Kurumsal cihaz yönetimi, yıllar içinde büyük bir dönüşüm geçirdi. Klasik MDM (Mobile Device Management) yaklaşımları, özellikle kurum cihazlarının yoğun olduğu ortamlarda oldukça başarılı oldu. Ancak günümüzde çalışanlar, kendi kişisel cihazlarıyla (BYOD) iş kaynaklarına erişmek istiyor. Bu durumda ise geleneksel MDM yapıları, hem kullanıcı deneyimini zedeliyor hem de güvenlik açısından istenen esnekliği sunamıyor.
İşte tam bu noktada MAM (Mobile Application Management) devreye giriyor. Microsoft Intune, MAM ile cihazı yönetmeden, sadece uygulama düzeyinde veri koruması sağlayabiliyor. Android ve iOS tarafında bu senaryo uzun süredir mümkünken, Microsoft şimdi aynı özgürlüğü Windows platformuna da getiriyor.
Windows için MAM Without Enrollment
Bu yeni özellik sayesinde, Windows 11 cihazlarında herhangi bir cihaz kaydı (enrollment) olmadan sadece uygulama seviyesinde veri koruması sağlayabiliyorsunuz. Özellikle dış paydaşlar, danışmanlar veya proje bazlı çalışan kişiler için cihaz yönetimi yükü olmadan veri güvenliği sağlamak artık mümkün.
Bu yazıda neleri işleyeceğiz?
• MAM Without Enrollment (MAM-WE) nedir ve nasıl çalışır?
• Hangi senaryolarda kullanılmalı?
• Adım adım yapılandırma
• Gerçek hayat kullanım örneği
• Şu anki sınırlamalar ve gelecek planları
MAM Without Enrollment Nedir?
Microsoft Intune’un bu yeni özelliğiyle artık Windows 11 cihazlarda hiçbir cihaz kaydı (enrollment) yapılmadan, yalnızca uygulama bazlı koruma sağlanabiliyor. Bu, özellikle kişisel cihazlar veya dış kullanıcılar (dış danışmanlar, geçici çalışanlar, partner’lar) için büyük bir avantaj sağlıyor.
MAM Without Enrollment (kısaca MAM-WE), Microsoft’un Android ve iOS platformlarında yıllardır başarıyla uyguladığı yaklaşımın Windows tarafına genişletilmiş hali.
Desteklenen Uygulamalar
Şu an için MAM-WE desteği aşağıdaki uygulamalarla sınırlıdır (Preview aşamasında):
• ✅ Microsoft Edge (MSI Installer)
• ✅ Outlook for Windows (New Outlook)
• 🔜 Teams (New Client) – yakın zamanda desteklenecek.
Not: Uygulamanın Microsoft Store versiyonu değil, MSI/Win32 versiyonu kullanılmalıdır. MSIX veya App Installer desteklenmemektedir.
Gereksinimler
Gereksinim Açıklama
Windows 11 22H2 ve sonrası
Azure AD hesabı
Microsoft 365 E5, EMS E5, Intune Plan 1/2 Lisans
Bu Özellik Ne Zaman ve Nerede Aktif?
Bu özellik Nisan 2024 itibariyle Preview olarak sunuldu. Şu anda yalnızca Microsoft Endpoint Manager Admin Center (Intune portal) üzerinden App Protection Policy (Windows platformu) oluşturarak kullanılabilir.
Eğer tenant’ınızda henüz görünmüyorsa, bir süre beklemeniz gerekebilir veya Microsoft destek kanallarından erişim talep edebilirsiniz.
App Protection Policy Oluşturma (Intune Portal)
👉 Apps > App protection policies > Create policy
Select Apps bölümüne gelerek “microsoft edge” uygulamasını seçiyoruz. (bu tamamen isteğe bağlı)
atama işlemleri yaparak politikayı tamamlıyoruz.
Burada önemli adım, örneğin “MAM-WE Users” isimli bir grup oluşturarak ilgili cihazları gruba ekliyoruz. Burada cihazların enroll edilmesine gerek yok. Yalnızca Azure AD’de yer almaları yeterli.
NOT: Bu özelliğin çalışması için hedeflenen kullanıcıların cihazlarında desteklenen uygulamaları kullanmaları ve oturum açmaları gerekir.
Aynı şekilde farklı politikalar da da bu yeteneği kullanabilirsiniz.
Örneğin;
App Configuration Policy
Örneğin, Edge uygulamasına özel ayarlar göndermek istersen:
Apps > App configuration policies > Add
• Platform: Windows 10 and later
• Targeted app: Microsoft Edge
Conditional Access Policy
Conditional Access ile, seçilen bulut uygulamalarına erişim sağlanmadan önce istemci uygulamasında bir uygulama koruma ilkesi için bir denetim bulunmasını gerektirebilirsiniz. Bu güvenlik denetimi, mobil cihazın bir aracı uygulama aracılığıyla Azure AD ‘de kayıtlı olmasını gerektirir. Aracı uygulaması, iOS için Microsoft Authenticator veya Android cihazlar için Microsoft Company Portal olabilir (aracı uygulaması bir cihazda mevcut değilse, kullanıcıdan korumalı uygulamalardan birinde oturum açma işlemi sırasında indirmesi istenir)
👉 Protection > Conditional Access > New policy
➤ Koşul:
• Target users: MAM-WE kullanıcı grubu
• Cloud apps: Office 365 (veya sadece Exchange Online, SharePoint, vb.)
➤ Grant access:
• Require approved client app
• Require app protection policy
Bu, yalnızca MAM politikası uygulanabilen uygulamaların erişmesine izin verir.
Microsoft Intune’un MAM Without Enrollment for Windows (Preview) özelliği, kurumsal veri güvenliğini yepyeni bir boyuta taşıyor. Özellikle:
• BYOD (Bring Your Own Device) senaryolarında
• Dış danışmanlar ve iş ortaklarıyla çalışan ekiplerde
• Cihaz kaydı gerekmeyen projelerde
artık sadece uygulama düzeyinde veri koruması sağlamak mümkün. Üstelik cihaz kullanıcısının kişisel alanına hiçbir müdahalede bulunmadan!
Bu sayede;
- Kullanıcı cihazını kaydetmeden Outlook ve Edge gibi uygulamalarda veri güvenliği sağladık
- App Protection Policy ve Conditional Access ile kontrolü elimize aldık
- MDM’siz ama güvenli bir çalışma ortamı sunduk
Preview aşamasındaki bu özelliğin yakın gelecekte:
• Word, Excel, Teams gibi uygulamalara genişletilmesi
• MSIX ve Microsoft Store uygulamalarına destek gelmesi
• Uygulama politikalarının daha hızlı uygulanması
• Kullanıcı deneyiminin sadeleşmesi
gibi geliştirmelerle birlikte tam anlamıyla bir oyun değiştirici olacağını söyleyebiliriz.
Bir sonraki makalede görüşmek üzere
