Azure Active Directory cihaz dağıtımınızı planlama

Bu makale, cihazınızı Azure AD ile tümleştirme yöntemlerini değerlendirmenize, uygulama planını seçmenize ve desteklenen cihaz yönetim araçlarına önemli bağlantılar sağlamanıza yardımcı olur.

Kullanıcılarınızın cihazlarının ortamı sürekli genişliyor. Kuruluşlar masaüstü bilgisayarlar, dizüstü bilgisayarlar, telefonlar, tabletler ve diğer cihazları sağlayabilir. Kullanıcılarınız kendi cihaz dizilerini getirebilir ve çeşitli konumlardan bilgilere erişebilir. Bu ortamda, yönetici olarak göreviniz kuruluş kaynaklarınızın tüm cihazlarda güvenli kalmasını sağlamaktır.

Azure Active Directory (Azure AD), kuruluşunuzun cihaz kimlik yönetimiyle bu hedeflere ulaşmasını sağlar. Artık cihazlarınızı Azure AD'ye alabilir ve Azure portal merkezi bir konumdan denetleyebilirsiniz. Bu işlem size birleşik bir deneyim, gelişmiş güvenlik sağlar ve yeni bir cihaz yapılandırmak için gereken süreyi azaltır.

Cihazlarınızı Azure AD ile tümleştirmek için kullanabileceğiniz birden çok yöntem vardır; bunlar işletim sistemine ve gereksinimlerinize göre ayrı ayrı veya birlikte çalışabilir:

Learn

Başlamadan önce cihaz kimlik yönetimine genel bakış hakkında bilgi sahibi olduğunuzdan emin olun.

Avantajlar

Cihazlarınıza Azure AD kimliği vermenin temel avantajları:

  • Üretkenliği artırın: Kullanıcılar şirket içi ve bulut kaynaklarınızda sorunsuz oturum açma (SSO) gerçekleştirerek nerede olurlarsa olsunlar üretkenliği sağlayabilirler.

  • Güvenliği artırma – Cihazın veya kullanıcının kimliğine göre kaynaklara Koşullu Erişim ilkeleri uygulayın. Bir cihazı Azure AD'ye eklemek , Parolasız stratejiyle güvenliğinizi artırmanın önkoşullarıdır.

  • Kullanıcı deneyimini geliştirme – Kullanıcılarınıza hem kişisel hem de kurumsal cihazlardan kuruluşunuzun bulut tabanlı kaynaklarına kolay erişim sağlayın. Yöneticiler, tüm Windows cihazlarda birleşik bir deneyim için Enterprise Durum Dolaşımını etkinleştirebilir.

  • Dağıtımı ve yönetimi basitleştirme : Windows Autopilot, toplu sağlama veya self servis: İlk Çalıştırma Deneyimi (OOBE) ile cihazları Azure AD'ye getirme sürecini basitleştirin. Microsoft Intune gibi Mobil Cihaz Yönetimi (MDM) araçlarıyla cihazları ve Azure portal kimliklerini yönetin.

Dağıtım projesini planlama

Ortamınızda bu dağıtımın stratejisini belirlerken kurumsal gereksinimlerinizi göz önünde bulundurun.

Doğru paydaşlarla etkileşime geçin

Teknoloji projeleri başarısız olduğunda genellikle etki, sonuç ve sorumluluklar üzerindeki beklentilerin eşleşmemesi nedeniyle başarısız olur. Bu zorlukları önlemek için doğru paydaşlarla etkileşime girdiğinizden ve projedeki paydaş rollerinin iyi anlaşıldığından emin olun.

Bu plan için aşağıdaki paydaşları listenize ekleyin:

Rol Açıklama
Cihaz yöneticisi Planınızın kuruluşunuzun cihaz gereksinimlerini karşıladığını doğrulayabilen cihaz ekibi temsilcisi.
Ağ yöneticisi Ağ gereksinimlerini karşıladığınızdan emin olabilecek ağ ekibi temsilcisi.
Cihaz yönetimi ekibi Cihazların envanterini yöneten ekip.
İşletim sistemine özgü yönetici ekipleri Belirli işletim sistemi sürümlerini destekleyen ve yöneten Teams. Örneğin, Mac veya iOS odaklı bir ekip olabilir.

İletişimi planlama

İletişim, yeni bir hizmetin başarısı için kritik öneme sahiptir. Kullanıcılarınızla deneyimlerinin nasıl değişeceğini, ne zaman değişeceğini ve sorun yaşarlarsa nasıl destek kazanacaklarını proaktif bir şekilde iletin.

Pilot planlayın

Tümleştirme yönteminizin ilk yapılandırmasının bir test ortamında veya küçük bir test cihazı grubuyla birlikte olması önerilir. Bkz. Pilot için en iyi yöntemler.

Hibrit Azure AD katılımını tüm kuruluş genelinde etkinleştirmeden önce hedefli bir dağıtım yapmak isteyebilirsiniz.

Uyarı

Kuruluşlar, pilot gruplarındaki farklı rol ve profillerden bir kullanıcı örneği içermelidir. Hedeflenen bir dağıtım, tüm kuruluş için etkinleştirmeden önce planınızın çözemeyebilir sorunları belirlemenize yardımcı olur.

Tümleştirme yöntemlerinizi seçin

Kuruluşunuz tek bir Azure AD kiracısında birden çok cihaz tümleştirme yöntemi kullanabilir. Amaç, cihazlarınızın Azure AD'de güvenli bir şekilde yönetilmesi için uygun yöntemleri seçmektir. Sahiplik, cihaz türleri, birincil hedef kitle ve kuruluşunuzun altyapısı dahil olmak üzere bu kararı veren birçok parametre vardır.

Aşağıdaki bilgiler hangi tümleştirme yöntemlerini kullanacağınıza karar vermenize yardımcı olabilir.

Cihaz tümleştirmesi için karar ağacı

Kuruluşa ait cihazların seçeneklerini belirlemek için bu ağacı kullanın.

Not

Kişisel veya kendi cihazını getir (KCG) senaryoları bu diyagramda gösterilmez. Bunlar her zaman Azure AD kaydıyla sonuçlanır.

Decision tree

Karşılaştırma matrisi

iOS ve Android cihazlar yalnızca Azure AD kayıtlı olabilir. Aşağıdaki tabloda, Windows istemci cihazlarıyla ilgili üst düzey konular ele alınmalıdır. Genel bakış olarak kullanın ve ardından farklı tümleştirme yöntemlerini ayrıntılı olarak keşfedin.

Değerlendirme Azure AD kayıtlı Azure AD'ye katılmış Hibrit Azure AD'ye katılmış
İstemci işletim sistemleri
cihazları Windows 11 veya Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Alt düzey cihazları Windows (Windows 8.1 veya Windows 7) Checkmark for these values.
Oturum açma seçenekleri
Son kullanıcı yerel kimlik bilgileri Checkmark for these values.
Parola Checkmark for these values. Checkmark for these values. Checkmark for these values.
Cihaz PIN'i Checkmark for these values.
Windows Hello Checkmark for these values.
İş İçin Windows Hello Checkmark for these values. Checkmark for these values.
FIDO 2.0 güvenlik anahtarları Checkmark for these values. Checkmark for these values.
Microsoft Authenticator Uygulaması (parolasız) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Temel işlevler
Bulut kaynaklarına SSO Checkmark for these values. Checkmark for these values. Checkmark for these values.
Şirket içi kaynaklarda çoklu oturum açma Checkmark for these values. Checkmark for these values.
Koşullu Erişim
(Cihazların uyumlu olarak işaretlenmesini gerektir)
(MDM tarafından yönetilmelidir)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Koşullu Erişim
(Hibrit Azure AD'ye katılmış cihazlar iste)
Checkmark for these values.
Windows oturum açma ekranından self servis parola sıfırlama Checkmark for these values. Checkmark for these values.
PIN sıfırlamayı Windows Hello Checkmark for these values. Checkmark for these values.

Azure AD Kaydı

Kayıtlı cihazlar genellikle Microsoft Intune ile yönetilir. Cihazlar, işletim sistemine bağlı olarak çeşitli yollarla Intune kaydedilir.

Azure AD kayıtlı cihazlar, Bulut kaynaklarına SSO'ya Kendi Cihazlarını Getir (KCG) ve şirkete ait cihazlar için destek sağlar. Kaynaklara erişim, cihaza ve kullanıcıya uygulanan Azure AD Koşullu Erişim ilkelerini temel alır.

Cihazları kaydetme

Kayıtlı cihazlar genellikle Microsoft Intune ile yönetilir. Cihazlar, işletim sistemine bağlı olarak çeşitli yollarla Intune kaydedilir.

KCG ve şirkete ait mobil cihaz, Şirket portalı uygulamasını yüken kullanıcılar tarafından kaydedilir.

Cihazlarınızı kaydetmek kuruluşunuz için en iyi seçenekse aşağıdaki kaynaklara bakın:

Azure AD'ye katılım

Azure AD katılımı, Windows ile bulut öncelikli bir modele geçmenizi sağlar. Cihaz yönetiminizi modernleştirmeyi ve cihazla ilgili BT maliyetlerini azaltmayı planlıyorsanız harika bir temel sağlar. Azure AD katılımı yalnızca Windows 10 veya daha yeni cihazlarla çalışır. Bunu yeni cihazlar için ilk seçenek olarak düşünün.

Azure AD'ye katılmış cihazlar, kuruluşun ağındayken şirket içi kaynaklara SSO yapabilir , dosya, yazdırma ve diğer uygulamalar gibi şirket içi sunucularda kimlik doğrulaması yapabilir.

Bu seçenek kuruluşunuz için en uygun seçenekse aşağıdaki kaynaklara bakın:

Azure AD'ye Katılmış cihazları sağlama

Azure AD katılımına cihaz sağlamak için aşağıdaki yaklaşımlara sahipsiniz:

Bir cihazda Windows 10 Professional veya Windows 10 Enterprise yüklüyse deneyim, varsayılan olarak şirkete ait cihazlar için kurulum işlemine ayarlanır.

Bu yaklaşımları dikkatle karşılaştırdıktan sonra dağıtım yordamınızı seçin.

Azure AD katılımının farklı bir durumdaki bir cihaz için en iyi çözüm olduğunu belirleyebilirsiniz. Aşağıdaki tabloda bir cihazın durumunun nasıl değiştir olduğu gösterilmektedir.

Geçerli cihaz durumu İstenen cihaz durumu Nasıl yapılır
Şirket içi etki alanına katılmış Azure AD'ye katılmış Azure AD'ye katılmadan önce cihazın şirket içi etki alanından bağlantısını kaldırın.
Hibrit Azure AD'ye katılmış Azure AD'ye katılmış Azure AD'ye katılmadan önce şirket içi etki alanından ve Azure AD'den cihazın katılmasını kaldırın.
Azure AD kayıtlı Azure AD'ye katılmış Azure AD'ye katılmadan önce cihazın kaydını kaldırın.

Hibrit Azure AD'ye katılım

şirket içi Active Directory bir ortamınız varsa ve mevcut etki alanına katılmış bilgisayarlarınızı Azure AD'ye eklemek istiyorsanız, bu görevi karma Azure AD katılımıyla gerçekleştirebilirsiniz. Hem Windows güncel hem de Windows alt düzey cihazlar dahil olmak üzere çok çeşitli Windows cihazlarını destekler.

Çoğu kuruluşun zaten etki alanına katılmış cihazları vardır ve bunları grup ilkesi veya System Center Configuration Manager (SCCM) aracılığıyla yönetirler. Bu durumda, mevcut yatırımları kullanırken avantaj elde etmeye başlamak için hibrit Azure AD katılımını yapılandırmanızı öneririz.

Kuruluşunuz için en iyi seçenek karma Azure AD katılımıysa aşağıdaki kaynaklara bakın:

Cihazlarınıza hibrit Azure AD katılımı sağlama

Kimlik altyapınızı gözden geçirin. Azure AD Bağlan, karma Azure AD katılımını yapılandırmak için aşağıdakiler için bir sihirbaz sağlar:

Azure AD Bağlan'nin gerekli sürümünü yüklemek sizin için bir seçenek değilse bkz. Karma Azure AD katılımını el ile yapılandırma.

Not

Şirket içi etki alanına katılmış Windows 10 veya daha yeni bir cihaz, varsayılan olarak hibrit Azure AD'ye katılmak için Azure AD'ye otomatik olarak katılmayı dener. Bu, yalnızca doğru ortamı ayarladıysanız başarılı olur.

Hibrit Azure AD katılımının farklı durumdaki bir cihaz için en iyi çözüm olduğunu belirleyebilirsiniz. Aşağıdaki tabloda bir cihazın durumunun nasıl değiştir olduğu gösterilmektedir.

Geçerli cihaz durumu İstenen cihaz durumu Nasıl yapılır
Şirket içi etki alanına katılmış Hibrit Azure AD'ye katılmış Azure'a katılmak için Azure AD connect veya AD FS kullanın.
Şirket içi çalışma grubuna katılmış veya yeni Hibrit Azure AD'ye katılmış Windows Autopilot ile desteklenir. Aksi takdirde cihazın hibrit Azure AD'ye katılmadan önce şirket içi etki alanına katılmış olması gerekir.
Azure AD'ye katılmış Hibrit Azure AD'ye katılmış Şirket içi çalışma grubuna veya yeni duruma getiren Azure AD'den katılmayı kaldırın.
Azure AD kayıtlı Hibrit Azure AD'ye katılmış Windows sürümüne bağlıdır. Bu önemli noktalara bakın.

Cihazlarınızı yönetme

Cihazlarınızı Azure AD'ye kaydettikten veya birleştirdikten sonra, cihaz kimliklerinizi yönetmek için merkezi bir yer olarak Azure portal kullanın. Azure Active Directory cihazlar sayfası şunları sağlar:

Eski cihazları yöneterek ortamı temiz tuttuğunuzdan emin olun ve kaynaklarınızı geçerli cihazları yönetmeye odaklayın.

Desteklenen cihaz yönetim araçları

Yöneticiler, diğer cihaz yönetim araçlarını kullanarak kayıtlı ve katılmış cihazları güvenli ve daha fazla denetleyebiliyor. Bu araçlar depolamanın şifrelenmesini gerektirme, parola karmaşıklığı, yazılım yüklemeleri ve yazılım güncelleştirmeleri gibi yapılandırmaları zorunlu kılmanın bir yolunu sağlar.

Tümleşik cihazlar için desteklenen ve desteklenmeyen platformları gözden geçirin:

Cihaz yönetimi araçları Azure AD kayıtlı Azure AD'ye katılmış Hibrit Azure AD'ye katılmış
Mobil Cihaz Yönetimi (MDM)
Örnek: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Microsoft Intune ve Microsoft Endpoint Configuration Manager ile ortak yönetim
(Windows 10 veya daha yenisi)
Checkmark for these values. Checkmark for these values.
Grup ilkesi
(yalnızca Windows)
Checkmark for these values.

Kayıtlı iOS veya Android cihazlar için cihaz yönetimiyle veya cihaz yönetimi olmadan mobil uygulama yönetimi (MAM) Microsoft Intune göz önünde bulundurmanızı öneririz.

Yöneticiler ayrıca, kaynakları birleştirme ve merkezileştirme yoluyla yönetimi kolaylaştırmak ve maliyetleri azaltmak için kuruluşlarında Windows işletim sistemlerini barındıran sanal masaüstü altyapısı (VDI) platformları dağıtabilir.

Sonraki adımlar