Microsoft 365 kuruluşları için ortak güvenlik ilkeleri

Kuruluşların, kuruluşları için Microsoft 365'i dağıtırken endişelenmesi gereken çok şey vardır. Bu makalede başvuruda bulunan Koşullu Erişim, uygulama koruma ve cihaz uyumluluk ilkeleri, Microsoft'un önerilerine ve Sıfır Güven üç yol gösteren ilkeye dayanır:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Kuruluşlar bu ilkeleri olduğu gibi alabilir veya ihtiyaçlarına uyacak şekilde özelleştirebilir. Mümkünse, üretim kullanıcılarınıza dağıtmadan önce ilkelerinizi üretim dışı bir ortamda test edin. Test, olası etkileri belirlemek ve kullanıcılarınıza iletmek için kritik öneme sahiptir.

Bu ilkeleri, dağıtım yolculuğunuzda olduğunuz yere bağlı olarak üç koruma düzeyi halinde gruplandırıyoruz:

  • Başlangıç noktası - Çok faktörlü kimlik doğrulaması, güvenli parola değişiklikleri ve uygulama koruma ilkeleri getiren temel denetimler.
  • Kurumsal - Cihaz uyumluluğu sağlayan gelişmiş denetimler.
  • Özelleştirilmiş güvenlik - Belirli veri kümeleri veya kullanıcılar için her seferinde çok faktörlü kimlik doğrulaması gerektiren ilkeler.

Aşağıdaki diyagramda, her ilkenin hangi koruma düzeyi için geçerli olduğu ve ilkelerin bilgisayarlar, telefonlar ve tabletler ya da her iki cihaz kategorisi için de geçerli olup olmadığı gösterilmektedir.

Sıfır Güven ilkelerini destekleyen ortak kimlik ve cihaz ilkelerini gösteren diyagram.

Bu diyagramı PDF dosyası olarak indirebilirsiniz.

İpucu

Cihazın hedeflenen kullanıcıya sahip olduğundan emin olmak için cihazları Intune'a kaydetmeden önce çok faktörlü kimlik doğrulaması (MFA) kullanılması önerilir. Cihaz uyumluluk ilkelerini zorunlu kılmadan önce cihazları Intune'a kaydetmeniz gerekir.

Önkoşullar

İzinler

  • Koşullu Erişim ilkelerini yönetecek kullanıcıların Azure portal Koşullu Erişim Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici olarak oturum açabilmesi gerekir.
  • Uygulama koruma ve cihaz uyumluluk ilkelerini yönetecek kullanıcıların Intune'da Intune Yöneticisi veya Genel Yönetici olarak oturum açabilmesi gerekir.
  • Yalnızca yapılandırmaları görüntülemesi gereken kullanıcılara Güvenlik Okuyucusu veya Genel Okuyucu rolleri atanabilir.

Roller ve izinler hakkında daha fazla bilgi için yerleşik roller Microsoft Entra makalesine bakın.

Kullanıcı kaydı

Kullanıcılarınızın kullanımını gerektirmeden önce çok faktörlü kimlik doğrulamasına kaydolun. Microsoft Entra ID P2 içeren lisanslarınız varsa, kullanıcıların kaydolmasını istemek için Microsoft Entra ID Koruması içindeki MFA kayıt ilkesini kullanabilirsiniz. Kaydı yükseltmek için indirebileceğiniz ve özelleştirebileceğiniz iletişim şablonları sağlıyoruz.

Gruplar

Bu önerilerin bir parçası olarak kullanılan tüm Microsoft Entra grupları Güvenlik grubu olarak değilMicrosoft 365 grubu olarak oluşturulmalıdır. Bu gereksinim, daha sonra Microsoft Teams ve SharePoint'te belgelerin güvenliğini sağlarken duyarlılık etiketlerinin dağıtımı için önemlidir. Daha fazla bilgi için Microsoft Entra ID'de gruplar ve erişim hakları hakkında bilgi edinme makalesine bakın

İlke atama

Koşullu Erişim ilkeleri kullanıcılara, gruplara ve yönetici rollerine atanabilir. Intune uygulama koruma ve cihaz uyumluluk ilkeleri yalnızca gruplara atanabilir. İlkelerinizi yapılandırmadan önce kimlerin dahil edilmesi ve dışlanması gerektiğini belirlemeniz gerekir. Genellikle başlangıç noktası koruma düzeyi ilkeleri kuruluştaki herkes için geçerlidir.

Aşağıda, kullanıcılarınız kullanıcı kaydını tamamladıktan sonra MFA gerektirmeye yönelik grup ataması ve dışlama örnekleri verilmiştir.

  koşullu erişim ilkesini Microsoft Entra Içerir Dışlamak
Başlangıç noktası Orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme Tüm kullanıcılar
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu
Enterprise Düşük, orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme Yönetici personel grubu
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu
Özel güvenlik Her zaman çok faktörlü kimlik doğrulaması iste En Gizli Proje Buckeye grubu
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu

Gruplara ve kullanıcılara daha yüksek koruma düzeyleri uygularken dikkatli olun. Güvenliğin amacı, kullanıcı deneyimine gereksiz sürtüşmeler eklemek değildir . Örneğin, Çok Gizli Proje Buckeye grubunun üyelerinin, projelerinin özel güvenlik içeriği üzerinde çalışmasalar bile her oturum açtıklarında MFA kullanmaları gerekir. Aşırı güvenlik sürtüşmeleri yorgunluğa yol açabilir.

Belirli güvenlik denetimleri tarafından oluşturulan bazı çakışmaları azaltmak için İş İçin Windows Hello veya FIDO2 güvenlik anahtarları gibi parolasız kimlik doğrulama yöntemlerini etkinleştirmeyi düşünebilirsiniz.

Acil durum erişim hesapları

Tüm kuruluşların kullanım için izlenen ve ilkelerden dışlanan en az bir acil durum erişim hesabı olmalıdır. Bu hesaplar yalnızca diğer tüm yönetici hesaplarının ve kimlik doğrulama yöntemlerinin kilitlenmesi veya başka bir şekilde kullanılamaz duruma gelmesi durumunda kullanılır. Acil durum erişim hesaplarını Microsoft Entra ID yönetme makalesinde daha fazla bilgi bulabilirsiniz.

Dışlamalar

Önerilen bir uygulama, Koşullu Erişim dışlamaları için bir Microsoft Entra grubu oluşturmaktır. Bu grup, siz erişim sorunlarını giderirken kullanıcıya erişim sağlamak için size bir araç sağlar.

Uyarı

Bu grubun yalnızca geçici bir çözüm olarak kullanılması önerilir. Değişiklikler için bu grubu sürekli izleyin ve denetleyin ve dışlama grubunun yalnızca amaçlandığı gibi kullanıldığından emin olun.

Bu dışlama grubunu mevcut ilkelere eklemek için:

  1. Azure portal Koşullu Erişim Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici olarak oturum açın.
  2. Microsoft Entra ID>Güvenlik>Koşullu Erişim'e gidin.
  3. Mevcut bir ilkeyi seçin.
  4. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.
    1. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya tam erişim hesapları ile Koşullu Erişim dışlama grubunu seçin.

Dağıtım

Başlangıç noktası ilkelerini bu tabloda listelenen sırayla uygulamanızı öneririz. Ancak , kurumsal ve özel güvenlik koruma düzeyleri için MFA ilkeleri her zaman uygulanabilir.

Başlangıç noktası

Ilkesi Daha fazla bilgi Lisanslama
Oturum açma riski orta veya yüksek olduğunda MFA gerektirme MFA'nın yalnızca risk algılandığında gerekli olması için Microsoft Entra ID Koruması risk verilerini kullanma E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme Modern kimlik doğrulaması kullanmayan istemciler Koşullu Erişim ilkelerini atlayabilir, bu nedenle bunları engellemek önemlidir. Microsoft 365 E3 veya E5
Yüksek riskli kullanıcıların parola değiştirmesi gerekir Hesapları için yüksek riskli etkinlik algılanırsa, kullanıcıları oturum açarken parolalarını değiştirmeye zorlar. E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Veri koruması için uygulama koruma ilkeleri uygulama Platform başına bir Intune uygulama koruma ilkesi (Windows, iOS/iPadOS, Android). Microsoft 365 E3 veya E5
Onaylı uygulamalar ve uygulama koruma ilkeleri gerektirme iOS, iPadOS veya Android kullanarak telefonlar ve tabletler için mobil uygulama koruma ilkeleri uygular. Microsoft 365 E3 veya E5

Enterprise

Ilkesi Daha fazla bilgi Lisanslama
Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektirme MFA'nın yalnızca risk algılandığında gerekli olması için Microsoft Entra ID Koruması risk verilerini kullanma E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Cihaz uyumluluk ilkelerini tanımlama En düşük yapılandırma gereksinimlerini ayarlayın. Her platform için bir ilke. Microsoft 365 E3 veya E5
Uyumlu bilgisayarlar ve mobil cihazlar gerektirme Kuruluşunuza erişen cihazlar için yapılandırma gereksinimlerini uygular Microsoft 365 E3 veya E5

Özel güvenlik

Ilkesi Daha fazla bilgi Lisanslama
Her zaman MFA iste Kullanıcıların kuruluş hizmetlerinizde her oturum açtıklarında MFA gerçekleştirmesi gerekir Microsoft 365 E3 veya E5

Uygulama koruması ilkeleri

Uygulama koruması ilkeleri, izin verilen uygulamaları ve kuruluşunuzun verileriyle gerçekleştirebilecekleri eylemleri tanımlar. Birçok seçenek vardır ve bazıları için kafa karıştırıcı olabilir. Aşağıdaki temeller, Microsoft'un ihtiyaçlarınıza göre uyarlanabilecek önerilen yapılandırmalarıdır. İzlenecek üç şablon sunuyoruz, ancak çoğu kuruluşun 2. ve 3. düzeyleri seçeceğini düşünüyoruz.

Düzey 2 , başlangıç noktası veya kurumsal düzey güvenliği göz önünde bulundurduklarımız ile eşler, düzey 3 özel güvenlikle eşler.

  • Düzey 1 kurumsal temel veri koruması – Microsoft bu yapılandırmayı kurumsal bir cihaz için en düşük veri koruma yapılandırması olarak önerir.

  • Düzey 2 kurumsal gelişmiş veri koruması – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Denetimlerden bazıları kullanıcı deneyimini etkileyebilir.

  • Düzey 3 kurumsal yüksek veri koruması – Microsoft bu yapılandırmayı, daha büyük veya daha gelişmiş bir güvenlik ekibine sahip bir kuruluş tarafından çalıştırılan cihazlar için veya benzersiz olarak yüksek risk altındaki belirli kullanıcılar veya gruplar için (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar) önerir. İyi fonlanmış ve gelişmiş saldırganların hedef alma olasılığı yüksek olan bir kuruluş bu yapılandırmayı hedef almalıdır.

Uygulama koruma ilkeleri oluşturma

Veri koruma çerçevesi ayarlarını kullanarak Microsoft Intune içindeki her platform (iOS ve Android) için yeni bir uygulama koruma ilkesi oluşturun:

Cihaz uyumluluk ilkeleri

Intune cihaz uyumluluk ilkeleri, cihazların uyumlu olarak belirlenmesi için karşılaması gereken gereksinimleri tanımlar.

Her bilgisayar, telefon veya tablet platformu için bir ilke oluşturmanız gerekir. Bu makalede aşağıdaki platformlara yönelik öneriler ele alınacaktır:

Cihaz uyumluluk ilkeleri oluşturma

Cihaz uyumluluk ilkeleri oluşturmak için Microsoft Intune yönetim merkezinde oturum açın ve Cihaz>Uyumluluk ilkeleriİlkeleri'ne> gidin. İlke Oluştur'u seçin.

Intune'da uyumluluk ilkeleri oluşturmaya ilişkin adım adım yönergeler için bkz. Microsoft Intune'da uyumluluk ilkesi oluşturma.

iOS/iPadOS için kayıt ve uyumluluk ayarları

iOS/iPadOS, ikisi bu altyapının bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:

Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:

  • Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
  • Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Kişisel olarak kaydedilen cihazlar için uyumluluk ayarları
  • Kişisel temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
  • Kişisel gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini yürürlüğe koyar. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
  • Kişisel yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, bazı cihaz işlevlerini devre dışı bırakır ve ek veri aktarımı kısıtlamaları uygular.
Otomatik cihaz kaydı için uyumluluk ayarları
  • Denetimli temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği denetimli cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
  • Denetimli gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini yürürlüğe koyar ve USB cihazlarına erişimi engeller. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
  • Denetimli yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, bazı cihaz işlevlerini devre dışı bırakır, ek veri aktarımı kısıtlamaları uygular ve uygulamaların Apple'ın toplu satın alma programı aracılığıyla yüklenmesini gerektirir.

Android için kayıt ve uyumluluk ayarları

Android Enterprise, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:

  • Android Kurumsal iş profili – Bu kayıt modeli genellikle BT'nin iş ve kişisel veriler arasında net bir ayrım sınırı sağlamak istediği kişisel cihazlar için kullanılır. BT tarafından denetlenen ilkeler, iş verilerinin kişisel profile aktarılmamasını sağlar.
  • Android Kurumsal tam olarak yönetilen cihazlar – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.

Android Kurumsal güvenlik yapılandırma çerçevesi, iş profili ve tam olarak yönetilen senaryolar için rehberlik sağlayan birkaç farklı yapılandırma senaryosu halinde düzenlenmiştir.

Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:

  • Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
  • Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Android Kurumsal iş profili cihazları için uyumluluk ayarları
  • Kişisel iş profili cihazları için sağlanan ayarlar nedeniyle temel güvenlik (düzey 1) teklifi yoktur. Kullanılabilir ayarlar düzey 1 ile düzey 2 arasındaki farkı haklı çıkarmaz.
  • İş profili artırılmış güvenlik (Düzey 2)– Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma parola gereksinimlerini tanıtır, iş ve kişisel verileri ayırır ve Android cihaz kanıtlamasını doğrular.
  • İş profili yüksek güvenlik (Düzey 3) – Microsoft, benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma mobil tehdit savunmasını veya Uç Nokta için Microsoft Defender tanıtır, en düşük Android sürümünü ayarlar, daha güçlü parola ilkeleri oluşturur ve iş ile kişisel ayrımı daha da kısıtlar.
Android Kurumsal tam olarak yönetilen cihazlar için uyumluluk ayarları
  • Tam olarak yönetilen temel güvenlik (Düzey 1) – Microsoft bu yapılandırmayı kurumsal bir cihaz için en düşük güvenlik yapılandırması olarak önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Bu yapılandırma parola gereksinimlerini tanıtır, en düşük Android sürümünü ayarlar ve belirli cihaz kısıtlamalarını belirler.
  • Tam olarak yönetilen gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma daha güçlü parola ilkeleri oluşturur ve kullanıcı/hesap özelliklerini devre dışı bırakır.
  • Tam olarak yönetilen yüksek güvenlik (Düzey 3) - Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir. Bu kullanıcılar, yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olabileceği yüksek oranda hassas verileri işleyebilir. Bu yapılandırma en düşük Android sürümünü artırır, mobil tehdit savunması veya Uç Nokta için Microsoft Defender ekler ve ek cihaz kısıtlamaları uygular.

Aşağıdaki ayarlar, Windows 10 ve daha yeni cihazlar için uyumluluk ilkesi oluşturma işleminin2. Adımı: Uyumluluk ayarları'nda yapılandırılır. Bu ayarlar, Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkelerle uyumlu hale getirme.

Cihaz durumu > Windows Sistem Durumu Kanıtlama Hizmeti değerlendirme kuralları için bu tabloya bakın.

Özellik Değer
BitLocker gerektir Gerektirir
Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir Gerektirir
Kod bütünlüğü gerektir Gerektirir

Cihaz özellikleri için, BT ve güvenlik ilkelerinize göre işletim sistemi sürümleri için uygun değerleri belirtin.

Configuration Manager Uyumluluğu için, Configuration Manager ile birlikte yönetilen bir ortamdaysanız, Aksi takdirde gerektir'i, Yapılandırılmadı'yı seçin.

Sistem güvenliği için bu tabloya bakın.

Özellik Değer
Mobil cihazların kilidini açmak için parola iste Gerektirir
Basit parolalar Engelle
Parola türü Cihaz varsayılanı
En düşük parola uzunluğu 6
Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı 15 dakika
Parola süre sonu (gün) 41
Yeniden kullanımı önlemek için önceki parola sayısı 5
Cihaz boşta durumundan geri döndüğünde parola iste (Mobil ve Holografik) Gerektirir
Cihazda veri depolamanın şifrelenmesini gerektir Gerektirir
Güvenlik duvarı Gerektirir
Antivirus Gerektirir
Antispyware Gerektirir
Microsoft Defender Kötü Amaçlı Yazılımdan Koruma Gerektirir
kötü amaçlı yazılımdan koruma en düşük sürümünü Microsoft Defender Microsoft, en son sürümden en fazla beş geride kalan sürümleri önerir.
Kötü amaçlı yazılımdan koruma imzasını güncel Microsoft Defender Gerektirir
Gerçek zamanlı koruma Gerektirir

Uç Nokta için Microsoft Defender için

Özellik Değer
Cihazın makine riski puanında veya altında olmasını gerektir Orta

Koşullu Erişim ilkeleri

Intune'da uygulama koruma ve cihaz uyumluluk ilkeleriniz oluşturulduktan sonra Koşullu Erişim ilkeleriyle zorlamayı etkinleştirebilirsiniz.

Oturum açma riskine göre MFA gerektirme

Oturum açma riskine göre çok faktörlü kimlik doğrulaması gerektirecek bir ilke oluşturmak için Ortak Koşullu Erişim ilkesi: Oturum açma riski tabanlı çok faktörlü kimlik doğrulaması makalesindeki yönergeleri izleyin.

İlkenizi yapılandırırken aşağıdaki risk düzeylerini kullanın.

Koruma düzeyi Gerekli risk düzeyi değerleri Eylem
Başlangıç noktası Yüksek, orta İkisini de kontrol edin.
Enterprise Yüksek, orta, düşük Üçünü de kontrol edin.

Çok faktörlü kimlik doğrulamasını desteklemeyen istemcileri engelleme

Ortak Koşullu Erişim ilkesi: Eski kimlik doğrulamasını engellemek için eski kimlik doğrulamasını engelle makalesindeki yönergeleri izleyin.

Yüksek riskli kullanıcıların parola değiştirmesi gerekir

Güvenliği aşılmış kimlik bilgilerine sahip kullanıcıların parolalarını değiştirmelerini gerektirmek için Ortak Koşullu Erişim ilkesi: Kullanıcı risk tabanlı parola değişikliği makalesindeki yönergeleri izleyin.

Kuruluşunuza özgü terimlere ek olarak bilinen zayıf parolaları ve bunların çeşitlerini algılayan ve engelleyen Microsoft Entra parola koruması ile birlikte bu ilkeyi kullanın. parola korumasının Microsoft Entra kullanılması, değiştirilen parolaların daha güçlü olmasını sağlar.

Onaylı uygulamalar ve uygulama koruma ilkeleri gerektirme

Intune'da oluşturulan uygulama koruma ilkelerini zorunlu kılmak için bir Koşullu Erişim ilkesi oluşturmanız gerekir. Uygulama koruma ilkelerini zorunlu tutma, Koşullu Erişim ilkesi ve buna karşılık gelen bir uygulama koruma ilkesi gerektirir.

Onaylı uygulamalar ve APP koruması gerektiren bir Koşullu Erişim ilkesi oluşturmak için, Mobil cihazlarla onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme bölümünde yer alan adımları izleyin. Bu ilke yalnızca uygulama koruma ilkeleri tarafından korunan mobil uygulamalardaki hesapların Microsoft 365 uç noktalarına erişmesine izin verir.

iOS ve Android cihazlardaki diğer istemci uygulamaları için eski kimlik doğrulamasını engellemek, bu istemcilerin Koşullu Erişim ilkelerini atlamamasını sağlar. Bu makaledeki yönergeleri izliyorsanız, modern kimlik doğrulamasını desteklemeyen Blok istemcilerini zaten yapılandırmışsınız demektir.

Uyumlu bilgisayarlar ve mobil cihazlar gerektirme

Aşağıdaki adımlar, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesini gerektiren bir Koşullu Erişim ilkesi oluşturmanıza yardımcı olur.

Dikkat

Bu ilkeyi etkinleştirmeden önce cihazınızın uyumlu olduğundan emin olun. Aksi takdirde, kullanıcı hesabınız Koşullu Erişim dışlama grubuna eklenene kadar kilitlenebilir ve bu ilkeyi değiştiremezsiniz.

  1. Azure portalda oturum açın.
  2. Microsoft Entra ID>Güvenlik>Koşullu Erişim'e gidin.
  3. Yeni ilke'yi seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.
    1. Ekle'nin altında Tüm kullanıcılar'ı seçin.
    2. Dışla'nın altındaKullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran kıran hesapları seçin.
  6. Bulut uygulamaları veya eylemler>Ekle'nin altında Tüm bulut uygulamaları'nı seçin.
    1. Belirli uygulamaları ilkenizin dışında tutmanız gerekiyorsa Dışlanan bulut uygulamalarını seçin'in altındaki Dışla sekmesinden bunları seçebilir ve Seç'i seçebilirsiniz.
  7. Erişim altında İzin Ver'i denetler>.
    1. Cihazın uyumlu olarak işaretlenmesini gerektir'i seçin.
    2. Seç'i seçin.
  8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'iAçık olarak ayarlayın.
  9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Not

İlkenizdeki Tüm kullanıcılar ve Tüm bulut uygulamaları için cihazın uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini gerektirme, Intune kaydını ve Microsoft Intune Web Şirket Portalı uygulamasına erişimi engellemez.

Abonelik etkinleştirme

Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan kuruluşlar, Evrensel Mağaza Hizmeti API'lerini ve AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.

Her zaman MFA iste

Ortak Koşullu Erişim ilkesi: Özel güvenlik düzeyi kullanıcılarınızın her zaman çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektirmesi için tüm kullanıcıların MFA gerektirmesi makalesindeki yönergeleri izleyin.

Uyarı

İlkenizi yapılandırırken, özel güvenlik gerektiren grubu seçin ve Tüm kullanıcılar'ı seçmek yerine bunu kullanın.

Sonraki adımlar

3. Adım: Konuk ve dış kullanıcılar için ilkeler.

Konuk ve dış kullanıcılar için ilke önerileri hakkında bilgi edinin