MİCROSOFT OFFİCE 365

Microsoft Teams ile Security & Compliance – Endpoint Manager App Protection Policies

21 Mayıs 2020 - By 

Endpoint Manager(Intune) App Protection Policies (Uygulama koruma politikaları), şirket verilerinizi yönetilebilen bir uygulamada güvenli bir şekilde korunma sağlamak için oluşturduğumuz politikalardır. Örneğin, kullanıcılar kurumsal verilerine erişmeye veya bu verileri farklı bir yere taşımaya çalıştığında, BT Yönetimi bu konuda bir takım önlemler almak isteyecektir. İşte bu konuda Mobile Application Management (MAM) servisi devreye giriyor. Mobile Application Management (MAM), şirket verilerini bir uygulama içinde yönetmenizi ve korumanızı sağlamaktadır. Bu yazımızda ise Mobile cihazlar üzerinde kullandığınız uygulamalarda, şirket verilerinizi korumaya yönelik politikalar oluşturacağız. Ek bilgi : https://docs.microsoft.com/en-us/mem/intune/apps/app-management#app-management-capabilities-by-platform

App Protection Policies uygulama verilerini nasıl korur?

  • Uygulama koruma politikaları olmayan uygulamalardaki süreçlerde

Uygulamalar kısıtlama olmaksızın kullanıldığında, şirket ve kişisel veriler birbirine karışabilir. Şirket verileri kişisel depolama gibi konumlarda bulunabilir. Bu süreçlerde veri kaybına neden olabilir. Aşağıdaki şemadaki oklar, hem kurumsal hem de kişisel uygulamalar ile depolama konumları arasındaki sınırsız veri hareketini göstermektedir.


  • Uygulama koruma politikaları ile veri koruması

Şirket verileri kullanılan cihazın yerel depolama alanına kaydedilmesini önlemek için App Protection Policies (Uygulama koruma politikalarını)
kullanabilirsiniz. Ayrıca, veri hareketini Uygulama koruma politikaları tarafından korunmayan diğer uygulamalarla da kısıtlamanız mümkündür.

Uygulama koruma politikası ayarları şunları içerir:

  1. Şirket verilerini kopyala, kaydet,kes  ve yapıştır gibi işlemleri kısıtlamak politikaları yer almaktadır .
  2. Ayrıca erişim için basit PIN iste ve yönetilen uygulamaların jailbreak veya Block managed apps from device (köklü cihazlarda çalışmasını engelle) gibi politikalarda yer almaktadır.


  • MDM çözümü tarafından yönetilen cihazlarda APP ile veri koruması

Aşağıdaki şekilde MDM ve Uygulama koruma ilkelerinin birlikte sunduğu koruma katmanları gösterilmektedir.


MDM çözümü ;

  1. Cihazı kaydeder
  2. Uygulamaları cihaza dağıtır
  3. Sürekli cihaz uyumluluğu ve yönetimi sağlar

Uygulama koruma politikaları ise;

  1. Şirket verilerini tüketici uygulamalarına ve hizmetlerine sızmaya karşı korumaya yardımcı olur
  2. İstemci uygulamalarına farklı kaydet , pano veya PIN gibi kısıtlamaları uygular
  3. Gerektiğinde bu uygulamaları cihazdan kaldırmadan şirket verilerini siler.
  • Kaydı olmayan cihazlar için APP ile veri koruması

Aşağıdaki şemada veri koruma politikalarının MDM olmadan uygulama düzeyinde nasıl çalıştığı gösterilmektedir.


Herhangi bir MDM çözümüne kayıtlı olmayan BYOD cihazları için, Uygulama koruma politikaları şirket verilerinin uygulama düzeyinde korunmasına yardımcı olabilir. Ancak, dikkat edilmesi gereken bazı sınırlamalar vardır, örneğin:

  • Uygulamaları cihaza dağıtamazsınız. Son kullanıcının uygulamaları mağazadan alması gerekir.
  • Bu cihazlarda sertifika profilleri sağlayamazsınız.
  • Bu cihazlarda şirket Wi-Fi ve VPN ayarlarını sağlayamazsınız.

Uygulama koruma ilkelerini kullanmak için son kullanıcı gereksinimleri

Intune tarafından yönetilen bir uygulamada uygulama koruma ilkelerini kullanmak için son kullanıcı gereksinimlerini aşağıdaki gibidir:

  1. Son kullanıcının bir Azure Active Directory (AAD) hesabı olması gerekir. (Azure Active Directory’de nasıl Intune kullanıcıları oluşturulacağınızı öğrenmek için Kullanıcı ekleme ve Intune’a yönetici izni verme konusuna bakılabilir.)
  2. Son kullanıcının Azure Active Directory hesaplarına atanmış Microsoft Intune lisansı olması gerekir. (Son kullanıcılara Intune lisanslarının nasıl atanacağını öğrenmek için Intune lisanslarını yönetme konusunu inceleyebilirsiniz.)
  3. Son kullanıcı, bir uygulama koruma politikası tarafından hedeflenen bir güvenlik grubuna ait olmalıdır. Aynı uygulama koruma politikası, kullanılan uygulamayı hedeflemelidir. Uygulama koruma ilkeleri, Azure portalındaki Intune konsolunda oluşturulabilir ve dağıtılabilir.
  4. Son kullanıcı, AAD hesaplarını kullanarak uygulamada oturum açmalıdır.

Uygulama koruma politikaları kullanmanın önemli faydaları:

  • Şirket verilerinizi uygulama düzeyinde koruma: Mobil uygulama yönetimi cihaz yönetimi gerektirmediğinden, hem yönetilen hem de yönetilmeyen cihazlardaki şirket verilerini koruyabilirsiniz. Yönetim, cihaz yönetimi gereksinimini ortadan kaldıran kullanıcı kimliğine odaklanmıştır.
  • Uygulamayı kişisel bağlamda kullanırken son kullanıcı verimliliğini etkilenmez ve politikalar uygulanmaz. Politikalar yalnızca kişisel verilerinize dokunmadan şirket verilerini koruma olanağı sağlayan bir çalışma bağlamında uygulanır.
  • Uygulama koruma ilkeleri, uygulama katmanı korumalarının yerinde olmasını sağlar:


    Örneğin, Bu konuda şunları yapabilirsiniz:

    • Bir uygulamayı çalışma bağlamında açmak için PIN istemesi
    • Uygulamalar arasında veri paylaşımını kontrol etme
    • Şirket uygulama verilerinin kişisel bir depolama konumuna kaydedilmesini önleme
  • MDM, MAM’a ek olarak, cihazın korunduğundan emin olur: Örneğin, cihaza erişmek için bir PIN girmeniz gerekebilir veya yönetilen uygulamaları cihaza dağıtabilirsiniz. Ayrıca, uygulama yönetimi üzerinde daha fazla kontrol sağlamak için uygulamaları MDM çözümünüz aracılığıyla cihazlara uygulayabilirsiniz.

iOS / iPadOS veya Android için Uygulaması Koruma Politikası Nasıl Oluşturulur?

Uygulama koruma ilkeleri, Intune tarafından yönetilebilen veya yönetilemeyen cihazlarda çalışan uygulamalar için geçerlidir.Buna ek olarak Microsoft Ignite da duyurduğu Microsoft Endpoint Manager Admin Center bölümünden ilgili işlemler de yapılmaktadır. (Intune & Sccm) Yönetici olarak Office 365 Admin Center’a giriş yaptınızda, Endpoint Manager Yönetim paneline erişim sağlayabilirsiniz.


  1. İlk olarak Microsoft Endpoint Manager yönetim merkezinde yönetici olarak oturum açınız.
  2. Intune portalında Apps > App Protection Policies’e seçin . Burada yeni politikaları oluşturacağınız ve mevcut politikaları düzenlediğiniz bölümdür.
  3. Create Policy’i seçin ve iOS / iPadOS veya Android seçeneklerinden birini seçerek, Yeni bir App protection policy oluşturabilirsiniz. İOS/İPadOS ‘u seçip, policy’i oluşturmaya başlıyorum.


Policy’e İOS uygulamaları için veri sızıntısını önleme
politikası adından bir isim veriyorum.


Apps bölümünden Koruma sağlayacağım uygulamalarımı belirliyorum.

Detaylı Bilgi için: https://docs.microsoft.com/en-us/mem/intune/apps/app-protection-policies

Value/Option

Description

Target to apps on all devices types

 Herhangi bir yönetim durumundaki cihazlardaki uygulamalar için kullanılır.

Device types

 MDM ile yönetilen cihazlar veya yönetilmeyen cihazlar için geçerli olup olmadığını belirtmek için kullanılır. İOS / iPadOS APP ilkeleri için Yönetilmeyen ve Yönetilen cihazlar arasından seçim yapılır. Android APP politikaları için Yönetilmeyen , Android cihaz yöneticisi ve Android Enterprise arasından seçim yapılır.

Public apps

 Hedeflenecek uygulamaları seçmek için kullanılır.

Custom apps

 Bir Grup Kimliğine göre hedeflenecek özel uygulamaları seçmek için kullanılır.


Data Protection bölümünde, uygulamada Farklı Kaydet seçeneğinin kullanımını devre dışı bırakmak için save copies of org data (verilerin kopyalarını kaydet) seçeneğini Block olarak seçilir. Ekranda görüldüğü üzere bu özelliği kullanıcılar sadece Onedrve For Business ve Sharepoint servislerinde sağlaması için izin verilir. Local storage seçeneğini hariç tuttum. Çünkü Teams uygulamasını kullanılırken paylaşılan veya üzerinde çalışılan tüm dosyalar Onedrive ve Sharepoint servislerinde tutulmaktadır. Yukarıdaki aksiyonda kullanıcı İOS cihazlarında kullanmış olduğu Teams üzerindeki bir dosyayı veya dosya içerisindeki veriyi local storage bölümlerine kopyalamayı gerçekleştiremiyecektir.

Not: Bu ayar Microsoft Excel, OneNote, Outlook, PowerPoint ve Word için desteklenir.

Veri koruma ayarları:


Access requirements bölümünde ise kullanıcıların çalışma bağlamında uygulamalara erişmek için gerekli kılınan ayarlarımız mevcutur. (PIN ve kimlik bilgisi vs.) Default olarak kullanılabilir.

Access requirements ayarları:


Conditional launch, Oluşturulan uygulama koruması politikası için güvenli olarak oturum açma gereksinimlerini ayarlamak üzere bu ayarlar uygulanır.

Conditional launch ayarları:


Yukarıdaki yapılan ayarları hangi grup üyelerine uygulanacağımı belirtiliyorum.


Yapılan tüm ayarların geniş bi özeti sunulmaktadır. Gerekli kontorllerimi sağladıktan sonra Create butonu ile kuralımı oluşturuluyorum.


Teams için İOS uygulama veri sızıntısını önleme politikası oluşturulmuştur. Bu uygulama politikasını Android cihazlar için de uygulayabilirsiniz.

Kullanıcı Deneyimi

iOS cihazınızı Intune Şirket Portalı uygulamasına kaydederek şirket e-postasına, dosyalarına ve uygulamalarına güvenli erişim sağlayabilirsiniz. Cihazınız kaydedildikten sonra, yönetilebilen cihaz hale gelir. Şirketiniz, Intune gibi bir mobil cihaz yönetimi (MDM) sağlayıcısı aracılığıyla cihazlara policy ve uygulamalar atayabilir.

App Store‘u açın ve Intune Şirket Portalı için arama yapın ve Intune Şirket Portalı uygulamasını indirin.




Uygulama indirildikten sonra policy’I uygulayacağınız bir hesap ile oturum açma işlemini gerçekleştirin. Yukaridaki adımlarda ilk olarak şirket yönetimini sağlamak için erişim ayarları kontrol edilir ve bu konuyla ilgili cihazınıza Yönetim Profili indirilmesi istenir.




Ardından İOS cihazınızda Genel – Profil – Yönetim profili adımları takip edin. Management(yönetim) profili yüklenmemiş ise, Yükle butonuna tıklayın.




Uyarı bölümünde gerekli sertifika bilgileri gözden geçerek, Yükle butonuna tıklayın. Uzak Yönetim ile ilgili uyarına Güven diyerek kurulum işlemini tamamlayabilirsiniz.




Son olarak Şirket Portal kurulumu tarafındaki işlemler tamamlanmıştır. Debra kullanıcısı ile İOS cihaz bilgileri İntune portalına kaydedilmiştir.





Yetki kullanıcımız ile Microsoft teams uygulamasını erişim sağlamak istediğimizde, Access requirements ayarlarında belirttiğimzi PIN
doğrulaması karşımıza gelecektir. PIN doğrulama işlemi yaptığımızda, artık Microsoft Teams uygulamasına İOS cihazımızdan erişim sağlamış olacaksınız. Burada üyesi olduğunuz herhangi bir Ekip’e geldiğinizde ve o ekibe bağlı bir kanal içerisindeki bir word dosyasını açıp, içerisindeki bir yazıyı kendi İOS cihazınızdaki notlar uygulamasına kaydetmeyi denedinizde. “Kuruluşunuzun verileri buraya yapıştırılamıyor” uyarısı gelmektedir.

Yani belirlediğimiz bu policy’de kullanıcımız Microsoft Teams, Onedrve veya Outlook içerisindeki herhangi bir veriyi, local storage dediğimiz telefonun bir yerine kaydetme istediğinde yukarıdaki uyarısı alacaktır. (Kuruluşunuzun verileri buraya yapıştırılamıyor)

TAGs: Microsoftteams, Teams, Teamsmobile, Microsoft365Security, Microsoft365Compliance, MicrosoftEndpointManager, EndpointManager, Intune, AppsProtectionPolicies, SecurityCompliance,EMS, Mobile, OnedriveForBusiness, SharepointOnline

I was born in Istanbul. I completed my high school education in system network engineering, my university studies in Computer Technology and Programming Sciences, and earned a four-year degree from Anadolu University. As an experienced technology consultant, I have gained extensive experience in the field of information technology for over 10 years. I have worked in both large corporate companies and small-scale startups, specialising in providing strategic technology solutions to clients across various industries. During this time, I have developed into a determined and reliable IT consultant, covering the entire technology field, including project management, training, and pre- and post-sales support for corporate solutions. I have both individual and team-based experience in management, implementation, and design in areas such as cybersecurity, endpoint security, data security, cloud migration, and infrastructure. As a result, I always use the phrase “It can be better” in every situation I encounter. I currently work as a “Cyber Security Principal Expert ☁” at Koçsistem, Microsoft’s top partner. My skills and abilities Cloud Computing Architecture Microsoft 365 Migration and Management Azure Infrastructure Modern Workplace Digital transformation Microsoft 365 Exchange Online EOP ( Exchange Online Protection) Microsoft Defender for Office 365 Microsoft Defender for Endpoint Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Microsoft Defender for Identity Microsoft Intune Microsoft Sentinel Microsoft Teams Hybrid Solutions Mobile Device Management and Mobile Application Management. Data Loss Prevention and Protection Microsoft Information Protection Cloud Identity and Access Management Solution MS Windows Server Family Microsoft Client Windows 11 Management of Hyper-v and VMware Virtualization Platforms Active Directory configuration and management Exchange Server configuration and management Veeam Backup installation and configuration WDS,MDT configuration and management Certificates ; MCT: Microsoft Certified Trainer 2019-2020 MS: Designing and Providing Microsoft Volume Licensing Solutions to Large Organizations MCTS: Designing, Assessing, and Optimizing Software Asset Management (SAM) MCPS: Microsoft Certified Professional MCSA: Windows Server 2012 MCSE: Private Cloud WMSP: Veeam Sales Professional VMTSP: Veeam Technical Sales Professional Coursera-Cybersecurity Solutions and Microsoft Defender Coursera-Cybersecurity Management and Compliance Google – Google Professional Cloud Architect

Related Posts

Microsoft Ignite 2020 | Microsoft Teams Yenilikleri

27 Eylül 2020

Microsoft Teams ile Security & Compliance – eDiscovery ve Content Search

13 Ağustos 2020

Microsoft Teams – Groups Açma Özelliği Nasıl kapatılır

9 Temmuz 2020

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir