Windows MAM için veri koruma
Kişisel Windows cihazlarında kuruluş verilerine korumalı Mobil Uygulama Yönetimi (MAM) erişimini etkinleştirebilirsiniz. Bu özellik aşağıdaki işlevleri kullanır:
- Kuruluş kullanıcı deneyimini özelleştirmek için Uygulama Yapılandırma İlkelerini (ACP) Intune
- Kuruluş verilerinin güvenliğini sağlamak ve istemci cihazının iyi durumda olduğundan emin olmak için Uygulama Koruma İlkeleri'ni (APP) Intune
- kişisel Windows cihazlarında yerel sistem durumu tehditlerini algılamak için Intune APP ile tümleştirilmiş Windows Güvenliği Merkezi istemci tehdit savunması
- Microsoft Entra ID aracılığıyla korumalı hizmet erişimi sağlamadan önce cihazın korunduğundan ve iyi durumda olduğundan emin olmak için Uygulama Koruması Koşullu Erişimi
Not
Windows için Intune Mobil Uygulama Yönetimi (MAM), Windows 10, derleme 19045.3636, KB5031445 veya üzeri ve Windows 11, derleme 10.0.22621.2506, KB5031455 (22H2) veya üzeri sürümlerde kullanılabilir. Bu, Microsoft Intune (2309 sürümü), Microsoft Edge (Windows 11 ve Windows 11 için v118.0.2088.71 ve üzeri için v117 kararlı dal ve üzeri) ve Windows Güvenliği Merkezi (v 1.0.2310.2002 ve üzeri) için destekleyici değişiklikleri içerir. Uygulama Koruması Koşullu Erişim genel olarak kullanılabilir.
Windows MAM, kamu bulut ortamlarında desteklenir. İlgili bilgiler için bkz. GCC High ve DoD Ortamlarında Intune kullanarak uygulama dağıtma.
MAM hakkında daha fazla bilgi için bkz. Mobil Uygulama Yönetimi (MAM) temel bilgileri.
Not
Windows Güvenliği Merkezi (WSC) bileşeni için Mobile Threat Defense (MTD) Bağlayıcısı yalnızca Windows 11 sürüm 22631 (23H2) veya sonraki sürümlerde desteklenir.
Hem son kullanıcıların hem de kuruluşların kişisel cihazlardan korumalı kuruluş erişimine sahip olması gerekir. Kuruluşların kişisel ve yönetilmeyen cihazlarda kurumsal verilerin korunduğundan emin olması gerekir. Intune yöneticisi olarak, kuruluşunuzun üyelerinin (son kullanıcılar) yönetilmeyen bir cihazdan korumalı bir şekilde şirket kaynaklarına nasıl erişeceğini belirleme sorumluluğunuz vardır. Kuruluş verilerine erişirken, yönetilmeyen cihazların iyi durumda olduğundan, uygulamaların kuruluşunuzun verilerinin koruma ilkelerine uyduğundan ve son kullanıcının cihazındaki yönetilmeyen varlıklarının kuruluşunuzun ilkelerinden etkilenmediğinden emin olmanız gerekir.
Intune yöneticisi olarak aşağıdaki uygulama yönetimi işlevine sahip olmanız gerekir:
- Uygulama koruma ilkelerini Intune APP SDK'sı tarafından korunan uygulamalara/kullanıcılara dağıtabilme:
- Veri koruma ayarları
- Sistem Durumu Denetimleri (Diğer adıyla Koşullu Başlatma) ayarları
- Koşullu Erişim aracılığıyla uygulama koruma ilkeleri gerektirebilme
- Aşağıdakileri yaparak Windows Güvenliği merkezi aracılığıyla ek istemci durumu doğrulaması gerçekleştirebilme:
- Son kullanıcıların şirket kaynaklarına erişmesine izin vermek için Windows Güvenliği Merkezi risk düzeyini belirleme
- Windows Güvenliği Center için kiracı tabanlı bağlayıcıyı Microsoft Intune olarak ayarlama
- Korumalı uygulamalara seçmeli temizleme komutu dağıtma olanağı
Kuruluşunuzun üyeleri (son kullanıcılar) hesapları için aşağıdaki işlevlere sahip olmasını bekler:
- Koşullu Erişim ile korunan sitelere erişmek için Microsoft Entra ID oturum açabilme
- Bir cihazın iyi durumda olmadığı kabul edilirse istemci cihazının sistem durumunu doğrulama olanağı
- Cihaz iyi durumda olmadığında kaynaklara erişimin iptal edilebilmesi
- Erişim bir yönetici ilkesi tarafından denetlendiğinde, net düzeltme adımlarıyla bilgilendirilebilme
Not
Microsoft Entra ID ile ilgili bilgi için bkz. Windows cihazlarında uygulama koruma ilkesi gerektirme.
Koşullu Erişim Uyumluluğu
Veri kaybını önleme, kuruluş verilerinizi korumanın bir parçasıdır. Veri kaybı önleme (DLP), yalnızca kuruluş verilerinize korumasız bir sistem veya cihazdan erişilemiyorsa etkilidir. Uygulama Koruması Koşullu Erişim, korumalı kaynaklara (kuruluş verileri gibi) erişime izin vermeden önce bir istemci uygulamasında Uygulama Koruma İlkelerinin (APP) desteklenip zorlandığından emin olmak için Koşullu Erişim (CA) kullanır. APP CA, kişisel Windows cihazlarına sahip son kullanıcıların, Microsoft Edge de dahil olmak üzere APP tarafından yönetilen uygulamaları kullanarak kişisel cihazlarını tam olarak yönetmeden Microsoft Entra kaynaklara erişmesine olanak tanır.
Bu MAM hizmeti kullanıcı başına, uygulama başına ve cihaz başına uyumluluk durumunu Microsoft Entra CA hizmetiyle eşitler. Bu, Windows Güvenliği Merkezi'nden başlayarak Mobile Threat Defense (MTD) satıcılarından alınan tehdit bilgilerini içerir.
Not
Bu MAM hizmeti , iOS ve Android cihazlarda Microsoft Edge'i yönetmek için kullanılan koşullu erişim uyumluluk iş akışını kullanır.
Bir değişiklik algılandığında MAM hizmeti cihaz uyumluluk durumunu hemen güncelleştirir. Hizmet, uyumluluk durumunun bir parçası olarak MTD sistem durumunu da içerir.
Not
MAM hizmeti, hizmetteki MTD durumunu değerlendirir. Bu işlem MAM istemcisinden ve istemci platformundan bağımsız olarak gerçekleştirilir.
MAM İstemcisi, iade sırasında istemci ısı durumunu (veya sistem durumu meta verilerini) MAM Hizmetine iletir. Sistem durumu, Engelleme veya Temizleme koşulları için APP Sistem Durumu Denetimlerinin başarısızlığını içerir. Ayrıca Microsoft Entra ID, son kullanıcılara engellenen CA kaynağına erişmeye çalıştıklarında düzeltme adımları boyunca yol gösterir.
Koşullu Erişim Uyumluluğu
Kuruluşlar Microsoft Entra Koşullu Erişim ilkelerini kullanarak kullanıcıların Windows'da ilkeyle yönetilen uygulamaları kullanarak yalnızca iş veya okul içeriğine erişebildiğinden emin olabilir. Bunu yapmak için, tüm potansiyel kullanıcıları hedefleyen bir koşullu erişim ilkesi gerekir. Windows için Microsoft Edge'e izin veren ancak diğer web tarayıcılarının Microsoft 365 uç noktalarına bağlanmasını engelleyen Windows cihazlarında uygulama koruma ilkesi iste sayfasındaki adımları izleyin.
Koşullu Erişim kullanarak Microsoft Entra uygulama ara sunucusu aracılığıyla dış kullanıcılara açtığınız şirket içi siteleri de hedefleyebilirsiniz.
Threat Defense Health
Kişisel bir cihazın sistem durumu, kuruluş verilerinize erişime izin verilmeden önce doğrulanır. MAM tehdit algılaması Windows Güvenliği Merkezi'ne bağlanabilir. Windows Güvenliği Merkezi, hizmet-hizmet bağlayıcısı aracılığıyla APP Intune için bir istemci cihazı sistem durumu değerlendirmesi sağlar. Bu değerlendirme, akışın gating ve kişisel yönetilmeyen cihazlarda kuruluş verilerine erişimi destekler.
Sistem durumu aşağıdaki ayrıntıları içerir:
- Kullanıcı, uygulama ve cihaz tanımlayıcıları
- Önceden tanımlanmış bir sistem durumu
- Son sistem durumu güncelleştirmesinin zamanı
Sistem durumu yalnızca MAM kayıtlı kullanıcılar için gönderilir. Son kullanıcılar, korumalı uygulamalarda kuruluş hesabı oturumlarını kapatarak veri göndermeyi durdurabilir. Yöneticiler Windows Güvenliği Bağlayıcısı'nı Microsoft Intune kaldırarak veri göndermeyi durdurabilir.
İlgili bilgiler için bkz. Windows için MTD uygulama koruma ilkesi oluşturma.
Intune uygulama koruma ilkeleri oluşturma
Uygulama Koruma İlkeleri (APP), izin verilen uygulamaları ve kuruluşunuzun verileriyle gerçekleştirebilecekleri eylemleri tanımlar. APP'de kullanılabilen seçenekler, kuruluşların korumayı ihtiyaçlarına göre uyarlamasını sağlar. Bazı kuruluşlar için tam bir senaryo uygulamak üzere hangi ilke ayarlarının gerekli olduğu açık olmayabilir.
Yönetici olarak, APP aracılığıyla verilerin nasıl korunduğunu yapılandırabilirsiniz. Bu yapılandırma, verilerle yerel Windows uygulaması etkileşimi için geçerlidir. UYGULAMA ayarları üç kategoriye ayrılır:
- Veri Koruması - Bu ayarlar, verilerin kullanıcı için kuruluş bağlamı (hesap, belge, konum, hizmetler) içine ve dışına nasıl taşınabileceğini denetler.
- Sistem Durumu Denetimleri (Koşullu Başlatma) - Bu ayarlar kuruluş verilerine erişmek için gereken cihaz koşullarını ve koşullar karşılanmadıysa düzeltme eylemlerini denetler.
Microsoft, kuruluşların istemci uç noktası sağlamlaştırmasına öncelik vermelerine yardımcı olmak için mobil uygulama yönetimi için APP veri koruma çerçevesi için taksonomi getirmiştir.
Her yapılandırma düzeyine ve korunması gereken minimum uygulamalara yönelik belirli önerileri görmek için Uygulama koruma ilkelerini kullanan veri koruma çerçevesi makalesini inceleyin.
Kullanılabilir ayarlar hakkında daha fazla bilgi için bkz. Windows uygulama koruma ilkesi ayarları.