Kurumsal ortamda yönetilen Mac cihazlar, tıpkı Windows cihazlar gibi yerel yönetici hesaplarına sahiptir. Ancak bu hesaplar genellikle sabit, manuel olarak belirlenmiş parolalarla yapılandırıldığından, zamanla güvenlik açıklarına neden olabilir. İşte tam bu noktada devreye Microsoft LAPS girer.
LAPS (Local Administrator Password Solution), Microsoft tarafından geliştirilen ve her cihaz için benzersiz, düzenli olarak dönen, güvenli bir yerel yönetici parolası oluşturan bir çözümdür. İlk olarak Windows cihazlar için geliştirilmiş olsa da, artık MacOS cihazlar için de destek sunulmaktadır.
Bu blog yazısında, MacOS cihazlar için LAPS kurulumunu ve yapılandırmasını adım adım inceleyeceğiz.
Neden MacOS için LAPS Kullanmalısınız?
• Her Mac cihaz için benzersiz bir yerel yönetici parolası oluşturur.
• Parolalar otomatik olarak şifreli bir şekilde Intune/Entra ID’ye gönderilir.
• Belirli kullanıcılar veya roller sadece kendi yetkileri dahilinde şifreleri görüntüleyebilir.
• Manuel parola değişim sürecini ortadan kaldırır.
• Güvenlik denetimleri (audit, SIEM) için şeffaflık sağlar.
Gereksinimler
- macOS 12 ve üzeri
- Cihazların Apple Business/School Manager’dan Intune’a senkronize edilmesi gerekir
- Cihazların, macOS ADE kayıt profili aracılığıyla Intune’a kaydolması gerekir
Yönetici hesabı için Intune tarafından oluşturulan parola, küçük ve büyük harflerin, sayıların ve özel sembollerin bir karışımından oluşan 15 karakterden oluşur.
macOS LAPS’e eklenen bir cihaz için yerel yönetici hesabı parolasını görüntüleme veya döndürme yetkisine sahip bir yöneticinin hesabının aşağıdaki Intune role based access control (RBAC) izinlerine sahip olması gerekir:
Category: Enrollment programs:
- Set View macOS admin password to Evet
- Set Rotate macOS admin password to Evet
LAPS’ın devreye alınması
MacOS LAPS’ın Devreye Alınması
Microsoft Intune MacOS LAPS çözümünü devreye alabilmek için öncelikle, “Apple Bulk Enrollment Method” ları arasında bulunan Automatic Enrollment ayarlarını oluşturmanız gerekmektedir.
Intune Portalında otomatik bir cihaz kayıt Profili, kuruluşunuzun Mac cihazları için kayıt deneyimini tanımlar ve kayıt yapan cihazlarda kayıt politikalarını ve ayarlarını uygular. Profil, atanan cihazlara kablosuz olarak dağıtılır.
Bu işlemin sonunda bu profili Microsoft Entra cihaz gruplarına atayabilirsiniz.
Intune Admin Center ‘da Cihazlar > Kayıt’a gidin .
Apple sekmesini seçin .
Toplu Kayıt Yöntemleri ( Bulk Enrollment Profile ) altında Kayıt programı belirteçlerini (Enrollment Program Tokens) seçin .
Bir kayıt programı belirteci seçin.
Profiller > Profil oluştur > macOS’u seçin .
Gerekli isterleri tamamladıktan sonra, Apple ID’nizi girerek kayıt edebilirsiniz.
Oluşan Konfigurasyon Sonrası, bir profil oluşturarak ayarlarımızı sağlayabiliriz.
Oluşan Konfigurasyona girerek, “Create Profile > MacOS” seçeneğine tıklayalım.
Account Settings Ayarlarında, Local Admin Password Ayarlarını yapılandırabilirsiniz.
Yerel veya yönetici veya kullanıcı hesabı seçeneklerinden biri için Evet’i seçtiğinizde , hem LAPS yapılandırmasıyla macOS yerel yönetici hesabını hem de bu kayıt profilini kullanarak kaydolan aygıtlar için standart bir kullanıcı hesabını yapılandırmış olursunuz.
Benzersiz hesap şifreleri, küçük ve büyük harflerin, rakamların ve özel sembollerin karışımından oluşan 15 karakter kullanılarak oluşturulur.
Yerel hesap yapılandırmasının herhangi bir bölümünde, Await son yapılandırma ayarı arka uçta varsayılan olarak her zaman Evet olarak ayarlanır . Bu ayar, hesap yapılandırmasının Kurulum Yardımcısı sırasında gerçekleşmesi nedeniyle ayarlanmıştır.
Local Admin’in Tanımlanması;
Yapacağınız yapılandırma ile bir Local Admin username’i belirlemenizi istemektedir.
Belirlenen bu username profil atanan tüm cihazlar için local admin yetkisine sahip olacaktır.
Dilerseniz dinamik bir isim oluşturarak, profili alan kullanıcı veya cihazlara özel admin hesapları da tanımlayabilirsiniz.
Örneğin;
- Yönetici hesabı kullanıcı adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Admin kullanır .
- {{seriNumarası}} – örneğin, F4KN332UG5V2
- {{partialupn}} – örneğin, Ali
- {{managedDeviceName}} – örneğin, F2AL1332G4W2_14_7/30/2025_12:45PM
- {{onPremisesSamAccountName}} – örneğin, ali-koc\Ali
- Yönetici hesabının tam adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Varsayılan olarak, bu alan Admin kullanır .
- {{kullanıcı adı}} – örneğin, ali@ali-koc.com
- {{seriNumarası}} – örneğin, F4KN332UG5V2
- {{onPremisesSamAccountName}} – örneğin, ali-koc\Ali
- Kullanıcılar ve Gruplar’da Gizle – Oturum açma penceresinde ve Kullanıcılar ve Gruplar’da yönetici hesabını gizleyin. Varsayılan olarak bu ayar Yapılandırılmamış olarak ayarlanmıştır .
Yerel Kullanıcı Hesabı
Cihaz için bir Local user oluşturmak isterseniz de ikinci seçeneği “yes” konumuna getirerek yukarıdaki ayarları sağlayabilirsiniz.
- Hesap türü – Varsayılan olarak, standart bir kullanıcı hesabı oluşturmak için Standart olarak ayarlanır . Yerel yönetici hesabı yapılandırılmamışsa, yerel kullanıcı hesabı türü yönetici olarak ayarlanır. Bu, herhangi bir macOS cihazını kurmak için her zaman bir yönetici hesabı gerektiğinden, bir platform sınırlamasıdır.
- Hesap bilgilerini önceden doldur – Hesap adını yönetmek veya düzenlemeyi kısıtlamak istiyorsanız bu seçeneği Evet olarak ayarlayın.
- Birincil hesap adı – Hesap adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki desteklenen değişkenlerden birini kullanın. Kurulum Yardımcısı, Hesap bilgilerini önceden doldur seçeneği Yapılandırılmadı olarak ayarlanmışsa, Hesap Adı alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{partialupn}} değişkenini kullanır .
- {{seriNumarası}} – örneğin, F4KN332UG5V2
- {{partialupn}} – örneğin, Ali
- {{managedDeviceName}} – örneğin, F2AL1332G4W2_14_7/30/2025_12:45PM
- {{OnPremisesSamAccountName}} – örneğin, ali-koc\Ali
- Birincil hesabın tam adı – Hesabın tam adını belirtin veya adı dinamik olarak oluşturmak için aşağıdaki değişkenlerden birini kullanın. Kurulum Yardımcısı, Hesap bilgilerini önceden doldur seçeneği Yapılandırılmadı olarak ayarlanmışsa, Tam Ad alanını önceden doldurmak için bu değeri kullanır. Varsayılan olarak, bu alan {{username}} değişkenini kullanır :
- {{kullanıcı adı}} – örneğin, ali@ali-koc.com
- {{seriNumarası}} – örneğin, F4KN332UG5V2
- {{OnPremisesSamAccountName}} – örneğin, ali-koc\Ali
- Düzenlemeyi kısıtla – Son kullanıcının tam adı ve hesap adını düzenlemesini engelleyin. Varsayılan olarak bu ayar Yapılandırılmadı olarak ayarlanmıştır .
Yönetici hesabı parolasını görüntülemek için
Intune Admin Center > Devices > MacOS bölümüne girerek bir cihazın detaylar sayfasına erişebilirsiniz
Daha sonra sol panelde bulunan Password & Keys bölümüne eriştiğinizde “Local Admin Accunt Password” bölümünden cihaz local admin şifresini görebilirsiniz.
Şifreyi yenilemek istersenizde sağ üstte bulunan “rotate local admin password” seçeneğine tıklamanız yeterli.
Aynı şekilde Owerview bölümünden de şifreyi yenileyebilirsiniz,
Audit Log’lardan aşağıdaki kayıtları inceleyerek şifrenin yenilenme süreçlerini takip edebilirsiniz.
- AdminAccountDto’yu Al – Birisinin yönetici parolasını ne zaman görüntülediğini belirler.
- rotateLocalAdminPassword ManagedDevice – Yönetici parolasının ne zaman döndürüldüğünü tanımlar.
MacOS cihazlar için Microsoft LAPS’in devreye alınması, yalnızca şifre yönetimini kolaylaştırmakla kalmaz, aynı zamanda kurumun genel siber güvenlik duruşunu da ciddi şekilde güçlendirir. Her cihaz için benzersiz, döngüsel olarak değişen ve merkezi denetimle erişilen şifreler sayesinde manuel müdahalelere duyulan ihtiyaç azalır, yetkisiz erişim riskleri en aza iner. Artık sadece Windows değil, MacOS cihazlar da aynı güvenlik standardına kavuşuyor. Eğer siz de Apple ekosistemindeki cihazlarınızın yönetimini daha sağlam temellere oturtmak istiyorsanız, Microsoft LAPS çözümünü sistemlerinize entegre etmek için bugünden adım atabilirsiniz. Unutmayın, güçlü bir güvenlik altyapısı, detaylarda başlar.
Sevgiler
