Microsoft Intune–Bölüm2 – Group Management – Enroll Devices – Policy Management
Makalemin ilk bölümünde temel olarak intune kavramından, sunduğu özelliklerden, hesap oluşturulması, kullanıcı işlemleri, domain ekleme gibi temel adımları göstermiştim. Bu bölümde ise cihaz ekleme, grup ve ilke işlemlerinden bahsedeceğim.
Makalemin ilk bölümüne aşağıdaki link üzerinden erişebilirsiniz
En son hatırlarsanız kullanıcı tanımlamış ve yöneticiye ( veya kullanıcının diğer bir mail hesabına) aşağıdaki gibi bir bilgilendirme maili gelmişti.
Bu mail kullanıcıyı son derece basit bir şekilde yönlendiriyor zaten. Verilen linke tıkladığınız zaman aşağıdaki gibi şifre değiştirme ekranı geliyor.
Kullanıcı giriş yaptıktan sonra karşısına aşağıdaki gibi bir sayfa açılacaktır.
Sağ üst köşeden cihaz ekleyebilir. Cihaz ekleme için farklı yöntemlerimiz bulunmaktadır. Ben ilk olarak bir masa üstü bilgisayarı eklemek noktasında detay paylaşacağım. Mobil aygıt eklemek için gerekli olan yönergeleri makalemin ilerleyen bölümlerinde paylaşacağım.
Bir bilgisayara intune agent yüklemek yani intune tarafından yönetilen bir aygıt olması için birkaç yöntem kullanabiliriz. Gerekli olan bu agent öncelikle sizin kurumsal işletim sistemi imajınızda olabilir, veya SCCM ve benzeri bir uygulama ile dağıtılabilir. En son olarak ise kendi bilgisayarında yönetici hakkı olan bir çalışan aşağıdaki gibi elle cihaz üzerine agent yükleyebilir.
SCCM,GPO ve benzeri yöntemler ile yükleme yapmak için öncelikle yetkili kullanıcı ile kurulum dosyasını indirmeniz gereklidir.
Yükleme dosyası aynı zamanda sizin hesabınıza ait sertifika içerir. Bu nedenle bu dosyayı iyi korumanız gerekli. Aksi halde bu dosya ile bir bilgisayarı sizin intune hesabınıza cihaz olarak ekleyebilirler.
Bundan sonraki dağıtım adımlarını zaten SCCM, GPO uzmanlığınız ile yapabilirsiniz.
İşletim sistemi imaj dosyasına yerleştirmek için ise;
İndirdiğiniz dosya içeriğini aşağıdaki dizine kopyalayın
%Systemdrive%\Temp\Microsoft_Intune_Setup
Daha sonra intune için kayıt defteri değişikliklerini yapın
%windir%\system32\reg.exe add HKEY_LOCAL_MACHINE\Software\Microsoft\Onlinemanagement\Deployment /v
MicrosoftIntuneEnrollPending /t REG_DWORD /d 1
Daha sonra aşağıdaki komutu setupcomplete.cmd olarak bu dizine kayıt edin “%Windir%\Setup\Scripts”
%systemdrive%\temp\Microsoft_Intune_Setup\Microsoft_Intune_Setup.exe /PrepareEnroll
Son olarak makineyi kapatın ve imajını alın. Bu konuda daha fazla bilgi için
https://technet.microsoft.com/en-us/library/dn646969.aspx#BKMK_Manual
SCCM ve imaj konusu sistem yöneticilerinin hakim olduğu bir konu olduğu için ( Lnyc, Flash player veya yama dağıtımından farklı değildir) ben elle yükleme adımlarını paylaşacağım.
Intune hesabına sahip olan kullanıcı sisteme logon olur ve sağ üst köşeden “Cihaz Ekle” linkine tıklar.
Basit bir yükleme yapıyoruz.
Bu temel yüklemden sonra gerekli olan yüklemeler ark planda yapılır.
Sağ alt köşedeki kum saati yüklemeleri göstermektedir.
Yükleme bittikten sonra ise bu ikona sağ tıklayarak istersek lokal çalışan Microsoft Intune Center, istersek bulut üzerindeki intune portala bağlanabiliriz.
Yukarıdaki ekrandan ise yöneticilerin portal üzerinden yayınladıkları uygulamaları indirebilir, uzak destek talebi yapabilir veya yama yönetimini takip edebilirsiniz. Aynı zamanda Endpoint Protection sayesinde malware koruması da sağlamaktadır.
Mobil aygıt eklemek için ise öncelikle Admin Console üzerinden bunu açmamız gerekiyor.
Admin konsolu için Account portal üzerine üst menüden Admin Console’ a geçebiliriz.
Daha sonra sırası ile
Admin > Mobile Device Management – Set Mobile Device Management Authority
Yukarıdaki gibi bir uyarı gelir ve biz kutucuğu işaretleyerek “Yes” butonuna basarız. Artık mobil aygıt yönetimine hazırız.
Yukarıda görüldüğü gibi tüm cihazlar için uygunluk durumları listelenir.
Hemen bu sayfada mobil cihaz eklemeden önce mobil cihaz için bir güvenlik ilkesi ekleyebilirsiniz. Bunun için aşağıdaki gibi ilgili link’ e tıklamak yeterli olacaktır.
Bundan sonra aşağıdaki adımları izleyerek bir mobil aygıt ekleyebiliriz.
Yukarıdaki gibi otomatik olarak bir pencere açılacaktır. Burada isterseniz Ekleyeceğiniz cihaza özel politikalar oluşturabilirsiniz. Örneğin Android sistemleri veya iOS için mail profili tanımlarsanız cihazlarını sisteme kayıt ettiren kullanıcıların mail profilleri otomatik tanımlanacaktır. Bu bölümü makalemin ilerleyen bölümlerinde paylaşacağım. Bu nedenle şu anda tüm mobil aygıtları kapsayacak temel bir güvenlik politikası tanımlayabiliriz. Buradaki amacımız parola uzunluğu, veri şifreleme gibi bir takım temel güvenlik ayarlarını tanımlamak. Bu sayede bu işlemden sonra eklenen mobil aygıtlar bu policy ile çalışmaya başlayacaktır. Üstüne ek olarak yeni policy’ ler tanımlama şansınız vardır.
Ben önerilen ilkeleri seçtim ancak siz isterseniz ilkeleri kendi şirket ihtiyaçlarınıza göre değiştirebilirsiniz.
Yukarıda gördüğünüz gibi pek çok ayarı isterseniz elle tanımlayabilirsiniz. Bu policy içerisinden alınmış bir ekran görüntüsü olup daha pek çok ayar içermektedir.
Daha sonra bu ilkeyi tüm cihazlara veya istediğiniz – oluşturduğunuz cihazlara atayabilirsiniz.
Mobil aygıtların bağlanması için işletim sistemlerinden bağımsız olarak her üreticinin marketindeki “Company Portal” uygulamasını indirip kuruyoruz. Ben örnek olarak bir android sistemine kurulum yapacağım.
Not: iOS için öne gereksinimler olup bunun için aşağıdaki linki incelemenizi tavsiye ederim.
https://technet.microsoft.com/en-us/library/dc451224-1372-4b84-b641-cfa67cb3849b#BKMKPrereqs
Bu bölümde intune kullanıcı adınız ve şifrenizi giriyorsunuz.
Bu yazılımın işletim sistemi üzerindeki yetkileri ile ilgili bir uyarı çıkıyor, bunu kabul edip ilerliyoruz. ( Yani bu yazılımın neler yapabileceğini bize özetliyor ve kabul edip etmediğimizi soruyor, zaten amacımız cihaz yönetimi olduğu için kabul ediyoruz).
Eğer böyle bir uyarı alıyorsanız intune portalında mobil aygıt yönetimini açmamışsınızdır.
Microsoft bulut servisi ile kuracağımız güvenli bağlantı için kullandığımız sertifikanın ismini değiştirebilirsiniz. Ok diyerek ilerliyoruz.
Enroll işlemi başlıyor.
Enroll işlemi sonucunda yukarıdaki gibi bir ekran bizi karşılıyor.
Cihaz hakkında bilgi alabiliyoruz. Üzerine tıkladığımız zaman ise aşağıdaki gibi detay bilgilere sahip olabiliriz
Gördüğünüz gibi telefonumun şirket politikalarına göre uyumlu olarak (in compliance) olduğunu görebiliyoruz.
Evet, mobil aygıt yüklemesini de yapmış olduk. Tabiki şu anda arka planda cihazın şifrelenmesi ve benzeri işlemler yürütülecektir. Malum varsayılan policy ile gelen kurallar işletilecektir.
Makalemin bu bölümünün de sonuna geldim. Bir sonraki bölümde görüşmek üzere.
Kaynak
https://technet.microsoft.com/library/dn646983.aspx
https://technet.microsoft.com/tr-tr/library/jj573650.aspx