Microsoft 365 kuruluşları için ortak güvenlik ilkeleri
Kuruluşların, kuruluşları için Microsoft 365'i dağıtırken endişelenmesi gereken çok şey vardır. Bu makalede başvuruda bulunan Koşullu Erişim, uygulama koruma ve cihaz uyumluluk ilkeleri, Microsoft'un önerilerine ve Sıfır Güven üç yol gösteren ilkeye dayanır:
- Açıkça doğrula
- En az ayrıcalık kullan
- İhlal varsay
Kuruluşlar bu ilkeleri olduğu gibi alabilir veya ihtiyaçlarına uyacak şekilde özelleştirebilir. Mümkünse, üretim kullanıcılarınıza dağıtmadan önce ilkelerinizi üretim dışı bir ortamda test edin. Test, kullanıcılarınıza olası etkileri belirlemek ve iletmek için kritik öneme sahiptir.
Bu ilkeleri, dağıtım yolculuğunuzda olduğunuz yere bağlı olarak üç koruma düzeyi halinde gruplandırıyoruz:
- Başlangıç noktası - Çok faktörlü kimlik doğrulaması, güvenli parola değişiklikleri ve uygulama koruma ilkeleri sağlayan temel denetimler.
- Kurumsal - Cihaz uyumluluğu sağlayan gelişmiş denetimler.
- Özel güvenlik - Belirli veri kümeleri veya kullanıcılar için her seferinde çok faktörlü kimlik doğrulaması gerektiren ilkeler.
Aşağıdaki diyagramda, her ilkenin hangi koruma düzeyine uygulandığı ve ilkelerin bilgisayarlar, telefonlar ve tabletler ya da her iki cihaz kategorisi için geçerli olup olmadığı gösterilmektedir.
Bu diyagramı PDF dosyası olarak indirebilirsiniz.
İpucu
Cihazın istenen kullanıcıya sahip olduğundan emin olmak için, cihazları Intune'a kaydetmeden önce çok faktörlü kimlik doğrulaması (MFA) kullanılması önerilir. Cihaz uyumluluk ilkelerini zorunlu kılmadan önce cihazları Intune'a kaydetmeniz gerekir.
Önkoşullar
İzinler
- Koşullu Erişim ilkelerini yönetecek kullanıcıların Azure portalında en az Koşullu Erişim Yöneticisi olarak oturum açabilmesi gerekir.
- Uygulama koruma ve cihaz uyumluluk ilkelerini yönetecek kullanıcıların Intune'da en az bir Intune Yöneticisi olarak oturum açabilmesi gerekir.
- Yalnızca yapılandırmaları görüntülemesi gereken kullanıcılara Güvenlik Okuyucusu veya Genel Okuyucu rolleri atanabilir.
Roller ve izinler hakkında daha fazla bilgi için Microsoft Entra yerleşik rolleri makalesine bakın.
Kullanıcı kaydı
Kullanıcılarınızın kullanımını gerektirmeden önce çok faktörlü kimlik doğrulamasına kaydoldığından emin olun. Microsoft Entra Id P2'yi içeren lisanslarınız varsa, kullanıcıların kaydolmasını istemek için Microsoft Entra Kimlik Koruması içinde MFA kayıt ilkesini kullanabilirsiniz. Kaydı yükseltmek için iletişim şablonları sağlıyoruz, indirip özelleştirebilirsiniz.
Gruplar
Bu önerilerin bir parçası olarak kullanılan tüm Microsoft Entra grupları, Güvenlik grubu değil Microsoft 365 grubu olarak oluşturulmalıdır. Bu gereksinim, daha sonra Microsoft Teams ve SharePoint'te belgelerin güvenliğini sağlarken duyarlılık etiketlerinin dağıtımı için önemlidir. Daha fazla bilgi için Microsoft Entra Id'de gruplar ve erişim hakları hakkında bilgi edinme makalesine bakın
İlke atama
Koşullu Erişim ilkeleri kullanıcılara, gruplara ve yönetici rollerine atanabilir. Intune uygulama koruma ve cihaz uyumluluk ilkeleri yalnızca gruplara atanabilir. İlkelerinizi yapılandırmadan önce, kimlerin dahil edilmesi ve dışlanması gerektiğini belirlemeniz gerekir. Genellikle, başlangıç noktası koruma düzeyi ilkeleri kuruluştaki herkes için geçerlidir.
Aşağıda, kullanıcılarınız kullanıcı kaydını tamamladıktan sonra MFA gerektirmeye yönelik bir grup ataması ve dışlama örneği verilmiştir.
| Microsoft Entra Koşullu Erişim ilkesi | Ekle | Hariç tut | |
|---|---|---|---|
| Başlangıç noktası | Orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme | Tüm kullanıcılar |
|
| Kurumsal | Düşük, orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme | Yönetici personel grubu |
|
| Özel güvenlik | Çok faktörlü kimlik doğrulamasını her zaman gerektir | Çok Gizli Proje Buckeye grubu |
|
Gruplara ve kullanıcılara daha yüksek koruma düzeyleri uygularken dikkatli olun. Güvenliğin amacı, kullanıcı deneyimine gereksiz sürtüşmeler eklemek değildir. Örneğin, Çok Gizli Proje Buckeye grubunun üyelerinin, projelerinin özel güvenlik içeriği üzerinde çalışmasalar bile her oturum açtıklarında MFA kullanmaları gerekir. Aşırı güvenlik sürtüşmeleri yorgunluğa yol açabilir.
Belirli güvenlik denetimleri tarafından oluşturulan bazı çakışmaları azaltmak için İş İçin Windows Hello veya FIDO2 güvenlik anahtarları gibi parolasız kimlik doğrulama yöntemlerini etkinleştirmeyi düşünebilirsiniz.
Acil durum erişim hesapları
Tüm kuruluşların kullanım için izlenen ve ilkelerden dışlanan en az bir acil durum erişim hesabı olmalıdır. Bu hesaplar yalnızca diğer tüm yönetici hesaplarının ve kimlik doğrulama yöntemlerinin kilitlenmesi veya başka bir şekilde kullanılamaz duruma gelmesi durumunda kullanılır. Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
Hariç tutulanlar
Önerilen bir uygulama, Koşullu Erişim dışlamaları için bir Microsoft Entra grubu oluşturmaktır. Bu grup, siz erişim sorunlarını giderirken kullanıcıya erişim sağlamak için size bir araç sağlar.
Uyarı
Bu grubun yalnızca geçici bir çözüm olarak kullanılması önerilir. Değişiklikler için bu grubu sürekli izleyin ve denetleyin ve dışlama grubunun yalnızca amaçlandığı gibi kullanıldığından emin olun.
Bu dışlama grubunu mevcut ilkelere eklemek için:
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim'e göz atın.
- Mevcut bir ilkeyi seçin.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
- Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya kesme hesapları ile Koşullu Erişim dışlama grubunu seçin.
Dağıtım
Başlangıç noktası ilkelerini bu tabloda listelenen sırayla uygulamanızı öneririz. Ancak, kurumsal ve özel güvenlik koruma düzeyleri için MFA ilkeleri istediğiniz zaman uygulanabilir.
Başlangıç noktası
| İlke | Daha Fazla Bilgi | Lisanslama |
|---|---|---|
| Oturum açma riski orta veya yüksek olduğunda MFA gerektir | MFA'nın yalnızca risk algılandığında gerekli olmasını sağlamak için Microsoft Entra Kimlik Koruması risk verilerini kullanın | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
| Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme | Modern kimlik doğrulaması kullanmayan istemciler Koşullu Erişim ilkelerini atlayabilir, bu nedenle bunları engellemek önemlidir. | Microsoft 365 E3 veya E5 |
| Yüksek riskli kullanıcıların parola değiştirmesi gerekir | Hesapları için yüksek riskli etkinlik algılanırsa, kullanıcıları oturum açarken parolalarını değiştirmeye zorlar. | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
| Veri koruması için uygulama koruma ilkeleri uygulama | Platform başına bir Intune uygulama koruma ilkesi (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 veya E5 |
| Onaylı uygulamalar ve uygulama koruma ilkeleri gerektir | iOS, iPadOS veya Android kullanarak telefonlar ve tabletler için mobil uygulama koruma ilkelerini zorunlu kılar. | Microsoft 365 E3 veya E5 |
Kurumsal
| İlke | Daha Fazla Bilgi | Lisanslama |
|---|---|---|
| Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektir | MFA'nın yalnızca risk algılandığında gerekli olmasını sağlamak için Microsoft Entra Kimlik Koruması risk verilerini kullanın | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 |
| Cihaz uyumluluk ilkelerini tanımlama | En düşük yapılandırma gereksinimlerini ayarlayın. Her platform için bir ilke. | Microsoft 365 E3 veya E5 |
| Uyumlu bilgisayarlar ve mobil cihazlar gerektir | Kuruluşunuza erişen cihazlar için yapılandırma gereksinimlerini uygular | Microsoft 365 E3 veya E5 |
Özel güvenlik
| İlke | Daha Fazla Bilgi | Lisanslama |
|---|---|---|
| Her zaman MFA iste | Kullanıcıların kuruluş hizmetlerinizde her oturum açtıklarında MFA gerçekleştirmesi gerekir | Microsoft 365 E3 veya E5 |
Uygulama koruması ilkeleri
Uygulama koruması ilkeleri, izin verilen uygulamaları ve kuruluşunuzun verileriyle gerçekleştirebilecekleri eylemleri tanımlar. Birçok seçenek vardır ve bazıları için kafa karıştırıcı olabilir. Aşağıdaki temeller, Microsoft'un gereksinimlerinize göre uyarlanabilecek önerilen yapılandırmalarıdır. İzlenecek üç şablon sunuyoruz, ancak çoğu kuruluşun 2. ve 3. düzeyleri seçeceğini düşünüyoruz.
Düzey 2, başlangıç noktası veya kurumsal düzeyde güvenlik olarak düşündüğümüz değerle, düzey 3 ise özel güvenlikle eşler.
Düzey 1 kurumsal temel veri koruması – Microsoft bu yapılandırmayı kurumsal cihaz için en düşük veri koruma yapılandırması olarak önerir.
Düzey 2 kurumsal gelişmiş veri koruması – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Denetimlerden bazıları kullanıcı deneyimini etkileyebilir.
3. Düzey kurumsal yüksek veri koruması – Microsoft, bu yapılandırmayı daha büyük veya daha gelişmiş bir güvenlik ekibine sahip bir kuruluş tarafından çalıştırılan cihazlar için veya benzersiz düzeyde yüksek risk altında olan belirli kullanıcılar veya gruplar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). İyi finanse edilmiş ve gelişmiş saldırganlar tarafından hedeflenmesi muhtemel bir kuruluş bu yapılandırmayı hedeflemelidir.
Uygulama koruma ilkeleri oluşturma
Veri koruma çerçevesi ayarlarını kullanarak Microsoft Intune içindeki her platform (iOS ve Android) için yeni bir uygulama koruma ilkesi oluşturun:
- Microsoft Intune ile uygulama koruma ilkeleri oluşturma ve dağıtma bölümündeki adımları izleyerek ilkeleri el ile oluşturun.
- Intune'un PowerShell betikleriyle örnek Intune Uygulama Koruma İlkesi Yapılandırma Çerçevesi JSON şablonlarını içeri aktarın.
Cihaz uyumluluk ilkeleri
Intune cihaz uyumluluk ilkeleri, cihazların uyumlu olarak belirlenmesi için karşılaması gereken gereksinimleri tanımlar.
Her bilgisayar, telefon veya tablet platformu için bir ilke oluşturmanız gerekir. Bu makalede aşağıdaki platformlar için öneriler ele alınacaktır:
Cihaz uyumluluk ilkeleri oluşturma
Cihaz uyumluluk ilkeleri oluşturmak için Microsoft Intune yönetim merkezinde oturum açın ve Cihaz>Uyumluluk ilkeleri İlkeleri'ne >gidin. İlke Oluştur'u seçin.
Intune'da uyumluluk ilkeleri oluşturma hakkında adım adım yönergeler için bkz . Microsoft Intune'da uyumluluk ilkesi oluşturma.
iOS/iPadOS için kayıt ve uyumluluk ayarları
iOS/iPadOS, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:
- Kişisel cihazlar için cihaz kaydı – bu cihazlar kişiseldir ve hem iş hem de kişisel kullanım için kullanılır.
- Şirkete ait cihazlar için otomatik cihaz kaydı – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.
Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:
- Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
- Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Kişisel olarak kaydedilen cihazlar için uyumluluk ayarları
- Kişisel temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
- Kişisel gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini oluşturur. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
- Kişisel yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, belirli cihaz işlevlerini devre dışı bırakır ve ek veri aktarımı kısıtlamaları uygular.
Otomatik cihaz kaydı için uyumluluk ayarları
- Denetimli temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği denetimli cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
- Denetimli gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini oluşturur ve USB cihazlarına erişimi engeller. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
- Denetimli yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz derecede yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, belirli cihaz işlevlerini devre dışı bırakır, ek veri aktarımı kısıtlamaları uygular ve uygulamaların Apple'ın toplu satın alma programı aracılığıyla yüklenmesini gerektirir.
Android için kayıt ve uyumluluk ayarları
Android Enterprise, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:
- Android Kurumsal iş profili – Bu kayıt modeli genellikle BT'nin iş ve kişisel veriler arasında net bir ayrım sınırı sağlamak istediği kişisel cihazlar için kullanılır. BT tarafından denetlenen ilkeler, iş verilerinin kişisel profile aktarılmamasını sağlar.
- Android Kurumsal tam olarak yönetilen cihazlar – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.
Android Kurumsal güvenlik yapılandırma çerçevesi, iş profili ve tam olarak yönetilen senaryolar için rehberlik sağlayan birkaç farklı yapılandırma senaryosu halinde düzenlenmiştir.
Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:
- Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
- Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Android Kurumsal iş profili cihazları için uyumluluk ayarları
- Kişisel iş profili cihazları için sağlanan ayarlar nedeniyle temel güvenlik (düzey 1) teklifi yoktur. Kullanılabilir ayarlar düzey 1 ile düzey 2 arasındaki farkı haklı çıkarmaz.
- İş profili artırılmış güvenlik (Düzey 2)– Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma parola gereksinimlerini tanıtır, iş ve kişisel verileri ayırır ve Android cihaz kanıtlamasını doğrular.
- İş profili yüksek güvenlik (Düzey 3) – Microsoft, benzersiz olarak yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir (yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma mobil tehdit savunmasını veya Uç Nokta için Microsoft Defender tanıtır, en düşük Android sürümünü ayarlar, daha güçlü parola ilkeleri oluşturur ve iş ile kişisel ayrımı daha da kısıtlar.
Android Kurumsal tam olarak yönetilen cihazlar için uyumluluk ayarları
- Tam olarak yönetilen temel güvenlik (Düzey 1) – Microsoft bu yapılandırmayı kurumsal cihaz için en düşük güvenlik yapılandırması olarak önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Bu yapılandırma parola gereksinimlerini tanıtır, en düşük Android sürümünü ayarlar ve belirli cihaz kısıtlamalarını belirler.
- Tam olarak yönetilen gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma daha güçlü parola ilkeleri oluşturur ve kullanıcı/hesap özelliklerini devre dışı bırakır.
- Tam olarak yönetilen yüksek güvenlik (Düzey 3) - Microsoft, benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir. Bu kullanıcılar, yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olabileceği son derece hassas verileri işleyebilir. Bu yapılandırma en düşük Android sürümünü artırır, mobil tehdit savunması veya Uç Nokta için Microsoft Defender ekler ve ek cihaz kısıtlamaları uygular.
Windows 10 ve üzeri için önerilen uyumluluk ayarları
Aşağıdaki ayarlar, Windows 10 ve daha yeni cihazlar için uyumluluk ilkesi oluşturma işleminin 2. Adımında yapılandırılır: Uyumluluk ayarları. Bu ayarlar, Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkelerle uyumlu hale getirme.
Cihaz durumu > Windows Sistem Durumu Kanıtlama Hizmeti değerlendirme kuralları için bu tabloya bakın.
| Özellik | Değer |
|---|---|
| BitLocker gerektir | İste |
| Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir | İste |
| Kod bütünlüğü gerektir | İste |
Cihaz özellikleri için, BT ve güvenlik ilkelerinize göre işletim sistemi sürümleri için uygun değerleri belirtin.
Configuration Manager Uyumluluğu için, Configuration Manager ile birlikte yönetilen bir ortamdaysanız, Aksi takdirde gerektir'i seçin. Yapılandırılmadı'yı seçin.
Sistem güvenliği için bu tabloya bakın.
| Özellik | Değer |
|---|---|
| Mobil cihazların kilidini açmak için bir parola gerektir | İste |
| Basit parolalar | Blok |
| Parola türü | Cihaz varsayılanı |
| Parola uzunluğu alt sınırı | 6 |
| Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı | 15 dakika |
| Parola zaman aşımı (gün sayısı) | 41 |
| Yeniden kullanılmasını önlemek için önceki parola sayısı | 5 |
| Cihaz boşta durumundan geri döndüğünde parola iste (Mobil ve Holografik) | İste |
| Cihazda veri depolamanın şifrelenmesini gerektir | İste |
| Güvenlik Duvarı | İste |
| Virüsten Koruma | İste |
| Casus yazılımdan koruma | İste |
| Microsoft Defender Kötü Amaçlı Yazılımdan Koruma | İste |
| Microsoft Defender Kötü amaçlı yazılımdan koruma en düşük sürümü | Microsoft, en son sürümden en fazla beş geride olmayan sürümler önerir. |
| Microsoft Defender Kötü Amaçlı Yazılımdan Koruma imzası güncel | İste |
| Gerçek zamanlı koruma | İste |
Uç Nokta için Microsoft Defender için
| Özellik | Değer |
|---|---|
| Cihazın makine riski puanında veya altında olmasını gerektir | Orta |
Koşullu Erişim ilkeleri
Intune'da uygulama koruma ve cihaz uyumluluk ilkeleriniz oluşturulduktan sonra Koşullu Erişim ilkeleriyle zorlamayı etkinleştirebilirsiniz.
Oturum açma riskine göre MFA gerektirme
Oturum açma riski temelinde çok faktörlü kimlik doğrulaması gerektiren bir ilke oluşturmak için Ortak Koşullu Erişim ilkesi: Oturum açma riskine dayalı çok faktörlü kimlik doğrulaması makalesindeki yönergeleri izleyin.
İlkenizi yapılandırırken aşağıdaki risk düzeylerini kullanın.
| Koruma düzeyi | Gerekli risk düzeyi değerleri | Eylem |
|---|---|---|
| Başlangıç noktası | Yüksek, orta | her ikisini de denetleyin. |
| Kurumsal | Yüksek, orta, düşük | Üçünü de kontrol et. |
Çok faktörlü kimlik doğrulamasını desteklemeyen istemcileri engelleme
Ortak Koşullu Erişim ilkesi: Eski kimlik doğrulamasını engellemek için eski kimlik doğrulamasını engelleme makalesindeki yönergeleri izleyin.
Yüksek riskli kullanıcıların parola değiştirmesi gerekir
Güvenliği aşılmış kimlik bilgilerine sahip kullanıcıların parolalarını değiştirmelerini istemek için Ortak Koşullu Erişim ilkesi: Kullanıcı risk tabanlı parola değişikliği makalesindeki yönergeleri izleyin.
Kuruluşunuza özgü terimlere ek olarak bilinen zayıf parolaları ve bunların çeşitlerini algılayan ve engelleyen Microsoft Entra parola koruması ile birlikte bu ilkeyi kullanın. Microsoft Entra parola korumasının kullanılması, değiştirilen parolaların daha güçlü olmasını sağlar.
Onaylı uygulamalar ve uygulama koruma ilkeleri gerektir
Intune'da oluşturulan uygulama koruma ilkelerini zorunlu kılmak için bir Koşullu Erişim ilkesi oluşturmanız gerekir. Uygulama koruma ilkelerini zorunlu tutma, koşullu erişim ilkesi ve buna karşılık gelen bir uygulama koruma ilkesi gerektirir.
Onaylı uygulamalar ve APP koruması gerektiren bir Koşullu Erişim ilkesi oluşturmak için, Mobil cihazlarla onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme bölümünde yer alan adımları izleyin. Bu ilke yalnızca uygulama koruma ilkeleriyle korunan mobil uygulamalar içindeki hesapların Microsoft 365 uç noktalarına erişmesine izin verir.
iOS ve Android cihazlardaki diğer istemci uygulamaları için eski kimlik doğrulamasını engellemek, bu istemcilerin Koşullu Erişim ilkelerini atlamamasını sağlar. Bu makaledeki yönergeleri izliyorsanız, modern kimlik doğrulamasını desteklemeyen blok istemcilerini zaten yapılandırmışsınızdır.
Uyumlu bilgisayarlar ve mobil cihazlar gerektir
Aşağıdaki adımlar, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesini gerektiren bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.
Dikkat
Bu ilkeyi etkinleştirmeden önce cihazınızın uyumlu olduğundan emin olun. Aksi takdirde, kullanıcı hesabınız Koşullu Erişim dışlama grubuna eklenene kadar kilitlenebilir ve bu ilkeyi değiştiremezsiniz.
- Azure Portal’ında oturum açın.
- Microsoft Entra ID>Security>Koşullu Erişim'e göz atın.
- Yeni ilke'yi seçin.
- İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
- Ekle'nin altında Tüm kullanıcılar'ı seçin.
- Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
- Bulut uygulamaları veya eylemler>Ekle'nin altında Tüm bulut uygulamaları'nı seçin.
- Belirli uygulamaları ilkenizin dışında tutmanız gerekiyorsa Dışlanan bulut uygulamalarını seçin altındaki Dışla sekmesinden bunları seçebilir ve Seç'i seçebilirsiniz.
- Erişim'in altında İzin Ver'i denetler>.
- Cihazın uyumlu olarak işaretlenmesini gerektir'i seçin.
- Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Açık olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Not
İlkenizdeki Tüm kullanıcılar ve Tüm bulut uygulamaları için cihazın uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini zorunlu kılması, Intune kaydını ve Microsoft Intune Web Şirket Portalı uygulamasına erişimi engellemez.
Abonelik etkinleştirme
Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan kuruluşlar, Evrensel Mağaza Hizmeti API'lerini ve Web Uygulaması AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.
Her zaman MFA iste
Ortak Koşullu Erişim ilkesi: Özel güvenlik düzeyi kullanıcılarınızın her zaman çok faktörlü kimlik doğrulaması gerçekleştirmesini istemek için tüm kullanıcılar için MFA gerektirme makalesindeki yönergeleri izleyin.
Uyarı
İlkenizi yapılandırırken, özel güvenlik gerektiren grubu seçin ve Tüm kullanıcılar'ı seçmek yerine bunu kullanın.
Sonraki adımlar
Konuk ve dış kullanıcılar için ilke önerileri hakkında bilgi edinin