilen cihazlar için de kullanılabilir.
İş ortağı teknolojileriyle tümleştirme
Microsoft teknolojileri ve üçüncü taraf iş ortakları ile tümleştirmeler aracılığıyla Intune koruma özelliklerini genişletin.
Uyumluluk iş ortakları
Üçüncü taraf MDM çözümlerinden cihaz uyumluluk verilerini Microsoft Entra ID ile tümleştirin. Bu, karma yönetim ortamlarına sahip kuruluşların, hangi MDM çözümünün yönettiğinden bağımsız olarak tüm cihazlarda birleşik Koşullu Erişim ilkelerini zorunlu kıldığını sağlar.
Yapılandırma Yöneticisi
ortak yönetim veya kiracı ekleme yoluyla Intune bulut tabanlı güvenlik ilkelerini şirket içi ve karma yönetilen cihazlara genişletin. Bu tümleştirme, bulut yönetimine geçiş veya hibrit altyapı bakımı sağlayan kuruluşlar için birleşik bir yönetim deneyimi sağlar:
- Ortak yönetim - Belirli özellikleri hangi hizmetin yönettiğini denetlemek için iş yükü kaydırıcılarıyla hem Yapılandırma Yöneticisi hem de Intune ile Windows cihazlarını eşzamanlı olarak yönetin.
- Kiracı ekleme - Merkezi görünürlük ve yönetim için Yapılandırma Yöneticisi cihazları Microsoft Intune yönetim merkezine eşitleyin.
Her iki yaklaşım da uç nokta güvenlik ilkeleri, uyumluluk ilkeleri, sertifika dağıtımı (SCEP/PKCS) ve güvenlik temelleri dahil olmak üzere Yapılandırma Yöneticisi cihazlarda Intune güvenlik ilkelerini etkinleştirir. Bu, bulut ve şirket içi yönetilen cihazlarda tutarlı bir güvenlik duruşu oluşturur.
Mobil Tehdit Savunması
Mobile Threat Defense (MTD) iş ortakları cihaz düzeyinde tehditleri, ağ tehditlerini, uygulama tabanlı tehditleri ve kimlik avı girişimlerini tarayarak tehdit algılamayı Microsoft'un yerleşik özelliklerinin ötesine taşır. MTD uygulamaları cihaz riskini sürekli olarak değerlendirir ve tehdit düzeylerini Intune bildirerek uyumluluk ilkeleri, uygulama koruma ilkeleri ve Koşullu Erişim aracılığıyla risk tabanlı erişim kararları verir.
Kayıtlı cihazlar için Intune, cihaz uyumluluk değerlendirmelerinde tehdit düzeyi değerlendirmelerini kullanırken MTD uygulamalarını dağıtır ve yönetir. Kabul edilebilir risk eşiklerini aşan cihazların, tehditler düzeltilinceye kadar kuruluş kaynaklarına erişimi engellenebilir.
KCG senaryolarında kaydı kaldırılan cihazlar için MTD tehdit düzeyleri uygulama koruma ilkesi kararlarını bilgilendirerek cihaz riski çok yüksek olduğunda yönetilen uygulamalar içindeki kuruluş verilerine erişimi engeller.
Intune gelişmiş tümleştirme özelliklerine sahip Uç Nokta için Microsoft Defender ve çeşitli güvenlik gereksinimlerine uygun birden çok üçüncü taraf MTD iş ortağını destekler.
Uç Nokta için Microsoft Defender
Uç Nokta için Microsoft Defender Windows, macOS, Linux, Android ve iOS/iPadOS genelindeki Intune tümleştirilerek cihaz yönetimini gelişmiş tehdit korumasıyla birleştiren birleşik bir güvenlik platformu oluşturur. Bu tümleştirme şunları sağlar:
- Tehdit bilgileri ve risk değerlendirmesi - Defender'ın sürekli tehdit algılama ve cihaz riski puanları doğrudan Intune uyumluluk ilkelerine ve Koşullu Erişim kararlarına akar ve dinamik, risk tabanlı erişim denetimi sağlar
- Gelişmiş uç nokta güvenlik yönetimi - Koruma ayarları, EDR ekleme, Saldırı Yüzeyi Azaltma kuralları, kurcalama koruması, web koruması ve cihaz denetimi gibi Intune ilkeleri aracılığıyla Defender özelliklerini yapılandırma ve dağıtma
- Güvenlik açığı yönetimi - Güvenlik görevleri, Defender'ın Tehdit ve Güvenlik Açığı Yönetimi risk altındaki cihazları tanımladığı ve Intune yöneticilerin doğrudan üzerinde işlem yapabilecekleri düzeltme yönergeleri sağladığı bir işbirliği iş akışı oluşturur
- Microsoft Tunnel - Uç Nokta için Defender, Android cihazlarda Microsoft Tunnel için VPN istemcisi görevi görür ve ayrı Defender lisansı gerektirmeden güvenli uzaktan erişim sağlar
Koşullu Erişim
Koşullu Erişim, Sıfır Güven erişim ilkeleri için zorlama altyapısı görevi görecek Microsoft Entra bir özelliktir. Gerçek zamanlı erişim kararları almak için Intune ve diğer kaynaklardan gelen sinyalleri değerlendirir ve yalnızca uyumlu cihazlardaki güvenilen kullanıcıların kuruluş kaynaklarına erişebilmesini sağlamaya yardımcı olur.
Koşullu Erişim birden çok sinyali değerlendirir:
- Intune ilkelerinden cihaz uyumluluk durumu
- Uç Nokta için Microsoft Defender ve MTD iş ortaklarının cihaz risk düzeyleri
- Microsoft Entra ID Koruması'ndan kullanıcı riski ve oturum açma riski
- Konum, cihaz platformu ve uygulamaya erişiliyor
Intune ile Koşullu Erişim şunları sağlar:
- Cihaz tabanlı ilkeler - Kuruluş kaynaklarına erişmeden önce cihazların uyumluluk gereksinimlerini karşılamasını zorunlu kılar.
- Uygulama tabanlı ilkeler - Yalnızca Intune uygulama koruma ilkeleri tarafından korunan uygulamaların Microsoft 365'e ve diğer hizmetlere erişebildiğinden emin olun.
- Risk tabanlı erişim - Defender ve MTD iş ortaklarının gerçek zamanlı tehdit bilgilerini temel alarak erişim gereksinimlerini dinamik olarak ayarlayın.
Koşullu Erişim, yönetilen ve yönetilmeyen cihazlarda çalışır ve değişen tehdit koşullarına uyum sağlayan bir erişim denetimi katmanı oluşturulmasına yardımcı olur.
Uç Nokta Ayrıcalık Yönetimi ekle
Uç Nokta Ayrıcalık Yönetimi (EPM), Windows kullanıcıları için standart kullanıcılar olarak çalıştırarak en az ayrıcalık erişimini zorlar ve onaylanan uygulamalar için geçici yükseltmeye izin verir. Bu yaklaşım, örtü yönetim erişimini engelleyerek saldırı yüzeyini azaltır.
EPM nasıl çalışır?
- Kullanıcılar varsayılan olarak standart hesaplar olarak çalışır.
- Yükseltme kuralları, hangi uygulamaların yükseltilmiş ayrıcalıklarla çalışabileceğini tanımlar.
- Uygulamalar dosya karmaları, sertifikalar veya diğer ölçütler kullanılarak doğrulanır.
- Yaygın olarak yükseltilmiş senaryolar: uygulama yüklemeleri, sürücü güncelleştirmeleri, Windows tanılaması.
İpucu
EPM, Windows cihazları için Intune bir eklenti olarak kullanılabilir ve ek lisans gerektirir.
Sonraki adımlar
Intune ile güvenlik duruşunuzu oluşturun:
- Yaklaşımınızı planlama - Intune için Sıfır Güven güvenlik kılavuzlarını gözden geçirin.
- Uç nokta güvenliğini yapılandırma - Odaklanmış güvenlik yapılandırmaları için uç nokta güvenlik ilkeleriyle başlayın.
- Uyumluluğu uygulama - Cihaz uyumluluk ilkelerini ve Koşullu Erişim'i dağıtın.
- Verileri koruma - Kuruluş verileri için uygulama koruma ilkelerini yapılandırın.
- İzleme ve bakım - Intune veri güvenliği ve paylaşımı hakkında bilgi edinin.