Azure Active Directory Grup Bazlı Lisanslama ile Lisans Yönetiminizi Otomatikleştirin

Azure Active Directory Grup Bazlı Lisanslama ile Lisans Yönetiminizi Otomatikleştirin

Bu makalemde Azure Active Directory ile sunulan son derece pratik ve kullanışlı grup bazlı lisanslama yeteneğini inceleyeceğim.

Bilindiği üzere Azure Active Directory, tıpkı local Active Directory’ de olduğu gibi dizin yönetimi sağlamaktadır. Kısaca AAD, cloud tabanlı kimlik yönetim servisi olarak tanımlanabilir.

Bu tanımdan yola çıkarak Microsoft tarafından sunulan tüm bulut tabanlı hizmetlerin kullanımı için AAD kullanıcılarına ihtiyaç bulunmaktadır ve bu kullanıcılara erişim sağlanacak her servis ve ya hizmet için lisans atanması gerekmektedir. Bizler lisans yönetimi sağlamak  için Office 365, Azure ve ya Powershell cmdlet’lerini kullanma gerekisinimi duyarız. Lisans yönetimini ve takibini sağlamak, karmaşıklıkları önlemek için önemli ölçüde operasyonel süreçler yapılandırmamız gerekir. Kullanıcı lisansları bu özellik öncesine kadar kullanıcı düzeyinde atanabilir durumdayı ve büyük organizasyonlar için yönetimi problem teşkil etmekteydi. Örneğin; bir kullanıcıya departmanına göre lisans atama veya bu lisansı geri alma gibi işlemler için yukarıda bahsettiğimiz süreçlere yani kod paramerlerine ihtiyaç duyarız. Hatta her fırsatta dile getirdiğimiz gibi birçok süreci otomatize etmek ve pratik hale getirmek için script, runbook vs. gibi otomasyon süreçlerini kullanırız.

AAD grup bazlı lisanslama herhangi bir kod, komut ve ya powershell parametleri kullanmadan son derece basit ve kullanıışlı bir yöntem ile lisans atama, kaldırma, yönetme gibi işlemlerin toplu olarak yapılmasına ve lisansların belirli kurallar doğrultusunda dağıtılmasına olanak sağlamaktadır. Bir grup üzerindeki tüm kullanıcılar tanımlamış olduğumuz lisanslara sahip olacaktır. Bu özellik ile aynı zamanda bir grup için birden fazla lisans tanımı yapmak mümkün olmakla birlikte, gruptan çıkartılan kullanıcının lisansı da otomatik olarak kaldırılacaktır. Hiçbir script’e gereksinim duymadan kolayca yapınıza dahil edebileceğiniz bir özellikten bahsediyoruz aslında.😊

Kısaca bu özelliğin kullanılabileceği durumları özetleyecek olursak;

  • Kullanıcı ve Grupları Office 365, Azure ve Powershell üzerinden yönetmeniz mümkün fakat grup bazlı lisanlama şuan için sadece Azure portal üzerinden yönetimi yapılabilmektedir.
  • Bu özelliği kullanabilmek için AAD Basic ve ya Premium sürümlerinden birine sahip olmak gerekmektedir (Grup bazlı lisanslama için EMS E5 ve ya Azure AD P2 lisansına sahip olunması gereklidir).
  • Microsoft bulut ürünleri için lisanslama gerektiren tüm bulut hizmetleri için grup bazlı lisanslama yapılabilir. (Office 365, Enterprise Mobility + Security, Dynamics CRM)
  • Lisans tanımı yapılacak olan grup tipi Security olmalıdır.

Bu bilgilerden sonra ortamınız için Grup bazlı lisanslamanın nasıl konfigüre edileceğine bakalım;

Öncelikle ben grup bazlı lisanlama işlemi için standart bir güvenlik grubu oluşturmak yerine cloud base dynamic group oluşturuyorum. Sizin kullanacağınız grup ve bu gruba dağil edeceğiniz kullanıcılar local AD üzerinden sync edilmiş ve ya Azure AD üzerinde tanımlanmış olabilir.

Benim ortamımda grup Azure AD üzerinde oluturulmuş ve koşula uyan kullanıcılar Lokal AD üzerinden sync edilmiş kullanıcılar olacaktır.

İlk olarak dinamik grubumu oluşturuyor ve departman bilgisi “Finans” olan kullanıcıları “FinanceTeam” grubuna ekleyecek kural dizisini belirtiyorum.

 

Güntaç Çetin ve Murat Temel kullanıcılarını local AD üzerinde oluşturup AD Connect aracılığıyla sync ediyorum. Sync edilen kullanıcılardan birini Azure AD üzerinde kontrol ediyorum. Dikkat ederseniz departman bilgisi Finans olarak tanımlanmış durumda.

Ekran görüntüsünde belirtildiği gibi bu kullanıcıya henüz bir lisans ataması yapılmadı.

Bu kontrollerden sonra Licenses All Products seçeneği içerisinden atamak istediğim lisans ve ya lisansları seçiyorum ve Assign ile atama sürecini başlatıyorum.

Lisans ataması için kullanacağım “Finance Team” grubunu seçiyorum.

Atama kısmının ikinci aşaması olan Assigment Options seçeneği kısmından atanacak olan lisans içerisinde aktif etmek istemediğiniz bir servis var ise bunu devre dışı bırakacak şekilde atama işlemini gerçekleştirmeniz mümkün. Örneğin; Ben organizasyonum için aktif şekilde yapılandırmadığım Intune hizmetinin lisansını tanımlamak istemiyorum ve resimde belirtildiği gibi devre dışı bırakarak Enterprise Mobility + Security lisansını tanımlıyorum.

Son olarak lisanslama kriterlerimi tamamladıktan sonra “Assign” diyerek işlemi tamamlıyorum.

Grup bazlı lisans atama işlemi 1-2 dakika içinde tamamlanmış oluyor. Bu süre zarfında durum bilgisini Grup altındaki lisans sekmesinden görebilirsiniz. Ben kontrolünü sağladığımda EM+S E3 lisansımın tanımlandığını görüyorum.

Benzer kontrolü kullanıcı için yaptığımda lisans atamasının gerçekleştiğini monitor ediyorum. Assigment Path bilgisinden bu lisansın FinanceTeam grubu üzerinden tanımlandığını görebilirsiniz.

Grupta yer alan kullanıcılar atanan lisanslar doğrultusunda bulut hizmetlerini kullanabilecek durumdalar.

Son olarak gruptan çıkartılan ve ya silinen kullanıcılardan lisans atamasının otomatik olarak kaldırıldığını belirtmiştim. Bu senaryo doğrultusunda Güntaç kullanıcısının departman bilgisini değiştiriyorum ve değişikliklerin yansımasından sonra bu kullacı artık FinanceTeam grubunun üyesi olmayacak. Bu nedenle kullanıcıya atanmış olan lisans kaldırılacaktır;

Bu şekilde sizler de organizasyonunuz için lisans yönetimi süreçlerini daha az operasyon sağlayacak şekilde planlayabilirsiniz. Tabi bu planlama daha büyük karmaşlara sebep olmayacak şekilde sağlanmalıdır. 😊

Faydalı Olması Dileğiyle.

 

Bir cevap yazın