Aracılığıyla paylaş


Microsoft Intune ile verileri ve cihazları koruma

Microsoft Intune, yönetilen cihazlarınızı güvenli ve güncel tutmanıza yardımcı olurken, kuruluşunuzun verilerini tehlikeye girmiş cihazlardan korumanıza da yardımcı olabilir. Veri koruması, kullanıcıların hem yönetilen hem de yönetilmeyen cihazlarda kuruluşun verileriyle ne yaptığını denetlemeyi içerir. Veri koruması ayrıca güvenliği aşılmış olabilecek cihazlardan verilere erişimi engellemeye de genişletir.

Bu makalede, Intune ile tümleştirebileceğiniz birçok Intune yerleşik özelliği ve iş ortağı teknolojisi vurgulanır. Bunlar hakkında daha fazla bilgi edindikçe, sıfır güven ortamına doğru yolculuğunuzda daha kapsamlı çözümler için birkaçını bir araya getirebilirsiniz.

Microsoft Intune yönetim merkezinden Intune Android, iOS/iPad, Linux, macOS ve Windows çalıştıran yönetilen cihazları destekler.

Şirket içi cihazları yönetmek için Configuration Manager kullandığınızda, kiracı ekleme veya ortak yönetimi yapılandırarak Intune ilkelerini bu cihazlara genişletebilirsiniz.

Intune, cihaz uyumluluğu ve mobil tehdit koruması sağlayan üçüncü taraf ürünlerle yönettiğiniz cihazlardan gelen bilgilerle de çalışabilir.

İlkeler aracılığıyla cihazları koruma

Cihazları kuruluşunuzun güvenlik hedeflerine uyacak şekilde yapılandırmak için Intune uç nokta güvenliği, cihaz yapılandırması ve cihaz uyumluluk ilkelerini dağıtın. İlkeler, kayıtlı cihaz gruplarına dağıttığınız platforma özgü kurallardan oluşan ayrık kümeler olan bir veya daha fazla profili destekler.

  • Uç nokta güvenlik ilkeleriyle, cihazlarınızın güvenliğine odaklanmanıza ve riski azaltmanıza yardımcı olmak için tasarlanmış güvenlik odaklı ilkeler dağıtın. Kullanılabilir görevler, riskli cihazları belirlemenize, bu cihazları düzeltmenize ve bunları uyumlu veya daha güvenli bir duruma geri yüklemenize yardımcı olabilir.

  • Cihaz yapılandırma ilkeleriyle, cihazların kuruluşunuzda kullandığı ayarları ve özellikleri tanımlayan profilleri yönetin. Uç nokta koruması için cihazları yapılandırın, kimlik doğrulaması için sertifikalar sağlayın, yazılım güncelleştirme davranışlarını ayarlayın ve daha fazlasını yapın.

  • Cihaz uyumluluk ilkeleriyle, cihaz gereksinimlerini oluşturan farklı cihaz platformları için profiller oluşturursunuz. Gereksinimler arasında işletim sistemi sürümleri, disk şifreleme kullanımı veya tehdit yönetimi yazılımı tarafından tanımlanan belirli tehdit düzeylerinde veya bu düzeylerde olmak yer alabilir.

    Intune, ilkelerinizle uyumlu olmayan cihazları korur ve cihazı uyumlu hale getirebilmesi için cihaz kullanıcısını uyarır.

    Karmaya Koşullu Erişim eklediğinizde, yalnızca uyumlu cihazların ağınıza ve kuruluşunuzun kaynaklarına erişmesine izin veren ilkeleri yapılandırın. Erişim kısıtlamaları dosya paylaşımlarını ve şirket e-postalarını içerebilir. Koşullu Erişim ilkeleri, Intune tümleştirdiğiniz üçüncü taraf cihaz uyumluluk iş ortakları tarafından bildirilen cihaz durumu verileriyle de çalışır.

Kullanılabilir ilkeler aracılığıyla yönetebileceğiniz güvenlik ayarları ve görevlerinden birkaçı aşağıdadır:

  • Kimlik doğrulama yöntemleri – Cihazlarınızın kuruluşunuzun kaynaklarında, e-postalarında ve uygulamalarında nasıl kimlik doğrulaması yapılacağını yapılandırın.

    • Uygulamalarda, kuruluşunuzun kaynaklarında kimlik doğrulaması yapmak ve S/MIME kullanarak e-posta imzalamak ve şifrelemek için sertifikaları kullanın. Ortamınız akıllı kart kullanımını gerektirdiğinde türetilmiş kimlik bilgilerini de ayarlayabilirsiniz.

    • Riski sınırlamaya yardımcı olacak ayarları yapılandırın, örneğin:

      • Kullanıcılar için ek bir kimlik doğrulaması katmanı eklemek için çok faktörlü kimlik doğrulaması (MFA) gerektirin.
      • Kaynaklara erişim kazanmadan önce karşılanması gereken PIN ve parola gereksinimlerini ayarlayın.
      • Windows cihazları için İş İçin Windows Hello etkinleştirin.
  • Cihaz şifrelemesi – Windows cihazlarında BitLocker'ı ve macOS'ta FileVault'ı yönetin.

  • Yazılım güncelleştirmeleri – Cihazların yazılım güncelleştirmelerini nasıl ve ne zaman edineceklerini yönetin. Aşağıdakiler desteklenir:

    • Android üretici yazılımı güncelleştirmeleri:
    • iOS - Cihaz işletim sistemi sürümlerini ve cihazların güncelleştirmeleri denetleyip yüklemesini yönetin.
    • macOS - Denetimli cihazlar olarak kaydedilen macOS cihazları için yazılım güncelleştirmelerini yönetin.
    • Windows- Cihazlar için Windows Update deneyimini yönetmek için, cihazların güncelleştirmeleri ne zaman tarayacağını veya yükleyebileceğini yapılandırabilir, yönetilen cihazlarınızı belirli özellik sürümlerinde tutabilir ve daha fazlasını yapabilirsiniz.
  • Güvenlik temelleri – Windows cihazlarınızda temel bir güvenlik duruşu oluşturmak için güvenlik temellerini dağıtın. Güvenlik temelleri, ilgili ürün ekipleri tarafından önerilen önceden yapılandırılmış Windows ayarları gruplarıdır. Temelleri sağlanan şekilde kullanabilir veya hedeflenen cihaz gruplarına yönelik güvenlik hedeflerinizi karşılamak için bunların örneklerini düzenleyebilirsiniz.

  • Sanal özel ağlar (VPN'ler) – VPN profilleriyle, kuruluşunuzun ağına kolayca bağlanabilmeleri için cihazlara VPN ayarları atayın. Intune, bazı platformlar için yerleşik özellikleri ve cihazlar için hem birinci hem de üçüncü taraf VPN uygulamalarını içeren çeşitli VPN bağlantı türlerini ve uygulamaları destekler.

  • Windows Yerel Yönetici Parola Çözümü (LAPS) - Windows LAPS ilkesiyle şunları yapabilirsiniz:

    • Yerel yönetici hesapları için parola gereksinimlerini zorunlu kılma
    • Cihazlardan Active Directory'nize (AD) veya Microsoft Entra yerel yönetici hesabını yedekleme
    • Bu hesap parolalarını güvende tutmaya yardımcı olmak için bu hesap parolalarının rotasyonunu zamanlayın.

İlkeler aracılığıyla verileri koruma

Intune yönetilen uygulamalar ve Intune uygulama koruma ilkeleri veri sızıntılarını durdurmanıza ve kuruluşunuzun verilerini güvende tutmanıza yardımcı olabilir. Bu korumalar, Intune kayıtlı cihazlara ve olmayan cihazlara uygulanabilir.

  • Intune yönetilen uygulamalar (veya kısaca yönetilen uygulamalar), Intune Uygulama SDK'sını tümleştiren veya Intune App Wrapping Tool tarafından sarmalanan uygulamalardır. Bu uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Genel kullanıma açık yönetilen uygulamaların listesini görüntülemek için bkz. korumalı uygulamalar Intune.

    Kullanıcılar hem kuruluşunuzun verileriyle hem de kendi kişisel verileriyle çalışmak için yönetilen uygulamaları kullanabilir. Ancak, uygulama koruma ilkeleri yönetilen bir uygulamanın kullanılmasını gerektirdiğinde, kuruluşunuzun verilerine erişmek için kullanılabilecek tek uygulama yönetilen uygulamadır. Uygulama koruması kuralları kullanıcının kişisel verileri için geçerli değildir.

  • Uygulama koruması ilkeleri, bir kuruluşun verilerinin güvenli kalmasını veya yönetilen uygulamada yer almamasını sağlayan kurallardır. Kurallar, kullanılması gereken yönetilen uygulamayı tanımlar ve uygulama kullanımdayken verilerle neler yapılabileceğini tanımlar.

Aşağıda, uygulama koruma ilkeleri ve yönetilen uygulamalarla ayarlayabileceğiniz koruma ve kısıtlama örnekleri verilmiştir:

  • Uygulamayı iş bağlamında açmak için PIN gerektirme gibi uygulama katmanı korumalarını yapılandırın.
  • Kopyalama ve yapıştırmayı engelleme veya ekran yakalama işlemleri gibi kuruluş verilerinin bir cihazdaki uygulamalar arasında paylaşımını denetleme.
  • Kuruluşunuzun verilerinin kişisel depolama konumlarına kaydedilmesini engelleyin.

Cihazları ve verileri korumak için cihaz eylemlerini kullanma

Microsoft Intune yönetim merkezinden, seçili bir cihazın korunmasına yardımcı olan cihaz eylemlerini çalıştırabilirsiniz. Aynı anda birden çok cihazı etkilemek için bu eylemlerin bir alt kümesini toplu cihaz eylemleri olarak çalıştırabilirsiniz. Ayrıca Intune çeşitli uzak eylemler de ortak yönetilen cihazlarla kullanılabilir.

Cihaz eylemleri ilke değildir ve çağrıldığında tek bir kez geçerlilik kazanır. Bunlar, cihaza satır içi olarak erişilebiliyorsa veya cihaz bir sonraki önyükleme yaptığında veya Intune ile iade edildiğinde hemen uygulanır. Bu eylemleri, bir cihaz popülasyonu için güvenlik yapılandırmalarını yapılandıran ve koruyan ilkelerin kullanımına tamamlayıcı olarak kabul edilir.

Aşağıda, cihazların ve verilerin güvenliğini sağlamaya yardımcı olan çalıştırabileceğiniz eylemlere örnekler verilmiştir:

Intune tarafından yönetilen cihazlar:

  • BitLocker anahtar döndürme (yalnızca Windows)
  • Etkinleştirme Kilidini devre dışı bırakma (yalnızca Apple cihazları, Bkz. Apple Business Manager'ı kullanarak Etkinleştirme Kilidini kapatma)
  • Tam veya Hızlı tarama (yalnızca Windows)
  • Uzaktan kilitleme
  • Kullanımdan kaldırma (kişisel verileri olduğu gibi bırakırken kuruluşunuzun verilerini cihazdan kaldırır)
  • güvenlik Microsoft Defender güncelleştirme
  • Temizleme (tüm verileri, uygulamaları ve ayarları kaldırarak cihazı fabrika ayarlarına sıfırlama)

Configuration Manager tarafından yönetilen cihazlar:

  • Devre Dışı Bırakma
  • Silme
  • Eşitleme (yeni ilkeleri veya bekleyen eylemleri bulmak için cihazı Intune hemen iade etmeye zorlar)

Diğer ürünler ve iş ortağı teknolojileriyle tümleştirme

Intune, hem birinci taraf hem de üçüncü taraf kaynaklardan iş ortağı uygulamalarıyla tümleştirmeyi destekler ve yerleşik özellikleri genişletir. Ayrıca Intune çeşitli Microsoft teknolojileriyle tümleştirebilirsiniz.

Uyumluluk iş ortakları

Intune ile cihaz uyumluluk iş ortaklarını kullanma hakkında bilgi edinin. Bir cihazı Intune dışında bir mobil cihaz yönetim iş ortağıyla yönettiğiniz zaman, bu uyumluluk verilerini Microsoft Entra ID ile tümleştirebilirsiniz. Koşullu Erişim ilkeleri tümleştirildiğinde, Intune uyumluluk verilerinin yanı sıra iş ortağı verilerini de kullanabilir.

Yapılandırma Yöneticisi

yönettiğiniz cihazları Configuration Manager korumak için birçok Intune ilkesi ve cihaz eylemi kullanabilirsiniz. Bu cihazları desteklemek için ortak yönetimi veya kiracı eklemeyi yapılandırın. Ayrıca her ikisini de Intune ile birlikte kullanabilirsiniz.

  • Ortak yönetim ile windows cihazını hem Configuration Manager hem de Intune eşzamanlı olarak yönetebilirsiniz. Configuration Manager istemcisini yükler ve cihazı Intune kaydedersiniz. Cihaz her iki hizmetle de iletişim kurar.

  • Kiracı ekleme ile Configuration Manager siteniz ile Intune kiracınız arasında eşitleme ayarlarsınız. Bu eşitleme, Microsoft Intune ile yönettiğiniz tüm cihazlar için tek bir görünüm sağlar.

Intune ve Configuration Manager arasında bağlantı kurulduktan sonra, Configuration Manager cihazları Microsoft Intune yönetim merkezinde kullanılabilir. Daha sonra bu cihazlara Intune ilkeleri dağıtabilir veya bunları korumak için cihaz eylemlerini kullanabilirsiniz.

Uygulayabileceğiniz korumalardan bazıları şunlardır:

  • Intune Basit Sertifika Kayıt Protokolü (SCEP) veya özel ve ortak anahtar çifti (PKCS) sertifika profillerini kullanarak cihazlara sertifika dağıtın.
  • Uyumluluk ilkesini kullanın.
  • Virüsten Koruma, Uç nokta algılama ve yanıt veGüvenlik duvarı kuralları gibi uç nokta güvenlik ilkelerini kullanın.
  • Güvenlik temellerini uygulama.
  • Windows Güncelleştirmeler'i yönetin.

Mobil tehdit savunma uygulamaları

Mobil Tehdit Savunması (MTD) uygulamaları cihazları etkin bir şekilde tehditlere karşı tarar ve analiz eder. Mobile Threat Defense uygulamalarını Intune ile tümleştirdiğinizde (bağladığınızda), bir cihaz tehdit düzeyinin uygulama değerlendirmesine sahip olursunuz. Bir cihaz tehdidinin veya risk düzeyinin değerlendirilmesi, kuruluşunuzun kaynaklarını güvenliği aşılmış mobil cihazlardan korumaya yönelik önemli bir araçtır. Daha sonra bu tehdit düzeyini Koşullu Erişim ilkeleri gibi çeşitli ilkelerde kullanarak bu kaynaklara geçit erişimine yardımcı olabilirsiniz.

Cihaz uyumluluğu, uygulama koruması ve Koşullu Erişim ilkeleriyle tehdit düzeyinde verileri kullanın. Bu ilkeler, uyumsuz cihazların kuruluşunuzun kaynaklarına erişmesini engellemeye yardımcı olmak için bu verileri kullanır.

Tümleşik bir MTD uygulaması ile:

  • Kayıtlı cihazlar için:

    • Cihazlarda MTD uygulamasını dağıtmak ve yönetmek için Intune kullanın.
    • Uyumluluğu değerlendirmek için bildirilen tehdit düzeyini kullanan cihaz uyumluluk ilkelerini dağıtın.
    • Bir cihaz tehdit düzeyini göz önünde bulunduran Koşullu Erişim ilkeleri tanımlayın.
    • Cihazın tehdit düzeyine bağlı olarak verilere erişimin ne zaman engelleneceğini veya erişime izin verileceğini belirlemek için uygulama koruma ilkeleri tanımlayın.
  • Intune kaydetmeyen ancak Intune ile tümleşen bir MTD uygulaması çalıştıran cihazlarda, kuruluşunuzun verilerine erişimi engellemeye yardımcı olmak için tehdit düzeyi verilerini uygulama koruma ilkelerinizle birlikte kullanın.

Intune ile tümleştirmeyi destekler:

Uç Nokta için Microsoft Defender

Uç Nokta için Microsoft Defender kendi başına güvenlik odaklı çeşitli avantajlar sağlar. Uç Nokta için Microsoft Defender ayrıca Intune ile tümleşir ve çeşitli cihaz platformlarında desteklenir. Tümleştirme sayesinde bir mobil tehdit savunma uygulaması elde eder ve verileri ve cihazları güvende tutmak için Intune özellikler eklersiniz. Bu özellikler şunlardır:

  • Microsoft Tunnel desteği - Android cihazlarda Uç Nokta için Microsoft Defender, Intune için bir VPN ağ geçidi çözümü olan Microsoft Tunnel ile kullandığınız istemci uygulamasıdır. Microsoft Tunnel istemci uygulaması olarak kullanıldığında, Uç Nokta için Microsoft Defender için bir aboneliğe ihtiyacınız yoktur.

  • Güvenlik görevleriGüvenlik görevleriyle, Intune yöneticiler Uç Nokta için Microsoft Defender Tehdit ve Güvenlik Açığı Yönetimi özelliklerinden yararlanabilir. Nasıl çalışır:

    • Uç Nokta için Defender ekibiniz risk altındaki cihazları tanımlar ve Uç Nokta için Defender güvenlik merkezinde Intune için güvenlik görevlerini oluşturur.
    • Bu görevler, Intune yöneticilerin riski azaltmak için kullanabileceği azaltma önerileriyle Intune gösterilir.
    • Görev Intune çözümlendiğinde bu durum, azaltma sonuçlarının değerlendirilebildiği Uç Nokta için Defender güvenlik merkezine geri döner.
  • Uç nokta güvenlik ilkeleri – Aşağıdaki Intune uç nokta güvenlik ilkeleri, Uç Nokta için Microsoft Defender ile tümleştirme gerektirir. Kiracı eklemeyi kullandığınızda, bu ilkeleri Intune veya Configuration Manager ile yönettiğiniz cihazlara dağıtabilirsiniz.

    • Virüsten koruma ilkesi - Windows ve macOS gibi desteklenen cihazlarda Microsoft Defender Virüsten Koruma ayarlarını ve Windows Güvenliği deneyimini yönetin.

    • Uç nokta algılama ve yanıt ilkesi – Uç Nokta için Microsoft Defender özelliği olan uç nokta algılama ve yanıtını (EDR) yapılandırmak için bu ilkeyi kullanın.

Koşullu Erişim

Koşullu Erişim, cihazların korunmasına yardımcı olmak için Intune ile çalışan Microsoft Entra bir özelliktir. Koşullu Erişim ilkeleri, Microsoft Entra ID kaydolan cihazlarda, kullanıcılar ve cihazlar için erişim kararlarını zorunlu kılmak için Intune cihaz ve uyumluluk ayrıntılarını kullanabilir.

Koşullu Erişim ilkesini aşağıdakilerle birleştirin:

  • Cihaz uyumluluk ilkeleri , cihazın kuruluşunuzun kaynaklarına erişmek için kullanılabilmesi için önce cihazın uyumlu olarak işaretlenmesini gerektirebilir. Koşullu Erişim ilkeleri korumak istediğiniz uygulama hizmetlerini, uygulamalara veya hizmetlere erişilebileceği koşulları ve ilkenin uygulanacağı kullanıcıları belirtir.

  • Uygulama koruması ilkeleri, exchange veya diğer Microsoft 365 hizmetleri gibi çevrimiçi kaynaklarınıza yalnızca Intune uygulama koruma ilkelerini destekleyen istemci uygulamalarının erişebilmesini sağlayan bir güvenlik katmanı ekleyebilir.

Koşullu Erişim, cihazları güvenli tutmanıza yardımcı olmak için aşağıdakilerle de çalışır:

  • Uç Nokta için Microsoft Defender ve üçüncü taraf MTD uygulamaları
  • Cihaz uyumluluğu iş ortağı uygulamaları
  • Microsoft Tunnel

Uç Nokta Ayrıcalık Yönetimi Ekleme

Endpoint Privilege Management (EPM), kuruluşunuz tarafından ayarlanan kuruluş kuralları ve parametreleri tarafından tasarlandığı şekilde, windows kullanıcılarınızı standart kullanıcılar olarak çalıştırmanıza ve ayrıcalıkları yalnızca gerektiğinde yükseltmenize olanak tanır. Bu tasarım, Sıfır Güven güvenlik mimarisinin temel kiracısı olan en az ayrıcalık erişiminin uygulanmasını destekler. EPM, BT ekiplerinin standart kullanıcıları daha verimli yönetmesine ve saldırı yüzeylerini yalnızca çalışanların belirli, onaylı uygulamalar veya görevler için yönetici olarak çalışmasına izin vererek sınırlamasına olanak tanır.

Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.

Tanımladığınız EPM yükseltme kurallarını dağıtarak, yalnızca güvendiğiniz uygulamaların yükseltilmiş bağlamda çalışmasına izin vekleyebilirsiniz. Örneğin, kurallarınız bir cihazda çalışmadan önce dosya bütünlüğünü doğrulamak için bir dosya karması eşleşmesi veya bir sertifikanın varlığını gerektirebilir.

İpucu

Endpoint Privilege Management, kullanmak için ek lisans gerektiren ve Windows 10 ve Windows 11 cihazlarını destekleyen bir Intune eklentisi olarak kullanılabilir.

Daha fazla bilgi için bkz . Endpoint Privilege Management.

Sonraki adımlar

Verilerinizi koruyarak ve cihazları güvenli hale getirerek sıfır güven ortamına yolculuğunuzu desteklemek için Intune özelliklerini kullanmayı planlayın. Bu özellikler hakkında daha fazla bilgi edinmek için önceki satır içi bağlantıların ötesinde Intune'de veri güvenliği ve paylaşımı hakkında bilgi edinin.