BYOD (Bring Your Own Device) çalışma modelinin yaygınlaşmasıyla birlikte, şirket verilerinin kişisel cihazlarda güvenliğini sağlamak kritik bir zorluk haline geldi. Intune Uygulama Koruma Politikaları (APP), cihazı yönetmeden sadece iş uygulamalarını ve verilerini koruma imkanı sunar.
Kayıt Olmadan MAM (MAM-WE)
MAM-WE Nedir?
Mobile Application Management Without Enrollment, cihazı Intune'a kaydetmeden uygulama düzeyinde koruma sağlar. Kullanıcı gizliliği korunurken, şirket verileri güvende tutulur.
Avantajlar
- • Kullanıcı gizliliği korunur
- • Hızlı dağıtım
- • Kullanıcı direnci düşük
- • Kişisel veriler görünmez
Sınırlamalar
- • Cihaz ayarları yönetilemez
- • Sadece desteklenen uygulamalar
- • Conditional Access sınırlı
- • Tam envanter yok
Veri Koruma Özellikleri
Veri Şifreleme
Uygulama verileri cihazda şifrelenir. Entra ID kimlik bilgileri ile şifre çözme anahtarı korunur.
# Şifreleme Ayarları
{
"dataProtection": {
"encryptAppData": true,
"encryptionMethod": "AES256",
"keyDerivation": "PBKDF2",
"minimumPinLength": 6
}
}Kopyala-Yapıştır Kısıtlamaları
İş uygulamaları arasında veri paylaşımına izin verirken, kişisel uygulamalara veri aktarımını engelleyin.
Farklı Kaydet Kısıtlamaları
İş belgelerinin kişisel bulut depolama alanlarına kaydedilmesini engelleyin.
# Kaydetme Politikası
{
"saveAs": {
"allowedLocations": [
"OneDrive for Business",
"SharePoint Online"
],
"blockedLocations": [
"Local Storage",
"Personal Cloud Storage",
"SD Card"
],
"allowPrint": false
}
}Seçici Silme
Çalışan ayrıldığında veya cihaz kaybolduğunda, sadece iş verilerini uzaktan silin. Kişisel veriler korunur.
Önemli: Seçici silme işlemi geri alınamaz. Kullanıcı bir sonraki oturum açışında iş verilerine erişemez.
Koşullu Başlatma
Belirli koşullar sağlanmadığında uygulamanın başlatılmasını engelleyin veya kısıtlayın.
Cihaz Koşulları
- Minimum işletim sistemi sürümü
- Jailbreak/Root kontrolü
- Tehdit seviyesi limiti
Uygulama Koşulları
- Minimum uygulama sürümü
- Çevrimdışı kullanım süresi
- PIN/Biyometrik zorunluluğu
- Hesap kimlik doğrulama süresi
Ön Gereksinimler
Aşağıdaki yapılandırmayı uygulamadan önce şu adımları tamamlamanız gerekmektedir:
- 1.Graph Explorer adresine gidin ve admin hesabınızla giriş yapın.
- 2.Gerekli izinleri (DeviceManagementApps.ReadWrite.All) onaylayın.
- 3.POST metodunu seçin ve endpoint URL olarak aşağıdakini yapıştırın. https://graph.microsoft.com/beta/deviceAppManagement/iosManagedAppProtection
- 4.Request body bölümüne aşağıdaki JSON yapılandırmasını kopyalayıp yapıştırın.
Graph API ile Politika Oluşturma
Intune Admin Center yerine Microsoft Graph API kullanarak programatik olarak politika oluşturabilirsiniz.
- 1.Graph Explorer'a gidin:
https://developer.microsoft.com/graph/graph-explorer - 2.POST metodunu seçin ve endpoint olarak
/beta/deviceAppManagement/androidManagedAppProtectionsgirin. - 3.Gerekli izinleri onaylayın:
DeviceManagementApps.ReadWrite.All - 4.Request body bölümüne aşağıdaki JSON yapılandırmasını kopyalayıp yapıştırın.
Not: JSON Yapılandırması
Koşullu başlatma yapılandırması için Graph API dokümantasyonunu inceleyerek ihtiyacınıza uygun JSON yapısını oluşturabilirsiniz. Yukarıdaki adımları takip ederek Graph Explorer üzerinden test edebilirsiniz.
Başarılı Uygulama Sonrası
JSON yapılandırmasını Graph Explorer üzerinden başarıyla gönderdiğinizde, Intune portalında Apps → App protection policies → Protection bölümünde oluşturduğunuz politikayı göreceksiniz. Politika varsayılan olarak herhangi bir gruba atanmamış şekilde oluşturulur.
Politikayı oluşturduktan sonra, öncelikle küçük bir pilot gruba atama yapmanız önerilir. Pilot grupta test ettikten ve kullanıcı geri bildirimlerini değerlendirdikten sonra, politikayı tüm organizasyona yaygınlaştırabilirsiniz. Atama işlemi için politikaya tıklayın ve Assignments sekmesinden hedef grupları seçin.
Intune Portal → Apps → Protection sayfasında oluşturulan politikanın görünümü• Büyütmek için tıklayın
Desteklenen Uygulamalar
APP politikaları, Intune SDK'sı entegre edilmiş uygulamalarda çalışır. Microsoft uygulamaları varsayılan olarak desteklenir.
Outlook
E-posta ve Takvim
Office Apps
Word, Excel, PowerPoint
Teams
İşbirliği ve İletişim
OneDrive
Bulut Depolama
SharePoint
İçerik Yönetimi
Edge
Güvenli Tarayıcı
Özel Uygulamalar
Kendi geliştirdiğiniz uygulamalara da APP desteği ekleyebilirsiniz:
- • iOS: Intune App SDK for iOS
- • Android: Intune App SDK for Android
- • Xamarin: Intune App SDK Xamarin Bindings
Uygulama Adımları
Politika Oluşturma
Intune admin center → Apps → App protection policies → Create policy
Uygulama Seçimi
Politikanın uygulanacağı uygulamaları seçin
Veri Koruma Ayarları
Kopyala-yapıştır, kaydetme, paylaşma kısıtlamalarını yapılandırın
Erişim Gereksinimleri
PIN, biyometrik, kimlik doğrulama ayarlarını yapılandırın
Koşullu Başlatma
Cihaz ve uygulama koşullarını, uyumsuzluk eylemlerini tanımlayın
Atama
Politikayı kullanıcı gruplarına atayın
En İyi Uygulamalar
APP politikalarının neden gerekli olduğunu açıklayın. Kullanıcılar kısıtlamaların amacını anladığında kabul oranı artar.
Yeni politikaları küçük bir pilot grupta test edin. Kullanıcı geri bildirimlerini toplayın ve gerekli ayarlamaları yapın.
Aşırı kısıtlayıcı politikalar kullanıcı verimliliğini düşürür. Makul güvenlik seviyesi ile kullanıcı deneyimini dengeleyin.
APP raporlarını düzenli inceleyin. Uyumsuz cihazları ve kullanıcı davranışlarını takip edin.
Yeni tehditler ve iş gereksinimleri doğrultusunda politikaları düzenli olarak gözden geçirin ve güncelleyin.