Öğretici: Microsoft Intune ile bulutta yerel Windows uç noktalarını ayarlama

Bu adım adım öğreticide, Microsoft Intune ve Windows Autopilot kullanarak bulutta yerel bir Windows uç noktasının nasıl ayarlanacağı gösterilmektedir. Buluta özel bir Windows uç noktası (bazen buluta özel Windows olarak yazılır) Microsoft Entra katılır, Microsoft Intune kaydedilir ve tamamen buluttan yönetilir; Active Directory etki alanına katılma, şirket içi altyapı gerekmez.

Bu öğreticinin sonunda, tam olarak yapılandırılmış bir Windows cihazınız şu şekildedir:

  • Microsoft Entra Microsoft Intune katıldı ve kaydoldu
  • Microsoft Defender Virüsten Koruma, BitLocker şifrelemesi, Windows LAPS ve güvenlik temelleri ile güvenli hale getirildi
  • Microsoft 365 uygulamaları, OneDrive Bilinen Klasör Taşıma ve Şirket Portalı ile Windows Autopilotaracılığıyla sağlanır
  • Windows filonuzun geri kalanına ölçeklendirmeye hazır

Arka plan için bkz. Bulutta yerel uç noktalar nedir? ve Microsoft Entra katılma uygulamanızı planlama.

İpucu

Buluta özel uç noktalar hakkında bilgi alırken aşağıdaki terimleri görürsünüz:

  • Uç nokta: Uç nokta, cep telefonu, tablet, dizüstü bilgisayar veya masaüstü bilgisayar gibi bir cihazdır. "Uç noktalar" ve "cihazlar" birbirinin yerine kullanılır.
  • Yönetilen uç noktalar: Bir MDM çözümü veya grup ilkesi Nesneleri kullanarak kuruluştan ilke alan uç noktalar. Bu cihazlar genellikle kuruluşa aittir, ancak KCG veya kişisel cihazlar da olabilir.
  • Bulutta yerel uç noktalar: Microsoft Entra birleştirilen uç noktalar. Şirket içi AD'ye katılmaz.
  • İş yükü: Herhangi bir program, hizmet veya işlem.

Nasıl başlarsınız?

Beş aşamayı sırayla tamamlayın; her biri öncekine göre derler.

Microsoft Intune ve Windows Autopilot kullanarak bulutta yerel Windows uç noktalarını ayarlamak için beş aşama.

Aşama Hedef
1. Aşama – Ortamınızı ayarlama Kiracınızı hazırlama, cihazı test etme ve temel Autopilot ilkeleri
2. Aşama – Buluta özel Bir Windows uç noktası oluşturma Autopilot aracılığıyla ilk uç noktanızı sağlama
3. Aşama – Buluta özel Windows uç noktanızın güvenliğini sağlama Uç nokta güvenliğini uygulama: Defender, BitLocker, LAPS, temeller, güncelleştirmeler
4. Aşama – Özelleştirmeleri uygulama ve şirket içi yapılandırmanızı gözden geçirme Kuruluşa özgü uygulamalar, ayarlar ekleme ve grup ilkesi geçiş
5. Aşama – Windows Autopilot ile dağıtımınızı ölçeklendirme OEM kaydı, kişilikleri ve dağıtım halkalarını kullanarak sağlamayı filonuza ölçeklendirin

Uç noktalarınız dağıtıldıktan sonra, devam eden işlemlerin bir parçası olarak Intune yönetim merkezinden ilke, uygulama ve uyumluluk durumunu doğrulamak için Bulutta yerel Windows uç noktalarınızı izleme bölümünü kullanın.

1. Aşama – Ortamınızı ayarlama

İlk buluta özel Windows uç noktanızı oluşturmadan önce, denetlenilmesi gereken bazı önemli gereksinimler ve yapılandırmalar vardır. Bu aşama gereksinimleri denetleme, Windows Autopilot'ı yapılandırma ve bazı ayarlar ve uygulamalar oluşturma adımlarını gösterir.

1. Adım - Ağ gereksinimleri

Buluta özel Windows uç noktanızın çeşitli internet hizmetlerine erişmesi gerekir. Testinizi açık bir ağda başlatın. İsterseniz , Windows Autopilot ağ gereksinimleri'nde listelenen tüm uç noktalara erişim sağladıktan sonra şirket ağınızı da kullanabilirsiniz.

Kablosuz ağınız sertifika gerektiriyorsa, cihaz sağlama için kablosuz bağlantılar için en iyi yaklaşımı belirlerken test sırasında bir Ethernet bağlantısıyla başlayabilirsiniz.

2. Adım - Kayıt ve Lisanslama

Microsoft Entra katılıp Intune kaydolmadan önce denetlemeniz gereken birkaç şey vardır. MDM Kullanıcıları Intune adı gibi yeni bir Microsoft Entra grubu oluşturabilirsiniz. Ardından, yapılandırmanızı ayarlarken cihazları kaydedebilecek kullanıcıları sınırlamak için belirli test kullanıcı hesaplarını ekleyin ve bu gruptaki aşağıdaki yapılandırmaların her birini hedefleyin. Microsoft Entra grubu oluşturmak için Microsoft Entra gruplarını ve grup üyeliğini yönetme'ye gidin.

  • Kayıt kısıtlamaları Kayıt kısıtlamaları, Intune ile yönetime kaydedilebilecek cihaz türlerini denetlemenize olanak tanır. Bu kılavuzun başarılı olması için varsayılan yapılandırma olan Windows (MDM) kaydına izin verildiğinden emin olun.

    Kayıt Kısıtlamalarını yapılandırma hakkında bilgi için Microsoft Intune'de kayıt kısıtlamalarını ayarlama bölümüne gidin.

  • Cihaz MDM ayarlarını Microsoft Entra Windows cihazını Microsoft Entra için birleştirdiğinizde, Microsoft Entra cihazlarınıza otomatik olarak MDM'ye kaydolmalarını söyleyecek şekilde yapılandırılabilir. Windows Autopilot'ın çalışması için bu yapılandırma gereklidir.

    Microsoft Entra Cihaz MDM ayarlarınızın düzgün etkinleştirildiğini denetlemek için Hızlı Başlangıç - Intune'da otomatik kaydı ayarlama bölümüne gidin.

  • Microsoft Entra şirket markası Şirket logonuzu ve resimlerinizi Microsoft Entra eklemek, kullanıcıların Microsoft 365'te oturum açtıklarında tanıdık ve tutarlı bir genel görünüm görmesini sağlar. Windows Autopilot'ın çalışması için bu yapılandırma gereklidir.

    Microsoft Entra'de özel marka yapılandırma hakkında bilgi için Kuruluşunuzun Microsoft Entra oturum açma sayfasına marka ekleme sayfasına gidin.

  • Lisans Windows cihazlarını İlk Çalıştırma Deneyimi'nden (OOBE) Intune kaydeden kullanıcılar için iki temel özellik gerekir.

    Kullanıcılar aşağıdaki lisanslara ihtiyaç duyar:

    • Eğitim içinMicrosoft Intune veya Microsoft Intune lisansı
    • Otomatik MDM kaydına izin veren aşağıdaki seçeneklerden biri gibi bir lisans:
      • Microsoft Entra Premium P1
      • Eğitim için Microsoft Intune

    Lisans atamak için Microsoft Intune lisansları ata'ya gidin.

    Not

    Her iki lisans türü de genellikle Microsoft 365 E3 (veya A3) ve üzeri gibi lisanslama paketlerine dahil edilir. Microsoft 365 lisanslama karşılaştırmalarını burada görüntüleyebilirsiniz.

3. Adım - Test cihazınızı içeri aktarma

Buluta özel Windows uç noktasını test etmek için bir sanal makine veya fiziksel cihazı teste hazır hale getirmekle işe başlamamız gerekir. Aşağıdaki adımlar cihaz ayrıntılarını alır ve bu makalenin devamında kullanılan Windows Autopilot hizmetine yükler.

Not

Aşağıdaki adımlar test için bir cihazı içeri aktarmak için bir yol sağlarken, İş Ortakları ve OEM'ler satın alma işleminin bir parçası olarak cihazları sizin yerinize Windows Autopilot'a aktarabilir. 5. Aşamada Windows Autopilot hakkında daha fazla bilgi vardır.

  1. Windows'u bir sanal makineye yükleyin veya fiziksel bir cihazı OOBE kurulum ekranında bekleyecek şekilde sıfırlayın. Sanal makine için isteğe bağlı olarak bir denetim noktası oluşturabilirsiniz.

  2. İnternet'e bağlanmak için gerekli adımları tamamlayın.

  3. Shift + F10 klavye bileşimini kullanarak bir komut istemi açın.

  4. bing.com ping atarak İnternet erişimine sahip olduğunuzu doğrulayın:

    • ping bing.com

  5. Komutunu çalıştırarak PowerShell'e geçin:

    • powershell.exe

  6. Aşağıdaki komutları çalıştırarak Get-WindowsAutopilotInfo betiğini indirin:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. İstendiğinde, kabul etmek için Y girin.

  8. Aşağıdaki komutu yazın:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Not

    Grup Etiketleri, cihazların bir alt kümesini temel alan dinamik Microsoft Entra grupları oluşturmanıza olanak tanır. Cihazları içeri aktarırken Grup Etiketleri ayarlanabilir veya daha sonra Microsoft Intune yönetim merkezinde değiştirilebilir. 4. Adımda CloudNative Grup Etiketini kullanırız. Testiniz için etiket adını farklı bir adla ayarlayabilirsiniz.

  9. Kimlik bilgileri istendiğinde Intune Yönetici hesabınızla oturum açın.

  10. 2. Aşamaya kadar bilgisayarı ilk çalıştırma deneyiminde bırakın.

4. Adım - Cihaz için Microsoft Entra dinamik grup oluşturma

Bu kılavuzdaki yapılandırmaları Windows Autopilot'a aktardığınız test cihazlarıyla sınırlamak için dinamik bir Microsoft Entra grubu oluşturun. Bu grup, Windows Autopilot'a aktaran ve CloudNative Grup Etiketine sahip cihazları otomatik olarak içermelidir. Ardından bu gruptaki tüm yapılandırmalarınızı ve uygulamalarınızı hedefleyebilirsiniz.

  1. Microsoft Intune yönetim merkezini açın.

  2. Gruplar>Yeni grup'ı seçin. Aşağıdaki ayrıntıları girin:

    • Grup türü: Güvenlik'i seçin.
    • Grup Adı: Windows Uç Noktaları Cloud-Native Autopilot girin.
    • Üyelik türü: Dinamik Cihaz'ı seçin.

  3. Dinamik sorgu ekle'yi seçin.

  4. Kural Söz Dizimi bölümünde Düzenle'yi seçin.

  5. Aşağıdaki metni yapıştırın:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. TamamKaydet Oluştur'u>> seçin.

İpucu

Değişiklikler gerçekleştikten sonra dinamik grupların doldurulma işlemi birkaç dakika sürer. Büyük kuruluşlarda bu işlem daha uzun sürebilir. Yeni bir grup oluşturduktan sonra, cihazın artık grubun bir üyesi olduğunu onaylamak için kontrol etmeden önce birkaç dakika bekleyin.

Cihazlar için dinamik gruplar hakkında daha fazla bilgi için Cihazlar için kurallar'a gidin.

5. Adım - Kayıt Durumu Sayfasını Yapılandırma

Kayıt durumu sayfası (ESP), BIR BT uzmanının uç nokta sağlama sırasında son kullanıcı deneyimini denetlemek için kullandığı mekanizmadır. Bkz. Kayıt Durumu Sayfasını Ayarlama. Kayıt durumu sayfasının kapsamını sınırlamak için yeni bir profil oluşturabilir ve önceki adımda oluşturulan Windows Uç Noktaları Cloud-Native Autopilot grubunu hedefleyebilirsiniz: Cihaz için dinamik grup Microsoft Entra oluşturun.

  • Test amacıyla aşağıdaki ayarları öneririz, ancak bunları gerektiği gibi ayarlamaktan çekinmeyin:

    Ayar Değer
    Uygulama ve profil yapılandırması ilerleme durumunu göster Evet
    Sayfayı yalnızca kullanıma hazır deneyim (OOBE) tarafından sağlanan cihazlara göster Evet (varsayılan)

6. Adım - Windows Autopilot profilini oluşturma ve atama

Artık Windows Autopilot profilini oluşturabilir ve test cihazımıza atayabiliriz. Bu profil cihazınıza Microsoft Entra katılmasını ve OOBE sırasında hangi ayarların uygulanacağını bildirir.

  1. Microsoft Intune yönetim merkezini açın.

  2. Cihazlar Cihaz>ekleme>Kaydı>Windows>Windows Autopilot>Dağıtım profilleri'ni seçin.

  3. Profil> oluşturWindows bilgisayar'ı seçin.

  4. Windows Uç Noktaları Cloud-Native Autopilot adını girin ve İleri'yi seçin.

  5. İlk çalıştırma deneyimi (OOBE) ayarlarında aşağıdaki anahtar değerlerini onaylayın ve İleri'yi seçin:

    Ayar Değer
    Dağıtım modu Kullanıcı odaklı
    Microsoft Entra ID'a farklı katılma Microsoft Entra katıldı
    Kullanıcı hesabı türü Standart
    Cihaz adı şablonu uygulama Isteğe bağlı. Gibi CloudPC-%SERIAL% bir adlandırma şablonu, cihazların yönetim merkezinde tanımlanmasını kolaylaştırır.

    Önemli

    Kullanıcı hesabı türünüStandart olarak ayarlamak en iyi güvenlik uygulamasıdır. Kullanıcıların onaylanmamış yazılım yüklemesini engeller ve buluta özel uç noktalarda saldırı yüzeyini azaltır.

  6. Kapsam etiketlerini bırakın ve İleri'yi seçin.

  7. Profili, Oluşturduğunuz Autopilot Cloud-Native Windows Uç Noktaları adlı Microsoft Entra grubuna atayın, İleri'yi ve ardından Oluştur'u seçin.

7. Adım - Windows Autopilot cihazlarını eşitleme

Windows Autopilot hizmeti günde birkaç kez eşitlenir. Ayrıca, cihazınızın test etmeye hazır olması için hemen bir eşitleme tetikleyebilirsiniz. Hemen eşitlemek için:

  1. Microsoft Intune yönetim merkezini açın.

  2. Cihazlar Cihaz>ekleme>Kaydı>Windows>Autopilot>Cihazları'na tıklayın.

  3. Eşitle'yi seçin.

Eşitleme birkaç dakika sürer ve arka planda devam eder. Eşitleme tamamlandığında, içeri aktarılan cihazın profil durumu Atanmış olarak görüntülenir.

8. Adım - En iyi Microsoft 365 deneyimi için ayarları yapılandırma

Yapılandırmak için birkaç ayar seçtik. Bu ayarlar, Windows buluta özel cihazınızda en uygun Microsoft 365 son kullanıcı deneyimini gösterir. Bu ayarlar bir cihaz yapılandırma ayarları katalog profili kullanılarak yapılandırılır. Daha fazla bilgi için Microsoft Intune ayarlar kataloğunu kullanarak ilke oluşturma bölümüne gidin.

Profili oluşturup ayarlarınızı ekledikten sonra, profili daha önce oluşturulan Autopilot Cloud-Native Windows Uç Noktaları grubuna atayın.

  • Microsoft Outlook - Microsoft Outlook'un ilk çalıştırma deneyimini geliştirmek için, Outlook ilk kez açıldığında aşağıdaki ayar otomatik olarak bir profil yapılandırılır.

    Kategoriyi ayarlama Ayar Değer
    Microsoft Outlook 2016\Hesap Ayarları\Exchange (Kullanıcı ayarı) Active Directory birincil SMTP adresine göre yalnızca ilk profili otomatik olarak yapılandırma Etkin

  • Microsoft Edge - Microsoft Edge'in ilk çalıştırma deneyimini geliştirmek için, aşağıdaki ayarlar Microsoft Edge'i kullanıcının ayarlarını eşitleyip ilk çalıştırma deneyimini atlayarak yapılandırabilir.

    Kategoriyi ayarlama Ayar Değer
    Microsoft Edge İlk çalıştırma deneyimini ve giriş ekranını gizleme Etkin
      Tarayıcı verilerinin eşitlenmesini zorla ve eşitleme onayı istemini gösterme Etkin

  • Microsoft OneDrive - İlk oturum açma deneyimini geliştirmek için, aşağıdaki ayarlar Microsoft OneDrive'ı otomatik olarak oturum açıp Masaüstü, Resimler ve Belgeler'i OneDrive'a yeniden yönlendirecek şekilde yapılandırılır. Files İsteğe Bağlı (FOD) de önerilir. Varsayılan olarak etkindir ve aşağıdaki listeye dahil değildir. OneDrive eşitleme uygulaması için önerilen yapılandırma hakkında daha fazla bilgi için Microsoft OneDrive için önerilen eşitleme uygulaması yapılandırması bölümüne gidin.

    Kategoriyi ayarlama Ayar Değer
    OneDrive Kullanıcıların Windows kimlik bilgileriyle OneDrive eşitleme uygulamasında sessizce oturum açması Etkin
      Windows bilinen klasörlerini sessizce OneDrive'a taşıma Etkin

    Not

    Daha fazla bilgi için Bilinen Klasörleri Yeniden Yönlendirme'ye gidin.

Aşağıdaki ekran görüntüsünde, önerilen ayarların her birinin yapılandırıldığı bir ayarlar kataloğu profili örneği gösterilmektedir:

Microsoft Intune'da bir ayarlar kataloğu profili örneğini gösteren ekran görüntüsü.

9. Adım - Bazı uygulamaları oluşturma ve atama

Buluta özel uç noktanızın bazı uygulamalara ihtiyacı vardır. Başlamak için aşağıdaki uygulamaları yapılandırmanızı ve bunları daha önce oluşturulan Autopilot Cloud-Native Windows Endpoints grubunda hedeflemenizi öneririz.

  • Microsoft 365 Uygulamaları (eski adıyla Office 365 ProPlus) - Word, Excel ve Outlook gibi Microsoft 365 Uygulamaları, Intune'deki Yerleşik Windows için Microsoft 365 uygulamaları uygulama profili kullanılarak cihazlara kolayca dağıtılabilir.

    • AYARLAR biçimi için XML yerine yapılandırma tasarımcısı'nı seçin.
    • Güncelleştirme kanalı için Geçerli Kanal'ı seçin.

    Microsoft 365 Uygulamaları dağıtmak için Microsoft Intune kullanarak Windows cihazlarına Microsoft 365 uygulamaları ekleme bölümüne gidin

  • Şirket Portalı uygulaması - Intune Şirket Portalı uygulamasını gerekli bir uygulama olarak tüm cihazlara dağıtmanız önerilir. Şirket Portalı uygulaması, kullanıcıların Intune, Microsoft Store ve Yapılandırma Yöneticisi gibi birden çok kaynaktan uygulama yüklemek için kullandıkları self servis hub'dır. Kullanıcılar ayrıca cihazlarını Intune ile eşitlemek, uyumluluk durumunu denetlemek vb. için Şirket Portalı uygulamasını kullanır.

    Şirket Portalı gerektiği gibi dağıtmak için bkz. Yönetilen Intune cihazlar için Windows Şirket Portalı uygulamasını ekleme ve atama.

  • Microsoft Store Uygulaması (Beyaz Tahta) - Intune çok çeşitli uygulamalar dağıtabilirken, bu kılavuzda işleri basit tutmaya yardımcı olmak için bir mağaza uygulaması (Microsoft Whiteboard) dağıtıyoruz. Microsoft Whiteboard'u yüklemek için Microsoft Store uygulamalarını Microsoft Intune ekleme makalesindeki adımları izleyin.

Sonraki: 2. Aşama – Buluta özel bir Windows uç noktası oluşturma

2. Aşama – Buluta özel Bir Windows uç noktası oluşturma

İlk buluta özel Windows uç noktanızı oluşturmak için, topladığınız sanal makineyi veya fiziksel cihazı kullanın ve ardından 1. Aşama, 3. Adım - Test cihazınızı içeri aktarma bölümünde donanım karması'nı Windows Autopilot hizmetine yükleyin. Bu cihazla Windows Autopilot işlemini inceleyin.

  1. Windows bilgisayarınızı İlk Çalıştırma Deneyimi'ne (OOBE) devam edin (veya gerekirse sıfırlayın).

    Not

    Kişisel veya bir kuruluş için kurulum seçmeniz istenirse Windows Autopilot işlemi başlatılmaz. Bu durumda cihazı yeniden başlatın ve İnternet erişimi olduğundan emin olun. Hala çalışmıyorsa bilgisayarı sıfırlamayı veya Windows'u yeniden yüklemeyi deneyin.

  2. Microsoft Entra kimlik bilgileriyle (UPN veya AzureAD\kullanıcıadı) oturum açın.

  3. Kayıt durumu sayfası, cihaz yapılandırmasının durumunu gösterir.

Tebrikler! İlk buluta özel Windows uç noktanızı sağladınız!

Uç noktanızı doğrulama

3. Aşamaya geçmeden önce yeni cihazınızda aşağıdaki görevleri doğrulayın:

  • OneDrive klasörleri (Masaüstü, Belgeler, Resimler) yeniden yönlendirilir ve eşitlenir.
  • Outlook açılır ve Microsoft 365 profilinizi otomatik olarak yapılandırılır.
  • Şirket Portalı yüklenir ve Microsoft Whiteboard kullanılabilir.
  • Microsoft Entra kimlik bilgilerinizle oturum açabilir ve bulut kaynaklarına erişebilirsiniz.
  • Gerekirse şirket içi kaynaklara (dosya paylaşımları, intranet siteleri, yazıcılar) erişilebilir.

Şirket içi kaynaklara erişmek için Windows Hello kullanırken parola girmeniz istenirse, karma İş İçin Windows Hello henüz yapılandırılmamış demektir. Oturum açma ekranındaki anahtar simgesini seçip bunun yerine kullanıcı adınızı ve parolanızı kullanarak teste devam edebilirsiniz. Daha fazla bilgi için bkz. Karma İş İçin Windows Hello.

Sonraki: 3. Aşama – Buluta özel Windows uç noktanızın güvenliğini sağlama

3. Aşama – Buluta özel Windows uç noktanızın güvenliğini sağlama

Bu aşama, kuruluşunuz için güvenlik ayarları oluşturmanıza yardımcı olmak üzere tasarlanmıştır. Bu bölüm, aşağıdakiler dahil olmak üzere Microsoft Intune çeşitli Endpoint Security bileşenlerine dikkatinizi çeker:

Microsoft Defender Virüsten Koruma (MDAV)

Windows'un yerleşik işletim sistemi bileşeni Microsoft Defender Virüsten Koruma için en düşük yapılandırma olarak aşağıdaki ayarlar önerilir. Bu ayarlar E3 veya E5 gibi belirli bir lisans sözleşmesi gerektirmez ve Microsoft Intune yönetim merkezinde etkinleştirilebilir.

Yönetim merkezinde Endpoint Security>Virüsten Koruma>Oluşturma İlkesi>Windows ve daha sonraki>Profil türü = Microsoft Defender Virüsten Koruma'ya gidin.

Defender:

  • Davranış İzlemeye İzin Ver: İzin Verilir. Gerçek zamanlı davranış izlemeyi açar.
  • Bulut Korumasına İzin Ver: İzin verilir. Bulut Koruması'nın açık olduğunu gösterir.
  • Email Taramaya İzin Ver: İzin Verilir. E-posta taramayı açar.
  • İndirilen tüm dosya ve eklerin taranmasına izin ver: İzin verilir.
  • Gerçek Zamanlı İzlemeye İzin Ver: İzin Verilir. Gerçek zamanlı izleme hizmetini açar ve çalıştırır.
  • Ağ Files Taramaya İzin Ver: İzin Verilir. Ağ dosyalarını tarar.
  • Betik Taramasına İzin Ver: İzin Verilir.
  • Bulut Genişletilmiş Zaman Aşımı: 50
  • Temizlenen kötü amaçlı yazılımların korunması için gün sayısı: 30
  • Ağ Korumasını Etkinleştir: Etkin (denetim modu)
  • PUA Koruması: PUA Koruması açık. Algılanan öğeler engellendi. Bunlar tarihte diğer tehditlerle birlikte gösterilir.
  • Gerçek Zamanlı Tarama Yönü: Tüm dosyaları izleyin (çift yönlü).
  • Örnekleri Gönderme Onayı: Güvenli örnekleri otomatik olarak gönderin.
  • Erişim Korumasında İzin Ver: İzin verilir.
  • Ciddi tehditler için düzeltme eylemi: Karantina. Dosyaları karantinaya alır.
  • Düşük önem derecesi tehdidi için düzeltme eylemi: Karantina. Dosyaları karantinaya alır.
  • Orta önem derecesi tehditleri için düzeltme eylemi: Karantina. Dosyaları karantinaya alır.
  • Yüksek önem derecesi tehditleri için düzeltme eylemi: Karantina. Dosyaları karantinaya alır.

Müşterinin E3 ve E5 lisansına yönelik Uç Nokta için Microsoft Defender dahil olmak üzere Windows Defender yapılandırması hakkında daha fazla bilgi için şuraya gidin:

Microsoft Defender Güvenlik Duvarı

Güvenlik duvarı ve güvenlik duvarı kurallarını yapılandırmak için Microsoft Intune'de Endpoint Security kullanın. Daha fazla bilgi için Intune'da uç nokta güvenliği için güvenlik duvarı ilkesi'ne gidin.

Microsoft Defender Güvenlik Duvarı, NetworkListManager CSP kullanarak güvenilir bir ağı algılayabilir. Ayrıca, Windows çalıştıran uç noktalarda etki alanı güvenlik duvarı profiline geçiş yapabilir.

Etki alanı ağ profilini kullanmak, güvenlik duvarı kurallarını güvenilir bir ağa, özel ağa ve genel ağa göre ayırmanıza olanak tanır. Bu ayarlar bir Windows özel profili kullanılarak uygulanabilir.

Not

Microsoft Entra katılmış uç noktalar, etki alanına katılmış uç noktaların yaptığı gibi bir etki alanı bağlantısını algılamak için LDAP kullanamaz. Bunun yerine, erişilebilir olduğunda uç noktayı etki alanı güvenlik duvarı profiline aktaran bir TLS uç noktası belirtmek için NetworkListManager CSP'sini kullanın.

BitLocker Şifrelemesi

BitLocker ile şifrelemeyi yapılandırmak için Microsoft Intune'da Endpoint Security'yi kullanın.

Bu ayarlar Microsoft Intune yönetim merkezinde etkinleştirilebilir. Yönetim merkezinde Uç Nokta Güvenliği>Disk şifrelemesini>yönetme>İlke> OluşturWindows ve daha sonra>BitLocker Profili'ne = gidin.

Aşağıdaki BitLocker ayarlarını yapılandırdığınızda, standart kullanıcılar için sessizce 128 bit şifrelemeyi etkinleştirirler ve bu da yaygın bir senaryodur. Ancak, kuruluşunuzun farklı güvenlik gereksinimleri olabilir, bu nedenle daha fazla ayar için BitLocker belgelerini kullanın.

Kategoriyi ayarlama Ayar Değer
Bitlocker Cihaz Şifrelemesi Gerektir Etkin
  Diğer disk şifrelemesi için uyarıya izin ver Devre dışı
  Standart Kullanıcı Şifrelemesine İzin Ver Etkin
  Kurtarma Parolası Döndürmeyi Yapılandırma Azure AD katılmış cihazlar için yenileme açık
BitLocker Sürücü Şifrelemesi Sürücü şifreleme yöntemini ve şifreleme gücünü seçme Yapılandırılmadı
  Kuruluşunuz için benzersiz tanımlayıcılar sağlayın Yapılandırılmadı
İşletim Sistemi Sürücüleri İşletim sistemi sürücülerinde sürücü şifreleme türünü zorunlu kılma Etkin
  Şifreleme türünü seçin (Cihaz) Yalnızca Kullanılan Alan şifrelemesi
  Başlangıçta ek kimlik doğrulaması gerektir Etkin
  Uyumlu bir TPM olmadan BitLocker'a izin ver (USB flash sürücüde parola veya başlangıç anahtarı gerektirir) False
  TPM başlangıç anahtarını ve PIN'i yapılandırma TPM ile başlangıç anahtarına ve PIN'e izin ver
  TPM başlangıç anahtarını yapılandırma TPM ile başlangıç anahtarına izin ver
  TPM başlangıç PIN'ini yapılandırma TPM ile başlangıç PIN'ine izin ver
  TPM başlatmayı yapılandırma TPM gerektir
  Başlangıç için en düşük PIN uzunluğunu yapılandırma Yapılandırılmadı
  Başlangıç için gelişmiş PIN'lere izin ver Yapılandırılmadı
  Standart kullanıcıların PIN'i veya parolayı değiştirmesine izin verme Yapılandırılmadı
  InstantGo veya HSTI ile uyumlu cihazların önyükleme öncesi PIN'i geri çevirmesine izin ver Yapılandırılmadı
  Sayfalarda önceden oluşturulmuş klavye girişi gerektiren BitLocker kimlik doğrulaması kullanımını etkinleştirme Yapılandırılmadı
  BitLocker korumalı işletim sistemi sürücülerinin nasıl kurtarılabileceğini seçme Etkin
  BitLocker kurtarma bilgilerinin kullanıcı depolama alanını yapılandırma 48 basamaklı kurtarma parolası gerektir
  Veri kurtarma aracısına izin ver False
  BitLocker kurtarma bilgilerinin AD DS'ye depolanmasını yapılandırma Kurtarma parolalarını ve anahtar paketlerini depolama
  Kurtarma bilgileri işletim sistemi sürücüleri için AD DS'de depolanıncaya kadar BitLocker'ı etkinleştirmeyin True
  BitLocker kurulum sihirbazından kurtarma seçeneklerini atla True
  BitLocker kurtarma bilgilerini işletim sistemi sürücüleri için AD DS'ye kaydetme True
  Önyükleme öncesi kurtarma iletisini ve URL'sini yapılandırma Yapılandırılmadı
Sabit Veri Sürücüleri Sabit veri sürücülerinde sürücü şifreleme türünü zorunlu kılma Etkin
  Şifreleme türünü seçin: (Cihaz) Kullanıcının seçmesine izin ver (varsayılan)
  BitLocker korumalı sabit sürücülerin nasıl kurtarılabileceğini seçme Etkin
  BitLocker kurtarma bilgilerinin kullanıcı depolama alanını yapılandırma 48 basamaklı kurtarma parolası gerektir
  Veri kurtarma aracısına izin ver False
  BitLocker kurtarma bilgilerinin AD DS'ye depolanmasını yapılandırma Yedekleme kurtarma parolaları ve anahtar paketleri
  Kurtarma bilgileri sabit veri sürücüleri için AD DS'de depolanana kadar BitLocker'ı etkinleştirmeyin True
  BitLocker kurulum sihirbazından kurtarma seçeneklerini atla True
  BitLocker kurtarma bilgilerini sabit veri sürücüleri için AD DS'ye kaydetme True
  BitLocker tarafından korunmayan sabit sürücülere yazma erişimini reddetme Yapılandırılmadı
Çıkarılabilir Veri Sürücüleri Çıkarılabilir sürücülerde BitLocker kullanımını denetleme Etkin
  Kullanıcıların çıkarılabilir veri sürücülerine BitLocker koruması uygulamasına izin ver (Cihaz) False
  Kullanıcıların çıkarılabilir veri sürücülerinde BitLocker korumasını askıya almasına ve şifresini çözmesine izin ver (Cihaz) False
  BitLocker tarafından korunmayan çıkarılabilir sürücülere yazma erişimini reddetme Yapılandırılmadı

Windows Yerel Yönetici Parola Çözümü (LAPS)

Varsayılan olarak, yerleşik yerel yönetici hesabı (iyi bilinen SID S-1-5-500) devre dışı bırakılır. Sorun giderme, son kullanıcı desteği ve cihaz kurtarma gibi yerel yönetici hesabının yararlı olabileceği bazı senaryolar vardır. Yerleşik yönetici hesabını etkinleştirmeye veya yeni bir yerel yönetici hesabı oluşturmaya karar verirseniz, bu hesabın parolasının güvenliğini sağlamak önemlidir.

Windows Yerel Yönetici Parola Çözümü (LAPS), parolayı rastgele ve güvenli bir şekilde Microsoft Entra depolamak için kullanabileceğiniz özelliklerden biridir. MDM hizmeti olarak Intune kullanıyorsanız Windows LAPS'yi etkinleştirmek için aşağıdaki adımları kullanın.

Önemli

Windows LAPS, yeniden adlandırılmış olsa veya başka bir yerel yönetici hesabı oluştursanız bile varsayılan yerel yönetici hesabının etkinleştirildiğini varsayar. Otomatik hesap yönetim modunu yapılandırmadığınız sürece Windows LAPS sizin için herhangi bir yerel hesap oluşturmaz veya etkinleştirmez.

Windows LAPS'yi yapılandırmaktan ayrı olarak herhangi bir yerel hesap oluşturmanız veya etkinleştirmeniz gerekir. Bu görevi betik olarak kullanabilir veya Hesaplar CSP'leri veya İlke CSP'leri gibi Yapılandırma Hizmeti Sağlayıcıları'nı (CSP'ler) kullanabilirsiniz.

  1. Windows cihazlarınızda Nisan 2023 (veya üzeri) güvenlik güncelleştirmesinin yüklü olduğundan emin olun.

    Daha fazla bilgi için işletim sistemi güncelleştirmelerini Microsoft Entra bölümüne gidin.

  2. Microsoft Entra'de Windows LAPS'yi etkinleştirme:

    1. Microsoft Entra oturum açın.
    2. Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet>Kaydet'i (sayfanın üst kısmında) seçin.

    Daha fazla bilgi için windows LAPS'yi Microsoft Entra ile etkinleştirme bölümüne gidin.

  3. Intune bir uç nokta güvenlik ilkesi oluşturun:

    1. Microsoft Intune yönetim merkezinde oturum açın.
    2. Endpoint Security>Hesap Koruması>İlke> OluşturWindows>Yerel yönetici parolası çözümü (Windows LAPS)Oluştur'u> seçin.

    Daha fazla bilgi için Intune'da LAPS ilkesi oluşturma bölümüne gidin.

Güvenlik Temelleri

Windows uç noktasının güvenliğini artıracağı bilinen bir dizi yapılandırma uygulamak için güvenlik temellerini kullanabilirsiniz. Güvenlik temelleri hakkında daha fazla bilgi için Intune için Windows MDM güvenlik temeli ayarları'na gidin.

Temeller önerilen ayarlar kullanılarak uygulanabilir ve gereksinimlerinize göre özelleştirilebilir. Temeller içindeki bazı ayarlar beklenmeyen sonuçlara neden olabilir veya Windows uç noktalarınızda çalışan uygulamalar ve hizmetlerle uyumsuz olabilir. Sonuç olarak, taban çizgileri yalıtımlı olarak test edilmelidir. Temeli, başka yapılandırma profilleri veya ayarları olmadan yalnızca seçmeli bir test uç noktası grubuna uygulayın.

Güvenlik Temelleri Bilinen Sorunlar

Windows güvenlik temelindeki aşağıdaki ayarlar, Windows Autopilot ile ilgili sorunlara neden olabilir veya uygulamaları standart kullanıcı olarak yüklemeye çalışır:

  • Yerel İlkeler Güvenlik Seçenekleri\Yönetici yükseltme istemi davranışı (varsayılan = Güvenli masaüstünde onay iste)
  • Standart kullanıcı yükseltme istemi davranışı (varsayılan = Yükseltme isteklerini otomatik olarak reddet)

Daha fazla bilgi için bkz. Windows Autopilot ile ilke çakışmalarıyla ilgili sorunları giderme.

İstemci ilkelerini Windows Update

Windows Update istemci ilkeleri, güncelleştirmelerin cihazlara nasıl ve ne zaman yükleneceğini denetlemeye yönelik bulut teknolojisidir. Intune Windows Update istemci ilkeleri şu şekilde yapılandırılabilir:

Daha fazla bilgi için:

İpucu

Bulutta yerel ortamlar için Windows Otomatik Düzeltme Eki'ne göz atın. Otomatik düzeltme eki, güncelleştirme kademesi yönetimini ve raporlamasını otomatikleştirerek erteleme dönemlerini ve son tarihleri el ile ayarlama gereksinimini ortadan kaldırır. Microsoft Intune dahil edilmiştir ve tam otomatik, ilke temelli Windows güncelleştirmelerini en az yönetici yüküyle isteyen kuruluşlar için önerilen yaklaşımdır.

Uyumluluk ilkesi

Uyumluluk ilkesi, buluta özel Windows uç noktalarınızın durumunu bildirir; örneğin BitLocker'ın etkinleştirilip etkinleştirilmediği, Güvenli Önyüklemenin açık olduğu ve Virüsten Koruma'nın çalıştığı Microsoft Defender. İlke aynı zamanda Koşullu Erişim'in temelini oluşturur, bu nedenle uyumsuz cihazların kuruluş kaynaklarına erişmesini engelleyebilirsiniz.

Windows uyumluluk ilkesi oluşturmak için:

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Uyumluluk>İlkesi Oluştur'u seçin.

  3. Platform için Windows 10 ve daha sonra>Oluştur'u seçin.

  4. Temel Bilgiler'de ilke için bir ad girin ve İleri'yi seçin.

  5. Uyumluluk ayarları'nda aşağıdaki önerilen değerleri yapılandırın ve İleri'yi seçin:

    Kategoriyi ayarlama Ayar Değer
    Cihaz Durumu BitLocker gerektir Gerektirir
      Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir Gerektirir
      Kod bütünlüğü gerektir Gerektirir
    Sistem Güvenliği Güvenlik Duvarı Gerektirir
      Antivirüs Gerektirir
      Antispyware Gerektirir
      Mobil cihazların kilidini açmak için parola iste Gerektirir
      Basit parolalar Engelle
      Parola türü Alfasayısal
      En düşük parola uzunluğu 14
      Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı 1 Dakika
      Parola süre sonu (gün) 365
      Yeniden kullanımı önlemek için önceki parola sayısı 5
    Defender Microsoft Defender Kötü Amaçlı Yazılımdan Koruma Gerektirir
      Microsoft Defender Kötü amaçlı yazılımdan koruma güvenlik bilgileri güncel Gerektirir
      Gerçek zamanlı koruma Gerektirir

    İpucu

    Microsoft ve geçerli NIST kılavuzu artık düzenli parola süre sonu önermez. Windows güvenlik temeli 2019'da parola süre sonunu kaldırdı. Bulutta yerel uç noktalar için en güçlü duruş, kullanıcıları İş İçin Windows Hello ve geçiş anahtarları / FIDO2 güvenlik anahtarlarıyla parolasız oturum açmaya taşımak ve Microsoft Entra Parola Koruması ile zayıf parolaları engellemektir. Yukarıdaki değerleri kuruluşunuzun ilkesiyle eşleşecek şekilde ayarlayın. Daha fazla bilgi için bkz. Microsoft Intune ile parolasız kimlik doğrulaması.

  6. Uyumsuzluk eylemleri bölümünde Cihaz uyumsuz zamanlamasını gün (veya kuruluşunuza 1 uygun başka bir yetkisiz kullanım süresi) olarak işaretleyin.

    İpucu

    Koşullu Erişim kullanıyorsanız uyumsuz cihazların kuruluş kaynaklarına erişimi hemen kaybetmemesi için bir yetkisiz kullanım süresi yapılandırın. Ayrıca, e-posta kullanıcılarına uyumlu olmak için gerekli adımları içeren bir eylem ekleyebilirsiniz.

  7. İlkeyi 4. Adım - Cihaz için Microsoft Entra dinamik grubu oluşturma bölümünden Windows Uç Noktaları Cloud-Native Autopilot grubuna atayın.

Windows uyumluluk ayarları hakkında daha fazla bilgi için bkz. Microsoft Intune'de Windows cihaz uyumluluk ayarları.

Koşullu Erişim

Microsoft Entra'da Koşullu Erişim, kuruluş kaynaklarına erişime izin vermek veya erişimi engellemek için Intune gelen uyumluluk sinyalini kullanır. En yaygın bulutta yerel desen, Microsoft 365 uygulamaları ve diğer bulut hizmetleri için uyumlu bir cihaz gerektirir . Bu düzen yalnızca Intune yönetilen ve iyi durumdaki cihazların verilerinize erişebilmesini sağlar.

Tipik bir bulutta yerel Koşullu Erişim temeli şunları içerir:

  • Tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektir.
  • Bulut uygulamaları için uyumlu bir cihaz (veya karma Microsoft Entra birleştirilmiş cihaz) gerektirme.
  • Eski kimlik doğrulama protokollerini engelleyin .

Önemli

İlk olarak bir pilot grupta Koşullu Erişim ilkelerini test edin. Yanlış yapılandırılmış bir ilke yöneticileri Microsoft Entra yönetim merkezi dışında kilitleyebilir.

Adım adım yönergeler için bkz:

Sonraki: 4. Aşama – Özelleştirmeleri uygulama ve şirket içi yapılandırmanızı gözden geçirme

4. Aşama – Özelleştirmeleri uygulama ve şirket içi yapılandırmanızı gözden geçirme

Bu aşamada, kuruluşa özgü ayarları, uygulamaları uygular ve şirket içi yapılandırmanızı gözden geçirirsiniz. Aşama, kuruluşunuza özgü özelleştirmeler oluşturmanıza yardımcı olur. Windows'un çeşitli bileşenlerine, şirket içi AD grup ilkesi ortamındaki mevcut yapılandırmaları nasıl gözden geçirebileceğinize ve bunları buluta özel uç noktalara nasıl uygulayabileceğinize dikkat edin. Aşağıdaki alanların her biri için bölümler vardır:

Microsoft Edge

Microsoft Edge Dağıtımı

Microsoft Edge, şu çalıştıran cihazlara dahildir:

  • Windows

Kullanıcılar oturum açıldıktan sonra Microsoft Edge otomatik olarak güncelleştirilir. Dağıtım sırasında Microsoft Edge güncelleştirmesini tetikleme için aşağıdaki komutu çalıştırabilirsiniz:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Microsoft Edge'i Windows'un önceki sürümlerine dağıtmak için Windows için Microsoft Edge'i Microsoft Intune ekleme bölümüne gidin.

Microsoft Edge Yapılandırması

Kullanıcılar Microsoft 365 kimlik bilgileriyle oturum açarken geçerli olan Microsoft Edge deneyiminin iki bileşeni Microsoft 365 Yönetici Merkezi'nden yapılandırılabilir.

  • Microsoft Edge'deki başlangıç sayfası logosu, Microsoft 365 yönetim merkezi içindeki Kuruluşunuz bölümü yapılandırılarak özelleştirilebilir. Daha fazla bilgi için Bkz. Kuruluşunuz için Microsoft 365 temasını özelleştirme.

  • Microsoft Edge'deki varsayılan yeni sekme sayfası deneyimi, Office 365 bilgileri ve kişiselleştirilmiş haberleri içerir. Bu sayfanın nasıl görüntülendiği Ayarlar>Kuruluş ayarları>Haberler>Microsoft Edge yeni sekme sayfasındaki Microsoft 365 yönetim merkezi özelleştirilebilir.

Ayrıca, ayarlar kataloğu profillerini kullanarak Microsoft Edge için diğer ayarları da ayarlayabilirsiniz. Örneğin, kuruluşunuz için belirli eşitleme ayarlarını yapılandırmak isteyebilirsiniz.

  • Microsoft Edge
    • Eşitlemeden dışlanan türlerin listesini yapılandırma - parolalar

Başlangıç ve Görev çubuğu düzeni

Intune kullanarak standart bir başlangıç ve görev çubuğu düzenini özelleştirebilir ve ayarlayabilirsiniz.

Ayarlar kataloğu

Ayarlar kataloğu, yapılandırılabilir tüm Windows ayarlarının listelendiği tek bir konumdur. Bu özellik, ilke oluşturma ve tüm kullanılabilir ayarları görme işlemlerini basitleştirir. Daha fazla bilgi için Microsoft Intune ayarlar kataloğunu kullanarak ilke oluşturma bölümüne gidin.

İpucu

Grup ilkesinden bildiğiniz ayarların çoğu ayarlar kataloğunda yerleşik olarak bulunur. Ayarlar kataloğunda ayarlar kullanılamıyorsa cihaz yapılandırma profilleri şablonlarını denetleyin.

Aşağıda, ayarlar kataloğunda bulunan ve kuruluşunuzla ilgili olabilecek bazı ayarlar yer alır:

  • Azure Active Directory tercih edilen kiracı etki alanı - Bu ayar, tercih edilen kiracı etki alanı adını kullanıcının kullanıcı adına eklenecek şekilde yapılandırıyor. Tercih edilen kiracı etki alanı, kullanıcının etki alanı adı tercih edilen kiracı etki alanıyla eşleşecek şekilde kullanıcıların tüm UPN'leri yerine yalnızca kullanıcı adları ile Microsoft Entra uç noktalarda oturum açmasına olanak tanır. Farklı etki alanı adları olan kullanıcılar tüm UPN'lerini yazabilir.

    Kategoriyi ayarlama Ayar Değer
    Kimlik doğrulaması Tercih Edilen AAD Kiracı Etki Alanı Adı Etki alanı adını girin, örneğin contoso.onmicrosoft.com.

    Not

    Ayar etiketi eski terminolojiyi kullanır. "AAD" Microsoft Entra ID anlamına gelir.

  • Windows Spotlight - Varsayılan olarak, Windows'un çeşitli tüketici özellikleri etkinleştirilir ve bu da kilit ekranında seçili Mağaza uygulamalarının yüklenmesine ve üçüncü taraf önerilerine neden olur. Bunu, ayarlar kataloğunun Deneyim bölümünü kullanarak denetleyebilirsiniz.

    Kategoriyi ayarlama Ayar Değer
    Windows Spotlight'a İzin Verme Deneyimi > Windows Tüketici Özelliklerine İzin Ver Engelle
      Windows Spotlight'ta Üçüncü Taraf Önerilerine İzin Ver (kullanıcı) Engelle

  • Microsoft Store - Kuruluşlar genellikle uç noktalara yüklenebilen uygulamaları kısıtlamak ister. Kuruluşunuz Microsoft Store'dan yükleyebilecek uygulamaları denetlemek istiyorsa bu ayarı kullanın. Bu ayar, onaylanmadıkları sürece kullanıcıların uygulamaları yüklemesini engeller.

    Kategoriyi ayarlama Ayar Değer
    Microsoft App Store Yalnızca Özel Mağaza gerektir Yalnızca Özel mağaza etkinleştirildi

    Not

    Bu ayar Windows 10 için geçerlidir. Windows 11 bu ayar genel Microsoft mağazasına erişimi engeller. Daha fazla bilgi için:

  • Oyun Engelleme - Kuruluşlar, kurumsal uç noktaların oyun oynamak için kullanılamayabileceğini tercih edebilir. Ayarlar uygulamasındaki Oyun sayfası, aşağıdaki ayar kullanılarak tamamen gizlenebilir. Ayarlar sayfası görünürlüğü hakkında ek bilgi için CSP belgelerine ve ms-settings URI düzeni başvurusuna gidin.

    Kategoriyi ayarlama Ayar Değer
    Ayarlar Sayfa Görünürlüğü Listesi hide:gaming-gamebar; gaming-gamedvr; oyun yayıncılığı; oyun-oyun modu; oyun-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Teams masaüstü istemcisinin hangi kiracılarda oturum açabileceğini denetleme - Bu ilke bir cihazda yapılandırıldığında, kullanıcılar yalnızca bu ilkede tanımlanan "Kiracı İzin Verilenler Listesi"nde yer alan Microsoft Entra kiracıda bulunan hesaplarla oturum açabilir. "Kiracı İzin Listesi", Microsoft Entra kiracı kimliklerinin virgülle ayrılmış bir listesidir. Bu ilkeyi belirterek ve Microsoft Entra bir kiracı tanımlayarak Teams'te kişisel kullanım için oturum açmayı da engellersiniz. Daha fazla bilgi için Bkz. Masaüstü cihazlarda oturum açmayı kısıtlama.

    Kategoriyi ayarlama Ayar Değer
    Microsoft Teams Teams'de oturum açmayı belirli kiracılardaki hesaplarla kısıtlama (Kullanıcı) Etkin

Cihaz Kısıtlamaları

Windows Cihaz kısıtlamaları şablonları, Windows Yapılandırma Hizmeti Sağlayıcılarını (CSP' ler) kullanarak bir Windows uç noktasının güvenliğini sağlamak ve yönetmek için gereken ayarların çoğunu içerir. Bu ayarların daha fazlası zaman içinde ayarlar kataloğunda kullanılabilir hale getirilecektir. Daha fazla bilgi için Cihaz Kısıtlamaları'na gidin.

Cihaz kısıtlamaları şablonunu kullanan bir profil oluşturmak için, Microsoft Intune yönetim merkezindeCihazlar Cihazları>Yönet>Yapılandırma>Yeni ilke>oluştur> Platform >Şablonları için Windows 10 ve üzerini seçin Profil türü için cihaz kısıtlamaları'na gidin.

  • Masaüstü arka plan resmi URL'si (Yalnızca masaüstü) - Windows Enterprise veya Windows Education SKU'larında duvar kağıdı ayarlamak için bu ayarı kullanın. Dosyayı çevrimiçi olarak barındırabilirsiniz veya yerel olarak kopyalanan bir dosyaya başvurursunuz. Bu ayarı yapılandırmak için, Cihaz kısıtlamaları profilinin Yapılandırma ayarları sekmesinde Kişiselleştirme'yi genişletin ve Masaüstü arka plan resmi URL'sini (Yalnızca masaüstü) yapılandırın.

  • Cihaz kurulumu sırasında kullanıcıların bir ağa bağlanmasını gerektir - Bu ayar, bilgisayar sıfırlanırsa bir cihazın Windows Autopilot'ı atlama riskini azaltır. Bu ayar, ilk çalıştırma deneyimi aşamasında cihazların ağ bağlantısına sahip olmasını gerektirir. Bu ayarı yapılandırmak için, Cihaz kısıtlamaları profilinin Yapılandırma ayarları sekmesinde Genel'i genişletin ve Cihaz kurulumu sırasında kullanıcıların ağa bağlanmasını gerektir'i yapılandırın.

    Not

    Ayar, cihaz bir sonraki silinişinde veya sıfırlandığında etkin hale gelir.

Teslim İyileştirme

Teslim İyileştirme, desteklenen paketleri birden çok uç nokta arasında indirme işini paylaşarak bant genişliği tüketimini azaltmak için kullanılır. Teslim İyileştirme, istemcilerin bu paketleri ağdaki eşler gibi alternatif kaynaklardan indirmesini sağlayan kendi kendini düzenleyen bir dağıtılmış önbellektir. Bu eş kaynaklar, geleneksel İnternet tabanlı sunucuları destekler. Teslim İyileştirme için kullanılabilen tüm ayarlar ve hangi indirme türlerinin desteklendiği hakkında bilgi edinmek için Windows güncelleştirmeleri için Teslim İyileştirme'yi kullanabilirsiniz.

Teslim İyileştirme ayarlarını uygulamak için bir Intune Teslim İyileştirme profili veya ayarlar kataloğu profili oluşturun.

Kuruluşlar tarafından yaygın olarak kullanılan bazı ayarlar şunlardır:

  • Eş seçimini kısıtla – Alt ağ - Bu ayar eş önbelleğini aynı alt bilgisayarınızda bulunan bilgisayarlara kısıtlar.
  • Grup Kimliği - Teslim İyileştirme istemcileri yalnızca aynı gruptaki cihazlarla içerik paylaşacak şekilde yapılandırılabilir. Grup kimlikleri, ilke aracılığıyla bir GUID gönderilerek veya DHCP kapsamlarında DHCP seçenekleri kullanılarak doğrudan yapılandırılabilir.

Microsoft Configuration Manager kullanan müşteriler, Teslim İyileştirme içeriğini barındırmak için kullanılabilecek bağlı önbellek sunucuları dağıtabilir. Daha fazla bilgi için Yapılandırma Yöneticisi'de Microsoft Bağlı Önbellek'e gidin.

Yerel Yöneticiler

Tüm Microsoft Entra katılmış Windows cihazlarına yerel yönetici erişimi gerektiren tek bir kullanıcı grubu varsa, bunları Microsoft Entra Katılmış Cihaz Yerel Yöneticisi'ne ekleyebilirsiniz.

BT yardım masasının veya diğer destek personelinin belirli bir cihaz grubunda yerel yönetici haklarına sahip olması gerekebilir. Aşağıdaki Yapılandırma Hizmeti Sağlayıcıları'nı (CSP' ler) kullanarak bu gereksinimi karşılayabilirsiniz.

Daha fazla bilgi için bkz. Birleştirilmiş Microsoft Entra cihazlarda yerel yöneticiler grubunu yönetme

MDM Ayarı Geçişi'ne grup ilkesi

grup ilkesi'den buluta özel cihaz yönetimine geçiş yaparken cihaz yapılandırmanızı oluşturmak için çeşitli seçenekler vardır:

  • Yeni bir başlangıç yapın ve gerektiği gibi özel ayarlar uygulayın.
  • Mevcut Grup İlkelerini gözden geçirin ve gerekli ayarları uygulayın. Grup ilkesi analiz gibi yardımcı olması için araçları kullanabilirsiniz.
  • Desteklenen ayarlar için doğrudan Cihaz Yapılandırması profilleri oluşturmak için grup ilkesi analizini kullanın.

Buluta özel Windows uç noktasına geçiş, son kullanıcı bilgi işlem gereksinimlerinizi gözden geçirme ve geleceğe yönelik yeni bir yapılandırma oluşturma fırsatı sunar. Mümkün olduğunda, en az ilke kümesiyle yeni bir başlangıç başlatın. Etki alanına katılmış bir ortamdan veya Windows 7 veya Windows XP gibi eski işletim sistemlerinden gereksiz veya eski ayarları iletmekten kaçının.

Yeni bir başlangıç yapmak için geçerli gereksinimlerinizi gözden geçirin ve bu gereksinimleri karşılamak için minimum düzeyde bir ayar koleksiyonu uygulayın. Gereksinimler, son kullanıcı deneyimini geliştirmek için yasal veya zorunlu güvenlik ayarlarını ve ayarlarını içerebilir. İşletme, BT'yi değil gereksinimlerin listesini oluşturur. Her ayarın belgelenmesi, anlaşılması ve bir amaca hizmet etmesi gerekir.

Ayarların mevcut Grup İlkeleri'nden MDM'ye (Microsoft Intune) geçirilmesi tercih edilen bir yaklaşım değildir. Bulutta yerel Windows'a geçiş yaptığınızda, amaç mevcut grup ilkesi ayarlarını kaldırıp kaydırmak olmamalıdır. Bunun yerine hedef kitleyi ve gerekli ayarları göz önünde bulundurun. Ortamınızdaki her grup ilkesi ayarını gözden geçirerek modern yönetilen bir cihazla olan ilgililiğini ve uyumluluğunu belirlemek zaman alır ve muhtemelen pratik değildir. Her grup ilkesini ve tek tek ayarları değerlendirmeye çalışmaktan kaçının. Bunun yerine, çoğu cihaz ve senaryoyu kapsayan yaygın ilkeleri değerlendirmeye odaklanın.

Bunun yerine, zorunlu olan grup ilkesi ayarlarını belirleyin ve bu ayarları kullanılabilir MDM ayarlarına göre gözden geçirin. Tüm boşluklar çözümlenmemişse buluta özel bir cihazla ilerlemenizi engelleyebilecek engelleyicileri temsil eder. grup ilkesi analizi gibi araçlar, grup ilkesi ayarlarını analiz etmek ve bunların MDM ilkelerine geçirilip geçirilmeyeceğini belirlemek için kullanılabilir.

Komut dosyaları

Yerleşik yapılandırma profillerinin dışında yapılandırmanız gereken tüm ayarlar veya özelleştirmeler için PowerShell betiklerini kullanabilirsiniz. Daha fazla bilgi için Microsoft Intune'da Windows cihazlarına PowerShell betikleri ekleme bölümüne gidin.

Ağ Sürücülerini ve Yazıcıları Eşleme

Bulutta yerel senaryoların eşlenen ağ sürücüleri için yerleşik çözümü yoktur. Bunun yerine, kullanıcıların Teams, SharePoint ve OneDrive'a geçişlerini öneririz. Geçiş mümkün değilse, gerekirse betik kullanımını göz önünde bulundurun.

Kişisel depolama için , 8. Adım - En iyi Microsoft 365 deneyimi için ayarları yapılandırma bölümünde OneDrive Bilinen Klasör taşımayı yapılandırdık. Daha fazla bilgi için Bilinen Klasörleri Yeniden Yönlendirme'ye gidin.

Belge depolama için, kullanıcılar Dosya Gezgini ile SharePoint tümleştirmesinden ve kitaplıkları yerel olarak eşitleme özelliğinden de yararlanabilir. Burada belirtildiği gibi: SharePoint ve Teams dosyalarını bilgisayarınızla eşitleme.

Genellikle iç sunucularda bulunan kurumsal Office belge şablonlarını kullanıyorsanız, kullanıcıların şablonlara her yerden erişmesine izin veren daha yeni bulut tabanlı eşdeğeri göz önünde bulundurun.

Yazdırma çözümleri için Evrensel Yazdırma'yı göz önünde bulundurun. Daha fazla bilgi için:

Uygulamalar

Intune birçok farklı Windows uygulama türünün dağıtımını destekler.

MSI, EXE veya betik yükleyicileri kullanan uygulamalarınız varsa, Microsoft Intune'da Win32 uygulama yönetimini kullanarak bu uygulamaların tümünü dağıtabilirsiniz. Bu yükleyicileri Win32 biçiminde sarmalama bildirimleri, teslim iyileştirmesi, bağımlılıklar, algılama kuralları ve Windows Autopilot'taki Kayıt Durumu Sayfası için destek de dahil olmak üzere daha fazla esneklik ve avantaj sağlar.

Not

Yükleme sırasında çakışmaları önlemek için Yalnızca Windows iş kolu uygulamalarını veya Win32 uygulamaları özelliklerini kullanmaya devam etmenizi öneririz. veya .exeolarak .msi paketlenmiş uygulamalarınız varsa, GitHub'da bulunan Microsoft Win32 İçerik Hazırlama Aracı kullanılarak Win32 uygulamalarına (.intunewin) dönüştürülebilir.

Sonraki: 5. Aşama – Windows Autopilot ile dağıtımınızı ölçeklendirme

5. Aşama – Windows Autopilot ile dağıtımınızı ölçeklendirme

Tek bir cihazda bulutta yerel olarak çalıştığını kanıtladınız. Bu aşama, bir test cihazından üretim filonuza nasıl taşınabileceğinizi (cihazların nasıl kaydedildiği, bunları kişiliklere göre nasıl gruplandırdığınız, dağıtımı nasıl gerçekleştirdiğiniz ve zaten yönettiğiniz mevcut bilgisayarları nasıl işlediğiniz) kapsar.

Cihazları uygun ölçekte kaydetme

1. Aşamada, el ile bir donanım karması yüklemişsinizdir. Laboratuvar için uygun ama ölçeklendirilmiyor. Üretime hazır seçenekler şunlardır:

Kayıt kaynağı Nasıl çalışır? Için en iyi
OEM veya donanım iş ortağı Cihazlar zaten kiracınıza kayıtlı satıcıdan (Dell, HP, Lenovo, Microsoft, Surface ve diğerleri) gönderilir. Yeni donanım tedariki — önerilen hedef durum.
Bayi veya CSP Microsoft iş ortağı cihazları sizin yerinize kaydeder. Dolaylı veya karma tedarik zincirleri.
El ile karma karşıya yükleme (CSV) Csv olarak toplu olarak yüklenen 1. Aşama, 3. Adım'dan aynı Get-WindowsAutopilotInfo akış. Pilotlar, laboratuvar cihazları, küçük toplu işlemler, mevcut cihazlar ekleniyor.
Intune Bağlayıcısı / doğrudan kayıt Yönetim merkezinde daha yeni kayıt yolları ortaya sızdı. Belirli kayıt senaryoları — bkz. Autopilot kaydına genel bakış.

Tüm ayrıntılar için bkz. Autopilot cihazlarını kaydetme.

İpucu

Yeni Windows donanımı satın aldığınız her zaman satıcınızdan veya OEM'den satın alma sırasında cihazları Microsoft Entra kiracı kimliğinize kaydetmesini isteyin. Bu yaklaşım, uzun süreli en düşük sürtüşme desenidir ve karmayı el ile toplama gereksinimini ortadan kaldırır.

Kişilikler için Grup Etiketlerini kullanma

Dinamik bir grup oluşturmak için 1. Aşama'daki grup etiketini zaten kullandınız CloudNative . Aynı desen birden çok cihaz kişisine ölçeklendirilir. Kişi başına bir grup etiketi, etiket başına bir dinamik Microsoft Entra grubu ve grup başına bir Autopilot dağıtım profili ve Kayıt Durumu Sayfası tanımlayın.

Kişilik Önerilen grup etiketi Autopilot profili Kullanıcı hesabı türü
Bilgi çalışanı KnowledgeWorker Kullanıcı odaklı Standart kullanıcı
Geliştirici / power user Developer Kullanıcı odaklı Yönetici
Bilgi noktası veya paylaşılan cihaz Kiosk Kendi kendine dağıtma Yok
Önceden sağlanmış (beyaz eldiven) PreProvisioned Önceden sağlanmış Standart kullanıcı

Bu düzen, yapılandırma, uygulamalar ve güvenlik ilkelerini kişi başına yalıtılmış halde tutar ve kiracınızda tek seferlik özel durumların oluşmasını önler.

Halkalar halinde dağıt

Filonun tamamına aynı anda dağıtım yapmayın. Windows Güncelleştirmeler için kullandığınız halka kavramını kullanın:

Halka Hedef kitle Amaç
Pilot BT ekibi ve küçük bir gönüllü grubu Uçtan uca sağlamayı ve ilkeyi doğrulayın.
Erken benimseyenler Departmanlara yayılmış kullanıcıların yaklaşık %5'i Kişilik ve uygulamaya özgü sorunları yakalayın.
Geniş Bölgeye veya departmana göre hazırlanmış kalan filo Üretim dağıtımı.

Her ilke için yinelenen gruplar oluşturmak yerine halkaları hedeflemek için atama filtrelerini kullanın. Sonrakine yükseltmeden önce Buluta özel Windows uç noktalarınızı izleme bölümünü kullanarak her halkayı izleyin.

Mevcut cihazları işleme

Zaten yönettiğiniz Windows bilgisayarları için Microsoft, filonuzun tamamını bugün yeniden sağlamak yerine bir sonraki donanım yenilemesinde Autopilot'a geçmenizi önerir. Buluta özel Windows, temiz bir OOBE başlangıcından tüm avantajlarını alır ve yenileme döngüleri, en az kullanıcı kesintisi ile doğal olarak geçiş gerçekleştirmenize olanak tanır.

Yenilemeyi bekleyemiyorsanız iki yol vardır:

  • Kaydolun ve yerinde sıfırlayın. Mevcut bir cihaz için karmayı toplayın, Autopilot'a kaydedin ve ardından bilgisayarı sıfırlayın. Cihaz, buluta özel bir uç nokta olarak OOBE üzerinden geri döner. Bkz. Mevcut cihazları Windows Autopilot'a ekleme.
  • Yenilemede yeniden canlandırıcı. Yalnızca yeni veya yenilenen donanım buluta özel olarak kaydedilir. Mevcut cihazlar kullanım ömrü sona erene kadar mevcut yönetimlerinde kalır.

Dikkat

ortak yönetim planı olmadan Microsoft Configuration Manager tarafından etkin bir şekilde yönetilen cihazları kaydetmeyin. Cihazın Autopilot'a kaydetmeden önce bulutla mı, birlikte mi yönetileceğine yoksa Yapılandırma Yöneticisi'da mı kalacağına karar verin. Daha fazla bilgi için bkz. Windows cihazları için ortak yönetim.

Daha fazla bilgi

Windows Autopilot senaryonuz için uygun değilse, alternatifler için bkz. Windows cihazları için kayıt yöntemlerini Intune.

Sonraki: Bulutta yerel Windows uç noktalarınızı izleme

Buluta özel Windows uç noktalarınızı izleme

Bulutta yerel Windows uç noktalarınız sağlanıp yapılandırıldıktan sonra ilkelerin, betiklerin ve uygulamaların başarıyla dağıtıldığını onaylamak ve sorunları erken tespit etmek için Microsoft Intune yönetim merkezindeki izleme görünümlerini kullanın. İzleme, tek seferlik bir kurulum adımı değil, devam eden bir işlem görevidir.

İzlenecekler Yönetim merkezinde Gözden geçirmeleri gerekenler Daha fazla bilgi
Betik durumu Aygıtları>Platforma> göreWindows>Cihazları> yönetmeBetikler ve düzeltmeler>Platform betikleri Bir betik > seçin Cihaz durumu
Uygulama yükleme durumu Apps>Windows>Windows uygulamaları Bir uygulama > seçin Cihaz yükleme durumu veya Kullanıcı yükleme durumu Uygulama yüklemeleriyle ilgili sorunları giderme
Güvenlik temelleri Intune güvenlik temellerini izleme
Disk şifrelemesi (BitLocker) Uç nokta güvenliği>Disk şifrelemesi BitLocker ilkesini Cihaz yükleme durumu'nu> seçin. Kurtarma anahtarları: Cihazlar>Windows> bir cihaz >Kurtarma anahtarları seçer
Windows Update halkaları Aygıtları>Güncelleştirmeleri> yönetmeWindows 10 ve sonraki güncelleştirmeler>Güncelleştirme halkaları Halka >cihaz durumu seçin Güncelleştirme halkaları için raporlar
Uyumluluk Aygıtları>Uyumlu -luk Atama sonuçlarını, uyumsuz cihazları ve ayar başına hataları görmek için ilkeyi seçin Uyumluluk ilkelerini izleme
Uç nokta analizi Rapor>Uç nokta analizi Filonuzda başlangıç performansı, uygulama güvenilirliği ve proaktif düzeltmeler Uç nokta analizine genel bakış · raporları Intune

Bulutta yerel uç noktalar kılavuzunu izleyin

  1. Genel bakış: Bulutta yerel uç noktalar nelerdir?
  2. 🡺 Öğretici: Microsoft Intune ile bulutta yerel Windows uç noktalarını ayarlama (Buradasınız)
  3. Kavram: Microsoft Entra birleştirilmiş ile Karma Microsoft Entra birleştirilmiş karşılaştırması
  4. Kavram: Bulutta yerel uç noktalar ve şirket içi kaynaklar
  5. Üst düzey planlama kılavuzu
  6. Bilinen sorunlar ve önemli bilgiler

Sık sorulan sorular

Bulutta yerel Windows uç noktası nedir?

Buluta özel Windows uç noktası, şirket içi Active Directory, grup ilkesi veya etki alanı denetleyicilerine bağımlılığı olmayan Microsoft Entra katılmış ve Microsoft Intune kaydedilmiş bir Windows cihazıdır. Tüm yapılandırma, güvenlik ve uygulama dağıtımı, Microsoft Intune ve Windows Autopilot kullanılarak buluttan yönetilir.

Bulutta yerel ve hibrit Microsoft Entra birleştirilmiş arasındaki fark nedir?

Karma Microsoft Entra birleştirilmiş cihaz hem şirket içi Active Directory hem de Microsoft Entra birleştirilir. Yine de kimlik doğrulaması için etki alanı denetleyicilerine ve yapılandırma için grup ilkesi bağlıdır. Buluta özel (yalnızca Microsoft Entra katılmış) bir cihazın şirket içi bağımlılığı yoktur; kimlik, ilke ve uygulamaların tümü buluttan gelir. Ayrıntılı karşılaştırma için bkz. Microsoft Entra birleştirilmiş ile karma Microsoft Entra birleştirilmiş.

Buluta özel uç noktalar için Windows 11 ihtiyacım var mı?

Hayır. Buluta özel Windows, Windows 10 22H2 veya üzeri sürümlerle çalışır. Microsoft, Windows Autopilot, İş İçin Windows Hello ve modern güvenlik özellikleriyle en iyi deneyim için Windows 11 önerir.

Etki alanına katılmış mevcut cihazları buluta özel olarak taşıyabilir miyim?

Evet, ancak Microsoft bunu filonuzun tamamını yeniden sağlamak yerine bir sonraki donanım yenilemesinde gerçekleştirmenizi önerir. Buluta özel Windows, temiz bir OOBE başlangıcından tüm avantajlarını alır. Yenilemek için sabırsızlanıyorsunuz cihazlar için bkz. 5. Aşamada mevcut cihazları işleme .

Bulutta yerel Windows, dosya paylaşımları ve yazıcılar gibi şirket içi kaynaklarla çalışır mı?

Evet, biraz planla. Bulutta yerel cihazlar şirket içi kaynaklara VPN üzerinden veya Microsoft Entra uygulama ara sunucusu üzerinden erişebilir. Dosya depolama için Microsoft, OneDrive ve SharePoint'e geçiş önerir. Yazdırma için Evrensel Yazdırma'yı göz önünde bulundurun. Ayrıntılı yönergeler için bkz. Bulutta yerel uç noktalar ve şirket içi kaynaklar .

Yararlı çevrimiçi kaynaklar

  • Last updated on