Microsoft Intune'de koruma ve yapılandırma düzeyleri

  • Makale

Microsoft Intune, yöneticilere kullanıcılara, cihazlara ve uygulamalara uygulanan ilkeler oluşturma olanağı sağlar. Bu ilkeler en düşük düzeyden daha güvenli veya denetimli ilkelere kadar değişebilir. Bu ilkeler kuruluşun ihtiyaçlarına, kullanılan cihazlara ve cihazların ne yapacağına bağlıdır.

İlke oluşturmaya hazır olduğunuzda, farklı koruma ve yapılandırma düzeylerini kullanabilirsiniz:

Ortamınız ve iş gereksinimleriniz farklı düzeylerde tanımlanmış olabilir. Bu düzeyleri başlangıç noktası olarak kullanabilir ve ardından gereksinimlerinize uyacak şekilde özelleştirebilirsiniz. Örneğin, düzey 1'deki cihaz yapılandırma ilkelerini ve düzey 3'teki uygulama ilkelerini kullanabilirsiniz.

Kuruluşunuz için uygun düzeyleri seçin. Yanlış bir seçim yok.

Düzey 1 - Minimum koruma ve yapılandırma

Bu düzey, her kuruluşun en azından sahip olması gereken ilkeleri içerir. Bu düzeydeki ilkeler, güvenlik özelliklerinin en düşük temelini oluşturur ve kullanıcılara işlerini yapmak için ihtiyaç duydukları kaynaklara erişim verir.

Uygulamalar (düzey 1)

Bu düzey, kullanıcılar üzerindeki etkiyi en aza indirirken makul miktarda veri koruma ve erişim gereksinimlerini zorunlu tutar. Bu düzey, uygulamaların BIR PIN ile korunmasını ve şifrelenmesini sağlar ve seçmeli silme işlemleri gerçekleştirir. Android cihazlar için bu düzey Android cihaz kanıtlamasını doğrular. Bu düzey, Exchange Online posta kutusu ilkelerinde benzer veri koruma denetimi sağlayan bir giriş düzeyi yapılandırmasıdır. Ayrıca BT'yi ve kullanıcı popülasyonunu uygulama koruma ilkelerine tanıtır.

Bu düzeyde Microsoft, uygulamalar için aşağıdaki korumayı ve erişimi yapılandırmanızı önerir:

  • Temel veri koruma gereksinimlerini etkinleştirin:

    • Uygulama temel veri aktarımına izin ver
    • Temel uygulama şifrelemesini zorunlu kılma
    • Temel erişim işlevselliğine izin ver

  • Temel erişim gereksinimlerini etkinleştirin:

    • PIN, yüz kimliği ve biyometrik erişim gerektirme
    • Temel erişim ayarlarını desteklemeyi zorunlu kılma

  • Temel koşullu uygulama başlatmayı etkinleştirin:

    • Uygulama temel erişim girişimlerini yapılandırma
    • Jailbreak uygulanmış/kök erişim izni verilmiş cihazlara göre uygulama erişimini engelleme
    • Cihazların temel bütünlüğüne göre uygulama erişimini kısıtlama

Daha fazla bilgi için bkz . Düzey 1 temel uygulama koruması.

Uyumluluk (düzey 1)

Bu düzeyde cihaz uyumluluğu, tüm cihazlar için geçerli olan kiracı genelindeki ayarları yapılandırmayı ve temel uyumluluk gereksinimleri kümesini zorunlu kılmak için tüm cihazlara en düşük uyumluluk ilkelerini dağıtmayı içerir. Microsoft, cihazların kuruluşunuzun kaynaklarına erişmesine izin vermeden önce bu yapılandırmaların yerinde olmasını önerir. Düzey 1 cihaz uyumluluğu şunları içerir:

Uyumluluk ilkesi ayarları , Intune uyumluluk hizmetinin cihazlarınızla nasıl çalıştığını etkileyen kiracı genelindeki birkaç ayardır.

Platforma özgü uyumluluk ilkeleri , platformlar arasında ortak temalara yönelik ayarları içerir. Gerçek ayar adı ve uygulaması farklı platformlar arasında farklı olabilir:

  • Virüsten koruma, casus yazılımdan koruma ve kötü amaçlı yazılımdan koruma gerektirme (yalnızca Windows)
  • İşletim sistemi sürümü:
    • En fazla işletim sistemi
    • En düşük işletim sistemi
    • İkincil ve Ana derleme sürümleri
    • İşletim sistemi düzeltme eki düzeyleri
  • Parola yapılandırmaları
    • Kilit ekranını etkinlik dışı kalma süresinden sonra zorlama, kilidini açmak için parola veya pin gerektirme
    • Harf, sayı ve simge birleşimleriyle karmaşık parolalar gerektirme
    • Cihazların kilidini açmak için parola veya PIN iste
    • En düşük parola uzunluğu gerektir

Uyumsuzluk eylemleri, platforma özgü her ilkeye otomatik olarak eklenir. Bu eylemler, ilkenin uyumluluk gereksinimlerini karşılayemeyen cihazlar için geçerli olan, yapılandırdığınız bir veya daha fazla zaman sıralı eylemdir. Varsayılan olarak, bir cihazı uyumsuz olarak işaretlemek, her ilkeye dahil edilen hemen bir eylemdir.

Daha fazla bilgi için bkz . Düzey 1 - Minimum cihaz uyumluluğu.

Cihaz yapılandırması (düzey 1)

Bu düzeyde profiller, güvenlik ve kaynak erişimine odaklanan ayarları içerir. Özellikle, bu düzeyde, Microsoft aşağıdaki özellikleri yapılandırmanızı önerir:

  • Aşağıdakileri içeren temel güvenliği etkinleştirin:

    • Virüsten koruma ve tarama
    • Tehdit algılama ve yanıt
    • Güvenlik duvarı
    • Yazılım güncelleştirmeleri
    • Güçlü PIN ve parola ilkesi

  • Kullanıcılara ağa erişim izni verin:

    • E-posta
    • Uzaktan erişim için VPN
    • Şirket içi erişim için Wi-Fi

Bu düzeydeki bu ilkeler hakkında daha fazla bilgi için 4. Adım - Cihazların güvenliğini sağlamak ve kuruluş kaynaklarına bağlantılar oluşturmak için Cihaz yapılandırma profilleri oluşturma bölümüne gidin.

Düzey 2 - Gelişmiş koruma ve yapılandırma

Bu düzey, daha fazla güvenlik eklemek ve mobil cihaz yönetiminizi genişletmek için en düşük ilke kümesine göre genişler. Bu düzeydeki ilkeler daha fazla özelliğin güvenliğini sağlar, kimlik koruması sağlar ve daha fazla cihaz ayarını yönetir.

Düzey 1'de yaptıklarınızı eklemek için bu düzeydeki ayarları kullanın.

Uygulamalar (düzey 2)

Bu düzey, kullanıcıların daha hassas bilgilere eriştiği cihazlar için standart bir uygulama koruma düzeyi önerir. Bu düzey, uygulama koruma ilkesi veri sızıntısını önleme mekanizmalarını ve en düşük işletim sistemi gereksinimlerini tanıtır. Bu düzey, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerli olan yapılandırmadır.

Microsoft, Düzey 1 ayarlarına ek olarak aşağıdaki korumayı ve uygulamalar için erişimi yapılandırmanızı önerir:

  • Gelişmiş veri koruma gereksinimlerini etkinleştirin:

    • Kuruluşla ilgili verileri aktarma
    • Seçili uygulamaların veri aktarımı gereksinimlerini muaf tutma (iOS/iPadOS)
    • Telekomünikasyon verilerini aktarma
    • Uygulamalar arasında kesme, kopyalama ve yapıştırmayı kısıtlama
    • Ekran yakalamayı engelle (Android)

  • Gelişmiş koşullu uygulama başlatmayı etkinleştirin:

    • Uygulama hesaplarını devre dışı bırakmayı engelleme
    • En düşük cihaz işletim sistemi gereksinimlerini zorunlu kılma
    • En düşük düzeltme eki sürümünü gerektir (Android)
    • Yürütme bütünlüğü kararı değerlendirme türünü gerektir (Android)
    • Cihaz kilidi gerektir (Android)
    • Cihazın daha yüksek bütünlüğüne bağlı olarak uygulama erişimine izin verme

Daha fazla bilgi için bkz . Düzey 2 gelişmiş uygulama koruması.

Uyumluluk (düzey 2)

Bu düzeyde, Microsoft uyumluluk ilkelerinize daha karmaşık seçenekler eklemenizi önerir. Bu düzeydeki ayarların çoğu, benzer sonuçlar veren platforma özgü adlara sahiptir. Microsoft'un kullanılabilir olduğunda kullanmanızı önerdiği kategoriler veya ayar türleri şunlardır:

  • Uygulama:

    • Android için Google Play gibi cihazların uygulamaları nereden edineceğini yönetme
    • Belirli konumlardan uygulamalara izin ver
    • Bilinmeyen kaynaklardan gelen uygulamaları engelleme

  • Güvenlik duvarı ayarları

    • Güvenlik duvarı ayarları (macOS, Windows)

  • Şifreleme:

    • Veri depolamanın şifrelenmesini gerektir
    • BitLocker (Windows)
    • FileVault (macOS)

  • Parolalar

    • Parola süre sonu ve yeniden kullanma

  • Sistem düzeyinde dosya ve önyükleme koruması:

    • USB hata ayıklamasını engelleme (Android)
    • Kök erişim izni veya jailbreak uygulanmış cihazları engelleme (Android, iOS)
    • Sistem bütünlüğü koruması gerektir (macOS)
    • Kod bütünlüğü gerektir (Windows)
    • Güvenli önyüklemenin etkinleştirilmesini gerektir (Windows)
    • Güvenilen Platform Modülü (Windows)

Daha fazla bilgi için bkz . Düzey 2 - Gelişmiş cihaz uyumluluk ayarları.

Cihaz yapılandırması (düzey 2)

Bu düzeyde, 1. düzeyde yapılandırdığınız ayarları ve özellikleri genişletirsiniz. Microsoft şunları sağlayan ilkeler oluşturmanızı önerir:

  • Cihazlarınızda disk şifrelemesini, güvenli önyüklemeyi ve TPM'yi etkinleştirerek başka bir güvenlik katmanı ekleyin.
  • PIN'lerinizi & parolalarınızın süresinin dolmasına ve parolaların yeniden kullanılıp kullanılamayabileceğini/ne zaman yeniden kullanılabilmesini yönetecek şekilde yapılandırın.
  • Daha ayrıntılı cihaz özellikleri, ayarları ve davranışları yapılandırın.
  • Şirket içi GPO'larınız varsa bu GPO'ların Intune'da kullanılabilir olup olmadığını belirleyebilirsiniz.

Bu düzeydeki cihaz yapılandırma ilkeleri hakkında daha ayrıntılı bilgi için Düzey 2 - Gelişmiş koruma ve yapılandırma'ya gidin.

Düzey 3 - Yüksek koruma ve yapılandırma

Bu düzey kurumsal düzeyde ilkeler içerir ve kuruluşunuzda farklı yöneticileri içerebilir. Bu ilkeler parolasız kimlik doğrulamasına geçiş yapmaya, daha fazla güvenliğe sahip ve özelleştirilmiş cihazları yapılandırmaya devam ediyor.

Düzey 1 ve 2'de yaptıklarınızı eklemek için bu düzeydeki ayarları kullanın.

Uygulamalar (düzey 3)

Bu düzey, kullanıcıların daha hassas bilgilere eriştiği cihazlar için standart bir uygulama koruma düzeyi önerir. Bu düzeyde gelişmiş veri koruma mekanizmaları, gelişmiş PIN yapılandırması ve uygulama koruma ilkesi Mobile Threat Defense tanıtılır. Bu yapılandırma, yüksek riskli verilere erişen kullanıcılar için tercih edilir.

Microsoft, düzey 1 ve 2 ayarlarına ek olarak, uygulamalar için aşağıdaki korumayı ve erişimi yapılandırmanızı önerir:

  • Yüksek veri koruma gereksinimlerini etkinleştirin:

    • Telekomünikasyon verilerini aktarırken yüksek koruma
    • Yalnızca ilkeyle yönetilen uygulamalardan veri alma
    • Kuruluş belgelerine veri açmayı engelleme
    • Kullanıcıların seçili hizmetlerden veri açmasına izin ver
    • Üçüncü taraf klavyeleri engelleme
    • Onaylı klavye gerektir/seç (Android)
    • Kuruluş verilerini yazdırmayı engelleme

  • Yüksek erişim gereksinimlerini etkinleştirin:

    • Basit PIN'i engelleme ve belirli bir minimum PIN uzunluğu gerektirme
    • Gün sayısından sonra PIN sıfırlaması gerektir
    • Sınıf 3 Biyometri gerektirme (Android 9.0+)
    • Biyometrik güncelleştirmelerden sonra PIN ile Biyometrinin geçersiz kılınma gereksinimi (Android)

  • Yüksek koşullu uygulama başlatmayı etkinleştirin:

    • Cihaz kilidi gerektir (Android)
    • İzin verilen en yüksek tehdit düzeyini gerektir
    • En Fazla İşletim Sistemi sürümü gerektir

Daha fazla bilgi için bkz . Düzey 3 yüksek uygulama koruması.

Uyumluluk (düzey 3)

Bu düzeyde, aşağıdaki özellikler aracılığıyla Intune'un yerleşik uyumluluk özelliklerini genişletebilirsiniz:

  • Mobile Threat Defense (MTD) iş ortağından verileri tümleştirme

    • Bir MTD iş ortağıyla uyumluluk ilkeleriniz, cihazların ilgili iş ortağı tarafından belirlendiği şekilde cihaz tehdit düzeyinde veya makine risk puanı altında olmasını gerektirebilir

  • Intune ile üçüncü taraf uyumluluk iş ortağı kullanma

  • Intune kullanıcı arabiriminde bulunmayan ayarlar için ilkelerinize özel uyumluluk ayarları eklemek için betikleri kullanın. (Windows, Linux)

  • Kuruluşunuzun kaynaklarına erişimin geçişini sağlamak için Koşullu Erişim ilkeleriyle uyumluluk ilkesi verilerini kullanma

Daha fazla bilgi için bkz . Düzey 3 - Gelişmiş cihaz uyumluluk yapılandırmaları.

Cihaz yapılandırması (düzey 3)

Bu düzey, kurumsal düzeydeki hizmetlere ve özelliklere odaklanır ve bir altyapı yatırımı gerektirebilir. Bu düzeyde, aşağıdakileri sağlayan ilkeler oluşturabilirsiniz:

  • Sertifika tabanlı kimlik doğrulaması, uygulamalar için çoklu oturum açma, çok faktörlü kimlik doğrulaması (MFA) ve Microsoft Tunnel VPN ağ geçidi gibi kuruluşunuzdaki diğer hizmetler için parolasız kimlik doğrulamasını genişletin.

  • Intune'a kayıtlı olmayan iOS ve Android cihazlarına Tünel desteğini genişleten Mobil Uygulama Yönetimi için Microsoft Tunnel (MAM tüneli) dağıtarak Microsoft Tunnel'ı genişletin. MAM tüneli bir Intune eklentisi olarak kullanılabilir.

    Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

  • Windows üretici yazılımı katmanına uygulanan cihaz özelliklerini yapılandırın. Android ortak ölçüt modunu kullanın.

  • Yönetilen Windows cihazlarınızda yerleşik yerel yönetici hesabının güvenliğini sağlamaya yardımcı olmak için Windows Yerel Yönetici Parola Çözümü (LAPS) için Intune ilkesini kullanın.

    Daha fazla bilgi için bkz. Windows LAPS için Intune desteği.

  • Kuruluşunuzun kullanıcılarını standart kullanıcılar olarak (yönetici hakları olmadan) çalıştırmanıza ve aynı kullanıcıların yükseltilmiş ayrıcalıklar gerektiren görevleri tamamlamasına olanak tanıyan Endpoint Privilege Management (EPM) kullanarak Windows cihazlarını koruyun.

    EPM, Intune eklentisi olarak kullanılabilir. Daha fazla bilgi için bkz. Intune Paketi eklenti özelliklerini kullanma.

  • Bilgi noktaları ve paylaşılan cihazlar gibi özel cihazları yapılandırın.

  • Gerekirse betikleri dağıtın.

Bu düzeydeki cihaz yapılandırma ilkeleri hakkında daha ayrıntılı bilgi için Düzey 3 - Yüksek koruma ve yapılandırma'ya gidin.

Sonraki adımlar

Oluşturabileceğiniz tüm cihaz yapılandırma profillerinin tam listesi için, Microsoft Intune'de Cihaz profillerini kullanarak cihazlarınızda özellikleri ve ayarları uygulama bölümüne gidin.