Windows Information Protection, kurumsal verilerini korumak isteyen şirketler için iyi bir çözüm önerisi sunar. Windows Information Protection (WIP), kurumların veri kaybı ve veri sızıntısına karşı korunmasına yardımcı olmaktadır. Windows Information Protection yapısının odaklandığı nokta, iş ve kişisel verilerin ayrı tutulmasını sağlayarak kurumsal verilerin korunmasını amaçlamaktadır. Bu yeni makale serisinde Microsoft Intune ile Windows Information Protection’ının konfigürasyonunu ve diğer ayarlarını anlatacağım.
Windows Information Protection (WIP) politikaları ile korunan bir cihaz için silme işlemi yapıldığında kişisel dosyalar silinmez yalnızca kurumsal veriler silinir. Windows Information Protection (WIP) ile korunan kurumsal veriler cihazların Azure Active Directory’den kaydı kaldırıldıktan sonra erişilemez olacaktır. Ek olarak sistem yöneticileri kişisel verilere el sürmeden kurumsal verileri de uzaktan silebilirler. Windows Information Protection (WIP) yapısı içerisinde dosyalarınız Sharepoint ve One Drive’da şifrelenmez. Yalnızca cihazınıza kaydedilen kurumsal veriler şifrelenir.
Resim-1
Kurumsal verilerin güvende kalmasını veya yönetilen bir uygulama içerisinde tutulması için iki farklı tipte Windows Information Protection (WIP) politikası yapılandırabilirsiniz: Mobil cihaz yönetimi’ne (MDM) kayıtlı olan veya mobil cihaz yönetimine kayıtlı olmayan (MAM) Windows Information Protection (WIP) politikaları.
Microsoft Intune gibi bir çözüm kullanan şirketler genellikle ilgili cihazları yönettiğinde ilk seçenek onlar için iyi olabilirken; yalnızca uygulama ve verileri yönetmek isteyen kurumlar içinde (MDM kaydı yapılmasına gerek olmayan) MAM çözümü iyi bir alternatif olacaktır. Intune gibi mobil cihazları yönettiğiniz yapılarda cihazları merkezi bir noktadan yönetebilir ve cihazlar üzerinde tam kontrol yetkisine sahip olabilirsiniz. BYOD senaryolarında ise sadece kullanıcı cihazlarındaki kurumsal verileri yönetebilirsiniz. Bu senaryoda kurumun uygulamalar içerisindeki verileri korunur. Intune kullanarak Windows Information Protection (WIP) politikası oluşturmadan önce Azure Active Directory üzerinde MDM veya MAM sağlayıcısının yapılandırılması gerekmektedir.
Resim-2
Intune içerisinde MDM cihaz kaydı veya MAM (MDM’e cihaz kaydı olmadan) uygulama koruma politikasını oluşturabilirsiniz. Her iki politika oluşturma süreci benzerdir ama aralarında birtakım farklılıklar bulunmaktadır.
- Mobile Application Management (MAM), Azure Active Directory Premium lisansı gerektirmektedir.
- Mobile Application Management (MAM), kullanıcının kişisel cihazından şirket verilerini belirleyerek seçme imkanı sunmaktadır.
- Mobile Application Management (MAM), cihaz başına yalnızca tek bir kullanıcıyı desteklemektedir.
- Mobile Device Management (MDM), BitLocker politikalarını destekler.
- Mobile Application Management (MAM), sadece aydıntılmış (enlightened) uygulamaları deskteklemektedir.
- Mobile Device Management (MDM), yapılarını kullanırken cihazlar üzerinde kontrol sahibi olursunuz, Mobile Application Management (MAM), yapılarını kullanırken sadece kurumsal uygulama ve veriler üzerinde kontrol sahibi olursunuz.
Peki, biraz önce yazı içerisinde bahsettiğimiz enlightened ve non enlightened uygulamalar nedir? Biraz da bu konulara değinelim.
Windows Information Protection (WIP) politikası uygulanan enlightened bir uygulama aracılığıyla kurumsal ve kurumsal olmayan veriler arasındaki fark anlaşılabilecektir. Örneğin Microsoft Outlook uygulaması enlightened yapısında bir uygulama olup kullanıcının kişisel hesabı ile kurumsal hesabının arasındaki farkı anlayabilir.
Peki, 3rd party uygulamalar Windows Information Protection politikaları ile korunabilir mi? Cevabı evet. Windows Information Protection (WIP) politikalarınıza non enlightened bir uygulama eklendiğinde uygulama içindeki ve uygulama tarafında değiştirilen her bit kurumsal veri olarak kabul edilecektir. Windows uygulamayı kurumsal veriler grubuna yerleştirecek ve ona göre davranış sergileyecektir. Windows Information Protection (WIP) politikası uygulanan uygulamaların başlık çubuğunda küçük bir evrak çantası simgesi görünür. Bu simge kurumsal bir alanda çalıştığınız anlamına gelir.
Resim-3
Bu uygulamalardan kaydedilen veya indirilen tüm dosyalar da Windows Information Protection (WIP) tarafından şifrelenecektir.
Resim-4
Windows Information Protection (WIP) politikalarını Intune ortamlarında kullanıcılarınıza ve cihazlarınıza uygulamak için bazı ön gereksinimler bulunmaktadır. Bu ön gereksinimlerden kısaca bahsetmek gerekirse;
- Windows 10 (1703 ve sonrası) Education, Professional ve Enterprise sürümlerinden herhangi birine sahip olunmalı.
- Kullanıcıların, EMS E3 lisans tipine sahip olması.
- Windows 10 Home sürümü yalnızca MAM için Windows Information Protection (WIP) politikalarını desteklemektedir.
- Windows Information Protection (WIP) çoklu kimlik yapılarını desteklemez. Cihaz başına yönetilen bir kimlik sağlar.
Faydalı Olması Dileğiyle …
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Group Policy, System Center Configuraton Manager, Azure Active Directory, Windows Information Protection, Mobile Application Management (MAM), Mobile Device Management (MDM),Microsoft Intune ile Windows Information Protection
