Microsoft Intune ile verileri ve cihazları koruma
Microsoft Intune, yönetilen cihazlarınızı güvenli ve güncel tutmanıza yardımcı olurken, kuruluşunuzun verilerini tehlikeye girmiş cihazlardan korumanıza da yardımcı olabilir. Veri koruması, kullanıcıların hem yönetilen hem de yönetilmeyen cihazlarda kuruluşun verileriyle ne yaptığını denetlemeyi içerir. Veri koruması ayrıca güvenliği aşılmış olabilecek cihazlardan verilere erişimi engellemeye de genişletir.
Bu makalede, Intune ile tümleştirebileceğiniz birçok Intune yerleşik özelliği ve iş ortağı teknolojisi vurgulanır. Bunlar hakkında daha fazla bilgi edindikçe, sıfır güven ortamına doğru yolculuğunuzda daha kapsamlı çözümler için birkaçını bir araya getirebilirsiniz.
intune, Microsoft Intune yönetim merkezinden Android, iOS/iPad, Linux, macOS, Windows 10 ve Windows 11 çalıştıran yönetilen cihazları destekler.
Şirket içi cihazları yönetmek için Configuration Manager kullandığınızda, kiracı ekleme veya ortak yönetimi yapılandırarak Intune ilkelerini bu cihazlara genişletebilirsiniz.
Intune, cihaz uyumluluğu ve mobil tehdit koruması sağlayan üçüncü taraf ürünlerle yönettiğiniz cihazlardan gelen bilgilerle de çalışabilir.
İlkeler aracılığıyla cihazları koruma
Intune'un uç nokta güvenliği, cihaz yapılandırması ve cihaz uyumluluk ilkelerini dağıtarak cihazları kuruluşunuzun güvenlik hedeflerine uyacak şekilde yapılandırın. İlkeler, kayıtlı cihaz gruplarına dağıttığınız platforma özgü kurallardan oluşan ayrık kümeler olan bir veya daha fazla profili destekler.
Uç nokta güvenlik ilkeleriyle, cihazlarınızın güvenliğine odaklanmanıza ve riski azaltmanıza yardımcı olmak için tasarlanmış güvenlik odaklı ilkeler dağıtın. Kullanılabilir görevler, riskli cihazları belirlemenize, bu cihazları düzeltmenize ve bunları uyumlu veya daha güvenli bir duruma geri yüklemenize yardımcı olabilir.
Cihaz yapılandırma ilkeleriyle, cihazların kuruluşunuzda kullandığı ayarları ve özellikleri tanımlayan profilleri yönetin. Uç nokta koruması için cihazları yapılandırın, kimlik doğrulaması için sertifikalar sağlayın, yazılım güncelleştirme davranışlarını ayarlayın ve daha fazlasını yapın.
Cihaz uyumluluk ilkeleriyle, cihaz gereksinimlerini oluşturan farklı cihaz platformları için profiller oluşturursunuz. Gereksinimler arasında işletim sistemi sürümleri, disk şifreleme kullanımı veya tehdit yönetimi yazılımı tarafından tanımlanan belirli tehdit düzeylerinde veya bu düzeylerde olmak yer alabilir.
Intune, ilkelerinizle uyumlu olmayan cihazları korur ve cihazı uyumlu hale getirebilmesi için cihaz kullanıcısını uyarır.
Karmaya Koşullu Erişim eklediğinizde, yalnızca uyumlu cihazların ağınıza ve kuruluşunuzun kaynaklarına erişmesine izin veren ilkeleri yapılandırın. Erişim kısıtlamaları dosya paylaşımlarını ve şirket e-postalarını içerebilir. Koşullu Erişim ilkeleri, Intune ile tümleştirdiğiniz üçüncü taraf cihaz uyumluluk iş ortakları tarafından bildirilen cihaz durumu verileriyle de çalışır.
Kullanılabilir ilkeler aracılığıyla yönetebileceğiniz güvenlik ayarları ve görevlerinden birkaçı aşağıdadır:
Cihaz şifrelemesi – Windows 10 cihazlarda BitLocker'ı ve macOS'ta FileVault'ı yönetin.
Kimlik doğrulama yöntemleri – Cihazlarınızın kuruluşunuzun kaynaklarında, e-postalarında ve uygulamalarında nasıl kimlik doğrulaması yapılacağını yapılandırın.
Uygulamalarda, kuruluşunuzun kaynaklarında kimlik doğrulaması yapmak ve S/MIME kullanarak e-posta imzalamak ve şifrelemek için sertifikaları kullanın. Ortamınız akıllı kart kullanımını gerektirdiğinde türetilmiş kimlik bilgilerini de ayarlayabilirsiniz.
Riski sınırlamaya yardımcı olacak ayarları yapılandırın, örneğin:
- Kullanıcılar için ek bir kimlik doğrulaması katmanı eklemek için çok faktörlü kimlik doğrulaması (MFA) gerektirin.
- Kaynaklara erişim kazanmadan önce karşılanması gereken PIN ve parola gereksinimlerini ayarlayın.
- Windows 10 cihazlar için İş İçin Windows Hello etkinleştirin.
Sanal özel ağlar (VPN'ler) – VPN profilleriyle, kuruluşunuzun ağına kolayca bağlanabilmeleri için cihazlara VPN ayarları atayın. Intune, bazı platformlar için yerleşik özellikleri ve cihazlar için hem birinci hem de üçüncü taraf VPN uygulamalarını içeren çeşitli VPN bağlantı türlerini ve uygulamaları destekler.
Yazılım güncelleştirmeleri – Cihazların yazılım güncelleştirmelerini nasıl ve ne zaman edineceklerini yönetin. Aşağıdakiler desteklenir:
- Android üretici yazılımı güncelleştirmeleri:
- Üretici Yazılımı Over-the-Air (FOTA) - Bazı OEM'ler tarafından desteklenen FOTA'yı kullanarak cihazların üretici yazılımını uzaktan güncelleştirebilirsiniz.
- Zebra LifeGuard Over-the-Air (LG OTA) - Intune yönetim merkezi aracılığıyla desteklenen Zebra cihazları için üretici yazılımı güncelleştirmelerini yönetin.
- iOS - Cihaz işletim sistemi sürümlerini ve cihazların güncelleştirmeleri denetleyip yüklemesini yönetin.
- macOS - Denetimli cihazlar olarak kaydedilen macOS cihazları için yazılım güncelleştirmelerini yönetin.
- Windows 10 cihazlar için Windows Update deneyimini yönetebilirsiniz. Cihazlar güncelleştirmeleri taradığında veya yüklediğinde yapılandırabilir, yönetilen cihazlarınızı belirli özellik sürümlerinde tutabilir ve daha fazlasını yapabilirsiniz.
- Android üretici yazılımı güncelleştirmeleri:
Güvenlik temelleri – Windows 10 cihazlarınızda temel güvenlik duruşu oluşturmak için güvenlik temellerini dağıtın. Güvenlik temelleri, ilgili ürün ekipleri tarafından önerilen önceden yapılandırılmış Windows ayarları gruplarıdır. Temelleri sağlanan şekilde kullanabilir veya hedeflenen cihaz gruplarına yönelik güvenlik hedeflerinizi karşılamak için bunların örneklerini düzenleyebilirsiniz.
İlkeler aracılığıyla verileri koruma
Intune tarafından yönetilen uygulamalar ve Intune'un uygulama koruma ilkeleri , veri sızıntılarını durdurmanıza ve kuruluşunuzun verilerini güvende tutmanıza yardımcı olabilir. Bu korumalar, Intune'a kayıtlı cihazlar ve olmayan cihazlar için geçerli olabilir.
Intune tarafından yönetilen uygulamalar (veya kısaca yönetilen uygulamalar), Intune Uygulama SDK'sı ile tümleştirilmiş veya Intune App Wrapping Tool tarafından sarmalanmış uygulamalardır. Bu uygulamalar Intune uygulama koruma ilkeleri kullanılarak yönetilebilir. Genel kullanıma açık yönetilen uygulamaların listesini görüntülemek için bkz. Intune korumalı uygulamalar.
Kullanıcılar hem kuruluşunuzun verileriyle hem de kendi kişisel verileriyle çalışmak için yönetilen uygulamaları kullanabilir. Ancak, uygulama koruma ilkeleri yönetilen bir uygulamanın kullanılmasını gerektirdiğinde, kuruluşunuzun verilerine erişmek için kullanılabilecek tek uygulama yönetilen uygulamadır. Uygulama koruması kuralları kullanıcının kişisel verileri için geçerli değildir.
Uygulama koruması ilkeleri, bir kuruluşun verilerinin güvenli kalmasını veya yönetilen uygulamada yer almamasını sağlayan kurallardır. Kurallar, kullanılması gereken yönetilen uygulamayı tanımlar ve uygulama kullanımdayken verilerle neler yapılabileceğini tanımlar.
Aşağıda, uygulama koruma ilkeleri ve yönetilen uygulamalarla ayarlayabileceğiniz koruma ve kısıtlama örnekleri verilmiştir:
- Uygulamayı iş bağlamında açmak için PIN gerektirme gibi uygulama katmanı korumalarını yapılandırın.
- Kopyalama ve yapıştırmayı engelleme veya ekran yakalama işlemleri gibi kuruluş verilerinin bir cihazdaki uygulamalar arasında paylaşımını denetleme.
- Kuruluşunuzun verilerinin kişisel depolama konumlarına kaydedilmesini engelleyin.
Cihazları ve verileri korumak için cihaz eylemlerini kullanma
Microsoft Intune yönetim merkezinden, seçili bir cihazın korunmasına yardımcı olan cihaz eylemlerini çalıştırabilirsiniz. Aynı anda birden çok cihazı etkilemek için bu eylemlerin bir alt kümesini toplu cihaz eylemleri olarak çalıştırabilirsiniz. Ayrıca, Intune'dan çeşitli uzak eylemler de ortak yönetilen cihazlarla kullanılabilir.
Cihaz eylemleri ilke değildir ve çağrıldığında tek bir kez geçerlilik kazanır. Bunlar, cihaza hat üzerinden erişilebiliyorsa veya cihaz intune ile yeniden başlatıldığında veya iade edildiğinde hemen uygulanır. Bu eylemleri, bir cihaz popülasyonu için güvenlik yapılandırmalarını yapılandıran ve koruyan ilkelerin kullanımına tamamlayıcı olarak kabul edilir.
Aşağıda, cihazların ve verilerin güvenliğini sağlamaya yardımcı olan çalıştırabileceğiniz eylemlere örnekler verilmiştir:
Intune tarafından yönetilen cihazlar:
- BitLocker anahtar döndürme (yalnızca Windows)
- Etkinleştirme Kilidini Devre Dışı Bırak (yalnızca iOS)
- Tam veya Hızlı tarama (yalnızca Windows 10)
- Uzaktan kilitleme
- Kullanımdan kaldırma (kişisel verileri olduğu gibi bırakırken kuruluşunuzun verilerini cihazdan kaldırır)
- güvenlik Microsoft Defender güncelleştirme
- Temizleme (tüm verileri, uygulamaları ve ayarları kaldırarak cihazı fabrika ayarlarına sıfırlama)
Configuration Manager tarafından yönetilen cihazlar:
- Devre Dışı Bırakma
- Silme
- Eşitleme (yeni ilkeleri veya bekleyen eylemleri bulmak için cihazı Intune ile hemen iade etmeye zorlar)
Diğer ürünler ve iş ortağı teknolojileriyle tümleştirme
Intune, hem birinci taraf hem de üçüncü taraf kaynaklardan iş ortağı uygulamalarıyla tümleştirmeyi destekler ve yerleşik özellikleri genişletir. Intune'u çeşitli Microsoft teknolojileriyle de tümleştirebilirsiniz.
Uyumluluk iş ortakları
Intune ile cihaz uyumluluk iş ortaklarını kullanma hakkında bilgi edinin. Bir cihazı Intune dışında bir mobil cihaz yönetim iş ortağıyla yönettiğinizde, bu uyumluluk verilerini Microsoft Entra ID ile tümleştirebilirsiniz. Koşullu Erişim ilkeleri tümleştirildiğinde, Intune'daki iş ortağı verilerini yan yana uyumluluk verilerini kullanabilir.
Yapılandırma Yöneticisi
Configuration Manager ile yönettiğiniz cihazları korumak için birçok Intune ilkesi ve cihaz eylemi kullanabilirsiniz. Bu cihazları desteklemek için ortak yönetimi veya kiracı eklemeyi yapılandırın. Her ikisini de Intune ile birlikte kullanabilirsiniz .
Ortak yönetim sayesinde Windows 10 cihazı hem Configuration Manager hem de Intune ile eşzamanlı olarak yönetebilirsiniz. Configuration Manager istemcisini yükler ve cihazı Intune'a kaydedersiniz. Cihaz her iki hizmetle de iletişim kurar.
Kiracı ekleme ile Configuration Manager siteniz ile Intune kiracınız arasında eşitleme ayarlarsınız. Bu eşitleme, Microsoft Intune ile yönettiğiniz tüm cihazlar için tek bir görünüm sağlar.
Intune ile Configuration Manager arasında bağlantı kurulduktan sonra, Configuration Manager cihazları Microsoft Intune yönetim merkezinde kullanılabilir. Daha sonra Bu cihazlara Intune ilkeleri dağıtabilir veya bunları korumak için cihaz eylemlerini kullanabilirsiniz.
Uygulayabileceğiniz korumalardan bazıları şunlardır:
- Intune Basit Sertifika Kayıt Protokolü (SCEP) veya özel ve ortak anahtar çifti (PKCS) sertifika profillerini kullanarak cihazlara sertifika dağıtın.
- Uyumluluk ilkesini kullanın.
- Virüsten Koruma, Uç nokta algılama ve yanıt veGüvenlik duvarı kuralları gibi uç nokta güvenlik ilkelerini kullanın.
- Güvenlik temellerini uygulama.
- Windows Güncelleştirmeler'i yönetin.
Mobil tehdit savunma uygulamaları
Mobil Tehdit Savunması (MTD) uygulamaları cihazları etkin bir şekilde tehditlere karşı tarar ve analiz eder. Mobile Threat Defense uygulamalarını Intune ile tümleştirdiğinizde (bağladığınızda), bir cihaz tehdit düzeyinin uygulama değerlendirmesine sahip olursunuz. Bir cihaz tehdidinin veya risk düzeyinin değerlendirilmesi, kuruluşunuzun kaynaklarını güvenliği aşılmış mobil cihazlardan korumaya yönelik önemli bir araçtır. Daha sonra bu tehdit düzeyini Koşullu Erişim ilkeleri gibi çeşitli ilkelerde kullanarak bu kaynaklara geçit erişimine yardımcı olabilirsiniz.
Cihaz uyumluluğu, uygulama koruması ve Koşullu Erişim ilkeleriyle tehdit düzeyinde verileri kullanın. Bu ilkeler, uyumsuz cihazların kuruluşunuzun kaynaklarına erişmesini engellemeye yardımcı olmak için bu verileri kullanır.
Tümleşik bir MTD uygulaması ile:
Kayıtlı cihazlar için:
- Cihazlarda MTD uygulamasını dağıtmak ve yönetmek için Intune kullanın.
- Uyumluluğu değerlendirmek için bildirilen tehdit düzeyini kullanan cihaz uyumluluk ilkelerini dağıtın.
- Bir cihaz tehdit düzeyini göz önünde bulunduran Koşullu Erişim ilkeleri tanımlayın.
- Cihazın tehdit düzeyine bağlı olarak verilere erişimin ne zaman engelleneceğini veya erişime izin verileceğini belirlemek için uygulama koruma ilkeleri tanımlayın.
Intune'a kaydolmamış ancak Intune ile tümleşen bir MTD uygulaması çalıştıran cihazlar için, kuruluşunuzun verilerine erişimi engellemeye yardımcı olmak için tehdit düzeyi verilerini uygulama koruma ilkelerinizle birlikte kullanın.
Intune, aşağıdakilerle tümleştirmeyi destekler:
- Birkaç üçüncü taraf MTD iş ortağı.
- intune ile ek özellikleri destekleyen Uç Nokta için Microsoft Defender.
Uç Nokta için Microsoft Defender
Uç Nokta için Microsoft Defender kendi başına güvenlik odaklı çeşitli avantajlar sağlar. Uç Nokta için Microsoft Defender ayrıca Intune ile tümleşir ve çeşitli cihaz platformlarında desteklenir. Tümleştirme sayesinde bir mobil tehdit savunma uygulaması elde eder ve intune'a verileri ve cihazları güvende tutmak için özellikler eklersiniz. Bu özellikler şunlardır:
Microsoft Tunnel desteği - Android cihazlarda Uç Nokta için Microsoft Defender, Intune için bir VPN ağ geçidi çözümü olan Microsoft Tunnel ile kullandığınız istemci uygulamasıdır. Microsoft Tunnel istemci uygulaması olarak kullanıldığında, Uç Nokta için Microsoft Defender için bir aboneliğe ihtiyacınız yoktur.
Güvenlik görevleri – Güvenlik görevleriyle, Intune yöneticileri Uç Nokta için Microsoft Defender Tehdit ve Güvenlik Açığı Yönetimi özelliklerinden yararlanabilir. Nasıl çalışır:
- Uç Nokta için Defender ekibiniz risk altındaki cihazları tanımlar ve Uç Nokta için Defender güvenlik merkezinde Intune için güvenlik görevlerini oluşturur.
- Bu görevler Intune'da, Intune yöneticilerinin riski azaltmak için kullanabileceği azaltma önerileriyle gösterilir.
- Intune'da bir görev çözümlendiğinde bu durum, azaltma sonuçlarının değerlendirilebildiği Uç Nokta için Defender güvenlik merkezine geri döner.
Uç nokta güvenlik ilkeleri – Aşağıdaki Intune uç nokta güvenlik ilkeleri Uç Nokta için Microsoft Defender ile tümleştirme gerektirir. Kiracı eklemeyi kullandığınızda, bu ilkeleri Intune veya Configuration Manager ile yönettiğiniz cihazlara dağıtabilirsiniz.
Virüsten koruma ilkesi - Microsoft Defender Virüsten Koruma ayarlarını ve Windows 10 ve macOS gibi desteklenen cihazlardaki Windows Güvenliği deneyimini yönetin.
Uç nokta algılama ve yanıt ilkesi – Uç Nokta için Microsoft Defender özelliği olan uç nokta algılama ve yanıtını (EDR) yapılandırmak için bu ilkeyi kullanın.
Koşullu Erişim
Koşullu Erişim, cihazların korunmasına yardımcı olmak için Intune ile birlikte çalışan bir Microsoft Entra özelliğidir. Koşullu Erişim ilkeleri, Microsoft Entra ID kaydolan cihazlarda, kullanıcılar ve cihazlar için erişim kararlarını zorunlu kılmak için Intune'daki cihaz ve uyumluluk ayrıntılarını kullanabilir.
Koşullu Erişim ilkesini aşağıdakilerle birleştirin:
Cihaz uyumluluk ilkeleri , cihazın kuruluşunuzun kaynaklarına erişmek için kullanılabilmesi için önce cihazın uyumlu olarak işaretlenmesini gerektirebilir. Koşullu Erişim ilkeleri korumak istediğiniz uygulama hizmetlerini, uygulamalara veya hizmetlere erişilebileceği koşulları ve ilkenin uygulanacağı kullanıcıları belirtir.
Uygulama koruması ilkeleri, Exchange veya diğer Microsoft 365 hizmetleri gibi çevrimiçi kaynaklarınıza yalnızca Intune uygulama koruma ilkelerini destekleyen istemci uygulamalarının erişebilmesini sağlayan bir güvenlik katmanı ekleyebilir.
Koşullu Erişim, cihazları güvenli tutmanıza yardımcı olmak için aşağıdakilerle de çalışır:
- Uç Nokta için Microsoft Defender ve üçüncü taraf MTD uygulamaları
- Cihaz uyumluluğu iş ortağı uygulamaları
- Microsoft Tunnel
Uç Nokta Ayrıcalık Yönetimi Ekleme
Endpoint Privilege Management (EPM), kuruluşunuz tarafından ayarlanan kuruluş kuralları ve parametreleri tarafından tasarlandığı şekilde, windows kullanıcılarınızı standart kullanıcılar olarak çalıştırmanıza ve ayrıcalıkları yalnızca gerektiğinde yükseltmenize olanak tanır. Bu tasarım, Sıfır Güven güvenlik mimarisinin temel kiracısı olan en az ayrıcalık erişiminin uygulanmasını destekler. EPM, BT ekiplerinin standart kullanıcıları daha verimli yönetmesine ve saldırı yüzeylerini yalnızca çalışanların belirli, onaylı uygulamalar veya görevler için yönetici olarak çalışmasına izin vererek sınırlamasına olanak tanır.
Genellikle yönetim ayrıcalıkları gerektiren görevler, uygulama yüklemeleri (Microsoft 365 Uygulamaları gibi), cihaz sürücülerini güncelleştirme ve belirli Windows tanılamalarını çalıştırma görevleridir.
Tanımladığınız EPM yükseltme kurallarını dağıtarak, yalnızca güvendiğiniz uygulamaların yükseltilmiş bağlamda çalışmasına izin vekleyebilirsiniz. Örneğin, kurallarınız bir cihazda çalışmadan önce dosya bütünlüğünü doğrulamak için bir dosya karması eşleşmesi veya bir sertifikanın varlığını gerektirebilir.
İpucu
Endpoint Privilege Management, kullanmak için ek lisans gerektiren ve Windows 10 ve Windows 11 cihazları destekleyen bir Intune eklentisi olarak kullanılabilir.
Daha fazla bilgi için bkz . Endpoint Privilege Management.
Sonraki adımlar
Verilerinizi koruyarak ve cihazları güvenli hale getirerek sıfır güven ortamına yolculuğunuzu desteklemek için Intune'un özelliklerini kullanmayı planlayın. Bu özellikler hakkında daha fazla bilgi edinmek için önceki satır içi bağlantıların ötesinde Intune'da veri güvenliği ve paylaşımı hakkında bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin