Microsoft Windows tabanlı bir PC üzerinde oturum açmak eskisinden daha hızlı ve akıcı bir süreç haline geldi. Uzun zaman önce, genellikle uzun bir başlatma işleminin sonrasında sisteme erişmek için karmaşık bir şifre girilmesi gerekiyordu. Parola tabanlı güvenlik, hem son kullanıcılar hem de BT yöneticileri için bir yük oluşturuyordu. Kullanıcılar, uzunluk, özel karakter kullanımı ve hesap adlarının hariç tutulması için minimum gereksinimleri karşılayan şifreleri hatırlamalı ve girmelidirler. BT yöneticileri de uygun şifre ayarlarını yapılandırmalı ve sık sık sıfırlama yapmalıdır. Bu bağlamda, Windows Hello for Business muazzam bir rahatlama sağlamaktadır. Windows Hello For Business, oturum açma işlemi sırasında geleneksel paroların yerini alan biyometri ve yerel PIN’ler gibi seçeneklerle güçlü ikinci faktörlü kimlik doğrulama (Two Factor Authentication) seçeneklerini de beraberinde getiriyor. Ek olarak Windows Hello aygıtları tek oturum açma (SSO) özelliğinden yararlanabilir veya sertifika tabanlı PIN’lerle, telefon doğrulmasıyla ek, çok faktörlü kimlik doğrulamasına gerek kalmadan bir VPN üzerinden uzaktan erişimin keyfini çıkarabilirsiniz. Genel olarak Windows Hello gelişmiş işlevlerini son kullanıcılar için sezgisel ve karmaşık olmayan bir deneyime dahil ediyor. BT yöneticileri içinde daha yönetilebilir bir güvenlik mimarisine imkan sağlamaktadır.
Windows Hello For Business konfigürasyonu ile bir cihaza yapılandırma profili dağıtmak ve cihazı ilgili gruba atamak artık mümkün. Windows Hello For Business yapılandırmasını isterseniz SCCM isterseniz Microsoft Intune uygulamalarını kullanarak dağıtabilirsiniz.
Bu yazımda sizlere Microsoft Intune uygulamasını kullanarak Workgroup olan cihazlara gerekli konfigürasyonunu nasıl uygulayacağınızdan bahsedeceğim. Windows Hello For Business konfigürasyonunu, domain ortamına dahil edilen bir bilgisayar üzerine SCCM aracını kullanarakta dağıtabilirsiniz.
Windows 10 bir cihazı Azure AD yapısına join ettiğinizde SCCM ile birlikte ortak çalıştığı zamanlarda Windows Hello doğrulama mekanizması devreye girer. Domain’ e dahil olmuş cihazların Windows Hello yapılandırmaları için en az bir GPO ayarına ihtiyaçları bulunmaktadır. (Computer Configuration – Administrative Templates – Windows Component – MDM – Auto MDM Enrollment with AAD Token)
Bu GPO ayarı Windows 10 (1709) cihazları hedef alabilir ve iki işlemi tetiklemektedir. (Azure AD Device Registration ve cihazın Intune ortamına kaydedilmesi.)
Peki, Domain ortamında bulunmayan bir cihaza Windows Hello For Business yapılandırmasını nasıl gerçekleştireceğiz?
Windows Hello For Business yapılandırması için ilk olarak ilgili yapılandırma işlemini yapacağınız hesabın Azure AD’ye join olmuş olması ve Microsoft Device Management ortamına register olması gerekiyor.
Windows Hello For Business yapılandırması için ilk olarak Microsoft 365 cihaz yönetim merkezine “https://devicemanagement.portal.azure.com” adresine gidelim.
Karşınıza gelen ekranda sırasıyla Home-Devices-Enroll Devices sekmesine gidilir. Enroll Devices sekmesinde Windows enrollment içerisinde Windows Hello For Business ayarlarını görebilirsiniz.
Resim-1
Windows Hello For Business penceresinde gerekli konfigürasyonları gerçekleştirmek için ilk olarak ilgili konfigürasyonu Enabled hale getirmelisiniz.
Azure Active Directory Join içerisine dahil olmuş Intune kayıtlı cihazları yönetiyorsanız Windows Hello for Business yapılandırması varsayılan olarak açık durumda gelmektedir. (Windows 10 1709 sürümü)
Resim-2
Configure Windows Hello For Business ekranında ilgili ayarı Enable hale getirirseniz ilgili ayarlar tüm kullanıcı ve cihazlar için geçerli olacaktır. Windows Hello For Business konfigürasyonunu belirli bir kullanıcı veya cihaz gruplarına uygulamak istiyorsanız bu aşamada “Not Configured” seçeneğini seçip daha sonrasında oluşturacağınız Windows Hello For Business politikasını ilgili kullanıcı veya cihaz gruplarına uygulayabilirsiniz. Windows Hello For Business konfigürasyonunu belirli kullanıcı ve cihaza uygulamak için ilk olarak ilgili konfigürasyonumuzu oluşturalım. Device Management ekranında Devices Configuration bölümünde Profiles altında Create Profile seçeneğine tıklayarak profile oluşturalım.
Resim-3
Create Profile ekranında, Platform seçeneğinde ilgili politakanın hangi platformlar için kullanılacağını (Windows 10 and later) belirleyebilirsiniz. Bizim senaryomuzda ilgili konfigürasyonu Windows 10 cihazlar için uygulayacağımız için Windows 10 and later seçeneğini seçiyorum. Aynı ekranda Profile Type bölümünde Identity Protection seçeneğini seçip, Create butonu ile ilgili profile oluşturma işlemini sonlandırıyorum.
Karşınıza gelen Create Profile ekranında ilgili politikanız için Name kısımında bir isim belirleyebilirsiniz. Description kısmında ise ilgili politika ile ilgili kısa bir bilgi verebilirsiniz. Settings bölümünde Configure Windows Hello For Business ekranında Enable seçeneğini seçtikten sonra ilgili ayarları yapılandırabilirsiniz. İlgili konfigürasyonu tamamladıktan sonra Create butonunu kullanarak ilgili politikayı oluşturabilirsiniz.
Resim-4
İlgili politiklayı oluşturduktan sonra artık Windows Hello For Business politikasını hangi kullanıcı veya cihaz gruplarına uygulamak istiyorsanız onlara atamanız gerekli.
Resim-5
Assigments ekranında hangi kullanıcı veya cihaz grubuna ilgili konfigürasyonun uygulanmasını istiyorsanız o grupları ekleyebilirsiniz. Oluşturduğunuz Windows Hello For Business ayarı Microsoft Intune ile yapılan bir sonraki senkronizasyon’da Windows cihazdan Microsoft Intune’a giriş yaparken devreye girecektir.
Oluşturduğunuz Windows Hello For Business politikasının sonuçlarını ise Monitor sekmesi altında Devices Status veya User Status altında görebilirsiniz.
Resim-6
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Windows Hello For Business, Identity Protection, Device Configuration, Azure AD, Enroll Devices, System Center Configuration Manager, Mobile Device Management (MDM), PIN, Two Factor Authentication(MFA)
