Aracılığıyla paylaş


Microsoft 365 kuruluşları için ortak güvenlik ilkeleri

Kuruluşların, kuruluşları için Microsoft 365'i dağıtırken endişelenmesi gereken çok şey vardır. Bu makalede başvuruda bulunan Koşullu Erişim, uygulama koruma ve cihaz uyumluluk ilkeleri, Microsoft'un önerilerine ve Sıfır Güven üç yol gösteren ilkeye dayanır:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Kuruluşlar bu ilkeleri olduğu gibi alabilir veya ihtiyaçlarına uyacak şekilde özelleştirebilir. Mümkünse, üretim kullanıcılarınıza dağıtmadan önce ilkelerinizi üretim dışı bir ortamda test edin. Test, kullanıcılarınıza olası etkileri belirlemek ve iletmek için kritik öneme sahiptir.

Bu ilkeleri, dağıtım yolculuğunuzda olduğunuz yere bağlı olarak üç koruma düzeyi halinde gruplandırıyoruz:

  • Başlangıç noktası - Çok faktörlü kimlik doğrulaması, güvenli parola değişiklikleri ve uygulama koruma ilkeleri sağlayan temel denetimler.
  • Kurumsal - Cihaz uyumluluğu sağlayan gelişmiş denetimler.
  • Özel güvenlik - Belirli veri kümeleri veya kullanıcılar için her seferinde çok faktörlü kimlik doğrulaması gerektiren ilkeler.

Aşağıdaki diyagramda, her ilkenin hangi koruma düzeyine uygulandığı ve ilkelerin bilgisayarlar, telefonlar ve tabletler ya da her iki cihaz kategorisi için geçerli olup olmadığı gösterilmektedir.

Sıfır Güven ilkelerini destekleyen ortak kimlik ve cihaz ilkelerini gösteren diyagram.

Bu diyagramı PDF dosyası olarak indirebilirsiniz.

İpucu

Cihazın istenen kullanıcıya sahip olduğundan emin olmak için, cihazları Intune'a kaydetmeden önce çok faktörlü kimlik doğrulaması (MFA) kullanılması önerilir. Cihaz uyumluluk ilkelerini zorunlu kılmadan önce cihazları Intune'a kaydetmeniz gerekir.

Önkoşullar

İzinler

  • Koşullu Erişim ilkelerini yönetecek kullanıcıların Azure portalında en az Koşullu Erişim Yöneticisi olarak oturum açabilmesi gerekir.
  • Uygulama koruma ve cihaz uyumluluk ilkelerini yönetecek kullanıcıların Intune'da en az bir Intune Yöneticisi olarak oturum açabilmesi gerekir.
  • Yalnızca yapılandırmaları görüntülemesi gereken kullanıcılara Güvenlik Okuyucusu veya Genel Okuyucu rolleri atanabilir.

Roller ve izinler hakkında daha fazla bilgi için Microsoft Entra yerleşik rolleri makalesine bakın.

Kullanıcı kaydı

Kullanıcılarınızın kullanımını gerektirmeden önce çok faktörlü kimlik doğrulamasına kaydoldığından emin olun. Microsoft Entra Id P2'yi içeren lisanslarınız varsa, kullanıcıların kaydolmasını istemek için Microsoft Entra Kimlik Koruması içinde MFA kayıt ilkesini kullanabilirsiniz. Kaydı yükseltmek için iletişim şablonları sağlıyoruz, indirip özelleştirebilirsiniz.

Gruplar

Bu önerilerin bir parçası olarak kullanılan tüm Microsoft Entra grupları, Güvenlik grubu değil Microsoft 365 grubu olarak oluşturulmalıdır. Bu gereksinim, daha sonra Microsoft Teams ve SharePoint'te belgelerin güvenliğini sağlarken duyarlılık etiketlerinin dağıtımı için önemlidir. Daha fazla bilgi için Microsoft Entra Id'de gruplar ve erişim hakları hakkında bilgi edinme makalesine bakın

İlke atama

Koşullu Erişim ilkeleri kullanıcılara, gruplara ve yönetici rollerine atanabilir. Intune uygulama koruma ve cihaz uyumluluk ilkeleri yalnızca gruplara atanabilir. İlkelerinizi yapılandırmadan önce, kimlerin dahil edilmesi ve dışlanması gerektiğini belirlemeniz gerekir. Genellikle, başlangıç noktası koruma düzeyi ilkeleri kuruluştaki herkes için geçerlidir.

Aşağıda, kullanıcılarınız kullanıcı kaydını tamamladıktan sonra MFA gerektirmeye yönelik bir grup ataması ve dışlama örneği verilmiştir.

  Microsoft Entra Koşullu Erişim ilkesi Ekle Hariç tut
Başlangıç noktası Orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme Tüm kullanıcılar
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu
Kurumsal Düşük, orta veya yüksek oturum açma riski için çok faktörlü kimlik doğrulaması gerektirme Yönetici personel grubu
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu
Özel güvenlik Çok faktörlü kimlik doğrulamasını her zaman gerektir Çok Gizli Proje Buckeye grubu
  • Acil durum erişim hesapları
  • Koşullu Erişim dışlama grubu

Gruplara ve kullanıcılara daha yüksek koruma düzeyleri uygularken dikkatli olun. Güvenliğin amacı, kullanıcı deneyimine gereksiz sürtüşmeler eklemek değildir. Örneğin, Çok Gizli Proje Buckeye grubunun üyelerinin, projelerinin özel güvenlik içeriği üzerinde çalışmasalar bile her oturum açtıklarında MFA kullanmaları gerekir. Aşırı güvenlik sürtüşmeleri yorgunluğa yol açabilir.

Belirli güvenlik denetimleri tarafından oluşturulan bazı çakışmaları azaltmak için İş İçin Windows Hello veya FIDO2 güvenlik anahtarları gibi parolasız kimlik doğrulama yöntemlerini etkinleştirmeyi düşünebilirsiniz.

Acil durum erişim hesapları

Tüm kuruluşların kullanım için izlenen ve ilkelerden dışlanan en az bir acil durum erişim hesabı olmalıdır. Bu hesaplar yalnızca diğer tüm yönetici hesaplarının ve kimlik doğrulama yöntemlerinin kilitlenmesi veya başka bir şekilde kullanılamaz duruma gelmesi durumunda kullanılır. Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.

Hariç tutulanlar

Önerilen bir uygulama, Koşullu Erişim dışlamaları için bir Microsoft Entra grubu oluşturmaktır. Bu grup, siz erişim sorunlarını giderirken kullanıcıya erişim sağlamak için size bir araç sağlar.

Uyarı

Bu grubun yalnızca geçici bir çözüm olarak kullanılması önerilir. Değişiklikler için bu grubu sürekli izleyin ve denetleyin ve dışlama grubunun yalnızca amaçlandığı gibi kullanıldığından emin olun.

Bu dışlama grubunu mevcut ilkelere eklemek için:

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim'e göz atın.
  3. Mevcut bir ilkeyi seçin.
  4. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
    1. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya kesme hesapları ile Koşullu Erişim dışlama grubunu seçin.

Dağıtım

Başlangıç noktası ilkelerini bu tabloda listelenen sırayla uygulamanızı öneririz. Ancak, kurumsal ve özel güvenlik koruma düzeyleri için MFA ilkeleri istediğiniz zaman uygulanabilir.

Başlangıç noktası

İlke Daha Fazla Bilgi Lisanslama
Oturum açma riski orta veya yüksek olduğunda MFA gerektir MFA'nın yalnızca risk algılandığında gerekli olmasını sağlamak için Microsoft Entra Kimlik Koruması risk verilerini kullanın E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Modern kimlik doğrulamayı desteklemeyen istemcileri engelleme Modern kimlik doğrulaması kullanmayan istemciler Koşullu Erişim ilkelerini atlayabilir, bu nedenle bunları engellemek önemlidir. Microsoft 365 E3 veya E5
Yüksek riskli kullanıcıların parola değiştirmesi gerekir Hesapları için yüksek riskli etkinlik algılanırsa, kullanıcıları oturum açarken parolalarını değiştirmeye zorlar. E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Veri koruması için uygulama koruma ilkeleri uygulama Platform başına bir Intune uygulama koruma ilkesi (Windows, iOS/iPadOS, Android). Microsoft 365 E3 veya E5
Onaylı uygulamalar ve uygulama koruma ilkeleri gerektir iOS, iPadOS veya Android kullanarak telefonlar ve tabletler için mobil uygulama koruma ilkelerini zorunlu kılar. Microsoft 365 E3 veya E5

Kurumsal

İlke Daha Fazla Bilgi Lisanslama
Oturum açma riski düşük, orta veya yüksek olduğunda MFA gerektir MFA'nın yalnızca risk algılandığında gerekli olmasını sağlamak için Microsoft Entra Kimlik Koruması risk verilerini kullanın E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3
Cihaz uyumluluk ilkelerini tanımlama En düşük yapılandırma gereksinimlerini ayarlayın. Her platform için bir ilke. Microsoft 365 E3 veya E5
Uyumlu bilgisayarlar ve mobil cihazlar gerektir Kuruluşunuza erişen cihazlar için yapılandırma gereksinimlerini uygular Microsoft 365 E3 veya E5

Özel güvenlik

İlke Daha Fazla Bilgi Lisanslama
Her zaman MFA iste Kullanıcıların kuruluş hizmetlerinizde her oturum açtıklarında MFA gerçekleştirmesi gerekir Microsoft 365 E3 veya E5

Uygulama koruması ilkeleri

Uygulama koruması ilkeleri, izin verilen uygulamaları ve kuruluşunuzun verileriyle gerçekleştirebilecekleri eylemleri tanımlar. Birçok seçenek vardır ve bazıları için kafa karıştırıcı olabilir. Aşağıdaki temeller, Microsoft'un gereksinimlerinize göre uyarlanabilecek önerilen yapılandırmalarıdır. İzlenecek üç şablon sunuyoruz, ancak çoğu kuruluşun 2. ve 3. düzeyleri seçeceğini düşünüyoruz.

Düzey 2, başlangıç noktası veya kurumsal düzeyde güvenlik olarak düşündüğümüz değerle, düzey 3 ise özel güvenlikle eşler.

  • Düzey 1 kurumsal temel veri koruması – Microsoft bu yapılandırmayı kurumsal cihaz için en düşük veri koruma yapılandırması olarak önerir.

  • Düzey 2 kurumsal gelişmiş veri koruması – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Denetimlerden bazıları kullanıcı deneyimini etkileyebilir.

  • 3. Düzey kurumsal yüksek veri koruması – Microsoft, bu yapılandırmayı daha büyük veya daha gelişmiş bir güvenlik ekibine sahip bir kuruluş tarafından çalıştırılan cihazlar için veya benzersiz düzeyde yüksek risk altında olan belirli kullanıcılar veya gruplar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). İyi finanse edilmiş ve gelişmiş saldırganlar tarafından hedeflenmesi muhtemel bir kuruluş bu yapılandırmayı hedeflemelidir.

Uygulama koruma ilkeleri oluşturma

Veri koruma çerçevesi ayarlarını kullanarak Microsoft Intune içindeki her platform (iOS ve Android) için yeni bir uygulama koruma ilkesi oluşturun:

Cihaz uyumluluk ilkeleri

Intune cihaz uyumluluk ilkeleri, cihazların uyumlu olarak belirlenmesi için karşılaması gereken gereksinimleri tanımlar.

Her bilgisayar, telefon veya tablet platformu için bir ilke oluşturmanız gerekir. Bu makalede aşağıdaki platformlar için öneriler ele alınacaktır:

Cihaz uyumluluk ilkeleri oluşturma

Cihaz uyumluluk ilkeleri oluşturmak için Microsoft Intune yönetim merkezinde oturum açın ve Cihaz>Uyumluluk ilkeleri İlkeleri'ne >gidin. İlke Oluştur'u seçin.

Intune'da uyumluluk ilkeleri oluşturma hakkında adım adım yönergeler için bkz . Microsoft Intune'da uyumluluk ilkesi oluşturma.

iOS/iPadOS için kayıt ve uyumluluk ayarları

iOS/iPadOS, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:

  • Kişisel cihazlar için cihaz kaydı – bu cihazlar kişiseldir ve hem iş hem de kişisel kullanım için kullanılır.
  • Şirkete ait cihazlar için otomatik cihaz kaydı – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.

Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:

  • Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
  • Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Kişisel olarak kaydedilen cihazlar için uyumluluk ayarları
  • Kişisel temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
  • Kişisel gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini oluşturur. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
  • Kişisel yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz olarak yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, belirli cihaz işlevlerini devre dışı bırakır ve ek veri aktarımı kısıtlamaları uygular.
Otomatik cihaz kaydı için uyumluluk ayarları
  • Denetimli temel güvenlik (Düzey 1) – Microsoft, kullanıcıların iş veya okul verilerine eriştiği denetimli cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma, parola ilkeleri, cihaz kilidi özellikleri zorunlu hale getirilerek ve güvenilmeyen sertifikalar gibi bazı cihaz işlevleri devre dışı bırakılarak gerçekleştirilir.
  • Denetimli gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma, veri paylaşımı denetimlerini oluşturur ve USB cihazlarına erişimi engeller. Bu yapılandırma, bir cihazdaki iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir.
  • Denetimli yüksek güvenlik (Düzey 3) – Microsoft, bu yapılandırmayı benzersiz derecede yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için önerir (yetkisiz ifşanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma daha güçlü parola ilkeleri uygular, belirli cihaz işlevlerini devre dışı bırakır, ek veri aktarımı kısıtlamaları uygular ve uygulamaların Apple'ın toplu satın alma programı aracılığıyla yüklenmesini gerektirir.

Android için kayıt ve uyumluluk ayarları

Android Enterprise, ikisi bu çerçevenin bir parçası olarak ele alınan çeşitli kayıt senaryolarını destekler:

  • Android Kurumsal iş profili – Bu kayıt modeli genellikle BT'nin iş ve kişisel veriler arasında net bir ayrım sınırı sağlamak istediği kişisel cihazlar için kullanılır. BT tarafından denetlenen ilkeler, iş verilerinin kişisel profile aktarılmamasını sağlar.
  • Android Kurumsal tam olarak yönetilen cihazlar – bu cihazlar şirkete aittir, tek bir kullanıcıyla ilişkilendirilir ve kişisel kullanım için değil yalnızca iş için kullanılır.

Android Kurumsal güvenlik yapılandırma çerçevesi, iş profili ve tam olarak yönetilen senaryolar için rehberlik sağlayan birkaç farklı yapılandırma senaryosu halinde düzenlenmiştir.

Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkeleri kullanma:

  • Başlangıç noktası ve kurumsal koruma düzeyleri, düzey 2 gelişmiş güvenlik ayarlarıyla yakından eşler.
  • Özel güvenlik koruma düzeyi, düzey 3 yüksek güvenlik ayarlarına yakından eşler.
Android Kurumsal iş profili cihazları için uyumluluk ayarları
  • Kişisel iş profili cihazları için sağlanan ayarlar nedeniyle temel güvenlik (düzey 1) teklifi yoktur. Kullanılabilir ayarlar düzey 1 ile düzey 2 arasındaki farkı haklı çıkarmaz.
  • İş profili artırılmış güvenlik (Düzey 2)– Microsoft, kullanıcıların iş veya okul verilerine eriştiği kişisel cihazlar için en düşük güvenlik yapılandırması olarak bu yapılandırmayı önerir. Bu yapılandırma parola gereksinimlerini tanıtır, iş ve kişisel verileri ayırır ve Android cihaz kanıtlamasını doğrular.
  • İş profili yüksek güvenlik (Düzey 3) – Microsoft, benzersiz olarak yüksek riskli olan belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir (yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olduğu son derece hassas verileri işleyen kullanıcılar). Bu yapılandırma mobil tehdit savunmasını veya Uç Nokta için Microsoft Defender tanıtır, en düşük Android sürümünü ayarlar, daha güçlü parola ilkeleri oluşturur ve iş ile kişisel ayrımı daha da kısıtlar.
Android Kurumsal tam olarak yönetilen cihazlar için uyumluluk ayarları
  • Tam olarak yönetilen temel güvenlik (Düzey 1) – Microsoft bu yapılandırmayı kurumsal cihaz için en düşük güvenlik yapılandırması olarak önerir. Bu yapılandırma, iş veya okul verilerine erişen çoğu mobil kullanıcı için geçerlidir. Bu yapılandırma parola gereksinimlerini tanıtır, en düşük Android sürümünü ayarlar ve belirli cihaz kısıtlamalarını belirler.
  • Tam olarak yönetilen gelişmiş güvenlik (Düzey 2) – Microsoft, kullanıcıların hassas veya gizli bilgilere eriştiği cihazlar için bu yapılandırmayı önerir. Bu yapılandırma daha güçlü parola ilkeleri oluşturur ve kullanıcı/hesap özelliklerini devre dışı bırakır.
  • Tam olarak yönetilen yüksek güvenlik (Düzey 3) - Microsoft, benzersiz olarak yüksek riskli belirli kullanıcılar veya gruplar tarafından kullanılan cihazlar için bu yapılandırmayı önerir. Bu kullanıcılar, yetkisiz açıklamanın kuruluşta önemli ölçüde maddi kayıplara neden olabileceği son derece hassas verileri işleyebilir. Bu yapılandırma en düşük Android sürümünü artırır, mobil tehdit savunması veya Uç Nokta için Microsoft Defender ekler ve ek cihaz kısıtlamaları uygular.

Aşağıdaki ayarlar, Windows 10 ve daha yeni cihazlar için uyumluluk ilkesi oluşturma işleminin 2. Adımında yapılandırılır: Uyumluluk ayarları. Bu ayarlar, Sıfır Güven kimlik ve cihaz erişim yapılandırmalarında belirtilen ilkelerle uyumlu hale getirme.

Cihaz durumu > Windows Sistem Durumu Kanıtlama Hizmeti değerlendirme kuralları için bu tabloya bakın.

Özellik Değer
BitLocker gerektir İste
Cihazda Güvenli Önyükleme'nin etkinleştirilmesini gerektir İste
Kod bütünlüğü gerektir İste

Cihaz özellikleri için, BT ve güvenlik ilkelerinize göre işletim sistemi sürümleri için uygun değerleri belirtin.

Configuration Manager Uyumluluğu için, Configuration Manager ile birlikte yönetilen bir ortamdaysanız, Aksi takdirde gerektir'i seçin. Yapılandırılmadı'yı seçin.

Sistem güvenliği için bu tabloya bakın.

Özellik Değer
Mobil cihazların kilidini açmak için bir parola gerektir İste
Basit parolalar Blok
Parola türü Cihaz varsayılanı
Parola uzunluğu alt sınırı 6
Parola istenmeden önce işlem yapılmadan geçen en fazla dakika sayısı 15 dakika
Parola zaman aşımı (gün sayısı) 41
Yeniden kullanılmasını önlemek için önceki parola sayısı 5
Cihaz boşta durumundan geri döndüğünde parola iste (Mobil ve Holografik) İste
Cihazda veri depolamanın şifrelenmesini gerektir İste
Güvenlik Duvarı İste
Virüsten Koruma İste
Casus yazılımdan koruma İste
Microsoft Defender Kötü Amaçlı Yazılımdan Koruma İste
Microsoft Defender Kötü amaçlı yazılımdan koruma en düşük sürümü Microsoft, en son sürümden en fazla beş geride olmayan sürümler önerir.
Microsoft Defender Kötü Amaçlı Yazılımdan Koruma imzası güncel İste
Gerçek zamanlı koruma İste

Uç Nokta için Microsoft Defender için

Özellik Değer
Cihazın makine riski puanında veya altında olmasını gerektir Orta

Koşullu Erişim ilkeleri

Intune'da uygulama koruma ve cihaz uyumluluk ilkeleriniz oluşturulduktan sonra Koşullu Erişim ilkeleriyle zorlamayı etkinleştirebilirsiniz.

Oturum açma riskine göre MFA gerektirme

Oturum açma riski temelinde çok faktörlü kimlik doğrulaması gerektiren bir ilke oluşturmak için Ortak Koşullu Erişim ilkesi: Oturum açma riskine dayalı çok faktörlü kimlik doğrulaması makalesindeki yönergeleri izleyin.

İlkenizi yapılandırırken aşağıdaki risk düzeylerini kullanın.

Koruma düzeyi Gerekli risk düzeyi değerleri Eylem
Başlangıç noktası Yüksek, orta her ikisini de denetleyin.
Kurumsal Yüksek, orta, düşük Üçünü de kontrol et.

Çok faktörlü kimlik doğrulamasını desteklemeyen istemcileri engelleme

Ortak Koşullu Erişim ilkesi: Eski kimlik doğrulamasını engellemek için eski kimlik doğrulamasını engelleme makalesindeki yönergeleri izleyin.

Yüksek riskli kullanıcıların parola değiştirmesi gerekir

Güvenliği aşılmış kimlik bilgilerine sahip kullanıcıların parolalarını değiştirmelerini istemek için Ortak Koşullu Erişim ilkesi: Kullanıcı risk tabanlı parola değişikliği makalesindeki yönergeleri izleyin.

Kuruluşunuza özgü terimlere ek olarak bilinen zayıf parolaları ve bunların çeşitlerini algılayan ve engelleyen Microsoft Entra parola koruması ile birlikte bu ilkeyi kullanın. Microsoft Entra parola korumasının kullanılması, değiştirilen parolaların daha güçlü olmasını sağlar.

Onaylı uygulamalar ve uygulama koruma ilkeleri gerektir

Intune'da oluşturulan uygulama koruma ilkelerini zorunlu kılmak için bir Koşullu Erişim ilkesi oluşturmanız gerekir. Uygulama koruma ilkelerini zorunlu tutma, koşullu erişim ilkesi ve buna karşılık gelen bir uygulama koruma ilkesi gerektirir.

Onaylı uygulamalar ve APP koruması gerektiren bir Koşullu Erişim ilkesi oluşturmak için, Mobil cihazlarla onaylı istemci uygulamaları veya uygulama koruma ilkesi gerektirme bölümünde yer alan adımları izleyin. Bu ilke yalnızca uygulama koruma ilkeleriyle korunan mobil uygulamalar içindeki hesapların Microsoft 365 uç noktalarına erişmesine izin verir.

iOS ve Android cihazlardaki diğer istemci uygulamaları için eski kimlik doğrulamasını engellemek, bu istemcilerin Koşullu Erişim ilkelerini atlamamasını sağlar. Bu makaledeki yönergeleri izliyorsanız, modern kimlik doğrulamasını desteklemeyen blok istemcilerini zaten yapılandırmışsınızdır.

Uyumlu bilgisayarlar ve mobil cihazlar gerektir

Aşağıdaki adımlar, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesini gerektiren bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

Dikkat

Bu ilkeyi etkinleştirmeden önce cihazınızın uyumlu olduğundan emin olun. Aksi takdirde, kullanıcı hesabınız Koşullu Erişim dışlama grubuna eklenene kadar kilitlenebilir ve bu ilkeyi değiştiremezsiniz.

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID>Security>Koşullu Erişim'e göz atın.
  3. Yeni ilke'yi seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
    1. Ekle'nin altında Tüm kullanıcılar'ı seçin.
    2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
  6. Bulut uygulamaları veya eylemler>Ekle'nin altında Tüm bulut uygulamaları'nı seçin.
    1. Belirli uygulamaları ilkenizin dışında tutmanız gerekiyorsa Dışlanan bulut uygulamalarını seçin altındaki Dışla sekmesinden bunları seçebilir ve Seç'i seçebilirsiniz.
  7. Erişim'in altında İzin Ver'i denetler>.
    1. Cihazın uyumlu olarak işaretlenmesini gerektir'i seçin.
    2. Seç'i seçin.
  8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Açık olarak ayarlayın.
  9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Not

İlkenizdeki Tüm kullanıcılar ve Tüm bulut uygulamaları için cihazın uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini zorunlu kılması, Intune kaydını ve Microsoft Intune Web Şirket Portalı uygulamasına erişimi engellemez.

Abonelik etkinleştirme

Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan kuruluşlar, Evrensel Mağaza Hizmeti API'lerini ve Web Uygulaması AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.

Her zaman MFA iste

Ortak Koşullu Erişim ilkesi: Özel güvenlik düzeyi kullanıcılarınızın her zaman çok faktörlü kimlik doğrulaması gerçekleştirmesini istemek için tüm kullanıcılar için MFA gerektirme makalesindeki yönergeleri izleyin.

Uyarı

İlkenizi yapılandırırken, özel güvenlik gerektiren grubu seçin ve Tüm kullanıcılar'ı seçmek yerine bunu kullanın.

Sonraki adımlar

3. Adım: Konuk ve dış kullanıcılar için ilkeler.

Konuk ve dış kullanıcılar için ilke önerileri hakkında bilgi edinin