Microsoft Intune ile SharePoint Online’a erişimi korumaProtect access to SharePoint Online with Microsoft Intune

Uygulama hedefi: Klasik konsolda IntuneApplies to: Intune in the classic console
Azure'da Intune ile ilgili belge mi arıyorsunuz?Looking for documentation about Intune on Azure? Buraya gidin.Go here.

SharePoint Online’da bulunan dosyalara erişimi denetlemek için Microsoft Intune koşullu erişimini kullanın.Use Microsoft Intune conditional access to control access to files that are located on SharePoint Online. Koşullu erişim iki bileşenden oluşur:Conditional access has two components:

  • Cihazın uyumlu kabul edilmesi için uyması gereken cihaz uyumluluk ilkesi.A device compliance policy that the device must comply with in order to be considered compliant.
  • Cihazın hizmete erişebilmek için uyması gereken koşulları sizin belirlediğiniz bir koşullu erişim ilkesi.A conditional access policy where you specify the conditions that the device must meet in order to access the service. Koşullu erişimin nasıl çalıştığı hakkında daha fazla bilgi edinmek için E-posta, O365 ve diğer hizmetlere erişimi koruma konusunu okuyun.To learn more about how conditional access works, read the Protect access to email, O365, and other services topic.

Uyumluluk ve koşullu erişim ilkelerini kullanıcılara dağıtırsınız.You deploy the compliance and conditional access policies to users. Bir kullanıcının hizmetlere erişirken kullandığı her cihaz, ilkelerle uyumluluk açısından denetlenir.Any device that a user uses to access the services is checked for compliance with the policies.

Kullanıcı cihazında OneDrive gibi desteklenen bir uygulama kullanarak bir dosyaya bağlanmaya çalıştığında, aşağıdaki değerlendirme yapılır:When a user attempts to connect to a file by using a supported app such as OneDrive on their device, the following evaluation occurs:

Cihazın SharePoint erişimine izin verilmesini veya bu erişimin engellenmesini belirleyen karar noktalarının gösterildiği diyagram

SharePoint Online için koşullu erişim ilkesini yapılandırmadan önce:Before configuring a conditional access policy for SharePoint Online, you must:

  • SharePoint Online aboneliğiniz olmalıdır ve kullanıcılar SharePoint Online lisansına sahip olmalıdır.Have a SharePoint Online subscription, and users must be licensed for SharePoint Online.
  • Enterprise Mobility + Security (EMS) aboneliğiniz veya bir Azure Active Directory (Azure AD) Premium aboneliğiniz olmalıdır ve kullanıcılar EMS veya Azure AD lisansına sahip olmalıdır.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Daha fazla ayrıntı için bkz. Enterprise Mobility fiyatlandırma sayfası veya Azure Active Directory fiyatlandırma sayfası.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

Gerekli dosyalara bağlanmak için bir cihazın:To connect to the required files, a device must be:

  • Intune’a kaydedilmesi veya etki alanına katılmış bir bilgisayar olması gerekir.Enrolled with Intune or a domain-joined PC.

  • Azure Active Directory’ye kaydedilmiş (cihaz Intune hizmetine kaydedildiğinde bu otomatik olarak gerçekleşir) olması gerekir.Registered in Azure Active Directory (this happens automatically when the device is enrolled with Intune).

  • Dağıtılmış tüm Intune uyumluluk ilkeleriyle uyumlu olmalıdır.Compliant with any deployed Intune compliance policies.

Cihaz durumu, Azure Active Directory'de depolanır; bu durumda belirttiğiniz koşullara göre dosyalara erişim izni verilir veya erişim engellenir.The device state is stored in Azure Active Directory, which grants or blocks access to the files, based on the conditions that you specify.

Bir koşul karşılanmazsa, kullanıcı oturum açtığında şu iletilerden birini görür:If a condition isn't met, the user sees one of the following messages when they sign in:

  • Cihaz, Intune ile kaydedilmediyse veya Azure Active Directory'ye kayıtlı değilse Şirket Portalı uygulamasının nasıl yükleneceğine ve nasıl kayıt yapılacağına ilişkin yönergeleri içeren bir ileti görüntülenir.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Cihaz uyumlu değilse, kullanıcıyı sorun ve sorunun nasıl çözüleceğiyle ilgili bilgileri bulabileceği Intune Şirket Portalı web sitesine yönlendiren bir ileti görüntülenir.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website, where they can find information about the problem and how to remediate it.

Koşullu erişim şirket dışı paylaşım için geçerli değildir.Conditional access doesn't apply to external sharing. Kiracınız veya site koleksiyonunuz için şirket dışı paylaşımı nasıl engelleyeceğinizi öğrenmek için bkz. SharePoint Online ortamınız için şirket dışı paylaşımı yönetme.To learn how to prevent external sharing in your tenant or site collection, see Manage external sharing for your SharePoint Online environment.

Not

SharePoint Online için koşullu erişimi etkinleştirirseniz, Remove-SPOTenantSyncClientRestriction konu başlığı altında açıklandığı gibi listedeki etki alanını devre dışı bırakmanızı öneririz.If you enable conditional access for SharePoint Online, we recommend that you disable the domain on the list, as described in the Remove-SPOTenantSyncClientRestriction topic.

Mobil cihaz desteğiSupport for mobile devices

Aşağıdakiler desteklenir:The following are supported:

  • iOS 8.0 ve üzeriiOS 8.0 and later
  • Android 4.0 ve üzeri ile Samsung KNOX Standard 4.0 veya üzeriAndroid 4.0 and later, Samsung Knox Standard 4.0 or later
  • Windows Phone 8.1 ve üzeriWindows Phone 8.1 and later

iOS ve Android cihazlar, SharePoint Online’a bir tarayıcıdan eriştiğinde erişimi koruyabilirsiniz.You can protect access to SharePoint Online when iOS and Android devices access it from a browser. Erişime yalnızca uyumlu cihazlarda, desteklenen tarayıcılardan izin verilir:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS ve Android 5.0 ve üzeri)Intune Managed Browser (iOS and Android 5.0 and later)

Desteklenmeyen tarayıcılar engellenir.Unsupported browsers are blocked.

Bilgisayarlar için destekSupport for PCs

Aşağıdakiler desteklenir:The following are supported:

  • Windows 8.1 ve üzeri (Bilgisayarlar Intune’a kaydedildiğinde)Windows 8.1 and later (when PCs are enrolled with Intune)
  • Windows 7.0, Windows 8.1 veya Windows 10 (Bilgisayarlar etki alanına katıldığında),Windows 7.0, Windows 8.1, or Windows 10 (when PCs are domain joined),

    Not

    Windows 10 bilgisayarlar ile koşullu erişim kullanmak için bu bilgisayarları Windows 10 Yıldönümü Güncelleştirmesi ile güncelleştirmeniz gerekir.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    • Etki alanına katılmış bilgisayarları, Azure Active Directory’ye otomatik olarak kaydedilecek şekilde ayarlamanız gerekir.You must set up domain-joined PCs to automatically register with Azure Active Directory. Azure AD Cihaz Kayıt hizmeti, Intune ve Office 365 müşterileri için otomatik olarak etkinleştirilir.The Azure AD Device Registration service will be activated automatically for Intune and Office 365 customers. ADFS Cihaz Kayıt hizmetini zaten dağıtan müşteriler, kayıtlı cihazlarını şirket içi Active Directory'de görmez.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

    • İlke bir etki alanına katılmayı gerektirecek şekilde ayarlanmışsa ve bilgisayar etki alanına katılmamışsa, BT yöneticisine başvurulması gerektiğini belirten bir ileti görüntülenir.If the policy is set to require a domain join and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • İlke bir etki alanına katılmayı veya uyumluluğu gerektirecek şekilde ayarlandıysa ve bilgisayar iki gereksinimi de karşılamıyorsa, Şirket Portalı uygulamasını yükleme ve kaydetme yönergelerini içeren bir ileti görüntülenir.If the policy is set to require a domain join or compliance, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

      Not

      Intune bilgisayar istemcisi çalıştıran bilgisayarlarda koşullu erişim desteklenmez.Conditional access is not supported on PCs that are running the Intune computer client.

Office 365 modern kimlik doğrulamasının etkin olması ve en son Office güncelleştirmelerine sahip olması gerekir.Office 365 modern authentication must be enabled and have all the latest Office updates.

Modern kimlik doğrulama, Office 2013 Windows istemcileri için Active Directory Kimlik Doğrulama Kitaplığı (ADAL) tabanlı oturum açma özelliği sunar ve çok faktörlü kimlik doğrulaması ile sertifika tabanlı kimlik doğrulaması gibi daha üst düzey güvenlik sağlar.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013 Windows clients and enables better security, like multi-factor authentication and certificate-based authentication.

SharePoint Online için koşullu erişimi yapılandırmaConfigure conditional access for SharePoint Online

Adım 1: Active Directory güvenlik gruplarını yapılandırmaStep 1: Configure Active Directory security groups

Başlamadan önce koşullu erişim ilkesi için Azure Active Directory güvenlik gruplarını yapılandırın.Before you start, configure Azure Active Directory security groups for the conditional access policy. Office 365 yönetici merkezi’nde veya Intune hesap portalı’nda bu grupları yapılandırabilirsiniz.You can configure these groups in the Office 365 admin center or in the Intune account portal. Bu grupları, ilkede kullanıcıları hedeflemek veya muaf tutmak için kullanırsınız.You use these groups to target or exempt users from the policy. Bir kullanıcı bir ilke tarafından hedeflendiğinde, kaynaklara erişmek için kullandıkları her bir cihaz uyumlu olmalıdır.When a user is targeted by a policy, each device that they use must be compliant in order to access resources.

Bir SharePoint Online ilkesinde iki grup türü belirtebilirsiniz:You can specify two group types in a SharePoint Online policy:

  • Hedeflenen gruplar: İlkenin uygulanacağı kullanıcı gruplarını içerir.Targeted groups: Contains groups of users that the policy applies to.

  • Muaf tutulan gruplar: İlkeden muaf tutulan kullanıcı gruplarını içerir.Exempted groups: Contains groups of users that are exempt from the policy.

Bir kullanıcı her iki gruptaysa ilkeden muaf tutulur.If a user is in both groups, they are exempt from the policy.

Adım 2: Uyumluluk ilkesi yapılandırma ve dağıtmaStep 2: Configure and deploy a compliance policy

Bu işlemi gerçekleştirmediyseniz, bir uyumluluk ilkesi oluşturun ve bu ilkeyi SharePoint Online ilkesinde hedeflenen kullanıcılara dağıtın.If you haven't already done so, create a compliance policy, and deploy it to the users that the SharePoint Online policy targets.

Not

Uyumluluk ilkeleri Intune gruplarına dağıtılırken, koşullu erişim ilkeleri Azure Active Directory güvenlik gruplarına dağıtılır.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Uyumluluk ilkesini yapılandırma ayrıntıları için bkz. Uyumluluk ilkesi oluşturma.For details about how to configure the compliance policy, see Create a compliance policy.

Önemli

Uyumluluk ilkesi dağıtmadıysanız cihazlar uyumlu olarak kabul edilir.If you haven't deployed a compliance policy, the devices are treated as compliant.

Hazır olduğunuzda 3. Adım’a geçin.When you're ready, continue to Step 3.

Adım 3: SharePoint Online ilkesini yapılandırmaStep 3: Configure the SharePoint Online policy

İlkeyi yalnızca yönetilen ve uyumlu cihazların SharePoint Online’a erişebileceği şekilde yapılandırın.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Bu ilke Azure Active Directory’de depolanır.This policy is stored in Azure Active Directory.

Not

Azure AD yönetim konsolunda Intune cihazları için koşullu erişim ilkesi de oluşturabilirsiniz (ilke Azure AD’de cihaz tabanlı koşullu erişim ilkesi olarak adlandırılır).You can also create a conditional access policy for Intune devices in the Azure AD management console (the policy is referred to as the device-based conditional access policy in Azure AD). Ayrıca, çok faktörlü kimlik doğrulaması gibi diğer koşullu erişim ilkeleri de oluşturabilirsiniz.In addition, you can create other conditional access policies like multi-factor authentication. Salesforce ve Box gibi Azure AD tarafından desteklenen kurumsal üçüncü taraf uygulamaları için de koşullu erişim ilkeleri ayarlayabilirsiniz.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Daha fazla ayrıntı için bkz. Azure Active Directory bağlı uygulamalarda erişim denetimi için Azure Active Directory cihaz tabanlı koşullu erişim ilkesini ayarlama.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. Microsoft Intune yönetim konsolunda İlke > Koşullu Erişim > SharePoint Online İlkesi’ni seçin.In the Microsoft Intune administration console, choose Policy > Conditional Access > SharePoint Online Policy. SharePoint Online İlkesi sayfasının ekran görüntüsüScreenshot of the SharePoint Online Policy page

  2. SharePoint Online için koşullu erişim ilkesini etkinleştir’i seçin.Select Enable conditional access policy for SharePoint Online.

  3. Uygulama erişimi altında aşağıdakilere koşullu erişim ilkesini uygulamayı seçebilirsiniz:Under Application access, you can choose to apply the conditional access policy to:

    • Tüm platformlarAll platforms

      Bu seçenek, SharePoint Online’a erişmek için kullanılan tüm cihazların Intune’a kaydedilmesini ve ilkelerle uyumlu olmasını gerektirir.This requires that any device used to access SharePoint Online is enrolled in Intune and is compliant with the policies. Modern kimlik doğrulaması kullanan tüm istemci uygulamaları, koşullu erişim ilkesine bağlıdır.Any client application that uses modern authentication is subject to the conditional access policy. Platform şu anda Intune tarafından desteklenmiyorsa, SharePoint Online’a erişim engellenir.If the platform isn't currently supported by Intune, access to SharePoint Online is blocked.

      Tüm platformlar seçeneğinin belirlenmesi, Azure Active Directory’nin bu ilkeyi, istemci uygulaması tarafından bildirilen platformdan bağımsız olarak tüm kimlik doğrulama isteklerine uygulayacağı anlamına gelir.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Aşağıdakiler dışında tüm platformların kaydolması ve uyumlu hale gelmesi gerekir:All platforms are required to be enrolled and become compliant, except for:

      • Windows cihazların, kaydolması ve uyumlu hale gelmesi, şirket içi Active Directory ile etki alanının birleşik olması veya her ikisi gerekir.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Mac gibi desteklenmeyen platformlar.Unsupported platforms like Mac. Ancak, bu platformlardan gelen, modern kimlik doğrulaması kullanan uygulamalar yine de engellenir.However, apps using modern authentication that come from these platforms are still blocked.
    • Belirli platformlarSpecific platforms

      Koşullu erişim ilkesi, belirttiğiniz platformlarda modern kimlik doğrulaması kullanan tüm istemci uygulamaları için geçerlidir.The conditional access policy applies to any client app that is using modern authentication on the platforms that you specify.

      Windows bilgisayarları için bir bilgisayar etki alanına katılmış veya Intune ile kaydedilmiş ve uyumlu olmalıdır.For Windows PCs, a PC must either be domain joined, or enrolled with Intune and compliant. Aşağıdaki gereksinimleri ayarlayabilirsiniz:You can set the following requirements:

      • Cihazlar bir etki alanına katılmış veya uyumlu olmalıdır.Devices must be domain joined or compliant. Bilgisayarların etki alanına katılmış veya Intune ile ayarlanan ilkelerle uyumlu olmasını gerekli hale getirmek için bu seçeneği belirtin.Choose this option to require that PCs must either be domain joined or compliant with the policies that are set in Intune. Bilgisayar bu gereksinimlerden birini karşılamıyorsa, kullanıcıdan cihazı Intune ile kaydetmesi istenir.If a PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

      • Cihazlar uyumlu olmalıdır.Devices must be compliant. Bilgisayarların Intune ile kaydedilmiş ve uyumlu olmasını zorunlu tutmak için bu seçeneği belirtin.Choose this option to require that PCs must be enrolled in Intune and compliant. Bilgisayar kayıtlı değilse, kaydetme yönergelerini içeren bir ileti görüntülenir.If a PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. SharePoint Online ve OneDrive İş’e Tarayıcı erişimi altında, Exchange Online’a yalnızca desteklenen tarayıcılar üzerinden erişime izin vermeyi seçebilirsiniz: Safari (iOS) ve Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Diğer tarayıcılardan erişim engellenir.Access from other browsers is blocked. OneDrive için Uygulama erişimi için seçtiğiniz platform kısıtlamaları burada da geçerli olur.The same platform restrictions that you selected for Application access for OneDrive also apply here.

    Android cihazlarda, kullanıcılar tarayıcı erişimini etkinleştirmelidir.On Android devices, users must enable browser access. Bunu yapmak için bir kullanıcı kaydolan cihazda Tarayıcı Erişimini Etkinleştir seçeneğini etkinleştirmelidir:To do this, a user must choose the Enable Browser Access option on the enrolled device as follows:

    1. Şirket Portalı uygulamasını açın.Open the Company Portal app.
    2. Üç nokta (...) veya donanım menüsü düğmesinden Ayarlar sayfasına gidin.Go to the Settings page from the ellipsis (…) or hardware menu button.
    3. Tarayıcı Erişimi Etkinleştir düğmesine basın.Press the Enable Browser Access button.
    4. Chrome tarayıcıda, Office 365 oturumunu kapatın ve Chrome’u yeniden başlatın.In the Chrome browser, sign out of Office 365 and restart Chrome.

    iOS ve Android platformlarında, Azure Active Directory, cihazın hizmete erişmek amacıyla kullanıldığını belirlemek için cihaza bir Aktarım Katmanı Güvenliği (TLS) sertifikası yayımlar.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Cihaz, sertifikayı aşağıdaki ekran görüntülerinde görüleceği gibi kullanıcıya sertifikayı seçmesi için bir istemle ekrana getirir.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Kullanıcının tarayıcıyı kullanabilmesi için bu sertifikayı seçmesi gerekir.The user must select this certificate before they can use the browser.

    AndroidiOS

    Bir iPad cihazda sertifika komut isteminin ekran görüntüsü

    Outlook Web Access (OWA)Android

    Android cihazda sertifika istemi ekran görüntüsü

  5. Hedeflenen Gruplar altında, ilkenin geçerli olacağı Azure Active Directory güvenlik gruplarını seçmek için Değiştir’i seçin.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy applies to. Bunu tüm kullanıcılara veya yalnızca seçilmiş bir kullanıcı grubuna hedefleyebilirsiniz.You can choose to target this to all users or just a select group of users.

  6. Muaf Tutulan Gruplar altında, bu ilkeden muaf tutulan Active Directory güvenlik gruplarını seçmek için isteğe bağlı olarak Değiştir’i seçin.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. İşiniz bittiğinde Kaydet’i seçin.When you're done, choose Save.

Koşullu erişim ilkesini dağıtmanız gerekmez, hemen geçerli olur.You don't have to deploy the conditional access policy—it takes effect immediately.

Adım 4: Uyumluluk ve koşullu erişim ilkelerini izlemeStep 4: Monitor the compliance and conditional access policies

Gruplar çalışma alanında, cihazlarınızın durumunu görüntüleyebilirsiniz.In the Groups workspace, you can view the status of your devices.

Herhangi bir mobil cihaz grubu seçin.Select any mobile device group. Ardından, Cihazlar sekmesinde aşağıdaki Filtreler arasından birini seçin:Then, on the Devices tab, choose one of the following Filters:

  • AAD ile kaydedilmeyen cihazlar.Devices that are not registered with AAD. Bu cihazlar SharePoint Online’dan engellenir.These devices are blocked from SharePoint Online.

  • Uyumlu olmayan cihazlar.Devices that are not compliant. Bu cihazlar SharePoint Online’dan engellenir.These devices are blocked from SharePoint Online.

  • AAD ile kaydedilen ve uyumlu olan cihazlar.Devices that are registered with AAD and compliant. Bu cihazlar SharePoint Online’a erişebilir.These devices can access SharePoint Online.

Ayrıca bkz.See also

Microsoft Intune ile e-posta ve O365 hizmetlerine erişimi korumaProtect access to email and O365 services with Microsoft Intune

Ürün geri bildiriminde bulunmak için lütfen şu sayfayı ziyaret edin Intune Feedback