Uygulama koruma ilkelerine genel bakış

Uygulama koruma ilkeleri (APP), kuruluş verilerinin yönetilen uygulama içinde güvende olmasını veya orada kalmasını sağlayan kurallardır. İlke, kullanıcı “kurumsal” verilere erişmeye veya bunları taşımaya çalıştığında uygulanan bir kural veya kullanıcı uygulamadayken yasaklanan veya izlenen bir eylemler kümesi olabilir. Yönetilen bir uygulama, uygulama koruma ilkelerinin uygulandığı ve Intune tarafından yönetilebilen bir uygulamadır.

Mobil Uygulama Yönetimi (MAM) uygulama koruma ilkeleri, uygulama içindeki kuruluş bilgilerini yönetmenizi ve korumanızı sağlar. Kayıtsız MAM (MAM-WE) ile, hassas veriler içeren iş veya okulla ilgili bir uygulama, kendi cihazınızı getir (BYOD) senaryolarında kişisel cihazlar da dahil olmak üzere neredeyse tüm cihazlarda yönetilebilir. Microsoft Office uygulamaları gibi birçok üretkenlik uygulaması Intune MAM tarafından yönetilebilir. Genel kullanım için kullanılabilen Microsoft Intune uygulamaların resmi listesine bakın.

Uygulama verilerinizi nasıl koruyabilirsiniz?

Çalışanlarınız hem kişisel hem de iş amaçlı görevler için mobil cihazlar kullanır. Bir yandan çalışanlarınızın üretken olmasını sağlarken diğer yandan, isteyerek ve istemeyerek yaşanabilecek veri kayıplarını önlemek isteyebilirsiniz. Ayrıca sizin yönetiminizde olmayan cihazlardan erişilen şirket verilerini de korumak istersiniz.

Intune uygulama koruma ilkelerini mobil cihaz yönetimi (MDM) çözümlerinden bağımsız olarak kullanabilirsiniz. Bu bağımsızlık, cihazları bir cihaz yönetimi çözümüne kaydederek veya kaydetmeden şirket verilerinizi korumanıza yardımcı olur. Uygulama düzeyinde ilkeler uygulayarak, şirket kaynaklarına erişimi kısıtlayabilir ve verileri BT departmanınızın kapsamında tutabilirsiniz.

Uygulama koruması ilkeler

Aşağıdaki özelliklere sahip cihazlarda çalıştırılan uygulamalar için uygulama koruma ilkeleri yapılandırılabilir:

• Microsoft Intune’a kayıtlı: Bu cihazlar genellikle şirkete aittir.

• Bir üçüncü taraf mobil cihaz Yönetimi (MDM) çözümde kayıtlı: Bu cihazlar genellikle şirkete aittir.

  Not

  Mobil uygulama yönetimi ilkeleri, üçüncü taraf mobil uygulama yönetimi veya güvenli kapsayıcı çözümleri ile birlikte kullanılmamalıdır.

• Hiçbir mobil cihaz yönetimi çözümüne kayıtlı değil: Bu cihazlar genellikle Intune'da veya diğer MDM çözümlerde yönetil olmayan veya kayıtlı olmayan çalışana ait cihazlardır.

Uygulama koruması ilkelerini kullanmanın avantajları

İlkeleri kullanmanın Uygulama koruması avantajları:

• Şirket verilerinizi uygulama düzeyinde koruma. Mobil uygulama yönetimi, cihaz yönetimi gerektirmediği için şirket verilerini hem yönetilen hem de yönetilmeyen cihazlarda koruyabilirsiniz. Yönetim, kullanıcı kimliğine odaklandığından cihaz yönetimine gerek kalmaz.

• Son kullanıcının üretkenliği etkilenmez ve uygulama kişisel bağlamda kullanılırken ilkeler uygulanmaz. İlkeler yalnızca iş bağlamında uygulanır; bu da size şirket verilerini kişisel verilere dokunmadan koruma olanağı tanır.

• Uygulama koruması ilkeleri, uygulama katmanı korumaların yerinde olduğundan emin olur. Örneğin, şunları yapabilirsiniz:

  • Bir uygulamanın iş bağlamında açılması için PIN isteyebilirsiniz
  • Uygulamalar arasındaki veri paylaşımını denetleyebilirsiniz
  • Şirket uygulaması verilerinin kişisel depolama konumuna kaydedilmesini önleyebilirsiniz

• MDM, MAM'ye ek olarak cihazın korunmasını sağlar. Örneğin, cihaza erişim için PIN’i zorunlu kılabilir veya yönetilen uygulamaları cihaza dağıtabilirsiniz. Ayrıca, uygulama yönetimi üzerinde daha fazla denetime sahip olmak için uygulamaları MDM çözümünüz aracılığıyla cihazlara dağıtabilirsiniz.

MDM'yi Uygulama koruma ilkeleriyle kullanmanın başka avantajları da vardır ve şirketler Uygulama koruma ilkelerini aynı anda hem MDM'li hem de MDM'siz olarak kullanabilir. Hem şirket telefonunu hem de kendine ait olan tableti kullanan bir çalışanı düşünün. Şirket telefonu MDM’ye kaydedilir ve Uygulama koruma ilkeleriyle korunur. Kişisel cihaz ise yalnızca Uygulama koruma ilkeleriyle korunur.

Cihaz durumunu ayarlamadan kullanıcıya bir MAM ilkesi uygulayabilirseniz, kullanıcı HEM KKP cihazında hem de Intune tarafından yönetilen cihazda MAM ilkesine sahip olur. Yönetilen durumu temel alan bir MAM ilkesi de uygulayabilirsiniz. Bu nedenle, bir uygulama koruma ilkesi oluşturmada Tüm uygulama türlerinin hedef öğesinin yanında Hayır'ı seçersiniz. Ardından, aşağıdakilerden herhangi birini yapın:

• Intune tarafından yönetilen cihazlara daha az katı bir MAM ilkesi uygulama ve MDM'ye kayıtlı olmayan cihazlara daha kısıtlayıcı bir MAM ilkesi uygulama.
• Mam ilkesi yalnızca kaydı olmayan cihazlara uygulanır.

Uygulama koruma ilkeleri için desteklenen platformlar

Intune, ihtiyacınız olan uygulamaları çalıştırmak istediğiniz cihazlara almanıza yardımcı olacak çeşitli özellikler sunar. Daha fazla bilgi için bkz. Platforma göre uygulama yönetimi özellikleri.

Intune uygulama koruma ilkeleri platform desteği, Android Office iOS/iPadOS cihazları için mobil uygulama platformu desteğiyle uyumludur. Ayrıntılar için Office Sistem Gereksinimleri'nin Mobil uygulamalar bölümüne bakın.

Uygulama koruması ilkesi veri koruma çerçevesi

Uygulama koruma ilkelerinde (APP) kullanılabilen seçenekler, kuruluşların korumayı ihtiyaçlarına göre uyarlamasını sağlar. Bazıları için, tam bir senaryoyu uygulamak için hangi ilke ayarlarının gerekli olduğu açıkça belli değildir. Microsoft, kuruluşların mobil istemci uç noktası sağlamlaştırmaya önceliklerini belirlemelerine yardımcı olmak için iOS ve Android mobil uygulama yönetimi için APP veri koruma çerçevesine sınıflandırmalar sundu.

APP veri koruma çerçevesi üç ayrı yapılandırma düzeyine göre düzenlenmiştir ve her düzey önceki düzeye göre düzenlenmiştir:

• Kurumsal temel veri koruması (1. Düzey), uygulamaların PIN ile korunmasını ve şifrelenmesini sağlayıp seçmeli silme işlemi gerçekleştirir. Android cihazlar için bu düzey, Android cihaz doğrulamasını gerçekleştirir. Bu, posta kutusu ilkelerde benzer veri koruma denetimi sağlayan ve EXCHANGE ONLINE kullanıcı popülasyonu ile APP'e giriş düzeyinde bir yapılandırmadır.
• Enterprise veri koruması (Düzey 2) uygulama veri sızıntısı önleme mekanizmalarını ve en düşük işletim sistemi gereksinimlerini sunar. Bu, iş veya okul verilerine erişen çoğu mobil kullanıcı için uygun olan yapılandırmadır.
• Enterprise koruma (Düzey 3) gelişmiş veri koruma mekanizmaları, gelişmiş PIN yapılandırması ve APP Mobile Threat Defense'i içerir. Yüksek riskli verilere erişim sağlayan kullanıcılar için bu yapılandırma düzeyi önerilir.

Her yapılandırma düzeyine ve korunması gereken en düşük uygulamalara yönelik belirli önerileri görmek için, uygulama koruma ilkelerini kullanarak veri koruma çerçevesi'ne bakın.

Uygulama koruma ilkeleri uygulama verilerini nasıl korur

Uygulama koruma ilkelerinin bulunmadığı uygulamalar

Uygulamalar kısıtlama olmadan kullanıldığında, şirket verileri ile kişisel veriler birbirine karışabilir. Şirket verileri, kişisel depolama alanı gibi konumlara düşebilir veya kapsamınızın ötesindeki uygulamalara aktarılarak veri kaybına neden olabilir. Aşağıdaki diyagramda yer alan oklar hem kurumsal hem de kişisel uygulamalar ile depolama konumları arasında sınırsız veri hareketini gösterir.

Uygulama koruma ilkeleriyle veri koruma (APP)

Şirket verilerini Uygulama koruması cihaz yerel depolama alanına kaydetmesini önlemek için Uygulama koruması ilkelerini kullanabilirsiniz (aşağıdaki görüntüye bakın). Ayrıca Uygulama koruma ilkesi kapsamında olmayan diğer uygulamalara veri taşımayı da kısıtlayabilirsiniz. Uygulama koruma ilkesi ayarları aşağıdakileri içerir:

• Kuruluş verisi kopyalarını kaydetme ve Kesme, kopyalama ve yapıştırmayı kısıtla gibi veri yeniden konumlandırma ilkeleri.
• Erişim için basit PIN gerektir gibi erişim ilkesi ayarları ve Yönetilen uygulamaların, jailbroken veya kök erişim iznine sahip cihazlarda çalıştırmalarını engelle .

MDM çözümü tarafından yönetilen cihazlarda APP ile veri koruması

Aşağıdaki çizimde, MDM ve Uygulama koruması birlikte sunan koruma katmanları gösterilmiştir.

MDM çözümü, şunları sağlayarak değer ekler:

• Cihazı kaydeder
• Uygulamaları cihaza dağıtır
• Sürekli cihaz uyumluluğu ve yönetimi sağlar

Aşağıdaki Uygulama koruması ilkeler değer katarak şunları sağlar:

• Şirket verilerini tüketici uygulamalarına ve hizmetlerine sızmaya karşı korumaya yardımcı olun
• farklı kaydet, pano veya PIN gibi kısıtlamaları istemci uygulamalarına uygulama
• Gerektiğinde bu uygulamaları cihazdan kaldırmadan uygulamalardan şirket verilerini silme

Kayıtsız cihazlar için APP ile veri koruması

Aşağıdaki diyagramda, veri koruma ilkelerinin MDM olmadan uygulama düzeyinde nasıl çalışaları göstermektedir.

Herhangi bir MDM çözümüne kayıtlı olmayan KCG cihazlarında, Uygulama koruma ilkeleri şirket verilerinin uygulama düzeyinde korunmasına yardımcı olabilir. Ancak dikkat etmek gereken bazı sınırlamalar vardır, örneğin:

• Cihaza uygulama dağıtamazsınız. Son kullanıcı, uygulamaları mağazadan almak zorundadır.
• Bu cihazlarda sertifika profilleri sağlayamazsınız.
• Bu cihazlarda şirket Wi-Fi ve VPN ayarlarını sağlayamazsınız.

Uygulama koruma ilkeleri ile yönetebileceğiniz uygulamalar

Intune SDK'sı ile tümleştirilmiş veya Intune sdk'sı tarafından sarmalanmış App Wrapping Tool intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Bu araçlar kullanılarak Microsoft Intune genel kullanım için kullanılabilen tüm korumalı uygulamaların resmi listesine bakın.

Intune SDK geliştirme ekibi yerel Android, iOS/iPadOS (Obj-C, Swift), Xamarin ve Xamarin.Forms platformları ile yerleşik uygulamalar için etkin bir şekilde test ve destek sağlar. Bazı müşteriler Intune SDK'sı tümleştirmesini React Native ve NativeScript gibi diğer platformlarla başarıyla tamamlasa da, desteklenen platformlarımız dışında herhangi bir şey kullanarak uygulama geliştiricilerine açık rehberlik veya eklenti sağlamamaktadır.

Uygulama koruma ilkelerini kullanmak için son kullanıcı gereksinimleri

Aşağıdaki liste, Intune ile yönetilen bir uygulamada uygulama koruma ilkelerini kullanmak için son kullanıcı gereksinimlerini sağlar:

• Son kullanıcının bir Azure Active Directory (Azure AD) hesabı olması gerekir. Azure Active Directory’de Intune kullanıcılarını nasıl oluşturacağınızı öğrenmek için Kullanıcı ekleme ve Intune'a yönetici izni verme konusuna bakın.

• Son kullanıcının Azure Active Directory hesabına atanmış bir Microsoft Intune lisansının olması gerekir. Son kullanıcılara Intune lisanslarını nasıl atayacağınızı öğrenmek için Intune lisanslarını yönetme konusuna bakın.

• Son kullanıcı bir uygulama koruma ilkesi tarafından hedeflenen bir güvenlik grubuna ait olmalıdır. Aynı uygulama koruma ilkesi, kullanılan belirli uygulamayı hedeflemelidir. Uygulama koruması ilkeleri, yönetim merkezinde Microsoft Endpoint Manager dağıtılabilir. Güvenlik grupları şu anda Microsoft 365 yönetim merkezi.

• Son kullanıcının Azure AD hesabını kullanarak uygulamada oturum açması gerekir.

Uygulama koruması uygulamalar için Microsoft Office ilkeleri

Uygulama koruması uygulamalarıyla ilkeler kullanırken farkında olmak Microsoft Office vardır.

Outlook mobil uygulama

Mobil uygulama için Outlook gereksinimleri şunlardır:

• Son kullanıcının cihazında Outlook mobil uygulamasının yüklü olması gerekir.

• Son kullanıcının kendi Microsoft 365 Exchange Online hesabıyla bağlantılı bir posta kutusu ve Azure Active Directory olması gerekir.

  Not

  Outlook mobil uygulaması şu anda yalnızca Microsoft Exchange Online için Intune Uygulama Koruması’nı ve Hibrit modern kimlik doğrulaması ile Exchange Server’ı destekler ve Exchange’deki Office 365 Özel’i desteklemez.

Word, Excel ve PowerPoint

Word, Excel ve PowerPoint için ek gereksinimler şunlardır:

• Son kullanıcının kendi hesap hesabıyla bağlantılı İş için Microsoft 365 Uygulamaları veya kuruluş için bir Azure Active Directory olması gerekir. Aboneliğin mobil cihazlarda Office uygulamalarını içermesi gerekir ve OneDrive İş’te bir bulut depolama hesabını içerebilir. Microsoft 365 lisansları aşağıdaki yönergeleri izleyerek Microsoft 365 yönetim merkezi içinde atanabilir.

• Son kullanıcının "Kuruluş verisi kopyalarını kaydetme" uygulama koruma ilkesi ayarı altında ayrıntılı kaydetme işlevi kullanılarak yapılandırılmış bir yönetilen konuma sahip olması gerekir. Örneğin, yönetilen konum OneDrive ise OneDrive uygulaması son kullanıcının Word, Excel veya PowerPoint uygulamasında yapılandırılmalıdır.

• Yönetilen konum OneDrive ise uygulama, son kullanıcıya dağıtılan uygulama koruma ilkesi tarafından hedeflenmelidir.

  Not

  Office mobil uygulamaları şu anda yalnızca SharePoint Online’ı destekler ve SharePoint şirket içi sürümünü desteklemez.

Yönetilen konum için gereken Office

Yönetilen konumlar için (OneDrive) bir Office. Intune, uygulamanın tüm verilerini "kurumsal" veya "kişisel" olarak işaretler. Veriler bir iş konumundan geliyorsa “kurumsal” olarak kabul edilir. Office uygulamaları söz konusu olduğunda Intune, aşağıdakileri iş konumu olarak kabul eder: e-posta (Exchange) veya bulut depolama (OneDrive İş hesabı içeren OneDrive uygulaması).

Skype Kurumsal

Bu hizmet için ek gereksinimler Skype Kurumsal. Skype Kurumsal lisans gereksinimlerine bakın. Karma Skype Kurumsal (SfB) ve iç yapılandırmalar için bkz. SfB için Hibrit Modern Kimlik Doğrulaması ve Exchange sırasıyla Azure AD ile SfB OnPremiçin Modern Kimlik Doğrulaması ga ve modern kimlik doğrulaması.

Uygulama koruma genel ilkesi

Bir OneDrive yöneticisi admin.onedrive.com'a göz atarak Cihaz erişimi'ne seçerse, Mobil uygulama yönetimi denetimlerini OneDrive ve SharePoint olarak ayarlamalarını sağlar.

OneDrive Admin konsolundan bulunabilecek ayarlar Genel ilke olarak adlandırılan özel bir Intune uygulama koruma ilkesini yapılandırır. Bu genel ilke kiracınızdaki tüm kullanıcılar için geçerlidir ve ilkenin uygulanacağı nesneleri seçmenin bir yolu yoktur.

Etkinleştirildikten OneDrive iOS/iPadOS SharePoint Android uygulamaları varsayılan olarak seçili ayarlarla korunur. Bir BT uzmanı bu ilkeyi Intune konsolunda düzenleyebilir ve hedeflenen başka uygulamalar ekleyebilir ve herhangi bir ilke ayarını değiştirebilir.

Varsayılan olarak kiracı başına yalnızca bir Genel ilke olabilir. Ancak kiracı başına fazladan genel ilkeler oluşturmak için Intune Grafik API'leri kullanılabilirse de bu önerilmez. Böyle bir ilkenin uygulanmasıyla ilgili sorun giderme karmaşık hale geldiyseniz ek genel ilkeler oluşturulması önerilmez.

Genel ilke kiracınızdaki tüm kullanıcılar için geçerli olsa da herhangi bir standart Intune uygulama koruma ilkesi bu ayarları geçersiz kılabilir.

Uygulama koruma özellikleri

Çoklu kimlik

Çoklu kimlik desteği, bir uygulamanın birden çok hedef kitleyi desteklemesini sağlar. Bu hedef kitleler hem "kurumsal" hem de "kişisel" kullanıcılardır. İş ve okul hesapları "kurumsal" hedef kitleler tarafından kullanılırken, kişisel hesaplar diğer kullanıcılar gibi tüketici kitleleri için Microsoft Office kullanılır. Çoklu kimliği destekleyen bir uygulama, uygulama koruma ilkelerinin yalnızca uygulama iş ve okul ("kurumsal") bağlamında kullanılırken geçerli olduğu herkese açık bir şekilde yayın olabilir. Çoklu kimlik desteği, uygulama koruma ilkelerini yalnızca uygulamada oturum açık olan iş veya okul hesabına uygulamak için Intune SDK'sını kullanır. Kişisel bir hesap uygulamada oturum açarsa, verilere koruma uygulanmaz. Uygulama koruması ilkeleri, iş veya okul hesabı verilerini çok kimlikli uygulama içindeki kişisel hesaplara, diğer uygulamalar içindeki kişisel hesaplara veya kişisel uygulamalara aktarmayı önlemek için kullanılabilir.

"Kişisel" bağlam örneği için Word'de yeni bir belge başlatan bir kullanıcı düşünün; bu kişisel bağlam olarak kabul edilir ve bu Intune Uygulama Koruması uygulanmaz. Belge "şirket" hesabı OneDrive sonra "kurumsal" bağlam olarak kabul edilir ve Intune Uygulama Koruması uygulanır.

İş veya "kurumsal" bağlam için aşağıdaki örnekleri göz önünde bulundurarak:

• Kullanıcı, OneDrive hesabını kullanarak uygulamayı başlatır. Bu kullanıcı iş bağlamında dosyaları kişisel depolama alanına taşıyamaz. Daha sonra OneDrive'ı kendi kişisel hesabıyla kullandığında, kişisel OneDrive'ından kısıtlamasız olarak veri kopyalayabilir ve taşıyabilir.
• Kullanıcı, Outlook uygulamasında e-posta taslağı Outlook başlar. Konu veya ileti gövdesi doldurulduktan sonra, konu ve ileti gövdesi Uygulama Koruma ilkesi tarafından korunduğundan kullanıcı FROM adresini iş bağlamından kişisel bağlama değiştiremiyor.

Intune uygulama PIN'i

Kişisel Kimlik Numarası (PIN), bir uygulamadaki kuruluş verilerine doğru kullanıcının eriştiğini doğrulamak için kullanılan bir paroladır.

PIN istemi
Intune, kullanıcının uygulama PIN’ini yalnızca kullanıcı “kurumsal” verilere erişmek üzereyken ister. Word, Excel veya PowerPoint gibi çok kimlikli uygulamalarda, bir "kurumsal" belge veya dosya açmaya çalışsa kullanıcıdan PIN'i istenir. IntuneApp Wrapping Tool kullanılarak yönetilen iş yeri uygulamaları gibi tek kimlikli uygulamalarda, Intune SDK'sı kullanıcının uygulama deneyiminin her zaman "kurumsal" olduğunu bildiği için başlatmada PIN istenir.

PIN istemi veya şirket kimlik bilgisi istemi, sıklık
IT yöneticisi, Intune yönetim konsolunda (dakika) sonra erişim gereksinimlerini yeniden kontrol edin Intune uygulama koruma ilkesi ayarını tanımlayabilir. Bu ayar, erişim gereksinimlerinin cihazda denetlenmeden önce ne kadar süre olduğunu belirtir ve uygulama PIN ekranı veya şirket kimlik bilgileri istemi yeniden gösterilir. Ancak kullanıcıdan PIN istenme sıklığını etkileyen önemli PIN ayrıntıları şöyledir:

• Kullanılabilirliği artırmak için PIN aynı yayımcının uygulamaları arasında paylaşılır:
  iOS/iPadOS'ta bir uygulama PIN'i aynı uygulama yayımcısı olan tüm uygulamalar arasında paylaşılır. Örneğin, tüm Microsoft uygulamaları aynı PIN'i paylaşır. Android’de bir uygulama PIN’i tü uygulamalar arasında paylaşılır.
• Cihaz yeniden başlatıldıktan sonra (dakika) davranışından sonra erişim gereksinimlerini yeniden kontrol edin:
  Süreölçer, intune uygulama PIN'ini veya şirket kimlik bilgisi isteminin ne zaman gösterek bir sonraki adımlarını belirleyen, herhangi bir şekilde çalışmama süresi olan dakika sayısını izler. iOS/iPadOS'ta zamanlayıcı, cihaz yeniden başlatmadan etkilenmez. Bu nedenle, cihazın yeniden başlatılması kullanıcının Intune PIN (veya kurumsal kimlik bilgileri) ilkesi hedeflenen bir iOS/iPadOS uygulamasında etkin olmayan dakika sayısı üzerinde bir etkisi yoktur. Android'de, cihaz yeniden başlatıldığında zamanlayıcı sıfırlanır. Bu nedenle, Intune PIN (veya kurumsal kimlik bilgileri) ilkesine sahip Android uygulamaları, cihaz yeniden başlatıldıktan sonra '(dakika)' ayarından sonra erişim gereksinimlerini yeniden kontrol edin' ayarından bağımsız olarak büyük olasılıkla bir uygulama PIN'i veya şirket kimlik bilgisi istemi ister.
• PIN ile ilişkili zamanlayıcının kayan doğası:
  Bir uygulamaya (uygulama A) erişmek için bir PIN girildikten sonra uygulama, ön planda (ana giriş odağını), bu PIN için sıfırlanarak kalır. Bu PIN’i paylaşan başka bir uygulama (uygulama B), zamanlayıcı sıfırlandığı için kullanıcıdan PIN girmesini istemeyecektir. “(dakika) sonra erişim gereksinimlerini yeniden denetle” değeri yeniden karşılandığında istem yeniden görüntülenecektir.

İOS/ıpados cihazlarında, PIN farklı yayımcıların uygulamaları arasında paylaşılsa bile, ana giriş odağı olmayan uygulama için (dakika) sonra erişim gereksinimlerini yeniden denetle değeri karşılandığında istem tekrar görünür. Yani, örneğin bir kullanıcıda X yayımcısının A uygulaması ve Y yayımcısının B uygulaması varsa bu iki uygulama aynı PIN’i paylaşır. Kullanıcı, A uygulamasına odaklanmıştır (uygulama ön plandadır) ve B uygulaması simge durumuna küçültülmüştür. (dakika) sonra erişim gereksinimlerini yeniden denetle süresi geçtikten sonra kullanıcı B uygulamasına geçerse PIN gerekir.

Outlook ve OneDrive için yerleşik uygulama pın 'leri
Intune PIN 'i, etkin olmama tabanlı bir zamanlayıcıya ( dakika sonra erişim gereksinimlerini yeniden denetle değeri) göre çalışmaktadır. Bu sebeple Intune PIN istemleri, genelde varsayılan olarak uygulama başlatmasına bağlı olan Outlook ve OneDrive için yerleşik uygulama PIN’lerinden bağımsız olarak çalışır. Kullanıcı iki PIN istemini de aynı anda alırsa, beklenen davranış Intune PIN’inin öncelik kazanmasıdır.

Intune PIN güvenliği
PIN, uygulamadaki kuruluş verilerine yalnızca doğru kullanıcının erişmesine izin verir. Bu nedenle son kullanıcıların, Intune uygulama PIN’lerini ayarlamak veya sıfırlamak için iş veya okul hesaplarında oturum açmaları gerekir. bu kimlik doğrulaması, güvenli belirteç değişimi aracılığıyla Azure Active Directory tarafından işlenir ve ıntune SDK 'sıtarafından saydam değildir. Güvenlik açısından, iş veya okul verilerini korumanın en iyi yolu verileri şifrelemektir. Şifreleme, uygulama PIN'i ile ilişkili değildir; ayrı bir uygulama koruma ilkesidir.

Deneme yanılma saldırılarına karşı koruma ve Intune PIN 'ı
Uygulama PIN’i ilkesinin parçası olarak BT yöneticisi, bir kullanıcının uygulama kilitlenmeden önce PIN’ini doğrulamayı en fazla kaç kez deneyebileceğini belirleyebilir. Deneme sayısı karşılandıktan sonra, ıNTUNE SDK uygulamadaki "Kurumsal" verileri silebilir.

Intune PIN ve seçmeli silme
İOS/ıpados 'da, uygulama düzeyi PIN bilgileri, aynı yayımcının tüm birinci taraf Microsoft uygulamaları gibi uygulamalar arasında paylaşılan anahtarlıkta depolanır. Bu PIN bilgileri ayrıca bir son kullanıcı hesabına bağlıdır. Bir uygulamanın seçmeli Temizleme işlemi, farklı bir uygulamayı etkilememelidir.

örneğin, oturum açmış kullanıcının Outlook için bir pın kümesi, paylaşılan bir anahtarlıkta saklanır. kullanıcı OneDrive oturum açtığında (ayrıca Microsoft tarafından yayımlandığında), aynı paylaşılan anahtarlığı kullandığından Outlook aynı pın 'i görür. Outlook oturumunuzu açıp Outlook kullanıcı verilerini silme sırasında ıntune SDK 'sı bu pın 'i hala kullanıyor olabileceğinden bu OneDrive anahtarlığı temizlemez. Bu nedenle, seçmeli wpes, PIN 'ı de içeren paylaşılan anahtarlığı temizlemez. Bu davranış, cihazda yalnızca bir yayımcı tarafından tek bir uygulama mevcut olsa bile aynı kalır.

PIN, aynı yayımcıya sahip uygulamalar arasında paylaşıldığından, silme işlemi tek bir uygulamaya geçtiğinde, cihazda aynı yayımcıya sahip başka bir uygulama olup olmadığını, Intune SDK 'Sı bilmez. Bu nedenle, Intune SDK diğer uygulamalar için hala kullanılabilir olduğundan PIN 'ı temizlemez. Bunun beklentisi, bu yayımcının son uygulaması, bazı işletim sistemi temizlemesinin bir parçası olarak kaldırılacak şekilde uygulama PIN 'inin silinmesine neden olur.

PIN 'in bazı cihazlarda temizlenmiş olduğunu gözlemlerseniz, şunlar olasıdır: PIN bir kimliğe bağlı olduğundan, Kullanıcı silme işleminden sonra farklı bir hesapla oturum açmışsa, yeni bir PIN girmesi istenir. Ancak, önceden var olan bir hesapla oturum açtıklarında, anahtarlıkta depolanan bir PIN, oturum açmak için zaten kullanılabilir.

Aynı yayımcıdaki uygulamalarda iki kez bir PIN mi ayarlanıyor?
MAM (ios 'ta/ıpados) şu anda, ios için ıntune SDK 'sınıbütünleştirmek için uygulamaların (ör. wxp, Outlook, Managed Browser, Yammer) katılımını gerektiren alfasayısal ve özel karakterler (' geçiş kodu ' olarak adlandırılır) ile uygulama düzeyinde pın 'e izin veriyor. Bu olmadan geçiş kodu ayarları, hedeflenmiş uygulamalar için doğru şekilde zorlanır. Bu, iOS için Intune SDK'sı 7.1.12 sürümünde kullanıma sunulmuş olan bir özellikti.

Bu özelliği desteklemek ve iOS/ıpados için Intune SDK 'sının önceki sürümleriyle geriye dönük uyumluluk sağlamak için, 7.1.12 + içindeki tüm PIN 'Ler (sayısal veya geçiş kodu), SDK 'nın önceki sürümlerindeki sayısal PIN 'ten ayrı olarak işlenir. Bu nedenle, cihazda aynı yayımcının iOS için Intune SDK'sının 7.1.12 öncesi VE 7.1.12 sonrası sürümlerini içeren uygulamalar varsa, iki PIN ayarlamaları gerekir. İki PIN (her uygulama için) herhangi bir şekilde ilişkili değildir (yani, uygulamaya uygulanan uygulama koruma ilkesine uyması gerekir). Bu nedenle, yalnızca A ve B uygulamaları aynı ilkelerin uygulanmış olması durumunda (PIN 'e göre), Kullanıcı aynı PIN 'i iki kez ayarlayabilir.

Bu davranış, Intune mobil uygulama yönetimi ile etkinleştirilen iOS/ıpados uygulamalarındaki PIN 'e özgüdür. Zamanla, uygulamalar iOS için Intune SDK/ıpados 'ın sonraki sürümlerini benimsediği için, aynı yayımcıdan gelen uygulamalarda bir PIN 'ı iki kez ayarlamaya gerek bir sorundan daha az olur. Örnek görmek için lütfen aşağıdaki nota bakın.

Uygulama veri şifrelemesi

BT yöneticileri uygulama verilerinin şifrelenmesini gerektiren bir uygulama koruma ilkesi dağıtabilir. İlkenin bir parçası olarak BT yöneticisi, içeriğin ne zaman şifreleneceğini de belirtebilir.

Intune veri şifreleme işlemi nasıl yapılır?
Şifreleme uygulama koruma ilkesi ayarı hakkında ayrıntılı bilgi için Android uygulama koruma ilkesi ayarları ve IOS/ıpados uygulama koruma ilkesi ayarları bölümüne bakın.

Şifrelenen veriler
BT yöneticisinin uygulama koruma ilkesine uygun şekilde, yalnızca “kurumsal” olarak işaretlenen veriler şifrelenir. Veriler bir iş konumundan geliyorsa “kurumsal” olarak kabul edilir. ıntune Office uygulamalar için aşağıdakileri iş konumları olarak kabul eder:

• E-posta (Exchange)
• bulut depolama (OneDrive İş hesabıyla OneDrive uygulama)

ıntune App Wrapping Tooltarafından yönetilen iş kolu uygulamaları için tüm uygulama verileri "kurumsal" olarak kabul edilir.

Seçmeli temizleme

Verileri uzaktan silme
Intune, uygulama verilerini üç farklı yolla temizleyebilir:

• Tam cihaz Temizleme
• MDM için seçmeli Temizleme
• MAM seçmeli silme

MDM için uzaktan silme hakkında daha fazla bilgi için bkz. Silme veya kullanımdan kaldırma işlemlerini kullanarak cihaz kaldırma. MAM kullanarak seçmeli silme hakkında daha fazla bilgi için bkz. Kullanımdan kaldırma eylemi ve Uygulamalardan yalnızca şirket verilerini silme.

Tam cihaz temizleme , cihazı fabrika varsayılan ayarlarına geri yükleyerek cihazdaki tüm Kullanıcı verilerini ve ayarlarını kaldırır. Cihaz Intune’dan kaldırılır.

MDM için seçmeli Temizleme
Şirket verilerini kaldırma hakkında bilgi edinmek için Cihaz kaldırma - kullanımdan kaldırma bölümüne bakın.

MAM için seçmeli Temizleme
MAM için seçmeli temizleme, şirket uygulama verilerini uygulamadan kaldırır. İstek Intune kullanılarak başlatılır. Bir silme isteği başlatma hakkında bilgi edinmek için bkz. Uygulamalardan yalnızca şirket verilerini temizleme.

Seçmeli Temizleme başlatıldığında Kullanıcı uygulamayı kullanıyorsa, Intune SDK 'sı , Intune MAM hizmetinden seçmeli silme isteği için her 30 dakikada bir denetler. Ayrıca kullanıcı uygulamayı ilk kez başlattığında ve iş veya okul hesabı ile oturum açtığında da seçmeli temizleme isteği olup olmadığı denetlenir.

Şirket Içi hizmetler (Şirket Içi) Hizmetleri Intune korumalı uygulamalarla çalışmazsa
Intune uygulama koruması, uygulama ve ıNTUNE SDKarasında tutarlı olması için kullanıcının kimliğine bağlıdır. Bunu garanti etmenin tek yolu modern kimlik doğrulaması yapmaktır. Uygulamaların bir şirket içi yapılandırma ile çalışabileceği senaryolar vardır, ancak bunlar tutarlı değildir ve garanti edilmez.

Yönetilen uygulamalardan Web bağlantıları açmak için güvenli yol
bt yöneticisi, ıntune ile kolayca yönetilebilen bir web tarayıcısı olan Microsoft Edgeiçin uygulama koruma ilkesi dağıtabilir ve ayarlayabilir. BT Yöneticisi, Intune ile yönetilen uygulamalardaki tüm Web bağlantılarının yönetilen bir tarayıcı kullanılarak açılmasını gerektirebilir.

İOS cihazları için uygulama koruma deneyimi

Cihaz parmak izi veya yüz kimlikleri

Intune uygulama koruma ilkeleri, yalnızca Intune lisanslı kullanıcılara uygulama erişimi denetimi verir. Uygulamaya erişimi denetleme yollarından biri, desteklenen cihazlarda Apple’ın Touch ID veya Face ID özelliğini gerekli kılmaktır. Intune, cihazın biyometrik veritabanında bir değişiklik olduğunda ve etkin olmama zaman aşımı değeri karşılandığında kullanıcıdan PIN isteyen bir davranış uygular. Biyometrik verilerdeki değişikliklere parmak izi veya yüz kimliği eklenmesi veya kaldırılması dahildir. Intune kullanıcısı bir PIN ayarlamamışsa, Intune PIN’i ayarlamak üzere yönlendirilir.

Bu işlemin amacı, kuruluşunuzun uygulama içindeki verilerinin güvenli ve uygulama düzeyinde korunmasını sürdürmeye devam etmek için kullanılır. Bu özellik yalnızca iOS/ıpados için kullanılabilir ve iOS/ıpados, sürüm 9.0.1 veya üzeri için Intune SDK 'sını tümleştiren uygulamaların katılımını gerektirir. Hedeflenen uygulamalarda davranışın zorlanabilmesi için SDK tümleştirmesi gereklidir. Bu tümleştirme, sıralı bir şekilde gerçekleşir ve belirli uygulama ekiplerine bağımlıdır. Katılan uygulamalardan bazıları WXP, Outlook, Managed Browser ve Yammer’dır.

iOS paylaşım uzantısı

Veri aktarımı ilkesi yalnızca yönetilen uygulamalara ayarlanmış olsa da veya hiç uygulama yoksa, yönetilemeyen uygulamalarda iş veya okul verilerini açmak için iOS/iPadOS paylaşım uzantısını kullanabilirsiniz. Intune uygulama koruma ilkesi, cihazı yönetmeden iOS/iPadOS paylaşım uzantısını kontrol altına alamaz. Bu nedenle, Intune “kurumsal” verileri veriler uygulama dışında paylaşılmadan önce şifreler. Yönetilen uygulamanın dışında bir "şirket" dosyası açmaya çalışarak bu şifreleme davranışını doğruabilirsiniz. Bu dosya şifrelenmiş olmalı ve yönetilen bir uygulama dışında açılamamalıdır.

Evrensel Bağlantılar desteği

Varsayılan olarak, Intune uygulama koruma ilkeleri yetkisiz uygulama içeriğine erişimi önler. iOS/iPadOS'ta, Evrensel Bağlantılar'ı kullanarak belirli içeriği veya uygulamaları açma işlevi vardır.

Kullanıcılar, Safari'de ziyaret ederek ve Yeni Sekmede Aç veya Aç'ı seçerek bir uygulamanın Evrensel Bağlantılarını devre dışı bırakabilirsiniz. Intune uygulama koruma ilkeleriyle Evrensel Bağlantılar'ın kullanıcısı olmak için, evrensel bağlantıları yeniden etkinleştirmek önemlidir. İlgili bağlantıya uzun süre bastıktan sonra son kullanıcının < **** Safari'> uygulama adı içinde aç bağlantısı açması gerekir. Bunun için tüm ek korumalı uygulamanın tüm Evrensel Bağlantıları cihaza korumalı uygulamaya yönlendirmesi istenebilir.

Aynı uygulama ve kullanıcı kümesi için birden çok Intune uygulama koruma erişim ayarı

Erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalışıldıklarında son kullanıcı cihazlarında belirli bir sırada uygulanır. Genel olarak öncelik temizlemededir; ardından engelleme, sonra da kapatılabilen uyarı gelir. Örneğin, belirli bir kullanıcı/uygulama için geçerli ise, bir kullanıcının iOS/iPadOS sürümünü güncelleştirmesi konusunda uyaran en düşük iOS/iPadOS işletim sistemi ayarı, kullanıcının erişimini engelleyen en düşük iOS/iPadOS işletim sistemi ayarından sonra uygulanır. Dolayısıyla, BT yöneticisinin en düşük iOS işletim sistemi olarak 11.0.0.0 ve en düşük iOS işletim sistemi (yalnızca Uyarı) olarak 11.1.0.0'ı ayarladığı bir senaryoda, uygulamaya erişmeye çalışan cihazın işletim sistemi iOS 10 olduğunda, son kullanıcı erişimin engellenmesine yol açan en düşük iOS işletim sistemi sürümüne yönelik daha kısıtlayıcı ayar temel alınarak engellenebilir.

Farklı türlerde ayarlarla uğraşan bir Intune SDK'sı sürüm gereksinimi önceliklidir ve ardından iOS/iPadOS işletim sistemi sürümü gereksinimi bir uygulama sürümü gereksinimidir. Ardından, tüm ayarlar türlerine yönelik uyarılar aynı sırada denetlenir. Intune SDK sürüm gereksiniminin yalnızca temel engelleme senaryoları için Intune ürün ekibinin rehberliğinde yapılandırılması önerilir.

Android Uygulama koruması için performans deneyimi

Cihaz biyometrik kimlik doğrulaması

Biyometrik kimlik doğrulamasını destekleyen Android cihazlarda, Android cihazlarının ne desteklediğine bağlı olarak son kullanıcıların parmak izi veya Yüz Tanıma Kilidi Açma kullanmasına izin veebilirsiniz. Parmak izi dışında tüm biyometrik türlerin kimlik doğrulaması için kullanılap kullanılab olmadığını yapılandırarak. Parmak izi ve Yüz Tanıma Kilidinin yalnızca bu biyometrik türleri desteklemek için üretilen ve Android'in doğru sürümünü çalıştıran cihazlarda kullanılabilir olduğunu unutmayın. Parmak izi için Android 6 ve daha üst sürümü, Yüz Tanıma Için android 10 ve daha yüksek bir sürümü gereklidir.

Şirket Portalı ve Intune uygulama koruması

Uygulama koruma işlevlerinin çoğu Şirket Portalı uygulamasında yerleşik olarak bulunur. Cihaz kaydı, uygulamanın her Şirket Portalı olmasına rağmen gerekli değildir. Kayıt olmadan mobil uygulama yönetimi (MAM-WE) için son kullanıcının Şirket Portalı yüklü olması gerekir.

Aynı uygulama ve kullanıcı kümesi için birden çok Intune uygulama koruma erişim ayarı

Erişim için Intune uygulama koruma ilkeleri, kurumsal hesaplarından hedeflenen bir uygulamaya erişmeye çalışıldıklarında son kullanıcı cihazlarında belirli bir sırada uygulanır. Genel olarak öncelik engellemededir; ardından kapatılabilen uyarı gelir. Örneğin, belirli bir kullanıcı/uygulama için uygunsa, kullanıcıyı bir yama yükseltmesi alması için uyaran en düşük Android yama sürümü ayarı, kullanıcının erişimini engelleyen en düşük Android yama sürümü ayarından sonra uygulanacaktır. Dolayısıyla, BT yöneticisinin en düşük Android yama sürümü olarak 2018-03-01 ve en düşük Android yama sürümü (yalnızca Uyarı) olarak 2018-02-01'i ayarladığı bir senaryoda, uygulamaya erişmeye çalışan cihazın yama sürümü 2018-01-01 olduğunda, son kullanıcı erişimin engellenmesine yol açan en düşük Android yama sürümüne yönelik daha kısıtlayıcı ayar temel alınarak engellenebilir.

Farklı ayar türleriyle ilgilenirken, uygulama sürümü gereksinimi önceliklidir ve bunu Android işletim sistemi sürümü gereksinimi ile Android yama sürümü gereksinimi izler. Ardından, tüm ayarlar türlerine yönelik uyarılar aynı sırada denetlenir.

Android cihazlar için Intune uygulama koruma ilkeleri ve Google SafetyNet Koruması

Intune uygulama koruma ilkeleri, yöneticilerin son kullanıcı cihazlarının Android cihazlar için Google'ın SafetyNet Attestation'sını geçmesi için gerekli klik sağlar. Yeni Google Play hizmeti belirleme, Intune hizmeti tarafından belirlenen bir aralıkta IT yöneticisine rapor verir. Hizmet çağrısının ne sıklıkta yük nedeniyle kısıtlandı, bu nedenle bu değer dahili olarak korunur ve yapılandırılabilir değildir. Google SafetyNet Sertifika ayarı için yapılandırılan herhangi bir IT yöneticisi eylemi, koşullu başlatma zamanında Intune hizmetine bildirilen son sonuç temel alınarak yapılacaktır. Veri yoksa, başka koşullu başlatma denetimlerinin başarısız olması durumuna bağlı olarak erişime izin verilir ve Google Play Hizmeti'nin, cihaz başarısız olursa arka uçta cihaza zaman uyumsuz olarak cihaz sonuçlarının belirlenmesi için "gidiş dönüş" başlar. Eski veriler varsa, bildirilen son sonuça bağlı olarak erişim engellenir veya izin verilir ve benzer şekilde, cihaz başarısız olursa, bir Google Play Hizmeti "gidiş dönüş", doğrulama sonuçlarını belirlemeye başlar ve kullanıcıdan zaman uyumsuz olarak ister.

Android cihazlar için Intune uygulama koruma ilkeleri ve Google'ın Uygulamaları Doğrulama API'si

Intune Uygulama Koruması İlkeleri, yöneticilerin android cihazlar için Google'ın Uygulamaları Doğrula API'si aracılığıyla son kullanıcı cihazlarının sinyal göndermesini gerektirme yeteneği sağlar. Bunun nasıl yapılır yönergeleri cihaza göre biraz farklılık gösterir. Genel işlem, Google Play Store'a gidip Uygulamalarım & oyunlarına tıklamayı, son uygulama taramasının sonucuna tıklayarak Play Protect menüsüne gidin. Cihazı güvenlik tehditleri için tara iki durumlu düğmenin açık olduğundan emin olun.

Google'ın SafetyNet Attestation API'si

Intune, Google Play cihazlarında mevcut kök algılama denetimlerimize eklemek için SafetyNet API'lerini koruma konusundan faydalanıyor. Google, android uygulamalarının köke bağlı cihazlarda çalışması istemiyorsa, bu API setlerini benimseyen Android uygulamaları için geliştirmiş ve sürdürmektedir. Android Pay uygulaması buna örnek olarak dahil etti. Google, oluşan kök algılama denetimlerinin tamamını herkese açık bir şekilde paylaşmasa da, bu API'lerin cihazlarına kök erişime sahip kullanıcıları algılamasını bekliyoruz. Bu kullanıcılar daha sonra erişimi engellenmiş olabilir veya şirket hesapları ilke etkinleştirilmiş uygulamalardan temizlenmiş olabilir. Temel bütünlüğü denetleme, cihazın genel bütünlüğü hakkında bilgi verir. Kökleri değiştirilmiş cihazlar, öykünücüler, sanal cihazlar ve kurcalama işaretlerine sahip cihazlar temel bütünlükte başarısız olur. Sertifikalı cihazlarda & bütünlüğünü denetleme, cihazın Google hizmetleriyle uyumluluğunu gösterir. Bu denetimi yalnızca Google tarafından onaylanmış olan değiştirilmemiş cihazlar geçebilirsiniz. Başarısız olacak cihazlar aşağıdakileri içerir:

• Temel bütünlükte başarısız olan cihazlar
• Kilidi açık bir önyükleme yükleyicisi olan cihazlar
• Özel sistem görüntüsü/ROM'u olan cihazlar
• Üreticinin Google sertifikasına başvurması veya sertifikadan geçmemiş olduğu cihazlar
• Doğrudan Android Açık Kaynak Programı kaynak dosyalarından sistem görüntüsüne sahip cihazlar
• Beta/geliştirici önizleme sistemi görüntüsüne sahip cihazlar

Teknik ayrıntılar için SafetyNet Attestation hakkında Google'ın belgelerine bakın.

SafetyNet cihaz doğru ayarı ve 'jailbroken/rooted devices' ayarı

Google Play Protect'in SafetyNet API'si denetimleri, son kullanıcının en azından, en azından doğrulama sonuçlarının yürütülebilmesini belirlemek için "gidiş dönüş" süresi boyunca çevrimiçi olmayı gerektirir. Son kullanıcı çevrimdışıysa, IT yöneticisi yine de jailbroken/rooted devices ayarından bir sonucun uygulanmasını bekler. Ancak son kullanıcı çok uzun süre çevrimdışı kaldıysa Çevrimdışı yetkisiz kullanım süresi değeri devreye gelir ve ağ erişimi kullanılabilir olana kadar zamanlayıcı değerine ulaşıldıktan sonra iş veya okul verilerine tüm erişim engellenir. Her iki ayarın da açık olması, son kullanıcı cihazlarının iyi şekilde tutularak katmanlı bir yaklaşıma olanak tanır. Bu durum, son kullanıcıların mobil cihazlarda iş veya okul verilerine erişmesi açısından önemlidir.

Google Play API'leri ve Google Play Hizmetleri

Koruma API'lerini koruma Google Play uygulama koruma ilkesi ayarlarının Google Play Hizmetleri gerekir. Hem SafetyNet cihaz koruması hem de uygulama ayarlarında tehdit taraması için Google'ın belirlenen Google Play Hizmetleri çalışması gerekir. Bunlar güvenlik alanında yer alan ayarlar olduğu için, son kullanıcı bu ayarlarla hedeflenmişse ve Google Play Hizmetleri'nin uygun sürümünü karşılayamasa veya Google Play Hizmetleri.

Sonraki adımlar

Microsoft Intune ile uygulama koruma ilkelerini oluşturma ve dağıtma

Kullanılabilir Android uygulama koruma ilkesi ayarları Microsoft Intune

Kullanılabilir iOS/iPadOS uygulama koruma ilkesi ayarları Microsoft Intune