Microsoft 365 on Kürşat Bal

M365 Kimlik Doğrulama Yapılandırması ve Sorun Giderme

Wed, 24 Jun 2026 00:00:00 +0000

⬇

Teknik Rapor — PDF

Bu rehberin tam sürümünü PDF olarak indirebilirsiniz.

1. Giriş ve Raporun Amacı

Bu teknik rapor, Microsoft 365 (M365) ortamlarında sistem yöneticileri tarafından sıkça raporlanan sürekli MFA istekleri, Outlook üzerinde oluşan parola döngüleri ve kimlik doğrulama endpoint engellemelerini sistematik bir metodolojiyle çözmek amacıyla hazırlanmıştır.

Doküman, kimlik doğrulama mimarisindeki olası tıkanıklıkları gidermek için yapılandırma adımlarını ve ağ katmanı gereksinimlerini bir mimar bakış açısıyla ele almaktadır.

2. Kimlik Doğrulama Sorunları İçin 6 Adımlı Teknik Kontrol Listesi

M365 kimlik doğrulama akışındaki hataları ayıklarken aşağıdaki 6 adım sırasıyla takip edilmelidir. Her adım, bir sonrakine geçmeden önce elenmesi gereken birer kontrol noktasıdır.

Adım 1 — Security Defaults (Güvenlik Varsayılanları)

Konum: Entra Portal → Identity → Overview → Properties → Manage Security Defaults

Mimari Mantık: Eğer kuruluşunuzda Koşullu Erişim (Conditional Access) politikaları aktifse, Security Defaults mimari gereği otomatik olarak Disabled kalmalıdır.

Durum	MFA Üzerindeki Etkisi
Enabled	Tenant üzerindeki TÜM kullanıcılar için MFA zorunlu hale gelir.
Disabled	Security Defaults MFA uygulamıyor. Sorun kaynağı olarak elenebilir.

Adım 2 — Conditional Access (Koşullu Erişim) Politikaları

Konum: Entra Portal → Identity → Protection → Conditional Access → Policies

Denetim Prosedürü:

Durumu On (Açık) olan tüm politikalar incelenmelidir.
Grant bölümünde “Require multifactor authentication” seçeneği aktif mi?
İlgili kullanıcı Include listesinde mi? Exclude’dakilere bu politika uygulanmaz.

Not "Report-only" modundaki politikalar akışı kesmez, yalnızca log üretir.

Adım 3 — Per-user MFA Durumu

Konum: Entra Portal → Users → [Kullanıcı] → Per-user MFA veya aka.ms/mfasetup

Durum	Outlook Davranışı
Disabled	Bu katmanda MFA zorlanmıyor.
Enabled	MFA zorunlu; kullanıcı kayıt sürecini tamamlamamışsa challenge başlar.
Enforced	MFA kesinlikle zorunlu. Yöntem kayıtsızsa Outlook sürekli parola sorarak döngüye girer.

⚠ Kritik "Enforced" durumundaki kullanıcı MFA yöntemi kaydetmemişse Outlook parola döngüsüne girer ve kullanıcı mailbox'a erişemez.

Adım 4 — Identity Protection Risk Politikaları

Konum: Entra Portal → Identity → Protection → Identity Protection → User/Sign-in risk policy

Politikalar Enabled ise ve kapsamda All users veya ilgili kullanıcının grubu varsa, sistem yüksek risk algıladığında MFA tetikler.

Lisans Kısıtı Bu özellik genellikle Microsoft Entra ID P2 lisansı gerektirir. P1 tenant'larda ayarlar görüntülense de etkin olmayabilir.

Adım 5 — SSPR (Self-Service Password Reset) Kayıt Zorunluluğu

Konum: Entra Portal → Identity → Protection → Password reset → Registration / Properties

Registration: “Require users to register when signing in” ayarı Yes ise kullanıcı SSPR kayıt sayfasına yönlendirilir.
Ağ Etkileşimi: Outlook bu kayıt sayfasını dahili web-view ile açar. Firewall SSPR uç noktalarını engelliyorsa sayfa sessizce hata verir ve Outlook parola döngüsüne girer.
Properties: SSPR = None ise bu adım sorun kaynağı olarak elenebilir.

Adım 6 — Firewall (Güvenlik Duvarı) Kontrolü

Yukarıdaki 5 adımda yapılandırma hatası saptanmadıysa, sorun kesinlikle ağ katmanındadır. Kimlik doğrulama uç noktalarının trafiğe izin verilip verilmediğini kontrol edin.

3. Kritik Ağ ve Firewall Beyaz Liste (Whitelist) Gereksinimleri

Kimlik doğrulama akışının başarıyla tamamlanması için aşağıdaki FQDN’lerin 443/TCP (HTTPS) portu üzerinden erişime açık olması zorunludur.

FQDN	Açıklama
`login.microsoftonline.com`	Entra ID / Azure AD ana kimlik doğrulama uç noktası
`login.windows.net`	Modern Authentication token alım noktası
`*.outlook.office.com`	Birincil Outlook servis erişimi
`*.outlook.office365.com`	Alternatif Outlook servis erişimi
`autodiscover-s.outlook.com`	Outlook Autodiscover servisleri
`device.login.microsoftonline.com`	Cihaz kaydı ve token yenileme işlemleri
`enterpriseregistration.windows.net`	Hibrit Azure AD Join / Cihaz kayıt süreçleri

⚠ Önemli Mimari Uyarı Güvenlik duvarı kurallarında IP tabanlı kısıtlamalar yerine kesinlikle FQDN tabanlı kurallar kullanılmalıdır. Microsoft, kimlik doğrulama servislerinin IP adreslerini önceden bildirmeksizin dinamik olarak değiştirebilir. IP tabanlı kurallar erişim kesintilerine ve operasyonel hatalara yol açacaktır.

4. Dış (Guest) Kullanıcı MFA ve Erişim Sorunları

Dış kullanıcıların SharePoint veya OneDrive paylaşımlarında yaşadığı MFA tıkanıklıkları, genellikle Email One-Time Passcode (OTP) yapılandırmasının kapalı olmasından kaynaklanır.

Email One-Time Passcode (OTP) Yapılandırması

Entra Portal’da External Identities sekmesine gidin (Görünmüyorsa “Show More” kullanın).
All identity providers altındaki Built-in sekmesine tıklayın.
Email One-Time Passcode seçeneğini bulun.
Açılan panelde durumu Enabled olarak işaretleyin ve kaydedin.

Dış İş Birliği Ayarları

External collaboration settings altındaki konuk kullanıcı erişim düzeylerini teyit edin:

✅ İdeal: “Guest users have limited access to properties and memberships of directory objects” seçili olmalıdır.
❌ Kritik Engel: “Deny access” seçeneği tüm dış iş birliğini keser; seçili olmadığından emin olun.

5. Gelişmiş Sorun Giderme: AADSTS90072 Hatası ve Çözümü

Bu hata, bir dış kullanıcının sisteme daha önce hatalı (örneğin kişisel Microsoft hesabı olarak) kaydedilmesi ve yeni yapılandırmaların bu “bozuk” kayıt nedeniyle tanınmaması durumunda ortaya çıkar.

Kullanıcı Kaydını Sıfırlama Prosedürü

Mevcut Kaydı Silin: Entra ID > Users altından ilgili dış kullanıcıyı silin.

Not Silinen Konuk kullanıcı 30 gün boyunca kurtarılabilir. Yeniden davet sonrası mevcut paylaşımları kontrol edin.

Ayar Doğrulaması: Email One-Time Passcode ayarının halen Enabled olduğunu teyit edin.
Yeniden Davet: Kullanıcıya SharePoint/OneDrive üzerinden yeni bir davet gönderin. Sistem kullanıcıyı “Sıfır Konuk” olarak tanıyacak ve OTP akışını tetikleyecektir.
Kritik İpucu: Kullanıcının yeni davet linkini mutlaka Gizli Sekme (InPrivate/Incognito) üzerinden açmasını sağlayın.

✅ Başarılı Erişim Akışı (1) Dahili kullanıcı paylaşım linkini gönderir → (2) Dış kullanıcı linke tıklar → (3) Entra ID kullanıcıyı Guest olarak tanımlar → (4) 6 haneli OTP kodu e-postaya iletilir → (5) Kullanıcı kodu girerek paylaşıma erişir.

6. Yapılandırma Hızlı Kontrol Özeti

Sistem yöneticileri için bu tablo, bir sorun anında ilk bakılması gereken check-off listesidir:

#	Kontrol Noktası	Elenme Kriteri
1	Security Defaults	Disabled ise elenebilir
2	Conditional Access Policies	MFA Grant’ı yok veya kullanıcı Exclude’da ise elenebilir
3	Per-user MFA	Status = Disabled ise elenebilir
4	Identity Protection	Disabled veya kullanıcı kapsam dışı ise elenebilir
5	SSPR Kayıt Zorunluluğu	SSPR = None ise elenebilir
6	Firewall FQDN Whitelist	Tüm kritik endpoint’ler (443/TCP) açık mı?

Microsoft Intune: Sıfırdan Zirveye

Wed, 24 Jun 2026 00:00:00 +0000

Microsoft Intune’u sıfırdan kurarak modern cihaz yönetimini uçtan uca ele alan bu videoda lisanslama, kayıt, konfigürasyon profilleri, uygulama dağıtımı ve doğrulama adımlarını kapsayan tam bir kurulum süreci anlatılmaktadır.

Microsoft Intune — Teknik Uygulama ve Cihaz Yönetimi Rehberi

Wed, 14 May 2025 00:00:00 +0000

Bu rehber Microsoft Intune’un kurumsal ortamlarda sıfırdan yapılandırılmasını, cihaz kaydını, politika dağıtımını ve uygulama yönetimini adım adım ele almaktadır.

Intune Ekosistemi ve Portal Yönetimi

Microsoft Intune, kurumsal kaynaklara erişen uç noktaların güvenliğini sağlamak ve yapılandırmak için tasarlanmış bulut tabanlı bir Cihaz Yönetimi (Device Management) platformudur. Yönetim süreci birbiriyle entegre çalışan üç ana portal üzerinden yürütülür:

Portal	Temel Kullanım Amacı	Erişim Adresi
M365 Admin Center	Kullanıcı yönetimi ve lisanslama	admin.microsoft.com
Microsoft Entra	Kimlik yönetimi, cihaz kayıt ayarları, dizin işlemleri	entra.microsoft.com
Intune Admin Center	MDM politikaları, yapılandırma profilleri, uygulama dağıtımı	intune.microsoft.com

Kullanıcı Lisanslama ve Yönetim Ayrımı

Intune üzerinden bir cihazın yönetilebilmesi için ilgili kullanıcıya lisans atanması zorunludur. Lisansı olmayan kullanıcı cihazını Entra ID’ye kaydedebilir; ancak Intune üzerinden yönetilemez ve politikalar uygulanmaz.

Lisans Atama Adımları

M365 Admin Center → admin.microsoft.com
Kullanıcılar → Etkin Kullanıcılar — ilgili kullanıcıyı seçin
Lisanslar ve Uygulamalar sekmesine tıklayın
Aşağıdaki lisanslardan birini atayın ve kaydedin:
- Microsoft 365 E3 veya E5
- Microsoft 365 Business Premium
- Bağımsız Intune Lisansı (Intune Standalone)

Not: Lisansı olmayan kullanıcıların cihazları Entra ID üzerinde görünse de Intune portalında “Yönetilmiyor” olarak işaretlenir. Bu cihazlara politikalar uygulanmaz.

Entra ID Cihaz Ayarları ve MDM Yapılandırması

Üç Ana Cihaz Yapısı

Yapı	Açıklama
Entra ID Join	Tamamen bulut tabanlı, tam yönetim ve SSO odaklı
Kayıtlı Cihaz (Registered)	Kişisel/BYOD cihazların kurumsal uygulamalara güvenli erişimi
Hibrit Katılım (Hybrid Join)	On-prem AD ve bulutun birlikte kullanıldığı geçiş yapısı

Cihaz Ayarlarının Yapılandırılması

Microsoft Entra ID → Cihazlar (Devices) → Cihaz Ayarları (Device Settings)

Ayar	Değer
Cihaz Katılımı	“Kullanıcılar cihazlarını Microsoft Entra’ya katılabilir” → Tümü (All)
MFA Gereksinimi	Cihaz kaydı sırasında MFA → Evet
Cihaz Sınırı	Kullanıcı başına cihaz sayısı: varsayılan 50’den 20’ye düşürün

MDM Otoritesinin Etkinleştirilmesi

Entra ID → Mobilite (MDM ve MAM) → Microsoft Intune

Entra ID portalında Mobilite (MDM ve MAM) sekmesine gidin
Microsoft Intune uygulamasını seçin
MDM Kullanıcı Kapsamı (MDM User Scope) → Tümü (All) — tüm lisanslı kullanıcılar için MDM yönetimini aktif edin

Windows 11 Cihaz Kayıt Süreci (Entra ID Join)

Yeni bir Windows 11 makinesini kurumsal yönetime dahil etmek için:

Ayarlar → Hesaplar → İş veya Okul Erişimi (Access work or school)

Adım	İşlem
1	Ayarlar → Hesaplar → İş veya Okul Erişimi yolunu izleyin
2	Bağlan (Connect) butonuna tıklayın
3	Doğrudan e-posta girmek yerine alt kısımdaki “Bu cihazı Microsoft Entra ID’ye kat” (Join this device to Entra ID) bağlantısına tıklayın
4	Kullanıcı bilgilerini girin ve MFA adımını tamamlayın
5	Kuruluş bilgilerini onaylayın ve cihazı yeniden başlatın
6	Cihaz açıldığında kurumsal kimlikle giriş yapın; SSO sayesinde Office portalına şifresiz erişimi doğrulayın

Dikkat: 3. adımda doğrudan e-posta girilirse cihaz “Registered” (kayıtlı) olur, “Joined” (katılmış) olmaz. “Join this device to Entra ID” bağlantısı kullanılmalıdır.

Cihaz Gruplandırma ve Yönetim Mantığı

Politika dağıtımı için Entra ID üzerinde bir Güvenlik Grubu (Security Group) oluşturulması gerekir. Grup bazlı dağıtım, MDM yönetiminin aktif olduğu cihazları otomatik hedefler.

Microsoft Entra ID → Gruplar → Yeni Grup

Grup ismini “IT Devices” olarak belirleyin, üyelik tipi → Atanmış (Assigned)
Gruba yönetilen/lisanslı cihazları (WS2) ve yönetilmeyen/lisanssız cihazları (WS3) ekleyin
Dağıtımlar bu gruba yapıldığında yalnızca MDM yönetimi aktif olan WS2 cihazı politikaları alacaktır

Mimari Fark: WS3 grupta olsa dahi lisanssız olduğu için politikaları almaz. Grup üyeliği politika alımını garanti etmez; lisans zorunludur.

Yapılandırma Profili: Cihaz Kısıtlamaları

Intune → Cihazlar (Devices) → Windows → Yapılandırma Profilleri → Profil Oluştur

Örnek: Gaming özelliklerini kısıtlayan bir profil oluşturma (“Oslo Settings”):

Adım	İşlem
Platform	Windows 10 ve üzeri
Profil Türü	Şablonlar (Templates) → Cihaz Kısıtlamaları (Device Restrictions)
Profil Adı	`Oslo Settings`
Yapılandırma	Configuration Settings → Oyun (Gaming) → tüm özellikler Engelle (Block)
Atama	Assignments → “IT Devices” grubunu hedefle → Yayınla

Cihaz Kısıtlama profili türüyle yönetilebilecek diğer alanlar:

Alan	Kısıtlanabilecek Özellikler
Kamera	Ön/arka kamera engeli
Ekran görüntüsü	Ekran yakalama engeli
USB	USB depolama aygıtı engeli
Uygulama mağazası	Microsoft Store erişimi
Cortana	Sesli asistan devre dışı
Bluetooth	Cihaz eşleştirme engeli

Zorunlu Uygulama Dağıtımı

Kurumsal bir uygulamanın (örn. Zoom) tüm yönetilen cihazlara otomatik yüklenmesi:

Intune → Uygulamalar (Apps) → Windows → Ekle (Add)

Uygulama türü: Microsoft Store uygulaması (yeni) — Microsoft Store app (new)
Uygulama mağazasında “Zoom” araması yaparak uygulamayı seçin
Atamalar (Assignments) sekmesinde atama tipini belirleyin
“IT Devices” grubuna Zorunlu (Required) ataması yaparak kaydedin

Atama Tipi	Davranış
Zorunlu (Required)	Uygulama arka planda otomatik yüklenir, kullanıcı müdahalesi gerekmez
Mevcut (Available)	Uygulama Şirket Portalı (Company Portal) üzerinden kullanıcı seçimine bırakılır
Kaldır (Uninstall)	Uygulama cihazdaysa silinir

Doğrulama

Yapılan işlemlerin başarısını kullanıcı tarafında ve Intune portalında kontrol edin:

Kontrol Noktası	Beklenen Sonuç
Gaming kısıtlaması	Windows Ayarları’nda “Oyun” sekmesi tamamen kaybolur
Zoom uygulaması	Başlat menüsünde hazır görünür, manuel kurulum gerekmez
SSO deneyimi	Office, Teams vb. portallarda şifre sorulmadan otomatik giriş
Uyumluluk (Compliance)	Intune portalında yönetilen cihaz “Uyumlu”, lisanssız cihaz “Yönetilmiyor”

Microsoft Intune, Modern Endpoint Management mimarisinin temel taşıdır. MDM + MAM + Koşullu Erişim kombinasyonu ile kurumsal veriler uç noktalarda güvenli ve yönetilebilir hale gelir.

Intune Kavramsal Mimari — Cihaz Kimliği, Lisanslama ve Modern Yönetim

Mon, 07 Apr 2025 00:00:00 +0000

Intune’u doğru kullanabilmek için yalnızca menüleri bilmek yetmez; arkasındaki kimlik modeli, lisanslama mantığı ve platform mimarisinin anlaşılması gerekir. Bu yazı teknik kavramsal çerçeveyi netleştirmeyi amaçlar.

Mimari Güncelleme: Microsoft Endpoint Manager → Microsoft Intune

2022 yılında Microsoft, Microsoft Endpoint Manager (MEM) çatı markasını kaldırarak portallara yeni isimler verdi:

Eski Ad	Yeni Ad
Microsoft Endpoint Manager admin center	Microsoft Intune admin center (`intune.microsoft.com`)
Azure AD	Microsoft Entra ID
Azure AD Connect	Microsoft Entra Connect
Azure AD Premium	Microsoft Entra ID P1/P2

URL ve UI değişse de altındaki teknik yapı aynıdır. Eski dökümanlarda hâlâ “AAD” ve “MEM” terimleri geçer.

Cihaz Kimlik Durumları

Bir Windows cihazı, Entra ID ve Intune açısından 4 farklı kimlik durumunda olabilir:

1. Microsoft Entra Registered (Kayıtlı)

Kişisel/BYOD cihazlar için
Cihaz sahibi şirket değil, kullanıcı
MAM (uygulama koruması) uygulanabilir
MDM (tam cihaz yönetimi) desteklenmez
Tipik senaryo: Kullanıcının kişisel telefonu veya laptopundan şirket verilerine erişim

2. Microsoft Entra Joined

Cihaz şirkete aittir, on-prem AD yoktur veya kullanılmaz
Sadece Entra ID kimliğiyle çalışır
MDM (Intune) ile tam yönetim desteklenir
Modern Autopilot dağıtım senaryoları için idealdir
SSO çalışır: Kullanıcı bir kez oturum açar, tüm M365 hizmetlere erişir

3. Microsoft Entra Hybrid Joined

Cihaz hem on-prem AD’de hem Entra ID’de kayıtlıdır
Geçiş dönemlerinde tercih edilir
GPO + Intune MDM aynı anda uygulanabilir (çakışma riski yönetilmeli)
dsregcmd /status ile doğrulanır

4. Not Joined / Not Registered

Cihaz hiçbir kimlik dizinine kayıtlı değil
Koşullu Erişim politikaları bu cihazları genellikle engeller
Intune yönetimi mümkün değil

Lisanslı ve Lisanssız Kullanıcı Farkı

Bu ayrım, pratikte en fazla karışıklığa yol açan konulardan biridir.

Lisanslı Kullanıcı

Intune lisansı atanmış kullanıcı:

Cihazı MDM ile tam yönetilebilir (compliance, yapılandırma, uygulama)
Uygulama koruma politikaları (APP) uygulanabilir
Koşullu Erişim senaryolarında “Uyumlu cihaz” koşulu değerlendirilebilir
Autopilot dağıtımından yararlanabilir

Lisanssız Kullanıcı

Intune lisansı olmayan kullanıcı:

Cihaz MDM ile yönetilemez
Compliance policy değerlendirilemez → cihaz her zaman “Not Evaluated” veya “Compliant değil” görünür
Koşullu erişim bu kullanıcıyı reddedebilir
MAM (uygulama koruması) bazı senaryolarda lisanssız çalışabilir

Kritik senaryo: Lisanssız kullanıcının cihazı Entra Hybrid Join olsa bile Intune compliance değerlendirmesine giremez. Bu durum koşullu erişim politikalarını atlatmak için değil, yanlışlıkla erişim kesmek için ciddi risk taşır.

SSO ve Enterprise State Roaming (ESR)

Single Sign-On Mekanizması

Entra Joined veya Hybrid Joined cihazlarda SSO şu katmanlarla çalışır:

Primary Refresh Token (PRT): Cihaz ilk oturum açtığında Entra ID’den alınan uzun ömürlü token. Sonraki tüm uygulama erişimlerinde kullanılır — kullanıcıdan tekrar şifre istenmez.
Web Account Manager (WAM): Windows 10/11’de tarayıcı ve uygulamaların token istemesini koordine eder
Seamless SSO (on-prem): Hybrid Join cihazlarda on-prem kaynaklara da Kerberos üzerinden otomatik giriş

PRT sağlık kontrolü:

1

dsregcmd /status

AzureAdPrt : YES → SSO çalışıyor

Enterprise State Roaming (ESR)

ESR, kullanıcı ayarlarını (tarayıcı favorileri, tema, parola hatırlatıcıları hariç) cihazlar arasında senkronize eder:

Microsoft Entra admin center → Devices → Enterprise State Roaming → Users may sync settings and app data across devices: All
Uygulanan cihazlar: Entra Joined ve Hybrid Joined Windows 10/11

Uzaktan Yönetim ve Windows LAPS

Intune Üzerinden Uzaktan İşlemler

Intune admin center → Devices → cihaz seçimi:

İşlem	Açıklama
Sync	Cihazı hemen politika kontrolüne zorla
Remote lock	Cihazı kilitle (kayıp/çalıntı senaryosu)
Retire	Kurumsal verileri sil, cihazı MDM’den çıkar (BYOD güvenli silme)
Wipe	Fabrika sıfırlama
Fresh start	Windows’u yeniden yükle, kişisel veri seçeneğiyle
Remote assistance	Quick Assist ile uzak destek

Windows LAPS

Local Administrator Password Solution (LAPS), yerel yönetici parolasını otomatik olarak rotasyona alır ve Entra ID veya AD’de saklar.

Windows LAPS (modern — Entra ID’de saklama):

Intune → Endpoint Security → Account protection → Local admin password solution:

1
2
3
4
5


Backup directory : Azure Active Directory
Password age (days) : 30
Password length : 20
Password complexity : Large + small letters + numbers + special chars
Post-auth reset delay : 24 saat

Parola görüntüleme:

Intune admin center → Devices → cihaz → Local admin password
Microsoft Entra admin center → Devices → cihaz → Local administrator password

Windows LAPS Windows Server 2019+, Windows 10 20H2+ gerektirir (KB5025221 ve üzeri yüklü).

Uygulama Yönetimi

Intune üzerinden uygulama yaşam döngüsü:

Uygulama Türleri

Tür	Senaryo
Microsoft Store (yeni)	Winget tabanlı, WinGet App ID ile basit dağıtım
Win32 App (.intunewin)	Geleneksel MSI/EXE — tam kontrol, IME gerektirir
LOB App	Kurumsal imzalı MSI/MSIX doğrudan yükleme
Microsoft 365 Apps	Office suite, Office Deployment Tool gerektirmez
Web link	Tarayıcıdan açılacak kısayollar

Win32 App Paketleme

Win32 Content Prep Tool ile .intunewin paketi oluşturun:

1

IntuneWinAppUtil.exe -c <kaynak_klasör> -s setup.exe -o <çıktı_klasör>

Intune → Apps → Windows → Add → Win32:
- Install command: setup.exe /silent /norestart
- Uninstall command: setup.exe /uninstall /silent
- Detection rule: Registry veya MSI product code

Cihaz Yapılandırma Politikaları

Yapılandırma Profili Türleri

Profil	Kullanım
Settings catalog	Modern — 5000+ ayar, ARM tabanlı, önerilen
Administrative templates	ADMX tabanlı GPO benzeri yapılandırma
Endpoint protection	Defender, BitLocker, Firewall ayarları
Device restrictions	Kamera, ekran görüntüsü, USB, mağaza kısıtlamaları
Custom (OMA-URI)	Catalog’da olmayan özel CSP ayarları

Başlangıç İçin Minimum Profil Seti

BitLocker: Sürücü şifrelemesi, recovery key Entra ID’e yedek
Firewall: Domain/Private/Public profilleri aktif
Defender: Real-time protection, cloud-based protection, sample submission
Windows Update rings: Semi-annual channel, 0 gün feature / 0 gün quality (veya 7 gün defer)
Device restrictions: Kamera/mikrofon (isteğe bağlı), USB storage (politikaya göre)

Özet

Intune’un kavramsal mimarisi üç eksen üzerine oturur:

Kimlik → Cihazın Entra ID’deki durumu (Registered / Hybrid Joined / Entra Joined) MDM yönetim kapsamını ve SSO davranışını belirler.

Lisans → Her yönetilen kullanıcıya Intune lisansı atanmalıdır; lisanssız kullanıcı Compliance dışında kalır ve Conditional Access aksar.

Platform → Settings Catalog, App deployment, LAPS, Windows Update rings ve Endpoint Security politikaları birlikte “GPO’nun bulut versiyonu” işlevi görür — ancak daha ayrıntılı, daha izlenebilir, uzaktan yönetilebilir.

Intune Hibrit Geçiş Rehberi — On-Prem AD'den Modern Yönetime

Tue, 18 Mar 2025 00:00:00 +0000

Kurumsal ortamlarda yerleşik Active Directory altyapısını sürdürürken Intune yönetimine geçiş, dikkatli planlama gerektiren çok adımlı bir süreçtir. Bu rehber, kimlik senkronizasyonundan cihaz kaydına ve yetki devirlerine kadar tüm bileşenleri kapsar.

Kavramsal Çerçeve: Hibrit Ortam Nedir?

Hibrit join (Entra Hybrid Join), cihazın hem on-prem Active Directory’ye hem de Microsoft Entra ID’ye (eski adıyla Azure AD) kayıtlı olduğu durumdur. Bu model:

Geçiş döneminde şirket içi GPO yönetimini sürdürürken
Intune MDM politikalarını aynı anda uygulamaya
Koşullu erişim politikalarının cihaz durumuyla çalışmasına

olanak tanır.

Cihaz kimlik modelleri karşılaştırması:

Model	AD Kaydı	Entra Kaydı	Intune Yönetimi
Domain Joined (klasik)	Var	Yok	Hayır
Entra Hybrid Joined	Var	Var	Evet (MDM ile)
Entra Joined	Yok	Var	Evet
Registered (BYOD)	Yok	Var (registered)	Evet (MAM ile)

Lisanslama Gereksinimleri

Intune ile MDM yönetimi için kullanıcı başına lisans zorunludur:

Lisans	Intune MDM	Conditional Access	Defender
M365 Business Premium	Dahil	Dahil	Defender for Business
M365 E3	Dahil	Dahil	—
M365 E5 / EMS E5	Dahil	Dahil	Defender P2
Intune standalone	Dahil	—	—

Lisanssız kullanıcıların cihazları MDM ile yönetilemez ve Conditional Access politikaları bu cihazları uyumsuz olarak işaretler.

Entra ID ve Entra Connect Hazırlığı

Entra ID Tenant Yapılandırması

Microsoft Entra admin center → Identity → Overview — tenant bilgilerini doğrulayın
Custom domain eklenmiş ve doğrulanmış olmalıdır
UPN suffix on-prem AD ile eşleşmeli: kullanici@sirket.com

Entra Connect (Klasik) veya Cloud Sync

Hangi araç ne zaman?

Araç	Uygun Senaryo
Entra Connect (AAD Connect)	Karmaşık filtreler, özel öznitelik eşleştirme, Exchange hibrit
Cloud Sync	Çoklu orman, basit senkronizasyon, aracı tabanlı yüksek erişilebilirlik

Cloud Sync kurulumu:

Microsoft Entra admin center → Hybrid management → Microsoft Entra Connect → Cloud Sync
Yeni yapılandırma → “AD’den Microsoft Entra Kimliği”
Aracıyı (provisioning agent) indirip Exchange VM’ine veya üye sunucuya kurun
Kapsam filtresi: Senkronize edilecek OU’ları belirleyin (ör. OU=Users,DC=sirket,DC=com)
Öznitelik eşleştirmesi: userPrincipalName → Trim([mail]) (mail özniteliği dolu olmalı)

Servis Bağlantı Noktası (SCP) Yapılandırması

SCP, cihazların hangi Entra ID tenant’a kayıt olacağını anlamas için gereklidir.

Group Policy üzerinden SCP (Windows 10/11):

Bilgisayar Yapılandırması → Tercihler → Windows Ayarları → Registry:

1
2
3
4


Hive : HKEY_LOCAL_MACHINE
Path : SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
Value : TenantId → <Entra Tenant ID>
Value : TenantName → <doğrulanmış domain adı>

Alternatif — AD’de SCP nesnesi:

1
2
3
4
5


$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4a43-99f6-73c7ecdc9b81,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=sirket,DC=com"
$scp.Keywords.Add("azureADId:<TenantId>")
$scp.Keywords.Add("azureADName:<TenantName>")
$scp.CommitChanges()

GPO ile Cihaz Kaydı Otomasyonu

Domain-joined Windows 10/11 cihazlarının Entra Hybrid Join sürecini GPO tetikler.

Task Scheduler Görevi (Otomatik Kayıt)

1
2
3
4
5
6


Group Policy Management Editor:
Bilgisayar Yapılandırması → Tercihler → Denetim Masası Ayarları → Zamanlanmış Görevler

Ad : Automatic-Device-Join
Tetik: Kullanıcı oturum açtığında
Eylem: dsregcmd /join

Alternatif olarak MDM enrollment GPO ile yapılabilir:

Bilgisayar Yapılandırması → İdari Şablonlar → Windows Bileşenleri → MDM:

1

Enable automatic MDM enrollment using default Azure AD credentials : Enabled

MDM Otomatik Kayıt Yapılandırması

Intune’da MDM Kapsam Ayarı

Intune admin center → Devices → Enrollment → Automatic Enrollment
MDM user scope: All (veya pilot grup için Some)
MDM terms of use URL, discovery URL, compliance URL → varsayılan değerler bırakılabilir

Kayıt Doğrulama

Cihazda komut isteminden:

1

dsregcmd /status

Beklenen çıktı:

1
2
3
4


AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
AzureAdPrt : YES

Intune’a kayıt doğrulaması:

1

mdmdiagnosticstool.exe -area Autopilot -cab c:\mdm_report.cab

Doğrulama ve Uzaktan Yönetim

Intune Admin Center’dan Cihaz Kontrolü

Devices → All Devices → cihazı filtreleyin
Managed by: Intune görünmeli
Compliance: Compliant (politika henüz atanmadıysa Not evaluated)
Join Type: Hybrid Azure AD joined

İlk Politika Atamaları

Yeni kaydolan cihazlar için başlangıç grubu: Tüm Cihazlar veya dinamik grup (deviceOSType -eq "Windows")
İlk atanacak politikalar: BitLocker encryption, Firewall, Defender settings

Hibrit Yapının Kısıtlamaları

Sınırlama	Açıklama
GPO ve MDM çakışması	Aynı ayar hem GPO hem Intune’dan geliyorsa GPO kazanır. Çift yönetimden kaçının.
Şifre yönetimi	Hibrit Join’da şifre değişikliği on-prem DC üzerinden gerçekleşir; Entra SSPR bağımsız çalışmaz
Autopilot + Hybrid Join	Pre-provisioning ve Hybrid Join birlikte kullanılıyorsa Intune Connector for AD gereklidir
LAPS	Legacy LAPS on-prem ile çalışır; Windows LAPS Entra’ya veya AD’ye ayrı ayrı yapılandırılabilir
Uygulama dağıtımı	Win32 uygulamaları Intune Management Extension (IME) gerektirir — cihaz her iki kaynaktan uygulama alabilir

Uzun vadeli hedef: Entra Joined (full cloud) mimarisine geçiş. Hibrit Join bir köprüdür, son durak değildir.

Microsoft Intune Gelişmiş Güvenlik Yapılandırma Rehberi

Mon, 10 Feb 2025 00:00:00 +0000

Microsoft Intune, uç nokta yönetimi ve güvenliğini tek platformda birleştiren bulut tabanlı bir MDM/MAM çözümüdür. Bu rehber, kurumsal ortamda Intune üzerinden güvenliğin katmanlı olarak nasıl yapılandırılacağını ele alır.

Lisanslama ve Ön Koşullar

Intune’un tam güvenlik özelliklerini kullanabilmek için asgari lisans gereksinimleri:

Lisans	Kapsam
Microsoft 365 Business Premium	KOBİ için MEM + Defender for Business
Microsoft 365 E3	MDM + MAM + temel koşullu erişim
Microsoft 365 E5	E3 + Defender for Endpoint P2 + Microsoft Purview DLP
EMS E3 / E5	Bağımsız Enterprise Mobility + Security paketleri

Intune Plan 1 tüm M365/EMS lisanslarında dahilidir. Plan 2 (Advanced Endpoint Analytics, Tunnel, Remote Help) ayrıca lisanslanır.

Kimlik Yönetimi ve Güvenli Erişim

Microsoft Entra ID Conditional Access

Conditional Access, “Doğru kullanıcı, doğru cihaz, doğru koşul” ilkesiyle çalışır. Temel politika yapısı:

Assignments: Kullanıcı/grup kapsamı, bulut uygulamaları, cihaz platformu/durumu, ağ konumu
Conditions: Sign-in risk, user risk (Identity Protection), cihaz uyumluluk durumu
Access controls: MFA zorunluluğu, uyumlu cihaz zorunluluğu, erişim engeli

Kritik politika örnekleri:

Politika	Kapsam	Kontrol
Tüm uygulamalar — MFA	Tüm kullanıcılar	MFA zorunlu
Admin portalları	Yönetici rolleri	MFA + Uyumlu cihaz
High risk sign-in	Tüm kullanıcılar	Erişimi engelle veya MFA + şifre sıfırla
Compliant device	M365 uygulamaları	Sadece Intune’a kayıtlı, uyumlu cihazlar

MFA ve Windows Hello for Business

MFA yöntemleri (güçten zayıfa):

FIDO2 güvenlik anahtarı (fiziksel — kimlik avı dayanıklı)
Windows Hello for Business (biyometri/PIN — cihaza bağlı)
Microsoft Authenticator (telefon onayı)
TOTP uygulaması (Google Authenticator vb.)
SMS/çağrı (en zayıf — SIM swap riski)

Windows Hello for Business (WHfB) Yapılandırması:

Intune → Endpoint Security → Account protection → Windows Hello for Business policy:

1
2
3
4
5
6
7
8
9


Use Windows Hello for Business : Enabled
Minimum PIN length : 8
Maximum PIN length : 127
Lowercase letters in PIN : Allowed
Uppercase letters in PIN : Allowed
Special characters in PIN : Required
PIN expiration (days) : 0 (süresiz — biyometri kullanımı ön planda)
PIN history : 10
Enable enhanced anti-spoofing : Enabled (IR kamera zorunluluğu)

Uç Nokta Güvenliği

Microsoft Defender for Endpoint Entegrasyonu

Intune ↔ Defender for Endpoint entegrasyonu için:

Microsoft Endpoint Manager admin center → Endpoint Security → Microsoft Defender for Endpoint
“Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations” → On
Defender portalında Intune bağlantısını etkinleştirin

Entegrasyon sonrası cihazın Defender risk seviyesi Intune compliance policy’de değerlendirilebilir:

1

Device Threat Level : Secured / Low / Medium / High

Attack Surface Reduction (ASR) Kuralları

Intune → Endpoint Security → Attack surface reduction:

ASR Kuralı	Mod	Açıklama
Block Office macros from creating child processes	Block	Office zararlı yazılım zincirini keser
Block credential stealing from LSASS	Block	Mimikatz ve benzeri araçları engeller
Block executable content from email	Block	E-posta tabanlı yayılımı önler
Block abuse of exploited vulnerable signed drivers	Block	BYOVD saldırılarına karşı
Block untrusted/unsigned USB execution	Block	USB tabanlı saldırıları önler

Kuralları önce Audit modda çalıştırın, 2 hafta log inceleyin, sonra Block‘a alın.

Compliance Politikaları

Uyumluluk politikaları cihazın Conditional Access’e dahil olabilmesi için karşılaması gereken minimum güvenlik çıtasını belirler.

Windows Compliance Policy (Önerilen Minimum)

1
2
3
4
5
6
7
8
9


OS Version : Windows 10 21H2 veya üzeri
BitLocker : Required
Secure Boot : Required
Code Integrity : Required
Defender : Real-time protection enabled, up-to-date signatures
Firewall : Required
Antivirus : Required
Password : Required, min 8 karakter, max 5 dk boşta kalma
Device Threat Level: Low veya daha iyi

Non-compliance aksiyonu: 15 gün uyumsuz cihaz işaretlenir → 30. günde uzaktan kilitleme bildirimi → 45. günde koşullu erişim bloke.

MAM — Uygulama Bazlı Veri Koruma (DLP)

Mobile Application Management (MAM), cihaz yönetimi olmadan uygulama düzeyinde veri koruma sağlar (BYOD senaryoları için idealdir).

Intune App Protection Policy (APP)

Veri transferi kısıtlamaları:

Ayar	Değer
Send org data to other apps	Policy managed apps only
Receive data from other apps	Policy managed apps only
Save copies of org data	Block
Backup org data to…	Block
Restrict cut, copy, paste	Policy managed apps
Screen capture	Block (Android)

Erişim gereksinimleri:

Ayar	Değer
PIN for access	Required
Biometric instead of PIN	Allow
Recheck access requirements	30 dakika
Offline grace period	720 saat
Wipe data after failed PIN attempts	5 deneme sonrası

Windows Autopilot

Autopilot, cihazların kutusundan çıkıp son kullanıcı eline geçene kadar IT departmanına dokunmadan Intune ile yapılandırılmasını sağlar.

Deployment Profile Ayarları

User-driven mode (en yaygın):

1
2
3
4
5
6


Deployment mode : User-driven
Join to Azure AD as : Azure AD joined
Microsoft Software License Terms : Auto-accept
Privacy settings : Hide
Hide change account : Hide
User account type : Standard User

Pre-provisioning (White Glove): IT, cihazı son kullanıcıya vermeden önce kurum politikalarını ve uygulamaları önceden yükler. Kullanıcıya sadece kendi kimlik bilgilerini girecek bir cihaz ulaşır.

Enrollment Status Page (ESP)

ESP, kullanıcının masaüstüne geçmeden önce tüm kritik uygulama ve politikaların yüklenmesini garanti eder:

Block device use until all apps and profiles are installed: Yes
Show error when installation takes longer than: 60 dakika
Allow users to collect logs: Yes (sorun giderme kolaylığı)

Sonuç

Intune üzerinde güvenliği katmanlı yapılandırmak; kimlik doğrulamadan cihaz uyumluluğuna, uygulama korumasından uç nokta tehdit zekasına kadar uzanan bir Zero Trust zinciri oluşturur. Her katman tek başına yetersizdir; güç, katmanların birlikte çalışmasından gelir.

Katman	Araç
Kimlik	Entra ID + Conditional Access + MFA/WHfB
Cihaz	Intune MDM + Compliance Policy + BitLocker
Uygulama	MAM + App Protection Policy
Tehdit	Defender for Endpoint + ASR
Süreç	Autopilot + ESP