Microsoft Entra Hybrid-Joined, Entra-joined ve Entra-Registered Cihazlar ve Özellikleri

Kuruluşlar, odak noktalarını geleneksel On-Prem. Active Directory Joined cihazlardan Microsoft Entra ID entegre modele kaydırmıştır. Endpoint olarak da adlandırılan cihazlar (bilgisayar, tablet, telefon vs.) Microsoft'un Zero Trust (sıfır güven) konseptinin önemli bir parçasıdır. Cihazları Entra ID'ye entegre etmek, kurumların Zero Trust (sıfır güven)  stratejisini benimsemesini ve Microsoft 365 Tenant'ına ve kurumsal uygulamalara erişimi denetlemek için cihazlarda Conditional Access kullanmasını sağlar. Conditional Access (koşullu erişim), hizmetlere erişime izin vermek veya erişimi engellemek için karar ölçütlerinden biri olarak cihaz bilgilerini kullanır.

Neden Sıfır Güven?

Zero Trust, "asla güvenme, her zaman doğrula" prensibine dayanan modern bir güvenlik stratejisidir. Günümüzde kurumlar, modern ortamın karmaşıklığına daha etkili biçimde uyum sağlayan, hibrit işyeri senaryosunu benimseyen, ayrıca kişileri, cihazları, uygulamaları ve verileri bulundukları yerde koruyan yeni bir güvenlik modeline ihtiyaç duyuyor.

• Sıfır Güven, kimlik ve cihaz koruması temeliyle başlar.
• Tehdit koruma özellikleri, güvenlik tehditlerinin gerçek zamanlı olarak izlenmesini ve düzeltilmesini sağlamak için bu temelin üzerine inşa edilmiştir.
• Bilgi koruma ve yönetiim, bilgilerinizi korumak ve kişisel bilgilerin korunması da dahil olmak üzere uyumluluk standartlarına uymanıza yardımcı olmak için belirli veri türlerini hedefleyen gelişmiş kontroller sağlar.



Zero Trust (sıfır güven) temeli oluşturmanın ilk adımı, kimlik ve cihaz erişim ilkelerini yapılandırmaktır. Bunun için öncelikle cihazların Entra ID'ye nasıl entegre olduklarını ve bulut entegre çalışan cihazların özelliklerini iyi kavramamız gerekiyor.

Microsoft 365 için 3 farklı Microsoft Entra Join seçeneği bulunmaktadır. Bunlar:
1- Microsoft Entra Hybrid Joined
2- Microsoft Entra Joined
3- Microsoft Entra Registered

Microsoft Entra Hybrid Joined Devices

Entra ID'ye (Azure AD) katılan cihazlar bir kuruluşa aittir ve bu kuruluşa ait bir Active Directory Domain Services hesabıyla oturum açılır. Bulutta ve şirket içinde bulunurlar. Ortamınızda On-Prem. Active Directory yapısı varsa ve Entra ID (Azure AD) tarafından sağlanan özelliklerden de yararlanmak istiyorsanız, Microsoft Entra Hybrid Joined cihazlar kullanabilirsiniz. Bu cihazlar, On-Prem. Active Directory yapınıza katılan ve Azure Entra ID'nize (Azure AD) kaydedilen cihazlardır.

Bu senaryolarda bir kullanıcı, bir kuruluşa ait cihaz kullanarak hem kuruluş içindeki On-Prem. Active Directory yapısı içinde cihaz denetimine tabi olur, hem de kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.

Daha önce de belirtildiği gibi, Hybrid Joined cihazlar hem On-Prem. AD'ye hem de Entra ID'ye Join olabilirler. İlk olarak, Join işlemi gerçekleştirilmeden önce cihaz nesnesinin Entra ID'de bulunması gerekir. Entra ID'ye hibrit cihaz nesnesi oluşturmanın iki yolu vardır: Entra ID Connect ile On-Prem AD'den Sync. edilebilir (eşitlenebilir) veya AD FS (Active Directory Federation Services) aracılığıyla oluşturulabilir. İkinci yöntemde cihaz nesnesi, Entra ID'de hemen oluşturulurken, ilk yöntemde nesne, bir sonraki Sync. (eşitleme) döngüsü sırasında oluşturulur.

Bir diğer önemli nokta, kullanıcı değil, cihaz sistem katılır. Join sırasında kullanılan kimlik doğrulama yöntemi, cihaz nesnesinin Entra ID'ye nasıl oluşturulduğuna bağlıdır. Entra ID Connect eşitlemesi için kimlik doğrulaması, kayıt isteğinin bir bölümünün bilgisayarın makine sertifikasının özel anahtarıyla imzalanmasıyla gerçekleştirilir. Entra ID, imzayı makine sertifikasının ortak anahtarıyla doğrulayarak bilgisayarın kimliğini doğrulayabilir. Ortak anahtar, cihaz nesnesinin reserved1 attribute'unda Entra ID'ye kaydedilir.




Entra ID Connect Sync. (eşitleme) işlem akışına aşağıdaki adımlarla gerçekleşir:
• Entra ID'de bir SCP (Service Connection Point) oluşturulması gerekir. Bu, genellikle Entra ID Connect Wizard tarafından gerçekleştirilir. SCP'yi el ile de oluşturabilirsiniz ancak Entra ID Connect, bunu bizim için yapabildiğinden, elle yapılandırılmasını önermem.
• On-Prem AD Joined cihazlar, SCP'yi otomatik olarak okur ve SCP'de bulunan Tenant bilgileriyle kaydolmayı dener. Bu, Entra ID Connect cihazı Entra ID ile eşitleyene kadar başarısız olur. Şu da var ki Entra ID Connect, On-Prem AD'deki cihaz nesnesinde bulunan userCertificate Attribute değeri olmayan cihazları eşitleyemez.
• Cihazlarda automatic-device-join zamanlanmış görevi çalışır. Bu görev, Entra ID Tenant'a kaydolmayı dener ve ayrıca Active Directory'ye gönderilen userCertificate değerini oluşturur.
• On-Prem AD'deki cihaz nesnesinde bulunan userCertificate değeri bulunduğunda Azure AD Connect, Cihaz bilgilerini Entra ID ile eşitler. Ancak kayıt işlemi tamamlanmamıştır ve cihaz kaydı tamamlayana kadar Pending (beklemede) olarak gösterilir.
• Entra ID Connect Connect cihaz bilgilerini Entra ID ile eşitledikten sonra automatic-device-join görevi bir sonraki çalışmasında, cihaz kaydı tamamlanır ve cihaz düzgün şekilde kaydedilmiş olur. Cihaz, Entra ID'deki Devices > All Devices altında Microsoft Entra hybrid joined olarak gösterilir.

Microsoft Entra Hybrid Joined Cihazlar için cihaz özellikleri ve politika uygulamaları:
• Cihaz politikaları, On-Prem. Active Directory GPO'lar üzerinden tetiklenir.
• Cihaz hesabı On-Prem. Active Directory'de bulunur.
• On-Prem. Active Directory, kullanıcı oturumunu işlemek için kullanılır, Domain ortamında periyodik oturum açma gereklidir.
• Microsoft Entra Hybrid Joined cihazlara uygulanamayan belirli GPO nesneleri vardır.
• Cihazlar, yönetim yeteneklerinde bazı sınırlamalarla birlikte Intune tarafından yönetilebilir, Intune kaydı gereklidir.
• Cihazlar SCCM tarafından da yönetilebilir, Management Agent ve Enrollment (cihaz kaydı) gereklidir. Ayrıca cihaz, kuruluş Network yapısı dışında bağlanıyorsa, HTTPS özellikli Management Point (yönetim noktası) gereklidir.
• Cihaz hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
• Kullanıcı hesabı politikaları, kullanıcı kimliğinin bulunduğu yere göre devralınacaktır.
• Yalnızca Entra ID kullanıcı hesabı, hibrit cihazlarda oturum açarken önemli sınırlamalara sahip olacaktır.
• Entra ID ile eşitlenen On-Prem. Active Directory kimliğinde olduğu gibi, oturum açan kullanıcının kimliğine bağlı olarak hibrit cihazlar için sınırlı bir Conditional Access Policy kullanılabilir.
• Intune Device Compliance Polic'ler (cihaz uyumluluk politikaları) ve güvenlik kuralları, Device Management Point (cihaz yönetim noktası) doğrulamasına dayalı olarak uygulanır.
• Hybrid-Joined cihazlar için sınırlı sayıda Conditional Access Policy mevcuttur.
• SSO özellikli Single Sign, On-Prem. Active Directory ve Azure hizmetlerinde kullanılabilir.

Microsoft Entra Joined Devices

Entra ID'ye (Azure AD) katılan cihazlar bir kuruluşa aittir ve bu kuruluşa ait bir Azure Active Directory hesabıyla oturum açılır. Yalnızca bulutta bulunurlar. Microsoft Entra Join, bulut öncelikli veya yalnızca bulut öncelikli olmak isteyen kuruluşlar için tasarlanmıştır. Boyutu veya sektörü ne olursa olsun tüm kuruluşlar Entra ID (Azure AD) join cihazlarını dağıtabilir. Microsoft Entra ID (Azure AD) join, hem bulut hem de şirket içi uygulamalara ve kaynaklara erişim sağlayarak hibrit bir ortamda bile çalışır.

Bu senaryolarda bir kullanıcı, bir kuruluşa ait veya kişisel bir cihaz kullanarak bulut öncelikli veya yalnızca bulut öncelikli olarak kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.




Microsoft Entra Joined Cihazlar için cihaz özellikleri ve politika uygulamaları:
• Cihaz politikaları, Intune ve Azure Security Center'de Kullanıcı ve Cihaz ilkesinden tetiklenir.
• Cihaz hesabı, Entra ID'de bulunur.
• Bir kullanıcı oturumunu işlemek için yalnızca Entra ID kimliği kullanılabilir.
• On-Prem Active Directory'deki GPO'lar politika uygulama için kullanılmaz.
• Intune veya Endpoint Manager, cihaz yönetim noktasıdır.
• Cihazlar, On-Prem. SCCM tarafından yönetilebilir ve HTTPS özellikli Management Point (yönetim noktası) gereklidir.
• Conditional Access politikaları, cihaz ve kullanıcı için kullanılabilir.
• Cihaz ve Kullanıcı güvenliği Azure politikası, Intune Device Compliance politikaları, güvenlik politika ve kuralları aracılığıyla sağlanır.
• SSO özellikli Single Sign, Entra ID'ye Join olmuş bir cihazdan kullanılabilir.

Microsoft Entra Registered Devices

Entra ID'ye (Azure AD) kayıtlı cihazlar genellikle kişisel olarak sahip olunan bilgisayarlar veya mobil cihazlardır ve kişisel bir Microsoft hesabı veya başka bir yerel hesapla oturum açarlar. Microsoft Entra Registered cihazların amacı, kullanıcılarınıza BYOD-Bring Your Own Device (Kendi Cihazınızı Getir) için destek sağlamaktır.

Bu senaryolarda bir kullanıcı, kişisel bir cihaz kullanarak kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.




Microsoft Entra Registered Cihazlar için cihaz özellikleri ve politika uygulamaları:
• Cihazda kullanıcı oturumu için kullanılan kullanıcı hesabı, yalnızca yerel bir kullanıcı hesabıdır.
• Entra ID hesabı, bulut tabanlı hizmetlere erişmek üzere Entra ID'de oturum açmak için kullanılır.
• Kullanıcı, cihazda bir Domain ortamı için oturum açma işlemi gerçekleştirirse On-Prem. Active Directory GPO'ları geçerlidir.
• Cihaz, On-Prem. Active Directory'ye Join olmadığı, başka bir ifade ile Workgroup üyesi olmadığı sürece, GPO uygulama sınırlaması yoktur.
• Intune Management (Intune yönetim) özellikleri, kullanıcının oyanı ile sınırlı olarak kullanılabilir. Cihazlar, Intune'da kayıtlı kişisel cihazlar olarak değerlendirilir.
• Cihaz, On-Prem. Active Directory'ye Join olursa, cihaz hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
• Cihaz, On-Prem. Active Directory'ye Join olursa, kullanıcı hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
• Cihaz, SCCM tarafından da yönetilebilir. Ancak cihaz, bunun için On-Prem. Active Directory'ye Join olmalıdır ve SCCM Agent'ı ve Device Enrollment (cihaz kaydı) gereklidir.
• Microsoft Entra Registered cihazlar için sınırlı Conditional Access politikası kullanılabilir. Bunun için cihazın Intune'a kayıtlı olması gerekir.
• Cihaz, Intune'a başarıyla kaydedilirse, kullanıcının oyanı ile, sınırlı sayıda Intune Device Compliance (cihaz uyumluluk) politikası ve güvenlik kuralı uygulanır.
• SSO özellikli Single Sign, bulut kaynakları erişimi için kullanılır.

Faydalı olması dileğiyle...