Aracılığıyla paylaş

Öğretici: Microsoft Intune ile bulutta yerel bir Windows uç noktası ayarlama ve yapılandırma

  • Makale

İpucu

Buluta özel uç noktalar hakkında bilgi alırken aşağıdaki terimleri görürsünüz:

  • Uç nokta: Uç nokta, cep telefonu, tablet, dizüstü bilgisayar veya masaüstü bilgisayar gibi bir cihazdır. "Uç noktalar" ve "cihazlar" birbirinin yerine kullanılır.
  • Yönetilen uç noktalar: Bir MDM çözümü veya Grup İlkesi Nesneleri kullanarak kuruluştan ilke alan uç noktalar. Bu cihazlar genellikle kuruluşa aittir, ancak KCG veya kişisel cihazlar da olabilir.
  • Bulutta yerel uç noktalar: Microsoft Entra'ya katılmış uç noktalar. Şirket içi AD'ye katılmaz.
  • İş yükü: Herhangi bir program, hizmet veya işlem.

Bu kılavuz, kuruluşunuz için bulutta yerel bir Windows uç noktası yapılandırması oluşturma adımlarını gösterir. Bulutta yerel uç noktalara ve bunların avantajlarına genel bakış için bkz. Bulutta yerel uç noktalar nedir?

Bu özellik şu platformlarda geçerlidir:

  • Windows buluta özel uç noktalar

İpucu

Microsoft tarafından önerilen, standartlaştırılmış bir çözümün üzerine derlenmesini istiyorsanız , bulut yapılandırmasında Windows ile ilgileniyor olabilirsiniz. Intune Destekli Senaryo için bkz. Bulut yapılandırmasında Windows 10/11.

Aşağıdaki tabloda, bulut yapılandırmasında bu kılavuz ile Windows arasındaki temel fark açıklanmaktadır:

Çözüm Amaç
Öğretici: Bulutta yerel Windows uç noktalarını kullanmaya başlama (bu kılavuz) Microsoft tarafından önerilen ayarlara göre ortamınız için kendi yapılandırmanızı oluşturma konusunda size yol gösterir ve test etmeye başlamanıza yardımcı olur.
Bulut yapılandırmasında Windows Ön cephe, uzak ve daha odaklanmış ihtiyaçları olan diğer çalışanlar için Microsoft'un en iyi yöntemlerini temel alan önceden oluşturulmuş bir yapılandırma oluşturan ve uygulayan kılavuzlu senaryo deneyimi.

Önceden oluşturulmuş deneyimi daha da özelleştirmek için bu kılavuzu bulut yapılandırmasında Windows ile birlikte kullanabilirsiniz.

Nasıl başlarsınız?

Buluta özel Windows uç nokta yapılandırmanızı hazırlamanıza yardımcı olmak için birbirinin üzerine derlenen bu kılavuzdaki beş sıralı aşamayı kullanın. Bu aşamaları sırayla tamamladığınızda somut ilerlemeyi görürsünüz ve yeni cihazlar sağlamaya hazır olursunuz.

Aşamalar:

Microsoft Intune ve Windows Autopilot kullanarak bulutta yerel Windows uç noktalarını ayarlamak için beş aşama.

  • 1. Aşama – Ortamınızı ayarlama
  • 2. Aşama – İlk buluta özel Windows uç noktanızı oluşturma
  • 3. Aşama – Buluta özel Windows uç noktanızın güvenliğini sağlama
  • 4. Aşama – Özel ayarlarınızı ve uygulamalarınızı uygulama
  • 5. Aşama – Windows Autopilot ile büyük ölçekte dağıtma

Bu kılavuzun sonunda, ortamınızda test etmeye başlamak için hazır buluta özel bir Windows uç noktanız vardır. Başlamadan önce Microsoft Entra katılım uygulamanızı planlama makalesinde Microsoft Entra katılım planlama kılavuzuna göz atabilirsiniz.

1. Aşama – Ortamınızı ayarlama

Microsoft Intune ile ortamınızı buluta özel uç noktalar için ayarlama aşama 1'i gösteren görüntü

İlk buluta özel Windows uç noktanızı oluşturmadan önce, denetlenilmesi gereken bazı önemli gereksinimler ve yapılandırmalar vardır. Bu aşama gereksinimleri denetleme, Windows Autopilot'ı yapılandırma ve bazı ayarlar ve uygulamalar oluşturma adımlarını gösterir.

1. Adım - Ağ gereksinimleri

Buluta özel Windows uç noktanızın çeşitli internet hizmetlerine erişmesi gerekir. Testinizi açık bir ağda başlatın. İsterseniz , Windows Autopilot ağ gereksinimleri'nde listelenen tüm uç noktalara erişim sağladıktan sonra şirket ağınızı da kullanabilirsiniz.

Kablosuz ağınız sertifika gerektiriyorsa, cihaz sağlama için kablosuz bağlantılar için en iyi yaklaşımı belirlerken test sırasında bir Ethernet bağlantısıyla başlayabilirsiniz.

2. Adım - Kayıt ve Lisanslama

Microsoft Entra'ya katılıp Intune'a kaydolmadan önce denetlemeniz gereken birkaç şey vardır. Intune MDM Kullanıcıları adı gibi yeni bir Microsoft Entra grubu oluşturabilirsiniz. Ardından, yapılandırmanızı ayarlarken cihazları kaydedebilecek kullanıcıları sınırlamak için belirli test kullanıcı hesaplarını ekleyin ve bu gruptaki aşağıdaki yapılandırmaların her birini hedefleyin. Microsoft Entra grubu oluşturmak için Microsoft Entra gruplarını ve grup üyeliğini yönetme bölümüne gidin.

  • Kayıt kısıtlamaları Kayıt kısıtlamaları, Intune ile hangi cihaz türlerinin yönetime kaydolabileceğini denetlemenize olanak tanır. Bu kılavuzun başarılı olması için varsayılan yapılandırma olan Windows (MDM) kaydına izin verildiğinden emin olun.

    Kayıt Kısıtlamalarını yapılandırma hakkında bilgi için Microsoft Intune'da kayıt kısıtlamalarını ayarlama bölümüne gidin.

  • Microsoft Entra Device MDM ayarları Bir Windows cihazını Microsoft Entra'ya eklediğinizde, Microsoft Entra cihazlarınıza otomatik olarak bir MDM'ye kaydolmalarını söyleyecek şekilde yapılandırılabilir. Windows Autopilot'ın çalışması için bu yapılandırma gereklidir.

    Microsoft Entra Device MDM ayarlarınızın düzgün etkinleştirildiğini denetlemek için Hızlı Başlangıç - Intune'da otomatik kaydı ayarlama bölümüne gidin.

  • Microsoft Entra şirket markası Microsoft Entra'ya kurumsal logonuzu ve resimlerinizi eklemek, kullanıcıların Microsoft 365'te oturum açtıklarında tanıdık ve tutarlı bir genel görünüm görmelerini sağlar. Windows Autopilot'ın çalışması için bu yapılandırma gereklidir.

    Microsoft Entra'da özel marka yapılandırma hakkında bilgi için Kuruluşunuzun Microsoft Entra oturum açma sayfasına marka ekleme sayfasına gidin.

  • Lisanslama Windows cihazlarını İlk Çalıştırma Deneyimi'nden (OOBE) Intune'a kaydeden kullanıcılar iki temel özellik gerektirir.

    Kullanıcılar aşağıdaki lisanslara ihtiyaç duyar:

    • Microsoft Intune veya Eğitim için Microsoft Intune lisansı
    • Otomatik MDM kaydına izin veren aşağıdaki seçeneklerden biri gibi bir lisans:
      • Microsoft Entra Premium P1
      • Eğitim için Microsoft Intune

    Lisansları atamak için Microsoft Intune lisansları atama bölümüne gidin.

    Not

    Her iki lisans türü de genellikle Microsoft 365 E3 (veya A3) ve üzeri gibi lisanslama paketlerine dahil edilir. M365 lisanslama karşılaştırmalarını burada görüntüleyebilirsiniz.

3. Adım - Test cihazınızı içeri aktarma

Buluta özel Windows uç noktasını test etmek için bir sanal makine veya fiziksel cihazı teste hazır hale getirmekle işe başlamamız gerekir. Aşağıdaki adımlar cihaz ayrıntılarını alır ve bu makalenin devamında kullanılan Windows Autopilot hizmetine yükler.

Not

Aşağıdaki adımlar test için bir cihazı içeri aktarmak için bir yol sağlarken, İş Ortakları ve OEM'ler satın alma işleminin bir parçası olarak cihazları sizin yerinize Windows Autopilot'a aktarabilir. 5. Aşamada Windows Autopilot hakkında daha fazla bilgi vardır.

  1. Windows'u (tercihen 20H2 veya üzeri) bir sanal makineye yükleyin veya fiziksel cihazı OOBE kurulum ekranında bekleyecek şekilde sıfırlayın. Sanal makine için isteğe bağlı olarak bir denetim noktası oluşturabilirsiniz.

  2. İnternet'e bağlanmak için gerekli adımları tamamlayın.

  3. Shift + F10 klavye bileşimini kullanarak bir komut istemi açın.

  4. bing.com ping atarak İnternet erişimine sahip olduğunuzu doğrulayın:

    • ping bing.com

  5. Komutunu çalıştırarak PowerShell'e geçin:

    • powershell.exe

  6. Aşağıdaki komutları çalıştırarak Get-WindowsAutopilotInfo betiğini indirin:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. İstendiğinde, kabul etmek için Y girin.

  8. Aşağıdaki komutu yazın:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Not

    Grup Etiketleri, cihazların bir alt kümesini temel alan dinamik Microsoft Entra grupları oluşturmanıza olanak tanır. Cihazları içeri aktarırken Grup Etiketleri ayarlanabilir veya daha sonra Microsoft Intune yönetim merkezinde değiştirilebilir. 4. Adımda CloudNative Grup Etiketini kullanacağız. Testiniz için etiket adını farklı bir adla ayarlayabilirsiniz.

  9. Kimlik bilgileri istendiğinde Intune Yönetici hesabınızla oturum açın.

  10. 2. Aşamaya kadar bilgisayarı ilk çalıştırma deneyiminde bırakın.

4. Adım - Cihaz için Microsoft Entra dinamik grubu oluşturma

Bu kılavuzdaki yapılandırmaları Windows Autopilot'a aktardığınız test cihazlarıyla sınırlamak için dinamik bir Microsoft Entra grubu oluşturun. Bu grup, Windows Autopilot'a aktaran ve CloudNative Grup Etiketine sahip cihazları otomatik olarak içermelidir. Ardından bu gruptaki tüm yapılandırmalarınızı ve uygulamalarınızı hedefleyebilirsiniz.

  1. Microsoft Intune yönetim merkezini açın.

  2. Gruplar>Yeni grup'ı seçin. Aşağıdaki ayrıntıları girin:

    • Grup türü: Güvenlik'i seçin.
    • Grup Adı: Windows Uç Noktaları Cloud-Native Autopilot girin.
    • Üyelik türü: Dinamik Cihaz'ı seçin.

  3. Dinamik sorgu ekle'yi seçin.

  4. Kural Söz Dizimi bölümünde Düzenle'yi seçin.

  5. Aşağıdaki metni yapıştırın:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. TamamKaydet Oluştur'u>> seçin.

İpucu

Değişiklikler gerçekleştikten sonra dinamik grupların doldurulma işlemi birkaç dakika sürer. Büyük kuruluşlarda çok daha uzun sürebilir. Yeni bir grup oluşturduktan sonra, cihazın artık grubun bir üyesi olduğunu onaylamak için kontrol etmeden önce birkaç dakika bekleyin.

Cihazlar için dinamik gruplar hakkında daha fazla bilgi için Cihazlar için kurallar'a gidin.

5. Adım - Kayıt Durumu Sayfasını Yapılandırma

Kayıt durumu sayfası (ESP), BIR BT uzmanının uç nokta sağlama sırasında son kullanıcı deneyimini denetlemek için kullandığı mekanizmadır. Bkz. Kayıt Durumu Sayfasını Ayarlama. Kayıt durumu sayfasının kapsamını sınırlamak için yeni bir profil oluşturabilir ve cihaz için Microsoft Entra dinamik grubu oluşturma adlı önceki adımda oluşturulan Autopilot Cloud-Native Windows Uç Noktaları grubunu hedefleyebilirsiniz.

  • Test amacıyla aşağıdaki ayarları öneririz, ancak bunları gerektiği gibi ayarlamaktan çekinmeyin:
    • Uygulama ve profil yapılandırması ilerleme durumunu göster - Evet
    • Sayfayı yalnızca kullanıma hazır deneyim (OOBE) tarafından sağlanan cihazlara göster – Evet (varsayılan)

6. Adım - Windows Autopilot profilini oluşturma ve atama

Artık Windows Autopilot profilini oluşturabilir ve test cihazımıza atayabiliriz. Bu profil cihazınıza Microsoft Entra'ya katılmasını ve OOBE sırasında hangi ayarların uygulanacağını bildirir.

  1. Microsoft Intune yönetim merkezini açın.

  2. Cihazlar Cihaz>ekleme>Kaydı>Windows>Windows Autopilot>Dağıtım profilleri'ni seçin.

  3. Profil> oluşturWindows bilgisayar'ı seçin.

  4. Windows Uç NoktasıCloud-Native Autopilot adını girin ve İleri'yi seçin.

  5. Varsayılan ayarları gözden geçirin ve bırakın ve İleri'yi seçin.

  6. Kapsam etiketlerini bırakın ve İleri'yi seçin.

  7. Profili, Oluşturduğunuz Autopilot Cloud-Native Windows Uç Noktası adlı Microsoft Entra grubuna atayın, İleri'yi ve ardından Oluştur'u seçin.

7. Adım - Windows Autopilot cihazlarını eşitleme

Windows Autopilot hizmeti günde birkaç kez eşitlenir. Ayrıca, cihazınızın test etmeye hazır olması için hemen bir eşitleme tetikleyebilirsiniz. Hemen eşitlemek için:

  1. Microsoft Intune yönetim merkezini açın.

  2. Cihazlar Cihaz>ekleme>Kaydı>Windows>Autopilot>Cihazları'na tıklayın.

  3. Eşitle'yi seçin.

Eşitleme birkaç dakika sürer ve arka planda devam eder. Eşitleme tamamlandığında, içeri aktarılan cihazın profil durumu Atanmış olarak görüntülenir.

8. Adım - En iyi Microsoft 365 deneyimi için ayarları yapılandırma

Yapılandırmak için birkaç ayar seçtik. Bu ayarlar, Windows buluta özel cihazınızda en uygun Microsoft 365 son kullanıcı deneyimini gösterir. Bu ayarlar bir cihaz yapılandırma ayarları katalog profili kullanılarak yapılandırılır. Daha fazla bilgi için Microsoft Intune'da ayarlar kataloğunu kullanarak ilke oluşturma bölümüne gidin.

Profili oluşturduktan ve ayarlarınızı ekledikten sonra, profili daha önce oluşturulan Windows Uç Noktaları grubuna Cloud-Native Autopilot'a atayın.

  • Microsoft Outlook Microsoft Outlook'un ilk çalıştırma deneyimini geliştirmek için, Outlook ilk kez açıldığında aşağıdaki ayar otomatik olarak bir profil yapılandırılır.

    • Microsoft Outlook 2016\Hesap Ayarları\Exchange (Kullanıcı ayarı)
      • Active Directory birincil SMTP adresine göre yalnızca ilk profili otomatik olarak yapılandırma - Etkin

  • Microsoft Edge Microsoft Edge'in ilk çalıştırma deneyimini geliştirmek için aşağıdaki ayarlar Microsoft Edge'i kullanıcının ayarlarını eşitleyip ilk çalıştırma deneyimini atlayarak yapılandırabilir.

    • Microsoft Edge
      • İlk çalıştırma deneyimini ve giriş ekranını gizleme - Etkin
      • Tarayıcı verilerinin eşitlenmesini zorla ve eşitleme onayı istemini gösterme - Etkin

  • Microsoft OneDrive

    İlk oturum açma deneyimini geliştirmek için, aşağıdaki ayarlar Microsoft OneDrive'ı otomatik olarak oturum açıp Masaüstü, Resimler ve Belgeler'i OneDrive'a yönlendirecek şekilde yapılandırılır. İsteğe Bağlı Dosyalar (FOD) da önerilir. Varsayılan olarak etkindir ve aşağıdaki listeye dahil değildir. OneDrive eşitleme uygulaması için önerilen yapılandırma hakkında daha fazla bilgi için Microsoft OneDrive için önerilen eşitleme uygulaması yapılandırması bölümüne gidin.

    • OneDrive

      • Kullanıcıların Windows kimlik bilgileriyle OneDrive eşitleme uygulamasında sessizce oturum açması - Etkin
      • Windows bilinen klasörlerini sessizce OneDrive'a taşıma – Etkin

      Not

      Daha fazla bilgi için Bilinen Klasörleri Yeniden Yönlendirme'ye gidin.

Aşağıdaki ekran görüntüsünde, önerilen ayarların her birinin yapılandırıldığı bir ayarlar kataloğu profili örneği gösterilmektedir:

Microsoft Intune'da bir ayarlar kataloğu profili örneğini gösteren ekran görüntüsü.

9. Adım - Bazı uygulamaları oluşturma ve atama

Buluta özel uç noktanızın bazı uygulamalara ihtiyacı vardır. Başlamak için aşağıdaki uygulamaları yapılandırmanızı ve bunları daha önce oluşturulan Autopilot Cloud-Native Windows Endpoints grubunda hedeflemenizi öneririz.

  • Microsoft 365 Uygulamaları (eski adıyla Office 365 ProPlus) Word, Excel ve Outlook gibi Microsoft 365 Uygulamaları, Intune'da yerleşik Windows için Microsoft 365 uygulamaları uygulama profili kullanılarak cihazlara kolayca dağıtılabilir.

    • AYARLAR biçimi için XML yerine yapılandırma tasarımcısı'nı seçin.
    • Güncelleştirme kanalı için Geçerli Kanal'ı seçin.

    Microsoft 365 Uygulamalarını dağıtmak için Microsoft Intune kullanarak Windows cihazlarına Microsoft 365 uygulamaları ekleme bölümüne gidin

  • Şirket Portalı uygulaması Intune Şirket Portalı uygulamasının gerekli bir uygulama olarak tüm cihazlara dağıtılması önerilir. Şirket Portalı uygulaması, Intune, Microsoft Store ve Configuration Manager gibi birden çok kaynaktan uygulama yüklemek için kullandıkları kullanıcıların self servis merkezidir. Kullanıcılar ayrıca cihazlarını Intune ile eşitlemek, uyumluluk durumunu denetlemek vb. için Şirket Portalı uygulamasını kullanır.

    Şirket Portalı'nı gerektiği gibi dağıtmak için bkz. Intune tarafından yönetilen cihazlar için Windows Şirket Portalı uygulaması ekleme ve atama.

  • Microsoft Store Uygulaması (Whiteboard) Intune çok çeşitli uygulamalar dağıtabilirken, bu kılavuzda işleri basit tutmaya yardımcı olmak için bir mağaza uygulaması (Microsoft Whiteboard) dağıtıyoruz. Microsoft Whiteboard'u yüklemek için Microsoft Intune'a Microsoft Store uygulamaları ekleme makalesindeki adımları izleyin.

2. Aşama - Buluta özel Windows uç noktası oluşturma

2. Aşama.

İlk buluta özel Windows uç noktanızı oluşturmak için, topladığınız sanal makineyi veya fiziksel cihazı kullanın ve ardından 1 > . Aşama 3'teki donanım karması Windows Autopilot hizmetine yüklendi. Bu cihazla Windows Autopilot işlemini inceleyin.

  1. Windows bilgisayarınızı İlk Çalıştırma Deneyimi'ne (OOBE) devam edin (veya gerekirse sıfırlayın).

    Not

    Kişisel veya kuruluş için kurulumu seçmeniz istenirse Autopilot işlemi tetiklenmez. Bu durumda cihazı yeniden başlatın ve İnternet erişimi olduğundan emin olun. Hala çalışmıyorsa bilgisayarı sıfırlamayı veya Windows'u yeniden yüklemeyi deneyin.

  2. Microsoft Entra kimlik bilgileriyle (UPN veya AzureAD\kullanıcıadı) oturum açın.

  3. Kayıt durumu sayfası, cihaz yapılandırmasının durumunu gösterir.

Tebrikler! İlk buluta özel Windows uç noktanızı sağladınız!

Yeni buluta özel Windows uç noktanızda göz atabileceğiniz bazı noktalar:

  • OneDrive klasörleri yeniden yönlendirilir. Outlook açıldığında, Office 365'e bağlanmak için otomatik olarak yapılandırılır.

  • Şirket Portalı uygulamasını Başlat Menüsünden açın ve Microsoft Whiteboard'un yükleme için kullanılabilir olduğuna dikkat edin.

  • Cihazdan dosya paylaşımları, yazıcılar ve intranet siteleri gibi şirket içi kaynaklara erişimi test etmeyi göz önünde bulundurun.

    Not

    İş İçin Windows Hello Karma'yı ayarlamadıysanız, Windows Hello oturum açmalarında şirket içi kaynaklara erişmek için parola girmeniz istenebilir. Çoklu oturum açma erişimini test etmeye devam etmek için İş için Windows Hello Karma'yi yapılandırabilir veya cihazda Windows Hello yerine kullanıcı adı ve parolayla oturum açabilirsiniz. Bunu yapmak için oturum açma ekranında anahtar şeklindeki simgeyi seçin.

3. Aşama – Buluta özel Windows uç noktanızın güvenliğini sağlama

Aşama 3.

Bu aşama, kuruluşunuz için güvenlik ayarları oluşturmanıza yardımcı olmak üzere tasarlanmıştır. Bu bölüm, Microsoft Intune'da aşağıdakiler dahil olmak üzere çeşitli Endpoint Security bileşenlerine dikkatinizi çeker:

Microsoft Defender Virüsten Koruma (MDAV)

Aşağıdaki ayarlar, Windows'un yerleşik bir işletim sistemi bileşeni olan Microsoft Defender Virüsten Koruma için en düşük yapılandırma olarak önerilir. Bu ayarlar E3 veya E5 gibi belirli bir lisans sözleşmesi gerektirmez ve Microsoft Intune yönetim merkezinde etkinleştirilebilir. Yönetim merkezinde Endpoint Security>Virüsten Koruma>Oluşturma İlkesi>Windows'a ve daha sonra>Profil türü = Microsoft Defender Virüsten Koruma'ya gidin.

Bulut Koruması:

  • Bulut tabanlı korumayı açma: Evet
  • Bulut tabanlı koruma düzeyi: Yapılandırılmadı
  • Saniyeler içinde Defender Bulut Genişletilmiş Zaman Aşımı: 50

Gerçek zamanlı koruma:

  • Gerçek zamanlı korumayı aç: Evet
  • Erişim korumasını etkinleştir: Evet
  • Gelen ve giden dosyalar için izleme: Tüm dosyaları izleme
  • Davranış izlemeyi açma: Evet
  • İzinsiz giriş önlemeyi açma: Evet
  • Ağ korumasını etkinleştirme: Etkinleştir
  • İndirilen tüm dosya ve ekleri tara: Evet
  • Microsoft tarayıcılarında kullanılan tarama betikleri: Evet
  • Ağ dosyalarını tarama: Yapılandırılmadı
  • E-postaları tara: Evet

Düzeltme:

  • Karantinaya alınan kötü amaçlı yazılımların tutulacak gün sayısı (0-90): 30
  • Örnek onayı gönderme: Güvenli örnekleri otomatik olarak gönderme
  • İstenmeyebilecek uygulamalarda gerçekleştirmeniz gereken eylem: Etkinleştir
  • Algılanan tehditler için eylemler: Yapılandırma
    • Düşük tehdit: Karantina
    • Orta düzeyde tehdit: Karantina
    • Yüksek tehdit: Karantina
    • Ciddi tehdit: Karantina

Endpoint Security içindeki MDAV profilinde yapılandırılan ayarlar:

Microsoft Intune'da bir Microsoft Defender Virüsten Koruma profili örneğini gösteren ekran görüntüsü.

Müşterinin E3 ve E5 lisansına sahip uç nokta için Microsoft Defender da dahil olmak üzere Windows Defender yapılandırması hakkında daha fazla bilgi için şuraya gidin:

Microsoft Defender Güvenlik Duvarı

Güvenlik duvarı ve güvenlik duvarı kurallarını yapılandırmak için Microsoft Intune'da Endpoint Security'yi kullanın. Daha fazla bilgi için Intune'da uç nokta güvenliği için güvenlik duvarı ilkesi'ne gidin.

Microsoft Defender Güvenlik Duvarı , NetworkListManager CSP kullanarak güvenilir bir ağı algılayabilir. Ayrıca, aşağıdaki işletim sistemi sürümlerini çalıştıran uç noktalarda etki alanı güvenlik duvarı profiline geçebilir:

Etki alanı ağ profilini kullanmak, güvenlik duvarı kurallarını güvenilir bir ağa, özel ağa ve genel ağa göre ayırmanıza olanak tanır. Bu ayarlar bir Windows özel profili kullanılarak uygulanabilir.

Not

Microsoft Entra'ya katılmış uç noktalar, etki alanına katılmış uç noktaların yaptığı gibi bir etki alanı bağlantısını algılamak için LDAP'yi kullanamaz. Bunun yerine, erişilebilir olduğunda uç noktayı etki alanı güvenlik duvarı profiline geçirecek bir TLS uç noktası belirtmek için NetworkListManager CSP'sini kullanın.

BitLocker Şifrelemesi

BitLocker ile şifrelemeyi yapılandırmak için Microsoft Intune'da Endpoint Security kullanın.

Bu ayarlar Microsoft Intune yönetim merkezinde etkinleştirilebilir. Yönetim merkezinde Uç Nokta Güvenliği>Disk şifrelemesini>yönetme>İlke> OluşturWindows ve daha sonra>BitLocker Profili'ne = gidin.

Aşağıdaki BitLocker ayarlarını yapılandırdığınızda, standart kullanıcılar için sessizce 128 bit şifrelemeyi etkinleştirirler ve bu da yaygın bir senaryodur. Ancak, kuruluşunuzun farklı güvenlik gereksinimleri olabilir, bu nedenle daha fazla ayar için BitLocker belgelerini kullanın.

BitLocker – Temel Ayarlar:

  • İşletim sistemi ve sabit veri sürücüleri için tam disk şifrelemesini etkinleştirme: Evet
  • Depolama kartlarının şifrelenmesini gerektir (yalnızca mobil): Yapılandırılmadı
  • Üçüncü taraf şifrelemesi hakkındaki istemi gizle: Evet
    • Standart kullanıcıların Autopilot sırasında şifrelemeyi etkinleştirmesine izin ver: Evet
  • İstemci temelli kurtarma parola döndürmeyi yapılandırma: Microsoft Entra'ya katılmış cihazlarda döndürmeyi etkinleştirme

BitLocker – Sabit Sürücü Ayarları:

  • BitLocker sabit sürücü ilkesi: Yapılandırma
  • Sabit sürücü kurtarma: Yapılandırma
    • Kurtarma anahtarı dosyası oluşturma: Engellendi
    • BitLocker kurtarma paketini yapılandırma: Parola ve anahtar
    • Cihazın kurtarma bilgilerini Azure AD'ye yedeklemesini gerektir: Evet
    • Kurtarma parolası oluşturma: İzin verildi
    • BitLocker kurulumu sırasında kurtarma seçeneklerini gizleme: Yapılandırılmadı
    • Kurtarma bilgileri depolandıktan sonra BitLocker'ı etkinleştirme: Yapılandırılmadı
    • Sertifika tabanlı veri kurtarma aracısı (DRA) kullanımını engelleme: Yapılandırılmadı
    • BitLocker tarafından korunmayan sabit veri sürücülerine yazma erişimini engelle: Yapılandırılmadı
    • Sabit veri sürücüleri için şifreleme yöntemini yapılandırma: Yapılandırılmadı

BitLocker – İşletim Sistemi Sürücüsü Ayarları:

  • BitLocker sistem sürücüsü ilkesi: Yapılandırma
    • Başlangıç kimlik doğrulaması gerekiyor: Evet
    • Uyumlu TPM başlatma: Gerekli
    • Uyumlu TPM başlangıç PIN'i: Engelle
    • Uyumlu TPM başlangıç anahtarı: Engelle
    • Uyumlu TPM başlangıç anahtarı ve PIN: Engelle
    • TPM'nin uyumsuz olduğu cihazlarda BitLocker'ı devre dışı bırakma: Yapılandırılmadı
    • Başlatma öncesi kurtarma iletisini ve URL'sini etkinleştirme: Yapılandırılmadı
  • Sistem sürücüsü kurtarma: Yapılandırma
    • Kurtarma anahtarı dosyası oluşturma: Engellendi
    • BitLocker kurtarma paketini yapılandırma: Parola ve anahtar
    • Cihazın kurtarma bilgilerini Azure AD'ye yedeklemesini gerektir: Evet
    • Kurtarma parolası oluşturma: İzin verildi
    • BitLocker kurulumu sırasında kurtarma seçeneklerini gizleme: Yapılandırılmadı
    • Kurtarma bilgileri depolandıktan sonra BitLocker'ı etkinleştirme: Yapılandırılmadı
    • Sertifika tabanlı veri kurtarma aracısı (DRA) kullanımını engelleme: Yapılandırılmadı
    • Minimum PIN uzunluğu: Boş bırakın
    • İşletim Sistemi sürücüleri için şifreleme yöntemini yapılandırma: Yapılandırılmadı

BitLocker – Çıkarılabilir Sürücü Ayarları:

  • BitLocker çıkarılabilir sürücü ilkesi: Yapılandırma
    • Çıkarılabilir veri sürücüleri için şifreleme yöntemini yapılandırma: Yapılandırılmadı
    • BitLocker tarafından korunmayan çıkarılabilir veri sürücülerine yazma erişimini engelle: Yapılandırılmadı
    • Başka bir kuruluşta yapılandırılmış cihazlara yazma erişimini engelleme: Yapılandırılmadı

Windows Yerel Yönetici Parola Çözümü (LAPS)

Varsayılan olarak, yerleşik yerel yönetici hesabı (iyi bilinen SID S-1-5-500) devre dışı bırakılır. Sorun giderme, son kullanıcı desteği ve cihaz kurtarma gibi yerel yönetici hesabının yararlı olabileceği bazı senaryolar vardır. Yerleşik yönetici hesabını etkinleştirmeye veya yeni bir yerel yönetici hesabı oluşturmaya karar verirseniz, bu hesabın parolasının güvenliğini sağlamak önemlidir.

Windows Yerel Yönetici Parola Çözümü (LAPS), parolayı Microsoft Entra'da rastgele ve güvenli bir şekilde depolamak için kullanabileceğiniz özelliklerden biridir. MDM hizmetiniz olarak Intune kullanıyorsanız Windows LAPS'yi etkinleştirmek için aşağıdaki adımları kullanın.

Önemli

Windows LAPS, yeniden adlandırılmış olsa veya başka bir yerel yönetici hesabı oluştursanız bile varsayılan yerel yönetici hesabının etkinleştirildiğini varsayar. Windows LAPS sizin için herhangi bir yerel hesap oluşturmaz veya etkinleştirmez.

Windows LAPS'yi yapılandırmaktan ayrı olarak herhangi bir yerel hesap oluşturmanız veya etkinleştirmeniz gerekir. Bu görevi betik olarak kullanabilir veya Hesaplar CSP'leri veya İlke CSP'leri gibi Yapılandırma Hizmeti Sağlayıcılarını ( CSP'ler) kullanabilirsiniz.

  1. Windows 10 (20H2 veya üzeri) veya Windows 11 cihazlarınızda Nisan 2023 (veya üzeri) güvenlik güncelleştirmesinin yüklü olduğundan emin olun.

    Daha fazla bilgi için Microsoft Entra işletim sistemi güncelleştirmeleri bölümüne gidin.

  2. Microsoft Entra'da Windows LAPS'yi etkinleştirme:

    1. Microsoft Entra'da oturum açın.
    2. Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet>Kaydet'i (sayfanın üst kısmında) seçin.

    Daha fazla bilgi için Bkz. Microsoft Entra ile Windows LAPS'yi etkinleştirme.

  3. Intune'da bir uç nokta güvenlik ilkesi oluşturun:

    1. Microsoft Intune yönetim merkezinde oturum açın.
    2. Endpoint Security>Account Protection>İlke> OluşturWindows 10 ve üzeri>Yerel yönetici parolası çözümü (Windows LAPS)Oluştur'u> seçin.

    Daha fazla bilgi için Intune'da LAPS ilkesi oluşturma bölümüne gidin.

Güvenlik Temelleri

Windows uç noktasının güvenliğini artıracağı bilinen bir dizi yapılandırma uygulamak için güvenlik temellerini kullanabilirsiniz. Güvenlik temelleri hakkında daha fazla bilgi için Intune için Windows MDM güvenlik temeli ayarları'na gidin.

Temeller önerilen ayarlar kullanılarak uygulanabilir ve gereksinimlerinize göre özelleştirilebilir. Temeller içindeki bazı ayarlar beklenmeyen sonuçlara neden olabilir veya Windows uç noktalarınızda çalışan uygulamalar ve hizmetlerle uyumsuz olabilir. Sonuç olarak, taban çizgileri yalıtımlı olarak test edilmelidir. Temeli, başka yapılandırma profilleri veya ayarları olmadan yalnızca seçmeli bir test uç noktası grubuna uygulayın.

Güvenlik Temelleri Bilinen Sorunlar

Windows güvenlik temelindeki aşağıdaki ayarlar, Windows Autopilot ile ilgili sorunlara neden olabilir veya uygulamaları standart kullanıcı olarak yüklemeye çalışır:

  • Yerel İlkeler Güvenlik Seçenekleri\Yönetici yükseltme istemi davranışı (varsayılan = Güvenli masaüstünde onay iste)
  • Standart kullanıcı yükseltme istemi davranışı (varsayılan = Yükseltme isteklerini otomatik olarak reddet)

Daha fazla bilgi için bkz. Windows Autopilot ile ilke çakışmalarıyla ilgili sorunları giderme.

İş İçin Windows Update

İş İçin Windows Update , güncelleştirmelerin cihazlara nasıl ve ne zaman yükleneceğini denetlemeye yönelik bulut teknolojisidir. Intune'da, İş için Windows Update aşağıdakiler kullanılarak yapılandırılabilir:

Daha fazla bilgi için:

Windows Güncelleştirmeleri için daha ayrıntılı denetim istiyorsanız ve Configuration Manager kullanıyorsanız , ortak yönetimi göz önünde bulundurun.

4. Aşama – Özelleştirmeleri uygulama ve şirket içi yapılandırmanızı gözden geçirme

4. aşama.

Bu aşamada, kuruluşa özgü ayarları, uygulamaları uygular ve şirket içi yapılandırmanızı gözden geçirirsiniz. Aşama, kuruluşunuza özgü özelleştirmeler oluşturmanıza yardımcı olur. Windows'un çeşitli bileşenlerine, şirket içi AD Grup İlkesi ortamındaki mevcut yapılandırmaları nasıl gözden geçirebileceğinize ve bunları buluta özel uç noktalara nasıl uygulayabileceğinize dikkat edin. Aşağıdaki alanların her biri için bölümler vardır:

Microsoft Edge

Microsoft Edge Dağıtımı

Microsoft Edge, şu çalıştıran cihazlara dahildir:

  • Windows 11
  • Windows 10 20H2 veya üzeri
  • Mayıs 2021 veya üzeri toplu aylık güvenlik güncelleştirmesi ile Windows 10 1803 veya üzeri

Kullanıcılar oturum açıldıktan sonra Microsoft Edge otomatik olarak güncelleştirilir. Dağıtım sırasında Microsoft Edge güncelleştirmesini tetikleme için aşağıdaki komutu çalıştırabilirsiniz:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Microsoft Edge'i önceki Windows sürümlerine dağıtmak için Windows için Microsoft Edge'i Microsoft Intune'a ekleme bölümüne gidin.

Microsoft Edge Yapılandırması

Kullanıcılar Microsoft 365 kimlik bilgileriyle oturum açarken geçerli olan Microsoft Edge deneyiminin iki bileşeni Microsoft 365 Yönetim Merkezi'nden yapılandırılabilir.

  • Microsoft Edge'deki başlangıç sayfası logosu, Microsoft 365 yönetim merkezinde Kuruluşunuz bölümü yapılandırılarak özelleştirilebilir. Daha fazla bilgi için Bkz. Kuruluşunuz için Microsoft 365 temasını özelleştirme.

  • Microsoft Edge'deki varsayılan yeni sekme sayfası deneyimi, Office 365 bilgilerini ve kişiselleştirilmiş haberleri içerir. Bu sayfanın nasıl görüntülendiği , Ayarlar>Kuruluş ayarları>Haberler>Microsoft Edge yeni sekme sayfasındaki Microsoft 365 yönetim merkezinden özelleştirilebilir.

Ayrıca, ayarlar kataloğu profillerini kullanarak Microsoft Edge için diğer ayarları da ayarlayabilirsiniz. Örneğin, kuruluşunuz için belirli eşitleme ayarlarını yapılandırmak isteyebilirsiniz.

  • Microsoft Edge
    • Eşitlemeden dışlanan türlerin listesini yapılandırma - parolalar

Başlangıç ve Görev çubuğu düzeni

Intune kullanarak standart bir başlangıç ve görev çubuğu düzenini özelleştirebilir ve ayarlayabilirsiniz.

Ayarlar kataloğu

Ayarlar kataloğu, yapılandırılabilir tüm Windows ayarlarının listelendiği tek bir konumdur. Bu özellik, ilke oluşturma ve tüm kullanılabilir ayarları görme işlemlerini basitleştirir. Daha fazla bilgi için Microsoft Intune'da ayarlar kataloğunu kullanarak ilke oluşturma bölümüne gidin.

Not

  • Bazı ayarlar katalogda kullanılamayabilir ancak Intune cihaz yapılandırma profilleri için Şablonlar'da kullanılabilir.

  • Grup ilkesinden bildiğiniz ayarların çoğu, ayarlar kataloğunda zaten mevcuttur. Daha fazla bilgi için Mobil Cihaz Yönetimi'nde Grup İlkesi ayarları eşlik bölümünde en son bölümüne gidin.

  • ADMX şablonlarını veya ayarlar kataloğunu (önerilen) kullanmayı planlıyorsanız, Cihazlarınızı Windows 10 sürüm 2004 ve üzeri için Eylül 2021 'Yama Salı' güncelleştirmesi (KB5005565) ile güncelleştirdiğinizden emin olun. Bu aylık güncelleştirme ,MDM'ye 1.400'de fazla grup ilkesi ayarı getiren KB5005101 içerir. Bu güncelleştirmenin uygulanamaması, Intune yönetim merkezindeki ayarın yanı sıra 'Uygulanamaz' iletisiyle sonuçlanır. Başlangıçta Yalnızca Windows'un Enterprise ve Edu sürümlerine uygulanabilir olsa da, Mayıs 2022 itibarıyla bu ek ayarlar artık Windows 10/11'in Pro sürümlerinde de çalışır. Windows 10/11'in Pro sürümlerini kullanıyorsanız, Mobil Cihaz Yönetimi'ndeki Grup İlkesi ayarları eşliği'ndeki en son bölümünde belirtildiği gibi Windows 10 ve KB5013943 veya sonraki sürümlerine windows 11'e KB5013942 veya üzerini yüklediğinizden emin olun.

Aşağıda, ayarlar kataloğunda bulunan ve kuruluşunuzla ilgili olabilecek bazı ayarlar yer alır:

  • Azure Active Directory tercih edilen kiracı etki alanı Bu ayar, tercih edilen kiracı etki alanı adını kullanıcının kullanıcı adına eklenecek şekilde yapılandırıyor. Tercih edilen kiracı etki alanı, kullanıcının etki alanı adı tercih edilen kiracı etki alanıyla eşleştiğinden kullanıcıların Microsoft Entra uç noktalarına tüm UPN'leri yerine yalnızca kullanıcı adları ile oturum açmalarını sağlar. Farklı etki alanı adları olan kullanıcılar tüm UPN'lerini yazabilir.

    Bu ayar şu şekilde bulunabilir:

    • Kimlik Doğrulama
      • Tercih Edilen AAD Kiracı Etki Alanı Adı - etki alanı adını belirtin, örneğin contoso.onmicrosoft.com.

  • Windows Spotlight Varsayılan olarak, Windows'un çeşitli tüketici özellikleri etkinleştirilir ve bu da kilit ekranında seçili Mağaza uygulamalarının yüklenmesine ve üçüncü taraf önerilerine neden olur. Bunu, ayarlar kataloğunun Deneyim bölümünü kullanarak denetleyebilirsiniz.

    • Deneyim
      • Windows Tüketici Özelliklerine İzin Ver - Engelle
      • Windows Spotlight'ta Üçüncü Taraf Önerilerine İzin Ver (kullanıcı) - Engelle

  • Microsoft Store Kuruluşlar genellikle uç noktalara yüklenebilen uygulamaları kısıtlamak ister. Kuruluşunuz Microsoft Store'dan yükleyebilecek uygulamaları denetlemek istiyorsa bu ayarı kullanın. Bu ayar, onaylanmadıkları sürece kullanıcıların uygulamaları yüklemesini engeller.

  • Oyun Engelleme Kuruluşlar, şirket uç noktalarının oyun oynamak için kullanılamayabileceğini tercih edebilir. Ayarlar uygulamasındaki Oyun sayfası, aşağıdaki ayar kullanılarak tamamen gizlenebilir. Ayarlar sayfası görünürlüğü hakkında ek bilgi için CSP belgelerine ve ms-settings URI düzeni başvurusuna gidin.

    • Ayarlar
      • Sayfa Görünürlük Listesi – hide:gaming-gamebar; gaming-gamedvr; oyun yayıncılığı; oyun-oyun modu; oyun-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Görev Çubuğunda Sohbet Simgesinin Görünürlüğünü Denetleme Windows 11 görev çubuğundaki Sohbet simgesinin görünürlüğü İlke CSP'sini kullanarak denetlenebilir.

    • Deneyim
      • Sohbeti Yapılandır Simgesi - Devre Dışı

  • Teams masaüstü istemcisinin hangi kiracılarda oturum açabileceğini denetleme

    Bu ilke bir cihazda yapılandırıldığında, kullanıcılar yalnızca bu ilkede tanımlanan "Kiracı İzin Verilenler Listesi" içinde yer alan bir Microsoft Entra kiracısında bulunan hesaplarla oturum açabilir. "Kiracı İzin Listesi", Microsoft Entra kiracı kimliklerinin virgülle ayrılmış bir listesidir. Bu ilkeyi belirterek ve bir Microsoft Entra kiracısı tanımlayarak Teams'te kişisel kullanım için oturum açmayı da engellersiniz. Daha fazla bilgi için Bkz. Masaüstü cihazlarda oturum açmayı kısıtlama.

    • Yönetim Şablonları \ Microsoft Teams
      • Teams'de oturum açmayı belirli kiracılardaki hesaplarla kısıtlama (Kullanıcı) - Etkin

Cihaz Kısıtlamaları

Windows Cihaz kısıtlamaları şablonları, Windows Yapılandırma Hizmeti Sağlayıcılarını (CSP' ler) kullanarak bir Windows uç noktasının güvenliğini sağlamak ve yönetmek için gereken ayarların çoğunu içerir. Bu ayarların daha fazlası zaman içinde ayarlar kataloğunda kullanılabilir hale getirilecektir. Daha fazla bilgi için Cihaz Kısıtlamaları'na gidin.

Cihaz kısıtlamaları şablonunu kullanan bir profil oluşturmak için, Microsoft Intune yönetim merkezindeCihazlar Cihazları>Yönet>Yapılandırma>Yeni ilke>oluştur> Platform >Şablonları için Windows 10 ve üzerini seçin Profil türü için cihaz kısıtlamaları'na gidin.

  • Masaüstü arka plan resmi URL'si (Yalnızca Masaüstü) Windows Enterprise veya Windows Education SKU'larında duvar kağıdını ayarlamak için bu ayarı kullanın. Dosyayı çevrimiçi olarak barındırabilirsiniz veya yerel olarak kopyalanmış bir dosyaya başvurursunuz. Bu ayarı yapılandırmak için, Cihaz kısıtlamaları profilinin Yapılandırma ayarları sekmesinde Kişiselleştirme'yi genişletin ve Masaüstü arka plan resmi URL'sini (Yalnızca Masaüstü) yapılandırın.

  • Cihaz kurulumu sırasında kullanıcıların bir ağa bağlanmasını gerektirme Bu ayar, bilgisayar sıfırlanırsa bir cihazın Windows Autopilot'i atlama riskini azaltır. Bu ayar, ilk çalıştırma deneyimi aşamasında cihazların ağ bağlantısına sahip olmasını gerektirir. Bu ayarı yapılandırmak için, Cihaz kısıtlamaları profilinin Yapılandırma ayarları sekmesinde Genel'i genişletin ve Cihaz kurulumu sırasında kullanıcıların ağa bağlanmasını gerektir'i yapılandırın.

    Not

    Ayar, cihaz bir sonraki silinişinde veya sıfırlandığında etkin hale gelir.

Teslim İyileştirme

Teslim İyileştirme, desteklenen paketleri birden çok uç nokta arasında indirme işini paylaşarak bant genişliği tüketimini azaltmak için kullanılır. Teslim İyileştirme, istemcilerin bu paketleri ağdaki eşler gibi alternatif kaynaklardan indirmesini sağlayan kendi kendini düzenleyen bir dağıtılmış önbellektir. Bu eş kaynaklar, geleneksel İnternet tabanlı sunucuları destekler. Teslim İyileştirme için kullanılabilen tüm ayarlar ve hangi indirme türlerinin desteklendiği hakkında bilgi edinmek için Windows güncelleştirmeleri için Teslim İyileştirme'yi kullanabilirsiniz.

Teslim İyileştirme ayarlarını uygulamak için bir Intune Teslim İyileştirme profili veya ayarlar kataloğu profili oluşturun.

Kuruluşlar tarafından yaygın olarak kullanılan bazı ayarlar şunlardır:

  • Eş seçimini kısıtla – Alt ağ. Bu ayar, eş önbelleğe almayı aynı alt ağ üzerindeki bilgisayarlarla kısıtlar.
  • Grup Kimliği. Teslim İyileştirme istemcileri, içeriği yalnızca aynı gruptaki cihazlarla paylaşacak şekilde yapılandırılabilir. Grup kimlikleri, ilke aracılığıyla bir GUID gönderilerek veya DHCP kapsamlarında DHCP seçenekleri kullanılarak doğrudan yapılandırılabilir.

Microsoft Configuration Manager kullanan müşteriler, Teslim İyileştirme içeriğini barındırmak için kullanılabilecek bağlı önbellek sunucuları dağıtabilir. Daha fazla bilgi için Configuration Manager'da Microsoft Bağlı Önbelleği'ne gidin.

Yerel Yöneticiler

Tüm Microsoft Entra'ya katılmış Windows cihazlarına yerel yönetici erişimi gerektiren tek bir kullanıcı grubu varsa, bunları Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi'ne ekleyebilirsiniz.

BT yardım masasının veya diğer destek personelinin belirli bir cihaz grubunda yerel yönetici haklarına sahip olması gerekebilir. Windows 2004 veya sonraki bir sürümle, aşağıdaki Yapılandırma Hizmeti Sağlayıcılarını (CSP' ler) kullanarak bu gereksinimi karşılayabilirsiniz.

  • İdeal olarak Windows 10 20H2 veya üzerini gerektiren Yerel Kullanıcılar ve Gruplar CSP'sini kullanın.
  • Windows 10 20H1 (2004) kullanıyorsanız Kısıtlı Gruplar CSP'sini kullanın (güncelleştirme eylemi yok, yalnızca değiştirin).
  • Windows 10 20H1 (2004) öncesi Windows sürümleri grupları kullanamaz, yalnızca tek tek hesapları kullanamaz.

Daha fazla bilgi için Bkz. Microsoft Entra'ya katılmış cihazlarda yerel yöneticiler grubunu yönetme

Grup İlkesi'ni MDM'ye Geçirme Ayarı

Grup İlkesi'nden buluta özel cihaz yönetimine geçiş yaparken cihaz yapılandırmanızı oluşturmak için çeşitli seçenekler vardır:

  • Yeni bir başlangıç yapın ve gerektiği gibi özel ayarlar uygulayın.
  • Mevcut Grup İlkelerini gözden geçirin ve gerekli ayarları uygulayın. Grup İlkesi analizi gibi yardımcı olması için araçları kullanabilirsiniz.
  • Desteklenen ayarlar için doğrudan Cihaz Yapılandırma profilleri oluşturmak için Grup İlkesi analizini kullanın.

Buluta özel Windows uç noktasına geçiş, son kullanıcı bilgi işlem gereksinimlerinizi gözden geçirme ve geleceğe yönelik yeni bir yapılandırma oluşturma fırsatı sunar. Mümkün olduğunda, en az ilke kümesiyle yeni bir başlangıç başlatın. Etki alanına katılmış bir ortamdan veya Windows 7 veya Windows XP gibi eski işletim sistemlerinden gereksiz veya eski ayarları iletmekten kaçının.

Yeni bir başlangıç yapmak için geçerli gereksinimlerinizi gözden geçirin ve bu gereksinimleri karşılamak için minimum düzeyde bir ayar koleksiyonu uygulayın. Gereksinimler, son kullanıcı deneyimini geliştirmek için yasal veya zorunlu güvenlik ayarlarını ve ayarlarını içerebilir. İşletme, BT'yi değil gereksinimlerin listesini oluşturur. Her ayarın belgelenmesi, anlaşılması ve bir amaca hizmet etmesi gerekir.

Ayarların mevcut Grup İlkeleri'nden MDM'ye (Microsoft Intune) geçirilmesi tercih edilen yaklaşım değildir. Bulutta yerel Windows'a geçiş yaptığınızda, amaç mevcut grup ilkesi ayarlarını kaldırıp kaydırmak olmamalıdır. Bunun yerine hedef kitleyi ve gerekli ayarları göz önünde bulundurun. Ortamınızdaki her grup ilkesi ayarını gözden geçirerek modern yönetilen bir cihazla olan ilgililiğini ve uyumluluğunu belirlemek zaman alır ve muhtemelen pratik değildir. Her grup ilkesini ve tek tek ayarları değerlendirmeye çalışmaktan kaçının. Bunun yerine, çoğu cihaz ve senaryoyu kapsayan yaygın ilkeleri değerlendirmeye odaklanın.

Bunun yerine, zorunlu olan grup ilkesi ayarlarını belirleyin ve bu ayarları kullanılabilir MDM ayarlarına göre gözden geçirin. Tüm boşluklar çözümlenmemişse buluta özel bir cihazla ilerlemenizi engelleyebilecek engelleyicileri temsil eder. Grup İlkesi analizi gibi araçlar, grup ilkesi ayarlarını analiz etmek ve bunların MDM ilkelerine geçirilip geçirilmeyeceğini belirlemek için kullanılabilir.

Komut dosyaları

Yerleşik yapılandırma profillerinin dışında yapılandırmanız gereken tüm ayarlar veya özelleştirmeler için PowerShell betiklerini kullanabilirsiniz. Daha fazla bilgi için Bkz. Microsoft Intune'da Windows cihazlarına PowerShell betikleri ekleme.

Ağ Sürücülerini ve Yazıcıları Eşleme

Bulutta yerel senaryoların eşlenen ağ sürücüleri için yerleşik çözümü yoktur. Bunun yerine kullanıcıların Teams, SharePoint ve OneDrive İş'e geçişlerini öneririz. Geçiş mümkün değilse, gerekirse betik kullanımını göz önünde bulundurun.

Kişisel depolama için , 8. Adım - En iyi Microsoft 365 deneyimi için ayarları yapılandırma bölümünde OneDrive Bilinen Klasör taşımayı yapılandırdık. Daha fazla bilgi için Bilinen Klasörleri Yeniden Yönlendirme'ye gidin.

Belge depolama için, kullanıcılar Dosya Gezgini ile SharePoint tümleştirmesinden ve kitaplıkları yerel olarak eşitleme özelliğinden de yararlanabilir. Burada başvurulduğunda: SharePoint ve Teams dosyalarını bilgisayarınızla eşitleme.

Genellikle iç sunucularda bulunan kurumsal Office belge şablonlarını kullanıyorsanız, kullanıcıların şablonlara her yerden erişmesine izin veren daha yeni bulut tabanlı eşdeğeri göz önünde bulundurun.

Yazdırma çözümleri için Evrensel Yazdırma'yı göz önünde bulundurun. Daha fazla bilgi için:

Uygulamalar

Intune, birçok farklı Windows uygulama türünün dağıtımını destekler.

MSI, EXE veya betik yükleyicileri kullanan uygulamalarınız varsa, Microsoft Intune'da Win32 uygulama yönetimini kullanarak bu uygulamaların tümünü dağıtabilirsiniz. Bu yükleyicileri Win32 biçiminde sarmalama bildirimleri, teslim iyileştirmesi, bağımlılıklar, algılama kuralları ve Windows Autopilot'taki Kayıt Durumu Sayfası için destek de dahil olmak üzere daha fazla esneklik ve avantaj sağlar.

Not

Yükleme sırasında çakışmaları önlemek için Yalnızca Windows iş kolu uygulamalarını veya Win32 uygulamaları özelliklerini kullanmaya devam etmenizi öneririz. veya .exeolarak .msi paketlenmiş uygulamalarınız varsa, bunlar GitHub'dan edinilebilenMicrosoft Win32 İçerik Hazırlama Aracı kullanılarak Win32 uygulamalarına (.intunewin) dönüştürülebilir.

5. Aşama – Windows Autopilot ile büyük ölçekte dağıtma

5. aşama.

Buluta özel Windows uç noktanızı yapılandırdığınıza ve Windows Autopilot ile sağladığınıza göre, daha fazla cihazı nasıl içeri aktarabileceğinizi düşünün. Ayrıca buluttan yeni uç noktalar sağlamaya başlamak için iş ortağınızla veya donanım sağlayıcınızla nasıl çalışabileceğinizi de göz önünde bulundurun. Kuruluşunuz için en iyi yaklaşımı belirlemek için aşağıdaki kaynakları gözden geçirin.

Nedense Windows Autopilot sizin için doğru seçenek değilse, Windows için başka kayıt yöntemleri de vardır. Daha fazla bilgi için Windows cihazları için Intune kayıt yöntemleri'ne gidin.

Bulutta yerel uç noktalar kılavuzunu izleyin

  1. Genel bakış: Bulutta yerel uç noktalar nelerdir?
  2. 🡺 Öğretici: Bulutta yerel Windows uç noktalarını kullanmaya başlama (Buradasınız)
  3. Kavram: Microsoft Entra'ya katılmış ve Hibrit Microsoft Entra'ya katılmış
  4. Kavram: Bulutta yerel uç noktalar ve şirket içi kaynaklar
  5. Üst düzey planlama kılavuzu
  6. Bilinen sorunlar ve önemli bilgiler

Yararlı çevrimiçi kaynaklar