Düzenle

Aracılığıyla paylaş


MAM ve uygulama koruması hakkında sık sorulan sorular

Bu makalede, Intune mobil uygulama yönetimi (MAM) ve Intune uygulama koruması hakkında sık sorulan bazı soruların yanıtları verilmektedir.

MAM Temel Bilgileri

MAM nedir?

Uygulama koruma ilkeleri

Uygulama koruma ilkeleri nelerdir?

Uygulama koruması ilkeleri, bir kuruluşun verilerinin güvenli kalmasını veya yönetilen bir uygulamada yer almamasını sağlayan kurallardır. İlke, kullanıcı "şirket" verilerine erişmeye veya verileri taşımaya çalıştığında uygulanan bir kural ya da kullanıcı uygulamanın içindeyken yasaklanan veya izlenen bir dizi eylem olabilir.

Uygulama koruma ilkelerine örnekler nelerdir?

Farklı cihazlar için hem MDM hem de MAM ilkelerinin aynı kullanıcıya aynı anda uygulanması mümkün mü?

Cihaz yönetimi durumunu ayarlamadan kullanıcıya bir MAM ilkesi uygularsanız, kullanıcı MAM ilkesini hem KCG cihazında hem de Intune yönetilen cihazda alır. Cihaz yönetimi durumuna göre mam ilkesi de uygulayabilirsiniz. Bu nedenle bir uygulama koruma ilkesi oluşturduğunuzda, Tüm cihaz türlerinde uygulamaları hedefle'nin yanında Hayır'ı seçersiniz. Ardından aşağıdakilerden birini yapın:

  • Yönetilen cihazlara Intune daha az katı bir MAM ilkesi uygulayın ve MDM'ye kayıtlı olmayan cihazlara daha kısıtlayıcı bir MAM ilkesi uygulayın.
  • Yönetilen cihazları üçüncü taraf yönetilen cihazlara Intune eşit derecede katı bir MAM ilkesi uygulayın.
  • Mam ilkesini yalnızca kaydı kaldırılmış cihazlara uygulayın.

Daha fazla bilgi için bkz. Uygulama koruma ilkelerini izleme.

Uygulama koruma ilkeleriyle yönetebileceğiniz uygulamalar

Hangi uygulamalar uygulama koruma ilkeleri tarafından yönetilebilir?

Intune Uygulama SDK'sı ile tümleştirilmiş veya Intune App Wrapping Tool tarafından sarmalanmış tüm uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Genel kullanıma sunulan Intune yönetilen uygulamaların resmi listesine bakın.

Intune yönetilen uygulamada uygulama koruma ilkelerini kullanmak için temel gereksinimler nelerdir?

  • Son kullanıcının bir Microsoft Entra hesabı olmalıdır. Microsoft Entra ID'da Intune kullanıcıları oluşturmayı öğrenmek için bkz. Kullanıcı ekleme ve Intune yönetici izni verme.

  • Son kullanıcının Microsoft Entra hesabına atanmış Microsoft Intune lisansı olmalıdır. Son kullanıcılara Intune lisansları atamayı öğrenmek için bkz. Intune lisanslarını yönetme.

  • Son kullanıcı, uygulama koruma ilkesi tarafından hedeflenen bir güvenlik grubuna ait olmalıdır. Aynı uygulama koruma ilkesi, kullanılmakta olan belirli bir uygulamayı hedeflemelidir. Uygulama koruması ilkeleri Microsoft Intune yönetim merkezinde oluşturulabilir ve dağıtılabilir. Güvenlik grupları şu anda Microsoft 365 yönetim merkezi oluşturulabilir.

  • Son kullanıcının Microsoft Entra hesabını kullanarak uygulamada oturum açması gerekir.

Bir uygulamayı Intune Uygulama Koruması ile etkinleştirmek istersem ancak desteklenen bir uygulama geliştirme platformu kullanmıyorsa ne olur?

Intune SDK geliştirme ekibi, yerel Android, iOS/iPadOS (Obj-C, Swift), Xamarin ve Xamarin.Forms platformları ile oluşturulan uygulamalar için etkin bir şekilde test ve destek sağlar. Bazı müşteriler React Native ve NativeScript gibi diğer platformlarla Intune SDK tümleştirmesi konusunda başarılı olsa da, desteklenen platformlarımız dışında herhangi bir şey kullanan uygulama geliştiricileri için açık rehberlik veya eklenti sağlamayız.

Intune APP SDK'sı Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) destekliyor mu?

Intune Uygulama SDK'sı, kimlik doğrulaması ve koşullu başlatma senaryoları için Microsoft Kimlik Doğrulama Kitaplığı'nı kullanabilir. Ayrıca cihaz kayıt senaryoları olmadan yönetim için kullanıcı kimliğini MAM hizmetine kaydetmek için MSAL kullanır.

Outlook mobil uygulamasını kullanmak için ek gereksinimler nelerdir?

Word, Excel ve PowerPoint uygulamalarını kullanmak için ek gereksinimler nelerdir?

  • Son kullanıcının Microsoft Entra hesabına bağlı İş için Microsoft 365 Uygulamaları veya kuruluş lisansına sahip olması gerekir. Abonelik, mobil cihazlardaki Office uygulamalarını içermelidir ve OneDrive İş içeren bir bulut depolama hesabı içerebilir. Microsoft 365 lisansları bu yönergeleri izleyerek Microsoft 365 yönetim merkezi atanabilir.

  • Son kullanıcının "Kuruluş verilerinin kopyalarını kaydet" uygulama koruma ilkesi ayarı altında ayrıntılı olarak kaydetme işlevi kullanılarak yapılandırılmış bir yönetilen konumu olmalıdır. Örneğin, yönetilen konum OneDrive ise, OneDrive uygulaması son kullanıcının Word, Excel veya PowerPoint uygulamasında yapılandırılmalıdır.

  • Yönetilen konum OneDrive ise, uygulamanın son kullanıcıya dağıtılan uygulama koruma ilkesi tarafından hedeflenmiş olması gerekir.

    Not

    Office mobil uygulamaları şu anda şirket içi SharePoint'i değil yalnızca SharePoint Online'ı destekler.

Office için yönetilen konum (örneğin OneDrive) neden gereklidir?

Intune, uygulamadaki tüm verileri "kurumsal" veya "kişisel" olarak işaretler. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. Office uygulamaları için Intune şunları iş konumları olarak değerlendirir: e-posta (Exchange) veya bulut depolama (OneDrive İş hesabı olan OneDrive uygulaması).

Skype Kurumsal kullanmak için ek gereksinimler nelerdir?

Bkz. Skype Kurumsal lisans gereksinimleri. Skype Kurumsal (SfB) karma ve şirket içi yapılandırmalar için bkz. SfB ve Exchange için Karma Modern Kimlik Doğrulaması sırasıyla Microsoft Entra ID ile şirket içi SfB için GA ve Modern Kimlik Doğrulaması'dır.

Uygulama koruması özellikleri

Çoklu kimlik desteği nedir?

Çoklu kimlik desteği, Intune Uygulama SDK'sının yalnızca uygulamada oturum açmış iş veya okul hesabına uygulama koruma ilkeleri uygulayabilmesidir. Uygulamada kişisel bir hesap oturum açtıysa verilere dokunulmaz.

Çoklu kimlik desteğinin amacı nedir?

Çoklu kimlik desteği, hem "kurumsal" hem de tüketici hedef kitlesine (office uygulamaları) sahip uygulamaların ,"kurumsal" hesaplar için Intune uygulama koruma özellikleriyle herkese açık olarak yayımlanmasını sağlar.

Outlook ve çoklu kimlik ne olacak?

Outlook hem kişisel hem de "kurumsal" e-postaların birleşik e-posta görünümüne sahip olduğundan, Outlook uygulaması başlatmada Intune PIN'ini ister.

Intune uygulama PIN'i nedir?

Kişisel Kimlik Numarası (PIN), doğru kullanıcının bir uygulamadaki kuruluşun verilerine eriştiğini doğrulamak için kullanılan bir geçiş kodudur.

Kullanıcıdan PIN'ini girmesi ne zaman istenir?

Intune, kullanıcı "şirket" verilerine erişmek üzereyken kullanıcının uygulama PIN'ini ister. Word/Excel/PowerPoint gibi çok kimlikli uygulamalarda, "kurumsal" bir belgeyi veya dosyayı açmaya çalıştığında kullanıcıdan PIN'i istenir. Intune App Wrapping Tool kullanılarak yönetilen iş kolu uygulamaları gibi tek kimlikli uygulamalarda, Intune Uygulama SDK'sı kullanıcının uygulamadaki deneyiminin her zaman "kurumsal" olduğunu bildiği için başlatma sırasında PIN istenir.

Kullanıcıdan Intune PIN'i ne sıklıkta istenir?

BT yöneticisi, Microsoft Intune yönetim merkezinde 'Erişim gereksinimlerini (dakika) sonra yeniden denetle' Intune uygulama koruma ilkesi ayarını tanımlayabilir. Bu ayar, cihazda erişim gereksinimleri denetlenmeden önce geçmesi gereken süreyi belirtir ve uygulama PIN ekranı yeniden gösterilir. Ancak, kullanıcıdan ne sıklıkta sorulacağını etkileyen PIN ile ilgili önemli ayrıntılar şunlardır:

  • PIN, kullanılabilirliği geliştirmek için aynı yayımcının uygulamaları arasında paylaşılır: iOS/iPadOS'ta, aynı uygulama yayımcısının tüm uygulamaları arasında bir uygulama PIN'i paylaşılır. Android'de bir uygulama PIN'i tüm uygulamalar arasında paylaşılır.
  • Cihaz yeniden başlatıldıktan sonra 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' davranışı: "PIN zamanlayıcı", Intune uygulama PIN'inin ne zaman gösterileceğini belirleyen işlem yapılmadan geçen dakika sayısını izler. iOS/iPadOS'ta PIN zamanlayıcı cihaz yeniden başlatmadan etkilenmez. Bu nedenle, cihazın yeniden başlatılması, kullanıcının Intune PIN ilkesine sahip bir iOS/iPadOS uygulamasından devre dışı bırakıldığı dakika sayısını etkilemez. Android'de PIN zamanlayıcı cihaz yeniden başlatıldığında sıfırlanır. Bu nedenle, Intune PIN ilkesine sahip Android uygulamaları, cihaz yeniden başlatıldıktan sonra "Erişim gereksinimlerini (dakika) sonra yeniden denetle" ayarı değerinden bağımsız olarak bir uygulama PIN'i ister.
  • PIN ile ilişkili zamanlayıcının sıralı yapısı: Bir uygulamaya (uygulama A) erişmek için bir PIN girildikten ve uygulama cihazda ön planı (ana giriş odağı) bıraktıktan sonra, bu PIN için PIN zamanlayıcı sıfırlanır. Bu PIN'i paylaşan herhangi bir uygulama (uygulama B), zamanlayıcı sıfırlandığından kullanıcıdan PIN girişi istemez. 'Erişim gereksinimlerini (dakika)) sonra yeniden denetle' değeri karşılandığında istem yeniden gösterilir.

iOS/iPadOS cihazları için PIN farklı yayımcılardan gelen uygulamalar arasında paylaşılsa bile, ana giriş odağı olmayan uygulama için erişim gereksinimlerini yeniden denetle (dakika) değeri karşılandığında istem yeniden gösterilir. Örneğin, bir kullanıcının X yayımcısından A uygulaması ve Y yayımcısından B uygulaması vardır ve bu iki uygulama aynı PIN'i paylaşır. Kullanıcı A uygulamasına (ön plan) odaklanır ve B uygulaması simge durumuna küçültülmüş olur. Erişim gereksinimlerini (dakika) sonra yeniden denetle değeri karşılandığında ve kullanıcı B uygulamasına geçtikten sonra PIN gerekli olacaktır.

Not

Özellikle sık kullanılan bir uygulama için kullanıcının erişim gereksinimlerini daha sık doğrulamak (pin istemi gibi) için ,'Erişim gereksinimlerini (dakika) sonra yeniden denetle' ayarının değerini azaltmanız önerilir.

Intune PIN'i Outlook ve OneDrive için yerleşik uygulama PIN'leriyle nasıl çalışır?

Intune PIN'i, etkinlik dışı zamanlayıcıya ('(dakika) sonra erişim gereksinimlerini yeniden denetle' değeri) dayalı olarak çalışır. Bu nedenle, Intune PIN istemleri, genellikle varsayılan olarak uygulama başlatmaya bağlı olan Outlook ve OneDrive için yerleşik uygulama PIN istemlerinden bağımsız olarak gösterilir. Kullanıcı aynı anda her iki PIN istemini de alıyorsa beklenen davranış, Intune PIN'in öncelikli olmasıdır.

PIN güvenli mi?

PIN, yalnızca doğru kullanıcının uygulamadaki kuruluş verilerine erişmesine izin verir. Bu nedenle, son kullanıcının Intune uygulama PIN'ini ayarlayabilmesi veya sıfırlayabilmesi için önce iş veya okul hesabıyla oturum açması gerekir. Bu kimlik doğrulaması güvenli belirteç değişimi aracılığıyla Microsoft Entra ID tarafından işlenir ve Intune Uygulama SDK'sı için saydam değildir. Güvenlik açısından bakıldığında, iş veya okul verilerini korumanın en iyi yolu verileri şifrelemektir. Şifreleme uygulama PIN'i ile ilgili değildir, ancak kendi uygulama koruma ilkesidir.

PIN Intune deneme yanılma saldırılarına karşı nasıl korur?

Uygulama PIN ilkesinin bir parçası olarak, BT yöneticisi bir kullanıcının uygulamayı kilitlemeden önce PIN'ini doğrulamayı deneyebileceği maksimum sayıda ayarlayabilir. Deneme sayısı karşılandıktan sonra Intune Uygulama SDK'sı uygulamadaki "kurumsal" verileri silebilir.

Aynı yayımcının uygulamalarında neden iki kez PIN ayarlamam gerekiyor?

MAM (iOS/iPadOS üzerinde) şu anda iOS/iPadOS için Intune APP SDK'sını tümleştirmek için uygulamaların (WXP, Outlook, Managed Browser, Yammer) katılımını gerektiren alfasayısal ve özel karakterlerle ('geçiş kodu' olarak adlandırılır) uygulama düzeyinde PIN'e izin verir. Bu olmadan, geçiş kodu ayarları hedeflenen uygulamalar için düzgün bir şekilde zorlanmaz. Bu, iOS/iPadOS v. 7.1.12 için Intune SDK'sında yayımlanan bir özellikti.

Bu özelliği desteklemek ve iOS/iPadOS için Intune SDK'sının önceki sürümleriyle geriye dönük uyumluluğu sağlamak amacıyla, 7.1.12+ sürümündeki tüm PIN'ler (sayısal veya geçiş kodu) SDK'nın önceki sürümlerindeki sayısal PIN'den ayrı olarak işlenir. Bu nedenle, bir cihazda aynı yayımcıdan 7.1.12 VE 7.1.12'den sonraki iOS/iPadOS sürümleri için Intune SDK'sı olan uygulamalar varsa, iki PIN ayarlamaları gerekir.

Bu durum, iki PIN'in (her uygulama için) herhangi bir şekilde ilişkili olmadığını, yani uygulamaya uygulanan uygulama koruma ilkesine uymaları gerektiğini belirtmektedir. Bu nedenle, yalnızca A ve B uygulamalarında aynı ilkeler uygulandığında (PIN'e göre) kullanıcı aynı PIN'i iki kez ayarlayabilir.

Bu davranış, Intune Mobil Uygulama Yönetimi ile etkinleştirilen iOS/iPadOS uygulamalarında PIN'e özgüdür. Zamanla, uygulamalar iOS/iPadOS için Intune SDK'sının sonraki sürümlerini benimsedikçe, aynı yayımcının uygulamalarında iki kez PIN ayarlamak zorunda kalmak daha az sorun haline gelir. Örnek için lütfen aşağıdaki nota bakın.

Not

Örneğin, A uygulaması 7.1.12'den önceki bir sürümle oluşturulduysa ve B uygulaması aynı yayımcıdan 7.1.12'ye eşit veya daha büyük bir sürümle oluşturulduysa, her ikisi de bir iOS/iPadOS cihazında yüklüyse son kullanıcının A ve B için pin'leri ayrı olarak ayarlaması gerekir.

Cihazda SDK sürümü 7.1.9 olan bir uygulama C yüklüyse, A uygulamasıyla aynı PIN'i paylaşır.

7.1.14 ile oluşturulan bir D uygulaması, B uygulamasıyla aynı PIN'i paylaşır.

Bir cihazda yalnızca A ve C uygulamaları yüklüyse bir PIN'in ayarlanması gerekir. Aynı durum yalnızca B ve D uygulamalarının bir cihaza yüklenmesi durumunda da geçerlidir.

Şifreleme ne olacak?

BT yöneticileri, uygulama verilerinin şifrelenmesini gerektiren bir uygulama koruma ilkesi dağıtabilir. İlkenin bir parçası olarak, BT yöneticisi içeriğin ne zaman şifreleneceğini de belirtebilir.

Intune verileri nasıl şifreler?

Ne şifrelenir?

Yalnızca "kurumsal" olarak işaretlenen veriler BT yöneticisinin uygulama koruma ilkesine göre şifrelenir. Veriler bir iş konumundan geldiğinde "kurumsal" olarak kabul edilir. Office uygulamaları için Intune şunları iş konumları olarak değerlendirir: e-posta (Exchange) veya bulut depolama (OneDrive İş hesabı olan OneDrive uygulaması). Intune App Wrapping Tool tarafından yönetilen iş kolu uygulamaları için tüm uygulama verileri "kurumsal" olarak kabul edilir.

Intune verileri uzaktan nasıl siler?

Intune uygulama verilerini üç farklı yolla silebilir: tam cihaz silme, MDM için seçmeli temizleme ve MAM seçmeli silme. MDM için uzaktan silme hakkında daha fazla bilgi için bkz. Temizleme veya devre dışı bırakma kullanarak cihazları kaldırma. MAM kullanarak seçmeli silme hakkında daha fazla bilgi için Kullanımdan kaldırma eylemine ve Uygulamalardan yalnızca şirket verilerini silme bölümüne bakın.

Temizleme nedir?

Sil seçeneği , cihazı fabrika varsayılan ayarlarına geri yükleyerek tüm kullanıcı verilerini ve ayarlarını cihazdan kaldırır. Cihaz Intune kaldırılır.

Not

Temizleme işlemi yalnızca Intune mobil cihaz yönetimi (MDM) ile kaydedilen cihazlarda yapılabilir.

MDM için seçmeli silme nedir?

Bkz . Cihazları kaldırma - şirket verilerini kaldırma hakkında bilgi edinmek için devre dışı bırakma.

MAM için seçmeli temizleme nedir?

MAM için seçmeli silme işlemi, şirket uygulaması verilerini bir uygulamadan kaldırır. İstek, Microsoft Intune yönetim merkezi kullanılarak başlatılır. Silme isteğinin nasıl başlatıldığını öğrenmek için bkz. Uygulamalardan yalnızca şirket verilerini silme.

MAM için seçmeli silme işlemi ne kadar hızlı gerçekleşir?

Seçmeli temizleme başlatıldığında kullanıcı uygulamayı kullanıyorsa, Intune Uygulama SDK'sı her 30 dakikada bir Intune MAM hizmetinden seçmeli temizleme isteği olup olmadığını denetler. Ayrıca kullanıcı uygulamayı ilk kez başlattığında ve iş veya okul hesabıyla oturum açtığında seçmeli silme olup olmadığını denetler.

Şirket içi (şirket içi) hizmetleri neden korumalı Intune uygulamalarla çalışmıyor?

Intune uygulama koruması, uygulama ile Intune Uygulama SDK'sı arasında tutarlı olması için kullanıcının kimliğine bağlıdır. Bunu garanti etmenin tek yolu modern kimlik doğrulamasıdır. Uygulamaların şirket içi yapılandırmayla çalışabileceği ancak tutarlı veya garantili olmadığı senaryolar vardır.

Yönetilen uygulamalardan web bağlantılarını açmanın güvenli bir yolu var mı?

Evet! BT yöneticisi, Microsoft Edge uygulaması için uygulama koruma ilkesi dağıtabilir ve ayarlayabilir. BT yöneticisi, Intune yönetilen uygulamalardaki tüm web bağlantılarının Microsoft Edge uygulaması kullanılarak açılmasını gerektirebilir.

Android'de uygulama deneyimi

Intune uygulama korumasının Android cihazlarda çalışması için neden Şirket Portalı uygulaması gerekiyor?

Aynı uygulama ve kullanıcı kümesine yapılandırılan birden çok Intune uygulama koruma erişim ayarı Android'de nasıl çalışır?

erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalıştıkları için son kullanıcı cihazlarına belirli bir sırayla uygulanır. Genel olarak, bir blok önceliklidir ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı düzeltme eki yükseltmesi için uyaran en düşük Android yama sürümü ayarı, kullanıcının erişimini engelleyen en düşük Android yama sürümü ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük Android yama sürümünü 2018-03-01 ve en düşük Android yama sürümünü (yalnızca uyarı) 2018-02-01 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz 2018-01-01 yama sürümündeyken, son kullanıcı erişimin engellenmesine neden olan en düşük Android yama sürümü için daha kısıtlayıcı ayara göre engellenir.

Farklı ayar türleriyle ilgilenirken, bir uygulama sürümü gereksinimi önceliklidir ve ardından Android işletim sistemi sürümü gereksinimi ve Android düzeltme eki sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor.

Intune Uygulama Koruma İlkeleri, yöneticilerin son kullanıcı cihazlarının Android cihazlar için Google Play'in cihaz bütünlüğü denetimini geçirmesini gerektirme özelliği sağlar. Yeni bir Google Play'in cihaz bütünlüğü denetim sonucu hizmete ne sıklıkta gönderilir?

Intune hizmeti, hizmet yükü tarafından belirlenen yapılandırılamayan bir aralıkta Google Play ile iletişim kurar. Google Play'in cihaz bütünlüğü denetimi ayarı için BT yöneticisi tarafından yapılandırılan herhangi bir eylem, koşullu başlatma sırasında Intune hizmetine bildirilen son sonuç temelinde alınır. Google'ın cihaz bütünlüğü sonucu uyumluysa hiçbir işlem yapılmaz. Google'ın cihaz bütünlüğü sonucu uyumlu değilse BT yöneticisi tarafından yapılandırılmış eylem hemen gerçekleştirilir. Google Play'in cihaz bütünlüğü denetimine yönelik istek herhangi bir nedenle başarısız olursa, önceki istekten alınan önbelleğe alınan sonuç 24 saate kadar veya bir sonraki cihaz yeniden başlatma işlemi için kullanılır ve bu işlem daha önce gerçekleşir. O sırada Intune Uygulama Koruma İlkeleri geçerli bir sonuç elde edilinceye kadar erişimi engeller.

Intune Uygulama Koruma İlkeleri, yöneticilerin son kullanıcı cihazlarının Android cihazlar için Google'ın Uygulamaları Doğrulama API'si aracılığıyla sinyal göndermesini gerektirme özelliği sağlar. Son kullanıcı bu nedenle erişimlerinin engellenmemesi için uygulama taramasını nasıl açabilir?

Bunun nasıl yapılacağını açıklayan yönergeler cihaza göre biraz değişiklik gösterir. Genel işlem, Google Play Store'a gitmeyi, ardından Uygulamalarım & oyunlarına tıklamayı, sizi Play Protect menüsüne götürecek son uygulama taramasının sonucuna tıklamayı içerir. Cihazı güvenlik tehditleri için tara düğmesinin açık olduğundan emin olun.

Google'ın Play Bütünlük API'si Android cihazlarda gerçekte neleri denetler? 'Temel bütünlüğü denetle' ve 'Sertifikalı cihazlar & temel bütünlüğü denetle' ile yapılandırılabilir değerleri arasındaki fark nedir?

Intune, kaydı kaldırılmış cihazlar için mevcut kök algılama denetimlerimize eklemek üzere Google Play Bütünlük API'lerinden yararlanır. Google, android uygulamalarının kök erişimli cihazlarda çalışmasını istememeleri durumunda benimsemeleri için bu API kümesini geliştirmiş ve bakımını almıştır. Örneğin Android Pay uygulaması bunu eklemiştir. Google, gerçekleşen kök algılama denetimlerinin tamamını genel olarak paylaşmasa da, bu API'lerin cihazlarının kökünü oluşturan kullanıcıları algılamasını bekliyoruz. Bu kullanıcıların erişimi engellenebilir veya şirket hesapları ilke etkin uygulamalarından silinebilir. 'Temel bütünlüğü denetle', cihazın genel bütünlüğü hakkında bilgi sağlar. Kök erişimli cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. 'Sertifikalı cihazlar & temel bütünlüğü kontrol edin', cihazın Google'ın hizmetleriyle uyumluluğu hakkında bilgi verir. Yalnızca Google tarafından onaylanan değiştirilmemiş cihazlar bu denetimi geçirebilir. Başarısız olacak cihazlar şunlardır:

  • Temel bütünlüğü başarısız olan cihazlar
  • Kilidi açılmış önyükleyicisi olan cihazlar
  • Özel sistem görüntüsü/ROM'una sahip cihazlar
  • Üreticinin Google sertifikası için başvurmadığı veya onaylamadığı cihazlar
  • Doğrudan Android Açık Kaynak Programı kaynak dosyalarından oluşturulmuş sistem görüntüsüne sahip cihazlar
  • Beta/geliştirici önizleme sistemi görüntüsüne sahip cihazlar

Teknik ayrıntılar için Google'ın Play Integrity API belgelerine bakın.

Android cihazlar için Intune Uygulama Koruma İlkesi oluştururken Koşullu Başlatma bölümünde iki benzer denetim vardır. 'Yürütme bütünlüğü kararı' ayarını mı yoksa 'jailbreak uygulanmış/kök erişim izni olan cihazlar' ayarını mı gerekli kılmalıyım?

Google Play Bütünlük API'si denetimleri, kanıtlama sonuçlarını belirlemek için "gidiş dönüş" işleminin yürütildiği süre boyunca en azından son kullanıcının çevrimiçi olmasını gerektirir. Son kullanıcı çevrimdışıysa BT yöneticisi yine de 'jailbreak uygulanmış/kök erişim izni verilmiş cihazlar' ayarından bir sonucun uygulanmasını bekleyebilir. Öte yandan, son kullanıcı çok uzun süre çevrimdışı kaldıysa "Çevrimdışı yetkisiz kullanım süresi" değeri devreye girer ve ağ erişimi sağlanana kadar zamanlayıcı değerine ulaşıldıktan sonra iş veya okul verilerine tüm erişim engellenir. Her iki ayarın da etkinleştirilmesi, son kullanıcılar mobil cihazlarda iş veya okul verilerine eriştiğinde önemli olan son kullanıcı cihazlarını sağlıklı tutmaya yönelik katmanlı bir yaklaşım sağlar.

Google Play Koruma API'lerinden yararlanan uygulama koruma ilkesi ayarları, Google Play Hizmetleri'nin çalışmasını gerektirir. Google Play Hizmetleri'ne son kullanıcının bulunabileceği konumda izin verilmiyorsa ne olur?

Hem 'Yürütme bütünlüğü kararı', hem de 'Uygulamalarda tehdit taraması' ayarları, Google Play Services'in Google tarafından belirlenen sürümünün düzgün çalışmasını gerektirir. Bunlar güvenlik alanına giren ayarlar olduğundan, son kullanıcı bu ayarlarla hedeflenmişse ve Google Play Hizmetleri'nin uygun sürümünü karşılamıyorsa veya Google Play Hizmetlerine erişimi yoksa engellenir.

iOS'ta uygulama deneyimi

Cihazıma parmak izi veya yüz eklersem veya kaldırırsam ne olur?

Intune uygulama koruma ilkeleri yalnızca Intune lisanslı kullanıcıya uygulama erişimi üzerinde denetim sağlar. Uygulamaya erişimi denetlemenin yollarından biri, desteklenen cihazlarda Apple'ın Touch ID'sini veya Face ID'sini gerektirmektir. Intune, cihazın biyometrik veritabanında herhangi bir değişiklik olması Intune bir sonraki etkinlik dışı zaman aşımı değeri karşılandığında kullanıcıdan PIN istemesi gibi bir davranış uygular. Biyometrik verilerde yapılan değişiklikler parmak izi veya yüzün eklenmesini veya kaldırılmasını içerir. Intune kullanıcının PIN kümesi yoksa, Intune PIN'i ayarlaması istenir.

Bunun amacı, kuruluşunuzun verilerini uygulama düzeyinde güvenli ve korumalı bir şekilde tutmaya devam etmektir. Bu özellik yalnızca iOS/iPadOS için kullanılabilir ve iOS/iPadOS, sürüm 9.0.1 veya üzeri için Intune APP SDK'sını tümleştiren uygulamaların katılımını gerektirir. Sdk'nın tümleştirilmesi, davranışın hedeflenen uygulamalarda zorlanması için gereklidir. Bu tümleştirme sıralı olarak gerçekleşir ve belirli uygulama ekiplerine bağlıdır. Katılan bazı uygulamalar WXP, Outlook, Managed Browser ve Yammer'dır.

Veri aktarımı ilkesi "yalnızca yönetilen uygulamalar" veya "uygulama yok" olarak ayarlanmış olsa bile, yönetilmeyen uygulamalarda iş veya okul verilerini açmak için iOS paylaşım uzantısını kullanabilirim. Bu veri sızdırmaz mı?

Intune uygulama koruma ilkesi, cihazı yönetmeden iOS paylaşım uzantısını denetleyemez. Bu nedenle, Intune "kurumsal" verileri uygulama dışında paylaşılmadan önce şifreler. Yönetilen uygulamanın dışında "kurumsal" dosyayı açmaya çalışarak bunu doğrulayabilirsiniz. Dosya şifrelenmelidir ve yönetilen uygulamanın dışında açılamaz.

Aynı uygulama ve kullanıcı kümesine yapılandırılan birden çok Intune uygulama koruma erişim ayarı iOS üzerinde nasıl çalışır?

erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalıştıkları için son kullanıcı cihazlarına belirli bir sırayla uygulanır. Genel olarak, silme önceliklidir, ardından bir blok ve ardından kapatılabilir bir uyarı alır. Örneğin, belirli bir kullanıcı/uygulama için geçerliyse, kullanıcıyı iOS/iPadOS sürümünü güncelleştirme konusunda uyaran en düşük iOS/iPadOS işletim sistemi ayarı, kullanıcının erişimini engelleyen en düşük iOS/iPadOS işletim sistemi ayarından sonra uygulanır. Bu nedenle, BT yöneticisinin en düşük iOS/iPadOS işletim sistemini 11.0.0.0 ve min iOS/iPadOS işletim sistemini (yalnızca uyarı) 11.1.0.0 olarak yapılandırdığı senaryoda, uygulamaya erişmeye çalışan cihaz iOS/iPadOS 10'dayken, son kullanıcı, erişimin engellenmesine neden olan en düşük iOS/iPadOS işletim sistemi sürümü için daha kısıtlayıcı ayara bağlı olarak engellenir.

Farklı ayar türleriyle ilgilenirken, Intune Uygulama SDK'sı sürüm gereksinimi öncelikli olur ve ardından bir uygulama sürümü gereksinimi ve ardından iOS/iPadOS işletim sistemi sürümü gereksinimi gelir. Ardından, aynı sırada tüm ayar türleri için tüm uyarılar denetleniyor. Intune Uygulama SDK'sı sürüm gereksiniminin yalnızca temel engelleme senaryoları için Intune ürün ekibinin rehberliğinde yapılandırılmasını öneririz.