Microsoft 365 kuruluşları için ortak güvenlik ilkeleri
Kuruluşların, kuruluşları için Microsoft 365'i dağıtırken endişelenmesi gereken çok şey vardır. Bu makalede başvuruda bulunan Koşullu Erişim, uygulama koruma ve cihaz uyumluluk ilkeleri, Microsoft'un önerilerine ve Sıfır Güven üç yol gösteren ilkeye dayanır:
- Açıkça doğrula
- En az ayrıcalık kullan
- İhlal varsay
Kuruluşlar bu ilkeleri olduğu gibi alabilir veya ihtiyaçlarına uyacak şekilde özelleştirebilir. Mümkünse, üretim kullanıcılarınıza dağıtmadan önce ilkelerinizi üretim dışı bir ortamda test edin. Test, olası etkileri belirlemek ve kullanıcılarınıza iletmek için kritik öneme sahiptir.
Bu ilkeleri, dağıtım yolculuğunuzda olduğunuz yere bağlı olarak üç koruma düzeyi halinde gruplandırıyoruz:
- Başlangıç noktası - Çok faktörlü kimlik doğrulaması, güvenli parola değişiklikleri ve uygulama koruma ilkeleri getiren temel denetimler.
- Kurumsal - Cihaz uyumluluğu sağlayan gelişmiş denetimler.
- Özelleştirilmiş güvenlik - Belirli veri kümeleri veya kullanıcılar için her seferinde çok faktörlü kimlik doğrulaması gerektiren ilkeler.
Aşağıdaki diyagramda, her ilkenin hangi koruma düzeyi için geçerli olduğu ve ilkelerin bilgisayarlar, telefonlar ve tabletler ya da her iki cihaz kategorisi için de geçerli olup olmadığı gösterilmektedir.
Bu diyagramı PDF dosyası olarak indirebilirsiniz.
İpucu
Cihazın hedeflenen kullanıcıya sahip olduğundan emin olmak için cihazları Intune'a kaydetmeden önce çok faktörlü kimlik doğrulaması (MFA) kullanılması önerilir. Cihaz uyumluluk ilkelerini zorunlu kılmadan önce cihazları Intune'a kaydetmeniz gerekir.
Önkoşullar
İzinler
- Koşullu Erişim ilkelerini yönetecek kullanıcıların Azure portal Koşullu Erişim Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici olarak oturum açabilmesi gerekir.
- Uygulama koruma ve cihaz uyumluluk ilkelerini yönetecek kullanıcıların Intune'da Intune Yöneticisi veya Genel Yönetici olarak oturum açabilmesi gerekir.
- Yalnızca yapılandırmaları görüntülemesi gereken kullanıcılara Güvenlik Okuyucusu veya Genel Okuyucu rolleri atanabilir.
Roller ve izinler hakkında daha fazla bilgi için yerleşik roller Microsoft Entra makalesine bakın.
Kullanıcı kaydı
Kullanıcılarınızın kullanımını gerektirmeden önce çok faktörlü kimlik doğrulamasına kaydolun. Microsoft Entra ID P2 içeren lisanslarınız varsa, kullanıcıların kaydolmasını istemek için Microsoft Entra ID Koruması içindeki MFA kayıt ilkesini kullanabilirsiniz. Kaydı yükseltmek için indirebileceğiniz ve özelleştirebileceğiniz iletişim şablonları sağlıyoruz.
Gruplar
Bu önerilerin bir parçası olarak kullanılan tüm Microsoft Entra grupları Güvenlik grubu olarak değilMicrosoft 365 grubu olarak oluşturulmalıdır. Bu gereksinim, daha sonra Microsoft Teams ve SharePoint'te belgelerin güvenliğini sağlarken duyarlılık etiketlerinin dağıtımı için önemlidir. Daha fazla bilgi için Microsoft Entra ID'de gruplar ve erişim hakları hakkında bilgi edinme makalesine bakın
İlke atama
Koşullu Erişim ilkeleri kullanıcılara, gruplara ve yönetici rollerine atanabilir. Intune uygulama koruma ve cihaz uyumluluk ilkeleri yalnızca gruplara atanabilir. İlkelerinizi yapılandırmadan önce kimlerin dahil edilmesi ve dışlanması gerektiğini belirlemeniz gerekir. Genellikle başlangıç noktası koruma düzeyi ilkeleri kuruluştaki herkes için geçerlidir.
Aşağıda, kullanıcılarınız kullanıcı kaydını tamamladıktan sonra MFA gerektirmeye yönelik grup ataması ve dışlama örnekleri verilmiştir.
koşullu erişim ilkesini Microsoft Entra | Içerir | Dışlamak | |
---|---|---|---|
Başlangıç noktası | Orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme | Tüm kullanıcılar |
|
Enterprise | Düşük, orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme | Yönetici personel grubu |
|
Özel güvenlik | Her zaman çok faktörlü kimlik doğrulaması iste | En Gizli Proje Buckeye grubu |
|
Gruplara ve kullanıcılara daha yüksek koruma düzeyleri uygularken dikkatli olun. Güvenliğin amacı, kullanıcı deneyimine gereksiz sürtüşmeler eklemek değildir . Örneğin, Çok Gizli Proje Buckeye grubunun üyelerinin, projelerinin özel güvenlik içeriği üzerinde çalışmasalar bile her oturum açtıklarında MFA kullanmaları gerekir. Aşırı güvenlik sürtüşmeleri yorgunluğa yol açabilir.
Belirli güvenlik denetimleri tarafından oluşturulan bazı çakışmaları azaltmak için İş İçin Windows Hello veya FIDO2 güvenlik anahtarları gibi parolasız kimlik doğrulama yöntemlerini etkinleştirmeyi düşünebilirsiniz.
Acil durum erişim hesapları
Tüm kuruluşların kullanım için izlenen ve ilkelerden dışlanan en az bir acil durum erişim hesabı olmalıdır. Bu hesaplar yalnızca diğer tüm yönetici hesaplarının ve kimlik doğrulama yöntemlerinin kilitlenmesi veya başka bir şekilde kullanılamaz duruma gelmesi durumunda kullanılır. Acil durum erişim hesaplarını Microsoft Entra ID yönetme makalesinde daha fazla bilgi bulabilirsiniz.
Dışlamalar
Önerilen bir uygulama, Koşullu Erişim dışlamaları için bir Microsoft Entra grubu oluşturmaktır. Bu grup, siz erişim sorunlarını giderirken kullanıcıya erişim sağlamak için size bir araç sağlar.
Uyarı
Bu grubun yalnızca geçici bir çözüm olarak kullanılması önerilir. Değişiklikler için bu grubu sürekli izleyin ve denetleyin ve dışlama grubunun yalnızca amaçlandığı gibi kullanıldığından emin olun.
Bu dışlama grubunu mevcut ilkelere eklemek için:
- Azure portal Koşullu Erişim Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici olarak oturum açın.
- Microsoft Entra ID>Güvenlik>Koşullu Erişim'e gidin.
- Mevcut bir ilkeyi seçin.
- Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.
- Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya tam erişim hesapları ile Koşullu Erişim dışlama grubunu seçin.
Dağıtım
Başlangıç noktası ilkelerini bu tabloda listelenen sırayla uygulamanızı öneririz. Ancak , kurumsal ve özel güvenlik koruma düzeyleri için MFA ilkeleri her zaman uygulanabilir.
Başlangıç noktası
Ilkesi | Daha fazla bilgi | Lisanslama |
---|---|---|
Oturum açma riski orta veya yüksek olduğunda MFA gerektirme | MFA'nın yalnızca risk algılandığında gerekli olması için Microsoft Entra ID Koruması risk verilerini kullanma | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme | Modern kimlik doğrulaması kullanmayan istemciler Koşullu Erişim ilkelerini atlayabilir, bu nedenle bunları engellemek önemlidir. | Microsoft 365 E3 veya E5 |
Yüksek riskli kullanıcıların parola değiştirmesi gerekir | Hesapları için yüksek riskli etkinlik algılanırsa, kullanıcıları oturum açarken parolalarını değiştirmeye zorlar. | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
Veri koruması için uygulama koruma ilkeleri uygulama | Platform başına bir Intune uygulama koruma ilkesi (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 veya E5 |
Onaylı uygulamalar ve uygulama koruma ilkeleri gerektirme | iOS, iPadOS veya Android kullanarak telefonlar ve tabletler için mobil uygulama koruma ilkeleri uygular. | Microsoft 365 E3 veya E5 |
Enterprise
Ilkesi | Daha fazla bilgi | Lisanslama |
---|---|---|
Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektirme | MFA'nın yalnızca risk algılandığında gerekli olması için Microsoft Entra ID Koruması risk verilerini kullanma | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
Cihaz uyumluluk ilkelerini tanımlama | En düşük yapılandırma gereksinimlerini ayarlayın. Her platform için bir ilke. | Microsoft 365 E3 veya E5 |
Uyumlu bilgisayarlar ve mobil cihazlar gerektirme | Kuruluşunuza erişen cihazlar için yapılandırma gereksinimlerini uygular | Microsoft 365 E3 veya E5 |
Özel güvenlik
Ilkesi | Daha fazla bilgi | Lisanslama |
---|---|---|
Her zaman MFA iste | Kullanıcıların kuruluş hizmetlerinizde her oturum açtıklarında MFA gerçekleştirmesi gerekir | Microsoft 365 E3 veya E5 |
Uygulama koruması ilkeleri
Uygulama koruması ilkeleri, izin verilen uygulamaları ve kuruluşunuzun verileriyle gerçekleştirebilecekleri eylemleri tanımlar. Birçok seçenek vardır ve bazıları için kafa karıştırıcı olabilir. Aşağıdaki temeller, Microsoft'un ihtiyaçlarınıza göre uyarlanabilecek önerilen yapılandırmalarıdır. İzlenecek üç şablon sunuyoruz, ancak çoğu kuruluşun 2. ve 3. düzeyleri seçeceğini düşünüyoruz.
Düzey 2 , başlangıç noktası veya kurumsal düzey güvenliği göz önünde bulundurduklarımız ile eşler, düzey 3 özel güvenlikle eşler.
Düzey 1 kurumsal temel veri koruması – Microsoft bu yapılandırmayı kurumsal bir cihaz için en düşük veri koruma yapılandırması olarak önerir.
Düzey 2 kurumsal gelişmiş veri koruması – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Denetimlerden bazıları kullanıcı deneyimini etkileyebilir.
Düzey 3 kurumsal yüksek veri koruması – Microsoft bu yapılandırmayı, daha büyük veya daha gelişmiş bir güvenlik ekibine sahip bir kuruluş tarafından çalıştırılan cihazlar için veya benzersiz olarak yüksek risk altındaki belirli kullanıcılar veya gruplar için (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar) önerir. İyi fonlanmış ve gelişmiş saldırganların hedef alma olasılığı yüksek olan bir kuruluş bu yapılandırmayı hedef almalıdır.
Uygulama koruma ilkeleri oluşturma
Veri koruma çerçevesi ayarlarını kullanarak Microsoft Intune içindeki her platform (iOS ve Android) için yeni bir uygulama koruma ilkesi oluşturun:
- Microsoft Intune ile uygulama koruma ilkeleri oluşturma ve dağıtma bölümündeki adımları izleyerek ilkeleri el ile oluşturun.
- Intune'un PowerShell betikleriyle örnek Intune Uygulama Koruma İlkesi Yapılandırma Çerçevesi JSON şablonlarını içeri aktarın.
Cihaz uyumluluk ilkeleri
Intune cihaz uyumluluk ilkeleri, cihazların uyumlu olarak belirlenmesi için karşılaması gereken gereksinimleri tanımlar.
Her bilgisayar, telefon veya tablet platformu için bir ilke oluşturmanız gerekir. Bu makalede aşağıdaki platformlara yönelik öneriler ele alınacaktır:
Cihaz uyumluluk ilkeleri oluşturma
Cihaz uyumluluk ilkeleri oluşturmak için Microsoft Intune yönetim merkezinde oturum açın ve Cihaz>Uyumluluk ilkeleriİlkeleri'ne> gidin. İlke Oluştur'u seçin.
Intune'da uyumluluk ilkeleri oluşturmaya ilişkin adım adım yönergeler için bkz. Microsoft Intune'da uyumluluk ilkesi oluşturma.
iOS/iPadOS için kayıt ve uyumluluk ayarları
iOS/iPadOS, ikisi bu altyapının bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:
- Kişisel cihazlar için cihaz kaydı – bu cihazlar kişiseldir ve hem iş hem de kişisel kullanım için kullanılır.
- Şirkete ait cihazlar için otomatik cihaz kaydı – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.
Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:
- Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
- Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Kişisel olarak kaydedilen cihazlar için uyumluluk ayarları
- Kişisel temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
- Kişisel gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini yürürlüğe koyar. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
- Kişisel yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, bazı cihaz işlevlerini devre dışı bırakır ve ek veri aktarımı kısıtlamaları uygular.
Otomatik cihaz kaydı için uyumluluk ayarları
- Denetimli temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği denetimli cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
- Denetimli gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini yürürlüğe koyar ve USB cihazlarına erişimi engeller. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
- Denetimli yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, bazı cihaz işlevlerini devre dışı bırakır, ek veri aktarımı kısıtlamaları uygular ve uygulamaların Apple'ın toplu satın alma programı aracılığıyla yüklenmesini gerektirir.
Android için kayıt ve uyumluluk ayarları
Android Enterprise, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:
- Android Kurumsal iş profili – Bu kayıt modeli genellikle BT'nin iş ve kişisel veriler arasında net bir ayrım sınırı sağlamak istediği kişisel cihazlar için kullanılır. BT tarafından denetlenen ilkeler, iş verilerinin kişisel profile aktarılmamasını sağlar.
- Android Kurumsal tam olarak yönetilen cihazlar – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.
Android Kurumsal güvenlik yapılandırma çerçevesi, iş profili ve tam olarak yönetilen senaryolar için rehberlik sağlayan birkaç farklı yapılandırma senaryosu halinde düzenlenmiştir.
Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:
- Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
- Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Android Kurumsal iş profili cihazları için uyumluluk ayarları
- Kişisel iş profili cihazları için sağlanan ayarlar nedeniyle temel güvenlik (düzey 1) teklifi yoktur. Kullanılabilir ayarlar düzey 1 ile düzey 2 arasındaki farkı haklı çıkarmaz.
- İş profili artırılmış güvenlik (Düzey 2)– Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma parola gereksinimlerini tanıtır, iş ve kişisel verileri ayırır ve Android cihaz kanıtlamasını doğrular.
- İş profili yüksek güvenlik (Düzey 3) – Microsoft, benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu yüksek oranda hassas verileri işleyen kullanıcılar). Bu yapılandırma mobil tehdit savunmasını veya Uç Nokta için Microsoft Defender tanıtır, en düşük Android sürümünü ayarlar, daha güçlü parola ilkeleri oluşturur ve iş ile kişisel ayrımı daha da kısıtlar.
Android Kurumsal tam olarak yönetilen cihazlar için uyumluluk ayarları
- Tam olarak yönetilen temel güvenlik (Düzey 1) – Microsoft bu yapılandırmayı kurumsal bir cihaz için en düşük güvenlik yapılandırması olarak önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Bu yapılandırma parola gereksinimlerini tanıtır, en düşük Android sürümünü ayarlar ve belirli cihaz kısıtlamalarını belirler.
- Tam olarak yönetilen gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma daha güçlü parola ilkeleri oluşturur ve kullanıcı/hesap özelliklerini devre dışı bırakır.
- Tam olarak yönetilen yüksek güvenlik (Düzey 3) - Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir. Bu kullanıcılar, yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olabileceği yüksek oranda hassas verileri işleyebilir. Bu yapılandırma en düşük Android sürümünü artırır, mobil tehdit savunması veya Uç Nokta için Microsoft Defender ekler ve ek cihaz kısıtlamaları uygular.
Windows 10 ve üzeri için önerilen uyumluluk ayarları
Aşağıdaki ayarlar, Windows 10 ve daha yeni cihazlar için uyumluluk ilkesi oluşturma işleminin2. Adımı: Uyumluluk ayarları'nda yapılandırılır. Bu ayarlar, Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkelerle uyumlu hale getirme.
Cihaz durumu > Windows Sistem Durumu Kanıtlama Hizmeti değerlendirme kuralları için bu tabloya bakın.
Özellik | Değer |
---|---|
BitLocker gerektir | Gerektirir |
Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir | Gerektirir |
Kod bütünlüğü gerektir | Gerektirir |
Cihaz özellikleri için, BT ve güvenlik ilkelerinize göre işletim sistemi sürümleri için uygun değerleri belirtin.
Configuration Manager Uyumluluğu için, Configuration Manager ile birlikte yönetilen bir ortamdaysanız, Aksi takdirde gerektir'i, Yapılandırılmadı'yı seçin.
Sistem güvenliği için bu tabloya bakın.
Özellik | Değer |
---|---|
Mobil cihazların kilidini açmak için parola iste | Gerektirir |
Basit parolalar | Engelle |
Parola türü | Cihaz varsayılanı |
En düşük parola uzunluğu | 6 |
Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı | 15 dakika |
Parola süre sonu (gün) | 41 |
Yeniden kullanımı önlemek için önceki parola sayısı | 5 |
Cihaz boşta durumundan geri döndüğünde parola iste (Mobil ve Holografik) | Gerektirir |
Cihazda veri depolamanın şifrelenmesini gerektir | Gerektirir |
Güvenlik duvarı | Gerektirir |
Antivirus | Gerektirir |
Antispyware | Gerektirir |
Microsoft Defender Kötü Amaçlı Yazılımdan Koruma | Gerektirir |
kötü amaçlı yazılımdan koruma en düşük sürümünü Microsoft Defender | Microsoft, en son sürümden en fazla beş geride kalan sürümleri önerir. |
Kötü amaçlı yazılımdan koruma imzasını güncel Microsoft Defender | Gerektirir |
Gerçek zamanlı koruma | Gerektirir |
Uç Nokta için Microsoft Defender için
Özellik | Değer |
---|---|
Cihazın makine riski puanında veya altında olmasını gerektir | Orta |
Koşullu Erişim ilkeleri
Intune'da uygulama koruma ve cihaz uyumluluk ilkeleriniz oluşturulduktan sonra Koşullu Erişim ilkeleriyle zorlamayı etkinleştirebilirsiniz.
Oturum açma riskine göre MFA gerektirme
Oturum açma riskine göre çok faktörlü kimlik doğrulaması gerektirecek bir ilke oluşturmak için Ortak Koşullu Erişim ilkesi: Oturum açma riski tabanlı çok faktörlü kimlik doğrulaması makalesindeki yönergeleri izleyin.
İlkenizi yapılandırırken aşağıdaki risk düzeylerini kullanın.
Koruma düzeyi | Gerekli risk düzeyi değerleri | Eylem |
---|---|---|
Başlangıç noktası | Yüksek, orta | İkisini de kontrol edin. |
Enterprise | Yüksek, orta, düşük | Üçünü de kontrol edin. |
Çok faktörlü kimlik doğrulamasını desteklemeyen istemcileri engelleme
Ortak Koşullu Erişim ilkesi: Eski kimlik doğrulamasını engellemek için eski kimlik doğrulamasını engelle makalesindeki yönergeleri izleyin.
Yüksek riskli kullanıcıların parola değiştirmesi gerekir
Güvenliği aşılmış kimlik bilgilerine sahip kullanıcıların parolalarını değiştirmelerini gerektirmek için Ortak Koşullu Erişim ilkesi: Kullanıcı risk tabanlı parola değişikliği makalesindeki yönergeleri izleyin.
Kuruluşunuza özgü terimlere ek olarak bilinen zayıf parolaları ve bunların çeşitlerini algılayan ve engelleyen Microsoft Entra parola koruması ile birlikte bu ilkeyi kullanın. parola korumasının Microsoft Entra kullanılması, değiştirilen parolaların daha güçlü olmasını sağlar.
Onaylı uygulamalar ve uygulama koruma ilkeleri gerektirme
Intune'da oluşturulan uygulama koruma ilkelerini zorunlu kılmak için bir Koşullu Erişim ilkesi oluşturmanız gerekir. Uygulama koruma ilkelerini zorunlu tutma, Koşullu Erişim ilkesi ve buna karşılık gelen bir uygulama koruma ilkesi gerektirir.
Onaylı uygulamalar ve APP koruması gerektiren bir Koşullu Erişim ilkesi oluşturmak için, Mobil cihazlarla onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme bölümünde yer alan adımları izleyin. Bu ilke yalnızca uygulama koruma ilkeleri tarafından korunan mobil uygulamalardaki hesapların Microsoft 365 uç noktalarına erişmesine izin verir.
iOS ve Android cihazlardaki diğer istemci uygulamaları için eski kimlik doğrulamasını engellemek, bu istemcilerin Koşullu Erişim ilkelerini atlamamasını sağlar. Bu makaledeki yönergeleri izliyorsanız, modern kimlik doğrulamasını desteklemeyen Blok istemcilerini zaten yapılandırmışsınız demektir.
Uyumlu bilgisayarlar ve mobil cihazlar gerektirme
Aşağıdaki adımlar, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesini gerektiren bir Koşullu Erişim ilkesi oluşturmanıza yardımcı olur.
Dikkat
Bu ilkeyi etkinleştirmeden önce cihazınızın uyumlu olduğundan emin olun. Aksi takdirde, kullanıcı hesabınız Koşullu Erişim dışlama grubuna eklenene kadar kilitlenebilir ve bu ilkeyi değiştiremezsiniz.
- Azure portalda oturum açın.
- Microsoft Entra ID>Güvenlik>Koşullu Erişim'e gidin.
- Yeni ilke'yi seçin.
- İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
- Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.
- Ekle'nin altında Tüm kullanıcılar'ı seçin.
- Dışla'nın altındaKullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran kıran hesapları seçin.
- Bulut uygulamaları veya eylemler>Ekle'nin altında Tüm bulut uygulamaları'nı seçin.
- Belirli uygulamaları ilkenizin dışında tutmanız gerekiyorsa Dışlanan bulut uygulamalarını seçin'in altındaki Dışla sekmesinden bunları seçebilir ve Seç'i seçebilirsiniz.
- Erişim altında İzin Ver'i denetler>.
- Cihazın uyumlu olarak işaretlenmesini gerektir'i seçin.
- Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'iAçık olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Not
İlkenizdeki Tüm kullanıcılar ve Tüm bulut uygulamaları için cihazın uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini gerektirme, Intune kaydını ve Microsoft Intune Web Şirket Portalı uygulamasına erişimi engellemez.
Abonelik etkinleştirme
Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan kuruluşlar, Evrensel Mağaza Hizmeti API'lerini ve AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.
Her zaman MFA iste
Ortak Koşullu Erişim ilkesi: Özel güvenlik düzeyi kullanıcılarınızın her zaman çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektirmesi için tüm kullanıcıların MFA gerektirmesi makalesindeki yönergeleri izleyin.
Uyarı
İlkenizi yapılandırırken, özel güvenlik gerektiren grubu seçin ve Tüm kullanıcılar'ı seçmek yerine bunu kullanın.
Sonraki adımlar
Konuk ve dış kullanıcılar için ilke önerileri hakkında bilgi edinin
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin