Günümüz kurumlarında cihaz yönetimi ihtiyaçları, yalnızca yerel ağlarla sınırlı çözümlerle karşılanamayacak kadar dinamik hale geldi. Uç noktaların hem şirket içinde hem de dış dünyada güvenli ve merkezi bir şekilde yönetilmesi artık kritik bir gereksinim. Bu noktada Microsoft’un sunduğu SCCM (System Center Configuration Manager) ve Intune çözümleri devreye giriyor.
Kurumsal yapılar çoğunlukla halihazırda SCCM altyapısına sahipken, modern ve bulut tabanlı yönetim yaklaşımı olarak Intune’a geçiş yapmak istiyor. Ancak bu geçişin keskin, zorlayıcı veya riskli olmaması adına Co-Management (Eşzamanlı Yönetim) adı verilen hibrit bir model kullanılıyor.
Co-Management İçin Ön Gereksinimler
SCCM (MECM) ve Intune ile cihazları birlikte yönetmek için aşağıdaki teknik ve lisans bazlı gereksinimlerin sağlanmış olması gerekir:
Azure ve Intune Gereksinimleri
- Azure Active Directory Premium lisansı
- En az Azure AD Premium P1 gereklidir. Bu lisans, hybrid Azure AD join ve auto-enrollment gibi işlemleri destekler.
- En az Azure AD Premium P1 gereklidir. Bu lisans, hybrid Azure AD join ve auto-enrollment gibi işlemleri destekler.
- Microsoft Intune aboneliği
- Cihazları MDM ile yönetmek için aktif bir Intune lisansına sahip olunmalıdır.
- Cihazları MDM ile yönetmek için aktif bir Intune lisansına sahip olunmalıdır.
- Global admin yetkisine sahip Azure hesabı
- Co-management yapılandırması için gerekli tüm ayarlara erişebilen bir hesap gereklidir.
- Co-management yapılandırması için gerekli tüm ayarlara erişebilen bir hesap gereklidir.
- Enterprise Mobility + Security (EMS) aboneliği (isteğe bağlı)
- EMS paketi, hem Azure AD Premium hem de Intune lisanslarını içerir. Deneme sürümü (free trial) de kullanılabilir.
2. Azure AD Ortam Yapılandırması
- Hybrid Azure AD Join yapılandırması
- Cihazlar hem on-prem Active Directory’ye hem de Azure Active Directory’ye bağlı olacak şekilde Azure AD Connect ile yapılandırılmalıdır.
- Cihazlar hem on-prem Active Directory’ye hem de Azure Active Directory’ye bağlı olacak şekilde Azure AD Connect ile yapılandırılmalıdır.
- Azure AD Connect kurulumu ve yapılandırması
- Kullanıcı ve cihaz eşitlemesi için ortamda Azure AD Connect çalışıyor olmalıdır.
- Kullanıcı ve cihaz eşitlemesi için ortamda Azure AD Connect çalışıyor olmalıdır.
- Client ayarlarının Azure AD’ye kayıt olacak şekilde yapılandırılması
- SCCM üzerinde, istemci cihazların Azure AD’ye otomatik kayıt olması için uygun ayar yapılmalıdır (client settings → cloud services).
- SCCM üzerinde, istemci cihazların Azure AD’ye otomatik kayıt olması için uygun ayar yapılmalıdır (client settings → cloud services).
- Intune otomatik kayıt (Auto-enrollment) yapılandırması
- Azure portal üzerinden MDM auto-enrollment ayarları yapılandırılmalı ve doğru gruplar hedeflenmelidir.
3. MECM (SCCM) Ortam Gereksinimleri
Co-Management kurulumu: MECM konsolundan co-management yapılandırması başlatılmalı ve workload’lar belirlenmelidir.
Minimum MECM sürümü: 1710 (Önerilen: güncel sürüm)
SCCM Client: Cihazlarda co-management destekleyen bir SCCM agent kurulu olmalıdır.
Cloud services özelliği aktif olmalı, gerekli tenant bağlantıları tanımlanmalıdır.
Kurumsal cihaz yönetiminde SCCM (Microsoft Endpoint Configuration Manager) ve Intune’un birlikte kullanıldığı Co-Management senaryolarında, istemcilerin otomatik olarak Intune’a kaydedilmesi için bazı yapılandırmaların tamamlanmış olması gerekir. Bunlardan biri de kullanıcıların UPN suffix’lerine karşılık gelen DNS kayıtlarının doğru yapılandırılmasıdır.
Benim iç domain dns suffix’im grafana.com.tr dış dns’imde grafana.com.tr olarak ekledim dns ayarlarımı yaptım bu Auto-Enrollment için gerekli bir adım.
Intune Auto-Enrollment sürecinde, cihazların kurumsal kullanıcı hesaplarıyla Azure AD’ye katıldığında otomatik olarak Microsoft Intune’a kayıt olabilmesi için yalnızca DNS kayıtlarının yapılandırılması yeterli değildir. Bu sürecin düzgün çalışabilmesi adına Azure portalda “Mobility (MDM and WIP)” bölümünde Microsoft Intune uygulamasının ilişkilendirilmesi ve yapılandırılması da gereklidir.
Microsoft Intune kullanıcı bazlı lisanslama yapar. SCCM ile Co-Management (ortak yönetim) senaryosunda, on-prem Active Directory kullanıcılarının Azure AD’ye senkronize edilmesi ve uygun lisansların atanması gerekiyor.
Bu adımlar sonrası Intune tarafı hazır hale geliyor.
Şimdi sırada on-prem taraftaki işlemlere geldi.
Kurumsal bir ortamda on-premises Active Directory ile Microsoft Entra ID (eski Azure AD) arasında kimlik eşitlemesi sağlamak için kullanılan araç, Microsoft Entra Connect Sync’tir (eski adıyla Azure AD Connect). Bu araç, Intune auto-enrollment ve Co-Management yapılarının temel bileşenlerinden biridir.
Microsoft Entra Connect Sync kurulumu sırasında kullanıcıya iki seçenek sunulur: Express Settings (Hızlı Kurulum) ve Customize (Özelleştirilmiş Kurulum). Biz Express Settings ile devam ediyoruz.
Entra Connect Sync kurulum sürecinde, yerel Active Directory ile Microsoft Entra ID (Azure AD) arasında bağlantı kurulabilmesi için bulut ortamında yetkili bir hesapla oturum açılması gerekir. Bu, eşitleme yapacak sistemin kimliğini doğrulamak ve gerekli yetkileri vermek içindir.
Microsoft Entra Connect Sync kurulumu sırasında, on-premises Active Directory Domain Services (AD DS) ile güvenli bağlantı kurulabilmesi için, kurulumun yapıldığı sunucu üzerinde yetkili bir AD hesabı ile kimlik doğrulaması yapılması gerekmektedir.
Bu işlem, eşitleme hizmetinin yerel Active Directory üzerindeki nesnelere erişim yetkisini kazanması açısından zorunludur.
Ve işlem kurulum tamamlanıyor.
Kurulum tamamlandıktan sonra Microsoft Entra Connect Sync aracı, ek yapılandırma görevlerini yapmak üzere “Additional Tasks” başlıklı bir görev menüsü sunar. Bu menü aracılığıyla senkronizasyon sonrası ortamınıza özel gelişmiş ayarlar uygulanabilir. Biz device’larımızı azure ile eşitlemek için “Configure device options” ile devam ediyoruz.
Microsoft Entra Connect Sync kurulumu sırasında Microsoft Entra ID ile bağlantı kurulurken, girilen kullanıcı hesabının gerçekten yetkili bir bulut yöneticisi (Global Admin veya Hybrid Identity Admin) olup olmadığını doğrulamak için Microsoft, tarayıcı tabanlı bir oturum açma penceresi gösterir. Bu işlemleri yapmak için Global Admin veya Hybrid Identity Admin yetkisine sahip bir hesap ile login olmak gereklidir.
Hybrid Azure AD Join, domain’e bağlı Windows cihazların hem on-prem Active Directory’ye hem de Microsoft Entra ID (eski adıyla Azure AD)’ye aynı anda kayıtlı olmasını sağlayan bir senaryodur. Bu yapı, özellikle SCCM + Intune Co-Management, Conditional Access, Windows Hello for Business, Auto-Enrollment gibi birçok modern yönetim özelliği için temel bir gerekliliktir.
Hybrid Join yapılandırmasının devamında, organizasyonundaki hangi tür cihazların Azure AD’ye kayıt olacağını belirlemek için “Device operating systems” adımı karşımıza çıkar. Bu adımda hedeflenen cihaz türlerine göre seçim yapılır.
| Windows 10 or later domain-joined devices: Modern Windows 10 ve Windows 11 cihazların Hybrid Azure AD Join işlemi yapmasını sağlar |
SCP (Service Connection Point), domain’e katılmış Windows cihazlarının, Microsoft Entra ID (Azure AD) tenant’ına kayıt işlemini gerçekleştirebilmesi için gerekli olan yönlendirme bilgisidir.
SCP, Active Directory Configuration Partition altına yazılır ve cihazlar Hybrid Azure AD Join sırasında bu bilgiyi kullanarak doğru tenant’a bağlanır.
Bu adım ile beraber Entra Connect ayarları sona eriyor ve kullanıcılarımız ve cihazlarımızı Azura taşımış oluyoruz.
Microsoft Intune kullanıcı bazlı lisanslama yapar. SCCM ile Co-Management (ortak yönetim) senaryosunda, on-prem Active Directory kullanıcılarının Azure AD’ye senkronize edilmesi ve uygun lisansların atanması gerekiyor. Senkron sonrası kullanıma gerekli lisansları atıyorum.
Bu işlemlerin arından SCCM üzerindeki işlemlere geçiyorum.
Bu adımda SCCM ortamı Microsoft Intune ile entegre edilir.
- AzurePublicCloud ortamı seçilir.
- Sign In butonuna tıklanarak Intune tenant’ına Global Admin veya Intune Administrator hesabıyla giriş yapılır.
Bu sekmede, SCCM tarafından yönetilen cihazların Microsoft Intune’a nasıl ve hangi kapsamda otomatik kaydedileceği belirlenir.
Seçenekler:
- All → Tüm uygun SCCM istemcileri Intune’a otomatik olarak kaydedilir
- Pilot (Önerilen ilk aşamada) → Sadece tanımlı “Pilot Collection” içindeki cihazlar kayıt olur
- None → Otomatik kayıt yapılmaz
Burada daha önce oluşturduğumuz pilot grubun seçiyoruz.
Bu adımda, hangi iş yüklerinin (workloads) SCCM yerine Intune tarafından yönetileceği belirlenir.
İlk etapta Pilot gruplar ile test aşamasında olduğumuz için pilot grubu seçiyoruz.
SCCM – Entra ID Otomatik Kayıt Ayarı
Automatically register new Windows 10 or later domain joined devices with Microsoft Entra ID: Yes olarak ayarlanmalıdır. Böylece Windows 10 ve üzeri domain’e katılmış cihazlar, otomatik olarak Hybrid Azure AD Join olur.
Aşağıdaki ekranda Configuration Manager agent’ı kontrol ettiğimizde yapılandırmanın istemci tarafında aktif olduğunu ve sistemin hibrit yönetim altında çalıştığını görülmektedir.
Intune portal üzerinde de kontrol ettiğimizde cihazın co-managed ile yönetildiği görülmekte.
Bu şekilde sizlerde SCCM ortamlarınızı Intune ile entegre edip ister SCCM + Intune ile sistemlerini yönetebilir veya SCCM’den Intune geçiş için ortamınızı hazırlayabilirsiniz.
Eline sağlık.