Microsoft Intune, mobile cihaz yönetimi (MDM) ve mobil uygulama yönetimi (MAM) sağlayan bir bulut hizmetidir. Kişisel veya kurum envanterinde olsun bilgisayar, tablet ve telefon gibi cihazların hem belirli güvenlik standartlarına sahip olmasını sağlayabilir hem de şirket kaynaklarını kullanım şekillerini belirleyebilirsiniz. Bu esnada şirket verisi ile kişisel verilerin ayrımını da yapabilirsiniz. Ek olarak Intune ile Office uygulamalarının dağıtımını da gerçekleştirebilirsiniz.
Aslında Intune çalışma mantığı ve yetenekleri geleneksel yapılarımızdaki Active Directory Domain ve GPO yapısına çok benziyor. Tabi mobil kullanıcıları olan işletmeler için geleneksel yapılar biraz çağdışı kalabiliyor. Intune kullandığınızdaysa cihazların sadece internete bağlı olması size lokasyon bağımsız bir yönetim deneyimi sunar. Bu noktada işe, bir cihazı intune’a kayıt ederek başlıyorsunuz. Tıpkı bilgisayarı domain’e almak gibi. Sonrasında gerek uyumluluk gerekse güvenlik amaçlı bir takım ilkeleri bu cihaza uygulayabiliyorsunuz. Bu da group policy mantığına benziyor. Aynı zamanda cihazlarınıza dair bir uyumluluk raporu da alabiliyorsunuz. Şimdi teknik ve benzetmeli anlatımdan sonra biraz daha detaya girelim.
Intune kullanmak için ne gerekir?
Intune kullanıcı/cihaz bazlı lisansla modeli ile çalışır. Ayrıca Intune yönetimi için yönetici hesap da lisanslı olmalıdır. Fakat bunun için bir alternatif metot mevcut.
Endpoint Manager>>Kiracı yönetimi>>Roller>>Yönetici lisansı menüsünden “Lisanssız yöneticilere erişim izni ver” seçeneğini aktif edebilirsiniz. Bu özellik ile ilgili yaptığınız değişikliği bir daha geri alamazsınız.
Intune lisansı, Microsoft 365 abonelik paketleri içerisine dahil olabildiği gibi tek başına da satin alınabilir. Hatta kullanıcı yönetim özelliklerini kenara bırakarak sadece cihaz bazlı lisans kullanımı da yapabilirsiniz.
Intune içeren Microsoft 365 abonelikleriyse aşağıdaki gibidir;
· Microsoft 365 E5
· Microsoft 365 E3
· Enterprise Mobility + Security E5
· Enterprise Mobility + Security E3
· Microsoft 365 Business Premium
· Microsoft 365 F1
· Microsoft 365 F3
· Microsoft 365 Kamu G5
· Microsoft 365 Kamu G3
· Eğitim için Intune
Lisansı aldık ve kullanıcılara atadık. Şimdi ne yapacağız?
Bu aşamada kullanıcıların şirket kaynaklarına eriştikleri cihazlarda (Windows, Mac, IOS veya Android) ilgili şirket hesabını kullanarak cihazı Intune’a kaydetmeniz gerekiyor.
Örneğin Windows 10 ve 11’de Ayarlar>>Hesaplar>>İş veya okul hesabı menüsünden Bağlan diyerek cihazı şirket hesabınız ile Azure Active Directory’ye bağlamanız gerekiyor. Otomatik kayıt etkinleştirildiği taktirde Azure Active Directory’ye bağlanan cihazlar otomatik olarak Intune’a kayıt olacaktır.
Farklı platformda Intune’a nasıl kayıt olabileceğiniz ile ilgili buradan detaylı bilgi edinebilirsiniz.
Cihazlar Intune’a kayıt olduktan sonra yönetilebilir hale gelecektir fakat herkesin her oturum açtığı cihazla şirket kaynaklarına erişmesine de izin vermemeliyiz. Bu noktada basit fakat etkili bir yöntem bulunmakta.
Uyumluluk Politikaları (Compliance Policies) ile politika içerisinde belirttiğimiz kriterlere uymayan cihazların uyumsuz olarak işaretlenmesini sağlayabiliyoruz. Örneğin IOS platformları için oluşturduğum bir Uyumluluk politikasında işletim sistemi 15.4.1 altında olan cihazlar uyumsuz olarak işaretlensin demiştim. Aşağıda gördüğünüz gibi Intune’a kayıt olmayı deneyen bir kullanıcının telefonu Not Compliant yani uyumlu değil olarak işaretlenmiş.
Bu sayede cihaz sahibi kayıt ekranında hem de mail üzerinden konuyla ilgili bilgilendirilecek ve şirket kaynaklarını kullanmak için cihazını gerekli işletim sistemine yükseltmesi gerekecek.
Cihazı Intune’a kayıt ettikten sonra ise önümüzde iki yönetim modeli bulunmakta. Mobile Device Management (MDM) ve Mobile Application Management (MAM)
MDM, tamamen cihaz yönetimi odaklı ve kayıtlı cihazın tüm yönetimsel özelliklerini (wipe etmek de buna dahil) kullanabilen yöntemdir. Cihazın yapılandırma ayalarını değiştirebildiğiniz gibi kullanıcıları bazı özelliklerin kullanımından da mahrum bırakabiliyorsunuz.
Örneğin kullanıcının bilgilsayarında USB depolama cihazı çalıştırmasını engelleyebilirsiniz. Ya da USB depolama aygıtını okuyabilsin ama yazamasın gibi.
MAM ise cihaz yönetiminden ziyade sadece şirket uygulama/verisinin korunması için politikalar uyguladığımzı yöntemdir. Bu yöntemi kullandığımız cihazların Intune’a kayıt olmasına gerek yoktur. Genellikle çalışanların şahsi cihazları bu kapsamda yönetilebilir.
Uygulama yönetimi ve verilerinizin kullanıcıların kişisel verilerinden izole edilmesi için detaylı politikalar uygulanabilir. Basit bir örnek: Kullanıcının şirket verilerinizi diğer uygulamalara kopyalanmasını engelleyebilirsiniz.
Bu iki ana başlığa ek olarak Intune ile cihazları izlemek veya yapılandırmaları hakkında rapor üretmek gibi fonksiyonlara da sahip olursunuz. Hatta intune ile birlikte oldukça detaylı Conditional Access ilkeleri de oluşturabilirsiniz.
Umarım bu yazı Intune hakkında anlaşılır bir ön bilgi sahibi olmanızı sağlamıştır.Yakın zamanda Intune ile ilgili açıklamalara ve örneklere yer verdiğim farklı yazıları da yayınlıyor olacağım.
