Bu yazımda sizlere Windows 10 cihazlarınız için uyumluluk politikalarının ne olduğundan ve bu politikaları nasıl oluşturacağınız hakkında bilgi vereceğim. Microsoft Intune mobil cihaz yönetimi (MDM) çözümleri, kullanıcıların ve cihazların bazı gereksinimleri karşılamasına gerek kalmadan kurumsal verilerin korunmasına yardımcı olmaktadırlar. Uyumluluk ilkeleri, bir cihazın kurum tarafından gerekli olan güvenlik ayarlarının yapılandırıldığını doğrulamak içinde kullanılmaktadır. Sistem yöneticileri olarak kullanıcıların şirket kaynaklarına erişimlerine izin vermeden uyumluluk politikalarının uygulandığından emin olmalısınız. Uyumluluk politikaları, bir şirkete ait olduğu gibi, bir BYOD cihazı içinde geçerli olabilir.
Intune uyumluluk ilkeleri ile kullanıcıların ve cihazların uyumluluk kurallarının belirlenmesi, kurallara uymayan kullanıcı ve cihazlar için gerekli Conditional Access politikalarının oluşturulması, uyumsuz olarak belirlenen kullanıcılar ve cihazlara karşı uyarı oluşturulması gibi tanımlamalar yapabilirsiniz.
Microsoft Intune ile beraber sadece Windows 10 uyumluluk politikalarını değil, Android ve IOS cihazlarınızın da uyumluluk politikalarını yönetebilirsiniz. Bu yazı içerisinde sadece Windows 10’a ait uyumluluk ayarlarına değineceğiz. Konu ile ilgili bu kadar bilgi verdikten sonra artık ilgili konfigürasyon işlemlerine başlayabiliriz.
Microsoft Endpoint Manager Admin Center ekranında, Devices bölümünde, Compliance Policies seçeneğini seçip ilerleyelim.
Resim-1
Compliance Policies ekranında ( + Create Policy) seçeneğini seçip, platform ve profile type bilgilerini girip, Create butonu ile ilgili profile yapısını oluşturabilirsiniz.
Platform: Windows 10 and later
Profile Type: Windows 10 compliance policy
Resim-2
Windows 10 Compliance Policy ekranında, Name bölümünde ilgili politikanın adını, Description bölümünde ise politikanız ile ilgili kısa bir tanım bilgisi girebilirsiniz. Next butonu ile ilerleyebilirsiniz.
Resim-3
Windows 10 uyumluluk politikaları temel olarak beş kategori altında toplanmaktadır: (Device Health, Device Properties, System Configuration Manager Compliance, Microsoft Defender ATP).
Resim-4
Device Health bölümünde Windows 10 cihazlarınızın (Windows Device Health Attestation Service (HAS) tarafından) sağlıklı olarak rapor edilip edilmeyeceğini kontrol edebilirsiniz. Cihaz durumu doğrulama hizmeti (Device Health Attestation Service) TPM 2.0, BitLocker şifrelemesi gibi birçok ayarı içermektedir.
Resim-5
Device Properties bölümü, Intune yöneticilerinin kurumsal uygulama erişimi için işletim sistemi ayrıntılarının minimum ve maximum sürümlerinin tanımlandığı bölümdür.
Resim-6
System Security bölümü Intune yöneticilerinin Windows cihazları için parola ilkelerinin tanımlayabileceğiniz bölümdür. Bu ayarlar Password ve Encryption olmak üzere iki bölümden oluşmaktadır.
- Require a password to unlock mobile devices
- Simple passwords
- Password type
- Minimum password length
- Password expiration
- Maximum minutes of inactivity before password is required
- Number of previous password to prevent reuse
- Require passwords when device returns from idle state
Encryption bölümünde cihaz içerisinde bulunan veri depolama birimlerinin şifrelenmesini sağlayabilirsiniz.
Resim-7
Configuration Manager Compliance bölümünde, Configuration Manager ve Intune ile beraber yönettiğiniz (Co-Management) kullanıcılarınızın cihazlarının uyumluluk gereksinimlerini Configuration Manager içerisinden kontrol edebilirsiniz.
Resim-8
Microsoft Defender ATP bölümünde, Microsoft Defender Advanced Threat Protection kuralları ile değerlendirilen cihazlar, belirlediğiniz uyumluluk değerlerinin altında ise ilgili cihazların mevcut ortamınız için uyumlu olup olmadığını kontrol edilmesini sağlayabilirsiniz.
Resim-9
Require the device to be at or under the machine risk score altında;
Low: Yalnızca düşük düzeyde tehditler varsa ilgili cihaz uyumlu olarak değerlendirilir.
Medium: Cihazdaki mevcut tehditler düşük veya orta düzeyde ise cihaz uyumlu olarak değerlendirilir.
High: Bu seçenek en az güvenilir ve tüm tehdit düzeylerine izin vermektedir.
Action for non compliance bölümünde, cihaz uyumlu olmadığında Microsoft Intune hemen cihazı uyumlu değil olarak işaretlemektedir. Bu noktada iki türlü eylem gerçekleştirebilirsiniz:
Mark device noncompliant: Aygıtın belirlenen gün sonunda uyumsuz olarak işaretlendiği eylemi içermektedir. Varsayılan olarak eylemi hemen yürütmek için ayarlayabilir veya kullanıcıya uyması için yetkisiz kullanım süresi tanımlayabilirsiniz.
Send e-mail to end user: Son kullanıcıya göndermeden önce bir e-posta bildirimi özelleştirmenizi sağlar. Mesajın alıcılarını, konusunu ve metnini (şirket logosunu, iletişim bilgilerini vb.) kişiselleştirmenizi sağlar. Uyumlu olmayan cihazlar hakkındaki bilgileri e-posta içerisine eklenmesini sağlayabilirsiniz.
Resim-10
Message Template yapısını kullanarak Intune kullanıcılarınız için (Notification message templates aracılığıyla) bildirim yapısı oluşturabilirsiniz. İlgili bilgilendirme öncesinde Intune üzerinde mutlaka Notification ayarı yapılandırması gerektiğini unutmamalısınız.
Resim-11
Oluşturulan Windows 10 Compliance Policy yapısı ile beraber uyumlu olmayan cihazlar hemen uyumsuz olarak işaretlenecek ve belirlediğiniz kullanıcı gruplarına, belirlenen süre içerisinde ilgili cihazlar ile ilgili mail yoluyla bilgilendirme sağlanacak. Uyumluluk politikalarına uymayan cihazla ile ilgili alınacak aksiyonları belirledikten sonra Next butonu ile ilerleyelim.
Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.
Resim-12
Faydalı Olması Dileğiyle …
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Group Policy, System Center Configuraton Manager, Azure Active Directory, Compliance Policy, Conditional Access, Co-Management
