Nasıl yapılır: Azure AD katılım uygulamanızı planlama

Kullanıcılarınızın üretken ve güvenli olmasını sağlarken şirket içi Active Directory'ye katılmanıza gerek kalmadan cihazları doğrudan Azure Active Directory'ye (Azure AD) birleştirebilirsiniz. Azure AD katılımı hem ölçekli hem de kapsamlı dağıtımlar için kurumsal kullanıma hazırdır. Şirket içi kaynaklara çoklu oturum açma (SSO) erişimi, Azure AD'ye katılmış cihazlar için de kullanılabilir. Daha fazla bilgi için bkz. Şirket içi kaynaklara yönelik SSO, Azure AD'ye katılmış cihazlarda nasıl çalışır?

Bu makale, Azure AD katılım uygulamanızı planlamak için ihtiyacınız olan bilgileri sağlar.

Önkoşullar

Bu makalede , Azure Active Directory'de cihaz yönetimine giriş hakkında bilgi sahibi olduğunuz varsayılır.

Uygulamanızı planlayın

Azure AD katılım uygulamanızı planlamak için şunları tanımanız gerekir:

  • Senaryolarınızı gözden geçirin
  • Kimlik altyapınızı gözden geçirme
  • Cihaz yönetiminizi değerlendirme
  • Uygulamalar ve kaynaklar için dikkat edilmesi gereken noktaları anlama
  • Sağlama seçeneklerinizi anlama
  • Kurumsal durum dolaşımını yapılandırma
  • Koşullu Erişimi Yapılandırma

Senaryolarınızı gözden geçirin

Azure AD katılımı, Windows ile bulut öncelikli bir modele geçmenizi sağlar. Cihaz yönetiminizi modernleştirmeyi ve cihazla ilgili BT maliyetlerini azaltmayı planlıyorsanız, Azure AD katılımı bu hedeflere ulaşmak için harika bir temel sağlar.

Hedefleriniz aşağıdaki ölçütlerle uyumluysa Azure AD'ye katılmayı göz önünde bulundurun:

  • Microsoft 365'i kullanıcılarınız için üretkenlik paketi olarak benimsemiş olursunuz.
  • Cihazları bir bulut cihaz yönetimi çözümüyle yönetmek istiyorsunuz.
  • Coğrafi olarak dağıtılmış kullanıcılar için cihaz sağlamayı basitleştirmek istiyorsunuz.
  • Uygulama altyapınızı modernleştirmeyi planlıyorsunuz.

Kimlik altyapınızı gözden geçirme

Azure AD katılımı yönetilen ve federasyon ortamlarında çalışır. Çoğu kuruluşun yönetilen etki alanlarıyla dağıtım yapacağına düşünüyoruz. Yönetilen etki alanı senaryoları, Active Directory Federasyon Hizmetleri (AD FS) gibi bir federasyon sunucusunu yapılandırmayı ve yönetmeyi gerektirmez.

Yönetilen ortam

Yönetilen ortam , Parola Karması Eşitleme veya Sorunsuz Çoklu Oturum Açma ile Geçiş Kimlik Doğrulaması aracılığıyla dağıtılabilir.

Federasyon ortamı

Federasyon ortamında hem WS-Trust hem de WS-Fed protokollerini destekleyen bir kimlik sağlayıcısı olmalıdır:

  • WS-Fed: Bir cihazı Azure AD'ye katmak için bu protokol gereklidir.
  • WS-Trust: Azure AD'ye katılmış bir cihazda oturum açmak için bu protokol gereklidir.

AD FS kullanırken aşağıdaki WS-Trust uç noktalarını etkinleştirmeniz gerekir: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Kimlik sağlayıcınız bu protokolleri desteklemiyorsa Azure AD katılımı yerel olarak çalışmaz.

Not

Şu anda Azure AD katılımı, birincil kimlik doğrulama yöntemi olarak dış kimlik doğrulama sağlayıcılarıyla yapılandırılmış AD FS 2019 ile çalışmaz. Azure AD'ye katılma varsayılan olarak birincil yöntem olarak parola kimlik doğrulaması kullanılır ve bu da bu senaryoda kimlik doğrulaması hatalarına neden olur

Kullanıcı yapılandırması

Kullanıcıları aşağıdakiler içinde oluşturursanız:

  • Şirket içi Active Directory'yi Azure AD Connect kullanarak Azure AD ile eşitlemeniz gerekir.
  • Azure AD, ek kurulum gerekmez.

Azure AD UPN'lerinden farklı şirket içi kullanıcı asıl adları (UPN) Azure AD'ye katılmış cihazlarda desteklenmez. Kullanıcılarınız şirket içi UPN kullanıyorsa, Azure AD'de birincil UPN'lerini kullanmaya geçmeyi planlamanız gerekir.

UPN değişiklikleri yalnızca Windows 10 2004 güncelleştirmesi başlatılırken desteklenir. Bu güncelleştirmeye sahip cihazlardaki kullanıcılar UPN'lerini değiştirdikten sonra herhangi bir sorunla karşılaşmayacak. Windows 10 2004 güncelleştirmeden önceki cihazlar için kullanıcıların cihazlarında SSO ve Koşullu Erişim sorunları olacaktır. Bu sorunu çözmek için yeni UPN'lerini kullanarak "Diğer kullanıcı" kutucuğu aracılığıyla Windows'ta oturum açmaları gerekir.

Cihaz yönetiminizi değerlendirme

Desteklenen cihazlar

Azure AD'ye katılım:

  • Windows 10 ve Windows 11 cihazlarını destekler.
  • Windows'un önceki sürümlerinde veya diğer işletim sistemlerinde desteklenmez. Windows 7/8.1 cihazlarınız varsa, Azure AD katılımını dağıtmak için en azından Windows 10'a yükseltmeniz gerekir.
  • FIPS uyumlu TPM 2.0 için desteklenir, ancak TPM 1.2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1.2 varsa, Azure AD katılımına devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan TPM'ler için FIPS modunu devre dışı bırakmak için herhangi bir araç sağlamaz. Destek için donanım OEM'inize başvurun.

Öneri: Güncelleştirilmiş özelliklerden yararlanmak için her zaman en son Windows sürümünü kullanın.

Yönetim platformu

Azure AD'ye katılmış cihazlar için cihaz yönetimi, Intune ve MDM CSP'leri gibi mobil cihaz yönetimi (MDM) platformlarını temel alır. Windows 10'dan başlayarak tüm uyumlu MDM çözümleriyle çalışan yerleşik bir MDM aracısı vardır.

Not

Grup ilkeleri, şirket içi Active Directory'ye bağlı olmadığından Azure AD'ye katılmış cihazlarda desteklenmez. Azure AD'ye katılmış cihazların yönetimi yalnızca MDM aracılığıyla mümkündür

Azure AD'ye katılmış cihazları yönetmek için iki yaklaşım vardır:

  • Yalnızca MDM - Cihaz yalnızca Intune gibi bir MDM sağlayıcısı tarafından yönetilir. Tüm ilkeler MDM kayıt işleminin bir parçası olarak teslim edilir. Azure AD Premium veya EMS müşterileri için MDM kaydı, Azure AD katılımının bir parçası olan otomatik bir adımdır.
  • Ortak yönetim - Cihaz, bir MDM sağlayıcısı ve Microsoft Endpoint Configuration Manager tarafından yönetilir. Bu yaklaşımda, MDM tarafından yönetilen bir cihaza belirli yönleri yönetmek için Microsoft Endpoint Configuration Manager aracısı yüklenir.

Grup İlkeleri kullanıyorsanız, Microsoft Endpoint Manager'da Grup İlkesi analizini kullanarak GPO ve MDM ilke eşliğinizi değerlendirin.

Grup ilkeleri yerine bir MDM çözümü kullanıp kullanamayacağınızı belirlemek için desteklenen ve desteklenmeyen ilkeleri gözden geçirin. Desteklenmeyen ilkeler için aşağıdaki soruları göz önünde bulundurun:

  • Desteklenmeyen ilkeler Azure AD'ye katılmış cihazlar veya kullanıcılar için gerekli mi?
  • Desteklenmeyen ilkeler bulut tabanlı bir dağıtımda geçerli mi?

MDM çözümünüz Azure AD uygulama galerisi aracılığıyla kullanılamıyorsa, MDM ile Azure Active Directory tümleştirmesi bölümünde açıklanan işlemi izleyerek çözümü ekleyebilirsiniz.

Ortak yönetim aracılığıyla, microsoft Endpoint Configuration Manager'ı kullanarak, ilkeler MDM platformunuz aracılığıyla sunulurken cihazlarınızın belirli yönlerini yönetebilirsiniz. Microsoft Intune, Microsoft Endpoint Configuration Manager ile birlikte yönetimi etkinleştirir. Windows 10 veya daha yeni cihazlar için ortak yönetim hakkında daha fazla bilgi için bkz. Ortak yönetim nedir?. Intune dışında bir MDM ürünü kullanıyorsanız ilgili ortak yönetim senaryoları hakkında MDM sağlayıcınıza başvurun.

Öneri: Yalnızca Azure AD'ye katılmış cihazlar için MDM yönetimini göz önünde bulundurun.

Uygulamalar ve kaynaklar için dikkat edilmesi gereken noktaları anlama

Daha iyi bir kullanıcı deneyimi ve erişim denetimi için uygulamaları şirket içinden buluta geçirmenizi öneririz. Azure AD'ye katılmış cihazlar hem şirket içi hem de bulut uygulamalarına sorunsuz bir şekilde erişim sağlayabilir. Daha fazla bilgi için bkz. Şirket içi kaynaklara yönelik SSO, Azure AD'ye katılmış cihazlarda nasıl çalışır?

Aşağıdaki bölümlerde farklı uygulama ve kaynak türleriyle ilgili dikkat edilmesi gerekenler listelenmiştir.

Bulut tabanlı uygulamalar

Azure AD uygulama galerisine bir uygulama eklenirse, kullanıcılar Azure AD'ye katılmış cihazlar aracılığıyla SSO alır. Başka bir yapılandırma gerekmez. Kullanıcılar hem Microsoft Edge hem de Chrome tarayıcılarında SSO'ya sahip olur. Chrome için Windows 10 Hesapları uzantısını dağıtmanız gerekir.

Şu tüm Win32 uygulamaları:

  • Belirteç istekleri için Web Hesabı Yöneticisi'ne (WAM) güvenin ve Azure AD'ye katılmış cihazlarda SSO alın.
  • WAM'ye güvenmeyin, kullanıcılardan kimlik doğrulaması isteyebilir.

Şirket içi web uygulamaları

Uygulamalarınız özel olarak oluşturulmuşsa ve/veya şirket içinde barındırılıyorsa, bunları tarayıcınızın güvenilen sitelerine eklemeniz gerekir:

  • Windows tümleşik kimlik doğrulamasını etkinleştirmek için
  • Kullanıcılara istemsiz bir SSO deneyimi sağlayın.

AD FS kullanıyorsanız bkz. AD FS ile çoklu oturum açmayı doğrulama ve yönetme.

Öneri: Daha iyi bir deneyim için bulutta barındırmayı (örneğin, Azure) ve Azure AD ile tümleştirmeyi göz önünde bulundurun.

Eski protokolleri kullanan şirket içi uygulamalar

Cihazın bir etki alanı denetleyicisine erişimi varsa, kullanıcılar Azure AD'ye katılmış cihazlardan SSO alır.

Not

Azure AD'ye katılmış cihazlar hem şirket içi hem de bulut uygulamalarına sorunsuz bir şekilde erişim sağlayabilir. Daha fazla bilgi için bkz. Şirket içi kaynaklara yönelik SSO, Azure AD'ye katılmış cihazlarda nasıl çalışır?

Öneri: Bu uygulamalar için güvenli erişim sağlamak için Azure AD Uygulama ara sunucusunu dağıtın.

Şirket içi ağ paylaşımları

Bir cihazın şirket içi etki alanı denetleyicisine erişimi olduğunda kullanıcılarınız Azure AD'ye katılmış cihazlardan SSO'ya sahip olur. Bunun nasıl çalıştığını öğrenin

Yazıcı

Şirket içi bağımlılıkları olmayan bulut tabanlı bir yazdırma yönetimi çözümüne sahip olmak için Evrensel Yazdırma'nın dağıtılması önerilir.

Makine kimlik doğrulaması kullanan şirket içi uygulamalar

Azure AD'ye katılmış cihazlar, makine kimlik doğrulamasını kullanan şirket içi uygulamaları desteklemez.

Öneri: Bu uygulamaları kullanmayı ve modern alternatiflerine geçmeyi göz önünde bulundurun.

Uzak Masaüstü Hizmetleri

Azure AD'ye katılmış cihazlara uzak masaüstü bağlantısı için konak makinenin Azure AD'ye katılmış veya hibrit Azure AD'ye katılmış olması gerekir. Bitişik olmayan veya Windows olmayan bir cihazdan uzak masaüstü desteklenmez. Daha fazla bilgi için bkz . Uzak Azure AD'ye katılmış bilgisayara bağlanma

Windows 10 2004 güncelleştirmesinden itibaren kullanıcılar, Azure AD'ye kayıtlı bir Windows 10 veya daha yeni bir cihazdan başka bir Azure AD'ye katılmış cihaza uzak masaüstü de kullanabilir.

RADIUS ve Wi-Fi kimlik doğrulaması

Azure AD'ye katılmış cihazlar şu anda Wi-Fi erişim noktalarına bağlanmak için RADIUS kimlik doğrulamasını desteklememektedir çünkü RADIUS, şirket içi bir bilgisayar nesnesinin varlığına dayanır. Alternatif olarak, Wi-Fi'da kimlik doğrulaması yapmak için Intune veya kullanıcı kimlik bilgileri aracılığıyla gönderilen sertifikaları kullanabilirsiniz.

Sağlama seçeneklerinizi anlama

Not: Azure AD'ye katılmış cihazlar Sistem Hazırlama Aracı (Sysprep) veya benzer görüntüleme araçları kullanılarak dağıtılamaz

Azure AD'ye katılmış cihazları aşağıdaki yaklaşımları kullanarak sağlayabilirsiniz:

  • OOBE/Ayarlar'da self servis - Self servis modunda kullanıcılar, Windows İlk Çalıştırma Deneyimi (OOBE) sırasında veya Windows Ayarları'ndan Azure AD'ye katılma işleminden geçer. Daha fazla bilgi için bkz. İş cihazınızı kuruluşunuzun ağına ekleme.
  • Windows Autopilot - Windows Autopilot, OOBE'de daha sorunsuz bir Azure AD katılım deneyimi için cihazların önceden yapılandırılmasını sağlar. Daha fazla bilgi için bkz. Windows Autopilot'a Genel Bakış.
  • Toplu kayıt - Toplu kayıt, cihazları yapılandırmak için bir toplu sağlama aracı kullanarak yönetici temelli Azure AD katılımını sağlar. Daha fazla bilgi için bkz . Windows cihazları için toplu kayıt.

Bu üç yaklaşımın karşılaştırması aşağıdadır

Öğe Self servis kurulum Windows Autopilot Toplu kayıt
Ayarlamak için kullanıcı etkileşimi gerektir Yes Yes Hayır
BT eforu gerektir Hayır Yes Evet
Uygulanabilir akışlar OOBE & Ayarları Yalnızca OOBE Yalnızca OOBE
Birincil kullanıcı için yerel yönetici hakları Evet, varsayılan olarak Yapılandırılabilir Hayır
Cihaz OEM desteği gerektir Hayır Yes Hayır
Desteklenen sürümler 1511+ 1709+ 1703+

Önceki tabloyu gözden geçirerek ve iki yaklaşımdan birini benimsemeye yönelik aşağıdaki noktaları gözden geçirerek dağıtım yaklaşımınızı veya yaklaşımlarınızı seçin:

  • Kullanıcılarınız, kurulumu kendileri yapmak için deneyimli mi?
    • Self servis bu kullanıcılar için en iyi şekilde kullanılabilir. Kullanıcı deneyimini geliştirmek için Windows Autopilot'ı göz önünde bulundurun.
  • Kullanıcılarınız uzak mı yoksa şirket içinde mi?
    • Self servis veya Autopilot, sorunsuz bir kurulum için uzak kullanıcılar için en iyi şekilde çalışır.
  • Kullanıcı temelli yapılandırmayı mı yoksa yönetici tarafından yönetilen yapılandırmayı mı tercih edebilirsiniz?
    • Toplu kayıt, kullanıcılara teslim etmeden önce cihazları ayarlamak için yönetici temelli dağıtımda daha iyi çalışır.
  • 1-2 OEM'den cihaz satın mı alıyorsunuz, yoksa OEM cihazlarının geniş bir dağıtımına mı sahipsiniz?
    • Autopilot'ı da destekleyen sınırlı OEM'lerden satın alıyorsanız, Autopilot ile daha sıkı tümleştirmeden yararlanabilirsiniz.

Cihaz ayarlarınızı yapılandırma

Azure portalı, kuruluşunuzda Azure AD'ye katılmış cihazların dağıtımını denetlemenize olanak tanır. İlgili ayarları yapılandırmak için Azure Active Directory sayfasında öğesini seçin Devices > Device settings. Daha fazla bilgi edinin

Kullanıcılar cihazları Azure AD’ye ekleyebilir

Bu seçeneği, dağıtımınızın kapsamına ve Azure AD'ye katılmış cihazı ayarlamak istediğiniz kişilere göre Tümü veya Seçili olarak ayarlayın.

Users may join devices to Azure AD

Azure AD’ye katılan cihazlarda ek yerel yöneticiler

Seçili'yi seçin ve tüm Azure AD'ye katılmış cihazlarda yerel yöneticiler grubuna eklemek istediğiniz kullanıcıları seçer.

Additional local administrators on Azure AD joined devices

Cihazları birleştirmek için çok faktörlü kimlik doğrulaması (MFA) iste

"Kullanıcıların Cihazları Azure AD'ye eklerken MFA gerçekleştirmesini istiyorsanız Evet'i seçin.

Require multi-factor Auth to join devices

Öneri: Cihazlara katılmak için MFA'ya zorlamak için Koşullu Erişim'de cihazları kaydetme veya birleştirme kullanıcı eylemini kullanın.

Hareket ayarlarınızı yapılandırma

Mobilite ayarlarınızı yapılandırabilmeniz için önce bir MDM sağlayıcısı eklemeniz gerekebilir.

MDM sağlayıcısı eklemek için:

  1. Azure Active Directory sayfasındakiYönet bölümünde öğesini seçinMobility (MDM and MAM).

  2. Uygulama ekle'yi seçin.

  3. Listeden MDM sağlayıcınızı seçin.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

İlgili ayarları yapılandırmak için MDM sağlayıcınızı seçin.

MDM kullanıcı kapsamı

Dağıtımınızın kapsamına göre Bazıları veya Tümü'ne tıklayın.

MDM user scope

Kapsamınıza bağlı olarak aşağıdakilerden biri gerçekleşir:

  • Kullanıcı MDM kapsamında: Azure AD Premium aboneliğiniz varsa MDM kaydı, Azure AD katılımıyla birlikte otomatikleştirilir. Kapsamı belirlenmiş tüm kullanıcıların MDM'niz için uygun bir lisansa sahip olması gerekir. Bu senaryoda MDM kaydı başarısız olursa Azure AD katılımı da geri alınır.
  • Kullanıcı MDM kapsamında değil: Kullanıcılar MDM kapsamında değilse, Azure AD katılımı MDM kaydı olmadan tamamlanır. Bu kapsam yönetilmeyen bir cihaza neden olur.

MDM URL’leri

MDM yapılandırmanızla ilgili üç URL vardır:

  • MDM kullanım koşulları URL'si
  • MDM bulma URL'si
  • MAM uyumluluk URL’si

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Her URL’de önceden tanımlanmış varsayılan bir değer vardır. Bu alanlar boşsa daha fazla bilgi için MDM sağlayıcınıza ulaşın.

MAM ayarları

MAM, Azure AD katılımı için geçerli değildir.

Kurumsal durum dolaşımını yapılandırma

Kullanıcıların ayarlarını cihazlar arasında eşitleyebilmesi için Azure AD'de durum dolaşımını etkinleştirmek istiyorsanız bkz. Azure Active Directory'de Kurumsal Durum Dolaşımını Etkinleştirme.

Öneri: Hibrit Azure AD'ye katılmış cihazlar için bile bu ayarı etkinleştirin.

Koşullu Erişimi Yapılandırma

Azure AD'ye katılmış cihazlarınız için yapılandırılmış bir MDM sağlayıcınız varsa sağlayıcı, cihaz yönetim altında olduğunda cihazı uyumlu olarak işaretler.

Compliant device

Koşullu Erişim ile bulut uygulaması erişimi için yönetilen cihazlar gerektirmek için bu uygulamayı kullanabilirsiniz.

Sonraki adımlar