MAM ve uygulama koruması hakkında sık sorulan sorular

Bu makalede, Intune mobil uygulama yönetimi (MAM) ve Intune uygulama koruması hakkında sık sorulan bazı soruların yanıtları verilmektedir.

MAM Temel Bilgileri

MAM nedir?

MAM'a Genel Bakış

Uygulama koruma ilkeleri

Uygulama koruma ilkeleri nelerdir?

Uygulama koruması ilkeleri, bir kuruluşun verilerinin güvenli kalmasını veya yönetilen bir uygulamada yer almamasını sağlayan kurallardır. İlke, Intune kullanıcı "kurumsal" verilere erişmeye veya verileri taşımaya çalıştığında zorlayan bir kuraldır. Ayrıca, kullanıcı uygulamadayken engelleyen veya izleyen Intune eylemler tanımlayabilir.

Uygulama koruma ilkelerine örnekler nelerdir?

Her uygulama koruma ilkesi ayarı hakkında ayrıntılı bilgi için bkz. Android uygulama koruma ilkesi ayarları ve iOS/iPadOS uygulama koruma ilkesi ayarları.

Farklı cihazlar için hem MDM hem de MAM ilkelerinin aynı kullanıcıya aynı anda uygulanması mümkün mü?

Cihaza cihaz yönetimi durumunu ayarlamadan bir MAM ilkesi uygularsanız, kullanıcı mam ilkesini hem kendi cihazını getir (KCG) olarak da bilinen kişisel cihazda hem de Intune yönetilen cihazda alır. Cihaz yönetimi durumuna göre mam ilkesi de uygulayabilirsiniz. Bu nedenle bir uygulama koruma ilkesi oluşturduğunuzda, Tüm cihaz türlerinde uygulamaları hedefle'nin yanında Hayır'ı seçersiniz. Ardından aşağıdaki seçeneklerden birini belirleyin:

• Yönetilen cihazlara Intune daha az katı bir MAM ilkesi uygulayın ve MDM'ye kayıtlı olmayan cihazlara daha kısıtlayıcı bir MAM ilkesi uygulayın.
• Intune yönetilen cihazlara ve Microsoft tarafından yönetilmeyen cihazlara eşit derecede katı bir MAM ilkesi uygulayın.
• Mam ilkesini yalnızca kaydı kaldırılmış cihazlara uygulayın.

Daha fazla bilgi için bkz. Uygulama koruma ilkelerini izleme.

Uygulama koruma ilkeleriyle yönetebileceğiniz uygulamalar

Hangi uygulamalar uygulama koruma ilkeleri tarafından yönetilebilir?

Intune Uygulama SDK'sı ile tümleştirilmiş veya Intune App Wrapping Tool tarafından sarmalanan tüm uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Genel kullanıma sunulan Intune yönetilen uygulamaların resmi listesine bakın.

Intune yönetilen uygulamada uygulama koruma ilkelerini kullanmak için temel gereksinimler nelerdir?

• Son kullanıcının bir Microsoft Entra hesabı olmalıdır. Microsoft Entra ID'da Intune kullanıcı oluşturma hakkında daha fazla bilgi için bkz. Kullanıcı ekleme ve Intune için yönetim izni verme.

• Son kullanıcının Microsoft Entra hesabına atanmış Microsoft Intune lisansı olmalıdır. Son kullanıcılara Intune lisans atama hakkında daha fazla bilgi için bkz. Intune lisanslarını yönetme.

• Son kullanıcı, uygulama koruma ilkesi tarafından hedeflenen bir güvenlik grubuna ait olmalıdır. Aynı uygulama koruma ilkesi, kullanılmakta olan belirli bir uygulamayı hedeflemelidir. Uygulama koruması ilkeleri Microsoft Intune yönetim merkezinde oluşturulabilir ve dağıtılabilir. Güvenlik grupları şu anda Microsoft 365 yönetim merkezi oluşturulabilir.

• Son kullanıcının Microsoft Entra hesabını kullanarak uygulamada oturum açması gerekir.

Bir uygulamayı Intune Uygulama Koruması ile etkinleştirmek istersem ancak desteklenen bir uygulama geliştirme platformu kullanmıyorsa ne olur?

Intune SDK geliştirme ekibi, yerel Android, iOS/iPadOS (Obj-C, Swift), Xamarin ve Xamarin.Forms platformları ile oluşturulan uygulamalar için etkin bir şekilde test ve destek sağlar. Bazı müşteriler Intune SDK'sını React Native ve NativeScript gibi diğer platformlarla başarıyla tümleştirir. Ancak Microsoft, desteklenen platformlar dışında platformlar için rehberlik veya eklenti sağlamaz.

Intune APP SDK'sı Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) destekliyor mu?

Intune Uygulama SDK'sı, kimlik doğrulaması ve koşullu başlatma senaryoları için Microsoft Kimlik Doğrulama Kitaplığı'nı kullanabilir. Ayrıca cihaz kayıt senaryoları olmadan yönetim için kullanıcı kimliğini MAM hizmetine kaydetmek için MSAL kullanır.

Outlook mobil uygulamasını kullanmak için diğer gereksinimler nelerdir?

• Son kullanıcının cihazında Outlook mobil uygulamasının yüklü olması gerekir.

• Son kullanıcının Microsoft Entra hesabına bağlı bir Microsoft 365 Exchange Online posta kutusu ve lisansı olmalıdır.

  Not

  Outlook mobil uygulaması şu anda yalnızca karma modern kimlik doğrulamasıyla Microsoft Exchange Online ve Exchange Server için Intune App Protection'ı destekler ve Office 365 Ayrılmış'ta Exchange'i desteklemez.

Word, Excel ve PowerPoint uygulamalarını kullanmak için diğer gereksinimler nelerdir?

• Son kullanıcının Microsoft Entra hesabına bağlı İş için Microsoft 365 Uygulamaları veya kuruluş lisansına sahip olması gerekir. Abonelik, mobil cihazlardaki Office uygulamalarını içermelidir ve OneDrive bulut depolaması ve iş için dosya paylaşımı içeren bir bulut depolama hesabı içerebilir. Microsoft 365 lisansları bu yönergeleri izleyerek Microsoft 365 yönetim merkezi atanabilir.

• Son kullanıcının "Kuruluş verilerinin kopyalarını kaydet" uygulama koruma ilkesi ayarı altında ayrıntılı olarak kaydetme işlevi kullanılarak yapılandırılmış bir yönetilen konumu olmalıdır. Örneğin, yönetilen konum OneDrive ise, OneDrive uygulaması son kullanıcının Word, Excel veya PowerPoint uygulamasında yapılandırılmalıdır.

• Yönetilen konum OneDrive ise, uygulamanın son kullanıcıya dağıtılan uygulama koruma ilkesi tarafından hedeflenmiş olması gerekir.

  Not

  Office mobil uygulamaları şu anda şirket içi SharePoint'i değil yalnızca SharePoint Online'ı destekler.

Office için neden yönetilen bir konum (yani OneDrive) gereklidir?

Intune, uygulamadaki tüm verileri "kurumsal" veya "kişisel" olarak işaretler. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. office uygulamaları için Intune e-posta (Exchange) ve bulut depolama (OneDrive) iş konumları olarak ele alır.

Skype Kurumsal kullanmak için diğer gereksinimler nelerdir?

Bkz. Skype Kurumsal lisans gereksinimleri. Skype Kurumsal (SfB) karma ve şirket içi yapılandırmalar için bkz. SfB ve Exchange için Karma Modern Kimlik Doğrulaması sırasıyla Microsoft Entra ID ile şirket içi SfB için GA ve Modern Kimlik Doğrulaması'dır.

Uygulama koruması özellikleri

Çoklu kimlik desteği nedir?

Çoklu kimlik desteği, Intune Uygulama SDK'sının yalnızca uygulamada oturum açmış iş veya okul hesabına uygulama koruma ilkeleri uygulayabilmesidir. Uygulamada kişisel bir hesap oturum açtıysa verilere dokunulmaz.

Çoklu kimlik desteğinin amacı nedir?

Çoklu kimlik desteği, hem "kurumsal" hem de tüketici hedef kitlelerine (yani Office uygulamalarına) sahip uygulamaların "kurumsal" hesaplar için Intune uygulama koruma özellikleriyle herkese açık olarak yayımlanmasını sağlar.

Outlook ve çoklu kimlik ne olacak?

Outlook hem kişisel hem de "kurumsal" e-postaların birleşik e-posta görünümüne sahip olduğundan, Outlook uygulaması başlatmada Intune PIN'ini ister.

Intune uygulama PIN'i nedir?

Kişisel Kimlik Numarası (PIN), doğru kullanıcının bir uygulamadaki kuruluşun verilerine eriştiğini doğrulamak için kullanılan bir geçiş kodudur.

Kullanıcıdan PIN'ini girmesi ne zaman istenir?

Intune, kullanıcı "şirket" verilerine erişmek üzereyken kullanıcının uygulama PIN'ini ister. Word/Excel/PowerPoint gibi çok kimlikli uygulamalarda, "kurumsal" bir belgeyi veya dosyayı açmaya çalıştığında kullanıcıdan PIN'i istenir. Intune App Wrapping Tool kullanılarak yönetilen iş kolu uygulamaları gibi tek kimlikli uygulamalarda, Intune Uygulama SDK'sı kullanıcının uygulamadaki deneyiminin her zaman "kurumsal" olduğunu bildiği için başlatma sırasında PIN istenir.

Kullanıcılardan Intune PIN'i ne sıklıkta istenir?

BT yöneticisi, Microsoft Intune yönetim merkezinde 'Erişim gereksinimlerini (dakika) sonra yeniden denetle' Intune uygulama koruma ilkesi ayarını tanımlayabilir. Bu ayar, cihazda erişim gereksinimleri denetlenmeden önce geçmesi gereken süreyi belirtir ve uygulama PIN ekranı yeniden gösterilir. Ancak, kullanıcıların sorulma sıklıklarını etkileyen PIN hakkında önemli ayrıntılar şunlardır:

• PIN, kullanılabilirliği geliştirmek için aynı yayımcının uygulamaları arasında paylaşılır: iOS/iPadOS'ta, aynı uygulama yayımcısının tüm uygulamaları arasında bir uygulama PIN'i paylaşılır. Android'de bir uygulama PIN'i tüm uygulamalar arasında paylaşılır.
• Cihaz yeniden başlatıldıktan sonra 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' davranışı: "PIN zamanlayıcı", Intune uygulama PIN'inin ne zaman gösterileceğini belirleyen işlem yapılmadan geçen dakika sayısını izler. iOS/iPadOS'ta PIN zamanlayıcı cihaz yeniden başlatmadan etkilenmez. Bu nedenle, cihazın yeniden başlatılması, kullanıcının Intune PIN ilkesine sahip bir iOS/iPadOS uygulamasından devre dışı bırakılma süresi üzerinde hiçbir etkisi yoktur. Android'de PIN zamanlayıcı cihaz yeniden başlatıldığında sıfırlanır. Bu nedenle, Intune PIN ilkesine sahip Android uygulamaları, cihaz yeniden başlatıldıktan sonra "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarı değerinden bağımsız olarak bir uygulama PIN'i ister.
• PIN ile ilişkili zamanlayıcının sıralı yapısı: Bir uygulamaya (uygulama A) erişmek için bir PIN girildikten ve uygulama cihazda ön planı (ana giriş odağı) bıraktıktan sonra, bu PIN için PIN zamanlayıcı sıfırlanır. Bu PIN'i paylaşan herhangi bir uygulama (uygulama B), zamanlayıcı sıfırlandığından kullanıcıdan PIN girişi istemez. 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' değeri karşılandığında istem yeniden gösterilir.

iOS/iPadOS cihazlarında, farklı yayımcılardan uygulamalar aynı PIN'i paylaşabilir. Bununla birlikte, (dakika) sonra erişim gereksinimlerini yeniden denetle değerine ulaşıldığında Intune uygulama ana giriş odağı değilse kullanıcıdan PIN ister. Örneğin, bir kullanıcının X yayımcısından A uygulaması ve Y yayımcısından B uygulaması vardır ve bu iki uygulama aynı PIN'i paylaşır. Kullanıcı A uygulamasına (ön plan) odaklanır ve B uygulaması simge durumuna küçültülmüş olur. Erişim gereksinimlerini (dakika) sonra yeniden denetle değeri karşılandığında ve kullanıcı B uygulamasına geçtikten sonra PIN gerekli olacaktır.

Not

Özellikle sık kullanılan bir uygulama için kullanıcının erişim gereksinimlerini daha sık doğrulamak (yani PIN istemi) için "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarının değerini azaltın.

Intune PIN'i Outlook ve OneDrive için yerleşik uygulama PIN'leriyle nasıl çalışır?

Intune PIN'i, etkinlik dışı zamanlayıcıya ('(dakika) sonra erişim gereksinimlerini yeniden denetle' değeri) dayalı olarak çalışır. Bu nedenle, Intune PIN istemleri, genellikle varsayılan olarak uygulama başlatmaya bağlı olan Outlook ve OneDrive için yerleşik uygulama PIN istemlerinden bağımsız olarak gösterilir. Kullanıcı aynı anda her iki PIN istemini de alıyorsa beklenen davranış, Intune PIN'in öncelikli olmasıdır.

PIN güvenli mi?

PIN, yalnızca doğru kullanıcının uygulamadaki kuruluş verilerine erişmesine izin verir. Bu nedenle, son kullanıcının Intune uygulama PIN'ini ayarlayabilmesi veya sıfırlayabilmesi için önce iş veya okul hesabıyla oturum açması gerekir. Microsoft Entra ID bu kimlik doğrulamasını güvenli belirteç değişimi aracılığıyla işler ve Intune Uygulama SDK'sı için saydam değildir. Güvenlik açısından bakıldığında, iş veya okul verilerini korumanın en iyi yolu verileri şifrelemektir. Şifreleme uygulama PIN'i ile ilgili değildir, ancak kendi uygulama koruma ilkesidir.

PIN Intune deneme yanılma saldırılarına karşı nasıl korur?

Uygulama PIN ilkesinin bir parçası olarak, BT yöneticisi bir kullanıcının uygulamayı kilitlemeden önce PIN'ini doğrulamayı deneyebileceği maksimum sayıda ayarlayabilir. Deneme sayısı karşılandığında Intune Uygulama SDK'sı uygulamadaki "kurumsal" verileri silebilir.

Aynı yayımcının uygulamalarında neden iki kez PIN ayarlamam gerekiyor?

iOS/iPadOS üzerinde MAM, alfasayısal ve özel karakterlere (geçiş kodu olarak adlandırılır) sahip uygulama düzeyinde PIN'leri destekler. Geçiş kodu ayarlarını zorunlu kılmak için Word, Excel, PowerPoint, Outlook, Managed Browser ve Yammer gibi uygulamaların iOS/iPadOS için Intune Uygulama SDK'sını tümleştirmesi gerekir. Bu tümleştirme olmadan Intune bu uygulamalar için geçiş kodu ayarlarını zorunlu kılamaz. Intune bu özelliği iOS/iPadOS için SDK sürüm 7.1.12'de kullanıma sunulmuştur.

Bu özelliği desteklemek ve iOS/iPadOS için Intune SDK'sının önceki sürümleriyle uyumluluğu korumak için sürüm 7.1.12 ve üzeri tüm PIN'leri (sayısal veya geçiş kodu) önceki sürümlerde kullanılan sayısal PIN'ten ayrı olarak işler. Bu nedenle, bir cihazda aynı yayımcıdan 7.1.12 VE 7.1.12'den sonraki iOS/iPadOS sürümleri için Intune SDK'sı olan uygulamalar varsa, iki PIN ayarlamaları gerekir.

Ancak iki PIN (her uygulama için) hiçbir şekilde ilişkili değildir. Uygulamaya uygulanan uygulama koruma ilkesine bağlı kalmalıdır. Bu nedenle, yalnızca A ve B uygulamalarında aynı ilkeler uygulandığında (PIN'e göre) kullanıcı aynı PIN'i iki kez ayarlayabilir.

Bu davranış, Intune Mobil Uygulama Yönetimi ile etkinleştirilen iOS/iPadOS uygulamalarında PIN'e özgüdür. Zamanla, uygulamalar iOS/iPadOS için Intune SDK'sının sonraki sürümlerini benimsedikçe, aynı yayımcının uygulamalarında iki kez PIN ayarlamak zorunda kalmak daha az sorun haline gelir.

Not

Uygulama sürümleri, paylaşılan PIN'in mümkün olup olmadığını belirler. Örneğin, A uygulaması 7.1.12'den önceki bir SDK sürümünü kullanıyorsa ve B uygulaması 7.1.12 veya sonraki bir sürümü kullanıyorsa, aynı yayımcıdan olsa bile kullanıcının her uygulama için ayrı bir PIN ayarlaması gerekir. Ancak, hem A hem de C uygulamaları 7.1.12 öncesi sürümleri kullanıyorsa bir PIN paylaşır. Benzer şekilde, her ikisi de SDK 7.1.12 veya üzerini kullanıyorsa B ve D uygulamaları bir PIN paylaşır.

Şifreleme ne olacak?

BT yöneticileri, uygulama verilerinin şifrelenmesini gerektiren bir uygulama koruma ilkesi dağıtabilir. İlkenin bir parçası olarak, BT yöneticisi içeriğin ne zaman şifreleneceğini de belirtebilir.

Intune verileri nasıl şifreler?

Intune verileri şifreleme için uygulama koruma ilkesi ayarına göre şifreler. Ayrıntılar için bkz. Android uygulama koruma ilkesi ayarları ve iOS/iPadOS uygulama koruma ilkesi ayarları.

Ne şifrelenir?

Yalnızca "kurumsal" olarak işaretlenen veriler BT yöneticisinin uygulama koruma ilkesine göre şifrelenir. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. office uygulamaları için Intune e-posta (Exchange) ve bulut depolama (OneDrive) iş konumları olarak ele alır. Intune App Wrapping Tool tarafından yönetilen iş kolu uygulamaları için tüm uygulama verileri "kurumsal" olarak kabul edilir.

Intune verileri uzaktan nasıl siler?

Intune uygulama verilerini üç farklı yolla silebilir: tam cihaz silme, MDM için seçmeli temizleme ve MAM seçmeli silme. MDM için uzaktan silme hakkında daha fazla bilgi için bkz. Temizleme veya devre dışı bırakma kullanarak cihazları kaldırma. MAM kullanarak seçmeli silme hakkında daha fazla bilgi için Kullanımdan kaldırma eylemine ve Uygulamalardan yalnızca şirket verilerini silme bölümüne bakın.

Temizleme nedir?

Sil seçeneği , cihazı fabrika varsayılan ayarlarına geri yükleyerek tüm kullanıcı verilerini ve ayarlarını cihazdan kaldırır. Cihaz Intune kaldırılır.

Not

Temizleme işlemi yalnızca Intune mobil cihaz yönetimi (MDM) ile kaydedilen cihazlarda yapılabilir.

MDM için seçmeli silme nedir?

MDM için seçmeli temizleme, kişisel verileri etkilemeden cihazdan yalnızca şirket verilerini kaldırır. Daha fazla bilgi için bkz. Cihazları kaldırma - kullanımdan kaldırma.

MAM için seçmeli temizleme nedir?

MAM için seçmeli silme işlemi, şirket uygulaması verilerini bir uygulamadan kaldırır. İstek, Microsoft Intune yönetim merkezi kullanılarak başlatılır. Silme isteğinin nasıl başlatıldığını öğrenmek için bkz. Uygulamalardan yalnızca şirket verilerini silme.

MAM için seçmeli silme işlemi ne kadar hızlı gerçekleşir?

Seçmeli temizleme başlatıldığında kullanıcı uygulamayı kullanıyorsa, Intune Uygulama SDK'sı her 30 dakikada bir Intune MAM hizmetinden seçmeli temizleme isteği olup olmadığını denetler. Ayrıca kullanıcı uygulamayı ilk kez başlattığında ve iş veya okul hesabıyla oturum açtığında seçmeli silme olup olmadığını denetler.

Şirket içi hizmetler neden korumalı Intune uygulamalarla çalışmıyor?

Intune uygulama koruması, uygulama ile Intune Uygulama SDK'sı arasında tutarlı olması için kullanıcının kimliğine bağlıdır. Bunu garanti etmenin tek yolu modern kimlik doğrulamasıdır. Uygulamaların şirket içi yapılandırmayla çalışabileceği ancak tutarlı veya garantili olmadığı senaryolar vardır.

Yönetilen uygulamalardan web bağlantılarını açmanın güvenli bir yolu var mı?

Evet! BT yöneticisi, Microsoft Edge uygulaması için uygulama koruma ilkesi dağıtabilir ve ayarlayabilir. BT yöneticisi, Intune yönetilen uygulamalardaki tüm web bağlantılarının Microsoft Edge uygulaması kullanılarak açılmasını gerektirebilir.

Android'de uygulama deneyimi

Intune uygulama korumasının Android cihazlarda çalışması için neden Şirket Portalı uygulaması gerekiyor?

Uygulama ve Intune uygulama korumasını Şirket Portalı

Aynı uygulama ve kullanıcı kümesine yapılandırılan birden çok Intune uygulama koruma erişim ayarı Android'de nasıl çalışır?

erişim için Intune uygulama koruma ilkeleri, şirket hesaplarından hedeflenen bir uygulamaya erişmeye çalışırken son kullanıcı cihazlarında belirli bir sırayla uygulanır. Genel olarak, bir blok önceliklidir ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı düzeltme eki yükseltmesi için uyaran en düşük Android yama sürümü ayarı, kullanıcının erişimini engelleyen en düşük Android yama sürümü ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük Android yama sürümünü 2018-03-01 ve en düşük Android yama sürümünü (yalnızca uyarı) 2018-02-01 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz 2018-01-01 yama sürümündeyken, son kullanıcı erişimin engellenmesine neden olan en düşük Android yama sürümü için daha kısıtlayıcı ayara göre engellenir.

Farklı ayar türleriyle ilgilenirken, bir uygulama sürümü gereksinimi önceliklidir ve ardından Android işletim sistemi sürümü gereksinimi ve Android düzeltme eki sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor.

Intune Uygulama Koruma İlkeleri, yöneticilerin son kullanıcı cihazlarının Android cihazlar için Google Play'in cihaz bütünlüğü denetimini geçirmesini gerektirme özelliği sağlar. Yeni bir Google Play'in cihaz bütünlüğü denetim sonucu hizmete ne sıklıkta gönderilir?

Intune hizmeti, hizmet yükü tarafından belirlenen yapılandırılmaz bir aralıkta Google Play ile iletişim kurar. Google Play'in cihaz bütünlüğü denetimi ayarı için BT yöneticisi tarafından yapılandırılan herhangi bir eylem, koşullu başlatma sırasında Intune hizmetine bildirilen son sonuç temelinde alınır. Google'ın cihaz bütünlüğü sonucu uyumluysa hiçbir işlem yapılmaz. Google'ın cihaz bütünlüğü sonucu uyumsuzsa, BT yöneticisi tarafından yapılandırılan eylem hemen gerçekleştirilir. Google Play'in cihaz bütünlüğü denetimine yönelik istek herhangi bir nedenle başarısız olursa, önceki istekten alınan önbelleğe alınan sonuç 24 saate kadar veya bir sonraki cihaz yeniden başlatma işlemi için kullanılır ve bu işlem daha önce gerçekleşir. O sırada Intune Uygulama Koruma İlkeleri geçerli bir sonuç elde edilinceye kadar erişimi engeller.

Intune Uygulama Koruma İlkeleri, yöneticilerin son kullanıcı cihazlarının Android cihazlar için Google'ın Uygulamaları Doğrulama API'si aracılığıyla sinyal göndermesini gerektirme özelliği sağlar. Son kullanıcı bu nedenle erişimlerinin engellenmemesi için uygulama taramasını nasıl açabilir?

Bunun nasıl yapılacağını açıklayan yönergeler cihaza göre biraz değişiklik gösterir. Genel işlem, Google Play Store'a gitmeyi, ardından Uygulamalarım & oyunlarına tıklamayı, sizi Play Protect menüsüne götürecek son uygulama taramasının sonucuna tıklamayı içerir. Cihazı güvenlik tehditleri için tara düğmesinin açık olduğundan emin olun.

Google'ın Play Bütünlük API'si Android cihazlarda gerçekte neleri denetler? 'Temel bütünlüğü denetle' ve 'Sertifikalı cihazlar & temel bütünlüğü denetle' ile yapılandırılabilir değerleri arasındaki fark nedir?

Intune, kaydı kaldırılmış cihazlar için mevcut kök algılama denetimlerimize eklemek üzere Google Play Bütünlük API'lerini uygular. Google, android uygulamalarının kök erişimli cihazlarda çalışmasını istememeleri durumunda benimsemeleri için bu API kümesini geliştirdi ve bakımını yaptı. Örneğin, Android Pay uygulaması bunu dahil etti. Google, gerçekleşen kök algılama denetimlerinin tamamını genel olarak paylaşmasa da, bu API'lerin cihazlarının kökünü oluşturan kullanıcıları algılamasını bekliyoruz. Bu kullanıcıların erişimi engellenebilir veya şirket hesapları ilke etkin uygulamalarından silinebilir. 'Temel bütünlüğü denetle', cihazın genel bütünlüğü hakkında bilgi sağlar. Kök erişimli cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. 'Sertifikalı cihazlar & temel bütünlüğü kontrol edin', cihazın Google'ın hizmetleriyle uyumluluğu hakkında bilgi verir. Yalnızca Google tarafından onaylanan değiştirilmemiş cihazlar bu denetimi geçirebilir. Başarısız olan cihazlar şunlardır:

• Temel bütünlüğü başarısız olan cihazlar
• Kilidi açılmış önyükleyicisi olan cihazlar
• Özel sistem görüntüsü/ROM'una sahip cihazlar
• Üreticinin Google sertifikası için başvurmamış veya onaylamamış cihazlar
• Doğrudan Android Açık Kaynak Programı kaynak dosyalarından oluşturulmuş sistem görüntüsüne sahip cihazlar
• Beta/geliştirici önizleme sistemi görüntüsüne sahip cihazlar

Teknik ayrıntılar için Google'ın Play Integrity API belgelerine bakın.

Android cihazlar için Intune Uygulama Koruma İlkesi oluştururken Koşullu Başlatma bölümünde iki benzer denetim vardır. 'Yürütme bütünlüğü kararı' ayarını mı yoksa 'jailbreak uygulanmış/kök erişim izni olan cihazlar' ayarını mı gerekli kılmalıyım?

Google Play Bütünlük API'si denetimleri, kanıtlama sonuçlarını belirlemek için "gidiş dönüş" işleminin yürütülürken en azından son kullanıcının çevrimiçi olmasını gerektirir. Son kullanıcı çevrimdışıysa BT yöneticisi yine de 'jailbreak uygulanmış/kök erişim izni verilmiş cihazlar' ayarından bir sonucun uygulanmasını bekleyebilir. Öte yandan, son kullanıcı çok uzun süre çevrimdışı kaldıysa "Çevrimdışı yetkisiz kullanım süresi" değeri devreye girer ve ağ erişimi sağlanana kadar zamanlayıcı değerine ulaşıldıktan sonra iş veya okul verilerine tüm erişim engellenir. Her iki ayarın da etkinleştirilmesi, son kullanıcılar mobil cihazlarda iş veya okul verilerine eriştiğinde önemli olan son kullanıcı cihazlarını sağlıklı tutmaya yönelik katmanlı bir yaklaşım sağlar.

Google Play Koruma API'lerini uygulayan uygulama koruma ilkesi ayarları, Google Play Hizmetleri'nin çalışmasını gerektirir. Son kullanıcının bulunabileceği konumda Google Play Services'e izin verilmiyorsa ne olur?

Hem 'Yürütme bütünlüğü kararı' hem de 'Uygulamalarda tehdit taraması' ayarları, Google Play Hizmetleri'nin Google tarafından belirlenen sürümünün düzgün çalışmasını gerektirir. Bunlar güvenlik alanına giren ayarlar olduğundan, son kullanıcı bu ayarlarla hedefleniyorsa ve Google Play Hizmetleri'nin uygun sürümünü karşılamıyorsa veya Google Play Hizmetleri'ne erişimi yoksa engellenir.

iOS'ta uygulama deneyimi

Cihazıma parmak izi veya yüz eklersem veya kaldırırsam ne olur?

Intune uygulama koruma ilkeleri yalnızca Intune lisanslı kullanıcıya uygulama erişimi üzerinde denetim sağlar. Uygulamaya erişimi denetlemenin yollarından biri, desteklenen cihazlarda Apple'ın Touch ID'sini veya Face ID'sini gerektirmektir. Intune, cihazın biyometrik veritabanında herhangi bir değişiklik olması Intune bir sonraki etkinlik dışı zaman aşımı değeri karşılandığında kullanıcıdan PIN istemesi gibi bir davranış uygular. Biyometrik verilerde yapılan değişiklikler parmak izi veya yüzün eklenmesini veya kaldırılmasını içerir. Intune kullanıcının PIN kümesi yoksa, Intune PIN'i ayarlaması istenir.

Bunun amacı, kuruluşunuzun verilerini uygulama düzeyinde güvenli ve korumalı bir şekilde tutmaya devam etmektir. Bu özellik yalnızca iOS/iPadOS için kullanılabilir ve iOS/iPadOS, sürüm 9.0.1 veya üzeri için Intune APP SDK'sını tümleştiren uygulamaların katılımını gerektirir. Sdk'nın tümleştirilmesi, davranışın hedeflenen uygulamalarda zorlanması için gereklidir. Bu tümleştirme sıralı olarak gerçekleşir ve belirli uygulama ekiplerine bağlıdır. Katılan bazı uygulamalar WXP, Outlook, Managed Browser ve Yammer'dır.

Veri aktarımı ilkesi "yalnızca yönetilen uygulamalar" veya "uygulama yok" olarak ayarlanmış olsa bile, yönetilmeyen uygulamalarda iş veya okul verilerini açmak için iOS paylaşım uzantısını kullanabilirim. Bu veri sızdırmaz mı?

Intune uygulama koruma ilkesi, cihazı yönetmeden iOS paylaşım uzantısını denetleyemez. Bu nedenle, Intune "kurumsal" verileri uygulama dışında paylaşılmadan önce şifreler. Yönetilen uygulamanın dışında "kurumsal" dosyayı açmaya çalışarak bunu doğrulayabilirsiniz. Dosya şifrelenmelidir ve yönetilen uygulamanın dışında açılamaz.

Aynı uygulama ve kullanıcı kümesine yapılandırılan birden çok Intune uygulama koruma erişim ayarı iOS üzerinde nasıl çalışır?

erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalıştıkları için son kullanıcı cihazlarına belirli bir sırayla uygulanır. Genel olarak, silme önceliklidir, ardından bir blok ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı iOS/iPadOS sürümünü güncelleştirme konusunda uyaran en düşük iOS/iPadOS işletim sistemi ayarı, kullanıcının erişimini engelleyen en düşük iOS/iPadOS işletim sistemi ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük iOS/iPadOS işletim sistemini 11.0.0.0 ve min iOS/iPadOS işletim sistemini (yalnızca uyarı) 11.1.0.0 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz iOS/iPadOS 10'dayken, son kullanıcı, erişimin engellenmesine neden olan en düşük iOS/iPadOS işletim sistemi sürümü için daha kısıtlayıcı ayara bağlı olarak engellenir.

Farklı ayar türleriyle ilgilenirken, Intune Uygulama SDK'sı sürüm gereksinimi öncelikli olur ve ardından bir uygulama sürümü gereksinimi ve ardından iOS/iPadOS işletim sistemi sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor. Intune Uygulama SDK'sı sürüm gereksiniminin yalnızca temel engelleme senaryoları için Intune ürün ekibinin rehberliğinde yapılandırılmasını öneririz.

Ayrıca bkz.

• Intune dağıtma
• Dağıtım planı oluşturma
• Microsoft Intune'de Android mobil uygulama yönetimi ilkesi ayarları
• iOS/iPadOS mobil uygulama yönetimi ilkesi ayarları
• İlkeleri Uygulama koruması ilkesi yenileme
• Uygulama koruma ilkelerinizi doğrulama
• Cihaz kaydı olmadan yönetilen uygulamalar için uygulama yapılandırma ilkeleri ekleme
• Microsoft Intune'de destek alma

Bu makalede, Intune mobil uygulama yönetimi (MAM) ve Intune uygulama koruması hakkında sık sorulan bazı soruların yanıtları verilmektedir.

MAM'a Genel Bakış

Uygulama koruması ilkeleri, bir kuruluşun verilerinin güvenli kalmasını veya yönetilen bir uygulamada yer almamasını sağlayan kurallardır. İlke, Intune kullanıcı "kurumsal" verilere erişmeye veya verileri taşımaya çalıştığında zorlayan bir kuraldır. Ayrıca, kullanıcı uygulamadayken engelleyen veya izleyen Intune eylemler tanımlayabilir.

Her uygulama koruma ilkesi ayarı hakkında ayrıntılı bilgi için bkz. Android uygulama koruma ilkesi ayarları ve iOS/iPadOS uygulama koruma ilkesi ayarları.

Cihaza cihaz yönetimi durumunu ayarlamadan bir MAM ilkesi uygularsanız, kullanıcı mam ilkesini hem kendi cihazını getir (KCG) olarak da bilinen kişisel cihazda hem de Intune yönetilen cihazda alır. Cihaz yönetimi durumuna göre mam ilkesi de uygulayabilirsiniz. Bu nedenle bir uygulama koruma ilkesi oluşturduğunuzda, Tüm cihaz türlerinde uygulamaları hedefle'nin yanında Hayır'ı seçersiniz. Ardından aşağıdaki seçeneklerden birini belirleyin:

• Yönetilen cihazlara Intune daha az katı bir MAM ilkesi uygulayın ve MDM'ye kayıtlı olmayan cihazlara daha kısıtlayıcı bir MAM ilkesi uygulayın.
• Intune yönetilen cihazlara ve Microsoft tarafından yönetilmeyen cihazlara eşit derecede katı bir MAM ilkesi uygulayın.
• Mam ilkesini yalnızca kaydı kaldırılmış cihazlara uygulayın.

Daha fazla bilgi için bkz. Uygulama koruma ilkelerini izleme.

Intune Uygulama SDK'sı ile tümleştirilmiş veya Intune App Wrapping Tool tarafından sarmalanan tüm uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Genel kullanıma sunulan Intune yönetilen uygulamaların resmi listesine bakın.

• Son kullanıcının bir Microsoft Entra hesabı olmalıdır. Microsoft Entra ID'da Intune kullanıcı oluşturma hakkında daha fazla bilgi için bkz. Kullanıcı ekleme ve Intune için yönetim izni verme.

• Son kullanıcının Microsoft Entra hesabına atanmış Microsoft Intune lisansı olmalıdır. Son kullanıcılara Intune lisans atama hakkında daha fazla bilgi için bkz. Intune lisanslarını yönetme.

• Son kullanıcı, uygulama koruma ilkesi tarafından hedeflenen bir güvenlik grubuna ait olmalıdır. Aynı uygulama koruma ilkesi, kullanılmakta olan belirli bir uygulamayı hedeflemelidir. Uygulama koruması ilkeleri Microsoft Intune yönetim merkezinde oluşturulabilir ve dağıtılabilir. Güvenlik grupları şu anda Microsoft 365 yönetim merkezi oluşturulabilir.

• Son kullanıcının Microsoft Entra hesabını kullanarak uygulamada oturum açması gerekir.

Intune SDK geliştirme ekibi, yerel Android, iOS/iPadOS (Obj-C, Swift), Xamarin ve Xamarin.Forms platformları ile oluşturulan uygulamalar için etkin bir şekilde test ve destek sağlar. Bazı müşteriler Intune SDK'sını React Native ve NativeScript gibi diğer platformlarla başarıyla tümleştirir. Ancak Microsoft, desteklenen platformlar dışında platformlar için rehberlik veya eklenti sağlamaz.

Intune Uygulama SDK'sı, kimlik doğrulaması ve koşullu başlatma senaryoları için Microsoft Kimlik Doğrulama Kitaplığı'nı kullanabilir. Ayrıca cihaz kayıt senaryoları olmadan yönetim için kullanıcı kimliğini MAM hizmetine kaydetmek için MSAL kullanır.

• Son kullanıcının cihazında Outlook mobil uygulamasının yüklü olması gerekir.

• Son kullanıcının Microsoft Entra hesabına bağlı bir Microsoft 365 Exchange Online posta kutusu ve lisansı olmalıdır.

  Not

  Outlook mobil uygulaması şu anda yalnızca karma modern kimlik doğrulamasıyla Microsoft Exchange Online ve Exchange Server için Intune App Protection'ı destekler ve Office 365 Ayrılmış'ta Exchange'i desteklemez.

• Son kullanıcının Microsoft Entra hesabına bağlı İş için Microsoft 365 Uygulamaları veya kuruluş lisansına sahip olması gerekir. Abonelik, mobil cihazlardaki Office uygulamalarını içermelidir ve OneDrive bulut depolaması ve iş için dosya paylaşımı içeren bir bulut depolama hesabı içerebilir. Microsoft 365 lisansları bu yönergeleri izleyerek Microsoft 365 yönetim merkezi atanabilir.

• Son kullanıcının "Kuruluş verilerinin kopyalarını kaydet" uygulama koruma ilkesi ayarı altında ayrıntılı olarak kaydetme işlevi kullanılarak yapılandırılmış bir yönetilen konumu olmalıdır. Örneğin, yönetilen konum OneDrive ise, OneDrive uygulaması son kullanıcının Word, Excel veya PowerPoint uygulamasında yapılandırılmalıdır.

• Yönetilen konum OneDrive ise, uygulamanın son kullanıcıya dağıtılan uygulama koruma ilkesi tarafından hedeflenmiş olması gerekir.

  Not

  Office mobil uygulamaları şu anda şirket içi SharePoint'i değil yalnızca SharePoint Online'ı destekler.

Intune, uygulamadaki tüm verileri "kurumsal" veya "kişisel" olarak işaretler. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. office uygulamaları için Intune e-posta (Exchange) ve bulut depolama (OneDrive) iş konumları olarak ele alır.

Bkz. Skype Kurumsal lisans gereksinimleri. Skype Kurumsal (SfB) karma ve şirket içi yapılandırmalar için bkz. SfB ve Exchange için Karma Modern Kimlik Doğrulaması sırasıyla Microsoft Entra ID ile şirket içi SfB için GA ve Modern Kimlik Doğrulaması'dır.

Çoklu kimlik desteği, Intune Uygulama SDK'sının yalnızca uygulamada oturum açmış iş veya okul hesabına uygulama koruma ilkeleri uygulayabilmesidir. Uygulamada kişisel bir hesap oturum açtıysa verilere dokunulmaz.

Çoklu kimlik desteği, hem "kurumsal" hem de tüketici hedef kitlelerine (yani Office uygulamalarına) sahip uygulamaların "kurumsal" hesaplar için Intune uygulama koruma özellikleriyle herkese açık olarak yayımlanmasını sağlar.

Outlook hem kişisel hem de "kurumsal" e-postaların birleşik e-posta görünümüne sahip olduğundan, Outlook uygulaması başlatmada Intune PIN'ini ister.

Kişisel Kimlik Numarası (PIN), doğru kullanıcının bir uygulamadaki kuruluşun verilerine eriştiğini doğrulamak için kullanılan bir geçiş kodudur.

Intune, kullanıcı "şirket" verilerine erişmek üzereyken kullanıcının uygulama PIN'ini ister. Word/Excel/PowerPoint gibi çok kimlikli uygulamalarda, "kurumsal" bir belgeyi veya dosyayı açmaya çalıştığında kullanıcıdan PIN'i istenir. Intune App Wrapping Tool kullanılarak yönetilen iş kolu uygulamaları gibi tek kimlikli uygulamalarda, Intune Uygulama SDK'sı kullanıcının uygulamadaki deneyiminin her zaman "kurumsal" olduğunu bildiği için başlatma sırasında PIN istenir.

BT yöneticisi, Microsoft Intune yönetim merkezinde 'Erişim gereksinimlerini (dakika) sonra yeniden denetle' Intune uygulama koruma ilkesi ayarını tanımlayabilir. Bu ayar, cihazda erişim gereksinimleri denetlenmeden önce geçmesi gereken süreyi belirtir ve uygulama PIN ekranı yeniden gösterilir. Ancak, kullanıcıların sorulma sıklıklarını etkileyen PIN hakkında önemli ayrıntılar şunlardır:

• PIN, kullanılabilirliği geliştirmek için aynı yayımcının uygulamaları arasında paylaşılır: iOS/iPadOS'ta, aynı uygulama yayımcısının tüm uygulamaları arasında bir uygulama PIN'i paylaşılır. Android'de bir uygulama PIN'i tüm uygulamalar arasında paylaşılır.
• Cihaz yeniden başlatıldıktan sonra 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' davranışı: "PIN zamanlayıcı", Intune uygulama PIN'inin ne zaman gösterileceğini belirleyen işlem yapılmadan geçen dakika sayısını izler. iOS/iPadOS'ta PIN zamanlayıcı cihaz yeniden başlatmadan etkilenmez. Bu nedenle, cihazın yeniden başlatılması, kullanıcının Intune PIN ilkesine sahip bir iOS/iPadOS uygulamasından devre dışı bırakılma süresi üzerinde hiçbir etkisi yoktur. Android'de PIN zamanlayıcı cihaz yeniden başlatıldığında sıfırlanır. Bu nedenle, Intune PIN ilkesine sahip Android uygulamaları, cihaz yeniden başlatıldıktan sonra "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarı değerinden bağımsız olarak bir uygulama PIN'i ister.
• PIN ile ilişkili zamanlayıcının sıralı yapısı: Bir uygulamaya (uygulama A) erişmek için bir PIN girildikten ve uygulama cihazda ön planı (ana giriş odağı) bıraktıktan sonra, bu PIN için PIN zamanlayıcı sıfırlanır. Bu PIN'i paylaşan herhangi bir uygulama (uygulama B), zamanlayıcı sıfırlandığından kullanıcıdan PIN girişi istemez. 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' değeri karşılandığında istem yeniden gösterilir.

iOS/iPadOS cihazlarında, farklı yayımcılardan uygulamalar aynı PIN'i paylaşabilir. Bununla birlikte, (dakika) sonra erişim gereksinimlerini yeniden denetle değerine ulaşıldığında Intune uygulama ana giriş odağı değilse kullanıcıdan PIN ister. Örneğin, bir kullanıcının X yayımcısından A uygulaması ve Y yayımcısından B uygulaması vardır ve bu iki uygulama aynı PIN'i paylaşır. Kullanıcı A uygulamasına (ön plan) odaklanır ve B uygulaması simge durumuna küçültülmüş olur. Erişim gereksinimlerini (dakika) sonra yeniden denetle değeri karşılandığında ve kullanıcı B uygulamasına geçtikten sonra PIN gerekli olacaktır.

Not

Özellikle sık kullanılan bir uygulama için kullanıcının erişim gereksinimlerini daha sık doğrulamak (yani PIN istemi) için "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarının değerini azaltın.

Intune PIN'i, etkinlik dışı zamanlayıcıya ('(dakika) sonra erişim gereksinimlerini yeniden denetle' değeri) dayalı olarak çalışır. Bu nedenle, Intune PIN istemleri, genellikle varsayılan olarak uygulama başlatmaya bağlı olan Outlook ve OneDrive için yerleşik uygulama PIN istemlerinden bağımsız olarak gösterilir. Kullanıcı aynı anda her iki PIN istemini de alıyorsa beklenen davranış, Intune PIN'in öncelikli olmasıdır.

PIN, yalnızca doğru kullanıcının uygulamadaki kuruluş verilerine erişmesine izin verir. Bu nedenle, son kullanıcının Intune uygulama PIN'ini ayarlayabilmesi veya sıfırlayabilmesi için önce iş veya okul hesabıyla oturum açması gerekir. Microsoft Entra ID bu kimlik doğrulamasını güvenli belirteç değişimi aracılığıyla işler ve Intune Uygulama SDK'sı için saydam değildir. Güvenlik açısından bakıldığında, iş veya okul verilerini korumanın en iyi yolu verileri şifrelemektir. Şifreleme uygulama PIN'i ile ilgili değildir, ancak kendi uygulama koruma ilkesidir.

Uygulama PIN ilkesinin bir parçası olarak, BT yöneticisi bir kullanıcının uygulamayı kilitlemeden önce PIN'ini doğrulamayı deneyebileceği maksimum sayıda ayarlayabilir. Deneme sayısı karşılandığında Intune Uygulama SDK'sı uygulamadaki "kurumsal" verileri silebilir.

iOS/iPadOS üzerinde MAM, alfasayısal ve özel karakterlere (geçiş kodu olarak adlandırılır) sahip uygulama düzeyinde PIN'leri destekler. Geçiş kodu ayarlarını zorunlu kılmak için Word, Excel, PowerPoint, Outlook, Managed Browser ve Yammer gibi uygulamaların iOS/iPadOS için Intune Uygulama SDK'sını tümleştirmesi gerekir. Bu tümleştirme olmadan Intune bu uygulamalar için geçiş kodu ayarlarını zorunlu kılamaz. Intune bu özelliği iOS/iPadOS için SDK sürüm 7.1.12'de kullanıma sunulmuştur.

Bu özelliği desteklemek ve iOS/iPadOS için Intune SDK'sının önceki sürümleriyle uyumluluğu korumak için sürüm 7.1.12 ve üzeri tüm PIN'leri (sayısal veya geçiş kodu) önceki sürümlerde kullanılan sayısal PIN'ten ayrı olarak işler. Bu nedenle, bir cihazda aynı yayımcıdan 7.1.12 VE 7.1.12'den sonraki iOS/iPadOS sürümleri için Intune SDK'sı olan uygulamalar varsa, iki PIN ayarlamaları gerekir.

Ancak iki PIN (her uygulama için) hiçbir şekilde ilişkili değildir. Uygulamaya uygulanan uygulama koruma ilkesine bağlı kalmalıdır. Bu nedenle, yalnızca A ve B uygulamalarında aynı ilkeler uygulandığında (PIN'e göre) kullanıcı aynı PIN'i iki kez ayarlayabilir.

Bu davranış, Intune Mobil Uygulama Yönetimi ile etkinleştirilen iOS/iPadOS uygulamalarında PIN'e özgüdür. Zamanla, uygulamalar iOS/iPadOS için Intune SDK'sının sonraki sürümlerini benimsedikçe, aynı yayımcının uygulamalarında iki kez PIN ayarlamak zorunda kalmak daha az sorun haline gelir.

Not

Uygulama sürümleri, paylaşılan PIN'in mümkün olup olmadığını belirler. Örneğin, A uygulaması 7.1.12'den önceki bir SDK sürümünü kullanıyorsa ve B uygulaması 7.1.12 veya sonraki bir sürümü kullanıyorsa, aynı yayımcıdan olsa bile kullanıcının her uygulama için ayrı bir PIN ayarlaması gerekir. Ancak, hem A hem de C uygulamaları 7.1.12 öncesi sürümleri kullanıyorsa bir PIN paylaşır. Benzer şekilde, her ikisi de SDK 7.1.12 veya üzerini kullanıyorsa B ve D uygulamaları bir PIN paylaşır.

BT yöneticileri, uygulama verilerinin şifrelenmesini gerektiren bir uygulama koruma ilkesi dağıtabilir. İlkenin bir parçası olarak, BT yöneticisi içeriğin ne zaman şifreleneceğini de belirtebilir.

Intune verileri şifreleme için uygulama koruma ilkesi ayarına göre şifreler. Ayrıntılar için bkz. Android uygulama koruma ilkesi ayarları ve iOS/iPadOS uygulama koruma ilkesi ayarları.

Yalnızca "kurumsal" olarak işaretlenen veriler BT yöneticisinin uygulama koruma ilkesine göre şifrelenir. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. office uygulamaları için Intune e-posta (Exchange) ve bulut depolama (OneDrive) iş konumları olarak ele alır. Intune App Wrapping Tool tarafından yönetilen iş kolu uygulamaları için tüm uygulama verileri "kurumsal" olarak kabul edilir.

Intune uygulama verilerini üç farklı yolla silebilir: tam cihaz silme, MDM için seçmeli temizleme ve MAM seçmeli silme. MDM için uzaktan silme hakkında daha fazla bilgi için bkz. Temizleme veya devre dışı bırakma kullanarak cihazları kaldırma. MAM kullanarak seçmeli silme hakkında daha fazla bilgi için Kullanımdan kaldırma eylemine ve Uygulamalardan yalnızca şirket verilerini silme bölümüne bakın.

Sil seçeneği , cihazı fabrika varsayılan ayarlarına geri yükleyerek tüm kullanıcı verilerini ve ayarlarını cihazdan kaldırır. Cihaz Intune kaldırılır.

Not

Temizleme işlemi yalnızca Intune mobil cihaz yönetimi (MDM) ile kaydedilen cihazlarda yapılabilir.

MDM için seçmeli temizleme, kişisel verileri etkilemeden cihazdan yalnızca şirket verilerini kaldırır. Daha fazla bilgi için bkz. Cihazları kaldırma - kullanımdan kaldırma.

MAM için seçmeli silme işlemi, şirket uygulaması verilerini bir uygulamadan kaldırır. İstek, Microsoft Intune yönetim merkezi kullanılarak başlatılır. Silme isteğinin nasıl başlatıldığını öğrenmek için bkz. Uygulamalardan yalnızca şirket verilerini silme.

Seçmeli temizleme başlatıldığında kullanıcı uygulamayı kullanıyorsa, Intune Uygulama SDK'sı her 30 dakikada bir Intune MAM hizmetinden seçmeli temizleme isteği olup olmadığını denetler. Ayrıca kullanıcı uygulamayı ilk kez başlattığında ve iş veya okul hesabıyla oturum açtığında seçmeli silme olup olmadığını denetler.

Intune uygulama koruması, uygulama ile Intune Uygulama SDK'sı arasında tutarlı olması için kullanıcının kimliğine bağlıdır. Bunu garanti etmenin tek yolu modern kimlik doğrulamasıdır. Uygulamaların şirket içi yapılandırmayla çalışabileceği ancak tutarlı veya garantili olmadığı senaryolar vardır.

Evet! BT yöneticisi, Microsoft Edge uygulaması için uygulama koruma ilkesi dağıtabilir ve ayarlayabilir. BT yöneticisi, Intune yönetilen uygulamalardaki tüm web bağlantılarının Microsoft Edge uygulaması kullanılarak açılmasını gerektirebilir.

Uygulama ve Intune uygulama korumasını Şirket Portalı

erişim için Intune uygulama koruma ilkeleri, şirket hesaplarından hedeflenen bir uygulamaya erişmeye çalışırken son kullanıcı cihazlarında belirli bir sırayla uygulanır. Genel olarak, bir blok önceliklidir ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı düzeltme eki yükseltmesi için uyaran en düşük Android yama sürümü ayarı, kullanıcının erişimini engelleyen en düşük Android yama sürümü ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük Android yama sürümünü 2018-03-01 ve en düşük Android yama sürümünü (yalnızca uyarı) 2018-02-01 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz 2018-01-01 yama sürümündeyken, son kullanıcı erişimin engellenmesine neden olan en düşük Android yama sürümü için daha kısıtlayıcı ayara göre engellenir.

Farklı ayar türleriyle ilgilenirken, bir uygulama sürümü gereksinimi önceliklidir ve ardından Android işletim sistemi sürümü gereksinimi ve Android düzeltme eki sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor.

Intune hizmeti, hizmet yükü tarafından belirlenen yapılandırılmaz bir aralıkta Google Play ile iletişim kurar. Google Play'in cihaz bütünlüğü denetimi ayarı için BT yöneticisi tarafından yapılandırılan herhangi bir eylem, koşullu başlatma sırasında Intune hizmetine bildirilen son sonuç temelinde alınır. Google'ın cihaz bütünlüğü sonucu uyumluysa hiçbir işlem yapılmaz. Google'ın cihaz bütünlüğü sonucu uyumsuzsa, BT yöneticisi tarafından yapılandırılan eylem hemen gerçekleştirilir. Google Play'in cihaz bütünlüğü denetimine yönelik istek herhangi bir nedenle başarısız olursa, önceki istekten alınan önbelleğe alınan sonuç 24 saate kadar veya bir sonraki cihaz yeniden başlatma işlemi için kullanılır ve bu işlem daha önce gerçekleşir. O sırada Intune Uygulama Koruma İlkeleri geçerli bir sonuç elde edilinceye kadar erişimi engeller.

Bunun nasıl yapılacağını açıklayan yönergeler cihaza göre biraz değişiklik gösterir. Genel işlem, Google Play Store'a gitmeyi, ardından Uygulamalarım & oyunlarına tıklamayı, sizi Play Protect menüsüne götürecek son uygulama taramasının sonucuna tıklamayı içerir. Cihazı güvenlik tehditleri için tara düğmesinin açık olduğundan emin olun.

Intune, kaydı kaldırılmış cihazlar için mevcut kök algılama denetimlerimize eklemek üzere Google Play Bütünlük API'lerini uygular. Google, android uygulamalarının kök erişimli cihazlarda çalışmasını istememeleri durumunda benimsemeleri için bu API kümesini geliştirdi ve bakımını yaptı. Örneğin, Android Pay uygulaması bunu dahil etti. Google, gerçekleşen kök algılama denetimlerinin tamamını genel olarak paylaşmasa da, bu API'lerin cihazlarının kökünü oluşturan kullanıcıları algılamasını bekliyoruz. Bu kullanıcıların erişimi engellenebilir veya şirket hesapları ilke etkin uygulamalarından silinebilir. 'Temel bütünlüğü denetle', cihazın genel bütünlüğü hakkında bilgi sağlar. Kök erişimli cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. 'Sertifikalı cihazlar & temel bütünlüğü kontrol edin', cihazın Google'ın hizmetleriyle uyumluluğu hakkında bilgi verir. Yalnızca Google tarafından onaylanan değiştirilmemiş cihazlar bu denetimi geçirebilir. Başarısız olan cihazlar şunlardır:

• Temel bütünlüğü başarısız olan cihazlar
• Kilidi açılmış önyükleyicisi olan cihazlar
• Özel sistem görüntüsü/ROM'una sahip cihazlar
• Üreticinin Google sertifikası için başvurmamış veya onaylamamış cihazlar
• Doğrudan Android Açık Kaynak Programı kaynak dosyalarından oluşturulmuş sistem görüntüsüne sahip cihazlar
• Beta/geliştirici önizleme sistemi görüntüsüne sahip cihazlar

Teknik ayrıntılar için Google'ın Play Integrity API belgelerine bakın.

Google Play Bütünlük API'si denetimleri, kanıtlama sonuçlarını belirlemek için "gidiş dönüş" işleminin yürütülürken en azından son kullanıcının çevrimiçi olmasını gerektirir. Son kullanıcı çevrimdışıysa BT yöneticisi yine de 'jailbreak uygulanmış/kök erişim izni verilmiş cihazlar' ayarından bir sonucun uygulanmasını bekleyebilir. Öte yandan, son kullanıcı çok uzun süre çevrimdışı kaldıysa "Çevrimdışı yetkisiz kullanım süresi" değeri devreye girer ve ağ erişimi sağlanana kadar zamanlayıcı değerine ulaşıldıktan sonra iş veya okul verilerine tüm erişim engellenir. Her iki ayarın da etkinleştirilmesi, son kullanıcılar mobil cihazlarda iş veya okul verilerine eriştiğinde önemli olan son kullanıcı cihazlarını sağlıklı tutmaya yönelik katmanlı bir yaklaşım sağlar.

Hem 'Yürütme bütünlüğü kararı' hem de 'Uygulamalarda tehdit taraması' ayarları, Google Play Hizmetleri'nin Google tarafından belirlenen sürümünün düzgün çalışmasını gerektirir. Bunlar güvenlik alanına giren ayarlar olduğundan, son kullanıcı bu ayarlarla hedefleniyorsa ve Google Play Hizmetleri'nin uygun sürümünü karşılamıyorsa veya Google Play Hizmetleri'ne erişimi yoksa engellenir.

Intune uygulama koruma ilkeleri yalnızca Intune lisanslı kullanıcıya uygulama erişimi üzerinde denetim sağlar. Uygulamaya erişimi denetlemenin yollarından biri, desteklenen cihazlarda Apple'ın Touch ID'sini veya Face ID'sini gerektirmektir. Intune, cihazın biyometrik veritabanında herhangi bir değişiklik olması Intune bir sonraki etkinlik dışı zaman aşımı değeri karşılandığında kullanıcıdan PIN istemesi gibi bir davranış uygular. Biyometrik verilerde yapılan değişiklikler parmak izi veya yüzün eklenmesini veya kaldırılmasını içerir. Intune kullanıcının PIN kümesi yoksa, Intune PIN'i ayarlaması istenir.

Bunun amacı, kuruluşunuzun verilerini uygulama düzeyinde güvenli ve korumalı bir şekilde tutmaya devam etmektir. Bu özellik yalnızca iOS/iPadOS için kullanılabilir ve iOS/iPadOS, sürüm 9.0.1 veya üzeri için Intune APP SDK'sını tümleştiren uygulamaların katılımını gerektirir. Sdk'nın tümleştirilmesi, davranışın hedeflenen uygulamalarda zorlanması için gereklidir. Bu tümleştirme sıralı olarak gerçekleşir ve belirli uygulama ekiplerine bağlıdır. Katılan bazı uygulamalar WXP, Outlook, Managed Browser ve Yammer'dır.

Intune uygulama koruma ilkesi, cihazı yönetmeden iOS paylaşım uzantısını denetleyemez. Bu nedenle, Intune "kurumsal" verileri uygulama dışında paylaşılmadan önce şifreler. Yönetilen uygulamanın dışında "kurumsal" dosyayı açmaya çalışarak bunu doğrulayabilirsiniz. Dosya şifrelenmelidir ve yönetilen uygulamanın dışında açılamaz.

erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalıştıkları için son kullanıcı cihazlarına belirli bir sırayla uygulanır. Genel olarak, silme önceliklidir, ardından bir blok ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı iOS/iPadOS sürümünü güncelleştirme konusunda uyaran en düşük iOS/iPadOS işletim sistemi ayarı, kullanıcının erişimini engelleyen en düşük iOS/iPadOS işletim sistemi ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük iOS/iPadOS işletim sistemini 11.0.0.0 ve min iOS/iPadOS işletim sistemini (yalnızca uyarı) 11.1.0.0 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz iOS/iPadOS 10'dayken, son kullanıcı, erişimin engellenmesine neden olan en düşük iOS/iPadOS işletim sistemi sürümü için daha kısıtlayıcı ayara bağlı olarak engellenir.

Farklı ayar türleriyle ilgilenirken, Intune Uygulama SDK'sı sürüm gereksinimi öncelikli olur ve ardından bir uygulama sürümü gereksinimi ve ardından iOS/iPadOS işletim sistemi sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor. Intune Uygulama SDK'sı sürüm gereksiniminin yalnızca temel engelleme senaryoları için Intune ürün ekibinin rehberliğinde yapılandırılmasını öneririz.

Ayrıca bkz.

• Intune dağıtma
• Dağıtım planı oluşturma
• Microsoft Intune'de Android mobil uygulama yönetimi ilkesi ayarları
• iOS/iPadOS mobil uygulama yönetimi ilkesi ayarları
• İlkeleri Uygulama koruması ilkesi yenileme
• Uygulama koruma ilkelerinizi doğrulama
• Cihaz kaydı olmadan yönetilen uygulamalar için uygulama yapılandırma ilkeleri ekleme
• Microsoft Intune'de destek alma