Microsoft Entra ekosisteminde cihaz yönetimi, modern güvenlik anlayışının merkezinde yer alıyor. Geleneksel Active Directory (AD) Domain Join yöntemlerinin ötesine geçerek, cihazların Cloud ve Hybrid ortamlarda nasıl kimliklendirildiği ve yönetildiği büyük bir önem taşıyor. Fiziksel bir kurumsal Network içinde Domain Join işlemiyle oturum açmak artık yeterli değil; cihazların internet üzerinden güvenli şekilde kimlik doğrulaması yapması, politikaların uygulanması ve erişim kontrollerinin sağlanması gerekiyor. Bu noktada, Microsoft Entra üç farklı kimlik yönetim modeli sunarak organizasyonların ihtiyaçlarına göre esnek bir yapı oluşturmasına olanak tanıyor.
Kurumsal altyapılar hızla Hybrid modellere geçerken, cihazların hem On-Prem.ises Active Directory hem de Cloud tabanlı çözümlerle entegre çalışması kaçınılmaz hale geliyor. Hybrid Joined cihazlar, geleneksel AD ortamına katılmış olsalar da Microsoft Entra ID ile de eşleştirilerek çift yönlü bir kimlik doğrulama mekanizması oluşturuyor. Bu model, özellikle Group Policy Object (GPO) ve Kerberos gibi On-Prem. altyapılarla entegrasyon gerektiren senaryolarda büyük avantaj sağlıyor. Ancak sadece Hybrid Joined olmak artık yeterli değil; Conditional Access, Multi-Factor Authentication (MFA) ve Single Sign-On (SSO) gibi modern güvenlik politikalarından tam anlamıyla yararlanabilmek için cihazların Microsoft Entra Joined veya Microsoft Entra Registered olarak da yönetilmesi gerekiyor.
Kimlik doğrulamanın sadece kullanıcılarla sınırlı kalmadığı bir dünyada, cihazların güvenliğini sağlamak en az kullanıcı kimliklerini korumak kadar kritik bir hale geliyor. Microsoft Entra Joined, tamamen Cloud tabanlı yönetim ihtiyacı duyan organizasyonlar için geliştirilen bir model olarak öne çıkıyor. Geleneksel On-Prem.ises AD gereksinimi olmadan, cihazların doğrudan Microsoft Entra tarafından yönetilmesini sağlıyor. Intune veya diğer modern yönetim araçlarıyla entegre çalışarak Zero Trust prensiplerine uygun bir kimlik yönetimi sunuyor. Entra Joined cihazlar, Azure Virtual Desktop (AVD) ve diğer bulut tabanlı uygulamalarla daha sorunsuz bir entegrasyon sunarken, aynı zamanda Conditional Access ve Passwordless Authentication gibi gelişmiş güvenlik çözümlerine doğrudan uyum sağlıyor.
Karmaşık kimlik doğrulama gerektirmeyen ve tamamen kullanıcı bazlı oturum açma ihtiyacına odaklanan senaryolarda ise Microsoft Entra Registered devreye giriyor. Bring Your Own Device (BYOD) modelini benimseyen organizasyonlar için en uygun seçeneklerden biri olan bu model, cihazların tam kurumsal yönetim altına alınmadan belirli erişim kontrollerine tabi tutulmasını sağlıyor. Kullanıcılar, kişisel cihazlarını Workplace Join ile Microsoft Entra'ya kaydederek SSO, Conditional Access ve diğer güvenlik politikalarına uyum sağlayabiliyor. Ancak Entra Registered cihazlar, yönetim açısından daha sınırlı olduğu için gelişmiş Endpoint Management ve Device Compliance politikaları gerektiren senaryolarda yeterli gelmeyebilir.
Dijital kimlik yönetimi artık sadece kullanıcı hesaplarını değil, cihazları da kapsayan geniş bir ekosisteme dönüşmüş durumda. Microsoft Entra'nın sunduğu Hybrid Joined, Entra Joined ve Entra Registered modelleri, organizasyonların güvenlik, yönetim ve esneklik ihtiyaçlarına göre özelleştirilebilir bir yapı sunuyor. Doğru modeli seçmek, cihazların nasıl yönetileceğini belirlerken aynı zamanda güvenlik seviyesini de doğrudan etkiliyor.
Neden Sıfır Güven?
Zero Trust, "asla güvenme, her zaman doğrula" prensibine dayanan modern bir güvenlik stratejisidir. Günümüzde kurumlar, modern ortamın karmaşıklığına daha etkili biçimde uyum sağlayan, hibrit işyeri senaryosunu benimseyen, ayrıca kişileri, cihazları, uygulamaları ve verileri bulundukları yerde koruyan yeni bir güvenlik modeline ihtiyaç duyuyor.
» Sıfır Güven, kimlik ve cihaz koruması temeliyle başlar.
» Tehdit koruma özellikleri, güvenlik tehditlerinin gerçek zamanlı olarak izlenmesini ve düzeltilmesini sağlamak için bu temelin üzerine inşa edilmiştir.
» Bilgi koruma ve yönetiim, bilgilerinizi korumak ve kişisel bilgilerin korunması da dahil olmak üzere uyumluluk standartlarına uymanıza yardımcı olmak için belirli veri türlerini hedefleyen gelişmiş kontroller sağlar.
Zero Trust güvenlik yaklaşımı, modern tehditlere karşı en etkili savunma mekanizmalarından biri haline gelirken, bu modelin temelini Kimlik ve Cihaz Yönetimi oluşturuyor. Geleneksel Network merkezli güvenlik anlayışı artık yetersiz kaldığından, organizasyonların kullanıcı kimliklerini ve cihazlarını güvence altına alarak, sadece yetkili erişimlere izin vermesi gerekiyor. Conditional Access, Multi-Factor Authentication (MFA) ve Device Compliance gibi politikalar, kimlik doğrulamanın ötesine geçerek bağlamsal bir güvenlik çerçevesi sunuyor. Ancak tüm bu politikaların uygulanabilmesi için öncelikle cihazların Microsoft Entra ID ile nasıl entegre olduğunu anlamak gerekiyor.
Microsoft 365 ekosisteminde, cihazların kimlik yönetimi açısından üç farklı Microsoft Entra Join modeli bulunuyor. Bunlar Microsoft Entra Hybrid Joined, Microsoft Entra Joined ve Microsoft Entra Registered olarak sıralanıyor. Bu modeller, cihazların Microsoft Entra ID ile olan bağlantısını, kimlik doğrulama mekanizmalarını ve erişim denetimlerini belirleyen temel yapı taşları arasında yer alıyor.
Geleneksel Active Directory (AD) Domain Join modeline aşina olan organizasyonlar için, Microsoft Entra Hybrid Joined cihazlar en tanıdık çözüm olarak öne çıkıyor. Bu modelde cihazlar On-Premises AD'ye dahil olurken, aynı zamanda Microsoft Entra ID ile de senkronize ediliyor. Böylece, cihazlar hem klasik Group Policy Object (GPO) yapılarını kullanabiliyor hem de bulut tabanlı kimlik doğrulama ve erişim politikalarından faydalanabiliyor. Kerberos ve NTLM gibi geleneksel kimlik doğrulama yöntemlerini desteklemeye devam etmesi, eski sistemlerle uyumluluğu sürdürmek isteyen organizasyonlar için kritik bir avantaj sağlıyor. Ancak Hybrid Joined cihazlar, hala On-Premises Domain Controller bağımlılığı taşıdığı için tam anlamıyla bir bulut tabanlı yönetim modeli sunmuyor.
Tamamen bulut tabanlı yönetim gereksinimi duyan organizasyonlar için Microsoft Entra Joined cihazlar daha uygun bir seçenek haline geliyor. Microsoft Entra ID'ye doğrudan entegre olan bu cihazlar, herhangi bir On-Premises AD bağı olmadan doğrudan Microsoft Entra tarafından yönetiliyor. Bu sayede Conditional Access, Intune ve Device Compliance gibi gelişmiş politikalar daha esnek bir şekilde uygulanabiliyor. Özellikle Azure Virtual Desktop (AVD) veya tamamen bulut tabanlı çözümlerle çalışan organizasyonlar için Entra Joined, güvenlik ve yönetim açısından büyük kolaylık sağlıyor.
Kendi cihazlarını kurumsal kaynaklara bağlamak isteyen kullanıcılar için ise Microsoft Entra Registered modeli devreye giriyor. Bring Your Own Device (BYOD) senaryolarında yaygın olarak kullanılan bu modelde, cihazlar tam anlamıyla kurumsal yönetime dahil olmadan belirli erişim kontrolleri ile Microsoft Entra ID'ye kaydediliyor. Workplace Join olarak da bilinen bu yapı, kullanıcıların kişisel cihazlarını kaydederek Single Sign-On (SSO) ve Conditional Access politikalarından faydalanmasını sağlıyor. Ancak Entra Registered cihazlar, yönetim açısından daha sınırlı olduğu için kurumsal politikalar ile tam entegrasyon gerektiren ortamlarda yeterli gelmeyebilir.
Microsoft Entra ID'nin sunduğu bu üç model, organizasyonların Network altyapılarına ve güvenlik politikalarına bağlı olarak farklı avantajlar sunuyor. Hybrid Joined cihazlar eski sistemlerle entegrasyonu sürdürmeyi sağlarken, Entra Joined tamamen modern bir kimlik yönetim modeli sunuyor. Entra Registered ise daha esnek ama yönetim açısından daha sınırlı bir seçenek olarak öne çıkıyor. Hangi modelin tercih edileceği, organizasyonların güvenlik stratejilerine, erişim gereksinimlerine ve bulut adaptasyon seviyesine göre belirlenmeli.
Yukarıda da bahsettiğim gibi Zero Trust (sıfır güven) temeli oluşturmanın ilk adımı, kimlik ve cihaz erişim ilkelerini yapılandırmaktır. Bunun için öncelikle cihazların Entra ID'ye nasıl entegre olduklarını ve bulut entegre çalışan cihazların özelliklerini iyi kavramamız gerekiyor.
Microsoft 365 için 3 farklı Microsoft Entra Join seçeneği bulunmaktadır. Bunlar:
1- Microsoft Entra Hybrid Joined
2- Microsoft Entra Joined
3- Microsoft Entra Registered
1- Microsoft Entra Hybrid Joined Devices
Entra ID'ye (Azure AD) katılan cihazlar bir kuruluşa aittir ve bu kuruluşa ait bir Active Directory Domain Services hesabıyla oturum açılır. Bulutta ve şirket içinde bulunurlar. Ortamınızda On-Prem. Active Directory yapısı varsa ve Entra ID (Azure AD) tarafından sağlanan özelliklerden de yararlanmak istiyorsanız, Microsoft Entra Hybrid Joined cihazlar kullanabilirsiniz. Bu cihazlar, On-Prem. Active Directory yapınıza katılan ve Azure Entra ID'nize (Azure AD) kaydedilen cihazlardır.
Bu senaryolarda bir kullanıcı, bir kuruluşa ait cihaz kullanarak hem kuruluş içindeki On-Prem. Active Directory yapısı içinde cihaz denetimine tabi olur, hem de kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.
Daha önce de belirtildiği gibi, Hybrid Joined cihazlar hem On-Prem. AD'ye hem de Entra ID'ye Join olabilirler. İlk olarak, Join işlemi gerçekleştirilmeden önce cihaz nesnesinin Entra ID'de bulunması gerekir. Entra ID'ye hibrit cihaz nesnesi oluşturmanın iki yolu vardır: Entra ID Connect ile On-Prem. AD'den Sync. edilebilir (eşitlenebilir) veya AD FS (Active Directory Federation Services) aracılığıyla oluşturulabilir. İkinci yöntemde cihaz nesnesi, Entra ID'de hemen oluşturulurken, ilk yöntemde nesne, bir sonraki Sync. (eşitleme) döngüsü sırasında oluşturulur.
Bir diğer önemli nokta, kullanıcı değil, cihaz sistem katılır. Join sırasında kullanılan kimlik doğrulama yöntemi, cihaz nesnesinin Entra ID'ye nasıl oluşturulduğuna bağlıdır. Entra ID Connect eşitlemesi için kimlik doğrulaması, kayıt isteğinin bir bölümünün bilgisayarın makine sertifikasının özel anahtarıyla imzalanmasıyla gerçekleştirilir. Entra ID, imzayı makine sertifikasının ortak anahtarıyla doğrulayarak bilgisayarın kimliğini doğrulayabilir. Ortak anahtar, cihaz nesnesinin Reserved Attribute'unda Entra ID'ye kaydedilir.
Entra ID Connect Sync. işlem akışı
» Entra ID'de bir SCP (Service Connection Point) oluşturulması gerekir. Bu, genellikle Entra ID Connect Wizard tarafından gerçekleştirilir. SCP'yi el ile de oluşturabilirsiniz ancak Entra ID Connect, bunu bizim için yapabildiğinden, elle yapılandırılmasını önermem.
» On-Prem. AD Joined cihazlar, SCP'yi otomatik olarak okur ve SCP'de bulunan Tenant bilgileriyle kaydolmayı dener. Bu, Entra ID Connect cihazı Entra ID ile eşitleyene kadar başarısız olur. Şu da var ki Entra ID Connect, On-Prem. AD'deki cihaz nesnesinde bulunan userCertificate Attribute değeri olmayan cihazları eşitleyemez.
» Cihazlarda automatic-device-join zamanlanmış görevi çalışır. Bu görev, Entra ID Tenant'a kaydolmayı dener ve ayrıca Active Directory'ye gönderilen userCertificate değerini oluşturur.
» On-Prem. AD'deki cihaz nesnesinde bulunan userCertificate değeri bulunduğunda Azure AD Connect, Cihaz bilgilerini Entra ID ile eşitler. Ancak kayıt işlemi tamamlanmamıştır ve cihaz kaydı tamamlayana kadar Pending (beklemede) olarak gösterilir.
» Entra ID Connect Connect cihaz bilgilerini Entra ID ile eşitledikten sonra automatic-device-join görevi bir sonraki çalışmasında, cihaz kaydı tamamlanır ve cihaz düzgün şekilde kaydedilmiş olur. Cihaz, Entra ID'deki Devices > All Devices altında Microsoft Entra hybrid joined olarak gösterilir.
Microsoft Entra Hybrid Joined cihaz özellikleri ve politika uygulamaları
» Cihaz politikaları, On-Prem. Active Directory GPO'lar üzerinden tetiklenir.
» Cihaz hesabı On-Prem. Active Directory'de bulunur.
» On-Prem. Active Directory, kullanıcı oturumunu işlemek için kullanılır, Domain ortamında periyodik oturum açma gereklidir.
» Microsoft Entra Hybrid Joined cihazlara uygulanamayan belirli GPO nesneleri vardır.
» Cihazlar, yönetim yeteneklerinde bazı sınırlamalarla birlikte Intune tarafından yönetilebilir, Intune kaydı gereklidir.
» Cihazlar SCCM tarafından da yönetilebilir, Management Agent ve Enrollment (cihaz kaydı) gereklidir. Ayrıca cihaz, kuruluş Network yapısı dışında bağlanıyorsa, HTTPS özellikli Management Point (yönetim noktası) gereklidir.
» Cihaz hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
» Kullanıcı hesabı politikaları, kullanıcı kimliğinin bulunduğu yere göre devralınacaktır.
» Yalnızca Entra ID kullanıcı hesabı, hibrit cihazlarda oturum açarken önemli sınırlamalara sahip olacaktır.
» Entra ID ile eşitlenen On-Prem. Active Directory kimliğinde olduğu gibi, oturum açan kullanıcının kimliğine bağlı olarak hibrit cihazlar için sınırlı bir Conditional Access Policy kullanılabilir.
» Intune Device Compliance Polic'ler (cihaz uyumluluk politikaları) ve güvenlik kuralları, Device Management Point (cihaz yönetim noktası) doğrulamasına dayalı olarak uygulanır.
» Hybrid-Joined cihazlar için sınırlı sayıda Conditional Access Policy mevcuttur.
» SSO özellikli Single Sign, On-Prem. Active Directory ve Azure hizmetlerinde kullanılabilir.
2- Microsoft Entra Joined Devices
Entra ID'ye (Azure AD) katılan cihazlar bir kuruluşa aittir ve bu kuruluşa ait bir Azure Active Directory hesabıyla oturum açılır ve yalnızca Cloud'da bulunurlar. Microsoft Entra Join, bulut öncelikli veya yalnızca bulut öncelikli olmak isteyen kuruluşlar için tasarlanmıştır. Boyutu veya sektörü ne olursa olsun tüm kuruluşlar Entra ID (Azure AD) join cihazlarını dağıtabilir. Microsoft Entra ID (Azure AD) join, hem bulut hem de şirket içi uygulamalara ve kaynaklara erişim sağlayarak hibrit bir ortamda bile çalışır.
Bu senaryolarda bir kullanıcı, bir kuruluşa ait veya kişisel bir cihaz kullanarak Cloud öncelikli veya yalnızca Cloud öncelikli olarak kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.
Microsoft Entra Joined cihaz özellikleri ve politika uygulamaları
» Cihaz politikaları, Intune ve Azure Security Center'de Kullanıcı ve Cihaz ilkesinden tetiklenir.
» Cihaz hesabı, Entra ID'de bulunur.
» Bir kullanıcı oturumunu işlemek için yalnızca Entra ID kimliği kullanılabilir.
» On-Prem. Active Directory'deki GPO'lar, politika uygulama için kullanılmaz.
» Intune veya Endpoint Manager, cihaz yönetim noktasıdır.
» Cihazlar, On-Prem. SCCM tarafından yönetilebilir ve HTTPS özellikli Management Point (yönetim noktası) gereklidir.
» Conditional Access politikaları, cihaz ve kullanıcı için kullanılabilir.
» Cihaz ve Kullanıcı güvenliği Azure politikası, Intune Device Compliance politikaları, güvenlik politika ve kuralları aracılığıyla sağlanır.
» SSO özellikli Single Sign, Entra ID'ye Join olmuş bir cihazdan kullanılabilir.
3- Microsoft Entra Registered Devices
Entra ID'ye (Azure AD) kayıtlı cihazlar genellikle kişisel olarak sahip olunan bilgisayarlar veya mobil cihazlardır ve kişisel bir Microsoft hesabı veya başka bir yerel hesapla oturum açarlar. Microsoft Entra Registered cihazların amacı, kullanıcılarınıza BYOD-Bring Your Own Device (Kendi Cihazınızı Getir) için destek sağlamaktır.
Bu senaryolarda bir kullanıcı, kişisel bir cihaz kullanarak kuruluşunuzun Entra ID (Azure AD) denetimli kaynaklarına erişebilme imkanına sahip olur. Böylece Microsoft Intune ve daha bir çok farklı Entra ID servisi ile cihazları denetim altında tutabilirsiniz.
Microsoft Entra Registered cihaz özellikleri ve politika uygulamaları
» Cihazda kullanıcı oturumu için kullanılan kullanıcı hesabı, yalnızca yerel bir kullanıcı hesabıdır.
» Entra ID hesabı, bulut tabanlı hizmetlere erişmek üzere Entra ID'de oturum açmak için kullanılır.
» Kullanıcı, cihazda bir Domain ortamı için oturum açma işlemi gerçekleştirirse On-Prem. Active Directory GPO'ları geçerlidir.
» Cihaz, On-Prem. Active Directory'ye Join olmadığı, başka bir ifade ile Workgroup üyesi olmadığı sürece, GPO uygulama sınırlaması yoktur.
» Intune Management (Intune yönetim) özellikleri, kullanıcının oyanı ile sınırlı olarak kullanılabilir. Cihazlar, Intune'da kayıtlı kişisel cihazlar olarak değerlendirilir.
» Cihaz, On-Prem. Active Directory'ye Join olursa, cihaz hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
» Cihaz, On-Prem. Active Directory'ye Join olursa, kullanıcı hesabı politikaları, On-Prem. Active Directory'den devralınacaktır.
» Cihaz, SCCM tarafından da yönetilebilir. Ancak cihaz, bunun için On-Prem. Active Directory'ye Join olmalıdır ve SCCM Agent'ı ve Device Enrollment (cihaz kaydı) gereklidir.
» Microsoft Entra Registered cihazlar için sınırlı Conditional Access politikası kullanılabilir. Bunun için cihazın Intune'a kayıtlı olması gerekir.
» Cihaz, Intune'a başarıyla kaydedilirse, kullanıcının oyanı ile, sınırlı sayıda Intune Device Compliance (cihaz uyumluluk) politikası ve güvenlik kuralı uygulanır.
» SSO özellikli Single Sign, bulut kaynakları erişimi için kullanılır.
Microsoft Entra'nın sunduğu Hybrid Joined, Entra Joined ve Entra Registered modelleri, cihaz yönetimi ve kimlik doğrulama süreçlerini modern güvenlik standartlarına uygun hale getiriyor. Geleneksel Active Directory (AD) tabanlı yöntemlerin ötesine geçen bu yapılar, organizasyonların hem On-Premises hem de Cloud tabanlı kaynakları güvenli bir şekilde yönetmesine olanak tanıyor.
Cihazların nasıl yönetileceği, hangi güvenlik politikalarına tabi olacağı ve hangi kaynaklara erişebileceği tamamen bu modellerin doğru şekilde uygulanmasına bağlı. Hybrid Joined cihazlar, Group Policy Object (GPO) ve Kerberos desteğini sürdürmek isteyen organizasyonlar için ideal bir çözüm sunarken, Entra Joined, tamamen Cloud tabanlı bir kimlik yönetimi modeliyle Zero Trust güvenlik anlayışını destekliyor. Entra Registered ise BYOD (Bring Your Own Device) senaryolarına uygun, daha esnek ancak yönetim açısından daha sınırlı bir yapı sağlıyor.
Dijital güvenliğin merkezinde artık yalnızca kullanıcı hesapları değil, cihaz kimlikleri de yer alıyor. Doğru modeli seçmek, organizasyonların hem güvenliği hem de kullanım kolaylığını dengelemesine yardımcı olurken, cihazların kurumsal kaynaklara erişimini de en uygun şekilde yönetmeyi sağlıyor.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.