Bu yazımda sizlere Microsoft Intune ortamlarında kullanıcılarınıza ait taşınabilir cihazları nasıl engelleyebileceğiniz hakkında bilgi vermeye çalışacağım. Günümüzde sistem yöneticilerinin en çok başını ağrıtan konularından biri de taşınabilir aygıtların güvenliği konusudur. Kötü amaçlı yazılım bulaşmalarını veya veri kaybını önlemek için USB flash sürücü, kamera gibi belirli türdeki taşınabilir aygıtların sistemlerinize erişimini engellemek isteyebilirsiniz. On-Premise ortamlarda çeşitli group policy ayarı veya farklı yazımlar ile bu işlemleri gerçekleştirebilirsiniz. Microsoft Intune, ortamlarınızdaki kullanıcılarınızın taşınabilir cihazlarının engellenmesi işlemi konusunda oldukça kolaylıklık sağlamaktadır. Microsoft Intune sizlere kullanıcıların taşınabilir cihazlarının engellenmesi yanı sıra, belirli USB cihazlarına izin vermenizi veya kurumsal verilerinizin USB gibi taşınabilir cihazlara kopyalanmasını engelleyebilmenizi sağlayabilmektedir. Bu yazı içerisinde Microsoft Intune ortamında bulunan kullanıcılarınızın kurumsal cihazlarınıza taşınabilir cihazları bağlaması durumunda hangi politika ile engelleyebileceğinizi ve kurumsal verilerinizin USB gibi taşınabilir cihazlara kopyalanması durumunda nasıl engelleyebileceğinizi göstereceğim. İlgili yapılandırma işlemlerinden bu kadar bahsettikten sonra artık politikaları oluşturup ilgili kullanıcı gruplarına dağıtmaya başlayalım. İlk olarak Microsoft Intune ortamında bulunan kullanıcılarınızın cihazlarına taşınabilir aygıtların bağlanmasını engeleme işlemi ile başlayalım.
Microsoft Endpoint Manager Admin Center ekranında sırasıyla Devices daha sonra Configuration Profiles seçeneği tıklanır. Devices | Configuration Profiles ekranında ( + Create Profile) butonuna tıklayalım. Karşınıza gelen Create a Profile ekranında Platform kısmında Windows 10 and later, Profile bölümünde Device Restrictions seçeneğini seçip Create butonu ile ilgili politikayı oluşturmaya başlayalım.
Resim-1
Device Restrictions ekranında Name bölümünde oluşturduğunuz politikaya bir isim verebilir, Description bölümünde de oluşturduğunuz politika ile ilgili kısa bir tanım bilgisi verebilirsiniz. Name ve Description bilgilerini girdikten sonra Next butonu ile ilerleyebilirsiniz.
Resim-2
Configuration Settings ekranında, General sekmesinde Removable Storage seçeneğini Block olarak konfigüre edip Next butonu ile ilerleyelim.
Resim-3
Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.
İlgili politika ile kullanıcılarınızın kurumsal cihazlarına taşınabilir cihazları bağlanmasını engelleyebilirsiniz. Bu politikayı alan kullanıcı, cihazına taşınabilir bir cihaz bağladığı zaman aşağıdaki gibi bir hata mesajı ile karşılacaktır:
Resim-4
Bu noktada kullanıcı için taşınabilir aygıtların bağlanmasını engellemek yerine kurumsal cihazlarda bulunan verilerin taşınabilir cihazlara kopyalanmasını da engelleyebilirsiniz. İlgili politikayı yapılandırmak için Microsoft Endpoint Manager Admin Center ekranında sırasıyla Devices daha sonra Configuration Profiles seçeneği tıklanır. Devices | Configuration Profiles ekranında ( + Create Profile) butonuna tıklayalım. Karşınıza gelen Create a Profile ekranında Platform kısmında Windows 10 and later, Profile bölümünde Custom seçeneği seçilip Create butonu ile ilgili politikayı oluşturmaya başlayalım.
Resim-5
Custom ekranında Name bölümünde oluşturduğunuz politikaya bir isim verebilir, Description bölümünde de oluşturduğunuz politika ile ilgili kısa bir tanım bilgisi verebilirsiniz. Name ve Description bilgilerini girdikten sonra Next butonu ile ilerleyebilirsiniz.
Resim-6
Configuration Settings ekranında, OMA-URI Settings bölümünde Add butonuna tıklayın. Karşınıza gelen OMA-URI Settings bölümünde;
Resim-7
Name: İlgili politika için geçerli bir isim,
Description: İlgili politika için geçerli bir açıklama,
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
Data Type: Integer
Value: 1
İlgili alanları doldurduktan sonra Next butonunu kullanarak ilerleyebilirsiniz.
Resim-8
Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.
Resim-9
İlgili politikanın kullanıcılarınız üzerinde uygulanıp uygulanmadığını kontrol etmek için istemci bilgisayarda oturum açıp bir USB cihazı bağlayıp herhangi kurumsal bir dosyayı kopyalamayı denediğinizde bir uyarı mesajı ile karşılaşacaksınız. İlgili politikayı kullanarak kurumsal verilerinizin USB cihazlarına kopyalanmasını kısıtlayabilirsiniz.
Resim-10
Faydalı Olması Dileğiyle…
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Configuration Profiles, Device Restrictions, Block Removable Drives, Block USB Devices, Custom OMA-URI Settings, Removable Devices, Configuration Settings, Removable Disk Deny Write Access
