Aracılığıyla paylaş


Intune'da Windows 10/11 için Cihaz Uyumluluğu ayarları

Bu makalede, Intune'daki Windows cihazlarında yapılandırabileceğiniz farklı uyumluluk ayarları listelenir ve açıklanmaktadır. Mobil cihaz yönetimi (MDM) çözümünüzün bir parçası olarak BitLocker gerektirmek, en düşük ve en yüksek işletim sistemini ayarlamak, Uç Nokta için Microsoft Defender'ı kullanarak risk düzeyi ayarlamak ve daha fazlasını yapmak için bu ayarları kullanın.

Bu özellik şu platformlarda geçerlidir:

  • Windows 10/11
  • Windows Holographic for Business
  • Surface Hub

Bir Intune yöneticisi olarak, kuruluş kaynaklarınızın korunmasına yardımcı olmak için bu uyumluluk ayarlarını kullanın. Uyumluluk ilkeleri ve ne yaptıkları hakkında daha fazla bilgi edinmek için bkz. Cihaz uyumluluğunu kullanmaya başlama.

Başlamadan önce

Uyumluluk ilkesi oluşturun. Platform için Windows 10 ve üzerini seçin.

Cihaz durumu

Intune, cihazların güvenilir bir duruma önyüklemesini sağlamak için Microsoft cihaz kanıtlama hizmetlerini kullanır. Intune ticari, US Government GCC High ve Windows 10 çalıştıran DoD hizmetlerindeki cihazlar, Cihaz Durumu Kanıtlama (DHA) hizmetini kullanır.

Daha fazla bilgi için bkz.:

Windows Sistem Durumu Kanıtlama Hizmeti değerlendirme kuralları

  • BitLocker gerektir:
    Windows BitLocker Sürücü Şifrelemesi, Windows işletim sistemi biriminde depolanan tüm verileri şifreler. BitLocker, Windows işletim sistemini ve kullanıcı verilerini korumaya yardımcı olmak için Güvenilen Platform Modülü'ne (TPM) sahiptir. Ayrıca, sol katılımsız, kayıp veya çalınmış olsa bile bilgisayarın kurcalanmadığını doğrulamaya yardımcı olur. Bilgisayar uyumlu bir TPM ile donatılmışsa BitLocker, verileri koruyan şifreleme anahtarlarını kilitlemek için TPM'yi kullanır. Sonuç olarak, TPM bilgisayarın durumunu doğrulayana kadar anahtarlara erişilemiyor.

    • Yapılandırılmadı (varsayılan) - Bu ayar uyumluluk veya uyumsuzluk açısından değerlendirilmez.
    • Gerekli - Cihaz, sistem kapalıyken veya hazırda bekletildiğinde sürücüde depolanan verileri yetkisiz erişime karşı koruyabilir.

    Device HealthAttestation CSP - BitLockerStatus

    Not

    Intune'da bir cihaz uyumluluk ilkesi kullanıyorsanız, bu ayarın durumunun yalnızca önyükleme zamanında ölçüldüğünü unutmayın. Bu nedenle, BitLocker şifrelemesi tamamlanmış olsa bile - cihazın bunu algılaması ve uyumlu hale gelmesi için yeniden başlatma gerekir. Daha fazla bilgi için Cihaz Durumu Kanıtlama ile ilgili aşağıdaki Microsoft destek blogu'na bakın.

  • Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir:

    • Yapılandırılmadı (varsayılan) - Bu ayar uyumluluk veya uyumsuzluk açısından değerlendirilmez.
    • Gerekli - Sistem, fabrikanın güvenilen durumuna önyükleme yapmaya zorlanır. Makineyi önyüklemek için kullanılan temel bileşenler, cihazı üreten kuruluş tarafından güvenilen doğru şifreleme imzalarına sahip olmalıdır. UEFI üretici yazılımı, makinenin başlatılmasına izin almadan önce imzayı doğrular. herhangi bir dosya üzerinde oynanırsa ve bu da imzalarını bozarsa, sistem önyükleme yapmaz.

    Not

    Cihaz üzerinde Güvenli Önyükleme gerektir ayarı bazı TPM 1.2 ve 2.0 cihazlarında desteklenir. TPM 2.0 veya üzerini desteklemeyen cihazlarda, Intune'daki ilke durumu Uyumlu Değil olarak gösterilir. Desteklenen sürümler hakkında daha fazla bilgi için bkz. Cihaz Durumu Kanıtlama.

  • Kod bütünlüğü gerektir:
    Kod bütünlüğü, belleğe her yüklendiğinde bir sürücünün veya sistem dosyasının bütünlüğünü doğrulayan bir özelliktir.

    • Yapılandırılmadı (varsayılan) - Bu ayar uyumluluk veya uyumsuzluk açısından değerlendirilmez.
    • Gerekli - İmzalanmamış bir sürücünün veya sistem dosyasının çekirdekte yüklenip yüklenmediğini algılayan kod bütünlüğü iste. Ayrıca, sistem dosyasının kötü amaçlı yazılım tarafından değiştirildiğini veya yönetici ayrıcalıklarına sahip bir kullanıcı hesabı tarafından çalıştırılıp çalıştırılamadığını algılar.

Daha fazla bilgi için bkz.:

Cihaz Özellikleri

İşletim Sistemi Sürümü

Tüm Windows 10/11 Özellik Güncelleştirmeleri ve Toplu Güncelleştirmeler için derleme sürümlerini keşfetmek için (aşağıdaki alanlardan bazılarında kullanılmak üzere), bkz. Windows sürüm bilgileri. Aşağıdaki örneklerde gösterildiği gibi Windows 10 için 10.0 gibi derleme numaralarının önüne uygun sürüm ön ekini eklediğinizden emin olun.

  • En düşük işletim sistemi sürümü:
    İzin verilen en düşük sürümü major.minor.build.revision numarası biçiminde girin. Doğru değeri almak için bir komut istemi açın ve yazın ver. komut, ver sürümü aşağıdaki biçimde döndürür:

    Microsoft Windows [Version 10.0.17134.1]

    Bir cihaz girdiğiniz işletim sistemi sürümünden daha eski bir sürüme sahipse uyumsuz olarak bildirilir. Yükseltme hakkında bilgi içeren bir bağlantı gösterilir. Son kullanıcı cihazını yükseltmeyi seçebilir. Yükseltmeden sonra şirket kaynaklarına erişebilirler.

  • En yüksek işletim sistemi sürümü:
    İzin verilen en yüksek sürümü major.minor.build.revision numarası biçiminde girin. Doğru değeri almak için bir komut istemi açın ve yazın ver. komut, ver sürümü aşağıdaki biçimde döndürür:

    Microsoft Windows [Version 10.0.17134.1]

    Bir cihaz, girilen sürümden sonraki bir işletim sistemi sürümünü kullandığında kuruluş kaynaklarına erişim engellenir. Son kullanıcıdan BT yöneticisine başvurması istenir. Kural işletim sistemi sürümüne izin verecek şekilde değiştirilene kadar cihaz kuruluş kaynaklarına erişemez.

  • Mobil cihazlar için gereken en düşük işletim sistemi:
    İzin verilen en düşük sürümü major.minor.build sayı biçiminde girin.

    Bir cihaz, girdiğiniz işletim sistemi sürümünün önceki bir sürümüne sahipse uyumsuz olarak bildirilir. Yükseltme hakkında bilgi içeren bir bağlantı gösterilir. Son kullanıcı cihazını yükseltmeyi seçebilir. Yükseltmeden sonra şirket kaynaklarına erişebilirler.

  • Mobil cihazlar için gereken en yüksek işletim sistemi:
    İzin verilen en yüksek sürümü major.minor.build numarasına girin.

    Bir cihaz, girilen sürümden sonraki bir işletim sistemi sürümünü kullandığında kuruluş kaynaklarına erişim engellenir. Son kullanıcıdan BT yöneticisine başvurması istenir. Kural işletim sistemi sürümüne izin verecek şekilde değiştirilene kadar cihaz kuruluş kaynaklarına erişemez.

  • Geçerli işletim sistemi derlemeleri:
    En düşük ve en yüksek işletim sistemi derlemelerinin listesini belirtin. Geçerli işletim sistemi derlemeleri, en düşük ve en yüksek işletim sistemi sürümleriyle karşılaştırıldığında ek esneklik sağlar. En düşük işletim sistemi sürümünün 10.0.18362.xxx (Windows 10 1903) ve en yüksek işletim sistemi sürümünün 10.0.18363.xxx (Windows 10 1909) olarak ayarlandığı bir senaryo düşünün. Bu yapılandırma, son toplu güncelleştirmelerin yüklü olmadığı bir Windows 10 1903 cihazının uyumlu olarak tanımlanmasına izin verebilir. Tek bir Windows 10 sürümünde standartlaştırdıysanız en düşük ve en yüksek işletim sistemi sürümleri uygun olabilir, ancak her birinde belirli düzeltme eki düzeylerine sahip birden çok derleme kullanmanız gerekiyorsa gereksinimlerinizi karşılamayabilir. Böyle bir durumda, aşağıdaki örnekte olduğu gibi birden çok derlemenin belirtilmesine izin veren geçerli işletim sistemi derlemelerinden yararlanmayı göz önünde bulundurun.

    Sürüm, birincil, ikincil ve derleme alanlarının her biri için desteklenen en büyük değer 65535'tir. Örneğin girebileceğiniz en büyük değer 65535.65535.65535.65535.65535'tir.

    Örnek:
    Aşağıdaki tabloda, farklı Windows 10 sürümleri için kabul edilebilir işletim sistemi sürümleri için bir aralık örneği verilmiştir. Bu örnekte üç farklı Özellik Güncelleştirmelerine izin verilmiştir (1809, 1909 ve 2004). Özellikle, yalnızca Haziran-Eylül 2020 arası toplu güncelleştirmeler uygulayan Windows sürümlerinin uyumlu olduğu kabul edilir. Bu yalnızca örnek verilerdir. Tablo, girdiyi açıklamak istediğiniz metni içeren ilk sütunu ve ardından bu girdi için en düşük ve en yüksek işletim sistemi sürümünü içerir. İkinci ve üçüncü sütunlar , major.minor.build.revision numarası biçiminde geçerli işletim sistemi derleme sürümlerine uymalıdır. Bir veya daha fazla girdi tanımladıktan sonra, listeyi virgülle ayrılmış değerler (CSV) dosyası olarak dışarı aktarabilirsiniz .

    Açıklama En düşük işletim sistemi sürümü En yüksek işletim sistemi sürümü
    Win 10 2004 (Haziran-Eylül 2020) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (Haziran-Eylül 2020) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (Haziran-Eylül 2020) 10.0.17763.1282 10.0.17763.1490

    Not

    İlkenizde birden çok işletim sistemi sürümü derlemesi aralığı belirtirseniz ve bir cihazın uyumlu aralıkların dışında bir derlemesi varsa, Şirket Portalı cihaz kullanıcısını cihazın bu ayara uygun olmadığını bildirir. Ancak, teknik sınırlamalar nedeniyle uyumluluk düzeltme iletisinin yalnızca ilkede belirtilen ilk işletim sistemi sürüm aralığını gösterdiğini unutmayın. Kuruluşunuzdaki yönetilen cihazlar için kabul edilebilir işletim sistemi sürüm aralıklarını belgelemeyi öneririz.

Configuration Manager Uyumluluğu

Yalnızca Windows 10/11 çalıştıran ortak yönetilen cihazlar için geçerlidir. Yalnızca Intune cihazları kullanılamayan bir durum döndürür.

  • Configuration Manager'dan cihaz uyumluluğu gerektir:
    • Yapılandırılmadı (varsayılan) - Intune uyumluluk için Configuration Manager ayarlarından hiçbirini denetlemez.
    • Gerekli - Configuration Manager'daki tüm ayarların (yapılandırma öğeleri) uyumlu olmasını gerektir.

Sistem Güvenliği

Password

  • Mobil cihazların kilidini açmak için parola iste:

    • Yapılandırılmadı (varsayılan) - Bu ayar uyumluluk veya uyumsuzluk açısından değerlendirilmez.
    • Gerekli - Kullanıcıların cihazlarına erişebilmeleri için önce bir parola girmeleri gerekir.
  • Basit parolalar:

    • Yapılandırılmadı (varsayılan) - Kullanıcılar 1234 veya 1111 gibi basit parolalar oluşturabilir.
    • Engelle - Kullanıcılar 1234 veya 1111 gibi basit parolalar oluşturamaz.
  • Parola türü:
    Gerekli parola veya PIN türünü seçin. Seçenekleriniz:

    • Cihaz varsayılanı (varsayılan) - Parola, sayısal PIN veya alfasayısal PIN iste
    • Sayısal - Parola veya sayısal PIN iste
    • Alfasayısal - Parola veya alfasayısal PIN iste.

    Alfasayısal olarak ayarlandığında aşağıdaki ayarlar kullanılabilir:

  • En düşük parola uzunluğu:
    Parolanın sahip olması gereken en az rakam veya karakter sayısını girin.

  • Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı:
    Kullanıcının parolasını yeniden girmesi gerekmeden önce boşta kalma süresini girin.

  • Parola süre sonu (gün):
    Parolanın süresi dolmadan önce geçmesi gereken gün sayısını girin ve 1-730 arasında yeni bir tane oluşturmaları gerekir.

  • Yeniden kullanılmasını önlemek için önceki parola sayısı:
    Daha önce kullanılan ve kullanılamayabilecek parola sayısını girin.

  • Cihaz boşta durumundan (Mobil ve Holographic) döndüğünde parola iste:

    • Yapılandırılmadı (varsayılan)
    • Gerekli - Cihaz boşta durumundan her döndüğünde cihaz kullanıcılarının parolayı girmesini gerekli hale getir.

    Önemli

    Windows masaüstünde parola gereksinimi değiştirildiğinde, kullanıcılar bir sonraki oturum açışında etkilenir çünkü cihaz boştayken etkin hale gelir. Gereksinimi karşılayan parolaları olan kullanıcılardan yine de parolalarını değiştirmeleri istenir.

Şifreleme

  • Bir cihazda veri depolama şifrelemesi:
    Bu ayar bir cihazdaki tüm sürücüler için geçerlidir.

    • Yapılandırılmadı (varsayılan)
    • Gerekli - Cihazlarınızdaki veri depolama alanını şifrelemek için Gerekli'yi kullanın.

    DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

    Not

    Bir cihazdaki veri depolamanın şifrelenmesinin ayarı, daha çok işletim sistemi sürücüsü düzeyinde olmak üzere genel olarak cihazda şifreleme olup olduğunu denetler. Şu anda Intune yalnızca BitLocker ile şifreleme denetimini destekler. Daha sağlam bir şifreleme ayarı için, TPM düzeyinde BitLocker durumunu doğrulamak için Windows Cihaz Durumu Kanıtlama'yı kullanan BitLocker iste seçeneğini kullanmayı göz önünde bulundurun. Ancak, bu ayardan yararlanırken, cihazın uyumlu olarak yansıtılması için bir yeniden başlatma gerekebileceğini unutmayın.

Cihaz Güvenliği

  • Güvenlik Duvarı:

    • Yapılandırılmadı (varsayılan) - Intune, Windows Güvenlik Duvarı'nı denetlemez veya mevcut ayarları değiştirmez.
    • Gerekli - Windows Güvenlik Duvarı'nı açın ve kullanıcıların kapatmasını engelleyin.

    Güvenlik Duvarı CSP

    Not

    • Cihaz yeniden başlatma sonrasında hemen eşitlenirse veya uyku modundan uyandırırken hemen eşitlenirse, bu ayar Hata olarak raporlanabilir. Bu senaryo, genel cihaz uyumluluk durumunu etkilemeyebilir. Uyumluluk durumunu yeniden değerlendirmek için cihazı el ile eşitleyin.

    • Windows Güvenlik Duvarı'nı tüm gelen trafiğe izin verecek şekilde yapılandıran veya güvenlik duvarını kapatan bir cihaza bir yapılandırma uygulanırsa (örneğin, bir grup ilkesi aracılığıyla) Intune cihaz yapılandırma ilkesi Güvenlik Duvarı'nı açsa bile GüvenlikDuvarı'nı Gerekli olarak ayarlamak Uyumlu değil olarak döndürülecektir. Bunun nedeni, grup ilkesi nesnesinin Intune ilkesini geçersiz kılmasıdır. Bu sorunu düzeltmek için çakışan grup ilkesi ayarlarını kaldırmanızı veya Güvenlik duvarıyla ilgili grup ilkesi ayarlarınızı Intune cihaz yapılandırma ilkesine geçirmenizi öneririz. Genel olarak, gelen bağlantıları engelleme de dahil olmak üzere varsayılan ayarları korumanızı öneririz. Daha fazla bilgi için bkz. Windows Güvenlik Duvarı'nı yapılandırmaya yönelik en iyi yöntemler.

  • Güvenilir Platform Modülü (TPM):

    • Yapılandırılmadı (varsayılan) - Intune, tpm yongası sürümü için cihazı denetlemez.
    • Gerekli - Intune, uyumluluk için TPM yongası sürümünü denetler. TPM yongası sürümü 0'dan (sıfır) büyükse cihaz uyumludur. Cihazda TPM sürümü yoksa cihaz uyumlu değildir.

    DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

  • Virüsten koruma:

    • Yapılandırılmadı (varsayılan) - Intune, cihazda yüklü virüsten koruma çözümleri olup olmadığını denetlemez.
    • Gerekli - Symantec ve Microsoft Defender gibi Windows Güvenlik Merkezi'ne kayıtlı virüsten koruma çözümlerini kullanarak uyumluluğu denetleyin. Gerekli olarak ayarlandığında Virüsten Koruma yazılımı devre dışı bırakılmış veya güncel olmayan bir cihaz uyumsuzdur.

    DeviceStatus CSP - DeviceStatus/Virüsten Koruma/Durum

  • Casus yazılımdan koruma:

    • Yapılandırılmadı (varsayılan) - Intune, cihazda yüklü casus yazılımdan koruma çözümleri olup olmadığını denetlemez.
    • Gerekli - Symantec ve Microsoft Defender gibi Windows Güvenlik Merkezi'ne kayıtlı casus yazılımdan koruma çözümlerini kullanarak uyumluluğu denetleyin. Gerekli olarak ayarlandığında, kötü amaçlı yazılımdan koruma yazılımı devre dışı bırakılmış veya güncel olmayan bir cihaz uyumsuzdur.

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

Aşağıdaki uyumluluk ayarları Windows 10/11 Desktop ile desteklenir.

  • Microsoft Defender Kötü Amaçlı Yazılımdan Koruma:

    • Yapılandırılmadı (varsayılan) - Intune hizmeti denetlemez veya mevcut ayarları değiştirmez.
    • Gerekli - Microsoft Defender kötü amaçlı yazılımdan koruma hizmetini açın ve kullanıcıların kapatmasını engelleyin.
  • Microsoft Defender Kötü amaçlı yazılımdan koruma en düşük sürümü:
    Microsoft Defender kötü amaçlı yazılımdan koruma hizmetinin izin verilen en düşük sürümünü girin. Örneğin, girin 4.11.0.0. Boş bırakıldığında, Microsoft Defender kötü amaçlı yazılımdan koruma hizmetinin herhangi bir sürümü kullanılabilir.

    Varsayılan olarak, hiçbir sürüm yapılandırılmaz.

  • Microsoft Defender Kötü amaçlı yazılımdan koruma güvenlik bilgileri güncel:
    Cihazlarda Windows Güvenliği virüs ve tehdit koruması güncelleştirmelerini denetler.

    • Yapılandırılmadı (varsayılan) - Intune herhangi bir gereksinimi zorlamaz.
    • Gerekli - Microsoft Defender güvenlik zekasını güncel olmaya zorlar.

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    Daha fazla bilgi için bkz . Microsoft Defender Virüsten Koruma ve diğer Microsoft kötü amaçlı yazılımdan koruma için güvenlik bilgileri güncelleştirmeleri.

  • Gerçek zamanlı koruma:

    • Yapılandırılmadı (varsayılan) - Intune bu özelliği denetlemez veya mevcut ayarları değiştirmez.
    • Gerekli - Kötü amaçlı yazılım, casus yazılım ve diğer istenmeyen yazılımları tarayan gerçek zamanlı korumayı açın.

    İlke CSP - Defender/AllowRealtime CSP'yi izleme

Uç Nokta için Microsoft Defender

Uç Nokta için Microsoft Defender kuralları

Koşullu erişim senaryolarında Uç Nokta için Microsoft Defender tümleştirmesi hakkında ek bilgi için bkz. Uç Nokta için Microsoft Defender'da Koşullu Erişimi Yapılandırma.

  • Cihazın makine risk puanında veya altında olmasını gerekli kılmalıdır:
    Uyumluluk koşulu olarak savunma tehdit hizmetlerinizden risk değerlendirmesini almak için bu ayarı kullanın. İzin verilen en yüksek tehdit düzeyini seçin:

    • Yapılandırılmadı (varsayılan)
    • Temizle -Cihazda herhangi bir tehdit olmadığından bu seçenek en güvenli seçenektir. Cihaz herhangi bir tehdit düzeyine sahip olarak algılanırsa uyumsuz olarak değerlendirilir.
    • Düşük - Cihaz, yalnızca düşük düzeyli tehditler varsa uyumlu olarak değerlendirilir. Daha yüksek bir şey cihazı uyumsuz duruma getirir.
    • Orta - Cihazdaki mevcut tehditler düşük veya orta düzeydeyse cihaz uyumlu olarak değerlendirilir. Cihazın üst düzey tehditleri olduğu algılanırsa uyumlu olmadığı belirlenir.
    • Yüksek - Bu seçenek en az güvenli seçenektir ve tüm tehdit düzeylerine izin verir. Bu çözümü yalnızca raporlama amacıyla kullanıyorsanız yararlı olabilir.

    Savunma tehdit hizmetiniz olarak Uç Nokta için Microsoft Defender'ı ayarlamak için bkz. Koşullu Erişim ile Uç Nokta için Microsoft Defender'ı etkinleştirme.

Windows Holographic for Business

Windows Holographic for Business, Windows 10 ve üzeri platformunu kullanır. Windows Holographic for Business aşağıdaki ayarı destekler:

  • Sistem Güvenliği>Şifreleme>Cihazda veri depolama şifrelemesi.

Microsoft HoloLens'te cihaz şifrelemesini doğrulamak için bkz. Cihaz şifrelemesini doğrulama.

Surface Hub

Surface Hub , Windows 10 ve üzeri platformunu kullanır. Surface Hubs hem uyumluluk hem de Koşullu Erişim için desteklenir. Surface Hubs'ta bu özellikleri etkinleştirmek için Intune'da Windows otomatik kaydını etkinleştirmenizi (Microsoft Entra Id gerektirir) ve Surface Hub cihazlarını cihaz grupları olarak hedeflemenizi öneririz. Uyumluluk ve Koşullu Erişim'in çalışması için Surface Hubs'ın Microsoft Entra'ya katılmış olması gerekir.

Yönergeler için bkz. Windows cihazları için kaydı ayarlama.

Windows 10/11 Team OS çalıştıran Surface Hubs için özel dikkat edilmesi gerekenler:
Windows 10/11 Team OS çalıştıran Surface Hubs şu anda Uç Nokta ve Parola uyumluluk ilkeleri için Microsoft Defender'ı desteklememektedir. Bu nedenle, Windows 10/11 Team OS çalıştıran Surface Hubs için aşağıdaki iki ayarı varsayılan olarak Yapılandırılmadı olarak ayarlayın:

  • Parola kategorisinde, Mobil cihazların kilidini açmak için parola iste seçeneğini Varsayılan Yapılandırılmadı olarak ayarlayın.

  • Uç Nokta için Microsoft Defender kategorisinde Cihazın makine riski puanında veya altında olmasını iste seçeneğini Varsayılan Yapılandırılmadı olarak ayarlayın.

Sonraki adımlar