Microsoft 365'e dizin eşitlemesi için hazırlanma
Bu makale hem Microsoft 365 Kurumsal hem de Office 365 Kurumsal için geçerlidir.
2. Adımda karma kimlik modelini seçtiyseniz ve yönetici hesapları için koruma yapılandırdıysanız ve bu çözümün 3. Adımındaki kullanıcı hesapları için koruma yapılandırdıysanız, sonraki göreviniz dizin eşitlemesini dağıtmaktır. Kuruluşunuz için dizin eşitlemesinin avantajları şunlardır:
- Kuruluşunuzdaki yönetim programlarını azaltma
- İsteğe bağlı olarak çoklu oturum açma senaryosını etkinleştirme
- Microsoft 365'te hesap değişikliklerini otomatikleştirme
Dizin eşitlemesini kullanmanın avantajları hakkında daha fazla bilgi için bkz. Microsoft Entra kimliğine sahip karma kimlik.
Ancak dizin eşitlemesi, Active Directory Domain Services (AD DS) aboneliğinizin Microsoft 365 aboneliğinizin Microsoft Entra kiracısıyla en az hatayla eşitlenmesini sağlamak için planlama ve hazırlık gerektirir.
En iyi sonuçları elde etmek için bu adımları izleyin.
Not
ASCII olmayan karakterler AD DS kullanıcı hesabındaki öznitelikler için eşitlenmez.
AD DS Hazırlığı
Eşitlemeyi kullanarak Microsoft 365'e sorunsuz bir geçiş sağlamaya yardımcı olmak için, Microsoft 365 dizin eşitleme dağıtımınıza başlamadan önce AD DS ormanınızı hazırlamanız gerekir.
Dizin hazırlama işleminiz aşağıdaki görevlere odaklanmalıdır:
Yinelenen proxyAddress ve userPrincipalName özniteliklerini kaldırın.
Boş ve geçersiz userPrincipalName özniteliklerini geçerli userPrincipalName öznitelikleriyle güncelleştirin.
givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname ve userPrincipalName özniteliklerindeki geçersiz ve sorgulanabilir karakterleri kaldırın. Öznitelikleri hazırlama hakkında ayrıntılı bilgi için bkz. Azure Active Directory Eşitleme Aracı tarafından eşitlenen özniteliklerin listesi.
Not
Bunlar, Microsoft Entra Connect'in eşitlediğinin aynı öznitelikleridir.
Çok ormanlı dağıtımla ilgili dikkat edilmesi gerekenler
Birden çok orman ve SSO seçeneği için Microsoft Entra Connect'in Özel Yüklemesini kullanın.
Kuruluşunuzun kimlik doğrulaması için birden çok ormanı varsa (oturum açma ormanları), aşağıdakileri kesinlikle öneririz:
- Ormanlarınızı birleştirmeyi düşünün. Genel olarak, birden çok ormanı korumak için daha fazla ek yük vardır. Kuruluşunuzda ayrı ormanlar gereksinimini belirleyen güvenlik kısıtlamaları yoksa, şirket içi ortamınızı basitleştirmeyi göz önünde bulundurun.
- Yalnızca birincil oturum açma ormanınızda kullanın. Microsoft 365'in ilk dağıtımı için Microsoft 365'i yalnızca birincil oturum açma ormanınıza dağıtmayı göz önünde bulundurun.
Çok ormanlı AD DS dağıtımınızı birleştiremiyorsanız veya kimlikleri yönetmek için başka dizin hizmetleri kullanıyorsanız, bunları Microsoft'un veya iş ortağının yardımıyla eşitleyebilirsiniz.
Daha fazla bilgi için bkz. Microsoft Entra Connect topolojileri.
Dizin eşitlemeye bağımlı özellikler
Dizin eşitlemesi aşağıdaki özellikler ve işlevler için gereklidir:
- sorunsuz çoklu oturum açma (SSO) Microsoft Entra
- Skype birlikte bulunma
- Exchange karma dağıtımı, örneğin:
- Şirket içi Exchange ortamınız ile Microsoft 365 arasında tam olarak paylaşılan genel adres listesi (GAL).
- Gal bilgilerini farklı posta sistemlerinden eşitleme.
- Microsoft 365 hizmet tekliflerine kullanıcı ekleme ve hizmet tekliflerinden kullanıcı kaldırma özelliği. Bunun için şunlar gerekir:
- Dizin eşitleme kurulumu sırasında iki yönlü eşitleme yapılandırılmalıdır. Varsayılan olarak, dizin eşitleme araçları dizin bilgilerini yalnızca buluta yazar. İki yönlü eşitlemeyi yapılandırdığınızda, sınırlı sayıda nesne özniteliğinin buluttan kopyalanıp yerel AD DS'nize geri yazılabilmesi için geri yazma işlevini etkinleştirirsiniz. Geri yazma, Exchange karma modu olarak da adlandırılır.
- Şirket içi Exchange karma dağıtımı.
- Bazı kullanıcı posta kutularını Microsoft 365'e taşırken diğer kullanıcı posta kutularını şirket içinde tutma olanağı.
- Şirket içi güvenilir gönderenler ve engellenen gönderenler Microsoft 365'e çoğaltılır.
- Temel temsilci seçme ve e-posta adına gönderme işlevselliği.
- Tümleşik bir şirket içi akıllı kartınız veya çok faktörlü kimlik doğrulama çözümünüz var.
- Fotoğrafların, küçük resimlerin, konferans odalarının ve güvenlik gruplarının eşitlenmesi
1. Dizin temizleme görevleri
AD DS'nizi Microsoft Entra kiracınızla eşitlemeden önce AD DS'nizi temizlemeniz gerekir.
Önemli
Eşitlemeden önce AD DS temizlemesi yapmazsanız, dağıtım işlemi üzerinde önemli bir olumsuz etkiye yol açabilir. Dizin eşitlemesi, hataları tanımlama ve yeniden eşitleme döngüsünün geçmesi günler, hatta haftalar sürebilir.
AD DS'nizde, bir Microsoft 365 lisansı atanacak her kullanıcı hesabı için aşağıdaki temizleme görevlerini tamamlayın:
proxyAddresses özniteliğinde geçerli ve benzersiz bir e-posta adresi olduğundan emin olun.
proxyAddresses özniteliğindeki yinelenen değerleri kaldırın.
Mümkünse, kullanıcının kullanıcı nesnesindekiuserPrincipalName özniteliği için geçerli ve benzersiz bir değer olduğundan emin olun. En iyi eşitleme deneyimi için AD DS UPN'nin Microsoft Entra UPN ile eşleştiğinden emin olun. Kullanıcının userPrincipalName özniteliği için bir değeri yoksa, kullanıcı nesnesi sAMAccountName özniteliği için geçerli ve benzersiz bir değer içermelidir. userPrincipalName özniteliğindeki yinelenen değerleri kaldırın.
Genel adres listesinin (GAL) en iyi şekilde kullanılması için AD DS kullanıcı hesabının aşağıdaki özniteliklerindeki bilgilerin doğru olduğundan emin olun:
- Givenname
- Soyadı
- displayName
- İş Unvanı
- Bölüm
- Office
- Ofis Telefonu
- Cep Telefonu
- Faks Numarası
- Sokak Adresi
- Şehir
- Eyalet veya İl
- Posta Kodu veya Posta Kodu
- Ülke veya Bölge
2. Dizin nesnesi ve öznitelik hazırlığı
AD DS ile Microsoft 365 arasında başarılı dizin eşitlemesi için AD DS özniteliklerinizin düzgün hazırlanması gerekir. Örneğin, Microsoft 365 ortamıyla eşitlenen belirli özniteliklerde belirli karakterlerin kullanılmadığından emin olmanız gerekir. Beklenmeyen karakterler dizin eşitlemenin başarısız olmasına neden olmaz, ancak bir uyarı döndürebilir. Geçersiz karakterler dizin eşitlemenin başarısız olmasına neden olur.
Bazı AD DS kullanıcılarınızın bir veya daha fazla yinelenen özniteliği varsa dizin eşitlemesi de başarısız olur. Her kullanıcının benzersiz öznitelikleri olmalıdır.
Hazırlamanız gereken öznitelikler burada listelenmiştir:
displayName
- Öznitelik kullanıcı nesnesinde varsa, Microsoft 365 ile eşitlenir.
- Bu öznitelik kullanıcı nesnesinde varsa, bunun için bir değer olmalıdır. Başka bir ifadeyle özniteliğin boş olmaması gerekir.
- En fazla karakter sayısı: 256
Givenname
- Öznitelik kullanıcı nesnesinde varsa, Microsoft 365 ile eşitlenir, ancak Microsoft 365 bunu gerektirmez veya kullanmaz.
- En fazla karakter sayısı: 64
posta
Öznitelik değeri dizin içinde benzersiz olmalıdır.
Not
Yinelenen değerler varsa, değere sahip ilk kullanıcı eşitlenir. Sonraki kullanıcılar Microsoft 365'te görünmez. Her iki kullanıcının da Microsoft 365'te görünmesi için Microsoft 365'teki değeri veya AD DS'deki her iki değeri de değiştirmeniz gerekir.
mailNickname (Exchange diğer adı)
Öznitelik değeri noktayla (.) başlayamaz.
Öznitelik değeri dizin içinde benzersiz olmalıdır.
Not
Eşitlenen addaki alt çizgi ("_") bu özniteliğin özgün değerinin geçersiz karakterler içerdiğini gösterir. Bu öznitelik hakkında daha fazla bilgi için bkz. Exchange diğer adı özniteliği.
Proxyaddresses
Çok değerli öznitelik
Değer başına karakter sayısı üst sınırı: 256
Öznitelik değeri boşluk içermemelidir.
Öznitelik değeri dizin içinde benzersiz olmalıdır.
Geçersiz karakterler: <> ( ) ; , [ ] "
Aksan, vurgu ve tilde gibi aksan işaretlerine sahip harfler geçersiz karakterlerdir.
Geçersiz karakterler, tür sınırlayıcısı ve ":" karakterlerini izleyen karakterler için geçerlidir; smtp:User@contso.com izin verilir, ancak SMTP:user:M@contoso.com kullanılamaz.
Önemli
Tüm Basit Posta Aktarım Protokolü (SMTP) adresleri e-posta ileti standartlarına uygun olmalıdır. Varsa yinelenen veya istenmeyen adresleri kaldırın.
Samaccountname
- En fazla karakter sayısı: 20
- Öznitelik değeri dizin içinde benzersiz olmalıdır.
- Geçersiz karakterler: [ \ " | , / : <> + = ; ? * ']
- Kullanıcının geçersiz bir sAMAccountName özniteliği varsa ancak geçerli bir userPrincipalName özniteliği varsa, kullanıcı hesabı Microsoft 365'te oluşturulur.
- Hem sAMAccountName hem de userPrincipalName geçersizse, AD DS userPrincipalName özniteliği güncelleştirilmelidir.
sn (soyadı)
- Öznitelik kullanıcı nesnesinde varsa, Microsoft 365 ile eşitlenir, ancak Microsoft 365 bunu gerektirmez veya kullanmaz.
Targetaddress
Kullanıcı için doldurulan targetAddress özniteliğinin (örneğin SMTP:tom@contoso.com) Microsoft 365 GAL'de görünmesi gerekir. Üçüncü taraf mesajlaşma geçiş senaryolarında bunun için AD DS için Microsoft 365 şema uzantısı gerekir. Microsoft 365 şema uzantısı, AD DS'den bir dizin eşitleme aracı kullanılarak doldurulan Microsoft 365 nesnelerini yönetmek için başka yararlı öznitelikler de ekler. Örneğin, gizli posta kutularını veya dağıtım gruplarını yönetmek için msExchHideFromAddressLists özniteliği eklenir.
- En fazla karakter sayısı: 256
- Öznitelik değeri boşluk içermemelidir.
- Öznitelik değeri dizin içinde benzersiz olmalıdır.
- Geçersiz karakterler: \ <> ( ) ; , [ ] "
- Tüm Basit Posta Aktarım Protokolü (SMTP) adresleri e-posta ileti standartlarına uygun olmalıdır.
Userprincipalname
- userPrincipalName özniteliği, kullanıcı adının ardından at işareti (@) ve bir etki alanı adı (örneğin, user@contoso.com) bulunduğu İnternet stili oturum açma biçiminde olmalıdır. Tüm Basit Posta Aktarım Protokolü (SMTP) adresleri e-posta ileti standartlarına uygun olmalıdır.
- userPrincipalName özniteliği için karakter sayısı üst sınırı 113'tür. İşaret işaretinden (@) önce ve sonra belirli sayıda karaktere aşağıdaki gibi izin verilir:
- At işaretinin (@) önünde yer alan kullanıcı adı için karakter sayısı üst sınırı: 64
- Etki alanı adının at işaretinden (@) sonra gelen karakter sayısı üst sınırı: 48
- Geçersiz karakterler: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
- İzin verilen karakterler: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
- Aksan, vurgu ve tilde gibi aksan işaretlerine sahip harfler geçersiz karakterlerdir.
- Her userPrincipalName değerinde @ karakteri gereklidir.
- @ karakteri her userPrincipalName değerindeki ilk karakter olamaz.
- Kullanıcı adı nokta (.), ve işareti (&), boşluk veya işareti (@) ile bitemez.
- Kullanıcı adı boşluk içeremez.
- Yönlendirilebilir etki alanları kullanılmalıdır; örneğin, yerel veya iç etki alanları kullanılamaz.
- Unicode alt çizgi karakterlerine dönüştürülür.
- userPrincipalName dizininde yinelenen değer içeremez.
3. userPrincipalName özniteliğini hazırlama
Active Directory, kuruluşunuzdaki son kullanıcıların sAMAccountName veya userPrincipalName kullanarak dizininizde oturum açmasına izin verecek şekilde tasarlanmıştır. Benzer şekilde, son kullanıcılar iş veya okul hesabının kullanıcı asıl adını (UPN) kullanarak Microsoft 365'te oturum açabilir. Dizin eşitlemesi, AD DS'nizdeki UPN'yi kullanarak Microsoft Entra kimliğinde yeni kullanıcılar oluşturmaya çalışır. UPN, e-posta adresi gibi biçimlendirilir.
Microsoft 365'te UPN, e-posta adresini oluşturmak için kullanılan varsayılan özniteliktir. userPrincipalName (AD DS'de ve Microsoft Entra kimliğinde) ve proxyAddresses içindeki birincil e-posta adresinin farklı değerlere ayarlanması kolaydır. Bunlar farklı değerlere ayarlandığında, yöneticiler ve son kullanıcılar için karışıklık olabilir.
Karışıklığı azaltmak için bu öznitelikleri hizalamak en iyisidir. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) 2.0 ile çoklu oturum açma gereksinimlerini karşılamak için, Microsoft Entra Kimliği ve AD DS'nizdeki UPN'lerin eşleştiğinden ve geçerli bir etki alanı ad alanı kullandığından emin olmanız gerekir.
4. AD DS'ye alternatif bir UPN soneki ekleyin
Kullanıcının kurumsal kimlik bilgilerini Microsoft 365 ortamıyla ilişkilendirmek için alternatif bir UPN soneki eklemeniz gerekebilir. UPN soneki, @ karakterinin sağındaki BIR UPN'nin bölümüdür. Çoklu oturum açma için kullanılan UPN'ler harf, sayı, nokta, kısa çizgi ve alt çizgi içerebilir ancak başka karakter türü içeremez.
Active Directory'ye alternatif bir UPN soneki ekleme hakkında daha fazla bilgi için bkz. Dizin eşitlemesi için hazırlanma.
5. AD DS UPN'yi Microsoft 365 UPN ile eşleştirme
Dizin eşitlemesini zaten ayarladıysanız, kullanıcının Microsoft 365 upn'i, kullanıcının AD DS'nizde tanımlanan AD DS UPN'sine uymayabilir. Bu koşul, etki alanı doğrulanmadan önce kullanıcıya lisans atandığında ortaya çıkabilir. Bunu düzeltmek için PowerShell kullanarak yinelenen UPN'yi düzelterek kullanıcının UPN'sini güncelleştirerek Microsoft 365 UPN'sinin şirket kullanıcı adı ve etki alanıyla eşleştiğinden emin olun. AD DS'de UPN'yi güncelleştiriyorsanız ve Microsoft Entra kimliğiyle eşitlemesini istiyorsanız, AD DS'de değişiklik yapmadan önce kullanıcının Microsoft 365 lisansını kaldırmanız gerekir.
Ayrıca bkz. Yönlendirilemeyen bir etki alanını (.local etki alanı gibi) dizin eşitlemesi için hazırlama.
Sonraki adımlar
1 ile 5. adımları tamamladıktan sonra bkz. Dizin eşitlemesini ayarlama.