Endpoint Troubleshooter: Defender, Intune ve Windows Endpoint Kontrolleri İçin Tek Noktadan Yardımcı Araç

Endpoint yönetimi tarafında günlük operasyonlarda en çok zaman kaybettiren konulardan biri, farklı kontroller için farklı ekranlara, log dosyalarına ve PowerShell komutlarına gitmek zorunda kalmak. Microsoft Defender for Endpoint, Microsoft Intune, cihaz enrollment durumu, firewall, proxy, network ve event log kontrolleri çoğu zaman aynı troubleshooting akışının parçalarıdır.

Bu ihtiyaçtan yola çıkarak Endpoint Troubleshooter adında PowerShell tabanlı bir yardımcı araç geliştirdim.

Endpoint Troubleshooter, Windows cihazlar üzerinde çalışan, GUI arayüzüne sahip bir PowerShell modülüdür. Temel amacı; endpoint üzerinde Defender, MDE, Intune, enrollment, network, proxy, firewall ve log kontrollerini tek bir ekranda daha hızlı ve düzenli şekilde yapabilmektir.

Saha çalışmalarında veya müşteri ortamlarında endpoint troubleshooting yaparken genellikle şu kontrolleri ayrı ayrı yapmak gerekiyor:

  • Microsoft Defender Antivirus durumu
  • Defender engine, platform ve signature versiyonları
  • Real-time protection, behavior monitoring, IOAV, Tamper Protection durumu
  • Microsoft Defender for Endpoint Sense servis durumu
  • MDE onboarding state
  • MDE connectivity testleri
  • Intune Management Extension servis durumu
  • Intune sync tetikleme
  • dsregcmd /status çıktısı
  • Azure AD Join / Domain Join / Tenant bilgisi
  • MDM enrollment registry kontrolleri
  • EnterpriseMgmt scheduled task kontrolleri
  • Firewall profile ve blocked event kontrolleri
  • Proxy ve network yapılandırması
  • Defender / Sense / IME event logları
  • Support bundle ve HTML report oluşturma

Bu kontrollerin hepsi yapılabilir, ancak genellikle farklı komutlar, farklı event log path’leri ve farklı registry alanları gerekir. Endpoint Troubleshooter bu süreci sadeleştirmek için tasarlandı.

Endpoint Troubleshooter Nedir?

Endpoint Troubleshooter, PowerShell ile geliştirilmiş bir GUI aracıdır. PowerShell Gallery üzerinden modül olarak kurulabilir ve tek komutla çalıştırılabilir.

Install-Module EndpointTroubleshooter -Scope CurrentUser

Start-EndpointTroubleshooter

Araç açıldığında sol menü üzerinden farklı troubleshooting alanlarına geçiş yapılabilir.

Execution policy kısıtı görülürse;

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass

çalıştırılmalıdır.

Ana Özellikler

1. Dashboard

Dashboard ekranı, cihazın genel sağlık durumunu hızlıca görmek için tasarlandı.

Bu ekranda özet olarak şunlar görüntülenir:

  • Computer name
  • Current user
  • OS bilgisi
  • Defender AV genel durumu
  • MDE / Sense servis durumu
  • Intune Management Extension durumu
  • Azure AD Join / Domain Join bilgisi
  • Tenant bilgisi
  • Firewall profilleri
  • Proxy bilgisi
  • Son event özetleri

Bu ekran özellikle hızlı ön kontrol için faydalı. Cihazın genel olarak sağlıklı mı, yoksa detaylı inceleme gerekiyor mu hızlıca anlaşılabiliyor.

2. Defender Antivirus Kontrolleri

Defender Antivirus sekmesinde cihazdaki Microsoft Defender AV durumu görüntülenir.

Kontrol edilen bazı bilgiler:

  • Engine Version
  • Product / Platform Version
  • Service Version
  • Signature Version
  • Running Mode
  • Real-time Protection
  • Behavior Monitor
  • IOAV Protection
  • Tamper Protection
  • Last Quick Scan
  • Exclusion Path / Process / Extension bilgileri

Bu ekran özellikle Defender AV’nin aktif/pasif durumu, imza güncelliği ve exclusion kontrolleri için kullanılabilir.

3. Microsoft Defender for Endpoint / Sense Kontrolleri

MDE tarafında en kritik kontrollerden biri cihazın onboard olup olmadığı ve Sense servisinin düzgün çalışıp çalışmadığıdır.

Bu bölümde:

  • Sense service status
  • Onboarding state
  • Org ID / Tenant ID
  • Device ID
  • Proxy yapılandırması
  • MDE connectivity testleri
  • Recent Sense event logları

görüntülenebilir.

Ayrıca MDE connectivity test ile cihazın Microsoft Defender for Endpoint servislerine 443 üzerinden erişimi hızlıca kontrol edilebilir.

4. Attack Surface Reduction Kontrolleri

ASR kontrolleri için ayrı bir bölüm eklendi.

Bu ekranda cihazdaki ASR rule durumları listelenir:

  • Block
  • Audit
  • Warn
  • Disabled
  • Not configured

Bu özellikle Intune veya GPO üzerinden gelen ASR policy’lerinin endpoint üzerinde nasıl göründüğünü kontrol etmek için faydalıdır.

5. Intune Management Extension Kontrolleri

Intune troubleshooting sırasında en sık bakılan bileşenlerden biri Intune Management Extension servisidir.

Bu bölümde:

  • IME servis durumu
  • IME installation folder
  • IME version
  • Last IME log write time
  • EnterpriseMgmt scheduled task listesi
  • Intune sync action
  • IME restart action
  • IME log folder shortcut

bulunur.

Özellikle policy/script/app deployment sorunlarında IME servis ve log kontrolleri hızlıca yapılabilir.

6. Identity & Enrollment Kontrolleri

Bu bölümde cihazın identity ve enrollment durumu kontrol edilir.

Temel olarak dsregcmd /status çıktısı parse edilir ve önemli alanlar GUI üzerinden gösterilir:

  • AzureAdJoined
  • DomainJoined
  • Tenant Name
  • Tenant ID
  • Device ID
  • MDM URL

Ayrıca registry altındaki enrollment bilgileri de görüntülenir.

Bu ekran Hybrid Join, Azure AD Join veya Intune enrollment troubleshooting için kullanılabilir.

7. Network, Proxy ve Firewall Kontrolleri

Endpoint troubleshooting senaryolarında network ve proxy tarafı çoğu zaman kritik rol oynar.

Araç içerisinde:

  • IP configuration
  • DNS server bilgileri
  • WinHTTP proxy
  • User proxy registry bilgileri
  • TCP test
  • Firewall profile status
  • Firewall blocked event logları
  • WFP capture başlatma

gibi kontroller bulunur.

Özellikle MDE connectivity, Intune communication veya uygulama erişim sorunlarında bu bölüm hızlı ön analiz sağlar.

Tools and Actions Bölümü

Araç içindeki en pratik bölümlerden biri Tools and Actions ekranı.

Bu bölümde operasyonel aksiyonlar tek ekranda toplandı.

Administrative Actions

Bu alanda:

  • Refresh All Checks
  • Restart Sense
  • Restart WinDefend
  • Export HTML Report
  • Collect Support Bundle
  • Performance Analyzer
  • MDE Client Analyzer

aksiyonları bulunur.

Support Bundle ile önemli log ve çıktılar tek bir klasörde toplanıp ZIP haline getirilebilir.

Current Signature Information

Bu bölüm Defender imza ve platform bilgisini gösterir:

  • AV Signature Version
  • AV Signature Age
  • AV Signature Last Updated
  • Engine Version
  • Platform Version
  • Product Status

Bu bilgiler özellikle Defender signature veya platform güncelliği kontrolünde faydalı olur.


Latest Microsoft Versions

Bu bölüm Microsoft tarafındaki en güncel Defender engine, platform ve signature bilgilerini kontrol etmek için eklendi.

Amaç, cihazdaki mevcut versiyon ile Microsoft’un yayınladığı latest versiyon bilgisini aynı ekranda karşılaştırabilmek.

Defender Performance Analyzer

Endpoint üzerinde Defender kaynaklı performans sorunları yaşandığında en faydalı araçlardan biri Defender Performance Analyzer’dır.

Endpoint Troubleshooter içerisinde bu özellik için GUI üzerinden kayıt başlatma ve rapor görüntüleme aksiyonları eklendi.

Araç şu aksiyonları destekler:

  • Belirli süre için performance recording başlatma
  • Performance report oluşturma
  • Top file / extension / process / scan analizleri

Bu özellikle yüksek CPU, uzun scan süresi veya belirli dosya/process kaynaklı performans sorunlarını analiz etmek için kullanılabilir.

MDE Client Analyzer

MDE Client Analyzer da araca dahil edildi.

Bu buton üzerinden MDE Client Analyzer indirilebilir ve çalıştırılabilir. Analyzer tamamlandığında çıktı klasörü üzerinden detaylı inceleme yapılabilir.

MDE Client Analyzer özellikle şu senaryolarda faydalıdır:

  • MDE onboarding sorunları
  • Sensor health problemleri
  • Connectivity sorunları
  • Sense servis davranışları
  • Telemetry / diagnostic data toplama

HTML Report ve Support Bundle

Araç üzerinden tek tıkla HTML report oluşturulabilir.

Report içerisinde temel olarak:

  • Overview
  • Defender status
  • Defender exclusions
  • MDE connectivity
  • Network bilgileri
  • Proxy bilgileri

yer alır.

Support Bundle ise troubleshooting sırasında paylaşılması gerekebilecek log ve çıktıları tek klasörde toplar. Bu özellikle support case veya iç analiz süreçlerinde işleri kolaylaştırır.

Kurulum

Endpoint Troubleshooter PowerShell Gallery üzerinden kurulabilir.

Install-Module EndpointTroubleshooter -Scope CurrentUser

Eğer cihazda PowerShell Gallery repository güvenilir değilse aşağıdaki onay ekranı gelebilir. Onay verdikten sonra kurulum devam eder.

Admin olarak tüm kullanıcılar için kurmak istersen:

Install-Module EndpointTroubleshooter -Scope AllUsers
Kurulumdan sonra uygulamayı başlatmak için:
Start-EndpointTroubleshooter

Bazı aksiyonlar servis restart, event log, registry veya system path erişimi gerektirdiği için aracı Run as Administrator ile çalıştırmak önerilir.

Yeni sürüm çıktığında güncellemek için:

Update-Module EndpointTroubleshooter

Notlar ve Sınırlamalar

Bu araç resmi bir Microsoft ürünü değildir. Endpoint troubleshooting süreçlerini hızlandırmak için geliştirilmiş yardımcı bir PowerShell aracıdır.

Bazı değerler cihaz konfigürasyonuna göre boş gelebilir. Örneğin:

  • Cihaz MDE’ye onboard değilse bazı MDE alanları boş olabilir.
  • Cihaz Intune enrolled değilse IME veya EnterpriseMgmt task bilgileri görünmeyebilir.
  • Proxy yapılandırılmadıysa proxy alanı “Not configured” görünebilir.
  • Performance Analyzer sonuçları, kayıt sırasında gerçekleşen Defender aktivitesine bağlıdır.

Microsoft Defender for Endpoint Yaygınlaştırma Sırasında En Sık Yapılan Hatalar / Ali Koc

Microsoft Defender for Endpoint’i dağıtırken en sık yapılan hataları ve bunlardan nasıl kaçınabileceğinizi öğrenin!

🚀 Bu videoda, kurulum öncesi hazırlık aşamasından politika yapılandırmasına, yanlış ayarların yarattığı güvenlik açıklarından performans sorunlarına kadar kritik noktaları ele alıyoruz. IT yöneticileri, güvenlik uzmanları ve Microsoft 365 ortamını korumak isteyen herkes için rehber niteliğinde.

📌 İçerik Başlıkları:

• Yaygın yapılandırma hataları

• En iyi uygulama önerileri

• Güvenlik ve performans optimizasyon ipuçları

CategoriesIntuneMicrosoft Security

MacOS için Microsoft LAPS Kurulumu

Kurumsal ortamda yönetilen Mac cihazlar, tıpkı Windows cihazlar gibi yerel yönetici hesaplarına sahiptir. Ancak bu hesaplar genellikle sabit, manuel olarak belirlenmiş parolalarla yapılandırıldığından, zamanla güvenlik açıklarına neden olabilir. İşte tam bu noktada devreye Microsoft LAPS girer.

LAPS (Local Administrator Password Solution), Microsoft tarafından geliştirilen ve her cihaz için benzersiz, düzenli olarak dönen, güvenli bir yerel yönetici parolası oluşturan bir çözümdür. İlk olarak Windows cihazlar için geliştirilmiş olsa da, artık MacOS cihazlar için de destek sunulmaktadır.

Bu blog yazısında, MacOS cihazlar için LAPS kurulumunu ve yapılandırmasını adım adım inceleyeceğiz.

Neden MacOS için LAPS Kullanmalısınız?

• Her Mac cihaz için benzersiz bir yerel yönetici parolası oluşturur.

• Parolalar otomatik olarak şifreli bir şekilde Intune/Entra ID’ye gönderilir.

• Belirli kullanıcılar veya roller sadece kendi yetkileri dahilinde şifreleri görüntüleyebilir.

• Manuel parola değişim sürecini ortadan kaldırır.

• Güvenlik denetimleri (audit, SIEM) için şeffaflık sağlar.

Gereksinimler

  • macOS 12 ve üzeri
  • Cihazların Apple Business/School Manager’dan Intune’a senkronize edilmesi gerekir
  • Cihazların, macOS ADE kayıt profili aracılığıyla Intune’a kaydolması gerekir

Yönetici hesabı için Intune tarafından oluşturulan parola, küçük ve büyük harflerin, sayıların ve özel sembollerin bir karışımından oluşan 15 karakterden oluşur.

macOS LAPS’e eklenen bir cihaz için yerel yönetici hesabı parolasını görüntüleme veya döndürme yetkisine sahip bir yöneticinin hesabının aşağıdaki Intune role based access control (RBAC) izinlerine sahip olması gerekir:

Category: Enrollment programs:

  • Set View macOS admin password to Evet
  • Set Rotate macOS admin password to Evet

LAPS’ın devreye alınması

MacOS LAPS’ın Devreye Alınması

Microsoft Intune MacOS LAPS çözümünü devreye alabilmek için öncelikle, “Apple Bulk Enrollment Method” ları arasında bulunan Automatic Enrollment ayarlarını oluşturmanız gerekmektedir.

Intune Portalında otomatik bir cihaz kayıt Profili, kuruluşunuzun Mac cihazları için kayıt deneyimini tanımlar ve kayıt yapan cihazlarda kayıt politikalarını ve ayarlarını uygular. Profil, atanan cihazlara kablosuz olarak dağıtılır.

Bu işlemin sonunda bu profili Microsoft Entra cihaz gruplarına atayabilirsiniz.

Intune Admin Center ‘da  Cihazlar > Kayıt’a gidin .

Apple sekmesini seçin .

Toplu Kayıt Yöntemleri ( Bulk Enrollment Profile ) altında Kayıt programı belirteçlerini (Enrollment Program Tokens) seçin .

Bir kayıt programı belirteci seçin.

Profiller > Profil oluştur > macOS’u seçin .

Gerekli isterleri tamamladıktan sonra, Apple ID’nizi girerek kayıt edebilirsiniz.

Oluşan Konfigurasyon Sonrası, bir profil oluşturarak ayarlarımızı sağlayabiliriz.

Oluşan Konfigurasyona girerek, “Create Profile > MacOS” seçeneğine tıklayalım.

Account Settings Ayarlarında, Local Admin Password Ayarlarını yapılandırabilirsiniz.

Yerel veya yönetici veya kullanıcı hesabı seçeneklerinden biri için Evet’i seçtiğinizde , hem LAPS yapılandırmasıyla macOS yerel yönetici hesabını hem de bu kayıt profilini kullanarak kaydolan aygıtlar için standart bir kullanıcı hesabını yapılandırmış olursunuz.

Benzersiz hesap şifreleri, küçük ve büyük harflerin, rakamların ve özel sembollerin karışımından oluşan 15 karakter kullanılarak oluşturulur.

Yerel hesap yapılandırmasının herhangi bir bölümünde, Await son yapılandırma ayarı arka uçta varsayılan olarak her zaman Evet olarak ayarlanır . Bu ayar, hesap yapılandırmasının Kurulum Yardımcısı sırasında gerçekleşmesi nedeniyle ayarlanmıştır.

Local Admin’in Tanımlanması;

Yapacağınız yapılandırma ile bir Local Admin username’i belirlemenizi istemektedir.

Belirlenen bu username profil atanan tüm cihazlar için local admin yetkisine sahip olacaktır.

Dilerseniz dinamik bir isim oluşturarak, profili alan kullanıcı veya cihazlara özel admin hesapları da tanımlayabilirsiniz.

Örneğin;

  • Yönetici hesabı kullanıcı adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Admin kullanır .
    • {{seriNumarası}} – örneğin, F4KN332UG5V2
    • {{partialupn}} – örneğin, Ali
    • {{managedDeviceName}} – örneğin, F2AL1332G4W2_14_7/30/2025_12:45PM
    • {{onPremisesSamAccountName}} – örneğin, ali-koc\Ali
  • Yönetici hesabının tam adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Admin kullanır .
    • {{kullanıcı adı}} – örneğin, ali@ali-koc.com
    • {{seriNumarası}} – örneğin, F4KN332UG5V2
    • {{onPremisesSamAccountName}} – örneğin, ali-koc\Ali
  • Kullanıcılar ve Gruplar’da Gizle – Oturum açma penceresinde ve Kullanıcılar ve Gruplar’da yönetici hesabını gizleyin. Varsayılan olarak bu ayar Yapılandırılmamış olarak ayarlanmıştır .

Yerel Kullanıcı Hesabı

Cihaz için bir Local user oluşturmak isterseniz de ikinci seçeneği “yes” konumuna getirerek yukarıdaki ayarları sağlayabilirsiniz.

  • Hesap türü – Varsayılan olarak, standart bir kullanıcı hesabı oluşturmak için Standart olarak ayarlanır . Yerel yönetici hesabı yapılandırılmamışsa, yerel kullanıcı hesabı türü yönetici olarak ayarlanır. Bu, herhangi bir macOS cihazını kurmak için her zaman bir yönetici hesabı gerektiğinden, bir platform sınırlamasıdır.
  • Hesap bilgilerini önceden doldur – Hesap adını yönetmek veya düzenlemeyi kısıtlamak istiyorsanız bu seçeneği Evet olarak ayarlayın.
  • Birincil hesap adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Kurulum Yardımcısı, Hesap bilgilerini önceden doldur seçeneği Yapılandırılmadı olarak ayarlanmışsa, Hesap Adı alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{partialupn}} değişkenini kullanır .
    • {{seriNumarası}} – örneğin, F4KN332UG5V2
    • {{partialupn}} – örneğin, Ali
    • {{managedDeviceName}} – örneğin, F2AL1332G4W2_14_7/30/2025_12:45PM
    • {{OnPremisesSamAccountName}} – örneğin, ali-koc\Ali
  • Birincil hesabın tam adı – Hesabın tam adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki değişkenlerden birini kullanın. Kurulum Yardımcısı, Hesap bilgilerini önceden doldur seçeneği Yapılandırılmadı olarak ayarlanmışsa, Tam Ad alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{username}} değişkenini kullanır :
    • {{kullanıcı adı}} – örneğin, ali@ali-koc.com
    • {{seriNumarası}} – örneğin, F4KN332UG5V2
    • {{OnPremisesSamAccountName}} – örneğin, ali-koc\Ali
  • Düzenlemeyi kısıtla – Son kullanıcının tam adı ve hesap adını düzenlemesini engelleyin. Varsayılan olarak bu ayar Yapılandırılmadı olarak ayarlanmıştır .

Yönetici hesabı parolasını görüntülemek için

Intune Admin Center > Devices > MacOS bölümüne girerek bir cihazın detaylar sayfasına erişebilirsiniz

Daha sonra sol panelde bulunan Password & Keys bölümüne eriştiğinizde “Local Admin Accunt Password” bölümünden cihaz local admin şifresini görebilirsiniz.

Şifreyi yenilemek istersenizde sağ üstte bulunan “rotate local admin password” seçeneğine tıklamanız yeterli.

Aynı şekilde Owerview bölümünden de şifreyi yenileyebilirsiniz,

Audit Log’lardan aşağıdaki kayıtları inceleyerek şifrenin yenilenme süreçlerini takip edebilirsiniz.

  • AdminAccountDto’yu Al – Birisinin yönetici parolasını ne zaman görüntülediğini belirler.
  • rotateLocalAdminPassword ManagedDevice – Yönetici parolasının ne zaman döndürüldüğünü tanımlar.


MacOS cihazlar için Microsoft LAPS’in devreye alınması, yalnızca şifre yönetimini kolaylaştırmakla kalmaz, aynı zamanda kurumun genel siber güvenlik duruşunu da ciddi şekilde güçlendirir. Her cihaz için benzersiz, döngüsel olarak değişen ve merkezi denetimle erişilen şifreler sayesinde manuel müdahalelere duyulan ihtiyaç azalır, yetkisiz erişim riskleri en aza iner. Artık sadece Windows değil, MacOS cihazlar da aynı güvenlik standardına kavuşuyor. Eğer siz de Apple ekosistemindeki cihazlarınızın yönetimini daha sağlam temellere oturtmak istiyorsanız, Microsoft LAPS çözümünü sistemlerinize entegre etmek için bugünden adım atabilirsiniz. Unutmayın, güçlü bir güvenlik altyapısı, detaylarda başlar.

Sevgiler

Security Operasyon Merkezlerinde Bir Gün Nasıl Geçiyor? – WpNinjasTR Ali Koç / Ahmet İlhan

Siber tehditlerin giderek arttığı günümüzde, kurumların dijital savunma hattı olan Security Operasyon Merkezleri (SOC) nasıl çalışır? Bu video yayınımızda, Microsoft Security Platform çatısı altında, siber güvenlik danışmanı Ali Koç ve Ahmet İlhan ile bir SOC (Security Operations Center) ortamında günün nasıl geçtiğini, hangi araçların ve süreçlerin kullanıldığını, tehdit algılama ve müdahale adımlarının nasıl planlandığını detaylı bir şekilde ele alıyoruz.

🔐 Bu videoda neler bulacaksınız?

✅ SOC nedir ve temel işlevleri nelerdir?

✅ Tipik bir gün içerisinde SOC analistlerinin karşılaştığı olaylar

✅ SIEM, SOAR gibi teknolojilerin pratikteki rolü

✅ Microsoft Sentinel, Defender XDR gibi araçlarla olay yönetimi

✅ Gerçek vakalar üzerinden olay müdahale örnekleri

✅ SOC çalışanlarının sahip olması gereken yetkinlikler ve kariyer önerileri

🎯 Bu içerik, özellikle aşağıdakiler için faydalı olacaktır:

• Güvenlik operasyonlarına ilgi duyanlar

• SOC analisti olmak isteyen yeni mezunlar

• Kurumsal IT ve siber güvenlik profesyonelleri

• Microsoft güvenlik ekosistemine dair pratik içgörü arayanlar

🧠 Konuşmacımız Ali Koç ve Ahmet İlhan, uzun yıllardır Microsoft teknolojileri üzerinde uzmanlaşmış bir siber güvenlik danışmanıdır ve Türkiye’de birçok kurumun güvenlik dönüşüm projelerinde aktif rol almaktadır.

Azure AD Connect’te Device Writeback Etkinleştirme İşlemleri

Device Writeback, kayıtlı Azure AD cihazlarının şirket içi Active Directory’nize geri yazılmasına olanak tanıyan bir Azure AD Connect özelliğidir. Bu özellik, AD FS (Windows Server 2012 R2 veya üzeri) tarafından korunan uygulamalar için Koşullu Erişim ilkelerini zorunlu kılmak istediğiniz durumlarda önemlidir .

Device Writeback özelliğini etkinleştirerek hassas uygulamalara erişimin yalnızca güvenilir ve kayıtlı aygıtlara verilmesini sağlayabilir ve ek bir güvenlik katmanı sağlayabilirsiniz.

🔐 Kullanım Örneği:

Kullanıcının uyumlu, kayıtlı bir cihazdan oturum açması durumunda yalnızca AD FS aracılığıyla dahili bir İK uygulamasına erişim izni verilmesi.

Gereksinimler

• ✅ Azure AD Premium Aboneliği: Cihaz Geri Yazma için etkin bir Azure AD Premium lisansı gerekir.

  • 🌲 Single Forest Sınırlaması: Cihazlar ve kullanıcılar aynı Active Directory ormanında bulunmalıdır . Çok ormanlı kullanıcı dağıtımları şu anda desteklenmemektedir .

Active Directory’yi Hazırlayın

Aygıt geri yazma özelliğini kullanmaya hazırlanmak için aşağıdaki adımları izleyin.

  1. Azure AD Connect’in yüklü olduğu makineden PowerShell’i yükseltilmiş modda başlatın.
  2. Active Directory PowerShell modülü KURULU DEĞİLSE, aşağıdaki komutu kullanarak kurun:
  3. Install-WindowsFeature –Name AD-DOMAIN-Services –IncludeManagementTools
  4. Kurumsal yönetici kimlik bilgilerinizle aşağıdaki komutları çalıştırın ve ardından PowerShell’den çıkın.
  5. Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
  6. Initialize-ADSyncDeviceWriteback {Optional:–DomainName [name] Optional:-AdConnectorAccount [account]}

Device Writeback Yapılandırma Ayrıntıları

Device Writeback özelliğini etkinleştirdiğinizde , gerekli bileşenler henüz mevcut değilse Azure AD Connect aşağıdaki eylemleri gerçekleştirir:

• 📁 Gerekli Kapsayıcıları Oluşturur:

• Creates and configures the container CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].

• Creates and configures the container CN=RegisteredDevices,[domain-dn], where device objects will be stored.

• 🔐 Gerekli İzinleri Atamak:

• Azure AD Bağlayıcısı hesabına, Active Directory’deki cihaz nesnelerini yönetmek için gerekli izinleri verir .

Single Forest Gereksinimi:

  • Azure AD Connect birden fazla ormana dağıtılsa bile yapılandırmanın yalnızca tek bir ormanda gerçekleştirilmesi gerekir .

Yapılandırma Parametreleri

• Alan Adı

• Aygıt nesnelerinin oluşturulacağı Active Directory etki alanını belirtir.

• ⚠️ Not: Belirli bir ormana ait tüm cihaz nesneleri tek bir etki alanında saklanır .

• AdConnectorHesabı

• Azure AD Connect tarafından dizindeki nesneleri yönetmek için kullanılan Active Directory hesabı .

• Bu, AD’ye bağlanan senkronizasyon hesabıdır .

• Kurulum sırasında Hızlı Ayarlar’ı kullandıysanız , bu hesap genellikle MSOL_ ile başlar

Bölüm 3: Azure AD Connect’te cihaz geri yazmayı etkinleştirin

  1. Kurulum sihirbazını tekrar çalıştırın. Ek Görevler sayfasından senkronizasyon seçeneklerini özelleştir’i seçin ve İleri’ye tıklayın.

İsteğe Bağlı Özellikler sayfasında, cihaz geri yazma özelliği artık gri renkte görünmeyecek. Azure AD Connect hazırlık adımları tamamlanmazsa, İsteğe Bağlı Özellikler sayfasında cihaz geri yazma özelliğinin gri renkte görüneceğini lütfen unutmayın. Cihaz geri yazma kutusunu işaretleyin ve İleri’ye tıklayın. Onay kutusu hala devre dışıysa, sorun giderme bölümüne bakın.

Geri yazma sayfasında, varsayılan Aygıt geri yazma ormanı olarak verilen etki alanını göreceksiniz.

Sihirbazın kurulumunu herhangi bir ek yapılandırma değişikliği yapmadan tamamlayın. Gerekirse, Azure AD Connect’in Özel Kurulumu bölümüne bakın.

Koşullu erişimi etkinleştir

Bu senaryoyu etkinleştirmeye yönelik ayrıntılı talimatlar, Azure Active Directory Aygıt Kaydı’nı kullanarak Şirket İçi Koşullu Erişimi Ayarlama bölümünde mevcuttur.

Cihazların Active Directory ile senkronize edildiğini doğrulayın

Aygıt Geri Yazma başarıyla yapılandırıldıktan sonra, beklendiği gibi çalışmaya başlamalıdır. Ancak lütfen dikkat edin:

⏳ Yayılma Gecikmesi:

Cihaz Senkronizasyonu Nasıl Doğrulanır

Senkronizasyon kuralları uygulanıp tamamlandıktan sonra:

Active Directory Yönetim Merkezi’ni (ADAC) açın .

Şuraya gidin:

Federasyon yapılan etki alanının altındaki RegisteredDevices konteyneri.

Beklenen cihaz nesnelerinin bu kapsayıcıda göründüğünü kontrol edin .

Şu anda kayıtlı olan cihazlar orada listelenecektir.

Sorun giderme

İlk yapılandırma adımları tamamlandıktan sonra bile Aygıt Geri Yazma onay kutusu devre dışı kalıyorsa , sorun karşılanmamış ön koşullardan veya yanlış yapılandırmadan kaynaklanıyor olabilir. Aşağıdaki kontrol listesi, Azure AD Connect kurulum sihirbazının onay kutusunu etkinleştirmeden önce neleri doğruladığını özetlemektedir. Bağlayıcılar sekmesini açın.

✅ Ön Kontroller

1. İşletim Sistemi Gereksinimi:

En az bir ormanın Windows Server 2012 R2 veya sonraki sürümünü çalıştırdığından emin olun .

Aygıt Geri Yazma , yalnızca Windows Server 2012 R2’den itibaren kullanılabilen aygıt nesne türü için destek gerektirir .

2. Sihirbaz Zaten Çalışıyorsa Yeniden Başlatın:

Ortamınızda değişiklikler yapılırken (örneğin izinler, şema, işletim sistemi sürümü) Azure AD Connect sihirbazı açıksa , bu değişiklikler tanınmaz.

➤ Mevcut sihirbaz oturumunu tamamlayın ve yeni bir doğrulamayı tetiklemek için yeniden başlatın .

🔐 Hesap Doğrulama Adımları

Başlatma betiğinde doğru Active Directory Bağlayıcı hesabının kullanıldığından emin olun. Doğrulamak için:

1. Başlat menüsünden Eşitleme Hizmetini açın.

2. Bağlayıcılar sekmesine gidin .

3. Type = Active Directory Domain Services olan bağlayıcıyı bulun ve seçin.

4. Eylemler bölmesinin altında Özellikler’e tıklayın .

5. Active Directory Ormanına Bağlan bölümüne gidin .

6. Listelenen etki alanı ve kullanıcı adının, başlatma betiğinizde kullanılan hesapla eşleştiğini onaylayın .

Active Directory’deki yapılandırmayı doğrulayın:

  • Verify that the Device Registration Service is located in the location below (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under configuration naming context.
  • Yapılandırma ad alanında arama yaparak yalnızca bir yapılandırma nesnesi olduğunu doğrulayın. Birden fazla varsa, yineleneni silin.
  • Aygıt Kayıt Hizmeti nesnesinde msDS-DeviceLocation özniteliğinin mevcut olduğundan ve bir değere sahip olduğundan emin olun. Bu konumu arayın ve nesne türü msDS-DeviceContainer ile mevcut olduğundan emin olun.
  • Active Directory Connector tarafından kullanılan hesabın, önceki adımda bulunan Kayıtlı Cihazlar kapsayıcısında gerekli izinlere sahip olduğunu doğrulayın. Bu kapsayıcıda beklenen izinler şunlardır:
  • Active Directory hesabının CN=Device Registration Configuration,CN=Services,CN=Configuration nesnesi üzerinde izinlere sahip olduğunu doğrulayın.

Kaynak:

Microsoft Learn

https://github.com/Huachao

Microsoft 365 ile Yeni Nesil Çalışma Deneyimi | Ali Koç & Murat Osma

Dijital dönüşüm ve modern çalışma kültürü artık her kurumun öncelikli gündeminde. Peki, Microsoft 365 bu dönüşümün neresinde? Kurumlar ve bireyler için daha verimli, daha güvenli ve esnek bir çalışma ortamı nasıl mümkün oluyor?

Bu soruların cevabını bulabileceğiniz, sektörde deneyimli iki ismin sohbetine davetlisiniz.

💡 Yeni Nesil Çalışma, Microsoft 365 ve Ötesi

Workplace Ninja Türkiye organizasyonu kapsamında gerçekleştirilen bu kapsamlı etkinlikte, Murat Osma ve Ali Koç, Microsoft 365’in sunduğu yeni nesil çalışma deneyimini tüm detaylarıyla ele alıyor.

Video İçeriğinde Öne Çıkan Başlıklar:

✔ Microsoft 365’in modern iş hayatındaki yeri

✔ Dijital işbirliği araçlarının sunduğu avantajlar

✔ Copilot ve yapay zeka ile güçlenen üretkenlik çözümleri

✔ Kurumsal güvenlik ve veri koruma yaklaşımları

✔ Türkiye ve global ölçekte Microsoft 365 kullanım trendleri

✔ Tecrübeye dayalı pratik öneriler ve gerçek hayat senaryoları

Bu sohbet sadece teknik detaylarla sınırlı kalmıyor; aynı zamanda gerçek kullanım senaryoları, sık karşılaşılan zorluklar ve çözüm önerileriyle dolu.

Yeni Uygulama Yayında: Microsoft Licence Guide ile Lisans Karmaşasına Son! 🚀

Microsoft lisans dünyası artık çok daha anlaşılır! Uzun süredir üzerinde çalıştığımız Microsoft Licence Guide uygulamamız, App Store üzerinden tüm IT profesyonelleri ve meraklılarının kullanımına ücretsiz olarak sunuldu.

Microsoft ürün ailesindeki lisans seçenekleri — özellikle Office 365, Microsoft 365, Viva, Copilot ve sektör spesifik lisanslar — çoğu zaman karmaşık ve kafa karıştırıcı olabiliyor. Microsoft Licence Guide, tam da bu noktada devreye giriyor.

Uygulama ile:

✅ Microsoft lisans türlerini detaylı ve sade bir şekilde inceleyebilir

✅ Her bir lisansın sunduğu özellikleri kolayca karşılaştırabilir

✅ Kendi ihtiyaçlarınıza en uygun lisansı belirleyebilirsiniz

Uygulama, mobil platformda tamamen Türkçe ve İngilizce olarak geliştirildi ve App Store üzerinden ücretsiz indirilebilir.

App Store Link:

🔗 https://apps.apple.com/tr/app/ata-ms-license-guide/id6747342133

Microsoft ekosisteminde çalışan herkes için pratik ve anlaşılır bir kaynak olmasını hedeflediğimiz bu uygulama, sürekli güncellenmeye devam edecek.

Yorumlarınızı, önerilerinizi ve katkılarınızı bekliyoruz!

#MicrosoftLicenceGuide #Microsoft365 #Licensing #ITTools #AppStore #ÜcretsizUygulama

Defender for Identity in the M365 Defender Portal Etkinliği Düzenlendi

📢 Workplace Ninja User Group Türkiye Canlı Etkinlik Duyurusu !

Microsoft 365 Defender ekosistemi içinde Defender for Identity bileşeninin sunduğu yetenekleri, gerçek zamanlı senaryolarla birlikte ele alacağımız bu oturumda sizlerle buluşuyoruz.

📅25.06.2025
🕚 11:00am – 12:00pm

📌 Azure AD oturumları, lateral movement göstergeleri, şüpheli kimlik davranışları ve çok daha fazlası bu oturumda!

🎙️ Konuşmacı: Ali Koç
👥 Organizasyon: Workplace Ninja’s Türkiye – User Group
💻 Etkinlik Türü: Online – Ücretsiz Katılım

Tehdit Aktörü Adlandırmasında Yeni Bir Dönem: Microsoft ve CrowdStrike’tan Standartlaşma ve Şeffaflık İçin Stratejik İş Birliği

Siber güvenlik sektöründe çığır açacak bir adımla Microsoft ve CrowdStrike, devlet destekli ve siber suç gruplarının adlandırılmasında daha fazla tutarlılık ve şeffaflık sağlamak amacıyla stratejik bir iş birliği başlattıklarını duyurdu.

Bu girişim, tehdit istihbaratında uzun süredir yaşanan büyük bir sorunu çözüme kavuşturmayı hedefliyor: adlandırma tutarsızlığı. Farklı güvenlik firmalarının aynı tehdit aktörüne farklı isimler vermesi, güvenlik ekiplerinin analiz, tespit ve müdahale süreçlerini zorlaştırıyor. Microsoft ve CrowdStrike, bu boşluğu kapatmak için ortak bir tehdit aktörü adı eşleştirme rehberi oluşturdu

Bu Neden Önemli?

Yıllardır güvenlik profesyonelleri, tehdit aktörlerinin farklı platformlarda farklı adlarla anılması nedeniyle parçalanmış bir tehdit görünümüyle mücadele ediyor. Örneğin:

  • Microsoft, Rusya bağlantılı bir aktörü Midnight Blizzard olarak adlandırıyor
  • CrowdStrike ise aynı gruba COZY BEAR diyor
  • Diğer kaynaklarda APT29 olarak geçiyor
  • Bazı yerlerde UNC2452 etiketiyle takip ediliyor

Bu farklılıklar, istihbaratın eşleştirilmesini geciktiriyor, olay müdahalesinde iletişim sorunlarına yol açıyor ve gereksiz iş yükü yaratıyor. Aktif bir saldırı sırasında zamanın ne kadar kritik olduğunu düşündüğümüzde, bu tür kafa karışıklıkları ciddi sonuçlara neden olabilir.

Çözüm: Ortak Adlandırma Rehberi

Microsoft ve CrowdStrike, tehdit aktörlerini eşleştiren bir karşılıklı adlandırma kılavuzu yayımladı. Bu kılavuz:

  • Her iki şirketin izlediği tehdit aktörlerini listeliyor
  • Microsoft’un “hava durumu temalı” (örneğin Midnight Blizzard) ve CrowdStrike’ın “hayvan temalı” (örneğin COZY BEAR) adlandırma sistemlerini eşleştiriyor
  • Güvenlik ekiplerinin farklı platformlardaki verileri hızla çevirmelerine ve anlamlandırmalarına yardımcı oluyor
  • İstihbarat paylaşımı, olay eşleştirme ve hızlı müdahale süreçlerini destekliyor

Şu anda bu kılavuz, 150’den fazla tehdit aktörünü kapsıyor ve tehdit ortamı geliştikçe düzenli olarak güncellenecek.

🔗 GitHub üzerinden kamuya açık olarak paylaşılan bu eşleştirme rehberi, araştırmacılar ve analistler için erişilebilir olacak.

Daha Geniş Bir İş Birliği Vizyonu

Bu iş birliği yalnızca Microsoft ve CrowdStrike ile sınırlı değil. Aşağıdaki büyük oyuncular da katkı sağlamaya hazırlanıyor:

  • Google / Mandiant
  • Palo Alto Networks’ Unit 42
  • Ve diğer sektör liderleri

Amaç, tek bir adlandırma sistemi oluşturmak değil; bunun yerine, farklı taksonomiler arasında çapraz geçişe olanak tanıyan açık ve iş birliğine dayalı bir çerçeve oluşturmak.

Bu, özellikle Zero Trust mimarileri, ortak tehdit istihbaratı ve kurumsal güvenlik ekipleri arasında hızlı bilgi paylaşımı için büyük önem taşıyor.

Daha Geniş Etkileri

Bu adım, şu konularda önemli iyileşmeler sağlayacak:

✅ Daha doğru ve tutarlı tehdit aktörü tanımlamaları
✅ Hızlı ve etkili olay müdahalesi
✅ Operasyonel karışıklıkların azalması
✅ Güvenlik ekipleri ve iş ortakları arasında daha net iletişim
✅ Daha olgun ve dayanıklı bir tehdit istihbaratı ekosistemi

Bu gelişme, SOC ekipleri, olay müdahale uzmanları ve tehdit analistleri için daha çevik ve güvenli bir çalışma ortamı sağlayacak. Aynı zamanda, CISO’lar ve güvenlik mimarları için de karmaşık riskleri daha açık şekilde anlatabilmelerine olanak tanıyacak.

Siber güvenlik yalnızca araçlarla değil — açıklık, iş birliği ve toplulukla güçlenir. Microsoft ve CrowdStrike’ın bu adımı, sektör genelinde liderlik örneği niteliğinde. Tehditler gelişiyor, ama savunma hattımız da birlikte güçleniyor.

👉 Microsoft’un resmi duyurusunu buradan okuyabilirsiniz:
https://www.microsoft.com/en-us/security/blog/2025/06/02/announcing-a-new-strategic-collaboration-to-bring-clarity-to-threat-actor-naming/

Bulut Güvenliği ve Microsoft Güvenlik Yaklaşımı – İBB ENSTİTÜ İSTANBUL ETKİNLİĞİ DÜZENLENDİ

Modern dünyada siber güvenlik yalnızca bir önlem değil, bir zorunluluk.
Bu kapsamda İstanbul Büyüksehir Belediyesi ve Enstitü İstanbul İSMEK işbirliğiyle düzenlenen çevrimiçi seminerde “Bulut Güvenliği ve Microsoft Güvenlik Yaklaşımı” üzerine konuşacağım.

🔹 Microsoft’un güvenlik ekosistemi
🔹 Azure ve Entra ID ile entegre bulut savunma mimarileri
🔹 Tehdit istihbaratı, XDR, Compliance ve Zero Trust stratejileri

gibi birçok başlıkta güncel ve pratik bilgiler paylaşacağım.

🚀 Bulut Güvenliği & Microsoft Security Yaklaşımı
📅 27 Mayıs 2025 Salı
🕖 19.00 – 21.00
📍Çevrim İçi Seminer – Enstitü İstanbul İSMEK

Language »