A new feature has anounced in Azure AD: System-preferred MFA. Admins will be able to mandate the safest form of Azure MFA authentication as a result. If a user has more than one registered method, for instance, they will be prompted to use the safest one first. If you’re wondering, “How do I know which method is the strongest?” you can look it up here. Currently, Azure Active Directory allows for the following methods, in descending order of security:
Temporary Access Pass
Certificate-based authentication
FIDO2 security key
Microsoft Authenticator notification
Companion app notification
Microsoft Authenticator time-based one-time password (TOTP)
At the moment, you have only way to enable it is to use the Graph Explorer tool.
Please make sure you have signed into Azure AD with the correct permissions that allow you to set this feature. In the explorer, you need to consent to the Policy.ReadWrite.AuthenticationMethod permission. For this, you need to go to your account and click the consent button like in the following picture:
And past the Policy.ReadWrite.AuthenticationMethod to consent filter. You will see the Consent button and give consent as on the following:
After this you can run the query with this parameters:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy
As a default, this feature is disabled and Azure AD uses the default settings. So the critical point, if you want to enable for your tenant, run the following query:
And Bob’s your uncle!
What changed now?
If the user set a few MFA methods, Microsoft will choose the best way. Despite this, users are able to change the method during the sign-in process.
As a summary
In a world where many users (and administrators) are still lost in the authentication methods maze, this is a much-appreciated addition. This function allows administrators to enforce the use of the most secure authentication method while still allowing users to select a different one at sign-up. Many businesses’ security will be bolstered by this and the Registration Campaign (Nudge) function.
Daha önce,
Intune ile ilgili anlattıklarım sistem içerisinde herhangi bir yeri
etkilemiyordu. Ancak Authority kavramı ile beraber yapacağınız seçim, sizi geri
dönülemez bir yola sokacaktır.
Mobile Device
Management Authority ile beraber yapacağınız seçim, sizin mobil cihaz
yönetiminizi hangi yazılımla yapacağınıza karar vermenizi sağlayacak. Çünkü
burada kritik bir durum söz konusu.
Authrority
seçimi için 2 yolunuz var:
Intune Standalone
Intune Hybrid
Yapınızda
mevcut bir SCCM ( System Center Configuration Manager ) yoksa ve ileriki
süreçte de düşünmüyorsanız o zaman Intune Standalone yapısı ile
ilerleyebilirsiniz. Ancak tekrar etmekte yarar var: Bu yapıda ilerlerseniz
ileriki bir süreçte SCCM entegrasyonu yapmanız mümkün olmayacaktır.
Eğer
yapınızda mevcut bir SCCM ( System Center Configuration Manager ) varsa ve Intune
tarafına geçmeyi düşünüyorsanız o zaman Intune Hybrid yapısını kullanmanızı
öneriyorum. Çünkü gün gelir, Intune’dan vazgeçmek isterseniz dönüşünüz kolay
olur.
Günümüz
şartlarında cloud tarafında hizmetleri kullanmak gerçekten zor ülkemiz için.
Gerek şirket sahiplerinin bakış açıları, gerek ekonomik zorluklar, gerek
regülasyonlar… Cloud tabanlı yönetim sistemlerini şirketlere konumlandırmak
gerçekten güç. Ancak kaçınılmaz bir gerçek var ki o da en fazla 10 sene sonra
herşeyimizin cloud tabanlı olacağıdır. Bu yüzden uzun vadeli düşünen, cloud
vizyonu olan yerlerde, mevcut bir SCCM yapısı yoksa direct olarak Intune
Standalone seçeneğinin çok uygun olduğunu düşünüyorum.
Mobile
Device Management Authority kavramının anlaşıldığını düşünüyorum. Peki bu işlemi nasıl yapacağız ?
İşte
burası farklı bir dönüm noktası. Bu kadar anlattım ancak 1 Eylül 2019 itibarı ile
Microsoft Hybrid yapıya destek vermeyeceğini, bundan sonra açılacak üyeliklerin
direct olarak Intune geleceğini ve var olan hybrid yapıların yeni özelliklerden
yararlanamayacağını açıkladı. Aşağıdaki linkte tüm detaylarını bulabilirsiniz :
Bu bölümde Intune ile kullanacağımız
kullanıcı hesaplarını inceleyeceğiz. Kullanıcı ekleme işlemlerini 2 yol ile
yapabilirsiniz.
Azure portal veya powershell
üstünden Azure AD ile
On-Premises Active
Directory’nizi Azure AD’ye eşitleyerek
Peki bu ikisinin farkları nelerdir ?
Azure AD üstünde açtığınız bir kullanıcının
hesabı cloud üstündedir. Sizin on-prem yapınızla bir ilgisi yoktur. Yani
kullanıcının ayrı bir kullanıcı adı, şifresi, SID’si, farklı öznitelikleri
olacaktır. Ayrıca bu kullanıcıyı Office 365 üstünde de kullanabilirsiniz. Eğer
on-prem bir yapınız var ise haricen bir kullanıcı yönetimi daha yapmak zorunda
kalırsınız.
Eğer local Active Directory yapınızı Azure
AD Connect ile eşitlerseniz, on-premde kullandığınız kullanıcı ve grup yapısını
birebir olarak Intune üstünde de kullanabilirsiniz. Haricen bir kullanıcı
yönetimi yapmak zorunda kalmazsınız.
Azue Intune içerisindeki kullanıcı menüsünü ve örnek kullanıcıları aşağıda görebilirsiniz:
Grup Yönetimi
Kullanıcı
bazında yönetim yapabiliriz. Ancak belirli zümrelere hitap edecek işlere ihtiyacımız
var ise o zaman tabiki grupları kullanmak zorundayız. Bu noktada seçenek olarak
Security veya Office 365 grupları devreye giriyor. Eğer AD Connect ile yapınızı
eşitlediyseniz security gruplarınız otomatik olarak buraya gelecektir. Ancak siz
oluşturmak isterseniz ( ki örneklerimiz olacak ) üyelip tipi ile dinamik gruplar
oluşturabilirsiniz. Bu grup üyeliği tipinini avantajını office 365 lisanslama tarafında
da yaşayabilirsiniz.
Örnek
olarak 1 grup oluşturacağım.
Grup tipi
: Security
Grup ismi
: Ogrenciler
Üyelik Tipi : Dynamic User
Dynamic User Members kısmında ise Query oluşturmam gerekiyor. Bunun için ekranda çıkan arayüzü kullanabilirsiniz. Ancak kendinizde query yazabilirsiniz.
Query
tarafında ise department özelliği ogrenci olan kişileri seçtim. Bu şu demek:
Artık bir kullanıcının department bilgisi “ogrenci” olursa bu gruba dinamik
olarak üye olacaktır.
Siz bu
query tarafını daha da farklılaştırabilirsiniz. Örnek olarak aşağıdaki linki
referans alabilirsiniz :
Eğer bir grubu AD Connect ile sync etmişseniz o grubun üyelik tipi “Assigned”, yani sizin manuel olarak ekledikleriniz olarak gelecektir. Ancak bunu daha sonradan değiştirebilirsiniz. Yapmanız gereken işlem Gruplarda ilgili grubu bulup Properties bölümünden üyelik tipini değiştirmek olacaktır. Ancak şunu unutmayın: Grup tipini değiştirdikten sonra üyeleriniz eğer şartlara uymuyorsa gruptan çıkartılacaktır.
Aşağıdaki resimde görüldüğü üzere User1 isimli kullanıcının departmantı “ogrenci” olduğu için otomatik olarak gruba üye oldu.
Grup yönetimi ile ilgili detaylı konulara farklı bir makalede değineceğim.
Eylül 2019 itibarı ile desteklenen platformlar aşağıdaki
gibidir:
Apple iOS 9.0 and later
Google Android 4.0 and later (including Samsung
KNOX Standard 4.0 and higher)*
Windows 10 Mobile
PCs running Windows 10 (Home, Pro, Education,
and Enterprise versions)
Devices running Windows 10 IoT Enterprise (x86,
x64)
Devices running Windows 10 IoT Mobile Enterprise
Mac OS X 10.9 and later
Windows Phone 8.1, PCs running Windows 8.1, and
Windows 8.1 RT are in sustaining mode (Windows Embedded 8.1 Handheld is not
supported)
* Samsung Galaxy Ace telefonun aşağıdaki modelleri Samsung
KNOX Standard cihazları olarak Intune tarafından yönetilemez: SM-G313HU,
SM-G313HY, SM-G313M, SM-G313MY ve SM-G313U. Bunlar, bu cihazları ıntune’a kaydettiğinizde,
standart Android cihazlar olarak yönetilir.
Bu sürümlerden daha düşük sürümlerde Intune çalıştırmayı
denerseniz, Intune bağlantısı başarısız olacaktır.
Aşağıdaki üç madde, Microsoft Intune kullanmamız için bence
yeterli nedenler.
SCCM kullananlar, onun yönetiminin ne kadar zor
olduğunu, hem implementasyon hem de bakımının ne denli zor olduğunu bilirler.
Microsoft Intune, Cloud tabanlı olması nedeniyle bakım, yedekleme ve güncelleme
gerektirmeyen bir yapı olduğu için yönetmesi çok kolay. Ayrıca sahip olma yani
kurulum süresi ise bir kaç dakika. Cloud tabanlı olan bu yönetim hem cloud hem
de on-premise özelliklerine sahiptir.
Cloud üstünden PC yönetimi, mobil cihaz yönetimi
ve mobile applikasyon dağılımı ve sağlar.
Şirket çalışanlarının yer ve zaman bağımsız
olarak şirket datalarına, uygulamalarına ve kaynaklarına erişim sağlamasına
yardımcı olur. Bunu yaparken güvenlik sağlanır.
Microsoft Intune, local Active Directory ile entegre
olabilmesi, kullanıcı yönetimini çok daha basit hale getirmektedir.
Exchange ActiveSync özelliklerini Intune ile beraber
kullanabilir, Sharepoint datalarınızı Intune ile uyumlu hale getirebilirsiniz. Örneğin
iPhone kullanan bir kullanıcı, şirket içinden
gelen bir email içerisindeki dosyayı kopyalayarak başka bir email içerisine
yapıştırmasına izin vermeyebilirsiniz.
Bu özellikler cloud sayesinde sağlanmaktadır. Cloud tabanı
ile beraber daha flex bir yönetim alanı sunulmaktadır.
Intune, Microsoft tarafından sağlanan, bilgisayarları veya
mobile cihazları yönetmeyi sağlayan bulut tabanlı bir Mobile Device Management
(MDM) çözümüdür. Ayrıca kullanıcılarınıza, kullanıcıların ise uygulamalarınıza ve
kaynaklara istenildiği zaman istenildiği yerden erişim sağlar.
Mobil cihazların sayısal anlamda gittikçe arttığı bugünlerde
cihaz yönetimini basite indirgemek tüm BT departmanların en önemli isteği haline
gelmekte. Intune ile işin güzel yanı ise kullanıcılarınız nerede olursa
olsunlar, ister farklı şehir, ister farklı ülke, ister farklı bir coğrafya, onların
cihazların yönetebilir ve kullanıcılarınız da ilgili kaynaklara erişebilir.
Dünya çapında giderek yaygınlaşan Intune, bir çok özelliği
ile çok sevilmeye başlandı.
Bir diğer güzel özelliği ise yönetim için bilgisayarınıza
herhangi bir yazılım yüklemek zorunda değilsiniz. Web tabanlı olarak Azure
panelinden yönetebilirsiniz. Hatta daha ironik olarak linux bir makineden dahi
yönetimini yapabilirsiniz. İhtiyacınız olanlar internet bağlantısı ve web
tarayıcı.
Her yerden ve her zaman kavramları bizim için önemli bir
nokta. Çünkü bazen iyi senaryoları değil, kötü senaryoları da konuşmamız
gerekiyor. Örneğin cihazın çalındığı bir durumda, içerdiği datayı silmek veya
cihazın fonksiyonalitesini kısmak bizim elimizde oluyor.
En sorunlu işlerden bir tanesi olan update yönetimi, Intune
ile birlikte kolayca çözülebiliyor. Klasik yöntem olan WSUS ( Windows Server
Update Services ) özelliklerini barındıran bu özellik ile mobil olan tüm
cihazlarınızın güncelleme işlerini Intune üstünden sağlayabiliyorsunuz. iOS ve
Android cihazlarınızın da dahil olduğu bu sisteme ne yazık ki şu anda Windows
Server işletim sistemi katılamıyor.
Intune ayrıca size proaktif bir izleme sistemi ve uyarı
mekanizması sağlıyor. İstemcilerin ne
yaptığını, hakları varsa neler yüklediklerini, güncelleme durumlarını, uyguladığınız
kuralların işlediğini veya işlemediğini, yapılan bir hareketin kurallara uygun
olup olmadığını vb… işleri kontrol altında tutabilirsiniz. Bu sayede
troubleshooting esnasında size daha doğru bilgi geleceği için, çözüm hızınızda
bir o kadar artacaktır.
Bana göre en güzel özelliklerden bir tanesi ( endpoint
protection yazılımlarının bir çoğu yapıyor ) donanım ve yazılım envanteri
çıkartabilmesi. Microsoft Server işletim sistemlerinin dünya kadar özelliği var
ancak en kullanılabilir özelliklerden birisi malesef Microsoft tarafında yoktu.
SCCM ile birlikte gelen bu özellik, Intune tarafına da aktarılmış durumda. Hatta
ne çeşit cihaz kullandığı ve hangi firmware ile çalışmakta, bunu bile
görebiliyorsunuz. iOS ve Android cihazlarında dahil olmasıyla beraber, mobil
cihazların bu tür özelliklerini görmek için çok para harcayan büyük şirketlerin
Intune ile beraber eli çok güçlenmiş durumda.
Kullanıcıların Azure Active Directory’den gelmesiyle Online kullandığınız
lisanslarınızı da envantere sokabiliyorsunuz. Azure Active Directory’yi AD
Connect ile beraber local AD ile eşitleyerek kullanıcı takibini çok daha
efektir yapabilir, hangi kullanıcının Office 365 lisansı olduğunu veya bu
lisansın hangi tür lisans olduğunu görebilirsiniz.
Güvenlik günümüzün en önemli konusu malum. KVKK ile beraber
güvenlik tedbirlerinin en üst düzeyde olması, olası bir tehdidi bertaraf etmek için
bir zorunluluk. Güvenlik politikalarını farklı cihaz gruplarına
atayabilirsiniz. Ancak atlanmaması gereken bir detay var. Intune policyler
Group Policy’den farklıdır. Örnek olarak eğer elinizde iPhone var ise ekran
görüntüsü almamasını sağlayabilirsiniz. Şifre karmaşıklığı,şifre uzunluğu gibi
ayarları Intune üstünden uygulayabilirsiniz.
Virtual machine resource name: this is the Azure identifier for the virtual machine resource. It is the name you use to reference the virtual machine in any Azure automation. It cannot be changed. Computer hostname: the runtime computer name of the in-guest operating system. The computer name can be changed at will.
If you create a VM using the Azure portal, for simplicity we use the same name for both the virtual machine resource name, and the computer hostname. You could always log into the VM and change the hostname; however, the portal only showed the virtual machine resource name. With this change, the portal now exposes both the virtual machine name, and the computer hostname in the VM overview blade. We also added more detailed operation system version info. These properties are visible for running virtual machines that have a healthy running VMAgent installed.
Microsoft has accounced Premium plan for Azure Functions who need to enterprise serverless workloads. This is newest Functions hosting model. This plan enables a suite of long requested scaling and connectivity options without compromising on event-based scale. You can run on more powerful instances.
I think this is the most important for enterprise segmentation who needs to VNET integration for functions. Premium plan has supporting the VNET integration.
See below of comparison of how the Premium plan improves on existing dynamically scaling plan, the Consumption Plan.
Instance size can now be specified with the Premium plan. You can select up to four D-Series cores and 14 GB memory. These are substantially more powerful than A-series instances.
Connect Functions to VNET
Premium plan allows dynamic scaling functions to connect to a VNET and securely access resources in a private network. This feature was previously only available by running Functions in an App Service Plan or App Service Environment and is now available in a dynamically scaling model by using the Premium plan.
