Ayrıcalıklı erişim dağıtımı

Bu belge, güvenli hesaplar, iş istasyonları ve cihazlar ve arabirim güvenliği (koşullu erişim ilkesiyle) dahil olmak üzere ayrıcalıklı erişim stratejisinin teknik bileşenlerini uygulama konusunda size yol gösterir.

Bu kılavuz, üç güvenlik düzeyi de için tüm profilleri ayarlar ve Ayrıcalıklı erişim güvenlik düzeyleri kılavuzuna dayalı olarak kuruluş rollerine atanmalı. Microsoft, bunları hızlı modernleştirme planında (RAMP) açıklanan düzende yapılandırmayı önererek

Lisans gereksinimleri

Bu kılavuzda ele alan kavramlar, E5'Microsoft 365 Kurumsal eşdeğer bir SKU'lara sahip olduğunu varsaymaktadır. Bu kılavuzda yer alan önerilerden bazıları daha düşük SKUs ile uygulanıyor olabilir. Daha fazla bilgi için lisans Microsoft 365 Kurumsal bakın.

Lisans sağlamayı otomatikleştirmek için, kullanıcılarınız için grup tabanlı lisanslamayı göz önünde bulundurabilirsiniz.

Azure Active Directory yapılandırma

Azure Active Directory (Azure AD) iş istasyonlarınız için kullanıcıları, grupları ve cihazları yönetir. Yönetici hesabıyla kimlik hizmetlerini ve özelliklerini etkinleştirin.

Güvenlikli iş istasyonu yönetici hesabını seniz, hesabı geçerli iş istasyonuna sunarsınız. Bu ilk yapılandırmayı ve tüm genel yapılandırmayı yapmak için bilinen bir güvenli cihaz kullanın. İlk kez deneyime saldırı maruz kalma süresini azaltmak için kötü amaçlı yazılım bulaşmalarını önleme kılavuzu takip edin.

En azından yöneticileriniz için çok faktörlü kimlik doğrulaması gerekir. Bkz. Koşullu Erişim: Uygulama kılavuzu için yöneticiler için MFA gerektirme.

Azure AD kullanıcıları ve grupları

1. Azure portalında, kullanıcı arabirimineAzure Active Directory Yenikullanıcı'ya gidin.

2. Kullanıcı oluştur öğreticisinde yer alan adımları takip edin ve cihazınızın kullanıcılarını oluşturun.

3. Enter:

   • Ad - güvenlik iş istasyonu Yöneticisi
   • Kullanıcı adısecure-ws-user@contoso.com
   • Dizin rolüSınırlı yönetici'yi seçin ve Intune Yönetici rolünü seçin.
   • Kullanım KonumuBirleşik Krallık

4. Oluştur'a seçin.

Cihaz yöneticisi kullanıcınızı oluşturun.

1. Enter:

   • Ad - güvenlik iş istasyonu Yöneticisi
   • Kullanıcı adısecure-ws-admin@contoso.com
   • Dizin rolüSınırlı yönetici'yi seçin ve Intune Yönetici rolünü seçin.

2. Oluştur'a seçin.

Ardından dört grup oluşturun: Güvenli İş IstasyonuKullanıcıları , Güvenliİş Istasyonu Yöneticileri , Acil Durum BreakGlass ve Güvenli İş Istasyonu Cihazları.

Azure portalında, Grup Yeni Azure Active Directory'egidin.

1. İş istasyonu kullanıcıları grubu için, kullanıcılara lisans sağlamayı otomatik olarak yapılandırmak üzere grup tabanlı lisanslamayı yapılandırmak istiyor olabilirsiniz.

2. İş istasyonu kullanıcıları grubu için şunları girin:

   • Grup türü - Güvenlik
   • Grup adı - Güvenli İş Istasyonu Kullanıcıları
   • Üyelik türü - Atanan

3. Güvenli iş istasyonu kullanıcınızı ekleyin: secure-ws-user@contoso.com

4. Güvenli iş istasyonu kullanan diğer tüm kullanıcıları eklersiniz.

5. Oluştur'a seçin.

6. Ayrıcalıklı İş Istasyonu Yöneticileri grubu için, şunları girin:

   • Grup türü - Güvenlik
   • Grup adı - İş Istasyonu Yöneticilerinin Güvenliğini Sağlama
   • Üyelik türü - Atanan

7. Güvenli iş istasyonu kullanıcınızı ekleyin: secure-ws-admin@contoso.com

8. Güvenli iş istasyonu yönetimi olacak diğer tüm kullanıcıları eklersiniz.

9. Oluştur'a seçin.

10. Acil Durum BreakGlass grubu için şunları girin:

    • Grup türü - Güvenlik
    • Grup adı - Acil Durum BreakGlass
    • Üyelik türü - Atanan

11. Oluştur'a seçin.

12. Bu gruba Acil Durum Erişimi hesapları ekleyin.

13. İş istasyonu cihazları grubu için şunları girin:

    • Grup türü - Güvenlik
    • Grup adı - Güvenli İş Istasyonu
    • Üyelik türü - Dinamik Cihaz
    • Dinamik Üyelik kuralları(device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

14. Oluştur'a seçin.

Azure AD cihaz yapılandırması

Cihazları kimlerin Azure AD'ye katıla katılacı olduğunu belirtme

Yönetim güvenlik grubu grubunun cihazları etki alanınıza birleştirmesine izin vermek için Active Directory'de cihaz ayarınızı yapılandırabilirsiniz. Azure portaldan bu ayarı yapılandırmak için:

1. Cihaz Azure Active Directoryayarlarına gidin.
2. Kullanıcılar AzureAD'ye cihazlara katılabilir'inaltında Seçili'yi seçin ve ardından "Güvenli İş Istasyonu Kullanıcıları" grubunu seçin.

Yerel yönetici haklarını kaldırma

Bu yöntem, VIP, DevOps ve Ayrıcalıklı iş istasyonu kullanıcılarının makinelerinde yönetici hakları yoktur. Azure portaldan bu ayarı yapılandırmak için:

1. Cihaz Azure Active Directoryayarlarına gidin.
2. Azure AD'yekatılan cihazlardaki ek yerel yöneticiler'in altında Yok'a seçin.

Yerel yöneticiler grubunun üyelerini yönetmeyle ilgili ayrıntılar için Azure AD'ye katılan cihazlarda yerel yöneticiler grubunu yönetme'ye bakın.

Cihazlara katılmak için çok faktörlü kimlik doğrulaması gerektirme

Cihazları Azure AD'ye katılma sürecini daha da güçlendirmek için:

1. Cihaz Azure Active Directoryayarlarına gidin.
2. Cihazlara katılmakiçin Multi-FactorAuth gerektir öğesinin altında Evet'i seçin.
3. Kaydet'i seçin.

Mobil cihaz yönetimini yapılandırma

Azure portaldan:

1. Mobil (MDM Azure Active DirectoryMAM) veya Mobil Kullanım (MDM ve MAM) uygulamanızaMicrosoft Intune.
2. MDM kullanıcı kapsamı ayarını Tüm olarak değiştirme.
3. Kaydet'i seçin.

Bu adımlar, her cihazı tek bir cihazdan Microsoft Endpoint Manager. Daha fazla bilgi için bkz. Intune Hızlı Başlangıç: Mobil cihazlarınız için otomatik Windows 10 ayarlayın. Intune yapılandırma ve uyumluluk ilkelerini sonraki adımda oluşturacağız.

Azure AD Koşullu Erişimi

Azure AD Koşullu Erişim, ayrıcalıklı yönetim görevlerini uyumlu cihazlarla kısıtlamaya yardımcı olabilir. Güvenli İş Istasyonu Kullanıcıları grubunun önceden tanımlanmış üyeleri, bulut uygulamalarında oturum aken çok faktörlü kimlik doğrulaması gerçekleştirmek için gereklidir. En iyi uygulama, acil durum erişim hesaplarını ilkenin dışında tutmaktır. Daha fazla bilgi için bkz. Azure AD'de acil durum erişim hesaplarını yönetme.

Koşullu Erişim yalnızca güvenlik istasyonunun Azure portalına erişmesi için güvenli iş istasyonu olanağına izin verme

Kuruluşlar, Ayrıcalıklı Kullanıcıların, CLOUD yönetim arabirimleri, portallar ve PowerShell'e, YANIT OLMAYAN cihazlardan bağlanamalarını engellemesi gerekir.

Yetkisiz cihazların bulut yönetimi arabirimlerine erişimini engellemek için, Koşullu Erişim: Cihazlar için Filtreler (önizleme) makalesindeyer alan yönergeleri izleyin. Bu özelliği dağıtırken acil durum erişim hesabı işlevselliği olarak göz önünde bulundurabilirsiniz. Bu hesaplar yalnızca olağanüstü durumlarda kullanılmalıdır ve ilkeler aracılığıyla yönetilen hesaptır.

Bu ilke kümesi, Yöneticilerinizin belirli bir cihaz öznitelik değerini sunabilecek bir cihaz kullanmalarını, bu MFA'nın memnun olmasını ve cihaz Microsoft Endpoint Manager ve Uç Nokta için Microsoft Defender ile uyumlu olarak işaretlenir.

Kuruluşlar, ortamlarında eski kimlik doğrulama protokollerini engellemeyi de göz önünde bulundurabilir. Bu görevi yerine etmenin çeşitli yolları vardır. Eski kimlik doğrulama protokollerini engelleme hakkında daha fazla bilgi için, Koşullu Erişimle Azure AD'de eski kimlik doğrulamayı engelleme makalesine bakın.

Microsoft Intune yapılandırma

Cihaz kaydı BYOD'u reddet

Örneğimizde, BYOD cihazlarına izin verilmediğini öneririz. Intune BYOD kaydının kullanımı, kullanıcıların daha az olan veya güvenilmiyor olan cihazları kaydetmelerini sağlar. Bununla birlikte, yeni cihazlar satın almak, mevcut donanım gemisi kullanmak veya windows olmayan cihazları dikkate almak için bütçesi sınırlı olan kuruluşlarda, Intune'da Enterprise profilini dağıtmaya yönelik BYOD özelliğini göz önünde bulundurabilirsiniz.

Aşağıdaki kılavuz, TEKMİ erişimini reddedecek dağıtımlar için Kayıt'ı yapılandıracaktır.

TEKMİ'ye engel olan kayıt kısıtlamalarını ayarlama

1. Cihaz Microsoft Endpoint Manager merkezi'ndeCihaz Kaydı kısıtlamaları'nın seçilmesi için tüm kullanıcılar için varsayılan kısıtlamayı seçin.
2. Özellikler Platform ayarlarınıDüzenle'yi seçin
3. MDM dışında tüm türler için Windows seçin.
4. Kişisel olarak sahip olunan tüm öğeler için Engelle'yi seçin.

AutoPilot dağıtım profili oluşturma

Cihaz grubu oluşturdukta, AutoPilot cihazlarını yapılandırmak için bir dağıtım profili oluşturmanız gerekir.

1. Microsoft Endpoint Manager merkezinde Cihaz kaydı veKayıtDağıtım profilleri WindowsProfil Oluştur'atıklayın.

2. Enter:

   • Ad - İş istasyonu dağıtım profilinin güvenliğini sağlama.
   • Açıklama - Güvenli iş istasyonlarının dağıtımı.
   • Tüm hedefli cihazları AutoPilot'a Dönüştür'e Evet olarak ayarlayın. Bu ayar, listede yer alan tüm cihazların AutoPilot dağıtım hizmetine kaydedilmiş olduğundan emin olun. Kaydın işlenmesi için 48 saat izin verme.

3. Sonraki'yi seçin.

   • Dağıtım modu için,Kendi Kendine Dağıtma (Önizleme) 'yi seçin. Bu profile sahip cihazlar, cihazı kaydeden kullanıcıyla ilişkilendirildi. Dağıtım sırasında, aşağıdaki özellikleri Self-Deployment tavsiye edilebilir:
     • Cihazı Intune Azure AD otomatik MDM kaydına kaydeder ve cihazda tüm ilkeler, uygulamalar, sertifikalar ve ağ profilleri sağlanana kadar yalnızca bir cihaza erişime izin verir.
     • Cihazı kaydetmek için kullanıcı kimlik bilgileri gereklidir. Kendi Kendine Dağıtma modunda bir cihazı dağıtmak, dizüstü bilgisayarları paylaşılan bir modelde dağıtmaya olanak sağlayacaktır. Cihaz ilk kez kullanıcıya atanana kadar kullanıcı ataması olmaz. Sonuç olarak, bir kullanıcı ataması tamamlanana kadar BitLocker gibi tüm kullanıcı ilkeleri etkinleştirilmez. Güvenli bir cihazda oturum açma hakkında daha fazla bilgi için bkz. seçili profiller.
   • Dil (Bölge), Kullanıcı hesap türü standardını seçin.

4. Sonraki'yi seçin.

   • Önceden yapılandırılmış bir kapsam etiketi seçin.

5. Sonraki'yi seçin.

6. Seçili GruplaraAtamaÖdevleri'ne seçin. Dahil olacak grupları seçin altında, Güvenliİş Istasyonu öğesini seçin.

7. Sonraki'yi seçin.

8. Profili oluşturmak için Oluştur'a tıklayın. AutoPilot dağıtım profili artık cihazlara atanarak kullanılabilir.

AutoPilot'daki cihaz kaydı, cihaz türüne ve rolüne göre farklı bir kullanıcı deneyimi sağlar. Dağıtım örneğimizde, güvenli cihazların toplu olarak dağıtılacağı ve paylaşılabilir olduğu, ancak ilk kez kullanılırken cihaz bir kullanıcıya atandığı bir modeli göstermek için kullandık. Daha fazla bilgi için bkz. Intune AutoPilot cihaz kaydı.

Kayıt Durumu Sayfası

Yeni bir cihaz kaydettikten sonra Kayıt Durumu Sayfası (ESP) hazırlama ilerlemesini görüntüler. Cihazların kullanımdan önce tam olarak yapılandırıldığından emin olmak için Intune, tüm uygulamalar ve profiller yükleninceye kadar cihazın kullanımını engelle anlamına gelir.

Kayıt durumu sayfası profili oluşturma ve atama

1. Microsoft Endpoint Manager merkezinde Cihazlar ve KayıtWindows WindowsProfil Oluştur'atıklayın.
2. Ad ve Açıklamagirin.
3. Oluştur'a seçin.
4. Kayıt Durumu Sayfası listesinde yeni profili seçin.
5. Uygulama profili yükleme ilerlemesini göster'i Evet olarak ayarlayın.
6. Tüm uygulamalar ve profiller Evet olarak yükleninceye kadar Cihaz kullanımını engelle'yeayarlayın.
7. Ödevler'iseçin Grupları seçin grubu seçin Secure Workstation>Secure Workstation>>
8. Bu Ayarlar kaydetmek istediğiniz ayarları seçmek için Kaydet'i >>

Güncelleştirme Windows yapılandırma

Güncel Windows 10 tutmak, en önemli işlerden biridir. Çalışma Windows durumda korumak için, güncelleştirmelerin iş istasyonlarına uygulanma hızını yönetmek üzere bir güncelleştirme halkası dağıtırsınız.

Bu kılavuz, yeni bir güncelleştirme halkası oluşturmanızı ve aşağıdaki varsayılan ayarları değiştirmenizi öneririz:

1. Yönetim merkezinde Microsoft Endpoint Manager Cihazlar Yazılım güncelleştirmeleri'niveardındanGüncelleştirme Windows 10 seçin.

2. Enter:

   • Ad - Azure tarafından yönetilen iş istasyonu güncelleştirmeleri
   • Hizmet kanalı - Yarı yıllık kanal
   • Kalite güncelleştirmesi erteleme tarihi (gün) - 3
   • Özellik güncelleştirmesi erteleme süresi (gün) - 3
   • Otomatik güncelleştirme davranışı - Son kullanıcı denetimi olmadan otomatik yükleme ve yeniden başlatma
   • Kullanıcının güncelleştirmeleri duraklatmalarını Windows - Engelle
   • Kullanıcının iş saatleri dışında yeniden başlatılması için onay gerektir - Gerekli
   • Kullanıcının yeniden başlatmasına (yeniden başlat) izin ver - Gerekli
   • Kullanıcıları otomatik yeniden başlatmadan sonra yeniden başlatmaya geçiş (gün) - 3
   • Ertelemeye devam ediyor yeniden başlatma anımsatıcısı (gün) - 3
   • Bekleyen yeniden başlatmalar (gün) için son tarihi ayarlama - 3

3. Oluştur'a seçin.

4. Atamalar sekmesinde Güvenli İş Istasyonu grubunu ekleyin.

İlkeleri güncelleştirme Windows daha fazla bilgi için bkz. İlke CSP - Güncelleştirme.

Endpoint Intune tümleştirmesi için Microsoft Defender

Uç Nokta ve Güvenlik ihlallerini Microsoft Intune için Microsoft Defender birlikte çalışır. Ayrıca ihlallerin etkisini sınırlandırmalarını da sağlar. ATP özellikleri gerçek zamanlı tehdit algılaması sağlamanın yanı sıra son nokta cihazları için kapsamlı denetim ve günlüğe kaydetmeyi sağlar.

Uç Nokta ve Posta Windows Defender tümleştirmeyi yapılandırmak Microsoft Endpoint Manager:

1. Yönetim merkezinde Microsoft Endpoint Manager Uç NoktaGüvenliğiMicrosoft Defender ATP'yi seçin.

2. ATP'nin yapılandırılmasıWindows Defender 1. adımda, Güvenlik Merkezi'nde Bağlan Windows Defender ATP'Microsoft Intune atp Windows Defender seçin.

3. Windows Defender Merkezi'nde:

   1. Gelişmiş Ayarlar'i seçin.
   2. Bağlantı Microsoft Intune için,Üzerinde'yi seçin.
   3. Kaydetme tercihleri'ne tıklayın.

4. Bağlantı kurulduktan sonra Yenileme'ye Microsoft Endpoint Manager üst kısmında Yenile'yi seçin.

5. ATP Bağlan Windows'i Açık olarak ayarlamak için Bağlan Windows sürümü(20H2) 19042.450 Windows Defender ayarlayın.

6. Kaydet'i seçin.

Cihaz ekleme ve cihaz ekleme için Windows profili oluşturma

1. Yönetim merkezinde oturum Microsoft Endpoint Manager uç noktagüvenliği Uç nokta algılamave yanıt Profiloluştur'a tıklayın.

2. Platform için,Seçenekler ve Windows 10 öğesini seçin.

3. Profil türü olarak Uçnokta algılama ve yanıt öğesini seçin veardından Oluştur'a tıklayın.

4. Temel Bilgiler sayfasında, Ad alanına UÇ Nokta için İrGİ - Defender, profil için de Açıklama (isteğe bağlı) girin, ardından Sonraki'yi seçin.

5. Yapılandırma ayarları sayfasında, Uç Nokta Algılama ve Yanıt'ta aşağıdaki seçeneği yapılandırabilirsiniz:

   • Tüm dosyalar için örnek paylaşım: Microsoft Defender Gelişmiş Tehdit Koruması Örnek Paylaşım yapılandırma parametresini döndürür veya ayarlar.

     Makine Windows 10 makinelerini işe Microsoft Endpoint Configuration Manager bu Microsoft Defender ATP ayarlarıyla ilgili daha fazla ayrıntıya sahip olur.

6. Kapsam etiketleri sayfasını açmak için Sonraki'yi seçin. Kapsam etiketleri isteğe bağlıdır. Devam etmek için Sonraki'yi seçin.

7. Atamalar sayfasında İş istasyonu grubunun güvenliğini sağlama'ya tıklayın. Profilleri atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

   Sonraki'yi seçin.

8. Gözden Geçir + oluştur sayfasında, bitirin ve Oluştur'a tıklayın. Oluşturduğunuz profilin ilke türünü seçerek yeni profil listede görüntülenir. Tamam, ardından değişikliklerinizi kaydetmek için Oluştur'a tıklayın, profil oluşturun.

Daha fazla bilgi için bkz. Windows Defender Tehdit Koruması'Windows Defender.

İş istasyonu profili oluşturma işini bitir

Çözümün bilgi olaylarını başarıyla tamamlamak için, uygun betiği indirin ve yürütün. İstediğiniz profil düzeyi için indirme bağlantılarını bulun:

Betik başarıyla çalıştırıldıktan sonra, Intune'da profiller ve ilkeler için güncelleştirmeler gerçekleştirebilirsiniz. Betikler sizin için ilkeler ve profiller oluştursa da, ilkeleri Güvenli İş Istasyonu cihaz grubunuza atamanız gerekir.

• Betikler tarafından oluşturulan Intune cihaz yapılandırma profillerini burada bulabilirsiniz: Azure portalMicrosoft IntuneYapılandırma Profilleri.
• Betikler tarafından oluşturulan Intune cihaz uyumluluk ilkelerini burada bulabilirsiniz: Azure portalve Cihaz Microsoft Intuneilkeleri.

Tüm geçerli Intune profillerini karşılaştırma ve değerlendirme için dışarı aktaracak şekilde DeviceConfiguration_Export.ps1DeviceConfiguration_Export.ps1 deposunda Intune veri dışarı aktarma betiği çalıştırın.

Microsoft Defender Güvenlik Duvarı Endpoint Protection Profilinde kuralları ayarlama

Windows Defender Duvarı ilke ayarları, güvenlik duvarı yapılandırma Endpoint Protection dahil edilir. Aşağıdaki tabloda açıklanan şekilde uygulanan ilkenin davranışı.

Enterprise:Bu yapılandırma, yükleme yüklemesi için varsayılan davranışın en Windows olur. Yerel kuralların birleştirilmesine izin verilirken yerel ilke kurallarında açıkça tanımlanan kurallar dışında tüm gelen trafik engellenir. Tüm giden trafiğe izin verilir.

Özel:Bu yapılandırma, cihaz üzerinde yerel olarak tanımlanmış tüm kuralları yoksayma olarak daha kısıtlayıcıdır. Yerel olarak tanımlanmış kurallar dahil olmak üzere tüm gelen trafik engellenir. İlke, Teslim İyileştirme'nin tasarlandığı gibi çalışmasına izin vermek için iki kural içerir. Tüm giden trafiğe izin verilir.

Ayrıcalıklı:Yerel olarak tanımlanmış kurallar dahil olmak üzere tüm gelen trafik engellenir. İlke, Teslim İyileştirme'nin tasarlandığı gibi çalışmasına izin vermek için iki kural içerir. Giden trafik ayrıca DNS, NTP, NSCI, HTTP ve HTTPS trafiğine izin veren açık kurallardan ayrı olarak engellenir. Bu yapılandırma, cihazın sunduğu saldırı yüzeyini ağ ile sınırlamakla birlikte, cihazın yalnızca bulut hizmetlerini yönetmek için gerekli bağlantıları kuracak giden bağlantıları sınırlamasını da sağlar.

İzin verilen ve engellenen hizmetleriniz için gereken şekilde hem gelen hem de giden kurallarının yönetimi üzerinde ek değişiklikler yapabilirsiniz. Daha fazla bilgi için bkz. Güvenlik duvarı yapılandırma hizmeti.

URL kilit ara sunucusu

Kısıtlayıcı URL trafik yönetimi şunları içerir:

• Seçilen Azure ve Azure bulut kabuğu dahil olmak Microsoft hizmetleri tüm giden trafik ve kendi kendine parola sıfırlamaya izin veren özelliği reddet.
• Ayrıcalıklı profil, cihazın İnternet'e bağlan aşağıdaki URL Kilidi Ara Sunucu yapılandırmasını kullanarak bağlanama uç noktalarını kısıtlar.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

ProxyOverride listesinde listelenen uç noktalar, Azure AD'de kimlik doğrulaması yapmak ve Azure veya Office 365 yönetim arabirimlerine erişmek için gereken uç noktalarla sınırlıdır. Diğer bulut hizmetlerini genişletmek için, yönetim URL'sini listeye ekleyin. Bu yaklaşım, ayrıcalıklı kullanıcıları İnternet tabanlı saldırılardan korumak için erişimi daha geniş bir internete sınırlamak üzere tasarlanmıştır. Bu yaklaşım fazla kısıtlayıcı kabul edildiyse, aşağıda ayrıcalıklı rol için açıklanan yaklaşımı kullanmayı göz önünde bulundurabilirsiniz.

Microsoft Bulut Uygulaması Güvenliğini Etkinleştir, onaylı URL'ler için kısıtlanmış URL'ler listesi (en fazla izin ver)

Rol dağıtımımızda, tüm web'e gözatma özelliklerini sıkı bir şekilde reddeden Enterprise ve Özelleştirilmiş dağıtımlarda, bulut erişimi güvenlik aracı (CASB) gibi Microsoft Defender For Cloud Apps gibi özelliklerini kullanmanın riskli ve şüpheli web sitelerine erişimi engellemek için kullanılması önerilir. Çözüm, müfredata alınan uygulamaları ve web sitelerini engellemenin basit bir yolunu karşılar. Bu çözüm, Etki Alanı Engelleme Listesi'nin (DBL)bakımını yapan Spamhaus Project gibi sitelerden engellenenler listesine erişmeye benzer: siteleri engellemek için uygulanacak gelişmiş bir dizi kural olarak iyi bir kaynaktır.

Çözüm size şunları sağlar:

• Görünürlük: tüm bulut hizmetlerini algılama; her bir risk derecelendirmesi atama; oturum açabilecek tüm kullanıcıları ve üçüncü taraf uygulamaları tanımlama
• Veri güvenliği: Hassas bilgileri (DLP) tanımlama ve denetleme; içerikte sınıflandırma etiketlerini yanıtlama
• Tehdit koruması: uyarlanabilir erişim denetimi (AAC) sağlar; kullanıcı ve varlık davranışı çözümlemesi (UEBA) sağlama; kötü amaçlı yazılımları azaltmak
• Uyumluluk: bulut idaresi göstermek için tedarik raporları ve panoları; verilerin ikametine ve mevzuata uyumluluk gereksinimlerini karşılamaya yardımcı olun

Bulut Uygulamaları için Defender'ı etkinleştirin ve riskli URL'lere erişimi engellemek için Defender ATP'ye bağlanın:

• Gelişmiş Microsoft Defender Güvenlik Merkezi> Ayarlar'da Bulut Uygulamaları tümleştirmesi için Microsoft Defender'ı >>
• Gelişmiş Microsoft Defender Güvenlik Merkezi Ayarlar için Özel ağ > göstergelerini AÇıK >>
• Bulut Uygulamaları için Microsoft Defender portalında Ayarlar Defender > ATP tümleştirmesiGereksiz > uygulamaları >

Yerel uygulamaları yönetme

Üretkenlik uygulamaları da içinde olmak üzere yerel uygulamalar kaldırıldığı zaman güvenli iş istasyonu gerçekten de güvenli bir halye taşınır. Burada, kullanıcıların kod Visual Studio Code yönetmesine izin Azure DevOps izin GitHub depolama birimlerini eklersiniz.

Özel uygulamalarınız Şirket Portalı yapılandırma

Uygulamanın Intune tarafından yönetilen bir kopyası Şirket Portalı güvenli iş istasyonu kullanıcılarını aşağı doğru itmek için ek araçlara isteğe bağlı olarak erişim sağlar.

Güvenli modda uygulama yüklemesi, kullanıcı tarafından teslim edilen yönetilen uygulamalarla Şirket Portalı. Ancak, yükleme Şirket Portalı erişim izni Microsoft Store. Güvenli çözümde, AutoPilot tarafından sağlanan cihazlar Windows 10 Şirket Portalı ekleme ve atama .

Intune kullanarak uygulamaları dağıtma

Bazı durumlarda, güvenlik altına Microsoft Visual Studio iş istasyonu gibi uygulamalar gereklidir. Aşağıdaki örnekte, Güvenli İş Istasyonu Kullanıcıları Microsoft Visual Studio İş Istasyonu Kullanıcıları'nda kullanıcılara Güvenlik Kodu'nda yükleme yönergeleri bulunur.

Visual Studio Code, EXE paketi olarak sağlanmıştır, dolayısıyla Microsoft Win32 İçerik Hazırlık Aracı kullanılarak Microsoft Endpoint Manager kullanılarak dağıtım için biçim dosyası .intunewin.intunewin

Microsoft Win32 İçerik Hazırlık Aracı'nı yerel olarak iş istasyonuna indirin ve paketlemek üzere bir dizine kopyalayın. Örneğin, C:\Packages. Ardından, C:\Packages altında bir Kaynak ve Çıkış dizini oluşturun.

Paket Microsoft Visual Studio Kodu

1. 64 bit Visual Studio Code için Windows yükleyicisini indirin.
2. İndirilen Visual Studio Code exe dosyasını kopyalayınC:\Packages\Source
3. Bir PowerShell konsolu açın ve C:\Packages
4. Tür .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
5. Yeni Y çıkış klasörünü oluşturmak için yazın. Bu klasörde tüm Visual Studio Code intunewin dosyası oluşturulur.

Upload VS Code'Microsoft Endpoint Manager

1. Uygulama Microsoft Endpoint Manager merkezinde Uygulamalar veEkle'Windowsgidin
2. Uygulama türünü seçin altında Uygulamatürünü Windows (Win32) öğesini seçin
3. Uygulama paketi dosyasını seç'etıklayın, Dosya seç'e tıklayınve sonra da uygulamasından öğesini seçin. Tamam'a tıklayın
4. Visual Studio Code 1.51.1Ad alanına Enter
5. Açıklama alanına Visual Studio Code açıklama girme
6. Microsoft CorporationMicrosoft Corporation Alanına Enter
7. Logonun https://jsarray.com/images/page-icons/visual-studio-code.png görüntüsünü indirin ve seçin. Sonraki'yi seçin
8. VSCodeSetup-x64-1.51.1.exe /SILENTYükle komut VSCodeSetup-x64-1.51.1.exe /SILENT Enter
9. Kaldır C:\Program Files\Microsoft VS Code\unins000.exe komut C:\Program Files\Microsoft VS Code\unins000.exe Enter
10. Cihaz Yeniden başlatma davranışı açılan listesinde İade kodlarını temel alarak davranışı belirler'i seçin. Sonraki'yi seçin
11. İşletim sistemi mimarisi onay kutusu açılır listesinden64 bit'i seçin
12. Minimum Windows 10 işletim sistemi onay kutusundan En az 1903'ü seçin. Sonraki'yi seçin
13. Kural biçimi açılan listesinde Algılama kurallarını el ile yapılandır'ı seçin
14. Ekle'ye tıklayın ve sonra Kural türü açılan listesinde Dosya'yı seçin
15. Yol C:\Program Files\Microsoft VS CodeC:\Program Files\Microsoft VS Code
16. Dosya unins000.exe veya unins000.exe Enter
17. Açılan listeden Dosya veya klasör var öğesini seçin, Tamam'ı seçin ve sonra da Sonraki'yi seçin.
18. Bu pakette bağımlılıklar olmadığınız için Sonraki'yi seçin
19. Kayıtlı cihazlar için kullanılabilir altında Grup Ekle öğesini seçin, AyrıcalıklıKullanıcılar grubunu ekleyin. Grubu onaylamak için Seç'e tıklayın. Sonraki'yi seçin
20. Oluştur'a tıklayın

PowerShell kullanarak özel uygulamalar ve ayarlar oluşturma

Uç nokta önerileri için iki Defender da dahil olmak üzere, PowerShell kullanılarak ayarlanmış bazı yapılandırma ayarları vardır. Bu yapılandırma değişiklikleri Intune'da ilkeler aracılığıyla ayar kullanılamaz.

Ayrıca, ana bilgisayar yönetimi özelliklerini genişletmek için PowerShell'i de kullanabilirsiniz. PAW-DeviceConfig.ps1 betiği, GitHub ayarları yapılandıran örnek bir betiktir:

• Internet Explorer'ı kaldırır
• PowerShell 2.0'i kaldırır
• Kaldıran Windows Media Player
• Çalışma Klasörleri İstemcisi'ne kaldırır
• XPS Yazdırmayı kaldırır
• Hazırda Bekleme Moduna geç'i sağlar ve yapılandırr
• AppLocker DLL kuralı işlemesini etkinleştirmek için kayıt defteri düzeltmesi uygulama
• Uç nokta önerileri için iki Microsoft Defender için kayıt defteri ayarlarını, Güvenlik Uç Nokta önerileri kullanılarak Endpoint Manager.
  • Kullanıcıların bir ağın konumunu ayarlarken yükseltmelerini gerektirme
  • Ağ kimlik bilgilerinin tasarruflarını önleme
• Ağ Konumu Sihirbazı'nı devre dışı bırakma - kullanıcıların ağ konumunu Özel olarak ayarlamalarını ve dolayısıyla Güvenlik Duvarı'nda ortaya çıkacak saldırı yüzeyini Windows sağlar
• NTP Windows Saat'i yapılandırarak Otomatik Saat hizmetini Otomatik olarak ayarlar
• Cihazı kullanıma hazır ve ayrıcalıklı iş istasyonu olarak kolayca tanımlamak için masaüstü arka planını belirli bir görüntüye indirir ve ayarlar.

PAW-DeviceConfig.ps1 betiği GitHub.

1. [PAW-DeviceConfig.ps1] betiği yerel bir cihaza indirin.
2. Cihaz yapılandırması PowerShellbetikleri Ekle Microsoft IntuneAzureportalındagözatın. v Betik için bir Ad yazın ve Betik konumunu belirtin.
3. Yapılandır'ı seçin.
   1. Oturum açma kimlik bilgilerini kullanarak bu betiği çalıştır'ı Hayır olarak ayarlayın.
   2. Tamam'ı seçin.
4. Oluştur'a seçin.
5. Ödevler Grupları seçinöğesini seçin.
   1. Güvenli İş Istasyonu güvenlik grubunu ekleyin.
   2. Kaydet'i seçin.

Dağıtımınızı ilk cihazınızla doğrulama ve test edin

Bu kayıtta, fiziksel bir bilgi işlem cihazı kullan olar. OEM, Bayi, dağıtımcı veya iş ortağının cihazları AutoPilot'akaydetmesi için tedarik sürecinin bir parçası Windows önerilir.

Ancak test etmek için bir test senaryosu olarak Sanal Makineler'i öne oluşturmak mümkündür. Bununla birlikte, bu istemciye katılma yöntemine izin vermek için kişisel olarak katılmış cihazların not kaydında değişiklik olması gerekir.

Bu yöntem, Sanal Makineler veya daha önce kaydedilmiş olan fiziksel cihazlar için kullanılabilir.

1. Cihazı başlatma ve kullanıcı adı iletişim kutusunun sun bekler
2. Komut SHIFT + F10 istemini görüntülemek için basın
3. yazın, PowerShell Enter'a basın
4. yazın, Set-ExecutionPolicy RemoteSigned Enter'a basın
5. yazın, Install-Script GetWindowsAutopilotInfo Enter'a basın
6. YOL Y ortamı değişikliğini kabul etmek için tür ve Enter'a tıklayın
7. Sağlayıcıyı Y yüklemek için tür ve Enter NuGet tıklayın
8. Depoya Y güvenmek için yazın
9. Çalıştır yazın Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
10. Sanal Makine veya Fiziksel cihazdan CSV'i kopyalama

Cihazları AutoPilot'a aktarma

1. Genel Microsoft Endpoint Manager merkezinde Cihazlar veCihazlarWindows Cihaz Windows gidin

2. İçeri Aktar'ı seçin ve CSV dosyanızı seçin.

3. olarak Group Tag güncelleştirilsin ve PAW değiştir'i Profile StatusAssigned bekleyin.

   Not

   Grup Etiketi, cihazı grubu içinde yer alan bir üyesi yapmak için Güvenli İş Istasyonu dinamik grubu tarafından kullanılır.

4. Cihazı Güvenli İş Istasyonu güvenlik grubuna ekleyin.

5. Yapılandırmak Windows 10 cihazda, Güvenlik Kurtarmayı Güncelleştir'Windows Ayarlar>>

   1. Bu Bilgisayarı sıfırla altında Çalışmaya başla'yı seçin.
   2. Cihazı sıfırlamak ve profil ve uyumluluk ilkeleri yapılandırılmış olarak yeniden yapılandırmak için yönergeleri izleyin.

Cihazı yapılandırdıktan sonra, incelemeyi tamamlamanız ve yapılandırmayı denetleme. Dağıtımınız devam etmeden önce ilk cihazın doğru yapılandırıldığından emin olun.

Cihazları ata

Cihazları ve kullanıcıları atamak için, seçilen profilleri güvenlik grubunuzla eşlemeniz gerekir. Hizmet için izin gereken tüm yeni kullanıcıların da güvenlik grubuna eklenmiş olması gerekir.

Güvenlik olaylarını izlemek ve yanıtlamak için Uç Nokta için Microsoft Defender'ı kullanma

• Güvenlik açıklarını ve hatalı yapılandırmaları sürekli gözlemlemek ve izlemek
• Joker karakterde dinamik tehditleri önceliklendirmek için Uç Nokta için Microsoft Defender'ı kullanma
• Güvenlik açıkları için uç noktada algılama ve yanıtlama (EDR) uyarılarının sürücü bağıntısı
• İncelemeler sırasında makine düzeyindeki güvenlik açığını belirlemek için panoyu kullanın
• Intune'a düzeltmeler dışarıyın

Bağlantınızı Microsoft Defender Güvenlik Merkezi. Threat Vulnerability Management panosuna genel bakış altında yeralan kılavuzu kullanma.

Gelişmiş Tehdit İzleme kullanarak uygulama etkinliğini izleme

Özel iş istasyonundan başlayarak AppLocker, iş istasyonu üzerinde uygulama etkinliğinin izlenmesi için etkinleştirilmiştir. Varsayılan olarak, Uç Nokta yakalamaları için Defender AppLocker olaylarını ve Gelişmiş Arama Sorguları hangi uygulamaların, betiklerin, DLL dosyalarının AppLocker tarafından engellenmiş olduğunu belirlemek için kullanılabilir.

Gelişmiş Microsoft Defender Güvenlik Merkezi Bölmesinde AppLocker etkinliklerini geri dönmek için aşağıdaki sorguyu kullanın

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

İzleme

• Pozlama Puanınızı gözden geçirmeyi anlama
• Güvenlik önerisini gözden geçirme
• Güvenlik düzeltmelerini yönetme
• Posta uç noktada algılama ve yanıtlama
• Intuneprofil izleme ile profilleri izleme.

Sonraki adımlar

• Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış
• Ayrıcalıklı erişim stratejisi
• Başarıyı ölçme
• Güvenlik düzeyleri
• Ayrıcalıklı erişim hesapları
• Aracılar
• Arabirimler
• Ayrıcalıklı erişim cihazları
• Enterprise erişim modeli