Intune, kullanıcıların şirket e-postasına, verilerine ve uygulamalarına güvenli bir şekilde erişmesini sağlamak için IPADOS ve IOS gibi mobil cihazların yönetimini sağlar. Kurumunuz içerisindeki IOS ve IPADOS cihazlarınızı Microsoft Intune aracılığıyla yönetebilirsiniz. Microsoft Intune, cihazların üzerinde bulunan işletim sisteminin yönetilmesini ve cihazları kurumunuzun gereksinimlerine göre özelleştirmenize olanak sağlar. Microsoft Intune içerisinde bulunan cihaz yapılandırma profilleri aracılığıyla cihazın içerisinde bulunan işletim sistemi ayarlarını yönetebilir, yapılandırabilir, uygulamalar yükleyebilir, uyumluluk ayarlarının sağlanıp sağlamadığını kontrol edebilir ve tüm verileri uzaktan silebilirsiniz. IOS cihazların Apple dağıtım programları ile yönetilmesi sağlanabilir. (Automated Device Enrollment, Apple School Manager, Apple Business Manager gibi.) Apple Dağıtım Programları aracılığıyla aygıt için daha fazla yönetimsel güç sağlayabilirsiniz. Bu dağıtım programları Zero Touch bir yaklaşım benimsediğinden işlemlerin otomatikleştirilmesini de sağlayabilirsiniz. IOS ve IPADOS cihazlarını Intune ortamında yönetebilmeniz için bazı ön gereksinimler bulunmaktadır. Bu ön gereksinimlerden kısaca bahsetmek gerekirse:
- Cihazlarınızın Microsoft Intune’u destekleyip desteklemediğinden emin olmalısınız.
- Apple IOS, IOS/IPADOS ve MacOS cihazlarının yönetimlerini etkinleştirmek için sertifika gereksinimi vardır. (Get an Apple MDM push certificate)
- Cihaz kaydı için özellikle MDM yöneticiniz tarafından ayarlarınızının tamamlanmış olması gerekir.
Kullanıcıları için cihaz satın alan kuruluşlar, (IOS/IPADOS gibi) şirkete ait cihazların yönetilmesi için aşağıdaki kayıt yöntemlerini kullanmaktadırlar.
- Automated Device Enrollment (ADE) with Apple Business Manager
- Apple School Manager
- Apple Configurator
Automated Device Enrollment with Apple Business Manager: Apple aygıt kayıt programı (DEP) olarak bilinen Apple Business Manager aracılığıyla otomatik kayıt, yeni satın alınan aygıtları MDM ortamına kayıt etmenin en kolay yoludur. Otomatik kayıt cihazlarda kurulum deneyimini önceden yapılandırmanıza olanak tanır.
Cihazlar kutudan çıkarıldığında ve ilk kez açıldığında, izin verdiğiniz kurulum ekranlarını gösterir, isteğe bağlı olarak denetimi etkinleştirir ve otomatik olarak MDM’e kaydolur. Otomatik kayıt bir cihazı isteğe bağlı olarak yapılandırmanın tek yoludur. Böylece kullanıcı tarafından MDM üzerindeki cihaz kaydı iptal edilemez. Apple Business Manager kayıt methodunun kullanılması durumunda cihazın resetlenmesi gerekmektedir. Apple Business Manager ve Intune entegrasyonu cihazlarda Supervised Mode’un yapılandırılmasına izin verir.
Apple Business Manager ile otomatik kayıt, bir Apple Business Account, Cellular Business Account ve 3 rd party Business Equipment Reseller aracılığıyla yeni satın alınan cihazlar için geçerlidir. Bazı durumlarda önceden satın alınan cihazlarda bir DEP hesabına eklenebilir.
Apple School Manager: Apple School Manager, okullar için oluşturulmuş bir cihaz satın alma ve kayıt programıdır. Automated Device Enrollment gibi yönetime cihaz kaydetmek için bir profil dağıtabilirsiniz.
Apple Configurator: Apple Configurator, Apple tarafından ücretsiz olarak sağlanan bir MacOS uygulamasıdır. Apple Configurator’ı kurduktan sonra yönetici USB aracılığıyla bir IOS cihazını bağlayabilir, isteğe bağlı olarak cihazı denetimli moda yerleştirebilir ve cihazı MDM ortamına kaydedebilir. Apple Configurator ile kullanıcı bağımsız Direct Enrollment yöntemini seçerseniz cihazı reset etmeniz gerekmez. Sadece 5-10 adet cihaz söz konusu ise Apple Configurator ile teker teker manuel işlem yapabilirsiniz. Ancak ileride çok daha fazla IOS cihazın Supervised Mode ile Intune üzerine kayıt edilmesi gerekiyorsa şimdiden Apple Business Manager üyeliği oluşturmanız gerekiyor.
Resim-1
Apple Configurator kullanarak bir aygıtı kaydetme işlemi Apple DEP yöntemine göre aygıt başına daha fazla zaman alır. Apple DEP’in bir olasılık olmadığı, ancak yinede denetime ihtiyaç duyulduğu durumlarda Apple Configurator yönetimi önerilir.
Kurumların kullanıcıları için cihaz satın alıp bu cihazları kurum politikaları ile yönetilmesi durumundan farklı olarak, kullanıcıların kendi cihazları içerisinde kurumsal uygulamalara erişmesini sağlayabilirsiniz. Bring your own device (BYOD) senaryoları ile kullanıcıların kişisel cihazlarını kullanarak kurumsal uygulama ve verilerine erişmesini sağlayabilirsiniz. (Application Protection Policies, User Enrollment and Device Enrollment)
Application Protection Policies: Application Protection politikaları ile yalnızca uygulama düzeyinde yönetim sağlayabilirsiniz. Bu yönetim şekli ile kullanıcılarınıza en hafif BYOD deneyimi sunabilirsiniz. Microsoft Edge Mobile Browser uygulaması, Intune Application Protection kuralları ile korunabilir.
Resim-2
Application Protection kuralları ile kullanıcının e-mail içerisindeki bir dosyayı telefonuna kaydetmesi engellenebilir. Application Protection Policies enrollment işleminden tamamen bağımsız olarak çalışır. Sadece kurumsal verileri korumak istiyor, kullanıcı telefonlarını yönetmek istemiyorsanız bu senaryo sizin için uygun olacaktır. Enroll etmeden cihazların sayısını Intune portal üzerinden görebilirsiniz. Cihazlar Azure Active Directory’e register olarak görünür. Intune portal üzerinde cihazlara ait compliance raporları göremezsiniz. Application Protection Policies konfigürasyonu ile cihazlar üzerine uygulama dağıtamazsınız.
User Enrollment & Device Enrollment
IOS/ IPADOS cihazları, kurumunuzun e-postalarına, uygulamalarına ve diğer verilerine erişebilen kişisel (BYOD) cihazlardır. IOS 13+ ve daha yeni sürümlerden başlayarak bu kayıt seçenekleri kullanıcıları ve cihazları hedefler. Cihazların yönetilmesi için sıfırlanmasına gerek kalmaz.
Resim-3
User Enrollment: User Enrollment, yöneticilere cihaz yönetimi seçeneklerinden bir alt kümesini sağlayan daha basit bir kayıt yöntemidir. Kullanıcı kaydı, en sınırlı kayıt türü olup, IOS 13+ ve macOS 10.15+ ile kullanımı sağlanır. Kullanıcı kaydı, kullanıcıların kaydolması için Apple Business Manager’dan yönetilen bir Apple kimliği kullanarak kimlik doğrulaması yapmasını gerektirir. Bu kullanıcıların kişisel verilerini iş verilerinden tamamen ayırmak için aygıtlarda ayrı bir ADFS birimi oluşturur. Bu kayıt yöntemi, şirketlerin, kullanıcıların cihazlardaki kişisel etkinliklerine herhangi bir kısıtlama uygulamasına izin vermez, ancak şirketler, kullanıcılara işlerini gerçekleştirmelerine yardımcı olacak işlevler sağlayabilir.
Device Enrollment: Device Enrollment kaydı IOS 13+ ve macOS 10.15+ sürümleri ile beraber kullanıma sürülmüş olup, kişisel cihazlar için tipik bir kayıt yöntemidir. Bu kayıt yöntemi ile belirli uygulamalar ve özellikler değil, cihazlar yönetilir. Yöneticilere çok çeşitli yönetim seçenekleri sunmaktadır. Company Portal uygulaması cihazı kaydetmek için kullanılmaktadır. Bu kayıt methodu ile ilgili cihaz bir kullanıcı ile ilişkilendirilebilir. Bu kullanıcı, bir cihaz kayıt yöneticisi hesabı olabilir. (DEM)
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Enrollment Methods, Automated Device Enrollment (ADE) with Apple Business Manager, Apple School Manager, Apple Configurator, Bring your own device (BYOD), Azure Active Directory, Company Portal, Application Protection, User Enrollment, Device Enrollment
