Microsoft Entra Windows Cihaz Join Türleri
Dijital dönüşüm çağında kurumlar, cihaz yönetimi ve kimlik doğrulama süreçlerinde daha esnek ve güvenli çözümler arıyor. Microsoft Entra Admin Center, bu ihtiyaca yanıt olarak Windows cihazların kurumsal kaynaklara bağlanmasını sağlayan farklı yöntemler sunuyor. Bu yöntemler, organizasyonların altyapı yapısına, güvenlik politikalarına ve kullanıcı deneyimi hedeflerine göre değişiklik gösteriyor. Bu makalede, Microsoft Entra ekosisteminde yer alan üç temel cihaz katılım (join) türünü — Entra Joined, Hybrid Joined ve Entra Registered — detaylı olarak inceleyecek, aralarındaki farkları açıklayacak ve gerçek senaryolarla hangi durumda hangi yöntemin tercih edilmesi gerektiğini göstereceğiz. Hem bu şekilde kafa karışıklığınında bir nebze önüne geçmiş olacağız.
Microsoft Entra (eski adıyla Azure AD) üzerinden yönetilen Windows cihazlar, organizasyonun altyapı modeline göre üç ana Join tipi ile Entra’ya bağlanabilir:
- Azure AD Join (Bulut Katılımı)
- Hybrid Azure AD Join (Hibrit Katılım)
- Azure AD Registered (Kayıtlı Cihaz / Personal Device)
Her birinin kullanım amacı, yönetim yetenekleri ve senaryoları farklıdır.
Azure AD Join (Bulut Katılımı)
Azure AD Join (Bulut Katılımı) Cihazın doğrudan Microsoft Entra ID’ye (Azure AD) katıldığı, tamamen bulut tabanlı bir modeldir.
Bu modelde cihaz herhangi bir on-premises Active Directory etki alanına bağlı değildir
Kullanım Senaryoları:
- Şirketin tüm altyapısı bulut tabanlı ise (örneğin sadece Microsoft 365 ve Intune kullanılıyorsa)
- Yeni nesil cihaz yönetimi (Modern Management) stratejisi uygulanıyorsa
- Kurumsal cihazlar, Intune ile otomatik olarak yapılandırılıyorsa
Örnek:
Bir KOBİ düşünelim. Fiziksel sunucusu yok, tüm kullanıcılar Microsoft 365 E3 lisansına sahip ve cihazlarını Intune üzerinden yönetiyor.
Yeni bir laptop, Out-of-Box Experience (OOBE) aşamasında Microsoft hesabı (kurumsal oturum) ile oturum açarak Azure AD Join olur.
Tüm politikalar, uygulamalar ve güvenlik ayarları Intune üzerinden otomatik uygulanır.
Özellikler:
- Cihaz Entra ID’ye tam üyedir.
- Kullanıcı kimliği bulut üzerinden doğrulanır.
- Intune yönetimi tam desteklenir.
- Offline domain join yoktur.
Hybrid Azure AD Join (Hibrit Katılım)
Cihaz önce on-premises Active Directory Domain Services (AD DS) ortamına katılır, ardından otomatik olarak Microsoft Entra ID ile senkronize edilir.
Yani cihaz hem lokal domain’e, hem de buluta bağlı hale gelir.
Kullanım Senaryoları:
- Organizasyonda hâlâ yerel Active Directory kullanılıyorsa
- Group Policy ve Intune’u birlikte kullanmak isteniyorsa
- Kullanıcılar ofis ağına bağlandığında domain kaynaklarına erişiyorsa (paylaşımlı sürücüler, yazıcılar, vb.)
Örnek:
Bir orta ölçekli firma düşünelim.
Cihazlar hâlâ on-prem domain’e join durumda, ancak firma yavaş yavaş buluta geçiş yapıyor.
Azure AD Connect senkronizasyonu sayesinde cihazlar Hybrid Azure AD Join durumuna geliyor.
Bu sayede cihazlar hem lokal kaynaklara (örneğin \fileserver) hem de bulut kaynaklarına (örneğin Intune) erişebiliyor.
Özellikler:
- On-prem AD kimlik doğrulaması + Entra ID senkronizasyonu
- Group Policy ve Intune politikaları birlikte çalışabilir
- Kurumsal kaynaklara erişim kolaylığı
- Genelde büyük kuruluşlarda tercih edilir
Azure AD Registered (Kayıtlı Cihaz / Personal Device)
Cihaz doğrudan Entra ID’ye “katılmaz” sadece kayıt olur.
Bu genellikle kişisel cihazlarda (BYOD) kullanılır.
Kullanıcı kendi kişisel cihazını kurumsal kaynaklara erişim için kaydettirir.
Kullanım Senaryoları:
- Çalışanların kendi cihazlarını (BYOD) kullanmasına izin verilen ortamlarda
- Şirketin cihaz üzerinde tam kontrol istemediği durumlarda
- E-posta, Teams, OneDrive gibi sınırlı erişim senaryolarında
Örnek:
Bir çalışan kişisel laptop’ı üzerinden Outlook veya Teams’e erişmek istiyor.
Cihaz “Settings > Accounts > Access Work or School” menüsünden Work account eklenerek Azure AD Registered olur.
Bu cihaz kurumsal kaynaklara erişebilir ama Intune politikaları sınırlı uygulanır.
Özellikler:
- Cihaz Entra ID’ye sadece kayıt olur, join olmaz.
- Kullanıcı kimliği bulut üzerinden doğrulanır.
- Yönetim kısıtlıdır (conditional access, MFA, vb. gibi).
- Kişisel cihazlar için idealdir.
Ek olarak aşağıdaki tabloda bize farklar arasında gerekli bilgileri verecektir.
Karşılaştırma Tablosu
| Özellik / Join Tipi | Azure AD Join | Hybrid Azure AD Join | Azure AD Registered |
| Katılım Türü | Tam bulut | On-prem + Bulut | Sadece kayıt |
| Cihaz Sahipliği | Kurumsal | Kurumsal | Kullanıcı (kişisel) |
| Active Directory Bağımlılığı | Yok | Var | Yok |
| Intune Yönetimi | Evet | Evet | Kısıtlı |
| Group Policy Desteği | Yok | Evet | Hayır |
| Sık Kullanım Alanı | Modern, cloud-first ortamlar | Hibrit altyapılar | BYOD senaryoları |
| Kimlik Doğrulama | Bulut | AD + Bulut | Bulut |
| Kurulum Yöntemi | OOBE, Autopilot | Domain Join + Sync | Manuel kayıt |
Makale sonunda özellikle belirtmek istediğim nokta doğru Join tipinin seçilmesi, cihaz yönetimi stratejisinin başarısını doğrudan etkiler. böylelikle politikları uygularken çok daha esnek bir yapıya sahip olabilirsiniz.
- Modern yönetim ve tam bulut entegrasyonu hedefleniyorsa Azure AD Join,
- Geçiş sürecindeyseniz Hybrid Azure AD Join,
- Kişisel cihaz senaryolarında ise Azure AD Registered tercih edilmelidir.
