Microsoft Entra Connect: Tasarım kavramları

  • Makale

Bu belgenin amacı, Microsoft Entra Bağlan yapılandırılırken dikkate alınması gereken alanları açıklamaktır. Bu belge belirli alanlara ayrıntılı bir bakıştır ve bu kavramlar diğer belgelerde de kısaca açıklanmıştır.

sourceAnchor

sourceAnchor özniteliği, bir nesnenin ömrü boyunca sabit bir öznitelik olarak tanımlanır. Bir nesneyi şirket içinde ve Microsoft Entra Kimliği'nde aynı nesne olarak benzersiz olarak tanımlar. Özniteliği immutableId olarak da adlandırılır ve iki ad birbirinin yerine kullanılır.

"Değiştirilemez" sözcüğü bu belge için önemlidir. Bu özniteliğin değeri ayarlandıktan sonra değiştirilebildiğinden, senaryonuzu destekleyen bir tasarım seçmek önemlidir.

özniteliği aşağıdaki senaryolar için kullanılır:

  • Bir olağanüstü durum kurtarma senaryosunda yeni bir eşitleme altyapısı sunucusu oluşturulduğunda veya yeniden oluşturulduğunda, bu öznitelik Microsoft Entra ID'deki mevcut nesneleri şirket içi nesnelerle bağlar.
  • Yalnızca bulutta bulunan bir kimlikten eşitlenmiş kimlik modeline geçerseniz, bu öznitelik nesnelerin Microsoft Entra ID'deki mevcut nesneleri şirket içi nesnelerle "sabit eşleştirmesine" olanak tanır.
  • Federasyon kullanıyorsanız, bu öznitelik userPrincipalName ile birlikte bir kullanıcıyı benzersiz olarak tanımlamak için talepte kullanılır.

Bu konu yalnızca sourceAnchor'un kullanıcılarla ilgili olduğu şekilde anlatılmaktadır. Aynı kurallar tüm nesne türleri için geçerlidir, ancak yalnızca kullanıcılar için bu sorun genellikle bir sorundur.

İyi bir sourceAnchor özniteliği seçme

Öznitelik değeri aşağıdaki kurallara uymalıdır:

  • Uzunluğu 60'tan az karakter
    • Z, A-Z veya 0-9 olmayan karakterler kodlanır ve 3 karakter olarak sayılır
  • Özel karakter içermez: \ ! # $ % & * + / = ? ^ ' { } | ~ <> ( ) ' ; : , [ ] " @ _
  • Genel olarak benzersiz olması gerekir
  • Dize, tamsayı veya ikili olmalıdır
  • Bunlar değişebileceğinden kullanıcının adına dayalı olmamalıdır
  • Büyük/küçük harfe duyarlı olmamalıdır ve büyük/küçük harfe göre değişiklik gösterebilecek değerlerden kaçınmamalıdır
  • Nesne oluşturulduğunda atanmalıdır

Seçilen sourceAnchor dize türünde değilse, Microsoft Entra Bağlan Base64 Özel karakter görünmediğinden emin olmak için öznitelik değerini kodlayın. ADFS'den başka bir federasyon sunucusu kullanıyorsanız, sunucunuzun özniteliğini Base64Encode olarak da kullanabileceğinden emin olun.

sourceAnchor özniteliği büyük/küçük harfe duyarlıdır. "JohnDoe" değeri "johndoe" ile aynı değildir. Ancak büyük/küçük harf farkları olan iki farklı nesneye sahip olmamanız gerekir.

Şirket içinde tek bir ormanınız varsa, kullanmanız gereken öznitelik objectGUID'dir. Bu aynı zamanda Microsoft Entra Bağlan'da hızlı ayarları kullandığınızda kullanılan öznitelik ve DirSync tarafından kullanılan özniteliktir.

Birden çok ormanınız varsa ve kullanıcıları ormanlar ve etki alanları arasında taşımıyorsanız objectGUID, bu durumda bile kullanmak için iyi bir özniteliktir.

Kullanıcıları ormanlar ve etki alanları arasında taşırsanız, taşıma sırasında değişmeyen veya kullanıcılarla birlikte taşınabilecek bir öznitelik bulmanız gerekir. Önerilen yaklaşım yapay bir öznitelik eklemektir. GUID gibi görünen bir öğeyi barındırabilen bir öznitelik uygun olacaktır. Nesne oluşturma sırasında, kullanıcı üzerinde yeni bir GUID oluşturulur ve damgalanır. Bu değeri objectGUID temelinde oluşturmak ve AD DS'de seçili özniteliği güncelleştirmek için eşitleme altyapısı sunucusunda özel bir eşitleme kuralı oluşturulabilir. Nesneyi taşıdığınızda, bu değerin içeriğini de kopyaladığınızdan emin olun.

Başka bir çözüm, değişmediği bildiğiniz mevcut bir özniteliği seçmektir. Yaygın olarak kullanılan öznitelikler employeeID'leridir. Harf içeren bir özniteliği dikkate alırsanız, büyük/küçük harf (büyük/küçük harf) değerinin özniteliğin değeri için değişme olasılığı olmadığından emin olun. Kullanılmaması gereken hatalı öznitelikler, kullanıcı adıyla bu öznitelikleri içerir. Evlilikte veya boşanmada adın değişmesi beklenir ve bu öznitelik için izin verilmez. Bu ayrıca userPrincipalName, mail ve targetAddress gibi özniteliklerin Microsoft Entra Bağlan yükleme sihirbazında seçilememelerinin de bir nedenidir. Bu öznitelikler sourceAnchor'da izin verilmeyen "@" karakterini de içerir.

sourceAnchor özniteliğini değiştirme

Nesne Microsoft Entra Kimliği'nde oluşturulduktan ve kimlik eşitlendikten sonra sourceAnchor öznitelik değeri değiştirilemez.

Bu nedenle, Microsoft Entra Bağlan için aşağıdaki kısıtlamalar geçerlidir:

  • sourceAnchor özniteliği yalnızca ilk yükleme sırasında ayarlanabilir. Yükleme sihirbazını yeniden çalıştırırsanız, bu seçenek salt okunurdur. Bu ayarı değiştirmeniz gerekiyorsa kaldırmanız ve yeniden yüklemeniz gerekir.
  • Başka bir Microsoft Entra Bağlan sunucusu yüklerseniz, daha önce kullandığınız sourceAnchor özniteliğini seçmeniz gerekir. Daha önce DirSync'i kullandıysanız ve Microsoft Entra Bağlan'a geçtiyseniz, DirSync tarafından kullanılan öznitelik olduğundan objectGUID kullanmalısınız.
  • Nesne Microsoft Entra Id'ye aktarıldıktan sonra sourceAnchor değeri değiştirilirse, Microsoft Entra Bağlan Sync bir hata oluşturur ve sorun düzeltilmeden ve sourceAnchor kaynak dizinde yeniden değiştirilmeden önce bu nesne üzerinde daha fazla değişikliğe izin vermez.

sourceAnchor olarak ms-DS-ConsistencyGuid kullanma

Varsayılan olarak, Microsoft Entra Bağlan (sürüm 1.1.486.0 ve üzeri), sourceAnchor özniteliği olarak objectGUID kullanır. ObjectGUID sistem tarafından oluşturulur. Şirket içi AD nesneleri oluştururken değerini belirtemezsiniz. sourceAnchor bölümünde açıklandığı gibi sourceAnchor değerini belirtmeniz gereken senaryolar vardır. Senaryolar sizin için geçerliyse sourceAnchor özniteliği olarak yapılandırılabilir bir AD özniteliği (örneğin, ms-DS-ConsistencyGuid) kullanmanız gerekir.

Microsoft Entra Bağlan (sürüm 1.1.524.0 ve sonrası) artık sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanımını kolaylaştırıyor. Bu özelliği kullanırken, Microsoft Entra Bağlan eşitleme kurallarını otomatik olarak şu şekilde yapılandırıyor:

  1. User nesneleri için sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanın. ObjectGUID diğer nesne türleri için kullanılır.

  2. ms-DS-ConsistencyGuid özniteliği doldurulmayan belirli bir şirket içi AD Kullanıcı nesnesi için, Microsoft Entra Bağlan objectGUID değerini şirket içi Active Directory'deki ms-DS-ConsistencyGuid özniteliğine geri yazar. ms-DS-ConsistencyGuid özniteliği dolduruldıktan sonra Microsoft Entra Bağlan nesneyi Microsoft Entra Id'ye aktarır.

Not

Şirket içi AD nesnesi Microsoft Entra Bağlan'a aktarıldıktan sonra (yani AD Bağlan veya Ara Çubuğu'na aktarıldıktan ve Metaverse'e yansıtıldıktan sonra) sourceAnchor değerini değiştiremezsiniz. Belirli bir şirket içi AD nesnesi için sourceAnchor değerini belirtmek için, ms-DS-ConsistencyGuid özniteliğini Microsoft Entra Bağlan'a aktarilmeden önce yapılandırın.

İzin gerekiyor

Bu özelliğin çalışması için, şirket içi Active Directory ile eşitlemek için kullanılan AD DS hesabına şirket içi Active Directory'deki ms-DS-ConsistencyGuid özniteliğine yazma izni verilmelidir.

ConsistencyGuid özelliğini etkinleştirme - Yeni yükleme

Yeni yükleme sırasında sourceAnchor olarak ConsistencyGuid kullanımını etkinleştirebilirsiniz. Bu bölümde hem Express hem de Custom yüklemesi ayrıntılı olarak açıklanmıştır.

Not

Microsoft Entra Bağlan'nin yalnızca daha yeni sürümleri (1.1.524.0 ve sonrası) yeni yükleme sırasında sourceAnchor olarak ConsistencyGuid kullanımını destekler.

ConsistencyGuid özelliğini etkinleştirme

Hızlı Yükleme

Microsoft Entra Bağlan Express moduyla yüklenirken, Microsoft Entra Bağlan sihirbazı aşağıdaki mantığı kullanarak sourceAnchor özniteliği olarak kullanılacak en uygun AD özniteliğini otomatik olarak belirler:

  • İlk olarak, Microsoft Entra Bağlan sihirbazı önceki Microsoft Entra Bağlan yüklemesinde (varsa) sourceAnchor özniteliği olarak kullanılan AD özniteliğini almak için Microsoft Entra kiracınızı sorgular. Bu bilgiler varsa, Microsoft Entra Bağlan aynı AD özniteliğini kullanır.

    Not

    Microsoft Entra Bağlan'ın yalnızca daha yeni sürümleri (1.1.524.0 ve sonrası) yükleme sırasında kullanılan sourceAnchor özniteliği hakkındaki bilgileri Microsoft Entra kiracınızda depolar. Microsoft Entra Bağlan eski sürümleri bunu yapamaz.

  • Kullanılan sourceAnchor özniteliği hakkında bilgi yoksa sihirbaz, şirket içi Active Directory ms-DS-ConsistencyGuid özniteliğinin durumunu denetler. Öznitelik dizindeki herhangi bir nesnede yapılandırılmamışsa, sihirbaz sourceAnchor özniteliği olarak ms-DS-ConsistencyGuid kullanır. Öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin diğer uygulamalar tarafından kullanıldığı ve sourceAnchor özniteliği olarak uygun olmadığı sonucuna varıyor...

  • Bu durumda sihirbaz, sourceAnchor özniteliği olarak objectGUID kullanmaya geri döner.

  • sourceAnchor özniteliğine karar verildikten sonra sihirbaz bilgileri Microsoft Entra kiracınızda depolar. Bilgiler, Microsoft Entra Bağlan'in gelecekteki yüklemesinde kullanılacaktır.

Hızlı yükleme tamamlandıktan sonra sihirbaz, Kaynak Bağlantı özniteliği olarak hangi özniteliğin seçildiğini size bildirir.

Wizard informs AD attribute picked for sourceAnchor

Özel yükleme

Microsoft Entra Bağlan Özel modla yüklenirken, Microsoft Entra Bağlan sihirbazı sourceAnchor özniteliğini yapılandırırken iki seçenek sağlar:

Custom installation - sourceAnchor configuration

Ayar Açıklama
Kaynak tutturucuyu benim için Microsoft Entra ID yönetsin Microsoft Entra Id'nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin. Bu seçeneği belirlerseniz, Microsoft Entra Bağlan sihirbazı Hızlı yükleme sırasında kullanılan sourceAnchor özniteliği seçim mantığını uygular. Hızlı yüklemeye benzer şekilde sihirbaz, Özel yükleme tamamlandıktan sonra Kaynak Bağlantı özniteliği olarak hangi özniteliğin seçildiğini size bildirir.
Belirli bir öznitelik SourceAnchor özniteliği olarak mevcut bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.

ConsistencyGuid özelliğini etkinleştirme - Mevcut dağıtım

Source Anchor özniteliği olarak objectGUID kullanan bir Microsoft Entra Bağlan dağıtımınız varsa, bunun yerine ConsistencyGuid'i kullanmaya geçebilirsiniz.

Not

Yalnızca Microsoft Entra Bağlan'nin daha yeni sürümleri (1.1.552.0 ve sonrası) ObjectGuid'den Source Anchor özniteliği olarak ConsistencyGuid'e geçmeyi destekler.

Source Anchor özniteliği olarak objectGUID'den ConsistencyGuid'e geçmek için:

  1. Microsoft Entra Bağlan sihirbazını başlatın ve Görevler ekranına gitmek için Yapılandır'a tıklayın.

  2. Kaynak Bağlantısı Yapılandır görev seçeneğini belirleyin ve İleri'ye tıklayın.

    Enable ConsistencyGuid for existing deployment - step 2

  3. Microsoft Entra Yönetici istrator kimlik bilgilerinizi girin ve İleri'ye tıklayın.

  4. Microsoft Entra Bağlan sihirbazı, şirket içi Active Directory ms-DS-ConsistencyGuid özniteliğinin durumunu analiz eder. Öznitelik dizindeki herhangi bir nesnede yapılandırılmamışsa, Microsoft Entra Bağlan şu anda özniteliğini başka hiçbir uygulamanın kullanmadığını ve bunu Kaynak Bağlantı özniteliği olarak kullanmanın güvenli olduğu sonucuna varıyor. Devam etmek için Sonraki düğmesine tıklayın.

    Enable ConsistencyGuid for existing deployment - step 4

  5. Yapılandırmaya Hazır ekranında Yapılandır'a tıklayarak yapılandırma değişikliğini yapın.

    Enable ConsistencyGuid for existing deployment - step 5

  6. Yapılandırma tamamlandıktan sonra sihirbaz, kaynak bağlantı özniteliği olarak ms-DS-ConsistencyGuid'in kullanıldığını gösterir.

    Enable ConsistencyGuid for existing deployment - step 6

Çözümleme sırasında (4. adım), öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin başka bir uygulama tarafından kullanıldığı sonucuna varıyor ve aşağıdaki diyagramda gösterildiği gibi bir hata döndürüyor. Bu hata, daha önce birincil Microsoft Entra Bağlan sunucunuzda ConsistencyGuid özelliğini etkinleştirdiyseniz ve aynı işlemi hazırlama sunucunuzda yapmaya çalışıyorsanız da oluşabilir.

Enable ConsistencyGuid for existing deployment - error

Özniteliğin diğer mevcut uygulamalar tarafından kullanılmadığından eminseniz, /SkipLdapSearch anahtarı belirtilen Microsoft Entra Bağlan sihirbazını yeniden başlatarak hatayı gizleyebilirsiniz. Bunu yapmak için komut isteminde aşağıdaki komutu çalıştırın:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

AD FS veya üçüncü taraf federasyon yapılandırması üzerindeki etkisi

Şirket içi AD FS dağıtımını yönetmek için Microsoft Entra Bağlan kullanıyorsanız, Microsoft Entra Bağlan talep kurallarını sourceAnchor ile aynı AD özniteliğini kullanacak şekilde otomatik olarak güncelleştirir. Bu, ADFS tarafından oluşturulan SabitId talebin Microsoft Entra Kimliği'ne dışarı aktarılan sourceAnchor değerleriyle tutarlı olmasını sağlar.

AD FS'yi Microsoft Entra Bağlan dışında yönetiyorsanız veya kimlik doğrulaması için üçüncü taraf federasyon sunucuları kullanıyorsanız, AD FS talep kurallarını değiştirme makalesinde açıklandığı gibi, SabitId talebi için talep kurallarını Microsoft Entra Id'ye aktarılan sourceAnchor değerleriyle tutarlı olacak şekilde el ile güncelleştirmeniz gerekir. Yükleme tamamlandıktan sonra sihirbaz aşağıdaki uyarıyı döndürür:

Third-party federation configuration

Mevcut dağıtıma yeni dizinler ekleme

Microsoft Entra Bağlan'ı ConsistencyGuid özelliği etkin olarak dağıtmış olduğunuzu ve şimdi dağıtıma başka bir dizin eklemek istediğinizi varsayalım. Dizini eklemeye çalıştığınızda, Microsoft Entra Bağlan sihirbazı dizindeki ms-DS-ConsistencyGuid özniteliğinin durumunu denetler. Öznitelik dizindeki bir veya daha fazla nesnede yapılandırılmışsa, sihirbaz özniteliğin diğer uygulamalar tarafından kullanıldığı sonucuna varıyor ve aşağıdaki diyagramda gösterildiği gibi bir hata döndürüyor. Özniteliğin mevcut uygulamalar tarafından kullanılmadığından eminseniz, yukarıda açıklandığı gibi belirtilen /SkipLdapSearch anahtarıyla Microsoft Entra Bağlan sihirbazını yeniden başlatarak hatayı gizleyebilirsiniz veya daha fazla bilgi için Desteğe başvurmanız gerekir.

Adding new directories to existing deployment

Microsoft Entra oturum açma

Şirket içi dizininizi Microsoft Entra ID ile tümleştirirken, eşitleme ayarlarının kullanıcının kimlik doğrulama şeklini nasıl etkileyebileceğini anlamak önemlidir. Microsoft Entra Id, kullanıcının kimliğini doğrulamak için userPrincipalName (UPN) kullanır. Ancak, kullanıcılarınızı eşitlerken userPrincipalName değeri için kullanılacak özniteliği dikkatle seçmeniz gerekir.

userPrincipalName özniteliğini seçme

Microsoft Entra Id'de kullanılacak UPN değerini sağlamak için özniteliğini seçtiğinizde

  • Öznitelik değerleri UPN söz dizimine (RFC 822) uygundur, username@domain biçiminde olmalıdır
  • Değerlerdeki sonek, Microsoft Entra Id'deki doğrulanmış özel etki alanlarından biriyle eşleşir

Hızlı ayarlarda, özniteliği için varsayılan seçenek userPrincipalName'dir. userPrincipalName özniteliği, kullanıcılarınızın Microsoft Entra Kimliği'nde oturum açmasını istediğiniz değeri içermiyorsa, Özel Yükleme'yi seçmeniz gerekir.

Not

UPN ön ekinin birden fazla karakter içermesi en iyi yöntem olarak önerilir.

Özel etki alanı durumu ve UPN

UPN soneki için doğrulanmış bir etki alanı olduğundan emin olmak önemlidir.

John, contoso.com'da bir kullanıcıdır. Kullanıcıları Microsoft Entra dizin contoso.onmicrosoft.com eşitledikten sonra Microsoft Entra Id'de oturum açmak için John'un şirket içi UPN'yi john@contoso.com kullanmasını istiyorsunuz. Bunu yapmak için, kullanıcıları eşitlemeye başlamadan önce Microsoft Entra Id'de özel etki alanı olarak contoso.com eklemeniz ve doğrulamanız gerekir. John'un UPN soneki, örneğin contoso.com, Microsoft Entra Id'deki doğrulanmış bir etki alanıyla eşleşmiyorsa, Microsoft Entra Id UPN sonekini contoso.onmicrosoft.com ile değiştirir.

Yönlendirilemeyen şirket içi etki alanları ve Microsoft Entra Id için UPN

Bazı kuruluşların contoso.local gibi yönlendirilebilir olmayan etki alanları veya contoso gibi basit tek etiketli etki alanları vardır. Yönlendirilemeyen bir etki alanını Microsoft Entra Id'de doğrulayamazsınız. Microsoft Entra Bağlan, Microsoft Entra Id'de yalnızca doğrulanmış bir etki alanıyla eşitlenebilir. Bir Microsoft Entra dizini oluşturduğunuzda, microsoft entra kimliğiniz için varsayılan etki alanı haline gelen yönlendirilebilir bir etki alanı oluşturur, örneğin, contoso.onmicrosoft.com. Bu nedenle, varsayılan onmicrosoft.com etki alanıyla eşitlemek istemediğiniz durumlarda, bu tür bir senaryoda başka yönlendirilebilir etki alanlarının doğrulanması gerekir.

Etki alanlarını ekleme ve doğrulama hakkında daha fazla bilgi için Özel etki alanı adınızı Microsoft Entra Id'ye ekleme makalesini okuyun.

Microsoft Entra Bağlan, yönlendirilemeyen bir etki alanı ortamında çalışıp çalışmadığınızı algılar ve hızlı ayarlarla devam etmek için sizi uygun şekilde uyarır. Yönlendirilemeyen bir etki alanında çalışıyorsanız, kullanıcıların UPN'sinde de yönlendirilemeyen sonekler vardır. Örneğin, contoso.local altında çalıştırıyorsanız, Microsoft Entra Bağlan hızlı ayarları kullanmak yerine özel ayarlar kullanmanızı önerir. Özel ayarları kullanarak, kullanıcılar Microsoft Entra Id ile eşitlendikten sonra Microsoft Entra Id'de oturum açmak için UPN olarak kullanılması gereken özniteliği belirtebilirsiniz.

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.