Intune Genel Bakış ile cihazları yönetme

  • Makale

Kurumsal düzeyde güvenliğin temel bileşenlerinden biri, cihazları yönetmeyi ve korumayı içerir. Sıfır Güven bir güvenlik mimarisi oluştururken, ortamınızı fidye yazılımlarına karşı sağlamlaştırırken veya uzak çalışanları desteklemek için korumalar oluştururken, cihazları yönetmek stratejinin bir parçasıdır. Microsoft 365, cihazları yönetmeye ve korumaya yönelik çeşitli araçlar ve yöntemler içerirken, bu kılavuz Microsoft Intune kullanarak Microsoft'un önerilerinde yol gösterir. Aşağıdakiler sizin için doğru yoldur:

  • Microsoft Entra birleştirme aracılığıyla cihazları Intune kaydetmeyi planlayın (karma birleştirme dahil Microsoft Entra).
  • Cihazları el ile Intune kaydetmeyi planlayın.
  • Uygulamalar ve veriler için koruma uygulama ve/veya bu cihazları Intune kaydetme planlarına sahip KCG cihazlarına izin verin.

Öte yandan, ortamınız Microsoft Configuration Manager de dahil olmak üzere ortak yönetim planları içeriyorsa, kuruluşunuz için en iyi yolu geliştirmek için ortak yönetim belgelerine bakın. Ortamınız Windows 365 Bulut PC planları içeriyorsa, kuruluşunuz için en iyi yolu geliştirmek için Windows 365 Enterprise belgelerine bakın.

Dağıtım işlemine genel bir bakış için bu videoyu izleyin.

Uç noktaları neden yönetebilirsiniz?

Modern kuruluş, verilerine erişen inanılmaz çeşitli uç noktalara sahiptir. Bu kurulum çok büyük bir saldırı yüzeyi oluşturur ve sonuç olarak uç noktalar kolayca Sıfır Güven güvenlik stratejinizdeki en zayıf bağlantı haline gelebilir.

Dünya uzak veya hibrit bir iş modeline geçtikten sonra çoğunlukla ihtiyaçlara göre hareket eden kullanıcılar, her yerden, herhangi bir cihazdan, tarihteki her zamankinden daha fazla çalışıyor. Saldırganlar bu değişikliklerden yararlanmak için taktiklerini hızlı bir şekilde ayarlıyor. Birçok kuruluş, bu yeni iş güçlüklerinde gezinirken kısıtlanmış kaynaklarla karşı karşıya kalır. Neredeyse bir gecede şirketler dijital dönüşümü hızlandırdı. Basitçe belirtmek gerekirse, insanların çalışma şekli değişti. Artık çok sayıda şirket kaynağına yalnızca ofisten ve şirkete ait cihazlardan erişmeyi beklemiyoruz.

Şirket kaynaklarınıza erişen uç noktaların görünürlüğünü elde etmek, Sıfır Güven cihaz stratejinizin ilk adımıdır. Genellikle şirketler bilgisayarları güvenlik açıklarına ve saldırılara karşı korurken mobil cihazlar genellikle izlenmeyen ve korumasız kalır. Verilerinizi riske atmadığınızdan emin olmak için her uç noktayı risklere karşı izlememiz ve kuruluş ilkesine göre uygun erişim düzeyini sağlamak için ayrıntılı erişim denetimleri kullanmamız gerekir. Örneğin, kişisel bir cihazın jailbreak uygulanmışsa, kurumsal uygulamaların bilinen güvenlik açıklarına maruz kalmadığından emin olmak için erişimi engelleyebilirsiniz.

Bu makale serisi, kaynaklarınıza erişen cihazları yönetmek için önerilen bir işlemde yol gösterir. Önerilen adımları izlerseniz, kuruluşunuz cihazlarınız ve erişecekleri kaynaklar için çok gelişmiş koruma elde eder.

Cihazlar için ve üzerinde koruma katmanlarını uygulama

Cihazlarda ve cihazlardaki verileri ve uygulamaları korumak çok katmanlı bir işlemdir. Yönetilmeyen cihazlarda kazanabileceğiniz bazı korumalar vardır. Cihazları yönetime kaydettikten sonra daha gelişmiş denetimler uygulayabilirsiniz. Tehdit koruması uç noktalarınıza dağıtıldığında daha da fazla içgörü elde eder ve bazı saldırıları otomatik olarak düzeltme olanağı elde edebilirsiniz. Son olarak, kuruluşunuz hassas verileri tanımlamaya, sınıflandırma ve etiketler uygulamaya ve Microsoft Purview Veri Kaybı Önleme ilkeleri yapılandırmaya çalışıyorsa uç noktalarınızdaki veriler için daha ayrıntılı koruma elde edebilirsiniz.

Aşağıdaki diyagramda, Microsoft 365 ve bu ortama tanıttığınız diğer SaaS uygulamaları için Sıfır Güven bir güvenlik duruşu elde etmek için yapı taşları gösterilmektedir. Cihazlarla ilgili öğeler 1 ile 7 arasında numaralandırılır. Cihaz yöneticileri bu koruma katmanlarını gerçekleştirmek için diğer yöneticilerle birlikte çalışır.

Desc.

Bu çizimde:

  Adım Açıklama Lisans gereksinimleri
1 Başlangıç noktası Sıfır Güven kimlik ve cihaz erişim ilkelerini yapılandırma Düzey 2 Uygulama Koruma İlkeleri (APP) veri korumasını uygulamak için kimlik yöneticinizle birlikte çalışın. Bu ilkeler, cihazları yönetmenizi gerektirmez. uygulama ilkelerini Intune yapılandırabilirsiniz. Kimlik yöneticiniz, onaylı uygulamalar gerektirecek şekilde bir Koşullu Erişim ilkesi yapılandırıyor. E3, E5, F1, F3, F5
2 Cihazları Intune kaydetme Bu görevin uygulanması için daha fazla planlama ve zaman gerekir. Microsoft, cihazları kaydetmek için Intune kullanılmasını önerir çünkü bu araç en iyi tümleştirmeyi sağlar. Platforma bağlı olarak cihazları kaydetmek için çeşitli seçenekler vardır. Örneğin, Windows cihazları Microsoft Entra birleştirme veya Autopilot kullanılarak kaydedilebilir. Her platform için seçenekleri gözden geçirmeniz ve ortamınız için en uygun kayıt seçeneğini belirlemeniz gerekir. Bkz. 2. Adım. Daha fazla bilgi için cihazları Intune kaydetme. E3, E5, F1, F3, F5
3 Uyumluluk ilkelerini yapılandırma Uygulamalarınıza ve verilerinize erişen cihazların en düşük gereksinimleri karşıladığından emin olmak istiyorsunuz; örneğin cihazlar parola veya pin korumalıdır ve işletim sistemi günceldir. Uyumluluk ilkeleri, cihazların karşılaması gereken gereksinimleri tanımlamanın yoludur. 3. Adım. Uyumluluk ilkelerini ayarlama , bu ilkeleri yapılandırmanıza yardımcı olur. E3, E5, F3, F5
4 Kurumsal (önerilen) Sıfır Güven kimlik ve cihaz erişim ilkelerini yapılandırma Cihazlarınız kaydedildikten sonra, koşullu erişim ilkelerini sağlıklı ve uyumlu cihazlar gerektirecek şekilde ayarlamak için kimlik yöneticinizle birlikte çalışabilirsiniz. E3, E5, F3, F5
5 Yapılandırma profillerini dağıtma Yapılandırma profilleri, bir cihazı yalnızca uyumlu olarak işaretleyen veya yapılandırdığınız ölçütlere göre olmayan cihaz uyumluluk ilkelerinin aksine, aslında bir cihazdaki ayarların yapılandırmasını değiştirir. Cihazları siber tehditlere karşı sağlamlaştırmak için yapılandırma ilkelerini kullanabilirsiniz. Bkz . 5. Adım. Yapılandırma profillerini dağıtma. E3, E5, F3, F5
6 Cihaz riskini ve güvenlik temelleriyle uyumluluğu izleme Bu adımda, Intune Uç Nokta için Microsoft Defender bağlarsınız. Bu tümleştirmeyle cihaz riskini erişim koşulu olarak izleyebilirsiniz. Riskli durumda olduğu belirlenen cihazlar engellenir. Güvenlik temelleriyle uyumluluğu da izleyebilirsiniz. Bkz . 6. Adım. Cihaz riskini ve güvenlik temellerine uyumluluğunu izleyin. E5, F5
7 Bilgi koruma yetenekleriyle veri kaybı önleme (DLP) uygulayın Kuruluşunuz hassas verileri tanımlamak ve belgeleri etiketlemek için çalışmayı kullandıysa, cihazlarınızdaki hassas bilgileri ve belgeleri korumak için bilgi koruma yöneticinizle birlikte çalışabilirsiniz. E5, F5 uyumluluk eklentisi

Uç nokta yönetimini Sıfır Güven kimlik ve cihaz erişim ilkeleriyle koordine etme

Bu kılavuz, önerilen Sıfır Güven kimlik ve cihaz erişim ilkeleriyle sıkı bir şekilde koordine edilir. Intune ile yapılandırdığınız korumayı Microsoft Entra ID'daki Koşullu Erişim ilkelerine taşımak için kimlik ekibinizle birlikte çalışacaksınız.

burada, Intune'da gerçekleştirdiğiniz çalışma için adım açıklama balonlarını içeren önerilen ilke kümesinin ve Microsoft Entra ID'de koordine olmanıza yardımcı olacak ilgili Koşullu Erişim ilkelerinin bir çizimi verilmiştir.

Kimlik ve cihaz erişim ilkelerini Sıfır Güven.

Bu çizimde:

  • 1. Adım, Düzey 2 Uygulama Koruma İlkelerini Uygulama (APP) bölümünde, APP ilkeleriyle önerilen veri koruma düzeyini yapılandırabilirsiniz. Ardından ilgili Koşullu Erişim kuralını bu korumanın kullanılmasını gerektirecek şekilde yapılandırmak için kimlik ekibinizle birlikte çalışırsınız.
  • 2., 3. ve 4. Adımlarda cihazları Intune ile yönetime kaydeder, cihaz uyumluluk ilkeleri tanımlarsınız ve ardından kimlik ekibinizle koordine olarak ilgili Koşullu Erişim kuralını yalnızca uyumlu cihazlara erişime izin verecek şekilde yapılandırırsınız.

Cihazları kaydetme ve cihazları ekleme karşılaştırması

Bu kılavuzu izlerseniz, Intune kullanarak cihazları yönetime kaydedersiniz ve aşağıdaki Microsoft 365 özellikleri için cihazları eklersiniz:

  • Uç Nokta için Microsoft Defender
  • Microsoft Purview (uç nokta veri kaybı önleme (DLP) için)

Aşağıdaki çizimde bunun Intune kullanılarak nasıl çalıştığı ayrıntılı olarak gösterilmiştir.

Cihazları kaydetme ve ekleme işlemi.

Çizimde:

  1. Intune ile cihazları yönetime kaydetme.
  2. Uç Nokta için Defender'a cihaz eklemek için Intune kullanın.
  3. Uç Nokta için Defender'a eklenen cihazlar, Uç Nokta DLP de dahil olmak üzere Microsoft Purview özellikleri için de eklenir.

Cihazları yalnızca Intune yönettiğini unutmayın. Ekleme, bir cihazın belirli bir hizmetle bilgi paylaşma özelliğini ifade eder. Aşağıdaki tabloda, cihazları yönetime kaydetme ve belirli bir hizmet için cihazları ekleme arasındaki farklar özetlenmektedir.

  Kayıt Onboard
Açıklama Kayıt, cihazları yönetmek için geçerlidir. Cihazlar Intune veya Configuration Manager ile yönetim için kaydedilir. Ekleme, bir cihazı Microsoft 365'teki belirli bir özellik kümesiyle çalışacak şekilde yapılandırıyor. Şu anda ekleme, Uç Nokta için Microsoft Defender ve Microsoft uyumluluk özellikleri için geçerlidir.

Windows cihazlarında ekleme, Windows Defender'da Defender'ın çevrimiçi hizmete bağlanmasına ve cihaza uygulanan ilkeleri kabul etmesine olanak tanıyan bir ayarın eklenmesini içerir.
Kapsam Bu cihaz yönetim araçları, cihazı güvenlik gibi belirli hedeflere uyacak şekilde yapılandırmak da dahil olmak üzere tüm cihazı yönetir. Ekleme yalnızca geçerli hizmetleri etkiler.
Önerilen yöntem Microsoft Entra birleştirme, cihazları otomatik olarak Intune kaydeder. Intune, uç nokta için cihazları Windows Defender ve dolayısıyla Microsoft Purview özelliklerine eklemek için tercih edilen yöntemdir.

Diğer yöntemler kullanılarak Microsoft Purview özelliklerine eklenen cihazların Uç Nokta için Defender'a otomatik olarak kaydedilmediğini unutmayın.
Diğer yöntemler Diğer kayıt yöntemleri, cihazın platformuna ve KCG olup olmadığına veya kuruluşunuz tarafından yönetilip yönetilmediğine bağlıdır. Cihaz eklemeye yönelik diğer yöntemler şunlardır:
  • Yapılandırma Yöneticisi
  • Diğer mobil cihaz yönetim aracı (cihaz bir tarafından yönetiliyorsa)
  • Yerel betik
  • Kalıcı olmayan sanal masaüstü altyapısı (VDI) cihazlarını eklemeye yönelik VDI yapılandırma paketi
  • Grup İlkesi
    		•

    Yöneticiler için öğrenme

    Aşağıdaki kaynaklar yöneticilerin Intune kullanma hakkındaki kavramları öğrenmesine yardımcı olur.

    • Microsoft Intune eğitim modülüyle cihaz yönetimini basitleştirme

      Microsoft 365 aracılığıyla sunulan iş yönetimi çözümlerinin kişilere güvenli ve kişiselleştirilmiş bir masaüstü deneyimi sağladığını ve kuruluşların basitleştirilmiş bir yönetici deneyimiyle tüm cihazlar için güncelleştirmeleri kolayca yönetmesine nasıl yardımcı olduğunu öğrenin.

    • değerlendirme Microsoft Intune

      Microsoft Intune, kuruluşunuzdaki kişilerin üretken olmak için kullandığı cihazları, uygulamaları ve verileri korumanıza yardımcı olur. Bu makalede, Microsoft Intune nasıl ayarlanacağı anlatılır. Kurulum, desteklenen yapılandırmaları gözden geçirmeyi, Intune kaydolmayı, kullanıcı ve grup eklemeyi, kullanıcılara lisans atamayı, yönetici izinleri vermeyi ve Mobil Cihaz Yönetimi (MDM) yetkilisini ayarlamayı içerir.

    Sonraki adım

    1. Adım'a gidin. Uygulama Koruma İlkeleri uygulama.