Enterprise Mobility Suite - TechNet Gallery

Enterprise Mobility Suite
Hasan DIMDIK
8/30/16
Enterprise Mobility MVP
Hakkımda
Uzun yıllardır sektör içerisindeyim. Bilginin paylaşıldıkça çoğaldığını düşünenlerdenim. Bu doğrultuda
gönüllü olarak seminerler veriyorum, makale yazıyorum ve bilgim yettiğince gruplardaki sorulara
cevap vermeye çalışıyorum. Yaptığım işin sonunda faydalı olduğumu hissetmek en büyük mutluluk
kaynağım.
İş hayatıma Türkiye’ nin en büyük AR-GE firması olan NETAŞ’ da Sistem Admini olarak devam
ediyorum.
MCSE, MS, CCNSP ve Backup Academy sertifikalarına sahibim. Ayrıca Microsoft tarafından verilen Enterprise Mobility MVP ünvanım bulunmaktadır
İçindekiler
Hakkımda ...................................................................................................................................................................................................1
Enterprise Mobility Suite Genel Bakış ............................................................................................................................................... 3
Microsoft Intune Nedir ?....................................................................................................................................................................... 7
Microsoft Intune ile Bilgisayar Yönetimi..................................................................................................................................... 11
Microsoft Intune ile İstemcilere Yazılım Dağıtımı ................................................................................................................... 18
Bilgisayarları Uzaktan Yönetme ...................................................................................................................................................30
Bilgisayarlar İçin VPN Profile Oluşturma ...................................................................................................................................35
Microsoft Intune ile Mobil Cihaz Yönetimi (MDM) .....................................................................................................................40
Android Telefon için Şirket Portalı Yapılandırma ve Uygulama Dağıtımı........................................................................53
Microsoft Intune ile Samsung Knox İlke Kuralları Yapılandırma.........................................................................................64
Active Directory Kullanıcılarını Microsoft Intune’ a Senkron Etme Adımları ........................................................................69
Office365 Panele Custome Domain Ekleme ...................................................................................................................... 70
AD Connect Kurulumu.............................................................................................................................................................. 73
Active Directory Federation Servisi Kurulumu ve Yapılandırması................................................................................. 77
Microsoft Intune Portal’ a Kullanıcı Enroll Etme......................................................................................................................90
Apple Cihazları Microsoft Intune’ a Enroll Etme Adımları ...................................................................................................98
Mobil Cihaz Yönetimi için Kural Oluşturma ........................................................................................................................... 104
Koşullu Erişim İlkeleri ............................................................................................................................................................... 105
Uyumluluk Kuralları ...................................................................................................................................................................110
Microsoft Azure Active Directory Premium .................................................................................................................................112
Azure Active Directory Premium Nedir ? ................................................................................................................................ 112
Company Branding....................................................................................................................................................................... 124
Password Synchronization Write-Back ve Self-Service Password Reset ....................................................................... 128
Azure Rights Management Services ............................................................................................................................................. 138
Kurulum ve Konfigürasyonu ....................................................................................................................................................... 138
Azure Rights Management Services Exchange Online Entegrasyonu........................................................................... 145
Azure Rights Management Services Exchange Online Entegrasyonu........................................................................... 147
Sharepoint Online Azure Rights Management Services Konfigürasyonu .....................................................................151
Azure Rights Management Services ile Kendi Şablonunuzu Oluşturun ....................................................................... 156
SON SÖZ .............................................................................................................................................................................................. 166
Enterprise Mobility Suite Genel Bakış
Microsoft’un önem verdiği bir suite olan Enterprise Mobility Suite‘i inceleyeceğiz. Ürünü incelerken
aslında bunun bir ürün olmadığını bilmenizi istiyorum. EMS aslında bir ürün ailesine verilen isimdir.
Peki, bu ürün ailesi neleri kapsamaktadır?
1. Microsoft Intune
2. Azure Active Directory (Premium)
3. Azure Rights Management Services
İlerleyen bölümlerimizde yukarıdaki maddeleri tek tek inceleyeceğiz. İlk bölümümüzü daha çok
kavramsal olarak EMS’ yi anlamak için ayıracağım ve maddelere küçük fırça darbeleri ile dokunacağım.
Geçmişten günümüze süre gelen problemlere baktığımızda aşağıdaki problemlerle sürekli
karşılaştığınızı göreceksiniz ve görüyorsunuzdur da.




Şifremi unuttum. Hemen atılan bir mail IT departmanı şifreyi değiştir. Zaten Bilgi İşlemin amacı şifre
değiştirmek.
Çalışanların cep telefonlarında ne yaptığını bilmiyorum ve yönetemiyorum.
Altyapı maliyeti çokmuş
Verilerim, dosyalarım güvende mi?
Yukarıda saydığımız olaylar çoğaltılabilir. Dikkat ettiyseniz genel sorunlar kaygılar ve dertler ya güvenlik üzerine oluyor veya IT Departmanını isyan ettirecek basit gündelik aksiyonlar. Bunların hepsi aslında
zamandan çalınıyor. Teknolojinin de hızla değişmesi telefonların iyice oyuna dâhil olmasıyla artık mobil
telefonların da yönetimini kaçınılmaz hale getirdi. Hem kurum içi hem kurum dışında cep telefonundan masaüstü bilgisayarın yönetimine ve güvenlik aksiyonuna kadar her şeyi yönetmek istiyorum ve
belirli kurallar yazıp kullanıcılarım evinde dâhi olsa yönetmek istiyorum diyorsanız yukarıda belirtmiş
olduğum altın üçlünün hepsini kapsayan Enterprise Mobility Suite ürünü tam size göre. Diğer güzel bir
avantajı ise altyapı maliyetinin bulunmamasıdır.
Şirketlerin bilgi işleme bakış açısı değiştikçe ve bulut bilişim kavramı hayatımıza her geçen gün daha
da girdikçe Sistem alt yapılarının buluta geçişi hızlandı. Bu geçiş kimi firmalarda tamamen buluta geçiş
şeklinde olurken kimi firmalarda ise hibrit şekilde olmuştur. Bildiğiniz gibi kullanıcılar şifrelerini unuttuklarında klasik yapılarda yazımınızın başında belirtmiş olduğumuz gibi bilgi işlem departmanına mail
atarlar ve çözülmesini beklenir. Azure Active Directory Premium ile kullanıcılar kendi şifrelerini resetleyebilirler ve değiştirebilirler. Şirket içi Active Directory ile entegre edilebilir.
Firmanızda herhangi bir Active Directory yapısının olmadığını varsayın. Fakat cep telefonları, tabletler,
masaüstü bilgisayarların yönetilmesini gerektiği de kaçınılmaz bir gerçek. Bu durumda imdadımıza Microsoft Intune yetişmektedir. Yaptığı işi kısaca özetleyecek olursak firmanızın buluttaki Active Directory’
si diyebiliriz. Bunun yanı sıra tüm yazılım/donanım envanterini toplayacağınız bir bulut hizmeti, uygulama dağıtımı yapabileceğiniz, Windows güvenlik duvarı ayarlarını yönetebileceğiniz bir bulut hizmetidir. Özetle SCCM + Active Directory + WSUS = Microsoft Intune diyebiliriz.
Ürünümüzün kusursuz olmasını sağlayan son parçası ise Azure Right Managemet Services hizmetidir.
Firmaları incelediğimizde hack ataklarına karşı tüm önemleri almaya çalıştıklarını göreceksiniz. Güvenlik
duvarları, antivirüs, antispam ürünleri vb güvenlik ürünlerini aldıklarını göreceksiniz. Tehdit içerideyse
ve bu tehdit virüs, hack saldırısı değil de şirketin çok kritik verilerinin farklı bir yere gönderilmesi veya
kötü niyetli olarak kullanılması ise burada nasıl aksiyon alacağız? Bu şekilde bir yapılandırmaya ihtiyacınız var ise Azure Right Management Services size göre. Azure RMS ile dosya düzeyinde yalnızca
okuyabilir veya yazabilir, print alabilir veya alamaz, dosyayı kopyalayabilir veya kopyalayamaz gibi hak
atamaları yapmak mümkün hale geliyor. Bu sayede tüm Office dosyalarınız, resimleriniz vb üzerinde
tam denetim hakkınız olmuş oluyor. Ayrıca tarih bazlı da kurallar atayabiliyorsunuz.
Bu bölümümüzde Enterprise Mobility Suite Ailesinin tüm parçalarını kısaca açıkladık. İlerleyen bölümlerimizde her maddeyi tek tek inceliyor olacağız ve ürünlerin detaylı bir incelemesini yapıyor olacağız.
Bu bölümde EMS nedir? Sorusunun cevabını vermeye çalıştım.
Bölüm 1
Microsoft Intune Nedir ?
İlk bölümümüzde Enterprise Mobility Suite ailesini oluşturan parçacıklardan kısaca bahsetmiştik. Bu bölümümüzde ise Microsoft Intune Nedir? Bu soruyu cevaplamaya çalışacağım ve portala genel bakış yapacağız. Microsoft Intune = SCCM + Active Directory + WSUS ifadesini kullanarak
özetlemiştik. Bu bölümümüzde bu kırılımlardan bahsediyor olacağız.
Şirket yapınızın çok büyük ve dağıtık olduğunu düşünün ve saha da çalışan takımlarınız, pazarlama ekipleriniz, satış danışmanları ve her yapının vaz geçilmezi teknik ekiplerinizin olduğunu
düşünün. Bu şekilde bir yapı var ise merkezi olarak her şeyi kontrol altına almak çok zor olacaktır.
Çalışanlarınızın neler yaptığını bilemeyeceksiniz veya bunlar için çok büyük projeler yapmanız gerekecek ve ciddi maliyetlere katlanacaksınız. Bunları yapmanız yetmeyecek bu kadar büyük yapıyı yönetecek uzman ekipler bulundurmanız gerekecekve tüm bu yapıyı 7/24 ayakta tutmanız gerekecek. Sırf
Active Directory erişmesi gereken kullanıcılar olduğu için VPN konfigürasyonları ve bunların dışarıdan
gelebilecek ataklara karşı savunmanız da gerekecek. Microsoft bu durumun farkına varıp tüm bu
karmaşayı kaldıracak merkezi yerden kontrol sağlayacak, tek bir merkezden kısıtlama kuralları
yazabileceğiniz veya hak tanımlayabileceğiniz, şirket içinde olsun veya dışarıda olsun bu kuralların her
yerde çalışmasını sağlayabileceği, bunun yanında merkezi olarak güncellemeleri dağıtabileceğiniz, bir
hizmet olarak Microsoft Intune ürününü çıkardı. Bu ürünle bilgisayarlarınızı kontrol altına alabileceğiniz
gibi Cep telefonları ve tabletleri de kontrol edebiliyorsunuz.
Kısa açıklamadan sonra panelimize oturum açıyoruz. Aşağıdaki gibi son derece sade olan arayüz bizi
karşılıyor. Tüm yönetimi Web portalı üzerinden yapıyoruz, bu durumda bize şirketimizi her yerden
ekstra bir ayar yapmadan yönetmemize imkân sağlar. Kısaca sekmelerde neler var onlara bir göz
atalım.
GRUPLAR
Kullanıcılarınızın kullandığı cihazlara göre belirli gruplar altında toplayabiliyoruz. Gruplandırmalar ne
işimize yarar derseniz, dağıtık yapınız ve farklı cihazlarınız var ise yapınızı daha rahat yönetebilmenizi
sağlar. Ayrıca IOS için yazdığınız kural Android telefon için geçerli olmayabilir veya bilgisayar için
yazılan kurallar için boş yere telefonlara Grup ilkeleri ataması yapılmasının anlamı yoktur. Gruplar
sayesinde daha düzenli ve kontrol edilebilir bir yapı sağlayabilirsiniz. Active Directory bilen veya
kullananlarınız var ise örneği şu şekilde verebiliriz. Nasıl ki Active Directory de grup ilkelerini OU lara
atayabiliyoruz. Burada ise karşılığı gruptur.
UYARILAR
Yönetim sekmesinde yapmış olduğunuz kuralları burada izleyebilirsiniz. Örneğin yazdığınız kurallarda
çakışma olup olmadığı, istemci makinalardaki hizmet sorunları, dağıttığınız uygulamaların hatalı
olduğu vb… durumları izleme imkânına sahipsiniz. Bu bölümde önemli olan noktalardan biri ise eğer
istemcilerinizde destek talebi gelmiş ise buradan takip edebiliyoruz ve Microsoft Easy Assist yardımı ile
destek verebiliyoruz. Bu özelliğin kullanılabilmesi için istemcilerde ve desteği verecek kişide Live Meeting programının yüklenmiş olması gerekmektedir.
UYGULAMALAR
Şirketinizde kullanmak istediğiniz uygulamaları buradan ekleyebilir, cihazlarınıza dağıtabilirsiniz ve
görüntüleyebilirsiniz. Şirketinize almış olduğunuz yazılımların lisanslarını burada tanımlayabilirsiniz.
İLKE
Bu sekmede ise Mobil cihazlarınız (IOS, Android, Windows Phone) ve/veya bilgisayarlarınıza kurallar
tanımlayabilirsiniz. Yazılım güncellemeleri için kurallar yazabilirsiniz veya Exchange Online için izin veya
yasaklama kuralları tanımlayabilirsiniz. Cihazlar için uyumluluk kuralları da bu bölümde tanımlayabiliyoruz.
RAPORLAR
Tüm yapılandırmalarınız ile ilgili raporlamaları bu bölümde yapılandırabilirsiniz. Biraz bilgi vermek gerekirse, başarısız olan güncelleme raporlarını bu sekmeden toplayabiliyoruz. Benim en çok hoşuma
giden ise mobil cihaz veya bilgisayarların envanterini alabilmemizdir. Satın almış olduğunuz lisansların
raporlamasını yapabilirsiniz. Ayrıca cihazlarınıza uyumsuz olan uygulamaları da raporlayabilirsiniz.
YÖNETİM
Yönetimsel tüm işlemlerimizi buradan yapılandırabiliyoruz. Eğer büyük bir yapınız var ise bu yapıyı bir
kişinin yönetmesi mümkün olmayabilir. Bu gibi durumlarda Cihaz kaydı yöneticisi, hizmet yöneticisi ve
kiracı yöneticisi gibi hesap türleri arasından ilgili kişileri yetkilendirebilirsiniz. Diğer bölümümüzde detaylarına gireceğiz
Bu bölümümüzde Microsoft Intune arayüzünü tanımış olduk ve ana sekmelerin işlevlerinden kısaca
söz ettik.
Microsoft Intune ile Bilgisayar Yönetimi
Enterprise Mobility Suite giriş bölümümüzde Microsoft Intune ürünü hakkında genel bilgi vermiştik. Bu
bölümümüzde ise Workgroup üzerindeki bilgisayarlarımızı nasıl yönetebileceğimizi anlatmaya
çalışacağız. Bildiğiniz gibi Workgroup olan cihazlarımızı merkezi olarak yönetemiyoruz. Büyük yapılara
sahip topolojilerde bu durum büyük sorun teşkil etmektedir. İşletmeniz içerisinde herkes kendini özerk
olarak yönetiyor diyebiliriz. Yönetimi olmayan sistemlerde oluşabilecek sorunları gözlerinizi kapatarak
lütfen kısa bir süre hayal edin.
Donanım masrafı, elektrik masrafı, kablolama vs. olmadan bu kavramı düşündüğümüzde Microsoft Intune bize bulut ortamında merkezi yönetim, merkezi virüs programı yönetimi, update yönetimi,
donanım & yazılım envanter raporu, istemci sağlık raporu, lisans yönetimi ve uygulama yönetimi yapabileceğimiz bir platform sağlıyor. Bu noktada Microsoft Intune sizin kurtarıcınız olacaktır.
Microsoft Intune paneline https://manage.microsoft.com ile oturum açalım. Workgroup makinalarına
ajanımızı kurarak bilgisayarların yönetilebilir hale gelmesini sağlamalıyız. Bunun için Yönetim > İstemci
yazılımı yükleme sekmesini açıyoruz ve istemci yazılımını yükle ile ilgili tool u indiriyoruz.
İstemci makinamızda indirdiğimiz tool içerisinde setup dosyası ve sertifika göreceksiniz. Setup
dosyasını yükleyerek işlemimizi başlatıyoruz. Setup.exe dosyasını tıkladıktan sonra sadece next next
finish şeklinde kurulumu tamamlıyoruz.
Yükleme işleminden sonra aşağıdaki gibi ikonları göreceksiniz. Bu adımdan sonra artık ilgili istemci
yönetilebilir hale gelmiş oluyor.
Active Directory yapısında bölümlerimizi düzenli olması ve yönetimi kolay olması için genelde OU’lara
ayırdığımızı söylemiştim. Microsoft Intune içerisinde bunu Gruplar altından yapıyoruz. Gruplar > Grup
Oluştur ile grup oluşturabiliyoruz.
Veya Tüm Bilgisayarlar > Cihazlar sekmesini açtıktan sonra ilgili istemcinin üstündeyken seçimden
grup oluştur diyebiliriz.
Bu adımda Grubumuza isim veriyoruz. Üst grup şu şekilde düşünebilirsiniz, Windows diye bir üst
grubunuz olabilir ve altına Windows 7, Windows 8 veya Windows 10 gibi gruplar açabilirsiniz.
Gruba eklenecek hd isimli istemcim olduğunu görüyorsunuz. İleri diyerek işlemimize devam ediyoruz.
Hd isimli istemci makinamı artık Windows 8 grubu altında görüyoruz. Hd üzerindeyken sağ
tıkladığımızda yapabileceğimiz aksiyonları görüyoruz.
Özellikleri görüntüle seçeneği ile devam ediyorum. İstemci bilgisayarım içerisinde Güncelleştirme, kötü
amaçlı yazılım, uyarılar, donanım, yazılım ve ilkeleri görüntüleyebileceğimiz son derece detaylı bir portal mevcut. Örnek olması için Donanım‘ ı seçiyorum. Raporu incelediğimizde gerekli tüm bilgileri detaylı bir şekilde gösterdiğini görüyoruz.
Güncelleştirmelerde istediğiniz update in alınmasını veya yüklenmemesini sağlayabilirsiniz. Aynı şekilde
yüklü olan yazılımlar ve bilgisayarımıza uygulanan ilkeleri de görebiliyoruz.
Bu bölümümüzde Workgroup makinalarına nasıl ajan yükleyebileceğimizi, grup kavramı, istemciler
üzerindeki bazı temel kavramları gördük.
Microsoft Intune ile İstemcilere Yazılım Dağıtımı
Domain ortamında olmayan istemcilerimizi nasıl yöneteceğimizi görmüştük. Bu bölümde ise nasıl
istemcilerimize uzaktan yazılım kurabileceğimizi ve yazılım raporlarını nasıl görüntüleyebileceğimizi
göreceğiz.
İlk olarak Microsoft Intune panelimizde oturum açtıktan sonra Uygulamalar sekmesine geliyoruz.Uygulama Ekle ile işlemimize başlıyoruz.
Yetkili kullanıcı bilgilerimizi giriyoruz.
Kısa bir beklemeden sonra Microsoft Intune Yazılım yayımcısı açılacaktır.
Bu adımda Yazılım yükleyicisi veya Dış bağlantı seçeneği mevcut.
Yazılım Yükleyicisi: Eğer yazılım yükleyicisi tercih edilirse ilk olarak dağıtmak istediğiniz program Intune
platformuna yüklenir. Dosya türü olarak ise *.exe, *.msi, *.appx, *.appxbundle seçebiliyoruz.
Dış Bağlantı: Yazılımlarınızı toplu olarak tuttuğunuz bir bağlantı adresiniz var ise bunu tercih edebilirsiniz. www.hasandimdik.com/programlar/winwar.exe gibi.
Örneğimizde ben yazılım yayım yükleyicisi seçiyorum ve dosya türü olarak ise Windows yükleyicisi
(*.exe,*.msi) seçiyorum. İstemcilerime dağıtmak istediğim .exe uzantılı setup dosyamı gösterip ileri
diyerek devam ediyorum.
Yükleyeceğimiz yazılım hakkındaki bilgiyi burada görebiliyoruz, istersek açıklama ekleyebiliyoruz, logo
ekleyebiliyoruz veya kategori belirleyebiliyoruz.
Yükleyeceğimiz yazılımın mimarisini seçiyoruz ve yazılım belirli işletim sistemi için ise belirtebiliyoruz
veya herhangi bir seçeneği seçip devam edebilirsiniz.
Varsayılan algılama kurallarını kullan ile devam ediyorum. Gerekli ise Kayıt anahtarı ekleyebilirsiniz ya
da msi ürün kodu mevcut ile gerekli ayarları yapabilirsiniz.
Eğer yükleme dosyanıza sessiz kurulum yapmak isterseniz (gerekli ise) ilgili parametreleri burada girebilirsiniz. Örneğin: /quite/norestart gibi
Özet bilgilerimizi burada görüyoruz.
Karşıya yükle dedikten sonra yüklenen yazılımın boyutuna bağlı olarak bekledikten sonra yazılımımız
dağıtıma hazır hale geliyor.
Daha sonra uygulamalar altında yazılımın panele geldiğini görüyoruz. Dağıtımı yönet diyerek uygulamamızı istemcilerimize yükleyebiliriz.
Burada yükleme yapacağımız grubu seçiyoruz. İlk bölümümüzde gruplandırmanın öneminden bahsetmiştim. Eğer cep telefonlarınız, x86 ve x64 mimariye sahip cihazlarınız aynı grupta ise sağlıklı bir
dağıtım olmayacaktır.
Tekrar uygulamalara geldiğimizde uygulamamızın birinin dağıtıldığını diğerinin (i) ise yüklemeye hazır
halde beklediğini görüyoruz.
Algılanan yazılımlar altında ise yönettiğiniz bilgisayarlara yüklenmiş olan programları görebilirsiniz.
Eğer lisans eklemeniz gereken program var ise lisansı yüklemek istediğiniz programın üstündeyken
anlaşma ekle diyerek lisans ekleyebilirsiniz.
Bilgisayarları Uzaktan Yönetme
Özellikle büyük yapılarda sürekli olarak son kullanıcıya gidip sorun çözmek büyük problem teşkil etmektedir. Bu gibi durumların önüne geçmek için uzaktan destek seçenekleri işi büyük oranda hafifletmektedir.
Kısa bir anlatımdan sonra Microsoft Intune tarafında nasıl uzaktan destek verebiliyoruz u görelim. İlk
olarak belirtmekte fayda var bu desteği malesef Windows 8.1 ve 10 için veremiyoruz. Windows 7
makinamda Intune tool’u tıklıyoruz ve Remote Assistance altında yer alan Request Remote Assistance
tıklıyoruz.
Intune portalımıza dönüp baktığımızda Uzaktan yardım için bir alarm oluşmuş. İsteği onaylayın ve
uzaktan Yardım’ I başlatın tıklıyoruz.
Açılan pencerede Uzaktan yardım isteğini Kabul et tıklıyoruz.
Eğer bilgisayarınızda Easy Assist programı yüklü değil ise yüklemeniz gerekmektedir. Accept,Install,
and Join tıklıyoruz
Program yüklendikten sonra Easy Assist programı açılıyor. Burada dosya transferi chat gibi
seçeneklerde mevcut. Ayrıca uzaktan makinayı restart etme gibi imkana da sahibiz.
Share desktop ok dedikten sonra destek verecek kişi artık kontrolü sağlayabiliyor.
Bu şekilde uzaktan yardım ile sorunlara hızlı çözüm üretebilmiş oluyoruz. Malesef hatırlatmakta fayda
var henüz Windows 8.1 ve Windows 10 da desteklenmemektedir.
Bilgisayarlar İçin VPN Profile Oluşturma
Kullanıcılarımıza VPN Profillerini daha öncedne hazırlayıp ilke olarak atayabiliyoruz. Bu sayede
kullanıcıların manuel işlem yapması da engellenmiş oluyor. Hatalı konfigürasyonları da azaltmış oluyoruz. Kuralımızı oluşturmak için İlke > İlke Ekle > Windows > VPN Profile ( Windows 10 Masaüstü ile
Windows 10 Mobile ve üzeri) seçiyorum.
Kuralıma HD Company ismini verdikten sonra ilgili yerleri kendi yapıma göre düzenledim.
Kuralımı atayacağım grubu seçiyorum.
Kuralımı oluşturdum. İlkeler kısmına geldiğini görüyorum.
Client makinamda kontrol ettiğimde HP VPN ismi ile oluştuğunu görüyorum.
Kuralımızı oluşturduğumuz yerde Bağlantı türü olarak birden çok seçenek mevcut. Yapınıza uygun
olanı seçebilirsiniz. Bunun dışında Kimlik doğrulama metodunu sertifika olarak ayarlayabilirsiniz veya
kullanıcı adı ve parola olarak da kullanabilirsiniz.
Microsoft Intune ile Mobil Cihaz Yönetimi (MDM)
Bu bölümünde Mobil Cihaz yönetimi ve Şirket Portal’ına nasıl uygulama ekleyebileceğimizi göreceğiz.
(Hem Android hem de Windows işletim sistemine sahip telefonlar için nasıl yapılandıracağımızı
göreceğiz)
Microsoft Intune panelimizde oturum açtıktan sonra Yönetim> Mobil Cihaz Yönetimi sekmesine geliyoruz. Daha önce telefon için herhangi bir etkinleştirme yapmadıysanız etkinleştiri tıklıyoruz. Etkinleştir
dedikten sonra mobil cihazlarımızı Portal’ dan yönetebilir hale geliyoruz.
Mobil Cihaz Yönetimi altında ilgili yerleri etkinleştirdikten sonra. Windows Phone veya IOS
tıkladığınızda size takip etmeniz gereken yönergeleri göstermektedir.
Microsoft Intune Portal’da MDM’i aktifleştirmek için yapmamız gereken adımlar aslında sadece bundan ibaret. Cep telefonları için Şirket Portalı programını kurmamız gerekiyor. Kullandığınız mobil
cihaza göre Windows, Android veya IOS marketlerinden Şirket Portalı programını yüklemeniz gerekmektedir.
Company Portal’ ı yükledikten sonra yetkili kullanıcı ile oturum açıyoruz. Gerekli lisans atamasını daha
önceden yapmış olmanız gerekmektedir.
Tekrar Portalımıza dönüp Gruplar sekmesi altında tüm cihazlara geldiğimizde telefonumuzun buraya
kayıt edildiğini görüyoruz.
Hd_WindowsPhone cihazımın üzerindeyken seçimden grup oluştur diyerek veya grup var ise doğrudan üyelik ile telefonu ilgili gruba üye yapıyoruz.
Bu adımda cihaz türümüzü seçiyoruz. Politikanıza göre isterseniz üst gruplardaki tüm mobil cihazları
gruba ekleyebilirsiniz veya boş grup yaratarak daha sonra manuel olarak mobil cihazlarımızı ekleyebiliyoruz.
Telefonumu Windows Phone grubuna dâhil ettikten sonra şirket Portalımıza nasıl yazılım
dağıtacağımızı görelim. İlk olarak ilgili mağazadan bir program seçiyorum. Ben cümle çeviri programını dağıtmak istiyorum.
Tekrar Portalımıza dönüyoruz. Uygulamalar > uygulama ekle diyoruz.
Dış bağlantı seçip ilgili linki URL’yi belirleyin kısmına yazıyorum.
Yazılımı tanımlayıcı bilgileri buraya giriyoruz.
Hangi mobil cihaz türü için uygulanacağını burada görüyoruz.
Son olarak yaptığımız ayar ile ilgili özet bilgisini bize gösteriyor.
Bu adımdan sonra yapmamız gereken ise programımızı dağıtmak olacak.
Onay kısmına baktığımızda dağıtılamaz olarak geldiğini görüyoruz. Biz bunu kullanılabilir yükleme
olarak değiştiriyoruz ki kullanıcılarımız ilgili programı Şirket Portalında görebilsinler.
Tekrar kontrolümüzü yaptığımızda programın şirket Portal’ına geldiğini görebiliyoruz. Windows telefonlar için yapılandırmamız bu kadar. Android telefonda bir farklılık var mı onu da görelim.
Android Telefon için Şirket Portalı Yapılandırma ve Uygulama Dağıtımı
Android cihaz içinde konfigürasyon yapabilmemiz için yazımızın başında belirtmiş olduğum şekilde
yönetim Portalından ilgili etkinleştirmeyi yapmanız gerekiyor. (Daha önce MDM etkinleştirmediğiniz
varsayılmıştır). Android marketten Intune Şirket Portalı programını yüklüyoruz.
Yetkilendirilmiş kullanıcımızla oturum açıyoruz.
Cihazı kaydet i seçiyoruz.
Bu adımda belirli kuralların uygulanacağını belirtiyor. Örneğin gelen bildirimler artık gizli olarak
gözüküyor. Aynı zamanda şifreleme ilkesi aktif olduğu için ekran kilidi ayarlamanız gerekiyor.
Daha sonra ise şirket Portalımızı açıyoruz. Dikkat ettiyseniz Tüm kullanıcılar için uygulama
yayınlamıştık. Herhangi bir ekstra grup için ayar yapmamıştım fakat ilgili program Windows telefonlar
için geçerli olduğundan burada gözükmemektedir.
Mobil cihazımızın Portala geldiğini görüyoruz. Daha önce açmış olduğum Android Phone grubuna
ekliyorum.
Uygulama eklemek için Uygulamalar > Genel Bakış > Uygulama Ekle ile işleme başlıyoruz. Bu şimdilik
bir kenarda dursun, biz Google Play’ den program seçelim.
Radar Beep programını örnek amaçlı şirket Portalımıza ekleyelim.
Yazılım yükleyicisini seçerseniz bir önceki bölümden biraz daha farklı olduğunu göreceksinizdir. Android, IOS, Windows Phone seçeneklerini de görebiliyoruz.
Dış bağlantı seçeneğini seçip, ilgili URL yazıyorum.
Programla ilgili açıklamaları ve bilgileri giriyorum. Bu program sizin için çok önemli ise öne çıkar ile
birçok uygulama arasından fark edilmesini sağlayabilirsiniz.
Portalımıza ilgili programın geldiğini görüyoruz ve daha sonra cihazlarımıza dağıtıyoruz (Aynı adımlar
olduğu için tekrar tekrar yazmıyorum). Anlam kargaşası olmaması için belirtmekte fayda var,
dağıttığımız programlar cihaza yüklenmiyor! Yüklenebilir hale geliyor!
Telefonuma bir süre sonra bildirimin geldiğini görüyoruz.
Bu bölümümüzde Microsoft Intune içerisinde Mobil cihaz yönetimini nasıl aktifleştirebileceğimizi, Android ve Windows telefonlara nasıl program dağıtabileceğimizi gördük.
Microsoft Intune ile Samsung Knox İlke Kuralları Yapılandırma
Samsung Knox Nedir?
Android 4.3 sürümünden sonra duymaya başladığımız KNOX özelliğini kısaca açıklayacak olursak, Kurumsal verileriniz ile Bireysel verilerinizin birbirinden ayrılmasıdır. Biraz açacak olursak, çalıştığınız
firma kurumsal döküman, mail hizmeti vs.. yönetiyorken siz ise bireysel verileriniz üzerinde istediğinizi
yapabiliyorsunuz. Temelde amaçlanan kurumsal verilerin güvenliğinin arttırılması ve önemli verilerin
dışarı sızdırılmasının engellenmesidir. KNOX sayesinde Android cihazlardaki açıklara karşı bir kat daha
güvenliğinizi arttırmış oluyorsunuz. Malesef negatif tarafları da mevcut. Özellikle Samsung KNOX kullanmaya başlarsanız cihazı rootlama işlemini yapamıyorsunuz. Bunu denediğinizde cihazınız garanti
kapsamı dışı kalabiliyor. Kısa açıklamadan sonra konumuza dönecek olursak, Samsung KNOX kullanmadan, Microsoft Intune üzerinden KNOX’ a ait nasıl kural yapılandırabileceğimizi göreceğiz.
İlk olarak Microsoft Intune platformunda oturum açıyoruz. İlke tabını tıkladıktan sonra İlke Ekle diyoruz.
Örneğimiz Samsung KNOX için olduğundan Android seçiyoruz. Diğer yazılarımı okumayan arkadaşlar
için özellikle bu adıma kadar Türkçe arayüz ile devam ettim. (Türkçe desteği mevcut)
Microsoft Intune’ a yeni başlayanlar için büyük bir avantaj sağlamaktadır. Genel Yapılandırma seçip
devam ediyoruz.
Yönetimin Google’ a yedeklerin çıkmasını istemediklerini varsayarak ilerleyelim. Kuralımıza isim verelim.
Bizim istediğimiz kural Cloud bölümünde Documents & Data altında. Kuralımızı No olarak seçersek
kullanıcılarımıza Google yedeklemeyi yasaklamış oluyoruz.
Kuralımızı kime atayacağımızı seçiyoruz.
Kısa bir süre sonra cihazımda testimi yapıyorum. Yedekleme bölümünün pasif hale geldiğini görüyorsunuz. Bu sayede kurumsal verilerinizin istemediğiniz bir yerde yedeklenmesini de engellemiş oluyorsunuz. Bu kuralları elbette Samsung KNOX kullanarak da yapabilirsiniz fakat bazı dezavantajları bulunuyor. Yazımın başında belirtmiş olduğum gibi Samsung KNOX kullanmadan önce yazımın sonundaki
linkleri incelemenizde fayda buluyorum.
BÖLÜM 2
Active Directory Kullanıcılarını Microsoft Intune’ a Senkron Etme Adımları
İlk bölümdeki yapılandırmamız Domain ortamının olmadığı varsayılarak yapılmıştır. Büyük firmaların çoğu Domain ortamında olduklarını düşünürsek ilk bölüm pek de yapımız için sağlıklı olmayacaktır. İki farklı şifre girilmesi gerekecek, yeni kullanıcılar yaratılacak gibi operasyonel anlamda zorluk
olacağı gibi son kullanıcı tarafında da problem olacaktır. Şimdi ise Active Directory yapımızın olduğu
ortamda nasıl bir yol izlemeliyizi göreceğiz. Tekrar hatırlatma fayda var illa AD ile entegre etmek zorunda kesinlikle değilsiniz. Demo ortamım olduğu için yapımda bir adet Active Directory sunucus ve
ADFS ile AD Connect için ayrı bir sunucu yapılandırılmıştır.
1)
2)
3)
4)
5)
Office365 Panele Custome Domain Ekleme
AD Connect Kurulumu
ADFS Kurulumu
DMZ alanı mevcut ise ADFS Proxy ( yapımda olmadığı için kurmayacağım)
Senkron olan kullanıcılara ilgili lisansların atanması ( AD Connect kurulumundan sonra da
yapabilirsiniz )
6) Konfigüre etmeyi de unutmamak lazım 
Office365 Panele Custome Domain Ekleme
İşlemlerimize başlamadan önce custome domainimizi ekliyoruz.Bunun için https://portal.office.com ile
oturum açıyoruz. Daha sonra Home > Settings > Domains tabına geliyoruz ve Add Domain ile işlemimize başlıyoruz. Eklemek istediğiniz Domain ismini burada giriyoruz.
Microsoft Intune için eklemeniz gereken kayıtlar aşağıdaki gibidir. Eğer Komple Office 365’ e geçmeyi
planlıyorsanız kayıt listesi çoğalacaktır. İlgili kayıtları DNS’ e girip doğrulamanız gerekiyor. Eğer Missing
record hatası alıyorsanız bu durumunun giderilmesi gerekmektedir.
Kendi yapımda eklemiş olduğum kayıtları aşağıda bulabilirsiniz.
Bu adımı da tamamladıktan sonra Active Directory’ den Cloud’ a senkron olacak kullanıcıların UPN suffixler inin onmicrosoft şeklinde gitmemesi için Alternative UPN suffix eklememiz gerekiyor. Bunu yapmak için Active Directory Domain and Trust açıyoruz. Active Directory Domain and Trust
üzerindeyken sağ tıklayıp Properties tıklıyoruz ve ilgili kayıdı aşağıdaki şekilde giriyoruz.
AD Connect Kurulumu
Kullanıcılarımı Office 365 ortamına Sync etmek için eski adı Dirsync yeni adı ile Microsoft Azure Active
Directory Connect kurmamız gerekiyor. Eğer hali hazırda yapınız Dirsync kurulumu yapıldı ise Upgrade işlemini yapabilirsiniz. Bunun için aşağıdaki linkten faydalanabilirsiniz.
http://hasandimdik.com/index.php/2016/04/18/microsoft-azure-ad-connect-upgrade-1-0-9125-0dan1-1-130-0-e/
Sıfırdan kurulum yapacağımız için ilk olarak https://www.microsoft.com/en-us/download/details.aspx?id=47594 toolumuzu indiriyoruz. Kaynak sorununuz var ise DC üzerinde de kurulum yapılabiliyor fakat tavsiye edilmeyen bir senaryo!
Tool’ u indirdikten sonra Use Express settings ile kuruluma başlıyoruz.
Azure AD üzerinde yetkili olan kullanıcı bilgilerimizi giriyoruz.
İkinci adımsa ise var olan yapımızdaki (On-Premises) yetkili kullanıcı bilgilerini giriyoruz.
Eklediğim UPN Suffix’ in Verified edildiğini görüyoruz.
Ve kurumu tamamlıyoruz. Belirli süre sonra kullanıcılarımız Azure AD ile senkron olacaktır.
Active Directory Federation Servisi Kurulumu ve Yapılandırması
Bu bölümümüzde ADFS kurulumunu gerçekleştireceğiz. İlk olarak Active Directory Federation Services
rolünü seçiyoruz ne next ile devam ediyoruz ve kurulum tamamlandıktan sonra Configure the federation service on this server ile yapılandırmamıza başlıyoruz.
ADFS için Domain admin yetkisine sahip kullanıcıyı burada giriyoruz.
ADFS için aldığınız sertifikayı bu adımda girmemiz gerekiyor. Sertifika alternative name kısmına
aşağıdaki kayıtları ekledim;

Lab28384.o365ready.com

fs.Lab28384.o365ready.com
Aldığım sertifikayı IIS üzerinden .pfx olarak export ettim ve bu adımda tanıttım.
Yönetilen servis hesabı için yetkili kullanıcı bilgisini bu adımda giriyoruz.
Ben kurulumumu internal database ine yapmasını istiyorum. Eğer SQL üzerine yapmak isterseniz ikinci
seçeneği seçerek devam edebilirsiniz.
Eğer adımlarda bir hata yapmadıysanız aşağıdaki gibi kurulumu sorunsuz bir şekilde
tamamlayacaksınız. Son olarak ise fs.Lab28384.o365ready.com için DNS kaydı oluşturuyoruz.
https://fs.lab28384.o365ready.com//adfs/ls/idpinitiatedsignon.htm ile oturum açmak istediğimde
yapımın sağlıklı şekilde çalıştığını görüyorum.
Bu adımdan sonra ise ADFS Trust işlemini yapmamız gerekiyor. Bunun için Azure powershell
modülünü yüklemeniz gerekmektedir. Yükledikten sonra;
Import-Module MSOnline ile modülümüzü import ediyoruz ve Connect-MsolService ile Office 365’ e
bağlanıyoruz.( Office 365 tarafındaki yetkili kullanıcı bilgileri girilmelidir )
Convert-MsolDomainToFederated –DomainName lab28384.o365ready.com ile trust işlemimizi
tamamlıyoruz.
Son olarak kontrolümü Get-MsolFederationProperty –DomainName lab28384.o365ready.com
komutu ile sağlıyorum. Başarılı bir şekilde Microsoft Intune ile Federation Trust kurmuş oluyorum.
https://manage.microsoft.com ile login sayfasına gidiyorum. Microsoft Intune admin yetkisine sahip bir
kullanıcı bilgisi girdiğimizde bizi ADFS’ e yönlendiriyor.
Bilgileri doğru girdiseniz başarılı şekilde oturum açılacaktır. Bu sayede kullanıcılarınızda rahatlıkla Single
Sign-On(SSO) olarak oturum açabileceklerdir.
Durumu kısaca özetleyecek olursak artık Active Directory üyesi kullanıcılarımıza eğer Microsoft Intune
lisansı atanmış ise SSO olarak oturum açabileceklerdir. Bu durum bizi neyden kurtardı kısaca özetleyecek olursak;
1) Password hash bilgileri artık buluta gönderilmeyecek
2) Her iki tarafta da kullanıcı açma gibi operasyonel yük kalktı.
3) Şifre resetleme gibi işlemler iki farklı yerden yapılmayacak.
Microsoft Intune Portal’ a Kullanıcı Enroll Etme
Lisanslarını atadığımız kullanıcıların portal geldiğini görebiliyoruz.
İşlemlerimizi tamamladıktan sonra kullanıcılarımızı artık Microsoft Intune’ a dahil edebiliriz.Bu adımları
yapmadan önce yapınızı gruplara böldüğünüzden emin olun. Aşağıda örnek olması amacı ile bir şablon paylaşılmıştır. Kendi yapınıza göre detaylandırabilirsiniz.
Bu adımdan sonra cihazınıza göre ilgili vendor un uygulama galerisinden Company portal indiriyoruz.
Uygulamayı yükledikten sonra lisans atanan kullanıcı ile oturum açmak istediğinizde aşağıdaki hatayı
eğer alıyorsanız ADFS konfigürasyonunda eksiklik var demektir!
ADFS sunucumuzu tekrar açıyoruz. Authentication Policies sağ tıkladıktan sonra Edit Global Primary
Authentication u açıyoruz. Intranet altında yer alan Form Authentication u işaretliyoruz ve belirli süre
sonra tekrar kontrol ediyoruz.
ADFS sunucumuz artık başarılı şekilde redirect edebiliyor. Kullanıcı adı ve parolamızı girdikten sonra
oturumumuzu açıyoruz.
Cihazı enroll ettikten sonra admin hakkına sahip kullanıcıların nelere müdahele edip nelere edemeyeceğine dair bilgilendirme adımları ve artık cihazın şirket tarafından yönetildiğine dair bilgilendirme
ekranı geliyor. Kabul ediyoruz.
Gelen sayfalardaki ilgili yönergeleri okuyup Kabul ediyoruz.
Başarılı şekilde oturum açtık.
Microsoft Intune Portal’ a baktığımızda enroll ettiğimiz cihazımızı görebiliyoruz.
Apple Cihazları Microsoft Intune’ a Enroll Etme Adımları
Microsoft Intune ile IOS, Android ve Windows telefonları yönetebileceğimizi söylemiştik. IOS cihazları
enroll etme aşamasında yapmamız gereken bir kaç fazla adım var. İlk olarak portalımızdayken Yönetim > IOS ve Mac OS X sekmesine geliyoruz ve IOS ve MAC OS X platform etkinleştir i tıklıyoruz.
APNs Sertifika İsteğini İndir I tıklıyoruz ve daha sonra Apple Push Certificates portalına giriyoruz.
Açılan panelde Create a Certificate diyoruz.
Açılan panelde indirmiş olduğumuz sertifika isteğini gösteriyoruz.
Başaralı şekilde sertifikamızı oluşturduk. Sertifikamızı indiriyoruz.
Tekrar Microsoft Intune portal bağlanıp APNs Sertifikasını yükle diyoruz ve açılan panelde .pem
uzantılı sertifikamızı gösteriyoruz ve Apple kimliğimizi giriyoruz.
Bu adımı da tamamladıktan sonra Apple cihazlarımızı artık Microsoft Intune’ a Enroll edebilir hale geliyoruz.
Enroll etmek istediğimiz cihazda Apple Store açtıktan sonra Compant Portal’ I indiriyoruz. İndirme işleminden sonra erişim bilgilerimizi giriyoruz.
Yöneticinin ne gibi hakları olacağı vs.. bilgileri bize anlatıyor.
Başla dedikten sonra aygıtımızı kayıt etmek için ilgili sertifikamızı profilimize yüklüyoruz. Bu adımdan
sonra artık iplerin Microsoft Intune yöneticisinde olduğunu belirtiyor  Güven diyerek devam
ediyoruz.
Diğer doğrulama ise Mobil aygıt yönetimi ve Aygıt kimliği sertifikası ile ilgili. Bu aşamadan sonra işlemimiz tamamlanıyor. Artık portalımıza erişim sağlayabiliyoruz.
Mobil Cihaz Yönetimi için Kural Oluşturma
Koşullu Erişim İlkeleri
Koşullu erişim ilkeleri;

Exchange Online


Exchange Server ( On-Premises)
Sharepoint Online

Dynamics CRM Online

Skype Kurumsal Çevrimiçi Sürüm için yapılandırılabilir.
Örneğimde Microsoft Intune portala Enroll olan cihazlar Mail konfigürasyonu yapabilsin ,Enroll olmayanlar ise yapamasın şeklinde olacak. ( Ipad Enroll ve Android phone Enroll edilmedi)
Örneğimi kısaca açıkladıktan sonra sıra geldi nasıl yapacağımıza. İlke > Koşullu Erişim > Exchange
Online ilkesini açıyoruz ve kuralımı aşağıdaki şekilde oluşturuyorum.
Android telefonuma mail kurulumu yapmak istediğimde aşağıdaki uyarıyı alıyorum ve beni Microsoft
Intune Portalı yüklemeye yöneltiyor.
Ipad cihazımda mail hesabımı tanımaldığımda herhangi bir sorun ile karşılaşmadım.
Kuralımızı tüm kullanıcılara uygulayabileceğimiz gibi bazı kullanıcıları Exclude de edebiliriz veya sadece
belirli kullanıcılara uygulansın da diyebiliriz.
Uyumluluk Kuralları
Uyumluluk kuralları içerisinde;

Jailbreak


PIN ve Password Zorunluluğu,karmaşıklığı
Şifreleme gibi birçok konfigürasyonu yapabiliyoruz.
Veya aşağıdaki gibi belirli işletim sistem sürümü üzerine izin ver gibi ayarlarda yapabiliyoruz.
Microsoft Azure Active Directory Premium
Azure Active Directory Premium Nedir ?
Bu bölümümüz içerisinde temel anlamda Azure Active Directory Premium’ u nasıl aktifleştireceğimizi ve Free versiyondan farkını göreceğiz. İşlemlerimize başlamak için https://manage.windowsazure.com ile oturumumuzu açıyoruz.
Oturum açtıktan sonra soldaki menülerden Active Directory seçiyoruz. Daha önce eklediğimiz Directory var ise burada göreceksiniz. Biz yeni bir Azure Active Directory Premium hesabı ekleyeceğiz. Panelin sol altında +New seçerek işlemimize başlıyoruz.
App Services > Directory > Custome Create seçiyoruz.
İlgili yerleri yapınıza göre doldurabilirsiniz. Yeni gelen özelliklerden This is a B2C Directory gözümüze
çarpıyor. Kısaca değinecek olursak eğer siz son kullanıcıya bu Directory servisi ile hizmet veriyor iseniz
seçmelisiniz. Detaylı bilgi için;
https://azure.microsoft.com/tr-tr/documentation/articles/active-Directory-b2c-overview/
Kısa süre sonra panelinize Directory servisinizin geldiğini göreceksiniz.
Yourcloud tıkladığım zaman kullanıcıları, grupları, ilgili ayarları vb… işlemleri yapabileceğimiz bir konfigürasyon arayüzü bizi karşılıyor. Licenses tabını tıklayarak Azure Active Directory Premium
etkinleştireceğimiz sayfaya geliyoruz. Try Azure Active Directory Premium
Now tıklayarak 100 kullanıcı için deneme hesabımızı aktif ediyoruz.
Her zamanki gibi okuyup kabul ediyoruz.
Ve bir aylık deneme süremiz başladı.
Azure Active Directory Premium kullanmasını isteğimiz kullanıcıları seçip lisansları atıyoruz.
Şimdi ise Configure tabına gelip Azure Active Directory Premium neleri içeriyor görelim.
Azure Active Directory Premium tarafındaki özelliklere kısaca değinecek olursak ;
Company Branding : Kendi şirket logonuzu ekleyebilir ve oturum açma ekranını daha görsel hale
getirebilirsiniz.
Self-Service Password Reset : Tüm IT çalışanlarının en sevmediği durum olan ve son kullanıcıların en
çok ticket açtığı parola Resetleme olayını artık kullanıcılar kendileri yapabiliyorlar.
Multi-Factor Authentication : Kullanıcılarınıza çift katmanlı
erişim sağlatarak güvenliği bir adım daha da arttırabilirsiniz.
Password Reset with write-back : Resetlenen şifre On-Premises çalışan Active Directory’ e de yazılır. Bu
sayede iki tarafta ayrı ayrı şifre Resetleme kargaşası ortadan kalkar.
Advanced Security Reports and alerts: Uygulamalarınıza yetkisiz erişim gibi denemelerde detaylı rapor
sunar.
Enterprise SLA : Microsoft size hizmetin %99.9 çalışacağı garantisini vermektedir.
Belirli başlı kısımları özet olarak yukarıda bahsettim detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz;
http://www.microsoft.com/en-us/server-cloud/products/azure-active-Directory/features.aspx
Aşağıda Azure Active Directory Premium aktif edilmiş olan bir Directory görüyorsunuz.
Ücretsiz olarak Active Directory servisini kullansaydık, Configure tabına tıkladığımızda aşağıdaki
menüleri görüyor olacaktık.
Company Branding
Olaya aslında farklı açıdan bakarak bu yazıya başlamak istiyorum. Bildiğiniz gibi web siteleri şirketlerin
görünen yüzü. Bu sebepten dolayı tasarımımızın her zaman güzel ve şirketi anlatıyor olması gerekmektedir. Arka planda o kadar satır kod yazılır fakat her zaman işin en çok övgü alan kısmı tasarım
tarafıdır. (Yazılımcılara haksızlık) Company Brand özelliğinde de Azure Active Directory Premium
kullanan şirketlerin ilk Customize ettiği yer olduğunu görüyoruz. (Yine tasarım ön planda) Bu bölümde
bizde küçük bir örnek yaparak Azure arayüzümüzü görselleştireceğiz... Bu kadar konuştuğuma
bakmayın son derece basit.
https://manage.windowsazure.com veya https://portal.azure.com ile oturum açıyoruz. Daha sonra ise
soldaki ikonlardan Active Directory buluyoruz ve Configure > Customize Branding tıklıyoruz.
Şirketimize ait logolarımızı buradan kendi yapımıza göre değiştirebiliyoruz. Her adımı tek tek açıklamayacağım. Detay bilgi için aşağıdaki linkten yararlanabilirsiniz;
https://azure.microsoft.com/en-us/documentation/articles/active-directory-add-company-branding/
Ben örneğimde Banner logomu değiştireceğim ve beni karşılayan kocaman resim olan yani teknik adı
ile Sign-in Page Illustration ı değiştireceğim. Resimlerinizi eklemeden önce soru işareti(?) tıklamanızı
tavsiye ederim. Sebebi ise resimleri eklerken bazı kısıtlamaların olmasından. Eski adı Tile Logo’ nun
adının Square logo olarak değiştirildiğini görüyoruz. Sign-in Page Text ise sağ altta ek notlarınızı girebileceğiniz alandır.
Tekrar oturum açmak isteğimizde logomuzun geldiğini görüyoruz.
En çok değiştirilen ise Sign-in Page Illustration bölümüdür. Ben kendime göre bir resim ekledim.
Tekrar oturum açmak istediğimde ise son derece görsel bir arayüz karşılıyor.
Son derece basit şekilde giriş arayüzümüzü değiştirmiş olduk. Sektörde proje yaptığımız tüm firmaların
ilk talepleri arasında yer alıyor!
Password Synchronization Write-Back ve Self-Service Password Reset
Self Password Reset özelliği sayesinde kullanıcılarımız Microsoft Azure veya Office 365 gibi
platformlarda kendi şifrelerini resetleyebilme imkanına sahip oluyorlar. Bildiğiniz üzere Free Accountlarda şifre değiştirme işlemi Admin tarafından yapılmaktaydı. Writeback özelliği ile birlikte de çift taraflı
senkronizasyona imkan sağlanmıştır. Bunu şu şekilde açıklamak daha doğru diye düşünüyorum. Azure
üzerinde kullanıcı şifresini değiştirdiğinde bu işlem sadece Azure tarafında geçerli oluyordu. Writeback özelliğinin kapasitesi sayesinde değiştirilen şifre On-Premises Active Directory üzerine de yazılmış
oluyor. Bu sayede hem Azure hemde lokal tarafta şifre değiştirme külfeti ortadan kalkıyor.
İlk olarak https://manage.windowsazure.com ile oturum açıyoruz.
Oturum açtıktan sonra soldaki ikonlardan Active Directory tıklıyoruz. Daha sonra Configure tabını
tıklıyoruz. User Password Reset Policy altında yer alan Users Enabled For Reset Policy Yes olarak
değiştiriyoruz. Seçeneği evet olarak değiştirdiğimizde menümüze yeni seçeneklerin eklendiğini
göreceksiniz. Kullanıcıların kendi şifrelerini değiştirebilmeleri için telefon, farklı bir mail veya gizli soruyu
cevaplaması seçeneklerin birini veya bir kaçını seçebiliyoruz. Number of Authentication Methods seçeneğinden ise bu seçeneklerden kaç tanesini girerek resetleyebileceğini belirtiyoruz.
Password Write Back Service Status kısmını not configured olarak görüyoruz. İşlemlerimizin sonunda
değiştiğini göreceğiz. Write Back Passwords to On-Premises Active Directory Yes olarak değiştiriyoruz.
Microsoft Azure Active Directory Connect’i yapılandırırken Password Writeback seçeneğini seçmeniz
gerekiyor.
Test amaçlı On-Premises Active Directory üzerinde kullanıcı açtım.
Azure portalıma geldiğimde senkronizasyonun çalıştığını görüyorum. Bu adımdan sonra ilgili kullanıcı
veya kullanıcılara Licenses tabını açarak Azure Active Directory Premium Lisanslarının atanması gerektiği unutmayınız!
Kullanıcının şifresini Azure üzerinde resetlediğimizde bu değişikliği On-Premises Active Directory event
larında gözlemleyebiliyoruz. Event Viewer>Application açtığımızda 31009 ve 31010 eventlarının
oluştuğunu göreceksiniz. Event ID 31009 password resetleme işleminin admin tarafından başlatıldığını
belirtiyor. Event ID 31010 ise şifrenin başarılı şekilde değiştirildiği belirtiyor. Dikkat ederseniz şifrenin kim
tarafından resetlendiğini de bize gösteriyor.
http://myapps.microsoft.com ile oturum açmak istediğimizde ilk başta iletişim bilgilerinizi doğrulayın
seçeneği geliyor. Şimdi doğrula diyoruz.
Azure tarafında seçtiğimiz seçeneklere göre bize aşağıda telefon ve e-mail seçeneğini sunuyor. Ben
ikisinden birini girmesinin yeterli olacağı yönünde ayar girmiştim.
İlgili işlemleri tamamladıktan sonra portalımızda oturum açıyoruz. Bu adımda dikkatinizi çekmek istediğim küçük bir nokta var. Varsayalım ki parolayı kendimiz değiştirmek istedik ve bunun için Parolayı
değiştir dedik.
Bu parola kurumsal ilkenizin uzunluk, karmaşıklık, yaş veya geçmiş gereksinimlerini karşılamıyor. Şair
diyor ki ; On-Premises Active Directory Password Policy bi göz at bakalım diyor ;)
Event ID 33008 incelediğinizde de alacağınız hata aşağıdaki gibi olacaktır.
Kıssadan hisse bu iki özellik sayesinde Bilgi işlem departmanını baya sevindirecektir.
Azure Rights Management Services
Kurulum ve Konfigürasyonu
Terim olarak baktığımızda aslında uzun zamandır RMS hayatımızda. Kısaca tekrar hatırlatmak gerekirse, Dökümanlarımızın isteğimiz veya kontrolümüz dışında başkalarının görmesini, çıktı almasını, editleyebilmesi vb… engelleyebildiğimiz veya belirli bir zamanda diliminde işlem yapabilmesini
sağladığımız (1 gün sonra kullanama gibi) Microsoft’ un bize Saas olarak sunduğu bir servis. Microsoft
Azure RMS sayesinde dökümanlarımız nereye giderse gitsin sizin verdiğiniz izinler de döküman ile beraber taşınmış olur.
Bu servisin Azure paltformu üzerinde olması klasik RMS’ den bazı şeyleri ayırıyor. Buna en güzel örnek
olarak IIS, SQL Server veya Ca kurulumları ile uğraşmamıza gerek kalmıyor. Aynı zamanda altyapı
maliyetini ortadan kaldırıyor. Kısa açıklamamızdan sonra yapılandırmamıza geçebiliriz. Detaylara yeri
geldikçe değineceğiz.
Hizmetimizi etkinleştirmek için https://manage.windowsazure.com adresine giriyoruz. Azure portalı
açıldıktan sonra Active Directory sekmesine geliyoruz. Daha sonra ise Right Management sekmesini
açıyoruz ve Activate ile hizmeti aktif hale getiriyoruz.
Hizmetimizin aktif hale geldiğini görüyoruz.
https://portal.aadrm.com/ ile Azure RMS portalına erişiyoruz. Mail adresimi buraya giriyorum ve RMS’
e erişebildiğimi görüyorum.
Azure Rms ile koruma sağlamak için kullanacağımız cihaza uygun tool u indiriyoruz.
Daha sonra ise klasik next next finish
İşlem bittikten sonra cihazınızı yeniden başlatmanız gerekiyor.
Kurulum adımımız bu kadar. Gördüğünüz üzere entegre etmesi son derece kolay ve hızlı. Eğer daha
önce On-Premise RMS ile çalışma imkânı bulduysanız aradaki farkı çok hızlı şekilde göreceksiniz.
Cihazımızı yeniden başlattıktan sonra artık servisimiz kullanabilir hale geliyor.
Azure Rights Management Services Exchange Online Entegrasyonu
Bu bölümümüzde Azure Right Mananagement Servis’ i nasıl Exchange Online ile entegre edebileceğimizi göreceğiz. RMS nedir kısmına ilk bölümde kısaca değinmiştik. İlk bölümü okuyarak genel
hatlarıyla bilgi sahibi olabilirsiniz. İşlem sıralaması oldukça basit aşağıdaki adımları uygulayarak kolayca
konfigüre edebilirsiniz.
İlk olarak Powershell’ i admin hakları ile açıyoruz. $cred=Get-Credentials komutu ile yetkili
kullanıcımızla ile Office 365′ e bağlanıyoruz.
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic –AllowRedirection
komutu ile Office 365′ de oturum oluşturuyoruz.
Ve Import-PSSession $Session komutu ile açtığımız oturumun kendi makinamıza taşınmasını
sağlıyoruz.
İpucu: Bu adımda hata alırsanız https://www.cogmotive.com/blog/powershell/allowing-powershellscripts-to-execute döküman size yardımcı olacaktır.
Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sprms.eu.aadrm.com/TenantManagement/ServicePartner.svc
Komutu ile Key Sharing Lokasyonumuzu belirtiyoruz. Avrupa bize yakın olduğu için EU seçiyorum.
RMS online’dan Trusted Publishing Domain’ i aktarmak için shell yardımı ile Import-RMSTrustedPublishingDomain –RMSOnline –Name “RMS Online” komutunu çalıştırıyoruz.
Exchange Online’ daki harici mesajlaşmalar için lisansımızı Set-IRMConfiguration –InternalLicensingEnabled $true komutu ile aktif hale getiriyoruz.
Kontrol amaçlı Test-IRMConfiguration –RMSOnline komutunu çalıştırıyoruz.
Dökümanımızın Devamında Office 365 üzerinde yapmamız gerekenleri göreceğiz ve bunun ile alakalı
örnek yapıyor olacağız
Azure Rights Management Services Exchange Online Entegrasyonu
Bir önceki bölümümüzde Exchange Online ile Azure RMS’ i entegre etmiştik. Şimdi ise Office
365 admin portal üzerinde nasıl kural tanımlayabileceğimizi göreceğiz İlk olarak https://portal.office.com ile oturum açıyoruz. Daha sonra admin i tıklıyoruz ve Dashboard altında Admin > Exchange açıyoruz. Aşağıdaki gibi ekran sizi karşılayacak. İşlemlerimize başlamak için Mail Flow sekmesine geliyoruz. Rulesaltındaki artı(+) tıklıyoruz. Create a new rule ile yeni bir kural oluşturacağız.
Karşımıza aşağıdaki gibi bir panel açılıyor.Kuralımıza isim veriyoruz.
Bu kuralı kime uygulayacağımızı belirtiyoruz ve hangi şablonu uygulayacağımızı belirtiyoruz. ( Şablon
oluşturmayı göreceğiz ) Daha sonra kuralımızı kaydediyoruz.
Kuralımızı [email protected] için yazmıştık. Testimizi yapalım
Maili attıktan sonra normalde aşağıdaki gibi görünüyor. Dikkat ettiyseniz uyarı çıkardı (Fotoğraf telefondan çekilmiştir)
Birde ekran görüntüsü almayı deneyelim. Uyguladığımız kuraldan dolayı ekran görüntüsü almak istediğimizde aşağıdaki gibi gözükmektedir.
Azure RMS ile mail tarafında bir çok aksiyon alabiliyorsunuz. İsterseniz maillerin şifreli olarak gönderilmesini de sağlayabiliyorsunuz. Şirket politikasına göre bu kurallar değişiklik gösterebilir.
Sharepoint Online Azure Rights Management Services Konfigürasyonu
Bu bölümüzde birkaç adım ile Sharepoint Online üzerinde Azure Right Management Services nasıl aktif edeceğimizi göreceğiz.
İlk olarak Office 365 portalımızda oturum açıyoruz. Service Settings > Sites açıyoruz ve View site collections and manage additional settings in the Sharepoint admin center tıklıyoruz.
Sharepoint Admin Center açıldıktan sonra sol alt bölümden Settings tıklıyoruz.
Açılan sekmede Information Right Management buluyoruz ve Use the IRM Service specified in your
configuration’ ı şeçiyoruz. Daha sonra sayfanın altından Ok ile kaydediyoruz.
Office 365 kullanmayan arkadaşlardan gelen en büyük soruyu yanıtlamak adına Menüleri Türkçeye
çevirdim. Yazıma bu şekilde devam edeceğim. ( Yani Türkçe kullanılabiliyor )
Kitaplık ayarları sekmesine tıklıyoruz.
Açılan Sayfada Bilgi Hakları Yönetimi’ ni tıklıyoruz.
Bilgi hakları yönetimi ayarları açıldıktan sonra indirme sırasında bu kitaplık üzerindeki izinleri
kısıtlayı seçiyoruz ve bir açıklama ekliyoruz. Yapınıza göre aşağıdaki seçenekleri kullanabilirsiniz. Daha
sonra ayarımızı kaydediyoruz.
Sharepoint üzerindeki bir dosyamı örnek amaçlı açıyorum
Word belgemizin hemen üzerinde uyarımızın geldiğini görüyoruz.
Hızlı ve kolay bir şekilde Sharepoint Online üzerindeki dökümanlarımızı daha güvenli hale getirebiliriz.
Azure Rights Management Services ile Kendi Şablonunuzu Oluşturun
Bu bölümünde Azure RMS üzerinde kendi şablonumuzu nasıl oluşturacağımızı göreceğiz. Bu
bölüm sonunda kendi şablonlarınızı şirket politikalarına göre rahatça oluşturabileceksiniz.
https://manage.windowsazure.com ile panelimize bağlanıyoruz. Active Directory tabına geliyoruz.
Rights Management sekmesini tıklıyoruz. İlgili kısmı tıklayıp sayfanın en altındaki Active i tıklıyoruz.(
Daha önce ben aktif etmiştim )
Create a new rights policy template ile yeni şablon oluşturacağız.
Aşağıdaki ilgili bölümleri kendinize göre doldurunuz.
Şablonumuzu kaydettikten sonra açıyoruz.
Şablonumuzu oluştururken hangi adımları izlememiz gerektiğini gösteriyor. Configure rights for users
and groups ile işlemimize başlıyoruz.
Get Started Now tıklıyoruz.
Oluşturduğumuz şablonun hangi kullanıcı veya gruplar için uygulanacağını gösteriyoruz. Kendi
yapınıza göre uyarlayabilirsiniz.
Orjinalliği bozmamak için türkçeye çevirmedim. Hazır olarak gelen hakların içerikleri aşağıdaki
şekildedir.
Viewer: View, Reply, Reply All
Reviewer: View, Edit, Reply, Reply All, Forward
Co-Author: View, Edit, Copy, Print, Reply, Reply All, Forward
Co-Owner: All Rights
Custom: Assign Right Individually
Custom seçerek kendi özel haklarımızı tanımlıyoruz.
Şablonunuzda hangi hakları vermek istiyorsak burada seçiyoruz ve kaydediyoruz.
Şablonumuz şu an için yayınlanmadı. Publish seçeneği ile yayınlıyoruz.
Şablonumuza korumak için dahil ettiğimiz pdf, word vb.. dökümanlar için ekstra olarak kurallar
tanımlayabiliriz. Bu kadar gün sonra içerik expire olsun vb gibi. Yapınıza göre seçebilirsiniz. Daha
sonra kaydediyoruz.
Şablonumuzu oluşturduk ve yapımıza göre kurallar atadık. Fakat bu kuralların kullanıcılarımızın hemen
görebilmesi için Powershell yardımı ile birkaç komut çalıştıracağız. İlk olarak aşağıdaki komutları
çalıştırmak için Powershell ile oturum açmanız gerekiyor.
Oturum oluşturduktan sonra Import-RMSTrustedPublishingDomain –Name “RMS Online – 1” –RefreshTemplates –RMSOnline komutu ile
şablonlarımızı yeniliyoruz (refresh).
Get-RMSTemplate – TrustedPublishingDomain “RMS Online – 1” –Type All ile yeni şablonumuzun
gelip gelmediğini kontrol ediyoruz.
Import ettiğimiz şablonun Outlook Web app içerisinde de görebilmek için Set-RMSTemplate –Identity
“HDRule” –Type Distributed komutunu kullanıyoruz.
Kontrolümüzü yaptığımızda şablonumuzun Outlook Web App içerisine geldiğini görüyoruz.
Kaynaklar:


https://technet.microsoft.com/en-us/library/jj585027.aspx
https://msdn.microsoft.com/en-us/library/dn629398.aspx

https://msdn.microsoft.com/en-us/library/aa372024(VS.85).aspx


https://www.microsoft.com/en-us/cloud-platform/microsoft-intune
https://docs.microsoft.com/en-us/rights-management/understand-explore/what-is-azure-rms

https://azure.microsoft.com/en-us/documentation/articles/active-directory-editions/
SON SÖZ
Bu E kitabı 10.08.2016 tarihinde ebediyete uğurladığım , bugünlere gelene kadar elimi hiç
bırakmayan her düştüğümde beni ayağa kaldıran, hayatımda özel yere sahip dostum , can yoldaşım ,
sırdaşım , yol arkadaşım , öğretmenim ve güzel yürekli BABAM Süleyman Remzi DİMDİK ' e
adıyorum. 05.07.1959 - ∞
Hayatı Güncel Yaşamanız Dileği ile…
Hasan DİMDİK