Enterprise Mobility Suite - TechNet Gallery
Transkript
Enterprise Mobility Suite - TechNet Gallery
Enterprise Mobility Suite Hasan DIMDIK 8/30/16 Enterprise Mobility MVP Hakkımda Uzun yıllardır sektör içerisindeyim. Bilginin paylaşıldıkça çoğaldığını düşünenlerdenim. Bu doğrultuda gönüllü olarak seminerler veriyorum, makale yazıyorum ve bilgim yettiğince gruplardaki sorulara cevap vermeye çalışıyorum. Yaptığım işin sonunda faydalı olduğumu hissetmek en büyük mutluluk kaynağım. İş hayatıma Türkiye’ nin en büyük AR-GE firması olan NETAŞ’ da Sistem Admini olarak devam ediyorum. MCSE, MS, CCNSP ve Backup Academy sertifikalarına sahibim. Ayrıca Microsoft tarafından verilen Enterprise Mobility MVP ünvanım bulunmaktadır İçindekiler Hakkımda ...................................................................................................................................................................................................1 Enterprise Mobility Suite Genel Bakış ............................................................................................................................................... 3 Microsoft Intune Nedir ?....................................................................................................................................................................... 7 Microsoft Intune ile Bilgisayar Yönetimi..................................................................................................................................... 11 Microsoft Intune ile İstemcilere Yazılım Dağıtımı ................................................................................................................... 18 Bilgisayarları Uzaktan Yönetme ...................................................................................................................................................30 Bilgisayarlar İçin VPN Profile Oluşturma ...................................................................................................................................35 Microsoft Intune ile Mobil Cihaz Yönetimi (MDM) .....................................................................................................................40 Android Telefon için Şirket Portalı Yapılandırma ve Uygulama Dağıtımı........................................................................53 Microsoft Intune ile Samsung Knox İlke Kuralları Yapılandırma.........................................................................................64 Active Directory Kullanıcılarını Microsoft Intune’ a Senkron Etme Adımları ........................................................................69 Office365 Panele Custome Domain Ekleme ...................................................................................................................... 70 AD Connect Kurulumu.............................................................................................................................................................. 73 Active Directory Federation Servisi Kurulumu ve Yapılandırması................................................................................. 77 Microsoft Intune Portal’ a Kullanıcı Enroll Etme......................................................................................................................90 Apple Cihazları Microsoft Intune’ a Enroll Etme Adımları ...................................................................................................98 Mobil Cihaz Yönetimi için Kural Oluşturma ........................................................................................................................... 104 Koşullu Erişim İlkeleri ............................................................................................................................................................... 105 Uyumluluk Kuralları ...................................................................................................................................................................110 Microsoft Azure Active Directory Premium .................................................................................................................................112 Azure Active Directory Premium Nedir ? ................................................................................................................................ 112 Company Branding....................................................................................................................................................................... 124 Password Synchronization Write-Back ve Self-Service Password Reset ....................................................................... 128 Azure Rights Management Services ............................................................................................................................................. 138 Kurulum ve Konfigürasyonu ....................................................................................................................................................... 138 Azure Rights Management Services Exchange Online Entegrasyonu........................................................................... 145 Azure Rights Management Services Exchange Online Entegrasyonu........................................................................... 147 Sharepoint Online Azure Rights Management Services Konfigürasyonu .....................................................................151 Azure Rights Management Services ile Kendi Şablonunuzu Oluşturun ....................................................................... 156 SON SÖZ .............................................................................................................................................................................................. 166 Enterprise Mobility Suite Genel Bakış Microsoft’un önem verdiği bir suite olan Enterprise Mobility Suite‘i inceleyeceğiz. Ürünü incelerken aslında bunun bir ürün olmadığını bilmenizi istiyorum. EMS aslında bir ürün ailesine verilen isimdir. Peki, bu ürün ailesi neleri kapsamaktadır? 1. Microsoft Intune 2. Azure Active Directory (Premium) 3. Azure Rights Management Services İlerleyen bölümlerimizde yukarıdaki maddeleri tek tek inceleyeceğiz. İlk bölümümüzü daha çok kavramsal olarak EMS’ yi anlamak için ayıracağım ve maddelere küçük fırça darbeleri ile dokunacağım. Geçmişten günümüze süre gelen problemlere baktığımızda aşağıdaki problemlerle sürekli karşılaştığınızı göreceksiniz ve görüyorsunuzdur da. Şifremi unuttum. Hemen atılan bir mail IT departmanı şifreyi değiştir. Zaten Bilgi İşlemin amacı şifre değiştirmek. Çalışanların cep telefonlarında ne yaptığını bilmiyorum ve yönetemiyorum. Altyapı maliyeti çokmuş Verilerim, dosyalarım güvende mi? Yukarıda saydığımız olaylar çoğaltılabilir. Dikkat ettiyseniz genel sorunlar kaygılar ve dertler ya güvenlik üzerine oluyor veya IT Departmanını isyan ettirecek basit gündelik aksiyonlar. Bunların hepsi aslında zamandan çalınıyor. Teknolojinin de hızla değişmesi telefonların iyice oyuna dâhil olmasıyla artık mobil telefonların da yönetimini kaçınılmaz hale getirdi. Hem kurum içi hem kurum dışında cep telefonundan masaüstü bilgisayarın yönetimine ve güvenlik aksiyonuna kadar her şeyi yönetmek istiyorum ve belirli kurallar yazıp kullanıcılarım evinde dâhi olsa yönetmek istiyorum diyorsanız yukarıda belirtmiş olduğum altın üçlünün hepsini kapsayan Enterprise Mobility Suite ürünü tam size göre. Diğer güzel bir avantajı ise altyapı maliyetinin bulunmamasıdır. Şirketlerin bilgi işleme bakış açısı değiştikçe ve bulut bilişim kavramı hayatımıza her geçen gün daha da girdikçe Sistem alt yapılarının buluta geçişi hızlandı. Bu geçiş kimi firmalarda tamamen buluta geçiş şeklinde olurken kimi firmalarda ise hibrit şekilde olmuştur. Bildiğiniz gibi kullanıcılar şifrelerini unuttuklarında klasik yapılarda yazımınızın başında belirtmiş olduğumuz gibi bilgi işlem departmanına mail atarlar ve çözülmesini beklenir. Azure Active Directory Premium ile kullanıcılar kendi şifrelerini resetleyebilirler ve değiştirebilirler. Şirket içi Active Directory ile entegre edilebilir. Firmanızda herhangi bir Active Directory yapısının olmadığını varsayın. Fakat cep telefonları, tabletler, masaüstü bilgisayarların yönetilmesini gerektiği de kaçınılmaz bir gerçek. Bu durumda imdadımıza Microsoft Intune yetişmektedir. Yaptığı işi kısaca özetleyecek olursak firmanızın buluttaki Active Directory’ si diyebiliriz. Bunun yanı sıra tüm yazılım/donanım envanterini toplayacağınız bir bulut hizmeti, uygulama dağıtımı yapabileceğiniz, Windows güvenlik duvarı ayarlarını yönetebileceğiniz bir bulut hizmetidir. Özetle SCCM + Active Directory + WSUS = Microsoft Intune diyebiliriz. Ürünümüzün kusursuz olmasını sağlayan son parçası ise Azure Right Managemet Services hizmetidir. Firmaları incelediğimizde hack ataklarına karşı tüm önemleri almaya çalıştıklarını göreceksiniz. Güvenlik duvarları, antivirüs, antispam ürünleri vb güvenlik ürünlerini aldıklarını göreceksiniz. Tehdit içerideyse ve bu tehdit virüs, hack saldırısı değil de şirketin çok kritik verilerinin farklı bir yere gönderilmesi veya kötü niyetli olarak kullanılması ise burada nasıl aksiyon alacağız? Bu şekilde bir yapılandırmaya ihtiyacınız var ise Azure Right Management Services size göre. Azure RMS ile dosya düzeyinde yalnızca okuyabilir veya yazabilir, print alabilir veya alamaz, dosyayı kopyalayabilir veya kopyalayamaz gibi hak atamaları yapmak mümkün hale geliyor. Bu sayede tüm Office dosyalarınız, resimleriniz vb üzerinde tam denetim hakkınız olmuş oluyor. Ayrıca tarih bazlı da kurallar atayabiliyorsunuz. Bu bölümümüzde Enterprise Mobility Suite Ailesinin tüm parçalarını kısaca açıkladık. İlerleyen bölümlerimizde her maddeyi tek tek inceliyor olacağız ve ürünlerin detaylı bir incelemesini yapıyor olacağız. Bu bölümde EMS nedir? Sorusunun cevabını vermeye çalıştım. Bölüm 1 Microsoft Intune Nedir ? İlk bölümümüzde Enterprise Mobility Suite ailesini oluşturan parçacıklardan kısaca bahsetmiştik. Bu bölümümüzde ise Microsoft Intune Nedir? Bu soruyu cevaplamaya çalışacağım ve portala genel bakış yapacağız. Microsoft Intune = SCCM + Active Directory + WSUS ifadesini kullanarak özetlemiştik. Bu bölümümüzde bu kırılımlardan bahsediyor olacağız. Şirket yapınızın çok büyük ve dağıtık olduğunu düşünün ve saha da çalışan takımlarınız, pazarlama ekipleriniz, satış danışmanları ve her yapının vaz geçilmezi teknik ekiplerinizin olduğunu düşünün. Bu şekilde bir yapı var ise merkezi olarak her şeyi kontrol altına almak çok zor olacaktır. Çalışanlarınızın neler yaptığını bilemeyeceksiniz veya bunlar için çok büyük projeler yapmanız gerekecek ve ciddi maliyetlere katlanacaksınız. Bunları yapmanız yetmeyecek bu kadar büyük yapıyı yönetecek uzman ekipler bulundurmanız gerekecekve tüm bu yapıyı 7/24 ayakta tutmanız gerekecek. Sırf Active Directory erişmesi gereken kullanıcılar olduğu için VPN konfigürasyonları ve bunların dışarıdan gelebilecek ataklara karşı savunmanız da gerekecek. Microsoft bu durumun farkına varıp tüm bu karmaşayı kaldıracak merkezi yerden kontrol sağlayacak, tek bir merkezden kısıtlama kuralları yazabileceğiniz veya hak tanımlayabileceğiniz, şirket içinde olsun veya dışarıda olsun bu kuralların her yerde çalışmasını sağlayabileceği, bunun yanında merkezi olarak güncellemeleri dağıtabileceğiniz, bir hizmet olarak Microsoft Intune ürününü çıkardı. Bu ürünle bilgisayarlarınızı kontrol altına alabileceğiniz gibi Cep telefonları ve tabletleri de kontrol edebiliyorsunuz. Kısa açıklamadan sonra panelimize oturum açıyoruz. Aşağıdaki gibi son derece sade olan arayüz bizi karşılıyor. Tüm yönetimi Web portalı üzerinden yapıyoruz, bu durumda bize şirketimizi her yerden ekstra bir ayar yapmadan yönetmemize imkân sağlar. Kısaca sekmelerde neler var onlara bir göz atalım. GRUPLAR Kullanıcılarınızın kullandığı cihazlara göre belirli gruplar altında toplayabiliyoruz. Gruplandırmalar ne işimize yarar derseniz, dağıtık yapınız ve farklı cihazlarınız var ise yapınızı daha rahat yönetebilmenizi sağlar. Ayrıca IOS için yazdığınız kural Android telefon için geçerli olmayabilir veya bilgisayar için yazılan kurallar için boş yere telefonlara Grup ilkeleri ataması yapılmasının anlamı yoktur. Gruplar sayesinde daha düzenli ve kontrol edilebilir bir yapı sağlayabilirsiniz. Active Directory bilen veya kullananlarınız var ise örneği şu şekilde verebiliriz. Nasıl ki Active Directory de grup ilkelerini OU lara atayabiliyoruz. Burada ise karşılığı gruptur. UYARILAR Yönetim sekmesinde yapmış olduğunuz kuralları burada izleyebilirsiniz. Örneğin yazdığınız kurallarda çakışma olup olmadığı, istemci makinalardaki hizmet sorunları, dağıttığınız uygulamaların hatalı olduğu vb… durumları izleme imkânına sahipsiniz. Bu bölümde önemli olan noktalardan biri ise eğer istemcilerinizde destek talebi gelmiş ise buradan takip edebiliyoruz ve Microsoft Easy Assist yardımı ile destek verebiliyoruz. Bu özelliğin kullanılabilmesi için istemcilerde ve desteği verecek kişide Live Meeting programının yüklenmiş olması gerekmektedir. UYGULAMALAR Şirketinizde kullanmak istediğiniz uygulamaları buradan ekleyebilir, cihazlarınıza dağıtabilirsiniz ve görüntüleyebilirsiniz. Şirketinize almış olduğunuz yazılımların lisanslarını burada tanımlayabilirsiniz. İLKE Bu sekmede ise Mobil cihazlarınız (IOS, Android, Windows Phone) ve/veya bilgisayarlarınıza kurallar tanımlayabilirsiniz. Yazılım güncellemeleri için kurallar yazabilirsiniz veya Exchange Online için izin veya yasaklama kuralları tanımlayabilirsiniz. Cihazlar için uyumluluk kuralları da bu bölümde tanımlayabiliyoruz. RAPORLAR Tüm yapılandırmalarınız ile ilgili raporlamaları bu bölümde yapılandırabilirsiniz. Biraz bilgi vermek gerekirse, başarısız olan güncelleme raporlarını bu sekmeden toplayabiliyoruz. Benim en çok hoşuma giden ise mobil cihaz veya bilgisayarların envanterini alabilmemizdir. Satın almış olduğunuz lisansların raporlamasını yapabilirsiniz. Ayrıca cihazlarınıza uyumsuz olan uygulamaları da raporlayabilirsiniz. YÖNETİM Yönetimsel tüm işlemlerimizi buradan yapılandırabiliyoruz. Eğer büyük bir yapınız var ise bu yapıyı bir kişinin yönetmesi mümkün olmayabilir. Bu gibi durumlarda Cihaz kaydı yöneticisi, hizmet yöneticisi ve kiracı yöneticisi gibi hesap türleri arasından ilgili kişileri yetkilendirebilirsiniz. Diğer bölümümüzde detaylarına gireceğiz Bu bölümümüzde Microsoft Intune arayüzünü tanımış olduk ve ana sekmelerin işlevlerinden kısaca söz ettik. Microsoft Intune ile Bilgisayar Yönetimi Enterprise Mobility Suite giriş bölümümüzde Microsoft Intune ürünü hakkında genel bilgi vermiştik. Bu bölümümüzde ise Workgroup üzerindeki bilgisayarlarımızı nasıl yönetebileceğimizi anlatmaya çalışacağız. Bildiğiniz gibi Workgroup olan cihazlarımızı merkezi olarak yönetemiyoruz. Büyük yapılara sahip topolojilerde bu durum büyük sorun teşkil etmektedir. İşletmeniz içerisinde herkes kendini özerk olarak yönetiyor diyebiliriz. Yönetimi olmayan sistemlerde oluşabilecek sorunları gözlerinizi kapatarak lütfen kısa bir süre hayal edin. Donanım masrafı, elektrik masrafı, kablolama vs. olmadan bu kavramı düşündüğümüzde Microsoft Intune bize bulut ortamında merkezi yönetim, merkezi virüs programı yönetimi, update yönetimi, donanım & yazılım envanter raporu, istemci sağlık raporu, lisans yönetimi ve uygulama yönetimi yapabileceğimiz bir platform sağlıyor. Bu noktada Microsoft Intune sizin kurtarıcınız olacaktır. Microsoft Intune paneline https://manage.microsoft.com ile oturum açalım. Workgroup makinalarına ajanımızı kurarak bilgisayarların yönetilebilir hale gelmesini sağlamalıyız. Bunun için Yönetim > İstemci yazılımı yükleme sekmesini açıyoruz ve istemci yazılımını yükle ile ilgili tool u indiriyoruz. İstemci makinamızda indirdiğimiz tool içerisinde setup dosyası ve sertifika göreceksiniz. Setup dosyasını yükleyerek işlemimizi başlatıyoruz. Setup.exe dosyasını tıkladıktan sonra sadece next next finish şeklinde kurulumu tamamlıyoruz. Yükleme işleminden sonra aşağıdaki gibi ikonları göreceksiniz. Bu adımdan sonra artık ilgili istemci yönetilebilir hale gelmiş oluyor. Active Directory yapısında bölümlerimizi düzenli olması ve yönetimi kolay olması için genelde OU’lara ayırdığımızı söylemiştim. Microsoft Intune içerisinde bunu Gruplar altından yapıyoruz. Gruplar > Grup Oluştur ile grup oluşturabiliyoruz. Veya Tüm Bilgisayarlar > Cihazlar sekmesini açtıktan sonra ilgili istemcinin üstündeyken seçimden grup oluştur diyebiliriz. Bu adımda Grubumuza isim veriyoruz. Üst grup şu şekilde düşünebilirsiniz, Windows diye bir üst grubunuz olabilir ve altına Windows 7, Windows 8 veya Windows 10 gibi gruplar açabilirsiniz. Gruba eklenecek hd isimli istemcim olduğunu görüyorsunuz. İleri diyerek işlemimize devam ediyoruz. Hd isimli istemci makinamı artık Windows 8 grubu altında görüyoruz. Hd üzerindeyken sağ tıkladığımızda yapabileceğimiz aksiyonları görüyoruz. Özellikleri görüntüle seçeneği ile devam ediyorum. İstemci bilgisayarım içerisinde Güncelleştirme, kötü amaçlı yazılım, uyarılar, donanım, yazılım ve ilkeleri görüntüleyebileceğimiz son derece detaylı bir portal mevcut. Örnek olması için Donanım‘ ı seçiyorum. Raporu incelediğimizde gerekli tüm bilgileri detaylı bir şekilde gösterdiğini görüyoruz. Güncelleştirmelerde istediğiniz update in alınmasını veya yüklenmemesini sağlayabilirsiniz. Aynı şekilde yüklü olan yazılımlar ve bilgisayarımıza uygulanan ilkeleri de görebiliyoruz. Bu bölümümüzde Workgroup makinalarına nasıl ajan yükleyebileceğimizi, grup kavramı, istemciler üzerindeki bazı temel kavramları gördük. Microsoft Intune ile İstemcilere Yazılım Dağıtımı Domain ortamında olmayan istemcilerimizi nasıl yöneteceğimizi görmüştük. Bu bölümde ise nasıl istemcilerimize uzaktan yazılım kurabileceğimizi ve yazılım raporlarını nasıl görüntüleyebileceğimizi göreceğiz. İlk olarak Microsoft Intune panelimizde oturum açtıktan sonra Uygulamalar sekmesine geliyoruz.Uygulama Ekle ile işlemimize başlıyoruz. Yetkili kullanıcı bilgilerimizi giriyoruz. Kısa bir beklemeden sonra Microsoft Intune Yazılım yayımcısı açılacaktır. Bu adımda Yazılım yükleyicisi veya Dış bağlantı seçeneği mevcut. Yazılım Yükleyicisi: Eğer yazılım yükleyicisi tercih edilirse ilk olarak dağıtmak istediğiniz program Intune platformuna yüklenir. Dosya türü olarak ise *.exe, *.msi, *.appx, *.appxbundle seçebiliyoruz. Dış Bağlantı: Yazılımlarınızı toplu olarak tuttuğunuz bir bağlantı adresiniz var ise bunu tercih edebilirsiniz. www.hasandimdik.com/programlar/winwar.exe gibi. Örneğimizde ben yazılım yayım yükleyicisi seçiyorum ve dosya türü olarak ise Windows yükleyicisi (*.exe,*.msi) seçiyorum. İstemcilerime dağıtmak istediğim .exe uzantılı setup dosyamı gösterip ileri diyerek devam ediyorum. Yükleyeceğimiz yazılım hakkındaki bilgiyi burada görebiliyoruz, istersek açıklama ekleyebiliyoruz, logo ekleyebiliyoruz veya kategori belirleyebiliyoruz. Yükleyeceğimiz yazılımın mimarisini seçiyoruz ve yazılım belirli işletim sistemi için ise belirtebiliyoruz veya herhangi bir seçeneği seçip devam edebilirsiniz. Varsayılan algılama kurallarını kullan ile devam ediyorum. Gerekli ise Kayıt anahtarı ekleyebilirsiniz ya da msi ürün kodu mevcut ile gerekli ayarları yapabilirsiniz. Eğer yükleme dosyanıza sessiz kurulum yapmak isterseniz (gerekli ise) ilgili parametreleri burada girebilirsiniz. Örneğin: /quite/norestart gibi Özet bilgilerimizi burada görüyoruz. Karşıya yükle dedikten sonra yüklenen yazılımın boyutuna bağlı olarak bekledikten sonra yazılımımız dağıtıma hazır hale geliyor. Daha sonra uygulamalar altında yazılımın panele geldiğini görüyoruz. Dağıtımı yönet diyerek uygulamamızı istemcilerimize yükleyebiliriz. Burada yükleme yapacağımız grubu seçiyoruz. İlk bölümümüzde gruplandırmanın öneminden bahsetmiştim. Eğer cep telefonlarınız, x86 ve x64 mimariye sahip cihazlarınız aynı grupta ise sağlıklı bir dağıtım olmayacaktır. Tekrar uygulamalara geldiğimizde uygulamamızın birinin dağıtıldığını diğerinin (i) ise yüklemeye hazır halde beklediğini görüyoruz. Algılanan yazılımlar altında ise yönettiğiniz bilgisayarlara yüklenmiş olan programları görebilirsiniz. Eğer lisans eklemeniz gereken program var ise lisansı yüklemek istediğiniz programın üstündeyken anlaşma ekle diyerek lisans ekleyebilirsiniz. Bilgisayarları Uzaktan Yönetme Özellikle büyük yapılarda sürekli olarak son kullanıcıya gidip sorun çözmek büyük problem teşkil etmektedir. Bu gibi durumların önüne geçmek için uzaktan destek seçenekleri işi büyük oranda hafifletmektedir. Kısa bir anlatımdan sonra Microsoft Intune tarafında nasıl uzaktan destek verebiliyoruz u görelim. İlk olarak belirtmekte fayda var bu desteği malesef Windows 8.1 ve 10 için veremiyoruz. Windows 7 makinamda Intune tool’u tıklıyoruz ve Remote Assistance altında yer alan Request Remote Assistance tıklıyoruz. Intune portalımıza dönüp baktığımızda Uzaktan yardım için bir alarm oluşmuş. İsteği onaylayın ve uzaktan Yardım’ I başlatın tıklıyoruz. Açılan pencerede Uzaktan yardım isteğini Kabul et tıklıyoruz. Eğer bilgisayarınızda Easy Assist programı yüklü değil ise yüklemeniz gerekmektedir. Accept,Install, and Join tıklıyoruz Program yüklendikten sonra Easy Assist programı açılıyor. Burada dosya transferi chat gibi seçeneklerde mevcut. Ayrıca uzaktan makinayı restart etme gibi imkana da sahibiz. Share desktop ok dedikten sonra destek verecek kişi artık kontrolü sağlayabiliyor. Bu şekilde uzaktan yardım ile sorunlara hızlı çözüm üretebilmiş oluyoruz. Malesef hatırlatmakta fayda var henüz Windows 8.1 ve Windows 10 da desteklenmemektedir. Bilgisayarlar İçin VPN Profile Oluşturma Kullanıcılarımıza VPN Profillerini daha öncedne hazırlayıp ilke olarak atayabiliyoruz. Bu sayede kullanıcıların manuel işlem yapması da engellenmiş oluyor. Hatalı konfigürasyonları da azaltmış oluyoruz. Kuralımızı oluşturmak için İlke > İlke Ekle > Windows > VPN Profile ( Windows 10 Masaüstü ile Windows 10 Mobile ve üzeri) seçiyorum. Kuralıma HD Company ismini verdikten sonra ilgili yerleri kendi yapıma göre düzenledim. Kuralımı atayacağım grubu seçiyorum. Kuralımı oluşturdum. İlkeler kısmına geldiğini görüyorum. Client makinamda kontrol ettiğimde HP VPN ismi ile oluştuğunu görüyorum. Kuralımızı oluşturduğumuz yerde Bağlantı türü olarak birden çok seçenek mevcut. Yapınıza uygun olanı seçebilirsiniz. Bunun dışında Kimlik doğrulama metodunu sertifika olarak ayarlayabilirsiniz veya kullanıcı adı ve parola olarak da kullanabilirsiniz. Microsoft Intune ile Mobil Cihaz Yönetimi (MDM) Bu bölümünde Mobil Cihaz yönetimi ve Şirket Portal’ına nasıl uygulama ekleyebileceğimizi göreceğiz. (Hem Android hem de Windows işletim sistemine sahip telefonlar için nasıl yapılandıracağımızı göreceğiz) Microsoft Intune panelimizde oturum açtıktan sonra Yönetim> Mobil Cihaz Yönetimi sekmesine geliyoruz. Daha önce telefon için herhangi bir etkinleştirme yapmadıysanız etkinleştiri tıklıyoruz. Etkinleştir dedikten sonra mobil cihazlarımızı Portal’ dan yönetebilir hale geliyoruz. Mobil Cihaz Yönetimi altında ilgili yerleri etkinleştirdikten sonra. Windows Phone veya IOS tıkladığınızda size takip etmeniz gereken yönergeleri göstermektedir. Microsoft Intune Portal’da MDM’i aktifleştirmek için yapmamız gereken adımlar aslında sadece bundan ibaret. Cep telefonları için Şirket Portalı programını kurmamız gerekiyor. Kullandığınız mobil cihaza göre Windows, Android veya IOS marketlerinden Şirket Portalı programını yüklemeniz gerekmektedir. Company Portal’ ı yükledikten sonra yetkili kullanıcı ile oturum açıyoruz. Gerekli lisans atamasını daha önceden yapmış olmanız gerekmektedir. Tekrar Portalımıza dönüp Gruplar sekmesi altında tüm cihazlara geldiğimizde telefonumuzun buraya kayıt edildiğini görüyoruz. Hd_WindowsPhone cihazımın üzerindeyken seçimden grup oluştur diyerek veya grup var ise doğrudan üyelik ile telefonu ilgili gruba üye yapıyoruz. Bu adımda cihaz türümüzü seçiyoruz. Politikanıza göre isterseniz üst gruplardaki tüm mobil cihazları gruba ekleyebilirsiniz veya boş grup yaratarak daha sonra manuel olarak mobil cihazlarımızı ekleyebiliyoruz. Telefonumu Windows Phone grubuna dâhil ettikten sonra şirket Portalımıza nasıl yazılım dağıtacağımızı görelim. İlk olarak ilgili mağazadan bir program seçiyorum. Ben cümle çeviri programını dağıtmak istiyorum. Tekrar Portalımıza dönüyoruz. Uygulamalar > uygulama ekle diyoruz. Dış bağlantı seçip ilgili linki URL’yi belirleyin kısmına yazıyorum. Yazılımı tanımlayıcı bilgileri buraya giriyoruz. Hangi mobil cihaz türü için uygulanacağını burada görüyoruz. Son olarak yaptığımız ayar ile ilgili özet bilgisini bize gösteriyor. Bu adımdan sonra yapmamız gereken ise programımızı dağıtmak olacak. Onay kısmına baktığımızda dağıtılamaz olarak geldiğini görüyoruz. Biz bunu kullanılabilir yükleme olarak değiştiriyoruz ki kullanıcılarımız ilgili programı Şirket Portalında görebilsinler. Tekrar kontrolümüzü yaptığımızda programın şirket Portal’ına geldiğini görebiliyoruz. Windows telefonlar için yapılandırmamız bu kadar. Android telefonda bir farklılık var mı onu da görelim. Android Telefon için Şirket Portalı Yapılandırma ve Uygulama Dağıtımı Android cihaz içinde konfigürasyon yapabilmemiz için yazımızın başında belirtmiş olduğum şekilde yönetim Portalından ilgili etkinleştirmeyi yapmanız gerekiyor. (Daha önce MDM etkinleştirmediğiniz varsayılmıştır). Android marketten Intune Şirket Portalı programını yüklüyoruz. Yetkilendirilmiş kullanıcımızla oturum açıyoruz. Cihazı kaydet i seçiyoruz. Bu adımda belirli kuralların uygulanacağını belirtiyor. Örneğin gelen bildirimler artık gizli olarak gözüküyor. Aynı zamanda şifreleme ilkesi aktif olduğu için ekran kilidi ayarlamanız gerekiyor. Daha sonra ise şirket Portalımızı açıyoruz. Dikkat ettiyseniz Tüm kullanıcılar için uygulama yayınlamıştık. Herhangi bir ekstra grup için ayar yapmamıştım fakat ilgili program Windows telefonlar için geçerli olduğundan burada gözükmemektedir. Mobil cihazımızın Portala geldiğini görüyoruz. Daha önce açmış olduğum Android Phone grubuna ekliyorum. Uygulama eklemek için Uygulamalar > Genel Bakış > Uygulama Ekle ile işleme başlıyoruz. Bu şimdilik bir kenarda dursun, biz Google Play’ den program seçelim. Radar Beep programını örnek amaçlı şirket Portalımıza ekleyelim. Yazılım yükleyicisini seçerseniz bir önceki bölümden biraz daha farklı olduğunu göreceksinizdir. Android, IOS, Windows Phone seçeneklerini de görebiliyoruz. Dış bağlantı seçeneğini seçip, ilgili URL yazıyorum. Programla ilgili açıklamaları ve bilgileri giriyorum. Bu program sizin için çok önemli ise öne çıkar ile birçok uygulama arasından fark edilmesini sağlayabilirsiniz. Portalımıza ilgili programın geldiğini görüyoruz ve daha sonra cihazlarımıza dağıtıyoruz (Aynı adımlar olduğu için tekrar tekrar yazmıyorum). Anlam kargaşası olmaması için belirtmekte fayda var, dağıttığımız programlar cihaza yüklenmiyor! Yüklenebilir hale geliyor! Telefonuma bir süre sonra bildirimin geldiğini görüyoruz. Bu bölümümüzde Microsoft Intune içerisinde Mobil cihaz yönetimini nasıl aktifleştirebileceğimizi, Android ve Windows telefonlara nasıl program dağıtabileceğimizi gördük. Microsoft Intune ile Samsung Knox İlke Kuralları Yapılandırma Samsung Knox Nedir? Android 4.3 sürümünden sonra duymaya başladığımız KNOX özelliğini kısaca açıklayacak olursak, Kurumsal verileriniz ile Bireysel verilerinizin birbirinden ayrılmasıdır. Biraz açacak olursak, çalıştığınız firma kurumsal döküman, mail hizmeti vs.. yönetiyorken siz ise bireysel verileriniz üzerinde istediğinizi yapabiliyorsunuz. Temelde amaçlanan kurumsal verilerin güvenliğinin arttırılması ve önemli verilerin dışarı sızdırılmasının engellenmesidir. KNOX sayesinde Android cihazlardaki açıklara karşı bir kat daha güvenliğinizi arttırmış oluyorsunuz. Malesef negatif tarafları da mevcut. Özellikle Samsung KNOX kullanmaya başlarsanız cihazı rootlama işlemini yapamıyorsunuz. Bunu denediğinizde cihazınız garanti kapsamı dışı kalabiliyor. Kısa açıklamadan sonra konumuza dönecek olursak, Samsung KNOX kullanmadan, Microsoft Intune üzerinden KNOX’ a ait nasıl kural yapılandırabileceğimizi göreceğiz. İlk olarak Microsoft Intune platformunda oturum açıyoruz. İlke tabını tıkladıktan sonra İlke Ekle diyoruz. Örneğimiz Samsung KNOX için olduğundan Android seçiyoruz. Diğer yazılarımı okumayan arkadaşlar için özellikle bu adıma kadar Türkçe arayüz ile devam ettim. (Türkçe desteği mevcut) Microsoft Intune’ a yeni başlayanlar için büyük bir avantaj sağlamaktadır. Genel Yapılandırma seçip devam ediyoruz. Yönetimin Google’ a yedeklerin çıkmasını istemediklerini varsayarak ilerleyelim. Kuralımıza isim verelim. Bizim istediğimiz kural Cloud bölümünde Documents & Data altında. Kuralımızı No olarak seçersek kullanıcılarımıza Google yedeklemeyi yasaklamış oluyoruz. Kuralımızı kime atayacağımızı seçiyoruz. Kısa bir süre sonra cihazımda testimi yapıyorum. Yedekleme bölümünün pasif hale geldiğini görüyorsunuz. Bu sayede kurumsal verilerinizin istemediğiniz bir yerde yedeklenmesini de engellemiş oluyorsunuz. Bu kuralları elbette Samsung KNOX kullanarak da yapabilirsiniz fakat bazı dezavantajları bulunuyor. Yazımın başında belirtmiş olduğum gibi Samsung KNOX kullanmadan önce yazımın sonundaki linkleri incelemenizde fayda buluyorum. BÖLÜM 2 Active Directory Kullanıcılarını Microsoft Intune’ a Senkron Etme Adımları İlk bölümdeki yapılandırmamız Domain ortamının olmadığı varsayılarak yapılmıştır. Büyük firmaların çoğu Domain ortamında olduklarını düşünürsek ilk bölüm pek de yapımız için sağlıklı olmayacaktır. İki farklı şifre girilmesi gerekecek, yeni kullanıcılar yaratılacak gibi operasyonel anlamda zorluk olacağı gibi son kullanıcı tarafında da problem olacaktır. Şimdi ise Active Directory yapımızın olduğu ortamda nasıl bir yol izlemeliyizi göreceğiz. Tekrar hatırlatma fayda var illa AD ile entegre etmek zorunda kesinlikle değilsiniz. Demo ortamım olduğu için yapımda bir adet Active Directory sunucus ve ADFS ile AD Connect için ayrı bir sunucu yapılandırılmıştır. 1) 2) 3) 4) 5) Office365 Panele Custome Domain Ekleme AD Connect Kurulumu ADFS Kurulumu DMZ alanı mevcut ise ADFS Proxy ( yapımda olmadığı için kurmayacağım) Senkron olan kullanıcılara ilgili lisansların atanması ( AD Connect kurulumundan sonra da yapabilirsiniz ) 6) Konfigüre etmeyi de unutmamak lazım Office365 Panele Custome Domain Ekleme İşlemlerimize başlamadan önce custome domainimizi ekliyoruz.Bunun için https://portal.office.com ile oturum açıyoruz. Daha sonra Home > Settings > Domains tabına geliyoruz ve Add Domain ile işlemimize başlıyoruz. Eklemek istediğiniz Domain ismini burada giriyoruz. Microsoft Intune için eklemeniz gereken kayıtlar aşağıdaki gibidir. Eğer Komple Office 365’ e geçmeyi planlıyorsanız kayıt listesi çoğalacaktır. İlgili kayıtları DNS’ e girip doğrulamanız gerekiyor. Eğer Missing record hatası alıyorsanız bu durumunun giderilmesi gerekmektedir. Kendi yapımda eklemiş olduğum kayıtları aşağıda bulabilirsiniz. Bu adımı da tamamladıktan sonra Active Directory’ den Cloud’ a senkron olacak kullanıcıların UPN suffixler inin onmicrosoft şeklinde gitmemesi için Alternative UPN suffix eklememiz gerekiyor. Bunu yapmak için Active Directory Domain and Trust açıyoruz. Active Directory Domain and Trust üzerindeyken sağ tıklayıp Properties tıklıyoruz ve ilgili kayıdı aşağıdaki şekilde giriyoruz. AD Connect Kurulumu Kullanıcılarımı Office 365 ortamına Sync etmek için eski adı Dirsync yeni adı ile Microsoft Azure Active Directory Connect kurmamız gerekiyor. Eğer hali hazırda yapınız Dirsync kurulumu yapıldı ise Upgrade işlemini yapabilirsiniz. Bunun için aşağıdaki linkten faydalanabilirsiniz. http://hasandimdik.com/index.php/2016/04/18/microsoft-azure-ad-connect-upgrade-1-0-9125-0dan1-1-130-0-e/ Sıfırdan kurulum yapacağımız için ilk olarak https://www.microsoft.com/en-us/download/details.aspx?id=47594 toolumuzu indiriyoruz. Kaynak sorununuz var ise DC üzerinde de kurulum yapılabiliyor fakat tavsiye edilmeyen bir senaryo! Tool’ u indirdikten sonra Use Express settings ile kuruluma başlıyoruz. Azure AD üzerinde yetkili olan kullanıcı bilgilerimizi giriyoruz. İkinci adımsa ise var olan yapımızdaki (On-Premises) yetkili kullanıcı bilgilerini giriyoruz. Eklediğim UPN Suffix’ in Verified edildiğini görüyoruz. Ve kurumu tamamlıyoruz. Belirli süre sonra kullanıcılarımız Azure AD ile senkron olacaktır. Active Directory Federation Servisi Kurulumu ve Yapılandırması Bu bölümümüzde ADFS kurulumunu gerçekleştireceğiz. İlk olarak Active Directory Federation Services rolünü seçiyoruz ne next ile devam ediyoruz ve kurulum tamamlandıktan sonra Configure the federation service on this server ile yapılandırmamıza başlıyoruz. ADFS için Domain admin yetkisine sahip kullanıcıyı burada giriyoruz. ADFS için aldığınız sertifikayı bu adımda girmemiz gerekiyor. Sertifika alternative name kısmına aşağıdaki kayıtları ekledim; Lab28384.o365ready.com fs.Lab28384.o365ready.com Aldığım sertifikayı IIS üzerinden .pfx olarak export ettim ve bu adımda tanıttım. Yönetilen servis hesabı için yetkili kullanıcı bilgisini bu adımda giriyoruz. Ben kurulumumu internal database ine yapmasını istiyorum. Eğer SQL üzerine yapmak isterseniz ikinci seçeneği seçerek devam edebilirsiniz. Eğer adımlarda bir hata yapmadıysanız aşağıdaki gibi kurulumu sorunsuz bir şekilde tamamlayacaksınız. Son olarak ise fs.Lab28384.o365ready.com için DNS kaydı oluşturuyoruz. https://fs.lab28384.o365ready.com//adfs/ls/idpinitiatedsignon.htm ile oturum açmak istediğimde yapımın sağlıklı şekilde çalıştığını görüyorum. Bu adımdan sonra ise ADFS Trust işlemini yapmamız gerekiyor. Bunun için Azure powershell modülünü yüklemeniz gerekmektedir. Yükledikten sonra; Import-Module MSOnline ile modülümüzü import ediyoruz ve Connect-MsolService ile Office 365’ e bağlanıyoruz.( Office 365 tarafındaki yetkili kullanıcı bilgileri girilmelidir ) Convert-MsolDomainToFederated –DomainName lab28384.o365ready.com ile trust işlemimizi tamamlıyoruz. Son olarak kontrolümü Get-MsolFederationProperty –DomainName lab28384.o365ready.com komutu ile sağlıyorum. Başarılı bir şekilde Microsoft Intune ile Federation Trust kurmuş oluyorum. https://manage.microsoft.com ile login sayfasına gidiyorum. Microsoft Intune admin yetkisine sahip bir kullanıcı bilgisi girdiğimizde bizi ADFS’ e yönlendiriyor. Bilgileri doğru girdiseniz başarılı şekilde oturum açılacaktır. Bu sayede kullanıcılarınızda rahatlıkla Single Sign-On(SSO) olarak oturum açabileceklerdir. Durumu kısaca özetleyecek olursak artık Active Directory üyesi kullanıcılarımıza eğer Microsoft Intune lisansı atanmış ise SSO olarak oturum açabileceklerdir. Bu durum bizi neyden kurtardı kısaca özetleyecek olursak; 1) Password hash bilgileri artık buluta gönderilmeyecek 2) Her iki tarafta da kullanıcı açma gibi operasyonel yük kalktı. 3) Şifre resetleme gibi işlemler iki farklı yerden yapılmayacak. Microsoft Intune Portal’ a Kullanıcı Enroll Etme Lisanslarını atadığımız kullanıcıların portal geldiğini görebiliyoruz. İşlemlerimizi tamamladıktan sonra kullanıcılarımızı artık Microsoft Intune’ a dahil edebiliriz.Bu adımları yapmadan önce yapınızı gruplara böldüğünüzden emin olun. Aşağıda örnek olması amacı ile bir şablon paylaşılmıştır. Kendi yapınıza göre detaylandırabilirsiniz. Bu adımdan sonra cihazınıza göre ilgili vendor un uygulama galerisinden Company portal indiriyoruz. Uygulamayı yükledikten sonra lisans atanan kullanıcı ile oturum açmak istediğinizde aşağıdaki hatayı eğer alıyorsanız ADFS konfigürasyonunda eksiklik var demektir! ADFS sunucumuzu tekrar açıyoruz. Authentication Policies sağ tıkladıktan sonra Edit Global Primary Authentication u açıyoruz. Intranet altında yer alan Form Authentication u işaretliyoruz ve belirli süre sonra tekrar kontrol ediyoruz. ADFS sunucumuz artık başarılı şekilde redirect edebiliyor. Kullanıcı adı ve parolamızı girdikten sonra oturumumuzu açıyoruz. Cihazı enroll ettikten sonra admin hakkına sahip kullanıcıların nelere müdahele edip nelere edemeyeceğine dair bilgilendirme adımları ve artık cihazın şirket tarafından yönetildiğine dair bilgilendirme ekranı geliyor. Kabul ediyoruz. Gelen sayfalardaki ilgili yönergeleri okuyup Kabul ediyoruz. Başarılı şekilde oturum açtık. Microsoft Intune Portal’ a baktığımızda enroll ettiğimiz cihazımızı görebiliyoruz. Apple Cihazları Microsoft Intune’ a Enroll Etme Adımları Microsoft Intune ile IOS, Android ve Windows telefonları yönetebileceğimizi söylemiştik. IOS cihazları enroll etme aşamasında yapmamız gereken bir kaç fazla adım var. İlk olarak portalımızdayken Yönetim > IOS ve Mac OS X sekmesine geliyoruz ve IOS ve MAC OS X platform etkinleştir i tıklıyoruz. APNs Sertifika İsteğini İndir I tıklıyoruz ve daha sonra Apple Push Certificates portalına giriyoruz. Açılan panelde Create a Certificate diyoruz. Açılan panelde indirmiş olduğumuz sertifika isteğini gösteriyoruz. Başaralı şekilde sertifikamızı oluşturduk. Sertifikamızı indiriyoruz. Tekrar Microsoft Intune portal bağlanıp APNs Sertifikasını yükle diyoruz ve açılan panelde .pem uzantılı sertifikamızı gösteriyoruz ve Apple kimliğimizi giriyoruz. Bu adımı da tamamladıktan sonra Apple cihazlarımızı artık Microsoft Intune’ a Enroll edebilir hale geliyoruz. Enroll etmek istediğimiz cihazda Apple Store açtıktan sonra Compant Portal’ I indiriyoruz. İndirme işleminden sonra erişim bilgilerimizi giriyoruz. Yöneticinin ne gibi hakları olacağı vs.. bilgileri bize anlatıyor. Başla dedikten sonra aygıtımızı kayıt etmek için ilgili sertifikamızı profilimize yüklüyoruz. Bu adımdan sonra artık iplerin Microsoft Intune yöneticisinde olduğunu belirtiyor Güven diyerek devam ediyoruz. Diğer doğrulama ise Mobil aygıt yönetimi ve Aygıt kimliği sertifikası ile ilgili. Bu aşamadan sonra işlemimiz tamamlanıyor. Artık portalımıza erişim sağlayabiliyoruz. Mobil Cihaz Yönetimi için Kural Oluşturma Koşullu Erişim İlkeleri Koşullu erişim ilkeleri; Exchange Online Exchange Server ( On-Premises) Sharepoint Online Dynamics CRM Online Skype Kurumsal Çevrimiçi Sürüm için yapılandırılabilir. Örneğimde Microsoft Intune portala Enroll olan cihazlar Mail konfigürasyonu yapabilsin ,Enroll olmayanlar ise yapamasın şeklinde olacak. ( Ipad Enroll ve Android phone Enroll edilmedi) Örneğimi kısaca açıkladıktan sonra sıra geldi nasıl yapacağımıza. İlke > Koşullu Erişim > Exchange Online ilkesini açıyoruz ve kuralımı aşağıdaki şekilde oluşturuyorum. Android telefonuma mail kurulumu yapmak istediğimde aşağıdaki uyarıyı alıyorum ve beni Microsoft Intune Portalı yüklemeye yöneltiyor. Ipad cihazımda mail hesabımı tanımaldığımda herhangi bir sorun ile karşılaşmadım. Kuralımızı tüm kullanıcılara uygulayabileceğimiz gibi bazı kullanıcıları Exclude de edebiliriz veya sadece belirli kullanıcılara uygulansın da diyebiliriz. Uyumluluk Kuralları Uyumluluk kuralları içerisinde; Jailbreak PIN ve Password Zorunluluğu,karmaşıklığı Şifreleme gibi birçok konfigürasyonu yapabiliyoruz. Veya aşağıdaki gibi belirli işletim sistem sürümü üzerine izin ver gibi ayarlarda yapabiliyoruz. Microsoft Azure Active Directory Premium Azure Active Directory Premium Nedir ? Bu bölümümüz içerisinde temel anlamda Azure Active Directory Premium’ u nasıl aktifleştireceğimizi ve Free versiyondan farkını göreceğiz. İşlemlerimize başlamak için https://manage.windowsazure.com ile oturumumuzu açıyoruz. Oturum açtıktan sonra soldaki menülerden Active Directory seçiyoruz. Daha önce eklediğimiz Directory var ise burada göreceksiniz. Biz yeni bir Azure Active Directory Premium hesabı ekleyeceğiz. Panelin sol altında +New seçerek işlemimize başlıyoruz. App Services > Directory > Custome Create seçiyoruz. İlgili yerleri yapınıza göre doldurabilirsiniz. Yeni gelen özelliklerden This is a B2C Directory gözümüze çarpıyor. Kısaca değinecek olursak eğer siz son kullanıcıya bu Directory servisi ile hizmet veriyor iseniz seçmelisiniz. Detaylı bilgi için; https://azure.microsoft.com/tr-tr/documentation/articles/active-Directory-b2c-overview/ Kısa süre sonra panelinize Directory servisinizin geldiğini göreceksiniz. Yourcloud tıkladığım zaman kullanıcıları, grupları, ilgili ayarları vb… işlemleri yapabileceğimiz bir konfigürasyon arayüzü bizi karşılıyor. Licenses tabını tıklayarak Azure Active Directory Premium etkinleştireceğimiz sayfaya geliyoruz. Try Azure Active Directory Premium Now tıklayarak 100 kullanıcı için deneme hesabımızı aktif ediyoruz. Her zamanki gibi okuyup kabul ediyoruz. Ve bir aylık deneme süremiz başladı. Azure Active Directory Premium kullanmasını isteğimiz kullanıcıları seçip lisansları atıyoruz. Şimdi ise Configure tabına gelip Azure Active Directory Premium neleri içeriyor görelim. Azure Active Directory Premium tarafındaki özelliklere kısaca değinecek olursak ; Company Branding : Kendi şirket logonuzu ekleyebilir ve oturum açma ekranını daha görsel hale getirebilirsiniz. Self-Service Password Reset : Tüm IT çalışanlarının en sevmediği durum olan ve son kullanıcıların en çok ticket açtığı parola Resetleme olayını artık kullanıcılar kendileri yapabiliyorlar. Multi-Factor Authentication : Kullanıcılarınıza çift katmanlı erişim sağlatarak güvenliği bir adım daha da arttırabilirsiniz. Password Reset with write-back : Resetlenen şifre On-Premises çalışan Active Directory’ e de yazılır. Bu sayede iki tarafta ayrı ayrı şifre Resetleme kargaşası ortadan kalkar. Advanced Security Reports and alerts: Uygulamalarınıza yetkisiz erişim gibi denemelerde detaylı rapor sunar. Enterprise SLA : Microsoft size hizmetin %99.9 çalışacağı garantisini vermektedir. Belirli başlı kısımları özet olarak yukarıda bahsettim detaylı bilgi için aşağıdaki linkten yararlanabilirsiniz; http://www.microsoft.com/en-us/server-cloud/products/azure-active-Directory/features.aspx Aşağıda Azure Active Directory Premium aktif edilmiş olan bir Directory görüyorsunuz. Ücretsiz olarak Active Directory servisini kullansaydık, Configure tabına tıkladığımızda aşağıdaki menüleri görüyor olacaktık. Company Branding Olaya aslında farklı açıdan bakarak bu yazıya başlamak istiyorum. Bildiğiniz gibi web siteleri şirketlerin görünen yüzü. Bu sebepten dolayı tasarımımızın her zaman güzel ve şirketi anlatıyor olması gerekmektedir. Arka planda o kadar satır kod yazılır fakat her zaman işin en çok övgü alan kısmı tasarım tarafıdır. (Yazılımcılara haksızlık) Company Brand özelliğinde de Azure Active Directory Premium kullanan şirketlerin ilk Customize ettiği yer olduğunu görüyoruz. (Yine tasarım ön planda) Bu bölümde bizde küçük bir örnek yaparak Azure arayüzümüzü görselleştireceğiz... Bu kadar konuştuğuma bakmayın son derece basit. https://manage.windowsazure.com veya https://portal.azure.com ile oturum açıyoruz. Daha sonra ise soldaki ikonlardan Active Directory buluyoruz ve Configure > Customize Branding tıklıyoruz. Şirketimize ait logolarımızı buradan kendi yapımıza göre değiştirebiliyoruz. Her adımı tek tek açıklamayacağım. Detay bilgi için aşağıdaki linkten yararlanabilirsiniz; https://azure.microsoft.com/en-us/documentation/articles/active-directory-add-company-branding/ Ben örneğimde Banner logomu değiştireceğim ve beni karşılayan kocaman resim olan yani teknik adı ile Sign-in Page Illustration ı değiştireceğim. Resimlerinizi eklemeden önce soru işareti(?) tıklamanızı tavsiye ederim. Sebebi ise resimleri eklerken bazı kısıtlamaların olmasından. Eski adı Tile Logo’ nun adının Square logo olarak değiştirildiğini görüyoruz. Sign-in Page Text ise sağ altta ek notlarınızı girebileceğiniz alandır. Tekrar oturum açmak isteğimizde logomuzun geldiğini görüyoruz. En çok değiştirilen ise Sign-in Page Illustration bölümüdür. Ben kendime göre bir resim ekledim. Tekrar oturum açmak istediğimde ise son derece görsel bir arayüz karşılıyor. Son derece basit şekilde giriş arayüzümüzü değiştirmiş olduk. Sektörde proje yaptığımız tüm firmaların ilk talepleri arasında yer alıyor! Password Synchronization Write-Back ve Self-Service Password Reset Self Password Reset özelliği sayesinde kullanıcılarımız Microsoft Azure veya Office 365 gibi platformlarda kendi şifrelerini resetleyebilme imkanına sahip oluyorlar. Bildiğiniz üzere Free Accountlarda şifre değiştirme işlemi Admin tarafından yapılmaktaydı. Writeback özelliği ile birlikte de çift taraflı senkronizasyona imkan sağlanmıştır. Bunu şu şekilde açıklamak daha doğru diye düşünüyorum. Azure üzerinde kullanıcı şifresini değiştirdiğinde bu işlem sadece Azure tarafında geçerli oluyordu. Writeback özelliğinin kapasitesi sayesinde değiştirilen şifre On-Premises Active Directory üzerine de yazılmış oluyor. Bu sayede hem Azure hemde lokal tarafta şifre değiştirme külfeti ortadan kalkıyor. İlk olarak https://manage.windowsazure.com ile oturum açıyoruz. Oturum açtıktan sonra soldaki ikonlardan Active Directory tıklıyoruz. Daha sonra Configure tabını tıklıyoruz. User Password Reset Policy altında yer alan Users Enabled For Reset Policy Yes olarak değiştiriyoruz. Seçeneği evet olarak değiştirdiğimizde menümüze yeni seçeneklerin eklendiğini göreceksiniz. Kullanıcıların kendi şifrelerini değiştirebilmeleri için telefon, farklı bir mail veya gizli soruyu cevaplaması seçeneklerin birini veya bir kaçını seçebiliyoruz. Number of Authentication Methods seçeneğinden ise bu seçeneklerden kaç tanesini girerek resetleyebileceğini belirtiyoruz. Password Write Back Service Status kısmını not configured olarak görüyoruz. İşlemlerimizin sonunda değiştiğini göreceğiz. Write Back Passwords to On-Premises Active Directory Yes olarak değiştiriyoruz. Microsoft Azure Active Directory Connect’i yapılandırırken Password Writeback seçeneğini seçmeniz gerekiyor. Test amaçlı On-Premises Active Directory üzerinde kullanıcı açtım. Azure portalıma geldiğimde senkronizasyonun çalıştığını görüyorum. Bu adımdan sonra ilgili kullanıcı veya kullanıcılara Licenses tabını açarak Azure Active Directory Premium Lisanslarının atanması gerektiği unutmayınız! Kullanıcının şifresini Azure üzerinde resetlediğimizde bu değişikliği On-Premises Active Directory event larında gözlemleyebiliyoruz. Event Viewer>Application açtığımızda 31009 ve 31010 eventlarının oluştuğunu göreceksiniz. Event ID 31009 password resetleme işleminin admin tarafından başlatıldığını belirtiyor. Event ID 31010 ise şifrenin başarılı şekilde değiştirildiği belirtiyor. Dikkat ederseniz şifrenin kim tarafından resetlendiğini de bize gösteriyor. http://myapps.microsoft.com ile oturum açmak istediğimizde ilk başta iletişim bilgilerinizi doğrulayın seçeneği geliyor. Şimdi doğrula diyoruz. Azure tarafında seçtiğimiz seçeneklere göre bize aşağıda telefon ve e-mail seçeneğini sunuyor. Ben ikisinden birini girmesinin yeterli olacağı yönünde ayar girmiştim. İlgili işlemleri tamamladıktan sonra portalımızda oturum açıyoruz. Bu adımda dikkatinizi çekmek istediğim küçük bir nokta var. Varsayalım ki parolayı kendimiz değiştirmek istedik ve bunun için Parolayı değiştir dedik. Bu parola kurumsal ilkenizin uzunluk, karmaşıklık, yaş veya geçmiş gereksinimlerini karşılamıyor. Şair diyor ki ; On-Premises Active Directory Password Policy bi göz at bakalım diyor ;) Event ID 33008 incelediğinizde de alacağınız hata aşağıdaki gibi olacaktır. Kıssadan hisse bu iki özellik sayesinde Bilgi işlem departmanını baya sevindirecektir. Azure Rights Management Services Kurulum ve Konfigürasyonu Terim olarak baktığımızda aslında uzun zamandır RMS hayatımızda. Kısaca tekrar hatırlatmak gerekirse, Dökümanlarımızın isteğimiz veya kontrolümüz dışında başkalarının görmesini, çıktı almasını, editleyebilmesi vb… engelleyebildiğimiz veya belirli bir zamanda diliminde işlem yapabilmesini sağladığımız (1 gün sonra kullanama gibi) Microsoft’ un bize Saas olarak sunduğu bir servis. Microsoft Azure RMS sayesinde dökümanlarımız nereye giderse gitsin sizin verdiğiniz izinler de döküman ile beraber taşınmış olur. Bu servisin Azure paltformu üzerinde olması klasik RMS’ den bazı şeyleri ayırıyor. Buna en güzel örnek olarak IIS, SQL Server veya Ca kurulumları ile uğraşmamıza gerek kalmıyor. Aynı zamanda altyapı maliyetini ortadan kaldırıyor. Kısa açıklamamızdan sonra yapılandırmamıza geçebiliriz. Detaylara yeri geldikçe değineceğiz. Hizmetimizi etkinleştirmek için https://manage.windowsazure.com adresine giriyoruz. Azure portalı açıldıktan sonra Active Directory sekmesine geliyoruz. Daha sonra ise Right Management sekmesini açıyoruz ve Activate ile hizmeti aktif hale getiriyoruz. Hizmetimizin aktif hale geldiğini görüyoruz. https://portal.aadrm.com/ ile Azure RMS portalına erişiyoruz. Mail adresimi buraya giriyorum ve RMS’ e erişebildiğimi görüyorum. Azure Rms ile koruma sağlamak için kullanacağımız cihaza uygun tool u indiriyoruz. Daha sonra ise klasik next next finish İşlem bittikten sonra cihazınızı yeniden başlatmanız gerekiyor. Kurulum adımımız bu kadar. Gördüğünüz üzere entegre etmesi son derece kolay ve hızlı. Eğer daha önce On-Premise RMS ile çalışma imkânı bulduysanız aradaki farkı çok hızlı şekilde göreceksiniz. Cihazımızı yeniden başlattıktan sonra artık servisimiz kullanabilir hale geliyor. Azure Rights Management Services Exchange Online Entegrasyonu Bu bölümümüzde Azure Right Mananagement Servis’ i nasıl Exchange Online ile entegre edebileceğimizi göreceğiz. RMS nedir kısmına ilk bölümde kısaca değinmiştik. İlk bölümü okuyarak genel hatlarıyla bilgi sahibi olabilirsiniz. İşlem sıralaması oldukça basit aşağıdaki adımları uygulayarak kolayca konfigüre edebilirsiniz. İlk olarak Powershell’ i admin hakları ile açıyoruz. $cred=Get-Credentials komutu ile yetkili kullanıcımızla ile Office 365′ e bağlanıyoruz. $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic –AllowRedirection komutu ile Office 365′ de oturum oluşturuyoruz. Ve Import-PSSession $Session komutu ile açtığımız oturumun kendi makinamıza taşınmasını sağlıyoruz. İpucu: Bu adımda hata alırsanız https://www.cogmotive.com/blog/powershell/allowing-powershellscripts-to-execute döküman size yardımcı olacaktır. Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sprms.eu.aadrm.com/TenantManagement/ServicePartner.svc Komutu ile Key Sharing Lokasyonumuzu belirtiyoruz. Avrupa bize yakın olduğu için EU seçiyorum. RMS online’dan Trusted Publishing Domain’ i aktarmak için shell yardımı ile Import-RMSTrustedPublishingDomain –RMSOnline –Name “RMS Online” komutunu çalıştırıyoruz. Exchange Online’ daki harici mesajlaşmalar için lisansımızı Set-IRMConfiguration –InternalLicensingEnabled $true komutu ile aktif hale getiriyoruz. Kontrol amaçlı Test-IRMConfiguration –RMSOnline komutunu çalıştırıyoruz. Dökümanımızın Devamında Office 365 üzerinde yapmamız gerekenleri göreceğiz ve bunun ile alakalı örnek yapıyor olacağız Azure Rights Management Services Exchange Online Entegrasyonu Bir önceki bölümümüzde Exchange Online ile Azure RMS’ i entegre etmiştik. Şimdi ise Office 365 admin portal üzerinde nasıl kural tanımlayabileceğimizi göreceğiz İlk olarak https://portal.office.com ile oturum açıyoruz. Daha sonra admin i tıklıyoruz ve Dashboard altında Admin > Exchange açıyoruz. Aşağıdaki gibi ekran sizi karşılayacak. İşlemlerimize başlamak için Mail Flow sekmesine geliyoruz. Rulesaltındaki artı(+) tıklıyoruz. Create a new rule ile yeni bir kural oluşturacağız. Karşımıza aşağıdaki gibi bir panel açılıyor.Kuralımıza isim veriyoruz. Bu kuralı kime uygulayacağımızı belirtiyoruz ve hangi şablonu uygulayacağımızı belirtiyoruz. ( Şablon oluşturmayı göreceğiz ) Daha sonra kuralımızı kaydediyoruz. Kuralımızı hd@hasandimdik.info için yazmıştık. Testimizi yapalım Maili attıktan sonra normalde aşağıdaki gibi görünüyor. Dikkat ettiyseniz uyarı çıkardı (Fotoğraf telefondan çekilmiştir) Birde ekran görüntüsü almayı deneyelim. Uyguladığımız kuraldan dolayı ekran görüntüsü almak istediğimizde aşağıdaki gibi gözükmektedir. Azure RMS ile mail tarafında bir çok aksiyon alabiliyorsunuz. İsterseniz maillerin şifreli olarak gönderilmesini de sağlayabiliyorsunuz. Şirket politikasına göre bu kurallar değişiklik gösterebilir. Sharepoint Online Azure Rights Management Services Konfigürasyonu Bu bölümüzde birkaç adım ile Sharepoint Online üzerinde Azure Right Management Services nasıl aktif edeceğimizi göreceğiz. İlk olarak Office 365 portalımızda oturum açıyoruz. Service Settings > Sites açıyoruz ve View site collections and manage additional settings in the Sharepoint admin center tıklıyoruz. Sharepoint Admin Center açıldıktan sonra sol alt bölümden Settings tıklıyoruz. Açılan sekmede Information Right Management buluyoruz ve Use the IRM Service specified in your configuration’ ı şeçiyoruz. Daha sonra sayfanın altından Ok ile kaydediyoruz. Office 365 kullanmayan arkadaşlardan gelen en büyük soruyu yanıtlamak adına Menüleri Türkçeye çevirdim. Yazıma bu şekilde devam edeceğim. ( Yani Türkçe kullanılabiliyor ) Kitaplık ayarları sekmesine tıklıyoruz. Açılan Sayfada Bilgi Hakları Yönetimi’ ni tıklıyoruz. Bilgi hakları yönetimi ayarları açıldıktan sonra indirme sırasında bu kitaplık üzerindeki izinleri kısıtlayı seçiyoruz ve bir açıklama ekliyoruz. Yapınıza göre aşağıdaki seçenekleri kullanabilirsiniz. Daha sonra ayarımızı kaydediyoruz. Sharepoint üzerindeki bir dosyamı örnek amaçlı açıyorum Word belgemizin hemen üzerinde uyarımızın geldiğini görüyoruz. Hızlı ve kolay bir şekilde Sharepoint Online üzerindeki dökümanlarımızı daha güvenli hale getirebiliriz. Azure Rights Management Services ile Kendi Şablonunuzu Oluşturun Bu bölümünde Azure RMS üzerinde kendi şablonumuzu nasıl oluşturacağımızı göreceğiz. Bu bölüm sonunda kendi şablonlarınızı şirket politikalarına göre rahatça oluşturabileceksiniz. https://manage.windowsazure.com ile panelimize bağlanıyoruz. Active Directory tabına geliyoruz. Rights Management sekmesini tıklıyoruz. İlgili kısmı tıklayıp sayfanın en altındaki Active i tıklıyoruz.( Daha önce ben aktif etmiştim ) Create a new rights policy template ile yeni şablon oluşturacağız. Aşağıdaki ilgili bölümleri kendinize göre doldurunuz. Şablonumuzu kaydettikten sonra açıyoruz. Şablonumuzu oluştururken hangi adımları izlememiz gerektiğini gösteriyor. Configure rights for users and groups ile işlemimize başlıyoruz. Get Started Now tıklıyoruz. Oluşturduğumuz şablonun hangi kullanıcı veya gruplar için uygulanacağını gösteriyoruz. Kendi yapınıza göre uyarlayabilirsiniz. Orjinalliği bozmamak için türkçeye çevirmedim. Hazır olarak gelen hakların içerikleri aşağıdaki şekildedir. Viewer: View, Reply, Reply All Reviewer: View, Edit, Reply, Reply All, Forward Co-Author: View, Edit, Copy, Print, Reply, Reply All, Forward Co-Owner: All Rights Custom: Assign Right Individually Custom seçerek kendi özel haklarımızı tanımlıyoruz. Şablonunuzda hangi hakları vermek istiyorsak burada seçiyoruz ve kaydediyoruz. Şablonumuz şu an için yayınlanmadı. Publish seçeneği ile yayınlıyoruz. Şablonumuza korumak için dahil ettiğimiz pdf, word vb.. dökümanlar için ekstra olarak kurallar tanımlayabiliriz. Bu kadar gün sonra içerik expire olsun vb gibi. Yapınıza göre seçebilirsiniz. Daha sonra kaydediyoruz. Şablonumuzu oluşturduk ve yapımıza göre kurallar atadık. Fakat bu kuralların kullanıcılarımızın hemen görebilmesi için Powershell yardımı ile birkaç komut çalıştıracağız. İlk olarak aşağıdaki komutları çalıştırmak için Powershell ile oturum açmanız gerekiyor. Oturum oluşturduktan sonra Import-RMSTrustedPublishingDomain –Name “RMS Online – 1” –RefreshTemplates –RMSOnline komutu ile şablonlarımızı yeniliyoruz (refresh). Get-RMSTemplate – TrustedPublishingDomain “RMS Online – 1” –Type All ile yeni şablonumuzun gelip gelmediğini kontrol ediyoruz. Import ettiğimiz şablonun Outlook Web app içerisinde de görebilmek için Set-RMSTemplate –Identity “HDRule” –Type Distributed komutunu kullanıyoruz. Kontrolümüzü yaptığımızda şablonumuzun Outlook Web App içerisine geldiğini görüyoruz. Kaynaklar: https://technet.microsoft.com/en-us/library/jj585027.aspx https://msdn.microsoft.com/en-us/library/dn629398.aspx https://msdn.microsoft.com/en-us/library/aa372024(VS.85).aspx https://www.microsoft.com/en-us/cloud-platform/microsoft-intune https://docs.microsoft.com/en-us/rights-management/understand-explore/what-is-azure-rms https://azure.microsoft.com/en-us/documentation/articles/active-directory-editions/ SON SÖZ Bu E kitabı 10.08.2016 tarihinde ebediyete uğurladığım , bugünlere gelene kadar elimi hiç bırakmayan her düştüğümde beni ayağa kaldıran, hayatımda özel yere sahip dostum , can yoldaşım , sırdaşım , yol arkadaşım , öğretmenim ve güzel yürekli BABAM Süleyman Remzi DİMDİK ' e adıyorum. 05.07.1959 - ∞ Hayatı Güncel Yaşamanız Dileği ile… Hasan DİMDİK