Office 365 Mobil Cihaz Yönetimi – MDM – Bölüm 2
İlk makalemizde mobil cihazların şirket mail sistemine dahil olmadan önce karantinaya alınmasını incelemiştik. Bu sayede sistem yöneticisi mail sistemine dahil olan kullanıcıların mail alıp vermesi için izin mekanizmasını düzenliyor, karantinaya gelen cihazları envanter üzerinden kontrol ederek onay veya red işlemi yapıyordu.
Bu makalemizde ise mobil cihazlar üzerinde güvenlik kuralları uygulama işlemlerini ele alıyor olacağız. Bu işlem öncesinde Ofis 365 üzerinde hangi cihazlar destekleniyor, hangi cihazlara hangi kurallar uygulanabiliyor gibi bilgileri inceleyelim. Bu bilgilere geniş kapsamlı olarak https://technet.microsoft.com/en-us/library/ms.o365.cc.devicepolicysupporteddevice.aspx bu adresten ulaşabilirsiniz. Sistemin desteklediği platformlara bakacak olursak durum aşağıdaki gibidir.
· Windows Phone 8.1 |
· iOS 7.1 or later versions |
· Android 4 or later versions |
· Windows 8.1* |
· Windows 8.1 RT* |
Sistem aşağıdaki platformlarda, yine aşağıda gözüken mail sistemlerine tam destek vermektedir.
Sistemin çalışma mantığı yine aşağıda görünmektedir.
Sistemin platformlara göre aşağıdaki kuralları uygulamaktadır. Burada öne çıkan kısım kurumlarda en çok tercih edilen mobil cihaz olan IOS ürünlerine karşın büyük desteğin olmasıdır.
Setting name |
Windows Phone 8.1 |
iOS 7.1+ |
Android 4+ |
Require a password |
✔ |
✔ |
✔ |
Prevent simple password |
✔ |
✔ |
✖ |
Require an alphanumeric password |
✔ |
✔ |
✖ |
Minimum password length |
✔ |
✔ |
✔ |
Number of sign-in failures before device is wiped |
✔ |
✔ |
✔ |
Minutes of inactivity before device is locked |
✔ |
✔ |
✔ |
Password expiration (days) |
✔ |
✔ |
✔ |
Remember password history and prevent reuse |
✔ |
✔ |
✔ |
Require data encryption on devices |
Windows Phone 8.1 is already encrypted and cannot be unencrypted |
✖ |
✔ |
Email profile is managed |
✖ |
✔ |
✖ |
Require encrypted backup |
✖ |
✔ |
✖ |
Block cloud backup |
✖ |
✔ |
✖ |
Block document synchronization |
✖ |
✔ |
✖ |
Block photo synchronization |
✖ |
✔ |
✖ |
Block screen capture |
✔ |
✔ |
✔ (Knox only) |
Block sending diagnostic data from device |
✔ |
✔ |
✖ |
Block video conferences on device |
✖ |
✔ |
✖ |
Block access to application store |
✔ |
✔ |
✖ |
Require password when accessing application store |
✖ |
✔ |
✖ |
Block connection with removable storage |
✔ |
✖ |
✖ |
Block Bluetooth connection |
✔ |
✖ |
✖ |
CameraEnabled |
✔ |
✔ |
✔ |
RegionRatings |
✖ |
✔ |
✖ |
MoviesRatings |
✖ |
✔ |
✖ |
TVShowsRating |
✖ |
✔ |
✖ |
AppsRatings |
✖ |
✔ |
✖ |
AllowVoiceDialing |
✖ |
✔ |
✖ |
AllowVoiceAssistant |
✖ |
✔ |
✖ |
AllowAssistantWhileLocked |
✖ |
✔ |
✖ |
AllowPassbookWhileLocked |
✖ |
✔ |
✖ |
MaxPasswordGracePeriod |
✖ |
✔ |
✖ |
PasswordQuality |
✖ |
✖ |
✔ |
SystemSecurityTLS |
✖ |
✔ |
✖ |
WLANEnabled |
✔ |
✖ |
✖ |
Bu ön bilgilerden sonra sistemimizi yapılandırmaya başlayabiliriz. Buradaki senaryomuzda karantina adımından yani bir önceli makalemizdeki kısıtlamadan geçen kullanıcıların, mobil cihazlarına yukarıda belirlenen kurallardan bazılarını uygulayarak mobil cihazlarımızı kısıtlayacağız. Exchange Yönetim paneli üzerinden Mobil ve sonrasında ise Mobil Cihaz Erişimi Tabında yer alan varsayılan kuralı seçerek kalem ikonuna tıklayalım. Dilerseniz varsayılan kural yerine yeni bir kural tanımlayabilirsiniz.
Açılan ekranımızda varsayılan kuralımızın ismi ve özellikleri görünmektedir. Güvenlik linkine tıklayarak buradaki ayarlara göz atalım.
Burada şu anda hiçbir ayar aktif edilmemiş durumdadır.
Şimdi biz birkaç kural aktif etme ve uygulama işlemleri yaparak telefonlarımızı nasıl yöneteceğimize değiniyor olalım. Öncelikle Admin Yönetim Konsolunda Mobil Cihaz Yönetimi linkini sonrasında ise yan ekranda açılan sayfadan Cihaz Güvenlik İlkeleri ve Erişim Kurallarını Yönetin Linkini tıklayalım.
Sonra açılan ekranımızdan Cihaz Yönetimi linkini ve sonra açılan sayfadan Kuruluş Genelinde Cihaz Erişim Ayarlarını Yönet linkini tıklayalım.
Açılan ekranımızda oluşturacak olduğumuz güvenlik kuralımıza bir isim vererek İleri butonuna tıklayalım.
Ben örnek bir kural içerisinde aşağıda mavi renkle işaretlenmiş olan kuralları aktif ediyor olacağım. Sizde kendi yapınıza göre bir kural tanımlaması yapabilir ihtiyaçlarınıza yönelik olarak bu kuralları oluşturabilirsiniz.
Yukarıdaki kısımda en önemli kıstaslardan bir tanesi Cihaz yukarıdaki gereksinimleri karşılamıyorsa kısmıdır. Burada sistemin kurallarına uymayan cihazların şirket kaynaklarına erişimini engellemek adına Erişimi Engelle ve ihlali birdir seçimi yapılmalıdır.
Bir sonraki ekranımızda yine makalemizin başında paylaşmış olduğumuz kurallar yer almaktadır. Bu ekranımızda yine kuralınız gereği engellemek istediğiniz durumlar var ise onları yine buradan seçebilirsiniz. Buradaki kuralları uygulamak kurumların kurallarının katılığına göre değişecektir. Neticede bunların burada var olması bu derece katı kuralları uygulayan firmaların var olduğunu bize anlatmaktadır.
İleri butonuna tıklayarak bir sonraki ekranımıza ilerleyelim.
Kuralın bu adımdan sonra uygulanmasını istiyorsanız Evet butonuna tıklamanız gerekmektedir. Ayrıca Kuralın uygulanacağı bir grubu bu ekrandan göstermemiz gerekmektedir. Mevcut bir grubunuz var ise bunu buradan seçebilir veya şimdi bizim yapacağımız gibi baştan bir grup oluşturabilirsiniz.
Ana Yönetim ekranımızdan GRUPLAR linkimize tıklayalım.
+ butonuna tıklayalım.
Grubumuza bir isim ve açıklama girerek Oluştur butonumuza tıklayalım.
Grubumuz şu anda oluşturuldu.
Grubun içerisine girdiğimizde hiçbir üyesi yok. Üye eklemek için ÜYE EKLE butonuna tıklayalım.
Üyelerimizi seçelim ve sonrasında KAPAT butonuna tıklayalım.
Üyemiz şu anda grubumuza eklendi.
Şimdi tekrardan kural ekranımıza dönelim MDM olarak oluşturduğumuz grubumuzu uygulanacak olan kurala ekleyelim. Tamam butonu ile adımı tamamlayalım.
Bu adımımızı tamamladığımıza göre İleri butonu ile bir sonraki adıma ilerleyebiliriz.
Bu ekranımızda ise oluşturulacak olan kuralın özeti yer almaktadır. Son butonuna tıklayarak kural oluşturma adımını tamamlayalım.
Kuralımız oluştu ve durumu Turning On şeklinde aktif olması için 1-2 dakika beklememiz gerekmekte.
Kuralımızın durumu şu anda On ve aktif durumda.
Şimdi Android bir telefonumuzdan mail hesabımızı sisteme ekleyelim ve test edelim. Öncelikle İlk makalemizdeki kural gereği cihazımız karantinaya geldi. Şirket telefonu olduğunu düşünerek kutu içerisindeki şekilden Allow yani izin verdir.
Cihaza izin verdiğimiz için karantina ekranı boşaldı.
Şimdi Exchange Yönetim konsolundan Alıcılar Linkine tıklayalım ve Mail hesabını mobil cihazına kurmak isteyen kullanıcıyı seçerek Ayrıntıları Göster linkine tıklayalım.
Aşağıda görüldüğü gibi kullanıcının özellikleri içerisinde kullanıcıya Allow olarak izin verdiğimiz mobil cihazımız görünmektedir.
Yine Admin yönetim ekranımızda yer alan MOBİL YÖNETİM başlığı altında cihazımız görünmektedir. Organizasyon bünyesindeki tüm cihazlar burada toplanacaktır. Burada Cihazı uzaktan silme, Tam Silme gibi işlemlerin yanı sıra son senkronizasyon zamanları da görünebilmektedir.
Mail hesabını telefonunda aktif eden kullanıcımıza aşağıdaki gibi bir mail ulaştı. Bu aşamaya kadar kullanıcımız mail hesabını telefonuna kurabilmekte fakat mail alış verişi başlamamaktadır. Ayrıca bu testi farklı platformların desteklendiğini göstermesi açısından Android cihaz üzerinden yapmaktayım.
Mailin içeriği aşağıdaki gibidir. Mail iletişimin sağlanması açısından bizden Intune Şirket Portal yazılımını kurmamızı istemekte ve bunun için bir link belirtmektedir. Bu yazılım merkezden uygulanan kuralları çekecek, kurallara telefonumuzu tam uyumlu hale getirdikten mail iletişimini başlatacaktır. Örnek olarak telefonunda parolası olmayan kullanıcı kural gereği 4 haneli bir parola belirlemelidir. Bunu yapmazsa kurala uymadığı için mail iletişimi başlamayacaktır.
Uygulama indirme portalına gidiyoruz.
Uygulamayı yüklüyoruz.
Ofis 365 hesabımızla merkezdeki ayarları çekebilmek için oturum açmamız gerekmekte.
Gerekli bilgileri girdikten sonra oturum açıyoruz.
Şimdi cihazımızı Mobil Aygıt Yönetim birimine kayıt ettirmemiz gerekmekte. Başla butonuna tıklayarak işlemlerimizi başlatalım.
Bu arada Intune Şirket Portal yazılımı bazı işlemler yapacaktır. Bu aşamalar tamamlandıktan sonra Kaydet butonuna tıklayarak cihaz kayıt adımını tamamlayalım.
Kayıt işlemi tamamlandı. Merkezden uygulanacak olan kurallar ekranımızda gözüktü. ETKİNLEŞTİR butonumuza tıklayarak bu adımı da tamamlayalım.
Cihaz kayıt aşamalarının tamamı bitirilip kullanıma hazır hale getiriliyor.
Sertifika için bir isim vermemizi istiyor. Buna bir isim verip Tamam butonuna tıklayalım.
Tüm adımlar tamamlandı. DEVAM ET butonuna tıklayalım.
BİTTİ butonuna tıklayarak birkaç aşamalı işlemimizi tamamlamış olalım.
Bu aşamadan sonra artık mail alabilir duruma geldik. Telefonumuz uygulanan kuralları eğer uymayan bir durum taşıyorsak hatırlatmalar ile belirli süre hakkı tanıyarak bizden tamamlamamızı isteyecektir. Örnek olarak 1 saat içerisinde 4 haneli parola vermek gibi.
Bir makalemizin daha sonuna geldik. Faydalı olması dileğiyle.