Azure Active Directory’de cihaz yönetimi nedir?What is device management in Azure Active Directory?

Mobil ve bulut öncelikli bir dünyada Azure Active Directory (Azure AD) cihazlarda, uygulamalarda ve hizmetlerde dilediğiniz yerden çoklu oturum açma özelliği sağlar.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere. Kendi Cihazını Getir (BYOD) dahil olmak üzere cihazların yaygınlaşmasıyla birlikte BT uzmanları iki karşıt hedef ile karşı karşıya:With the proliferation of devices - including Bring Your Own Device (BYOD), IT professionals are faced with two opposing goals:

  • Son kullanıcıların her yerde ve her zaman üretken olmasını sağlamaEmpower the end users to be productive wherever and whenever
  • Kuruluş varlıklarını her zaman koruma altında tutmaProtect the corporate assets at any time

Kullanıcılarınız, cihazlar aracılığıyla kuruluşunuzun varlıklarına erişir.Through devices, your users are getting access to your corporate assets. Bir BT yöneticisi olarak, kuruluşunuzun varlıklarını korumak için bu cihazlar üzerinde denetiminiz olmalıdır.To protect your corporate assets, as an IT administrator, you want to have control over these devices. Bu sayede kullanıcılarınızın kaynaklarınıza güvenlik ve uyumluluk standartlarınızı karşılayan cihazlardan erişmesini sağlayabilirsiniz.This enables you to make sure that your users are accessing your resources from devices that meet your standards for security and compliance.

Cihaz yönetimi, cihaz tabanlı koşullu erişim senaryolarının da temelini oluşturur.Device management is also the foundation for device-based conditional access. Cihaz tabanlı koşullu erişim sayesinde, ortamınızdaki kaynaklara yalnızca yönetilen cihazlar üzerinden erişilebilmesini sağlayabilirsiniz.With device-based conditional access, you can ensure that access to resources in your environment is only possible with managed devices.

Bu makalede Azure Active Directory'de cihaz yönetiminin nasıl çalıştığı açıklanmaktadır.This article explains how device management in Azure Active Directory works.

Cihazları Azure AD denetimi altına almaGetting devices under the control of Azure AD

Bir cihazı Azure AD denetimi altına almak için iki seçeneğiniz vardır:To get a device under the control of Azure AD, you have two options:

  • KaydetmeRegistering
  • KatmaJoining

Cihazı Azure AD’ye Kaydetme seçeneğini kullanarak bir cihazın kimliğini yönetebilirsiniz.Registering a device to Azure AD enables you to manage a device’s identity. Bir cihaz kaydedildiğinde, Azure AD cihaz kaydı kullanıcı Azure AD’de oturum açtığında cihazın kimliğini doğrulamak için kullanılan bir kimlik sağlar.When a device is registered, Azure AD device registration provides the device with an identity that is used to authenticate the device when a user signs-in to Azure AD. Cihazı etkinleştirmek veya devre dışı bırakmak için kimliği kullanabilirsiniz.You can use the identity to enable or disable a device.

Microsoft Intune gibi bir mobil cihaz yönetimi (MDM) çözümü ile birleştirildiğinde Azure AD'deki cihaz öznitelikleri cihaz hakkındaki ek bilgilerle güncelleştirilir.When combined with a mobile device management(MDM) solution such as Microsoft Intune, the device attributes in Azure AD are updated with additional information about the device. Bu durum, güvenlik ve uyumluluğa yönelik standartlarınızı karşılamak için cihazlardan erişimi zorlayan koşullu erişim kuralları oluşturmanıza olanak sağlar.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance. Microsoft Intune cihazları kaydetme hakkında daha fazla bilgi için bkz: cihaz kaydı nedir?For more information on enrolling devices in Microsoft Intune, see What is device enrollment?

Bir cihazı Katma seçeneği, cihaz kaydının uzantısıdır.Joining a device is an extension to registering a device. Diğer bir ifadeyle bir cihazı kaydetmenin tüm avantajlarını sağlamanın yanında aynı zamanda bir cihazın yerel durumunu da değiştirir.This means, it provides you with all the benefits of registering a device and in addition to this, it also changes the local state of a device. Yerel durumunu değiştirmek, kullanıcılarınıza kişisel hesap yerine kuruluşa ait bir iş veya okul hesabını kullanarak bir cihazda oturum açma seçeneği sağlar.Changing the local state enables your users to sign-in to a device using an organizational work or school account instead of a personal account.

Azure AD kayıtlı cihazlarAzure AD registered devices

Azure AD kayıtlı cihazların hedefi, Kendi Cihazını Getir (BYOD) senaryosu için destek sağlamaktır.The goal of Azure AD registered devices is to provide you with support for the Bring Your Own Device (BYOD) scenario. Bu senaryoda, kullanıcı bir kişisel cihaz kullanarak kuruluşunuza ait Azure Active Directory denetimli kaynaklarına erişebilir.In this scenario, a user can access your organization’s Azure Active Directory controlled resources using a personal device.

Azure AD kayıtlı cihazlar

Erişim, cihazda girilen bir iş veya okul hesabına bağlıdır.The access is based on a work or school account that has been entered on the device.
Örneğin, Windows 10 kullanıcıların bir kişisel bilgisayara, tablete veya telefona iş veya okul hesabı eklemesine olanak sağlar.For example, Windows 10 enables users to add a work or school account to a personal computer, tablet, or phone.
Bir kullanıcı iş veya okul hesabı eklediğinde cihaz, Azure AD ile kaydedilir ve isteğe bağlı olarak kuruluşunuzun yapılandırdığı mobil cihaz yönetimi (MDM) sistemine kaydedilir.When a user has added a work or school account, the device is registered with Azure AD and optionally enrolled in the mobile device management (MDM) system that your organization has configured. Kuruluşunuzun kullanıcıları kişisel bir cihaza kolaylıkla iş veya okul hesabı ekleyebilir:Your organization’s users can add a work or school account to a personal device conveniently:

  • Bir iş uygulamasına ilk kez erişirkenWhen accessing a work application for the first time
  • Windows 10 için, elle Ayarlar menüsündenManually via the Settings menu in the case of Windows 10

Windows 10, iOS, Android ve macOS için Azure AD kayıtlı cihazları yapılandırabilirsiniz.You can configure Azure AD registered devices for Windows 10, iOS, Android and macOS.

Azure AD’ye katılmış cihazlarAzure AD joined devices

Azure AD'ye katılmış cihazların hedefi şu işlemlerde basitleştirme sağlamaktır:The goal of Azure AD joined devices is to simplify:

  • İşe ait cihazların Windows dağıtımlarıWindows deployments of work-owned devices
  • Herhangi bir Windows cihazından kuruluş uygulamalarına ve kaynaklarına erişimAccess to organizational apps and resources from any Windows device
  • İşe ait cihazların bulut tabanlı yönetimiCloud-based management of work-owned devices

Azure AD kayıtlı cihazlar

Aşağıdaki yöntemlerden birini kullanarak Azure AD'ye Katılım dağıtımı yapılabilir:Azure AD Join can be deployed by using any of the following methods:

Azure AD'ye Katılım, bulut öncelikli (yani şirket içi altyapı kullanımını azaltma amacıyla birincil olarak bulut hizmetlerini kullanma) veya yalnızca bulut (şirket içi altyapısı bulunmayan) duruma geçmek isteyen kuruluşlar için tasarlanmıştır.Azure AD Join is intended for organizations that want to be cloud-first (that is, primarily use cloud services, with a goal to reduce use of an on-premises infrastructure) or cloud-only (no on-premises infrastructure). Azure AD’ye Katılma dağıtımı sağlayabilecek kuruluşlara ilişkin hiçbir büyüklük veya tür kısıtlaması bulunmamaktadır.There are no restrictions on the size or type of organizations that can deploy Azure AD Join. Azure AD’ye Katılma özelliği hibrit ortamlarda bile iyi çalışır ve hem bulut hem de şirket içi uygulamalara ve kaynaklara erişim olanağı sağlar.Azure AD Join works well even in a hybrid environment, enabling access to both cloud and on-premises apps and resources.

Azure AD’ye katılmış cihazların uygulanması aşağıdaki avantajları sağlar:Implementing Azure AD joined devices provides you with the following benefits:

  • Azure yönetimli SaaS uygulamalarınızda ve hizmetlerinizde Çoklu Oturum Açma (SSO).Single-Sign-On (SSO) to your Azure managed SaaS apps and services. Kullanıcılarınız, iş kaynaklarına erişirken ek kimlik doğrulama istemleri görmez.Your users don’t see additional authentication prompts when accessing work resources. SSO işlevselliğini bile, kullanıcılar etki alanı ağına bağlı olduğunda kullanılabilir.The SSO functionality is available, even when your users are not connected to the domain network.

  • Katılan cihazlar arasında kullanıcı ayarlarına ilişkin Kuruluşa uyumlu dolaşım.Enterprise compliant roaming of user settings across joined devices. Kullanıcıların cihazlar arasındaki ayarları görüntülemek için bir Microsoft hesabına (örneğin, Hotmail) bağlı olması gerekmez.Users don’t need to connect a Microsoft account (for example, Hotmail) to see settings across devices.

  • Azure AD hesabı kullanarak İş için Windows Mağazasına Erişim.Access to Windows Store for Business using an Azure AD account. Kullanıcılarınız, kuruluş tarafından önceden seçilen bir uygulama envanterinden seçim yapabilir.Your users can choose from an inventory of applications pre-selected by the organization.

  • İş kaynaklarına güvenli ve kolay erişim için Windows Hello desteği.Windows Hello support for secure and convenient access to work resources.

  • Uygulamalara yalnızca uyumluluk ilkesine uygun cihazlardan erişim kısıtlaması.Restriction of access to apps from only devices that meet compliance policy.

  • Cihaz şirket içi etki alanı denetleyicisini görebildiğinde, şirket içi kaynaklara sorunsuz erişim.Seamless access to on-premises resources when the device has line of sight to the on-premises domain controller.

Azure AD’ye katılma özelliği temel olarak bir şirket içi Windows Server Active Directory altyapısı bulunmayan kuruluşlar için tasarlanmıştır ancak aşağıdaki senaryolarda siz de bu özellikten yararlanabilirsiniz:While Azure AD join is primarily intended for organizations that do not have an on-premises Windows Server Active Directory infrastructure, you can certainly use it in scenarios where:

  • Azure AD ve MDM benzeri Intune kullanarak bulut tabanlı altyapıya geçiş yapmak istediğinizde.You want to transition to cloud-based infrastructure using Azure AD and MDM like Intune.

  • Şirket içi etki alanına katılma özelliğini kullanamadığınız durumlarda; örneğin, tabletler ve telefonlar gibi mobil cihazlar üzerinde denetim sağlamanız gerektiğinde.You can’t use an on-premises domain join, for example, if you need to get mobile devices such as tablets and phones under control.

  • Kullanıcılarınızın temel olarak Office 365 veya Azure AD ile tümleşik diğer SaaS uygulamalarına erişmesi gerektiğinde.Your users primarily need to access Office 365 or other SaaS apps integrated with Azure AD.

  • Active Directory yerine Azure AD’de bir kullanıcı grubunu yönetmek istediğinizde.You want to manage a group of users in Azure AD instead of in Active Directory. Bu dönemsel çalışanlar, yükleniciler veya öğrenciler gibi çeşitli gruplar için uygulanabilir.This can apply, for example, to seasonal workers, contractors, or students.

  • Sınırlı şirket içi altyapısı olan uzak şube ofislerindeki çalışanlara katılma özellikleri sağlamak istediğinizde.You want to provide joining capabilities to workers in remote branch offices with limited on-premises infrastructure.

Windows 10 cihazları için Azure AD’ye katılmış cihazları yapılandırabilirsiniz.You can configure Azure AD joined devices for Windows 10 devices.

Hibrit Azure AD’ye katılmış cihazlarHybrid Azure AD joined devices

On yılı aşkın süredir pek çok kuruluş şirket içi Active Directory alanları için etki alanına katılım uygulayarak:For more than a decade, many organizations have used the domain join to their on-premises Active Directory to enable:

  • BT departmanlarının merkezi bir konumdan işe ait cihazları yönetebilmesini sağlamıştır.IT departments to manage work-owned devices from a central location.

  • Kullanıcıların Active Directory iş veya okul hesapları ile cihazlarında oturum açabilmesini sağlamıştır.Users to sign in to their devices with their Active Directory work or school accounts.

Genel olarak şirket içi ayak izi olan kuruluşlar cihazları kullanıma almak için görüntüleme yöntemlerinden yararlanır ve bu cihazları yönetmek için çoğunlukla System Center Configuration Manager (SCCM) veya grup ilkesi (GP) seçeneğini kullanır.Typically, organizations with an on-premises footprint rely on imaging methods to provision devices, and they often use System Center Configuration Manager (SCCM) or group policy (GP) to manage them.

Ortamınızda şirket içi AD ayak izi varsa ve Azure Active Directory ile sağlanan özelliklerden yararlanmak istiyorsanız hibrit Azure AD’ye katılmış cihazları uygulayabilirsiniz.If your environment has an on-premises AD footprint and you also want benefit from the capabilities provided by Azure Active Directory, you can implement hybrid Azure AD joined devices. Bunlar şirket içi Active Directory'nize katılmış ve Azure Active Directory'nize kaydedilmiş cihazlardır.These are devices that are joined to your on-premises Active Directory and registered with your Azure Active Directory.

Azure AD kayıtlı cihazlar

Aşağıdaki durumlarda Azure AD’ye katılmış hibrit cihazları kullanmanız gerekir:You should use Azure AD hybrid joined devices if:

  • Active Directory makine kimlik doğrulamasına dayalı bu cihazlara dağıtılan Win32 uygulamalarınız varsa.You have Win32 apps deployed to these devices that rely on Active Directory machine authentication.

  • Cihaz yönetimi için GP kullanımını gerekli kılıyorsanız.You require GP to manage devices.

  • Çalışanlarınız için cihazların yapılandırılmasında görüntüleme çözümlerini kullanmaya devam etmek istiyorsanız.You want to continue to use imaging solutions to configure devices for your employees.

Windows 10 için Hibrit Azure AD’ye katılmış cihazları ve Windows 8 ve Windows 7 gibi alt düzey cihazları yapılandırabilirsiniz.You can configure Hybrid Azure AD joined devices for Windows 10 and down-level devices such as Windows 8 and Windows 7.

ÖzetSummary

Azure AD’de cihaz yönetimi ile şunları gerçekleştirebilirsiniz:With device management in Azure AD, you can:

  • Cihazları Azure AD denetimine alma işlemini basitleştirmeSimplify the process of bringing devices under the control of Azure AD

  • Kullanıcılarınıza, kuruluşunuzun bulut tabanlı kaynaklarına kolay erişim olanağı sağlamaProvide your users with an easy to use access to your organization’s cloud-based resources

Genel bir kural olarak şunları kullanmanız gerekir:As a rule of a thumb, you should use:

  • Azure AD kayıtlı cihazlar:Azure AD registered devices:

    • Kişisel cihazlar içinFor personal devices

    • Azure AD ile cihazları elle kaydetmek içinTo manually register devices with Azure AD

  • Azure AD’ye katılmış cihazlar:Azure AD joined devices:

    • Kuruluşunuza ait cihazlar içinFor devices that are owned by your organization

    • Bir şirket içi AD’ye katılmamış cihazlar içinFor devices that are not joined to an on-premises AD

    • Azure AD ile cihazları elle kaydetmek içinTo manually register devices with Azure AD

    • Bir cihazın yerel durumunu değiştirmek içinTo change the local state of a device

  • Bir şirket içi AD’ye katılmış cihazlar için Hibrit Azure AD’ye katılmış cihazlarHybrid Azure AD joined devices for devices that are joined to an on-premises AD

    • Kuruluşunuza ait cihazlar içinFor devices that are owned by your organization

    • Bir şirket içi AD’ye katılmış cihazlar içinFor devices that are joined to an on-premises AD

    • Azure AD ile cihazları otomatik olarak kaydetmek içinTo automatically register devices with Azure AD

    • Bir cihazın yerel durumunu değiştirmek içinTo change the local state of a device

Sonraki adımlarNext steps