Close-up of a businesswoman in a red blazer signing finance documents at an office desk.
Bulut TeknolojileriMicrosoft 365
Can Yıldız

Şanlıurfa merkezli 540 çalışanlı bir tekstil + tarım holdingi, 540 Windows laptop + 280 iOS/Android telefon + 65 iPad’i Intune ile yönetmeye karar verdi. 6 ay sonunda zero-touch Autopilot provisioning, compliance enforcement, app protection ve helpdesk biletlerinde %62 düşüş elde edildi. Bu yazı sahadaki teknik notlar.

Cihaz Sınıflandırması

Cihaz tipi Sayı Yönetim modeli
Şirket Windows laptop 540 Hybrid Azure AD join + Intune (MDM)
Şirket iPhone 180 Apple ABM + Intune (Supervised)
Şirket Android (Samsung) 100 Android Enterprise (Knox) + Intune
BYOD iOS/Android ~~150 App Protection only (MAM)
Şirket iPad (saha) 65 iPad Shared mode + Intune

Compliance Policy

Windows Compliance

- Minimum OS: Windows 10 21H2 / Windows 11
- BitLocker: Required
- Secure Boot: Required
- TPM 2.0: Required
- Antivirus: Defender enabled
- Firewall: Active
- Code integrity: Enabled
- Real-time protection: On
- Password: 12 char min, complexity
- Account lockout: 5 attempts

iOS Compliance

- Minimum iOS: 16.0
- Jailbreak: Not allowed
- Passcode: 6+ char, alphanumeric
- Encryption: Required (default)
- Cloud backup of corp data: Restricted

Android Compliance

- Minimum Android: 12
- Root detection: Not allowed
- Play Protect: Required
- Encryption: Required
- Screen lock: 6+ digit PIN

Non-compliant cihaz Conditional Access ile M365’e erişemiyor.

Configuration Profile (Windows)

Profil: "Win-Corp-Baseline"
- Wi-Fi: Auto-connect to "ContosoWiFi" SSID with WPA2-Enterprise
- VPN: Always On VPN to corp gateway
- Certificate: SCEP profile for user cert
- Update Ring: Quality updates 7 days deferral, Feature 30 days
- Defender: Tamper protection on, weekly full scan
- Edge: Set as default browser, block 3rd party cookies
- BitLocker: XTS-AES 256, recovery key escrow to AAD
- Office: Sign-in lock, OneDrive Known Folder Move
- USB Storage: Block

App Protection (MAM) for BYOD

BYOD (kendi telefonu) için sadece corp app’lerin verisi korunuyor (telefon yönetilmiyor):

App Protection Policy (iOS):
- Apps: Outlook, Teams, OneDrive, Word, Excel, PowerPoint
- Data transfer:
  - Allow data transfer between policy-managed apps only
  - Restrict cut/copy/paste to managed apps
  - Block screen capture (Android)
  - Block printing
  - Block backup to iCloud/Google Drive
- Access:
  - Require PIN (6 digit) or biometric
  - PIN reset: 30 days
  - Block jailbroken/rooted devices
  - Recheck access requirements: 30 minutes
- Data wipe:
  - Wipe data after 30 days offline
  - Wipe data on device action: Selective (only corp data)

Çalışan ayrılınca sadece corp app data wipe — kişisel fotoğraf, mesaj etkilenmiyor.

Autopilot: Zero-Touch Provisioning

Yeni laptop tedarikçiden direkt çalışana gönderiliyor. Çalışan:

  1. Kutuyu açıyor, Wi-Fi seçiyor
  2. Email adresini giriyor (Entra ID hesabı)
  3. 30-45 dk sonra: corp policy + apps + browser ayarları + VPN hazır
Autopilot deployment profile:
- Deployment mode: User-driven
- Join type: Hybrid Azure AD joined
- Microsoft Software License Terms: Hide
- Privacy settings: Hide
- User account type: Standard
- Apply device name template: HOL-%RAND:5%
- Allow pre-provisioning: Yes (IT pre-stages)
- Region/Language/Keyboard: Turkish

Tedarikçiyle anlaşma: cihazların Autopilot hash’i (4K HH) Intune tenant’a otomatik yükleniyor.

Application Deployment

Required apps (otomatik install):

  • Microsoft 365 Apps
  • Defender for Endpoint
  • Company Portal
  • Adobe Reader
  • Cisco AnyConnect (legacy VPN, geçiş aşamasında)

Available apps (Company Portal’dan istek):

  • Visual Studio Code
  • Postman
  • SQL Server Management Studio
  • SAP B1 client (offline installer)

Update Rings (WUfB)

Ring Pilot user Quality Feature
Ring 0 – IT 12 0 gün defer 0 gün
Ring 1 – Pilot 50 3 gün 14 gün
Ring 2 – Standard 440 7 gün 30 gün
Ring 3 – Critical (üretim) 38 14 gün 60 gün

Sonuçlar (6 Ay)

Metrik Önce Sonra
Yeni cihaz hazırlama süresi (IT) ~~3 saat (manuel imaging) ~~5 dk (kutu IT’ye uğramıyor)
Helpdesk cihaz biletleri (aylık) ~~210 ~~80
BitLocker enabled cihaz oranı %34 %100
Patch compliance (30 gün içi) ~~%62 ~~%96
Lost device → wipe süresi ~~saatler ~~5 dk (uzaktan)

Maliyet

Kalem Aylık (USD)
Microsoft 365 E3 (Intune dahil) × 540 ~~$19.440
Microsoft 365 E5 (subset, 80 admin/manager) ~~$2.880 ek

Lisans yatırımı yüksek ama IT operasyonel maliyetinin düşmesi ve güvenlik kazanımı dengeliyor.

Sahada Düşülen Üç Tuzak

  1. BYOD’a tam MDM zorlamak: Çalışan kendi telefonunu corp yönetimine vermek istemiyor (haklı). MAM-only yaklaşımı + corp app data izolasyonu yeterli.
  2. Update ring tasarlamamak: Tüm fleete aynı anda update → bug çıkınca herkes etkilenir. Ring stratejisi şart.
  3. Autopilot hash sürecini ihmal: Tedarikçiyle önceden anlaşmazsanız hash’leri manuel topluyorsunuz, zero-touch faydası kayboluyor.

CloudSpark olarak Microsoft Intune deployment, Autopilot setup, compliance + app protection policy tasarımı, MDM + MAM stratejisi için danışmanlık veriyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español