Uygulama koruma ilkelerini kullanan veri koruma çerçevesi
Daha fazla kuruluş iş veya okul verilerine erişmek için mobil cihaz stratejileri uyguladıkça, veri sızıntısına karşı koruma çok önemli hale gelir. Intune'ın veri sızıntısına karşı koruma için mobil uygulama yönetimi çözümü Uygulama Koruma İlkeleri'dir (APP). APP, cihazın kayıtlı olup olmamasına bakılmaksızın kuruluşun verilerinin güvenli kalmasını veya yönetilen bir uygulamada yer almamasını sağlayan kurallardır. Daha fazla bilgi için bkz. Uygulama koruması ilkelerine genel bakış.
Uygulama Koruma İlkeleri'ni yapılandırırken, çeşitli ayar ve seçeneklerin sayısı kuruluşların korumayı kendi ihtiyaçlarına göre uyarlamasına olanak tanır. Bu esneklik nedeniyle, tam bir senaryo uygulamak için ilke ayarlarının hangi permütasyonunun gerekli olduğu açık olmayabilir. Microsoft, kuruluşların istemci uç noktası sağlamlaştırma çabalarını önceliklendirmesine yardımcı olmak için Windows 10'da güvenlik yapılandırmaları için yeni bir taksonomi getirmiştir ve Intune, mobil uygulama yönetimine yönelik APP veri koruma çerçevesi için benzer bir taksonomiden yararlanmaktadır.
APP veri koruma yapılandırma çerçevesi üç ayrı yapılandırma senaryosu halinde düzenlenmiştir:
Düzey 1 kurumsal temel veri koruması – Microsoft bu yapılandırmayı kurumsal bir cihaz için en düşük veri koruma yapılandırması olarak önerir.
Düzey 2 kurumsal gelişmiş veri koruması – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Denetimlerden bazıları kullanıcı deneyimini etkileyebilir.
Düzey 3 kurumsal yüksek veri koruması – Microsoft bu yapılandırmayı, daha büyük veya daha gelişmiş bir güvenlik ekibine sahip bir kuruluş tarafından çalıştırılan cihazlar için veya benzersiz olarak yüksek risk altındaki belirli kullanıcılar veya gruplar için (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar) önerir. İyi fonlanmış ve gelişmiş saldırganların hedef alma olasılığı yüksek olan bir kuruluş bu yapılandırmayı hedef almalıdır.
APP Data Protection Framework dağıtım metodolojisi
Yeni yazılım, özellik veya ayarların herhangi bir dağıtımında olduğu gibi Microsoft, APP veri koruma çerçevesini dağıtmadan önce doğrulamayı test etmek için bir halka metodolojisine yatırım yapmanızı önerir. Dağıtım halkalarını tanımlamak genellikle tek seferlik bir olaydır (veya en azından seyrek), ancak SıRALAMAnın hala doğru olduğundan emin olmak için BT'nin bu grupları yeniden ziyaret etmesi gerekir.
Microsoft, APP veri koruma çerçevesi için aşağıdaki dağıtım halkası yaklaşımını önerir:
| Dağıtım halkası | Kiracı | Değerlendirme ekipleri | Çıkış | Zaman çizelgesi |
|---|---|---|---|---|
| Kalite Güvencesi | Ön üretim kiracısı | Mobil beceri sahipleri, Güvenlik, Risk Değerlendirmesi, Gizlilik, UX | İşlevsel senaryo doğrulama, taslak belgeler | 0-30 gün |
| Önizleme | Üretim kiracısı | Mobil beceri sahipleri, UX | Son kullanıcı senaryo doğrulaması, kullanıcıya yönelik belgeler | 7-14 gün, Kalite Güvencesi sonrası |
| Üretim | Üretim kiracısı | Mobil özellik sahipleri, BT yardım masası | Yok | 7 gün ile birkaç hafta arasında, Önizleme sonrası |
Yukarıdaki tabloda da belirtildiği gibi, ilke ayarının etkilerini anlamak için Uygulama Koruma İlkeleri'nde yapılan tüm değişiklikler ilk olarak bir üretim öncesi ortamda gerçekleştirilmelidir. Test tamamlandıktan sonra değişiklikler üretime taşınabilir ve üretim kullanıcılarının bir alt kümesine (genellikle BT departmanına ve diğer ilgili gruplara) uygulanabilir. Son olarak, dağıtım mobil kullanıcı topluluğunun geri kalanına tamamlanabilir. Üretime dağıtım, değişiklikle ilgili etki ölçeğine bağlı olarak daha uzun sürebilir. Kullanıcı etkisi yoksa, değişiklik hızlı bir şekilde dağıtılırken, değişiklik kullanıcı etkisine neden olursa, değişiklikleri kullanıcı popülasyonuyla iletişim kurma gereksinimi nedeniyle dağıtımın yavaşlaması gerekebilir.
Bir APP'de yapılan değişiklikleri test ederken , teslim zamanlamasına dikkat edin. Belirli bir kullanıcının APP teslim durumu izlenebilir. Daha fazla bilgi için bkz. Uygulama koruma ilkelerini izleme.
Her uygulama için ayrı UYGULAMA ayarları, Microsoft Edge ve hakkında:Intunehelp URL'si kullanılarak cihazlarda doğrulanabilir. Daha fazla bilgi için bkz. İstemci uygulama koruma günlüklerini gözden geçirme ve Yönetilen uygulama günlüklerine erişmek için iOS ve Android için Microsoft Edge'i kullanma.
APP Data Protection Framework ayarları
Geçerli uygulamalar için aşağıdaki Uygulama Koruma İlkesi ayarları etkinleştirilmelidir ve tüm mobil kullanıcılara atanmalıdır. Her ilke ayarı hakkında daha fazla bilgi için bkz. iOS uygulama koruma ilkesi ayarları ve Android uygulama koruma ilkesi ayarları.
Microsoft, kullanım senaryolarını gözden geçirmeyi ve kategorilere ayırmayı ve ardından kullanıcıları bu düzey için açıklayıcı kılavuzu kullanarak yapılandırmayı önerir. Her çerçevede olduğu gibi, veri korumanın tehdit ortamını, risk iştahını ve kullanılabilirlik üzerindeki etkisini değerlendirmesi gerektiğinden, ilgili düzeydeki ayarların kuruluşun ihtiyaçlarına göre ayarlanması gerekebilir.
Yöneticiler, örnek Intune Uygulama Koruma İlkesi Yapılandırma Çerçevesi JSON şablonlarını IntunePowerShell betikleriyle içeri aktararak test ve üretim için halka dağıtım metodolojisine aşağıdaki yapılandırma düzeylerini ekleyebilir.
Not
Windows için MAM kullanırken bkz. Windows için Uygulama koruması ilke ayarları.
Koşullu Erişim İlkeleri
Yalnızca App Protection Poliies'i destekleyen uygulamaların iş veya okul hesabı verilerine erişmesini sağlamak için koşullu erişim ilkeleri Microsoft Entra gereklidir. Bu ilkeler Koşullu Erişim: Onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme bölümünde açıklanmaktadır.
Belirli ilkeleri uygulama adımları için Bkz. Koşullu Erişim'de mobil cihazlarla onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme: Onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme. Son olarak, eski kimlik doğrulama özelliğine sahip iOS ve Android uygulamalarını engellemek için Eski kimlik doğrulamasını engelle'deki adımları uygulayın.
Not
Bu ilkeler, Onaylanan istemci uygulamasını gerektir ve Uygulama koruma ilkesi gerektir onay denetimlerini kullanın.
Uygulama Koruma İlkelerine eklenecek uygulamalar
Her Uygulama Koruma İlkesi için, aşağıdaki uygulamaları içeren Core Microsoft Apps grubu hedeflenmiştir:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- Yapılacaklar
- Word
İlkeler, iş gereksinimine dayalı diğer Microsoft uygulamalarını, kuruluş içinde kullanılan Intune SDK'sını tümleştirmiş ek üçüncü taraf genel uygulamaları ve Intune SDK'sını tümleştirmiş (veya sarmalanmış) iş kolu uygulamalarını içermelidir.
Düzey 1 kurumsal temel veri koruması
Düzey 1, kurumsal mobil cihaz için en düşük veri koruma yapılandırmasıdır. Bu yapılandırma, iş veya okul verilerine erişmek için PIN gerektirerek, iş veya okul hesabı verilerini şifreleyerek ve okul veya iş verilerini seçmeli olarak temizleme özelliği sağlayarak temel Exchange Online cihaz erişim ilkeleri gereksiniminin yerini alır. Ancak Exchange Online cihaz erişim ilkelerinin aksine, ilkede seçilen tüm uygulamalar için aşağıdaki Uygulama Koruma İlkesi ayarları geçerlidir ve böylece veri erişiminin mobil mesajlaşma senaryolarının ötesinde korunması sağlanır.
Düzey 1'deki ilkeler, kullanıcılara etkisini en aza indirirken makul bir veri erişim düzeyini zorlar ve Microsoft Intune içinde bir Uygulama Koruma İlkesi oluştururken varsayılan veri koruma ve erişim gereksinimleri ayarlarını yansıtır.
Veri koruması
| Ayar | Ayar açıklaması | Değer | Ortam |
|---|---|---|---|
| Veri Aktarımı | Kuruluş verilerini yedekle... | İzin ver | iOS/iPadOS, Android |
| Veri Aktarımı | Kuruluş verilerini diğer uygulamalara gönderme | Tüm uygulamalar | iOS/iPadOS, Android |
| Veri Aktarımı | Kuruluş verilerini adresine gönderme | Tüm hedefler | Windows |
| Veri Aktarımı | Diğer uygulamalardan veri alma | Tüm uygulamalar | iOS/iPadOS, Android |
| Veri Aktarımı | Veri alma | Tüm kaynaklar | Windows |
| Veri Aktarımı | Uygulamalar arasında kesme, kopyalama ve yapıştırmayı kısıtlama | Herhangi bir uygulama | iOS/iPadOS, Android |
| Veri Aktarımı | Için kesme, kopyalama ve yapıştırmaya izin ver | Herhangi bir hedef ve herhangi bir kaynak | Windows |
| Veri Aktarımı | Üçüncü taraf klavyeler | İzin ver | iOS/iPadOS |
| Veri Aktarımı | Onaylı klavyeler | Gerekli değil | Android |
| Veri Aktarımı | Ekran yakalama ve Google Assistant | İzin ver | Android |
| Şifreleme | Kuruluş verilerini şifreleme | İstemek | iOS/iPadOS, Android |
| Şifreleme | Kayıtlı cihazlarda kuruluş verilerini şifreleme | İstemek | Android |
| Işlevsel -liği | Uygulamayı yerel kişiler uygulamasıyla eşitleme | İzin ver | iOS/iPadOS, Android |
| Işlevsel -liği | Kuruluş verilerini yazdırma | İzin ver | iOS/iPadOS, Android, Windows |
| Işlevsel -liği | Diğer uygulamalarla web içeriği aktarımını kısıtlama | Herhangi bir uygulama | iOS/iPadOS, Android |
| Işlevsel -liği | Kuruluş veri bildirimleri | İzin ver | iOS/iPadOS, Android |
Erişim gereksinimleri
| Ayar | Değer | Ortam | Notlar |
|---|---|---|---|
| Erişim için PIN | İstemek | iOS/iPadOS, Android | |
| PIN türü | Sayısal | iOS/iPadOS, Android | |
| Basit PIN | İzin ver | iOS/iPadOS, Android | |
| Minimum PIN uzunluğu'nu seçin | 4 | iOS/iPadOS, Android | |
| Erişim için PIN yerine Touch ID (iOS 8+/iPadOS) | İzin ver | iOS/iPadOS | |
| Zaman aşımı sonrasında PIN ile biyometriyi geçersiz kılma | İstemek | iOS/iPadOS, Android | |
| Zaman aşımı (etkinlik dakikası) | 1440 | iOS/iPadOS, Android | |
| Erişim için PIN yerine Face ID (iOS 11+/iPadOS) | İzin ver | iOS/iPadOS | |
| Erişim için PIN yerine biyometrik | İzin ver | iOS/iPadOS, Android | |
| Gün sayısından sonra PIN sıfırlama | Hayır | iOS/iPadOS, Android | |
| Korunacak önceki PIN değerlerinin sayısını seçin | 0 | Android | |
| Cihaz PIN'i ayarlandığında uygulama PIN'i | İstemek | iOS/iPadOS, Android | Cihaz Intune kayıtlıysa, yöneticiler bir cihaz uyumluluk ilkesi aracılığıyla güçlü bir cihaz PIN'i zorunluyorlarsa bunu "Gerekli değil" olarak ayarlamayı göz önünde bulundurabilir. |
| Erişim için iş veya okul hesabı kimlik bilgileri | Gerekli değil | iOS/iPadOS, Android | |
| Erişim gereksinimlerini (işlem yapılmadan geçen dakika) sonra yeniden denetleyin | 30 | iOS/iPadOS, Android |
Koşullu başlatma
| Ayar | Ayar açıklaması | Değer / Eylem | Ortam | Notlar |
|---|---|---|---|---|
| Uygulama koşulları | En fazla PIN denemesi | 5 / PIN'i sıfırla | iOS/iPadOS, Android | |
| Uygulama koşulları | Çevrimdışı yetkisiz kullanım süresi | 10080 / Erişimi engelle (dakika) | iOS/iPadOS, Android, Windows | |
| Uygulama koşulları | Çevrimdışı yetkisiz kullanım süresi | 90 / Verileri temizleme (gün) | iOS/iPadOS, Android, Windows | |
| Cihaz koşulları | Jailbreak uygulanmış/kök erişim izni verilmiş cihazlar | Yok / Erişimi engelle | iOS/iPadOS, Android | |
| Cihaz koşulları | SafetyNet cihaz kanıtlama | Temel bütünlük ve sertifikalı cihazlar / Erişimi engelle | Android | Bu ayar, Google Play'in son kullanıcı cihazlarında cihaz bütünlüğü denetimini yapılandırır. Temel bütünlük, cihazın bütünlüğünü doğrular. Kök erişimli cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. Temel bütünlük ve sertifikalı cihazlar, cihazın Google'ın hizmetleriyle uyumluluğunu doğrular. Yalnızca Google tarafından onaylanan değiştirilmemiş cihazlar bu denetimi geçirebilir. |
| Cihaz koşulları | Uygulamalarda tehdit taraması gerektir | Yok / Erişimi engelle | Android | Bu ayar, Google'ın Uygulamaları Doğrula taramasının son kullanıcı cihazları için açık olmasını sağlar. Yapılandırılırsa, Son kullanıcının Android cihazında Google'ın uygulama taramasını açıncaya kadar erişimi engellenir. |
| Cihaz koşulları | İzin verilen maksimum cihaz tehdit düzeyi | Düşük / Erişimi engelle | Windows | |
| Cihaz koşulları | Cihaz kilidi gerektir | Düşük/Uyar | Android | Bu ayar, Android cihazların en düşük parola gereksinimlerini karşılayan bir cihaz parolasına sahip olmasını sağlar. |
Not
Windows koşullu başlatma ayarları Sistem Durumu Denetimleri olarak etiketlenir.
Düzey 2 kurumsal gelişmiş veri koruması
Düzey 2, kullanıcıların daha hassas bilgilere eriştiği cihazlar için standart olarak önerilen veri koruma yapılandırmasıdır. Bu cihazlar günümüzde kuruluşlarda doğal bir hedeftir. Bu öneriler, yüksek nitelikli güvenlik uygulayıcılarından oluşan büyük bir personel olduğunu varsaymamaktadır ve bu nedenle çoğu kurumsal kuruluş için erişilebilir olmalıdır. Bu yapılandırma, veri aktarımı senaryolarını kısıtlayarak ve en düşük işletim sistemi sürümünü gerektirerek Düzey 1'deki yapılandırmayı genişletir.
Önemli
Düzey 2'de zorunlu kılınan ilke ayarları, düzey 1 için önerilen tüm ilke ayarlarını içerir. Ancak, Düzey 2 yalnızca daha fazla denetim ve düzey 1'den daha gelişmiş bir yapılandırma uygulamak için eklenen veya değiştirilen ayarları listeler. Bu ayarlar kullanıcılar veya uygulamalar üzerinde biraz daha yüksek bir etkiye sahip olsa da, mobil cihazlarda hassas bilgilere erişimi olan kullanıcıların karşılaştığı risklerle daha uygun bir veri koruma düzeyi uygular.
Veri koruması
| Ayar | Ayar açıklaması | Değer | Ortam | Notlar |
|---|---|---|---|---|
| Veri Aktarımı | Kuruluş verilerini yedekle... | Engelle | iOS/iPadOS, Android | |
| Veri Aktarımı | Kuruluş verilerini diğer uygulamalara gönderme | İlkeyle yönetilen uygulamalar | iOS/iPadOS, Android | iOS/iPadOS ile yöneticiler bu değeri "İlkeyle yönetilen uygulamalar", "İşletim sistemi paylaşımıyla ilkeyle yönetilen uygulamalar" veya "Açık/Paylaşım filtrelemeli ilkeyle yönetilen uygulamalar" olarak yapılandırabilir. İşletim sistemi paylaşımıyla ilkeyle yönetilen uygulamalar, cihaz Intune ile de kaydedildiğinde kullanılabilir. Bu ayar, ilkeyle yönetilen diğer uygulamalara veri aktarımına ve Intune tarafından yönetilen diğer uygulamalara dosya aktarımlarına olanak tanır. Açma/Paylaşma filtrelemesi ile ilke tarafından yönetilen uygulamalar, yalnızca ilkeyle yönetilen uygulamaları görüntülemek için İşletim Sistemi Açma/Paylaşma iletişim kutularını filtreler. Daha fazla bilgi için bkz. iOS uygulama koruma ilkesi ayarları. |
| Veri Aktarımı | Gönderme veya veri gönderme | Hedef yok | Windows | |
| Veri Aktarımı | Veri alma | Kaynak yok | Windows | |
| Veri Aktarımı | Muaf tutulacak uygulamaları seçin | Varsayılan / skype; uygulama ayarları; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Veri Aktarımı | Kuruluş verilerinin kopyalarını kaydetme | Engelle | iOS/iPadOS, Android | |
| Veri Aktarımı | Kullanıcıların seçili hizmetlere kopya kaydetmesine izin ver | OneDrive İş, SharePoint Online, Fotoğraf Kitaplığı | iOS/iPadOS, Android | |
| Veri Aktarımı | Telekomünikasyon verilerini şuraya aktarma | Herhangi bir çevirici uygulaması | iOS/iPadOS, Android | |
| Veri Aktarımı | Uygulamalar arasında kesme, kopyalama ve yapıştırmayı kısıtlama | Yapıştırarak ilkeyle yönetilen uygulamalar | iOS/iPadOS, Android | |
| Veri Aktarımı | Için kesme, kopyalama ve yapıştırmaya izin ver | Hedef veya kaynak yok | Windows | |
| Veri Aktarımı | Ekran yakalama ve Google Assistant | Engelle | Android | |
| Işlevsel -liği | Diğer uygulamalarla web içeriği aktarımını kısıtlama | Microsoft Edge | iOS/iPadOS, Android | |
| Işlevsel -liği | Kuruluş veri bildirimleri | Kuruluş Verilerini Engelle | iOS/iPadOS, Android | Bu ayarı destekleyen uygulamaların listesi için bkz. iOS uygulama koruma ilkesi ayarları ve Android uygulama koruma ilkesi ayarları. |
Koşullu başlatma
| Ayar | Ayar açıklaması | Değer / Eylem | Ortam | Notlar |
|---|---|---|---|---|
| Uygulama koşulları | Devre dışı bırakılmış hesap | Yok / Erişimi engelle | iOS/iPadOS, Android, Windows | |
| Cihaz koşulları | En düşük işletim sistemi sürümü |
Biçim: Major.Minor.Build Örnek: 14.8 / Erişimi engelle |
iOS/iPadOS | Microsoft, en düşük iOS ana sürümünün Microsoft uygulamaları için desteklenen iOS sürümleriyle eşleşecek şekilde yapılandırılmasını önerir. Microsoft uygulamaları, N'nin geçerli iOS ana sürüm sürümü olduğu bir N-1 yaklaşımını destekler. Microsoft, ikincil ve derleme sürümü değerleri için cihazların ilgili güvenlik güncelleştirmeleriyle güncel olduğundan emin olunmasını önerir. Apple'ın en son önerileri için Bkz. Apple güvenlik güncelleştirmeleri |
| Cihaz koşulları | En düşük işletim sistemi sürümü |
Biçim: Major.Minor Örnek: 9.0 / Erişimi engelle |
Android | Microsoft, en düşük Android ana sürümünün Microsoft uygulamaları için desteklenen Android sürümleriyle eşleşecek şekilde yapılandırılmasını önerir. Android Enterprise tarafından önerilen gereksinimlere uyan OEM'ler ve cihazlar, geçerli gönderim sürümünü ve bir harf yükseltmesini desteklemelidir. Şu anda Android, bilgi çalışanları için Android 9.0 ve üzeri sürümleri önerir. Android'in en son önerileri için Bkz. Android Kurumsal Önerilen gereksinimler |
| Cihaz koşulları | En düşük işletim sistemi sürümü |
Biçim: Derleme Örnek: 10.0.22621.2506 / Erişimi engelle |
Windows | Microsoft, en düşük Windows derlemesinin Microsoft uygulamaları için desteklenen Windows sürümleriyle eşleşecek şekilde yapılandırılmasını önerir. Şu anda Microsoft aşağıdakileri önerir:
|
| Cihaz koşulları | En düşük düzeltme eki sürümü |
Biçim: YYYY-AA-GG Örnek: 2020-01-01 / Erişimi engelle |
Android | Android cihazlar aylık güvenlik düzeltme ekleri alabilir, ancak sürüm OEM'lere ve/veya operatörlere bağlıdır. Kuruluşlar, bu ayarı uygulamadan önce dağıtılan Android cihazlarının güvenlik güncelleştirmelerini aldığından emin olmalıdır. En son düzeltme eki sürümleri için bkz. Android Güvenlik Bültenleri . |
| Cihaz koşulları | Gerekli SafetyNet değerlendirme türü | Donanım destekli anahtar | Android | Donanım destekli kanıtlama, Donanım Destekli adlı yeni bir değerlendirme türü uygulayarak mevcut Google'ın Play Bütünlüğü hizmet denetimini geliştirir ve yalnızca yazılım çözümü tarafından her zaman güvenilir bir şekilde algılanabilen daha yeni kök oluşturma araçları ve yöntemlerine yanıt olarak daha sağlam bir kök algılama sağlar. Adından da anlaşılacağı gibi, donanım destekli kanıtlama, Android 8.1 ve üzeri yüklü cihazlarla birlikte gelen donanım tabanlı bir bileşen kullanır. Android'in eski bir sürümünden Android 8.1'e yükseltilen cihazların donanım destekli kanıtlama için gerekli donanım tabanlı bileşenlere sahip olma olasılığı düşüktür. Bu ayarın Android 8.1 ile birlikte gelen cihazlardan başlayarak yaygın olarak desteklenmesi gerekirken, Microsoft bu ilke ayarını geniş çapta etkinleştirmeden önce cihazların tek tek test edilmesini kesinlikle önerir. |
| Cihaz koşulları | Cihaz kilidi gerektir | Orta/Blok Erişimi | Android | Bu ayar, Android cihazların en düşük parola gereksinimlerini karşılayan bir cihaz parolasına sahip olmasını sağlar. |
| Cihaz koşulları | Samsung Knox cihaz kanıtlama | Erişimi Engelle | Android | Microsoft, cihaz Samsung'un Knox donanım tabanlı cihaz durumu doğrulamasını karşılamıyorsa kullanıcı hesabının erişiminin engellendiğinden emin olmak için Samsung Knox cihaz kanıtlama ayarını Erişimi engelle olarak yapılandırmanızı önerir. Bu ayar, iyi durumdaki bir cihazdan Intune hizmetine gönderilen tüm Intune MAM istemci yanıtlarını doğrular. Bu ayar hedeflenen tüm cihazlar için geçerlidir. Bu ayarı yalnızca Samsung cihazlarına uygulamak için "Yönetilen uygulamalar" atama filtrelerini kullanabilirsiniz. Atama filtreleri hakkında daha fazla bilgi için bkz. Microsoft Intune'de uygulamalarınızı, ilkelerinizi ve profillerinizi atarken filtreleri kullanma. |
| Uygulama koşulları | Çevrimdışı yetkisiz kullanım süresi | 30 / Silme verileri (gün) | iOS/iPadOS, Android, Windows |
Not
Windows koşullu başlatma ayarları Sistem Durumu Denetimleri olarak etiketlenir.
Düzey 3 kurumsal yüksek veri koruması
Düzey 3, büyük ve gelişmiş güvenlik kuruluşları olan kuruluşlar veya saldırganlar tarafından benzersiz olarak hedeflenecek belirli kullanıcılar ve gruplar için standart olarak önerilen veri koruma yapılandırmasıdır. Bu tür kuruluşlar genellikle iyi fonlanmış ve gelişmiş saldırganlar tarafından hedeflenir ve bu nedenle açıklanan ek kısıtlamaları ve denetimleri temel alır. Bu yapılandırma, ek veri aktarımı senaryolarını kısıtlayarak, PIN yapılandırmasının karmaşıklığını artırarak ve mobil tehdit algılama ekleyerek Düzey 2'deki yapılandırmayı genişletir.
Önemli
Düzey 3'te zorunlu kılınan ilke ayarları, düzey 2 için önerilen tüm ilke ayarlarını içerir, ancak yalnızca daha fazla denetim ve düzey 2'den daha karmaşık bir yapılandırma uygulamak için eklenen veya değiştirilen ayarları listeler. Bu ilke ayarlarının kullanıcılar veya uygulamalar üzerinde önemli bir etkisi olabilir ve hedeflenen kuruluşların karşılaştığı risklerle bir güvenlik düzeyi zorunlu hale gelebilir.
Veri koruması
| Ayar | Ayar açıklaması | Değer | Ortam | Notlar |
|---|---|---|---|---|
| Veri Aktarımı | Telekomünikasyon verilerini şuraya aktarma | İlkeyle yönetilen herhangi bir çevirici uygulaması | Android | Yöneticiler ayrıca Belirli bir çevirici uygulaması'nı seçip Çevirici Uygulama Paketi Kimliği ve Çevirici Uygulama Adı değerlerini sağlayarak Uygulama Koruma İlkelerini desteklemeyen bir çevirici uygulamasını kullanacak şekilde bu ayarı yapılandırabilir. |
| Veri Aktarımı | Telekomünikasyon verilerini şuraya aktarma | Belirli bir çevirici uygulaması | iOS/iPadOS | |
| Veri Aktarımı | Çevirici Uygulaması URL Düzeni | replace_with_dialer_app_url_scheme | iOS/iPadOS | iOS/iPadOS'ta bu değer, kullanılmakta olan özel çevirici uygulamasının URL düzeniyle değiştirilmelidir. URL şeması bilinmiyorsa daha fazla bilgi için uygulama geliştiricisine başvurun. URL düzenleri hakkında daha fazla bilgi için bkz. Uygulamanız için Özel URL Düzeni Tanımlama. |
| Veri aktarımı | Diğer uygulamalardan veri alma | İlkeyle yönetilen uygulamalar | iOS/iPadOS, Android | |
| Veri aktarımı | Verileri Kuruluş belgelerinde açma | Engelle | iOS/iPadOS, Android | |
| Veri aktarımı | Kullanıcıların seçili hizmetlerden veri açmasına izin ver | OneDrive İş, SharePoint, Kamera, Fotoğraf Kitaplığı | iOS/iPadOS, Android | İlgili bilgiler için bkz. Android uygulama koruma ilkesi ayarları ve iOS uygulama koruma ilkesi ayarları. |
| Veri aktarımı | Üçüncü taraf klavyeler | Engelle | iOS/iPadOS | iOS/iPadOS'ta bu, tüm üçüncü taraf klavyelerin uygulama içinde çalışmasını engeller. |
| Veri aktarımı | Onaylı klavyeler | İstemek | Android | |
| Veri aktarımı | Onaylayacak klavyeleri seçme | klavye ekleme/kaldırma | Android | Android ile, dağıtılan Android cihazlarınıza göre kullanılabilmesi için klavyelerin seçilmesi gerekir. |
| Işlevsel -liği | Kuruluş verilerini yazdırma | Engelle | iOS/iPadOS, Android, Windows |
Erişim gereksinimleri
| Ayar | Değer | Ortam |
|---|---|---|
| Basit PIN | Engelle | iOS/iPadOS, Android |
| Minimum PIN uzunluğu'nu seçin | 6 | iOS/iPadOS, Android |
| Gün sayısından sonra PIN sıfırlama | Evet | iOS/iPadOS, Android |
| Gün sayısı | 365 | iOS/iPadOS, Android |
| Sınıf 3 Biyometri (Android 9.0+) | İstemek | Android |
| Biyometrik güncelleştirmelerden sonra PIN ile Biyometriyi geçersiz kılma | İstemek | Android |
Koşullu başlatma
| Ayar | Ayar açıklaması | Değer / Eylem | Ortam | Notlar |
|---|---|---|---|---|
| Cihaz koşulları | Cihaz kilidi gerektir | Yüksek/Blok Erişimi | Android | Bu ayar, Android cihazların en düşük parola gereksinimlerini karşılayan bir cihaz parolasına sahip olmasını sağlar. |
| Cihaz koşulları | İzin verilen maksimum cihaz tehdit düzeyi | Güvenli / Erişimi engelle | Windows | |
| Cihaz koşulları | Jailbreak uygulanmış/kök erişim izni verilmiş cihazlar | Yok / Verileri silme | iOS/iPadOS, Android | |
| Cihaz koşulları | İzin verilen maksimum tehdit düzeyi | Güvenli / Erişimi engelle | iOS/iPadOS, Android | Kaydı kaldırılan cihazlar, Mobil Tehdit Savunması kullanılarak tehditler için incelenebilir. Daha fazla bilgi için bkz. Kaydı kaldırılan cihazlar için Mobile Threat Defense. Cihaz kayıtlıysa, bu ayar kayıtlı cihazlar için Mobile Threat Defense'i dağıtmak amacıyla atlanabilir. Daha fazla bilgi için bkz. Kayıtlı cihazlar için Mobile Threat Defense. |
| Cihaz koşulları | En fazla işletim sistemi sürümü |
Biçim: Major.Minor Örnek: 11.0 / Erişimi engelle |
Android | Microsoft, işletim sisteminin beta veya desteklenmeyen sürümlerinin kullanılmadığından emin olmak için en yüksek Android ana sürümünü yapılandırmanızı önerir. Android'in en son önerileri için Bkz. Android Kurumsal Önerilen gereksinimler |
| Cihaz koşulları | En fazla işletim sistemi sürümü |
Biçim: Major.Minor.Build Örnek: 15.0 / Erişimi engelle |
iOS/iPadOS | Microsoft, işletim sisteminin beta veya desteklenmeyen sürümlerinin kullanılmadığından emin olmak için en yüksek iOS/iPadOS ana sürümünü yapılandırmanızı önerir. Apple'ın en son önerileri için Bkz. Apple güvenlik güncelleştirmeleri |
| Cihaz koşulları | En fazla işletim sistemi sürümü |
Biçim: Major.Minor Örnek: 22631. / Erişimi engelle |
Windows | Microsoft, işletim sisteminin beta veya desteklenmeyen sürümlerinin kullanılmadığından emin olmak için en yüksek Windows ana sürümünü yapılandırmanızı önerir. |
| Cihaz koşulları | Samsung Knox cihaz kanıtlama | Verileri sil | Android | Microsoft, cihaz Samsung'un Knox donanım tabanlı cihaz durumu doğrulamasını karşılamıyorsa kuruluş verilerinin kaldırıldığından emin olmak için Samsung Knox cihaz kanıtlama ayarının Verileri sil olarak yapılandırılmasını önerir. Bu ayar, iyi durumdaki bir cihazdan Intune hizmetine gönderilen tüm Intune MAM istemci yanıtlarını doğrular. Bu ayar hedeflenen tüm cihazlar için geçerlidir. Bu ayarı yalnızca Samsung cihazlarına uygulamak için "Yönetilen uygulamalar" atama filtrelerini kullanabilirsiniz. Atama filtreleri hakkında daha fazla bilgi için bkz. Microsoft Intune'de uygulamalarınızı, ilkelerinizi ve profillerinizi atarken filtreleri kullanma. |
| Uygulama koşulları | Çevrimdışı yetkisiz kullanım süresi | 30 / Erişimi engelle (gün) | iOS/iPadOS, Android, Windows |
Sonraki adımlar
Yöneticiler, örnek Intune Uygulama Koruma İlkesi Yapılandırma Çerçevesi JSON şablonlarınıIntune'nin PowerShell betikleriyle içeri aktararak test ve üretim kullanımı için yukarıdaki yapılandırma düzeylerini halka dağıtım metodolojisine ekleyebilir.