Intune'de uç nokta güvenliği için hesap koruma ilkesi

  • Makale

Kullanıcılarınızın kimliğini ve hesaplarını korumak ve cihazlarda yerleşik grup üyeliklerini yönetmek için hesap koruması için Intune uç nokta güvenlik ilkelerini kullanın.

Microsoft Intune yönetim merkezinin Uç nokta güvenlik düğümünde Yönet altında Hesap koruması için uç nokta güvenlik ilkelerini bulun.

Hesap koruma profilleri için önkoşullar

  • Hesap koruma (önizleme) profilini desteklemek için cihazların Windows 10 veya Windows 11 çalıştırması gerekir.
  • Yerel kullanıcı grubu üyeliği (önizleme) profilini desteklemek için cihazların Windows 10 20H2 veya sonraki bir sürümünü veya Windows 11 çalıştırması gerekir.

Hesap koruma profilleri

Hesap koruma profilleri önizleme aşamasındadır.

Windows 10/11 profilleri:

  • Hesap koruması (önizleme) – Hesap koruma ilkeleri ayarları, kullanıcı kimlik bilgilerini korumanıza yardımcı olur.

    Hesap koruma ilkesi, Windows kimlik ve erişim yönetiminin bir parçası olan Windows Hello ve Credential Guard ayarlarına odaklanır.

    • İş İçin Windows Hello, bilgisayarlarda ve mobil cihazlarda parolaları güçlü iki faktörlü kimlik doğrulamasıyla değiştirir.
    • Credential Guard , cihazlarınızla kullandığınız kimlik bilgilerini ve gizli dizileri korumaya yardımcı olur.

    Daha fazla bilgi edinmek için Windows kimlik ve erişim yönetimi belgelerindeki Kimlik ve erişim yönetimi bölümüne bakın.

    Hesap koruma profilinin ayarlarını görüntüleyin.

  • Yerel yönetici parolası çözümü (Windows LAPS) - Cihazlarda Windows LAPS'yi yapılandırmak için bu profili kullanın. Windows LAPS, cihaz başına tek bir yerel yönetici hesabının yönetimine olanak tanır. Intune ilkesi, Yönetici Hesabı Adı ilke ayarını kullanarak hangi yerel yönetici hesabına uygulanacağını belirtebilir.

    Windows LAPS'yi yönetmek için Intune kullanma hakkında daha fazla bilgi için bkz:

  • Yerel kullanıcı grubu üyeliği – Windows cihazlarında yerleşik yerel grupların üyelerini eklemek, kaldırmak veya değiştirmek için bu profili kullanın. Örneğin, Yöneticiler yerel grubunun geniş hakları vardır. Bu ilkeyi, Yönetici grubunun üyeliğini düzenleyerek özel olarak tanımlanmış bir üye kümesine kilitlemek için kullanabilirsiniz.

    Bu profilin kullanımı, Windows cihazlarında yerel grupları yönetme başlıklı aşağıdaki bölümde ayrıntılı olarak açıklanmıştır.

Windows cihazlarında yerel grupları yönetme

Windows 10 20H2 ve üzerini çalıştıran cihazlarda yerleşik yerel grupların üyesi olan kullanıcıları yönetmek ve cihazları Windows 11 için Yerel kullanıcı grubu üyelik profilini kullanın.

İpucu

Microsoft Entra grupları kullanarak yönetici ayrıcalıklarını yönetme desteği hakkında daha fazla bilgi edinmek için Microsoft Entra belgelerindeki yönetici ayrıcalıklarını Microsoft Entra grupları kullanarak yönetme bölümüne bakın.

Profili yapılandırma

Bu profil, cihazlardaki yerel grup üyeliğini İlke CSP - LocalUsersAndGroups aracılığıyla yönetir. CSP belgelerinde yapılandırmaların nasıl uygulandığına ilişkin ek ayrıntılar ve CSP kullanımı hakkında SSS yer alır.

Bu profili yapılandırırken Yapılandırma ayarları sayfasında, hangi yerleşik yerel grupları değiştirmek istediğinizi, grup eylemini ve kullanıcıları seçme yöntemini yönetmek için birden çok kural oluşturabilirsiniz.

Profili yapılandırmaya yönelik Yapılandırma ayarları sayfasının ekran görüntüsü.

Yapabileceğiniz yapılandırmalar şunlardır:

  • Yerel grup: Açılan listeden bir veya daha fazla grup seçin. Bu grupların tümü, atadığınız kullanıcılara aynı Grup ve kullanıcı eylemini uygular. Tek bir profilde birden fazla yerel grup grubu oluşturabilir ve her yerel grup grubuna farklı eylemler ve kullanıcı grupları atayabilirsiniz.

Not

Yerel grupların listesi, Microsoft Entra birleştirilmiş cihazlarda yerel yöneticiler grubunu yönetme belgelerinde belirtildiği gibi oturum açma sırasında değerlendirilmeleri garanti edilen altı yerleşik yerel grupla sınırlıdır.

  • Grup ve kullanıcı eylemi: Eylemi seçili gruplara uygulanacak şekilde yapılandırın. Bu eylem, aynı eylem ve yerel hesapları gruplandırma için seçtiğiniz kullanıcılar için geçerlidir. Seçebileceğiniz eylemler şunlardır:

    • Ekle (Güncelleştir): Seçili gruplara üye ekler. İlke tarafından belirtilmeyen kullanıcılar için grup üyeliği değiştirilmez.
    • Kaldır (Güncelleştir): Seçili gruplardan üyeleri kaldırın. İlke tarafından belirtilmeyen kullanıcılar için grup üyeliği değiştirilmez.
    • Ekle (Değiştir): Seçili grupların üyelerini bu eylem için belirttiğiniz yeni üyelerle değiştirin. Bu seçenek Kısıtlı Grup ile aynı şekilde çalışır ve ilkede belirtilmeyen tüm grup üyeleri kaldırılır.

    Dikkat

    Aynı grup hem Değiştir hem de Güncelleştir eylemiyle yapılandırılmışsa Değiştir eylemi kazanır. Bu bir çakışma olarak kabul edilmez. Bu tür bir yapılandırma, aynı cihaza birden çok ilke dağıttığınızda veya bu CSP de Microsoft Graph kullanımıyla yapılandırıldığında ortaya çıkabilir.

  • Kullanıcı seçim türü: Kullanıcıların nasıl seçileceğini seçin. Seçenekler şunlardır:

    • Kullanıcılar: Microsoft Entra ID kullanıcı ve kullanıcı gruplarını seçin. (Yalnızca Microsoft Entra katılmış cihazlar için desteklenir).
    • El ile: Kullanıcı adı, etki alanı\kullanıcıadı veya grup güvenlik tanımlayıcısı (SID) ile Microsoft Entra kullanıcıları ve grupları el ile belirtin. (Microsoft Entra katılmış ve karma birleştirilmiş cihazlar Microsoft Entra için desteklenir).

  • Seçili kullanıcılar: Kullanıcı seçim türü seçiminize bağlı olarak, aşağıdaki seçeneklerden birini kullanacaksınız:

    • Kullanıcıları seçin: Microsoft Entra kullanıcı ve kullanıcı gruplarını seçin.

    • Kullanıcı ekle: Bu, kullanıcı ekle bölmesini açar ve bu bölmede bir veya daha fazla kullanıcı tanımlayıcısını cihazda göründükleri gibi belirtebilirsiniz. Kullanıcıyı güvenlik tanımlayıcısı (SID), Etkialanı\kullanıcıadı veya Kullanıcı adı ile belirtebilirsiniz.

      Kullanıcı ekle sayfasının ekran görüntüsü.

Şirket içi Active Directory kullanıcılarınızı Active Directory'den karma birleştirilmiş Microsoft Entra cihaz için yerel bir gruba yönetmek istediğiniz senaryolarda El ile seçeneğinin seçilmesi yararlı olabilir. Kullanıcı seçimini en az tercih edilen sırada tanımlamanın desteklenen biçimleri SID, etki alanı\kullanıcı adı veya üyenin kullanıcı adı üzerinden yapılır. Active Directory değerleri karma birleştirilmiş cihazlar için, Microsoft Entra ID değerleri ise Microsoft Entra birleştirme için kullanılmalıdır. Microsoft Entra grup SID'leri Gruplar için Graph API kullanılarak elde edilebilir.

Çakışma

İlkeler grup üyeliği için çakışma oluşturursa, her ilkeden çakışan ayarlar cihaza gönderilmez. Bunun yerine, Microsoft Intune yönetim merkezinde bu ilkeler için çakışma bildirilir. Çakışmayı çözmek için bir veya daha fazla ilkeyi yeniden yapılandırın.

Raporlama

Cihazlar ilkeyi iade edip uygularken, yönetim merkezi cihazların ve kullanıcıların durumunu başarılı veya hatalı olarak görüntüler.

İlke birden çok kural içerebileceğinden aşağıdakileri göz önünde bulundurun:

  • Cihazlar için ilke işlenirken, ayar başına durum görünümü kural grubunun durumunu tek bir ayarmış gibi görüntüler.
  • İlkedeki hatayla sonuçlanan her kural atlanır ve cihazlara gönderilmez.
  • Başarılı olan her kural uygulanacak cihazlara gönderilir.

Sonraki adımlar

Uç nokta güvenlik ilkelerini yapılandırma