Microsoft Intune – Kullanıcı ve Grup Yönetimi

Azure Intune – Kullanıcı Yönetimi

Bu bölümde Intune ile kullanacağımız kullanıcı hesaplarını inceleyeceğiz. Kullanıcı ekleme işlemlerini 2 yol ile yapabilirsiniz.

  • Azure portal veya powershell üstünden Azure AD ile
  • On-Premises Active Directory’nizi Azure AD’ye eşitleyerek

Peki bu ikisinin farkları nelerdir ?

Azure AD üstünde açtığınız bir kullanıcının hesabı cloud üstündedir. Sizin on-prem yapınızla bir ilgisi yoktur. Yani kullanıcının ayrı bir kullanıcı adı, şifresi, SID’si, farklı öznitelikleri olacaktır. Ayrıca bu kullanıcıyı Office 365 üstünde de kullanabilirsiniz. Eğer on-prem bir yapınız var ise haricen bir kullanıcı yönetimi daha yapmak zorunda kalırsınız.

Eğer local Active Directory yapınızı Azure AD Connect ile eşitlerseniz, on-premde kullandığınız kullanıcı ve grup yapısını birebir olarak Intune üstünde de kullanabilirsiniz. Haricen bir kullanıcı yönetimi yapmak zorunda kalmazsınız.

Azue Intune içerisindeki kullanıcı menüsünü ve örnek kullanıcıları aşağıda görebilirsiniz:

Grup Yönetimi

Kullanıcı bazında yönetim yapabiliriz. Ancak belirli zümrelere hitap edecek işlere ihtiyacımız var ise o zaman tabiki grupları kullanmak zorundayız. Bu noktada seçenek olarak Security veya Office 365 grupları devreye giriyor. Eğer AD Connect ile yapınızı eşitlediyseniz security gruplarınız otomatik olarak buraya gelecektir. Ancak siz oluşturmak isterseniz ( ki örneklerimiz olacak ) üyelip tipi ile dinamik gruplar oluşturabilirsiniz. Bu grup üyeliği tipinini avantajını office 365 lisanslama tarafında da yaşayabilirsiniz.

Örnek olarak 1 grup oluşturacağım.

Grup tipi : Security

Grup ismi : Ogrenciler

Üyelik Tipi : Dynamic User

Dynamic User Members kısmında ise Query oluşturmam gerekiyor. Bunun için ekranda çıkan arayüzü kullanabilirsiniz. Ancak kendinizde query yazabilirsiniz.

Query tarafında ise department özelliği ogrenci olan kişileri seçtim. Bu şu demek: Artık bir kullanıcının department bilgisi “ogrenci” olursa bu gruba dinamik olarak üye olacaktır.

Siz bu query tarafını daha da farklılaştırabilirsiniz. Örnek olarak aşağıdaki linki referans alabilirsiniz :

https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-dynamic-membership

Eğer bir grubu AD Connect ile sync etmişseniz o grubun üyelik tipi “Assigned”, yani sizin manuel olarak ekledikleriniz olarak gelecektir. Ancak bunu daha sonradan değiştirebilirsiniz. Yapmanız gereken işlem Gruplarda ilgili grubu bulup Properties bölümünden üyelik tipini değiştirmek olacaktır. Ancak şunu unutmayın: Grup tipini değiştirdikten sonra üyeleriniz eğer şartlara uymuyorsa gruptan çıkartılacaktır.

Aşağıdaki resimde görüldüğü üzere User1 isimli kullanıcının departmantı “ogrenci” olduğu için otomatik olarak gruba üye oldu.

Grup yönetimi ile ilgili detaylı konulara farklı bir makalede değineceğim.

Neden Microsoft Intune ?

Neden Microsoft Intune ?

Aşağıdaki üç madde, Microsoft Intune kullanmamız için bence yeterli nedenler.

  • SCCM kullananlar, onun yönetiminin ne kadar zor olduğunu, hem implementasyon hem de bakımının ne denli zor olduğunu bilirler. Microsoft Intune, Cloud tabanlı olması nedeniyle bakım, yedekleme ve güncelleme gerektirmeyen bir yapı olduğu için yönetmesi çok kolay. Ayrıca sahip olma yani kurulum süresi ise bir kaç dakika. Cloud tabanlı olan bu yönetim hem cloud hem de on-premise özelliklerine sahiptir.
  • Cloud üstünden PC yönetimi, mobil cihaz yönetimi ve  mobile applikasyon dağılımı ve sağlar.
  • Şirket çalışanlarının yer ve zaman bağımsız olarak şirket datalarına, uygulamalarına ve kaynaklarına erişim sağlamasına yardımcı olur. Bunu yaparken güvenlik sağlanır.

Microsoft Intune, local Active Directory ile entegre olabilmesi, kullanıcı yönetimini çok daha basit hale getirmektedir.

Exchange ActiveSync özelliklerini Intune ile beraber kullanabilir, Sharepoint datalarınızı Intune ile uyumlu hale getirebilirsiniz. Örneğin iPhone kullanan bir  kullanıcı, şirket içinden gelen bir email içerisindeki dosyayı kopyalayarak başka bir email içerisine yapıştırmasına izin vermeyebilirsiniz.

Bu özellikler cloud sayesinde sağlanmaktadır. Cloud tabanı ile beraber daha flex bir yönetim alanı sunulmaktadır.

Microsoft Azure Intune Nedir ?

Microsoft Azure Intune Nedir ?

Intune, Microsoft tarafından sağlanan, bilgisayarları veya mobile cihazları yönetmeyi sağlayan bulut tabanlı bir Mobile Device Management (MDM) çözümüdür. Ayrıca kullanıcılarınıza, kullanıcıların ise uygulamalarınıza ve kaynaklara istenildiği zaman istenildiği yerden erişim sağlar.

Mobil cihazların sayısal anlamda gittikçe arttığı bugünlerde cihaz yönetimini basite indirgemek tüm BT departmanların en önemli isteği haline gelmekte. Intune ile işin güzel yanı ise kullanıcılarınız nerede olursa olsunlar, ister farklı şehir, ister farklı ülke, ister farklı bir coğrafya, onların cihazların yönetebilir ve kullanıcılarınız da ilgili kaynaklara erişebilir.

Dünya çapında giderek yaygınlaşan Intune, bir çok özelliği ile çok sevilmeye başlandı.

Bir diğer güzel özelliği ise yönetim için bilgisayarınıza herhangi bir yazılım yüklemek zorunda değilsiniz. Web tabanlı olarak Azure panelinden yönetebilirsiniz. Hatta daha ironik olarak linux bir makineden dahi yönetimini yapabilirsiniz. İhtiyacınız olanlar internet bağlantısı ve web tarayıcı.

Her yerden ve her zaman kavramları bizim için önemli bir nokta. Çünkü bazen iyi senaryoları değil, kötü senaryoları da konuşmamız gerekiyor. Örneğin cihazın çalındığı bir durumda, içerdiği datayı silmek veya cihazın fonksiyonalitesini kısmak bizim elimizde oluyor.

En sorunlu işlerden bir tanesi olan update yönetimi, Intune ile birlikte kolayca çözülebiliyor. Klasik yöntem olan WSUS ( Windows Server Update Services ) özelliklerini barındıran bu özellik ile mobil olan tüm cihazlarınızın güncelleme işlerini Intune üstünden sağlayabiliyorsunuz. iOS ve Android cihazlarınızın da dahil olduğu bu sisteme ne yazık ki şu anda Windows Server işletim sistemi katılamıyor.

Intune ayrıca size proaktif bir izleme sistemi ve uyarı mekanizması sağlıyor.  İstemcilerin ne yaptığını, hakları varsa neler yüklediklerini, güncelleme durumlarını, uyguladığınız kuralların işlediğini veya işlemediğini, yapılan bir hareketin kurallara uygun olup olmadığını vb… işleri kontrol altında tutabilirsiniz. Bu sayede troubleshooting esnasında size daha doğru bilgi geleceği için, çözüm hızınızda bir o kadar artacaktır.

Bana göre en güzel özelliklerden bir tanesi ( endpoint protection yazılımlarının bir çoğu yapıyor ) donanım ve yazılım envanteri çıkartabilmesi. Microsoft Server işletim sistemlerinin dünya kadar özelliği var ancak en kullanılabilir özelliklerden birisi malesef Microsoft tarafında yoktu. SCCM ile birlikte gelen bu özellik, Intune tarafına da aktarılmış durumda. Hatta ne çeşit cihaz kullandığı ve hangi firmware ile çalışmakta, bunu bile görebiliyorsunuz. iOS ve Android cihazlarında dahil olmasıyla beraber, mobil cihazların bu tür özelliklerini görmek için çok para harcayan büyük şirketlerin Intune ile beraber eli çok güçlenmiş durumda.

Kullanıcıların Azure Active Directory’den gelmesiyle Online kullandığınız lisanslarınızı da envantere sokabiliyorsunuz. Azure Active Directory’yi AD Connect ile beraber local AD ile eşitleyerek kullanıcı takibini çok daha efektir yapabilir, hangi kullanıcının Office 365 lisansı olduğunu veya bu lisansın hangi tür lisans olduğunu görebilirsiniz.

Güvenlik günümüzün en önemli konusu malum. KVKK ile beraber güvenlik tedbirlerinin en üst düzeyde olması, olası bir tehdidi bertaraf etmek için bir zorunluluk. Güvenlik politikalarını farklı cihaz gruplarına atayabilirsiniz. Ancak atlanmaması gereken bir detay var. Intune policyler Group Policy’den farklıdır. Örnek olarak eğer elinizde iPhone var ise ekran görüntüsü almamasını sağlayabilirsiniz. Şifre karmaşıklığı,şifre uzunluğu gibi ayarları Intune üstünden uygulayabilirsiniz.  

Microsoft Failover Cluster

Cluster, hizmet ve uygulamaların kullanılabilirliğini artırmak için birlikte çalışan bağımsız bilgisayarların oluşturduğu bir gruptur. Kümelenmiş sunucular (Cluster Servers adı verilir) fiziksel kablolarla ve yazılımlarla bağlanır. Sunuculardan biri başarısız olursa, başka bir sunucu Failover adı verilen bir işlem sayesinde hizmet sunmaya başlar.

Failover Cluster yapılandırmalarını doğrulamak, kümeleri oluşturup yönetmek ve Windows Server® 2003 çalıştıran bir kümeden belirli ayarları Windows Server® 2008 işletim sistemini çalıştıran bir kümeye geçirmek için, bir Microsoft Management Console (MMC) ek bileşeni olanFailover Cluster’ını kullanabilirsiniz.

Windows Server 2008 işletim sisteminde, Clusterlarda (daha önceleri sunucu kümeleri denilmekteydi) yapılan geliştirmelerde, kümeleri basitleştirmek, daha güvenli hale getirmek ve küme tutarlılığını artırmak amaçlanmıştır. Küme kurulumu ve yönetimi daha kolaydır. Yük devretme kümesinin depolama alanıyla iletişim kurma olanağı bulunduğundan, kümelerde güvenlik ve ağ özellikleri geliştirilmiştir.

Failover Cluster özelliği Windows Server 2008 Enterprise ve Windows Server 2008 Datacenter işletim sistemlerinde bulunur. Windows Server 2008 Standard veya Windows Web Server 2008 işletim sistemlerinde bulunmaz.

 

Bir failover clusterın donanım, yazılım ve ağ altyapısıyla ilgili belirli gereksinimleri karşılaması gerekir ve uygun etki alanı izinlerine sahip bir yönetici hesabı kullanmayı gerektirir. Aşağıdaki bölümlerde bu gerekliliklerle ilgili bilgilere bakacağız. .

Failover Cluster için donanım gereksinimi:

Sunucular: Aynı veya benzer bileşenleri içeren birtakım eşleşen bilgisayarlar kullanmanız önerilir.

Not  : Microsoft, bir yerine cluster çözümünü yalnızca donanım bileşenleri “Certified for Windows Server 2008” olarak işaretlenmişse destekler. Ayrıca, tüm yapılandırmanın (sunucular, ağ ve depolama birimleri) Yerine Failover Cluster ek bileşeninin içerdiği Yapılandırmayı Sına sihirbazındaki sınamaları geçmesi gerekir.

Ağ bağdaştırıcıları ve kablo (ağ iletişimi için) :  Failover Cluster çözümündeki diğer bileşenler gibi ağ donanımının da ” Certified for Windows Server 2008″ işaretini taşıması gerekir. iSCSI kullanıyorsanız, ağ bağdaştırıcılarınızın ağ iletişimine ya da iSCSI’ye ayrılmış olması (her ikisine birden ayrılmamış olması) gerekir.

Cluster serverlarınızı bağlayan ağ altyapısında, tek hata noktaları bulunmasını önleyin. Bunu gerçekleştirmenin birkaç yolu vardır. Cluster serverlarınızı çok sayıda, farklı ağla bağlayabilirsiniz. Alternatif olarak, cluster serverlarınızı; grup halinde ağ bağdaştırıcıları, yedek anahtarlar, yedek yönlendiriciler veya tek hata noktasını ortadan kaldıran benzer donanımlar içeren bir ağla bağlayabilirsiniz.

Not : Cluster serverlarınızı tek bir ağla bağlarsanız, Yapılandırma Doğrulama Sihirbazı’nda fazlalık gereksinimini aktarır. Bununla birlikte, sihirbaz tarafından verilen rapor ağda tek hata noktaları bulunmaması gerektiğini bildiren bir uyarı içerir.

Failover Cluster için gereken ağ yapılandırması hakkında daha ayrıntılı bilgiyi daha sonra açıklamaya çalışacağım.

Depolama birimi için aygıt denetleyicileri veya uygun bağdaştırıcılar:

Seri Bağlantılı SCSI veya Fiber Kanal için: Seri Bağlantılı SCSI veya Fiber Kanal kullanıyorsanız, tüm cluster sunucularda, cluster depolama birimine ayrılan yığın depolama aygıtı denetleyicilerinin aynı olması gerekir. Ayrıca aynı ürün yazılımı sürümünü kullanmaları da gerekir.

Not  :  Windows Server 2008 ile, depolama aygıtını kümelenmiş sunuculara bağlamak için paralel SCSI kullanamazsınız.

iSCSI için: iSCSI kullanıyorsanız, cluster yapılmış her sunucunun cluster depolama aygıtına ayrılmış bir veya daha fazla ağ bağdaştırıcısı veya ana bilgisayar veri yolu bağdaştırıcısı olması gerekir. iSCSI için kullandığınız ağ, ağ iletişimi için kullanılamaz. Tüm kümelenmiş sunucularda, iSCSI depolama aygıtı hedefine bağlanmak için kullandığınız ağ bağdaştırıcılarının aynı olması gerekir ve Gigabit Ethernet veya üzerinin kullanılması önerilir.

iSCSI tarafından desteklenmediğinden, iSCSI için grup halinde ağ bağdaştırıcıları kullanamazsınız.

Depolama Alanı: Windows Server 2008 ile uyumlu bir depolama alanı kullanmanız gerekir.

Çoğu durumda, depolama alanının donanım düzeyinde yapılandırılmış birden fazla, ayrı disk (LUN – Logical Unit Number) içermesi gerekir. Bazı kümeler için, bir disk tanık disk görevi görür. Diğer diskler cluster yapılmış hizmet veya uygulamalar için gerekli dosyaları içerir. Depolama alanı gereksinimleri aşağıdaki gibidir:

Failover clusterda bulunan yerel disk desteğini kullanmak için dinamik disk değil, basic diskler kullanın.

Disk bölümlerini NTFS ile biçimlendirmeniz önerilir (tanık disk için bölümün NTFS olması gerekir).

Disk bölümleme stili için, ana önyükleme kaydı (MBR) veya GUID bölümleme tablosunu (GPT) kullanabilirsiniz.

Tanık disk, cluster depolama biriminde bulunan ve cluster yapılandırması veritabanının bir kopyasını tutmak için ayrılmış olan bir disktir. Bir Failover Cluster  yalnızca, çekirdek yapılandırmasının parçası olarak belirtilmişse tanık disk vardır.

Failover Cluster bulunan depolama alanı ağları dağıtma

Failover Cluster depolama alanı ağı (SAN) dağıtırken aşağıdaki yönergeleri izleyin:

Depolama alanının uyumluluğunu doğrulama: Depolama alanıyla birlikte kullanılan sürücüler, ürün yazılımı ve yazılım dahil olmak üzere, depolama alanının Windows Server 2008 işletim sistemindeki yük devretme kümeleriyle uyumlu olduğunu üretici ve satıcılarla birlikte doğrulayın.

Not :  Windows Server 2003’teki Failover Clusterlarla uyumlu olan depolama alanları Windows Server 2008 işletim sistemindeki Failover Clusterları ile uyumlu olmayabilir. Depolama alanınızın Windows Server 2008 işletim sistemindeki failover clusterları ile uyumluluğunu mutlaka araştırın.

Failover Clusterlarının yeni depolama alanları için aşağıdaki gereksinimleri vardır:

Failover Clusterlarda yapılan geliştirmeler, depolama alanının belirli SCSI komutlarına doğru şekilde yanıt vermesini gerektirir. Depolama alanınızın uyumlu olduğunu doğrulamak için Yapılandırma Doğrulama Sihirbazı’nı çalıştırın.

Depolama alanı için kullanılan miniport sürücüsünün Microsoft Storport depolama sürücüsüyle çalışması gerekir.

Aygıt başına bir cluster olmak üzere depolama aygıtlarını yalıtın.  Farklı clusterlardaki sunucular aynı depolama aygıtlarına erişememelidir. Çoğu durumda, bir cluster sunucuları takımı için kullanılan bir LUN’nin LUN maskeleme veya bölgelere ayırma yöntemiyle diğer tüm sunuculardan yalıtılması gerekir.

Çok yollu I/O yazılımı kullanmayı düşünün. Yüksek kullanılabilirliğe sahip bir depolama biriminde, çok yollu I/O yazılımı kullanarak, birden fazla ana bilgisayar veri yolu bağdaştırıcısı bulunan failover cluster dağıtabilirsiniz. Bu, en üst düzeyde artıklık ve kullanılabilirlik sağlar. Windows Server 2008 için, çok yollu çözümünüzün Microsoft Çok Yollu I/O (MPIO) standardına dayalı olması gerekir. Windows Server 2008 işletim sisteminin parçası olarak bir veya daha fazla DSM içerse de, donanım satıcınız donanımınız için genellikle bir MPIO aygıta özgü modül (DSM) sağlar.

Not :  Ana bilgisayar veri yolu bağdaştırıcıları ve çok yollu I/O yazılımı için sürümler çok önemli olabilir. Clusterınız için çok yollu bir çözüm uyguluyorsanız, Windows Server 2008 için doğru bağdaştırıcıları, ürün yazılımlarını ve yazılımları seçmeniz gerekir.

Failover Cluster için yazılım gereksinimleri

Bir Failover Clusterındaki tüm sunucuların Windows Server 2008 işletim sisteminin aynı sürümünü çalıştırması gerekir. Sunucular işletim sisteminin aşağıdaki sürümlerinden herhangi birini çalıştırabilir:

  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise Core
  • Windows Server 2008 Datacenter Core

Ayrıca, tüm sunucuların işletim sisteminin aynı donanım sürümünü (32 bit, x64 tabanlı veya Itanium mimarisi tabanlı) çalıştırması da gerekir. Örneğin, bir sunucu Windows Server 2008 Enterprise işletim sisteminin x64 tabanlı sürümünü çalıştırıyorsa, failover clusterdaki tüm sunucuların bu sürümü çalıştırması gerekir.

Tüm sunucuların aynı yazılım güncelleştirmelerine (Hotfix , Service Pack , Critical Updates) ve hizmet paketlerine de sahip olması gerekir.

Failover Cluster için ağ altyapısı ve etki alanı hesabı gereksinimleri

Bir failover cluster için aşağıdaki ağ altyapısına ve aşağıdaki izinlere sahip bir yönetici hesabına gereksinim duyarsınız:

Ağ ayarları ve IP adresleri: Bir ağ için özdeş ağ bağdaştırıcıları kullandığınızda, bu bağdaştırıcılarda aynı iletişim ayarlarını da (örneğin, Hız, Full Duplex, Flow Control ve Media Type) kullanın. Ayrıca, ağ bağdaştırıcısı ile bağlandığı anahtar arasındaki ayarları da karşılaştırın ve çakışan ayar olmamasına dikkat edin.

Ağ altyapınızın kalan kısmına yönlendirilmeyen özel ağlarınız varsa, bu özel ağların her birinin benzersiz bir subnet kullandığından emin olun. Her ağ bağdaştırıcısına benzersiz bir IP adresi verseniz de bu gereklidir. Örneğin, merkez ofiste bir fiziksel ağı kullanan iki cluster server ve şube ofisinde ayrı bir fiziksel ağı kullanan başka iki serverınız daha varsa, her bağdaştırıcıya benzersiz bir IP adresi verseniz bile her iki ağ için 10.0.0.0/24 belirtmeyin.

DNS: Clusterdaki sunucular isim çözümlemesi için Domain Name System (DNS) kullanmalıdır. DNS dinamik güncelleştirme protokolü kullanılabilir.

Domain rolü: Clusterdaki tüm sunucular aynı Active Directory domaininde olmalıdır. En iyi yöntem olarak, tüm clusterlanmış sunucuların aynı domain rolüne (üye sunucu ya da domain controller) sahip olması gerekir. Önerilen rol üye sunucu rolüdür.

Domain Controllerlar : Clusterlanmış sunucularınızın member server olması önerilir. Böyle olursa, diğer sunucular domaindeki failover clusterınızı içeren domain controllerları olur.

Clientler : Clientler için, bağlantı ve uyumlulukla ilgili kesin gereksinimlerden başka özel gereksinim yoktur. Clientler cluster yapılmış sunuculara bağlanabilmeleri gerekir ve kümelenmiş sunucular tarafından sağlanan hizmetlerle uyumlu yazılımları çalıştırmaları gerekir.

Clusterı yönetmek için kullanılan hesap: Bir clusterı ilk kez oluştururken veya sunucu ekleyeceğiniz zaman, domainde, söz konusu clusterdaki tüm sunucularda yönetim haklarına ve izinlerine sahip olan bir hesapla oturum açmanız gerekir. Hesabın bir Domain Admins hesabı olması gerekmez; clusterlanmış her sunucudaki Administrators grubunda bulunan bir Domain Users hesabı olabilir. Ayrıca, hesap bir Domain Admins hesabı değilse, hesaba (veya hesabın üye olduğu gruba) domain içerisinde Bilgisayar Nesneleri Oluşturma izni verilmiş olması da gerekir.

Not :  Cluster hizmetinin Windows Server 2008 işletim sisteminde çalışmasında, Windows Server 2003’e göre bir değişiklik vardır. Windows Server 2008 işletim sisteminde Cluster hizmeti hesabı yoktur. Bunun yerine, Cluster hizmeti, kendisi için gerekli olan belirli izin ve ayrıcalıkları sağlayan (yerel sistem bağlamına benzeyen, ancak daha az ayrıcalıkları olan) özel bir bağlamda otomatik olarak çalışır.

Cluster nedir, donanım gereksinimleri nedir, yazılımda nelere ihtiyaç duyar… Bu gibi sorulara cevaplar vermeye çalıştık. Bir dahaki makalede görüşmek üzere…

Kaynak: Technet