Android Corporate-Owned Cihazlar için Compliance Policy Oluşturma

Kurumsal ortamlarda kullanılan mobil cihazların güvenliğini ve uyumluluğunu sağlamak, modern iş dünyasında kritik bir gereklilik haline gelmiştir. Microsoft Intune üzerinde oluşturulan Compliance Policy (Uyumluluk İlkeleri), Android cihazların belirlenen güvenlik standartlarına ve organizasyon politikalarına uygun çalışmasını garanti altına alır. Bu politikalar sayesinde yöneticiler; cihazların şifreleme durumunu, ekran kilidi gereksinimlerini, işletim sistemi sürümünü veya root edilip edilmediğini denetleyebilir.

Android cihazlar için compliance policy oluşturmak, yalnızca güvenlik risklerini azaltmakla kalmaz; aynı zamanda Conditional Access ile entegre edilerek kurumsal kaynaklara yalnızca güvenli ve uyumlu cihazların erişmesini sağlar. Böylece hem veri ihlallerinin önüne geçilir hem de kullanıcı deneyimi bozulmadan güvenlik standartları korunur.

Kullanım Senaryoları

• Minimum OS sürümü zorunluluğu: Belirlenen sürümün altındaki cihazların kurumsal kaynaklara erişimini engellemek.
• Şifreleme ve ekran kilidi politikaları: Veri güvenliği için cihazlarda PIN, parmak izi veya yüz tanıma gibi kimlik doğrulama yöntemlerini zorunlu kılmak.
• Root/Jailbreak tespiti: Güvenliği riske atan modifiye edilmiş cihazların otomatik olarak engellenmesi.
• Uyumlu cihazlara erişim izni: Conditional Access ile entegre çalışarak yalnızca compliant cihazların e-posta, Teams veya SharePoint gibi hizmetlere erişmesine izin vermek.

Lisans Gereksinimleri

Compliance policy oluşturmak ve Conditional Access senaryolarında kullanmak için aşağıdaki lisanslardan biri gereklidir:

• Microsoft Intune lisansı (bağımsız veya paket halinde)
• Microsoft 365 E3 / E5
• Enterprise Mobility + Security (EMS) E3 / E5

Bu lisanslar sayesinde hem cihaz hem de kullanıcı bazında politikalar uygulanabilir ve güvenlik süreçleri merkezi olarak yönetilebilir.

Şimdi kendi sistemimize bir adet Compliance Policy yazalım;

Policy oluşturmak için öncelikle https://intune.microsoft.com/ adresine giriş yapıyoruz. Devices>Android>Compliance kısmında “Create Policy” seçiyoruz. Platform’a “Android Enterprice” Profile Type kısmına ise “Fully managed, dedicated, and corporate-owned work profile” seçiyoruz.

Policy adını verip “Next” ile devam ediyoruz.

Bu kısımdaki ayarlar ile açıklamalar aşağıdaki gibidir. Buna uygun şekilde policy düzenleyebilirsiniz. Ben default olarak gelen ayarları düzenleyeceğim. Sadece Rooted cihazları bloklayacağım.

Microsoft Defender for Endpoint

Bu bölüm, cihazların Microsoft Defender for Endpoint ile uyumlu olup olmadığını kontrol eder.

• Microsoft Defender for Endpoint : Cihazların Defender kurallarına uygunluğunu belirler.
• Require the device to be at or under the machine risk score:: Cihazın risk puanının belirli bir seviyenin altında olması gerekebilir.

2. Device Health

Cihazın güvenlik durumunu değerlendirir.

• Rooted Devices: Root edilmiş cihazlar engellenmiş durumda (Block seçili).
• Require the device to be at or under the Device Threat Level: Cihazın tehdit seviyesi belirli bir seviyenin altında olmalı. Şu anda yapılandırılmamış.
• Google Play Protect
  • Play Integrity Verdict: Cihazın Play Protect tarafından doğrulanıp doğrulanmadığını kontrol eder. Şu anda yapılandırılmamış.

3. Device Properties

Cihazın işletim sistemi ve güvenlik düzeyiyle ilgili gereksinimleri belirler.

• İşletim Sistemi Sürümü
  • Minimum OS: Cihazın çalışması için gereken en düşük işletim sistemi sürümü. Yapılandırılmamış.
  • Maksimum OS: Cihazın çalışması için izin verilen en yüksek işletim sistemi sürümü. Yapılandırılmamış.
  • Minimum security patch level: Cihazın sahip olması gereken en düşük güvenlik yaması seviyesi. Yapılandırılmamış.

Bu kısımdaki ayarlar ile açıklamalar aşağıdaki gibidir. Buna uygun şekilde policy düzenleyebilirsiniz.

1. System Securty

• Require a password to unlock mobile devices: Cihazın ekran kilidini açmak için parola zorunlu hale getirilir. Bu, cihazın yetkisiz erişimlere karşı korunmasını sağlar.
• Required password type: Parolanın biçimini belirler. Örneğin, sadece sayısal mı olacak, alfanumerik mi, desen mi gibi.
• Minimum password length: Parolanın en az kaç karakterden oluşması gerektiğini tanımlar. Güvenlik için daha uzun parolalar önerilir.
• Maximum minutes of inactivity before the password is required: Cihaz kullanılmadığında, belirli bir süre sonra tekrar parola istenmesini sağlar. Bu, cihazın açık unutulması durumunda güvenliği artırır.
• Number of days until the password expires: Parolanın ne kadar süreyle geçerli olacağını belirler. Süre dolduğunda kullanıcı yeni bir parola oluşturmak zorundadır.
• Number of passwords required before the user can reuse a password: Kullanıcının eski bir parolayı tekrar kullanabilmesi için kaç farklı parola kullanması gerektiğini belirler. Bu, parola tekrarını engelleyerek güvenliği artırır.

• Encryption

• Encryption settings for data storage on the device: Cihazda depolanan verilerin şifrelenip şifrelenmeyeceğini belirler. Şifreleme, verilerin yetkisiz erişimlere karşı korunmasını sağlar.
• Device Security setting for Intune app runtime integrity: Intune uygulamasının güvenli bir ortamda çalıştığını doğrulamak için bütünlük kontrolü yapılır. Bu, uygulamanın değiştirilmediğinden ve güvenli şekilde çalıştığından emin olmak için kullanılır.

Ayarlamaları yaptıktan sonra “Next” ile devam ediyoruz.

Non Compliance cihazlar ile ilgili bildirim almak isterseniz bu kısımdaki menülerden istediğinizi seçebilirsiniz.

Son olarak bu kuralı hangi kullanıcılara atayacağımız seçip “Finish” diyoruz. Artık corp owned cihazlar için Compliance policy hazır durumdadır.

Artık Corp Owned cihazları Intune Portala enroll edebiliriz.