Microsoft Intune'da Uygulama Koruması (APP) Politikalarını Yapılandırma

Microsoft Intune'da Uygulama Koruması (APP) Politikalarını Yapılandırma

06/14/2024

Bu teknik ve eğitici makale, Microsoft Intune'da oturum açma gerektirmeyen Mobil Uygulama Yönetimi (MAM) olarak da bilinen Uygulama Koruma İlkelerini (APP) yapılandırma ve uygulama konusunda güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine rehberlik etmeyi amaçlamaktadır. Uygulamalar, ister Intune (MDM) ister yönetilmeyen (BYOD - Kendi Cihazınızı Getirin) tarafından yönetilen olsun, mobil cihazlardaki kurumsal verileri korumak ve kuruluş verilerinin kişisel verilerden izole edilmesini ve güvende kalmasını sağlamak için çok önemlidir [1].

Giriş

Mobilitenin hayati önem taşıdığı ve kişisel cihazların iş amaçlı kullanımının (BYOD) giderek yaygınlaştığı bir senaryoda, kurumsal verilerin korunması önemli bir zorluk haline geliyor. Microsoft Intune Uygulama Koruma İlkeleri (APP), bu soruna güçlü bir çözüm sunarak kuruluşların, cihazın tamamını yönetmeye gerek kalmadan belirli mobil uygulamalarda kurumsal verilere nasıl erişildiğini, kullanıldığını ve paylaşıldığını kontrol etmesine olanak tanır. Bu, MDM'ye kayıtlı olmayan cihazlarda bile Outlook, Word, Excel, SharePoint gibi uygulamalardaki ve Intune tarafından yönetilen diğer uygulamalardaki verileri koruyabileceğiniz anlamına gelir [2].

Bu pratik kılavuz, erişim kontrollerinin, veri korumanın ve uyumluluk gereksinimlerinin tanımlanması da dahil olmak üzere iOS/ıpados ve Android için APP politikalarının oluşturulmasını ve yapılandırılmasını kapsayacaktır. Okuyucunun etkili bir veri koruma stratejisi uygulayabilmesi, hassas bilgileri koruyabilmesi ve mobil cihazlarda mevzuat uyumluluğunu sağlayabilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Uygulama Koruma Politikaları (APP) neden önemlidir?

  • Kurumsal Veri Koruma: Yönetilen uygulamalarda kopyalama, yapıştırma, farklı kaydetme ve ekrana yazdırma gibi eylemleri kontrol ederek veri kaybını (DLP) önler.
  • BYOD Desteği: Kullanıcıların, kişisel gizliliği ihlal etmeden kurumsal verileri korurken kişisel cihazlarını iş için kullanmalarına olanak tanır.
  • Esnek Erişim Kontrolleri: Yönetilen uygulamalara erişmek için PIN, biyometri veya kurumsal kimlik bilgileri gerektirir; böylece yalnızca yetkili kullanıcıların kurumsal verilere erişebilmesi sağlanır.
  • Veri Yalıtımı: Kurumsal verilerin yönetilmeyen kişisel uygulamalara veya depolama alanlarına taşınamamasını sağlar.
  • Uyumluluk: Mobil cihazlarda veri korumayı gerektiren düzenleyici gereksinimlerin karşılanmasına yardımcı olur.
  • Gelişmiş Kullanıcı Deneyimi: Kurumsal uygulamalar genelinde tutarlı ve güvenli bir kullanıcı deneyimi sağlar.

Önkoşullar

Microsoft Intune'da Uygulama Koruma İlkelerini (APP) uygulamak için aşağıdaki öğelere ihtiyacınız olacaktır:

  1. Lisanslama: Microsoft Intune'u içeren bir lisans (ör. Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Yönetim Erişimi: Microsoft Intune yönetim merkezinde ("https://endpoint.microsoft.com") "Intune Yöneticisi", "Intune Uygulama Yöneticisi" veya "Global Yönetici" izinlerine sahip bir hesap.
  3. Intune Tarafından Yönetilen Uygulamalar: Korumak istediğiniz uygulamalar, Microsoft 365 uygulamaları (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) ve Intune Uygulama Koruma SDK'sı [4] ile entegre edilmiş diğer iş kolu uygulamaları gibi "MAM uyumlu" (MAM uyumlu) olmalıdır.
  4. Test Cihazları: Politikaları test etmek için iOS/ıpados ve Android cihazları.

Adım Adım: Uygulama Koruma Politikalarını (APP) Yapılandırma

Microsoft 365 uygulamalarındaki kurumsal verileri korumak için iOS/ıpados ve Android için bir APP politikası oluşturalım.

1. Microsoft Intune Yönetim Merkezine Erişim

  1. Tarayıcınızı açın ve "https://endpoint.microsoft.com" adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.

2. Yeni Bir Uygulama Koruma Politikası Oluşturma

  1. Sol gezinme bölmesinde Uygulamalar > Uygulama koruma ilkeleri'ni seçin.
  2. İlke oluştur'a tıklayın ve istediğiniz platformu seçin (ör. "iOS/ıpados"). İşlemi tekrarlayacağızAndroid için.

Adım 1: Temel Bilgiler

  1. Ad: "APP - iOS - Kurumsal Veri Koruma" (veya "APP - Android - Kurumsal Veri Koruma").
  2. Açıklama: `iOS/ıpados cihazlarındaki Microsoft 365 uygulamalarındaki kurumsal verileri korumaya yönelik politika.'
  3. İleri'ye tıklayın.

Adım 2: Başvurular

Burada bu politikanın hedefleyeceği uygulamaları seçersiniz.

  1. Uygulamaları hedefleyin: "Tüm Microsoft uygulamaları"nı (tüm Microsoft 365 uygulamalarını ve APP'yi destekleyen diğer Microsoft uygulamalarını korumak için) veya "Özel uygulamaları seç"i (belirli uygulamaları seçmek için) seçin.
  2. Bu örnek için 'Tüm Microsoft Uygulamaları'nı seçin.
  3. İleri'ye tıklayın.

3. Adım: Veri Koruma

Bu bölümde kurumsal verilerin uygulamalar içerisinde nasıl korunacağı açıklanmaktadır.

Veri aktarımları:

  1. Kuruluş verilerini diğer uygulamalara gönderin: "Tüm uygulamalar" veya "Uygulama yok"u seçin.
    • İpucu: Maksimum güvenlik için "Uygulama Yok", kurumsal verilerin kişisel uygulamalara taşınmasını engeller. Yönetilmeyen iş kolu uygulamalarıyla birlikte çalışabilirliğe ihtiyacınız varsa ek kısıtlamalarla "Tüm Uygulamalar"ı göz önünde bulundurun.
  2. Diğer uygulamalardan veri alın: "Tüm uygulamalar"ı veya "Uygulama yok"u seçin.
  3. Kullanıcıların kuruluş verilerinin kopyalarını kaydetmesine izin ver: "Uygulama Yok"u seçin.
  4. Kullanıcıların kuruluş verilerinin kopyalarını seçilen bulut hizmetlerine kaydetmesine izin ver: Belirli bulut hizmetlerine (ör. OneDrive İş, SharePoint) kaydetmeye izin vermeniz gerekiyorsa, bunu burada yapılandırın.

Şifreleme:

  1. Kuruluş verilerini şifrele: 'Evet'i seçin.

Özellikler:

  1. Kesme, kopyalama ve yapıştırma işlevlerini kısıtlayın: "Yalnızca politika uygulamaları için"i (yönetilen uygulamalar arasında kopyalamaya/yapıştırmaya izin vermek için, ancak kişisel uygulamalar için değil) veya "Engelle"yi (tamamen önlemek için) seçin.
  2. Ekran görüntülerini ve ekran kaydını önleyin: `Evet'i seçin.
  3. Kişileri yerel uygulamalarla senkronize edin: "Engelle"yi seçin.

  4. Kuruluş Verilerini Yazdırma: 'Engelle'yi seçin.

  5. İleri'ye tıklayın.

Adım 4: Erişim Gereksinimleri

Bu bölüm, bir kullanıcının yönetilen uygulamalara erişmek için karşılaması gereken koşulları tanımlar.

  1. Erişim için PIN: 'PIN iste'yi seçin.
    • PIN türü: 'Sayısal' veya 'Karmaşık sayısal'.
    • Minimum PIN uzunluğu: "4" (veya güvenlik politikasına bağlı olarak daha fazla).
    • PIN yerine parmak izine izin ver: 'Evet' (kolaylık sağlamak için).
  2. Erişim için şirket kimlik bilgileri: 'Şirket kimlik bilgilerini iste'yi seçin (periyodik yeniden kimlik doğrulama için).

  3. Cihaz/Uygulama Sağlık Kontrolü: "Evet"i seçin.

    • İzin verilen maksimum tehdit düzeyi: "Düşük" veya "Orta" (iOS/Android için Uç Nokta için Microsoft Defender ile entegre olur).

  4. İleri'ye tıklayın.

Adım 5: Koşullu Başlatma

Bu bölüm, cihazın veya uygulamanın politika gereksinimlerini karşılamaması durumunda ne olacağını tanımlar.

  1. Erişim PIN'i: "Maksimum PIN denemesi sayısı"nı yapılandırın (ör. "5"). Eylem: "PIN'i sıfırla" veya "Verileri temizle".
  2. Çevrimdışı kimlik bilgileri: "Çevrimdışı yetkisiz kullanım süresini" yapılandırın (ör. "720" dakika). Eylem: "Erişimi engelle" veya "Verileri temizle".

  3. Cihaz Tehdit Düzeyi: 'İzin Verilen Maksimum Tehdit Düzeyi'ni yapılandırın (ör. 'Orta'). Eylem: "Erişimi engelle" veya "Verileri temizle".

  4. İleri'ye tıklayın.

Adım 6: Ödevler

Politikayı, yönetilen uygulamaları kullanacak kullanıcılara veya gruplara atayın.

  1. Dahil Et: "Grup seç"i seçin ve bu politikayı alması gereken kullanıcı gruplarını ekleyin (ör. "Tüm kullanıcılar" veya belirli bir kurumsal kullanıcı grubu).

  2. Sil: (İsteğe bağlı) Gerekirse belirli grupları silin.

  3. İleri'ye tıklayın.

7. Adım: İnceleyin ve Oluşturun

  1. Tüm politika ayarlarını gözden geçirin.
  2. Oluştur'u tıklayın.

3. Diğer Platform için Tekrarlama (Android)

Gerekirse politika adını ve açıklamasını ayarlayarak Android platformu için bir politika oluşturmak için Bölüm 2'deki adımları tekrarlayın. Veri koruma ayarları, erişim gereksinimleri ve koşullu sürüm benzerdir ancak küçük farklılıklar gösterebilir.Platforma özel varyasyonlar mevcuttur.

Doğrulama ve Test Etme

APP politikalarının doğrulanması, bunların beklendiği gibi çalışmasını sağlamak ve kurumsal verileri korumak açısından kritik öneme sahiptir.

1. Yönetilen ve Yönetilmeyen Cihazlarda Test Etme

  1. Yönetilmeyen Cihaz (BYOD): Intune'a (MDM) kayıtlı olmayan kişisel bir cihaza yönetilen bir uygulama yükleyin (ör. Outlook). APP politikası kapsamındaki bir kurumsal hesapla oturum açın.
    • Uygulamanın erişim PIN'i veya biyometri isteyip istemediğini kontrol edin.
    • Kurumsal verileri kişisel bir uygulamaya (örn. Not Defteri) kopyalamayı deneyin. Eylem engellenmelidir.
    • Yönetilen uygulama içerisinde ekran görüntüsü almayı deneyin. Eylem engellenmeli veya ekran görüntüsü boş görünmelidir.
  2. Yönetilen Cihaz (MDM): Intune'a kayıtlı bir cihazda (MDM), APP politikasının MDM politikalarıyla birlikte doğru şekilde uygulandığından emin olmak için aynı eylemleri test edin.

2. Intune Tanılama Günlüklerini Kontrol Etme

Intune tanılama günlükleri, APP ilkesinin uygulanması hakkında bilgi sağlayabilir.

  1. Microsoft Intune yönetim merkezinde Sorun Giderme + Destek'e gidin.
  2. Test kullanıcısını arayın.
  3. Uygulamalar bölümünde kullanıcıya ve uygulamalara uygulanan uygulama koruma ilkesinin durumunu görebilirsiniz.

3. Uygulama Koruma Politikası Durum Raporunu Kontrol Etme

  1. Microsoft Intune yönetim merkezinde Uygulamalar > Monitör > Uygulama Koruma Durumu'na gidin.
  2. Bu rapor, bunları alan kullanıcılar ve uygulamalar ve hatalar da dahil olmak üzere, APP politikalarının durumuna ilişkin bir genel bakış sağlar.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Denetimle Başlayın: Yeni uygulamalar için, tam blokları uygulamadan önce etkiyi anlamak için daha az kısıtlayıcı politikalarla veya (varsa) denetim modunda başlayın.
  • Net İletişim: Kullanıcılara APP politikaları, avantajları ve bunların cihazlarının kullanımını nasıl etkilediği hakkında net bir şekilde iletişim kurun. Bu, direncin azaltılmasına ve uyumluluğun arttırılmasına yardımcı olur.
  • Platformlar Arası Tutarlılık: Birleşik bir kullanıcı deneyimi ve tutarlı bir güvenlik duruşu için Uygulama politikalarını iOS/ıpados ve Android genelinde tutarlı tutun.
  • Koşullu Erişim ile Entegrasyon: Kurumsal kaynaklara erişim izni vermeden önce uygulamaların APP güvenliğine sahip olmasını gerektirmek için APP politikalarını Azure AD Koşullu Erişim ile birleştirin [5].
  • Periyodik İnceleme: Değişen iş ihtiyaçlarına, tehdit ortamına ve uygulama güncellemelerine uyum sağlamak için APP politikalarınızı düzenli olarak gözden geçirin ve ayarlayın.
  • Hassas Uygulamalara Öncelik Verin: APP politikalarını en hassas verileri içeren veya kurumsal amaçlarla en çok kullanılan uygulamalara uygulayarak başlayın.
  • PIN ve Biyometri: Özellikle paylaşılan cihazlarda ekstra bir güvenlik katmanı sağlamak amacıyla yönetilen uygulamalara erişim için PIN veya biyometri kullanılmasını zorunlu kılın.

Genel Sorun Giderme

  • APP politikası uygulanmadı: Kullanıcının politika ekleme grubunda olup olmadığını kontrol edin. Uygulamanın Intune tarafından yönetilen bir uygulama olduğundan ve hedef uygulamalar listesinde olduğundan emin olun. Intune tanılama günlüklerini kontrol edin.
  • Kullanıcılar beklenmedik bir şekilde engellendi: Politikanın "Koşullu Başlatma" ayarlarını kontrol edin. Cihaz veya uygulama bir koşulu ihlal ediyor olabilir (ör. yanlış PIN, root erişimli/jailbreakli cihaz).
  • Kurumsal veri sızıntısı: "Veri Koruma" ayarlarını, özellikle de "Kuruluş verilerini diğer uygulamalara gönder" ve "Kullanıcıların kuruluş verilerinin kopyalarını kaydetmesine izin ver" kısıtlamalarını gözden geçirin.
  • Uygulama yönetilen olarak görünmüyor: Uygulamanın Intune tarafından yönetilen bir uygulama olarak dağıtıldığından veya kullanıcının uygulamada iş hesabıyla oturum açtığından emin olun.
  • Uygulama performansı sorunları: Bazı durumlarda çok kısıtlayıcı APP politikaları uygulama performansını etkileyebilir. Kullanıcı geri bildirimlerini izleyin ve gerekirse politikaları ayarlayın.
  • Diğer politikalarla çakışmalar: Aynı cihaza uygulanan MDM ve APP politikaları varsa çakışma olmadığından emin olun. APP gen politikalarıBu politikalar yalnızca uygulama içindeki veriler için geçerliyken, MDM politikaları cihazın tamamı için geçerlidir.

Sonuç

Microsoft Intune'daki Uygulama Koruma İlkeleri (APP), mobil cihazlardaki kurumsal verileri korumaya yönelik önemli bir araçtır ve BYOD ortamları için esneklik ve güvenlik sağlar. Yönetilen uygulamalarda verilere nasıl erişildiği, kullanıldığı ve paylaşıldığı konusunda ayrıntılı kontroller uygulayarak kuruluşlar, veri kaybı riskini önemli ölçüde azaltabilir ve mevzuata uygunluğu sağlayabilir. Uygulamaların dikkatli bir şekilde yapılandırılması, sıkı testler ve kullanıcı eğitimi ile birleştiğinde, BT ve güvenlik ekiplerine veri korumasını geleneksel çerçevenin ötesine genişletme gücü vererek, kullanılan cihaz ne olursa olsun şirketin en değerli bilgilerinin güvende kalmasını sağlar. Bu kılavuzla güvenlik uzmanları, giderek daha bağlantılı hale gelen bir dünyada mobil güvenliği güçlendirebilecek ve bilgi varlıklarını koruyabilecek.

Referanslar:

[1] Microsoft Learn. Uygulama koruma politikalarına genel bakış. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn. Uygulama koruma ilkelerini oluşturun ve dağıtın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Microsoft Intune lisanslama gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Microsoft Intune tarafından korunan uygulamalar. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Intune Uygulama Koruması ile Koşullu Erişim. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access