Azure AD Registiration, Azure AD Join ve Azure AD Hybrid Join Nelerdir?

Bu makalemde sizlere Microsoft Azure tarafında bulunan 3 çeşit Synchronization servisinden bahsedip bu servislerin kuruluş ortamlarınızda ne kadar faydalı, yönetimlerinin ne kadar basit ve güvenlik tarafında şirket içi veya şirket dışı kimlik bilgilerinizi, cihazlarınızı vs… yüksek seviyede tutabiliceğinizi anlatıp sizleri Microsoft Azure tarafına yönlendirmeye çalışacağım.

Microsoft Azure Cloud teknolojisi yaklaşık 10 senedir varlığını ve kullanımı sürdürüp içerisinde birçok servis bulunduran ve sürekli yeniliklerle performans, yönetim, güvenlik ve daha sayamayacağım birçok geliştirmeleriyle beraber hayatımızda bulunuyor. Yukarıda bahsettiğim gibi kuruluş ortamınızda bulunan cihazlarınızı 3 farklı senaryoda Azure tarafına Join edebilirsiniz.

• Azure AD Registiration
• Azure AD Join
• Azure AD Hybrid Join

Azure AD Registiration

Azure AD Registiration ile herhangi bir kullanıcının kişisel bilgisayarını Azure AD tarafına Join edip kaynaklara erişimini sağlayabiliriz. Buradaki durumu Bring Your Own Device (BYOD) şeklinde adlandırabiliriz. Kullanıcı kuruma ait bir bilgisayarı ya da telefonu kullanmak yerine kendi bilgisayarını, kendi telefonunu veya kendi cihazını getir sloganı ile kişisel cihazlarını kurum içerisinde kullanmasını sağlayabiliriz. Bu registiration işleminin bu gibi avantajı olsa da birkaç dezavantajıda bulunmaktadır.

Kullanıcının kullancağı cihaz kişisel cihazı olduğu için BT tarafından yönetim sağlayacak olan kişi kullanıcının cihazında sınırlı bir şekilde yönetim sağlayabiliecek.

Avantajlarından bir tanesine örnek vermek gerekirse, kullanıcı IOS veya Android işletim sistemli telefonlarında kullandığı kimliği ile hesaplarında oturum açabilir. (Örnek, Android Play Store hesabı)

Azure AD Join

Kurum içerisinde mevcut ya da dahil olan bir personele sağlanan cihazların kuruma ait olması ve kullanıcı bilgisayarının Windows işletim sistemli bir bilgisayar olması durumunda sağlanacak kayıt işlemidir. Esas bilinmesi gereken durum, Azure AD Registiration servisi macOS, IOS ve Android işletim sistemli cihazlar ile çalışırken Azure AD Join Windows işletim sistemli cihazlar ile etkileşim sağlayabilmektedir.

Azure AD Join ile sağladığınız kayıt işlemi sonrası kullanıcı cihazları üzerinden sadece Azure AD hesabı ile oturum açabilir.

Aşağıdaki görselde, bir kullanıcı bilgisayarının Azure AD Join ile nasıl kayıt işlemi yapabileceğini gösterdim. Kullancı bilgisayarı üzerinde, Start/Settings/Accounts/Access work or school adımlarını takip ederek Azure AD hesabı ile oturum açtığında Azure AD tarafına kayıt işlemi tamamlanmış olacaktır.

Resim-1

Yukarıda gördüğünüz görselde sadece Email Address görünmektedir. Kendi cihazımı zaten Azure AD’ ye kayıt ettiğim için Azure AD Join gibi bir seçenek çıkmıyor. İlk Join esnasında Email Address kısmının altında Join this device to Azure Active Directory şeklinde buton görünecektir. Butona tıkladıktan sonra kayıt işlemi tamamlanır.

Kayıt işlemini teyit etmek için Azure portal tarafında Azure AD/Devices/All devices kısmından makineninizin kayıt işleminin tamamlandığını görebilirsiniz.

Azure AD Hybrid Join

On-Premises AD ile Azure AD arasında oluşturacağımız Sync durumuna Azure AD Hybrid Join diyebiliriz. Buradaki dağıtımı SCCM aracılığı ya da yerel yönetim şeklinde yönetimini sağlayabiliriz. Tercihe ve ihtiyaca bağlı On-Prem tarafta bulunan kimlik bilgilerini AD cihazlarını Azure AD tarafına Sync edip yönetimini sağlayabiliriz. Yukarıda bahsettiğim Azure AD Join servisi ile aynı şekilde Windows işletim sistemli cihazlar ile kayıt sağlanabilir.

Resim-2

Hybrid Join ile sağlanan avantajlardan birisi ise, On-Premises AD üzerinden yapılan değişikliklerin (yapılandırılacak Authentication servisine bağlı olarak) Azure AD tarafına Sync olması ve yine aynı şekilde tek merkezden yönetilmesi Azure AD tarafında dağıtılmasıdır. Hybrid Join ile birçok özellik mevcut olup örneklerindedn bir taneside SSO’ dur. SSO ile kullanıcılara oturum açacağı her bir platforma ayrı ayrı kimlik bilgisi değil tek bir kimlik bilgisi ile farklı farklı platformlarda oturum açma imkanı tanıyabilirsiniz. Kullanıcı acil erişmesi gereken bir uygulama üzerinde Azure AD hesabı ile oturum açabilir.

Aşağıda belirttiğim komutu Powershell üzerinden ve Azure AD Connect servisinin çalıştığı makineden çalıştırdığınızda AzureADJoined servisinin Enable olduğunu görebilirsiniz.

Dsregcmd /status

Resim-3