Blog

Microsoft Intune’a Cihaz Kaydetme

Intune serisine Microsoft Intune Nedir? diyerek başlamıştık. Bu yazıda ise Hybrid AD ortamında Azure AD’ye cihaz ekleme adımı yapacağız ve Microsoft Intune tarafında otomatik cihaz ekleme bölümüne göz atacağız.

On-Premises AD ortamını bildiğiniz üzere Group Policy aracılığıyla yönetiyoruz, büyük ölçekli firmalar da ise bu işlemler genelde SCCM vb. ürünler kullanarak yapılmakta. Endpoint Manager‘in bir bileşeni olan Microsoft Intune’da ortamımızda bulunan masaüstü veya mobil cihazları yönetmemize olanak sağlayan, Microsoft’un Cloud servisidir. Bu işlem için Azure AD veya Hybrid AD kullanmamız gerekmekte ve cihazlarımızı Azure AD‘ye eklememiz gerekmektedir. Bu işlem için iki farklı yöntem bulunmaktadır;

1-Otomatik cihaz ekleme

2-Şirket portalı kullanarak manuel cihaz ekleme

Domaine join edilmiş bütün cihazlarımızı Azure AD aracılığıyla Intune’dan yönetebileceğimiz. Intune için daha önceki makalemde söylemiş olduğum üzere E3, E5 vb. gibi lisans ihtiyaçlarımız olması gerekmektedir. Group Policy‘den farklı olarak, yapılandırmaları yönetmek için On-Premises tarafta bulunan altyapıya ihtiyaç duymaz, kullanıcılarınız iş yeri dışında olsa bile yapılandırmalarınızı ekstra bir işlem yapmadan dağıtmanıza olanak sağlar.

Daha fazla detay vermeden önce size ortamımı tanıtmak istiyorum;

Windows Server 2022 üzerinde kurulmuş bir Active Directory sunucum bulunuyor ve Azure AD Premium 2 lisansım var. Kullanıcılarımı Azure AD Connect ile eşitliyorum.

Windows Server 2022 ile çalışan Exchange Server 2019 ortamım Hybrid şekilde yapılandırılmış durumda.

Client-1 isminde Windows 10 sunucum bulunuyor, bu istemcinin Windows 10 olmasının sebebi ileryen makalelerde ortaya çıkacak 🙂

Azure AD Connect Yapılandırma Adımları

Güncellenmiş Azure AD Connect uygulamamız üzerinde yapmamız gereken yapılandırmalar bulunmaktadır. Aslında bu işlem Otomatik cihaz kaydı için yapılması gereken ön şartlardan birisidir. Cihazların Hybrid AD üzerinde olması gerekmektedir.(HAADJ)

Azure AD Connect Yapılandırması Öncesi Ön Koşullar

  • Azure AD Connect 1.1.819.0 ve üzeri olması gerekmektedir. (Azure AD Connect 2.0 sürümlerine mutlaka yükseltme yapmanız gerekmektedir, mevcut güvenlik zaafiyetlerinden dolayı.)
  • Cihaz Attributes’leri Azure AD Connect üzerinden eşitleme yapmanız gerekmektedir.
  • OU olarak seçim yapmanız gerekiyorsa Hybrid AD üzerine eşitlemesini istediğiniz cihazların bir OU üzerine taşıma yapmanız gerekmektedir.
  • Azure AD Connect sunucusunun aşağıda paylaşmış olduğum linklere erişiyor olması gerekmektedir.
  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com

Kuruluşunuz veri kaybını önleme veya Azure AD kiracı kısıtlamaları gibi senaryolar için SSL trafiğini kesen proxy sunucular kullanıyorsanız, bu URL ‘Lere giden trafiğin TLS kesme ve inceleme dışında tutulduğundan emin olmalısınız. Bu URL’lerin hariç tutulamaması, istemci sertifikası kimlik doğrulaması ile girişime neden olabilir, cihaz kaydıyla ilgili sorunlara ve cihaz tabanlı Koşullu Erişim’e neden olabilir.

Öncelikle Azure AD Connect uygulamamızı açıyoruz ve “Configure Device Options” seçeneğine geliyoruz.

Configure Device Options bölümünde global Administrator hesabımız ile oturum açmamız gerekiyor. Global admin bilgilerimizi girdikten sonra kimlik doğrulamasını sağlıyoruz ve “Device Options” yapılandırmasına geliyoruz.

Device Options bölümünde “Configure Hybrid Azure AD Join” butonunu aktif hale getiriyoruz.

Bir sonraki adım “Device Operationg Systems” olarak geçiyor ve bu adımda hangi Windows sürümlerini yapılandırmaya dahil edeceğinizi belirtebiliyorsunuz. Ben ortamımda Windows 10 ve sonrası sürümler seçeneğini işaretliyorum, ortamımda çünkü Supported olan OS sürümleri kullanmaktayım.

Not: Windows 10 öncesi sürümler için ortamda bulunan ADFS sunucunuzu seçmeniz gerekiyor.

Bir sonraki yapılandırma adımı “SCP Configuration” bu adım da ise Forest seçimi yapmamız gerekmektedir.

Configure işlemim tamamlanıyor.

Bütün işlemlerden sonra PowerShell’de dsregcmd /status komutu ile yapılandırmamızın durumunu sorgulayabiliriz.

Not: Cihazlarınızın saat bilgisi gerçek dünya saatinden farklıysa AzureAdJoined:No olarak görüntülenebilir, bunun için cihazlarınızın saat ve tarih bilgisi doğru olması gerekmektedir.

PS C:\Users\cengiz> dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES
          EnterpriseJoined : NO

Group Policy Kullanarak Intune Otomatik Cihaz Kaydı

Group Policy kullanarak Intune tarafına cihaz kaydınının nasıl gerçekleştirileceğinden bahsedelim. Burda yapmış olduğumuz yapılandırma Windows cihazları Intune tarafına otomatik olarak kaydetmemize olanak sağlamaktadır.

Ön Koşullar Nelerdir?

Öncelikle kullanıcılarımız için Intune lisansına ihtiyacımız bulunmaktadır.

Daha sonra Portal üzerinden cihazları Intune’ kaydetmek için yapılandırmayı yapmamız gerekiyor.

OS sürümlerinin Windows 10 1709 ve üstü olması gerekmektedir.

Cihazlarımızın Hybrid Azure AD’ye katılmış olması gerekmektedir.

Azure AD ve Intune’da Otomatik Etkinleştirme İçin Yapılandırma

Öncelikle https://endpoint.microsoft.com adresine gitmemiz gerekiyor.

Daha sonra Cihazlar – Windows – Windows Kaydı ve Otomatik Kayıt bölümüne geliyoruz.

Burda MDM User Scope bölümünde tüm kullanıcıları veya belirli kullanıcılar için tanımlama yapabiliyorsunz, ben ortamımda bulunan tüm kullanıcılar için tümü seçeneğini işaretliyorum.

Ön koşulları için gereksinimleri tamamladıktan sonra Group Policy yapılandırmasını geçebiliriz.

Öncelikle Group Policy Management Editor açıyoruz, ve yeni bir GPO oluşturuyorum.

Daha sonra Policies –Administrative Templates: Policy Definitions –Windows Components – MDM bölümüne geliyoruz.

Enable automatic MDM enrollment using default Azure AD credentials bölümüne geliyoruz ve Enabled duruma getiriyoruz. Oluşturmuş olduğumuz GPO’yu uygulamamız gereken OU için uyguluyoruz.

Bu işlemlerden sonra cihazlarımızı reboot ediyoruz ve Intune üzerinde cihazlarımızı görüntüleyebiliyoruz.

Bu yazımızda Automatic Windows Enrollment konusundan bahsettik, bir sonraki yazımızda iOS cihazlarımızı ekleyeceğiz.

İlgili Makaleler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu