Windows Cihazlar için Microsoft Intune Compliance Policy

Kurumsal ortamda kullanılan cihazların güvenliğini, standartlara uygunluğunu ve veri bütünlüğünü sağlamak, modern yönetim altyapılarının en önemli bileşenlerinden biridir. Microsoft Intune, Windows cihazlar için “Compliance Policy” (Uyumluluk İlkeleri) oluşturarak bu gereksinimleri merkezi bir şekilde yönetmenizi sağlar. Bu politikalar sayesinde cihazların belirli güvenlik kurallarına, yapılandırma standartlarına ve kurumsal politikalarınıza uygun çalışması garanti altına alınır.

Compliance Policy Nedir?

Compliance Policy, bir cihazın kurumsal güvenlik standartlarını karşılayıp karşılamadığını belirleyen bir dizi kural bütünüdür. Bu kurallar şunları içerebilir:

• Cihazın disk şifrelemesinin (BitLocker) etkin olması,
• Antivirüs korumasının aktif durumda bulunması,
• Güncel işletim sistemi yamalarının yüklenmiş olması,
• Ekran kilidi, parola uzunluğu ve karmaşıklık kurallarının sağlanması,
• Cihazın jailbreak/root edilmemiş olması gibi koşullar.

Bu politikalar yalnızca cihaz güvenliğini artırmakla kalmaz, aynı zamanda Conditional Access (Koşullu Erişim) politikalarıyla entegre çalışarak yalnızca uyumlu cihazların Microsoft 365 hizmetlerine erişmesine izin verir.

Lisans Gereksinimleri

Compliance Policy özelliği, Intune’un lisanslı kullanıcılarına sunulan bir işlevdir. Aşağıdaki lisanslardan herhangi biriyle kullanılabilir:

• Microsoft Intune Suite veya Intune Plan 1 / Plan 2
• Microsoft 365 E3 / E5
• Enterprise Mobility + Security (EMS) E3 / E5
• Microsoft 365 Business Premium

Conditional Access veya gelişmiş güvenlik raporlaması gibi ek özellikleri kullanmak istiyorsanız Azure AD Premium P1 veya P2 lisansı da gereklidir.

Bu ayarların yapılabilmesi için aşağıdaki adımları izleyebiliriz.

https://intune.microsoft.com/ adresine İntune Admin yetkili bir kullanıcı veya Global Admin yetkili bir kullanıcı ile giriş yapıyoruz. Sırası ile sol menüden “Devices>Windows>Compliance>Create New” tıklayarak yukarıdaki ekranı açıyoruz. Bu kısımdan “Windows 10 and later” seçeneğinin altından “Profile Type” kısmını “Windows 10/11 compiance policy” seçip “Create” diyoruz.

“Basics” ekranında politikamızın ismini verip isterseniz açıklamada ekleyerek devam ediyoruz.

“Compliance settings” altında birden fazla ayar bölümü bulunmaktadır. Bu bölümler hakkında bilgileri aşağıda detaylı ve örnekleyerek açıklayacağım.

Device Health (Cihaz Sağlığı)

BitLocker

• Açıklama: Cihazın sürücü şifrelemesinin (BitLocker) aktif olmasını zorunlu kılar.
• Amaç: Cihaz kaybolduğunda veya çalındığında verilerin yetkisiz kişilerce erişilmesini engellemek.
• Örnek: BitLocker kapalıysa cihaz “Non-compliant” (uyumsuz) olarak işaretlenir ve kullanıcı Microsoft 365’e erişemez.

Secure Boot

• Açıklama: Cihazın BIOS/UEFI seviyesinde Secure Boot özelliğinin açık olmasını ister.
• Amaç: Kötü amaçlı önyükleme yazılımlarını (bootkit/rootkit) engellemek.
• Örnek: Secure Boot devre dışıysa, cihaz güvenli kabul edilmez.

Code Integrity

• Açıklama: İşletim sistemi çekirdeğinde (kernel) yalnızca imzalı sürücülerin çalışmasına izin verir.
• Amaç: Yetkisiz veya kötü amaçlı sürücülerin yüklenmesini engellemek.
• Örnek: Üçüncü parti sürücü manipülasyonu tespit edilirse cihaz uyumsuz olur.

Device Properties

Minimum OS version

• Açıklama: Cihazın işletim sisteminin minimum belirli bir sürümden eski olmamasını zorunlu kılar.
• Örnek: “10.0.19045.3803” gibi bir sürüm belirlenebilir. Daha düşük sürüm kullanan cihazlar uyumsuz olur.

Maximum OS version

• Açıklama: Belirli bir sürümden yüksek Windows versiyonlarını engeller.
• Amaç: Yeni sürümlerle uyumluluk sorunları yaşanmaması.
• Örnek: Test edilmemiş yeni Windows 11 sürümüne sahip cihazların erişimi kısıtlanabilir.

Valid operating system builds

• Açıklama: Sadece belirli build numaralarına sahip cihazların uyumlu olmasını sağlar.
• Örnek: “19045” (Windows 10 22H2) build numarası dışındaki cihazlar uyumsuz sayılır.

Configuration Manager Compliance

Bu ayar, Intune ve SCCM (Configuration Manager) ortak yönetim (co-management) ortamlarında kullanılır.

• Açıklama: Bu ayar, Intune ile Configuration Manager (SCCM) birlikte kullanıldığında devreye girer. Cihazın SCCM tarafında “Compliant” olarak işaretlenmiş olması Intune tarafından da dikkate alınır.
• Örnek: SCCM’de antivirüs eksikliği nedeniyle cihaz uyumsuzsa, Intune da cihazı otomatik olarak “Non-compliant” olarak işaretler.

NOT: Kullanım amacı: Co-managed cihazlarda SCCM tarafındaki Configuration Baseline sonuçlarını Intune uyumluluk değerlendirmesine dahil etmek.

System Security

Bu bölüm, parola politikaları ve kullanıcı oturum güvenliğiyle ilgilidir.

Require a password to unlock mobile devices

• Açıklama: Cihazın kilidini açmak için parola zorunluluğu getirir.
• Örnek: Parolasız oturum açmaya çalışan cihaz uyumsuz sayılır.

Simple passwords

• Açıklama: Basit ve tahmin edilebilir parolaları engeller.
• Örnek: “1234” veya “abcd” gibi parolalar kabul edilmez.

Password type

• Açıklama: Parola türünü belirler (PIN, alfanümerik vb.).
• Örnek: “Device default” seçiliyse cihaz mevcut parola tipine göre değerlendirir.

Minimum password length

• Açıklama: Parolanın minimum karakter uzunluğunu belirler.
• Örnek: 4 karakterden kısa parolalar uyumsuz kabul edilir.

Password expiration (days)

• Açıklama: Parolanın geçerlilik süresini gün olarak belirler.
• Örnek: 41 gün sonunda kullanıcı yeni parola oluşturmalıdır.

Number of previous passwords to prevent reuse

• Açıklama: Önceki parolaların yeniden kullanılmasını engeller.
• Örnek: Son 5 parola tekrar kullanılamaz.

Require password when device returns from idle state

• Açıklama: Cihaz uyku veya boşta kalma durumundan döndüğünde parola zorunluluğunu uygular.
• Örnek: 5 dakika boşta kalan cihazda parola istenmesi.

Microsoft Defender

Microsoft Defender Antimalware

• Açıklama: Windows Defender Antivirüs’ün aktif ve çalışır durumda olmasını ister.
• Örnek: Defender kapalıysa cihaz “Non-compliant” olur.

Microsoft Defender Antimalware Minimum Version

• Açıklama: Defender sürümünün belirli bir minimum sürümden düşük olmamasını sağlar.
• Örnek: Eski Defender sürümü (ör. 4.18.2305) tespit edilirse cihaz uyumsuz olur.

Microsoft Defender Antimalware Security Intelligence Up-to-Date

• Açıklama: Defender’ın virüs tanım veritabanının güncel olmasını zorunlu kılar.
• Örnek: İmza güncellemesi 5 günden eskiyse cihaz uyumsuz olur.

Real-Time Protection

• Açıklama: Defender’ın gerçek zamanlı korumasının etkin olmasını ister.
• Örnek: Kullanıcı gerçek zamanlı korumayı kapatırsa cihaz uyumsuz olur.

Microsoft Defender for Endpoint

• Açıklama: Defender for Endpoint entegrasyonu etkinleştirildiğinde, cihazın risk puanı Intune tarafından değerlendirilir.
• Örnek: Cihazın risk seviyesi “High” olarak işaretlenmişse, cihaz kurumsal kaynaklara erişemez.

Windows Subsystem for Linux (WSL)

• Açıklama: Windows üzerinde yüklü Linux dağıtımlarını kontrol eder. Hangi dağıtımların ve sürümlerin kullanılabileceğini sınırlandırır.
• Örnek: Sadece “Ubuntu 22.04” ve “Debian 12” izin verilen dağıtımlar listesinde olabilir. Farklı bir dağıtım kuruluysa cihaz “Non-compliant” olur.

Not: WSL ayarları Custom Compliance ile aynı anda kullanılamaz.

Ayarlar bittikten sonra next diyerek “Assiments” ekranına geliyoruz. Burada kuralı hangi cihaz veya kullanıcılara atayacağımızı seçip işlemi tamamlıyoruz.

Compliance Settings bölümü, Intune’da cihazların güvenlik ve yönetim politikalarına uygun çalıştığından emin olmanızı sağlar.
Doğru yapılandırılmış politikalar sayesinde:

• Güvensiz cihazlar otomatik olarak tespit edilir,
• Conditional Access ile kurumsal verilere erişim yalnızca güvenli cihazlara verilir,
• Kurum genelinde tutarlı bir güvenlik standardı sağlanır.

NOT: Compliance policy yapılandırılırken ileriye dönük düşünerek kuralın planlanması çok önemlidir. Örneğin şirketinizde cihazlarda Intune üzerinden “Bitlocker” yönetmek istiyorsunuz. Bunun için Microsoft Secure Boot ve TPM istemektedir. Bu özellikleri burada aktif ettiğiniz takdirde Compliance olan cihazlara politikayı rahatlıkla uygulayabilirsiniz.