Microsoft Entra sağlama aracısını yükleme

  • Makale

Bu makalede, Microsoft Entra sağlama aracısı için yükleme işlemi ve ilk olarak Microsoft Entra yönetim merkezinde nasıl yapılandırabileceğiniz anlatılır.

Önemli

Aşağıdaki yükleme yönergelerinde tüm önkoşulları karşıladığınız varsayılır.

Not

Bu makalede, sihirbazı kullanarak sağlama aracısını yükleme konusu ele alınıyor. Cli kullanarak Microsoft Entra sağlama aracısını yükleme hakkında bilgi için bkz . CLI ve PowerShell kullanarak Microsoft Entra sağlama aracısını yükleme.

Daha fazla bilgi ve örnek için aşağıdaki videoyu görüntüleyin:

Grup Tarafından Yönetilen Hizmet Hesapları

Grup Yönetilen Hizmet Hesabı (gMSA), otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi ve yönetimi diğer yöneticilere devretme olanağı sağlayan yönetilen bir etki alanı hesabıdır. gMSA ayrıca bu işlevselliği birden çok sunucuya genişletir. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA kullanılmasını destekler ve önerir. Daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.

Var olan bir aracıyı gMSA kullanacak şekilde güncelleştirme

Mevcut bir aracıyı yükleme sırasında oluşturulan Grup Yönetilen Hizmet Hesabını kullanacak şekilde güncelleştirmek için AAD Bağlan ProvisioningAgent.msi komutunu çalıştırarak aracı hizmetini en son sürüme yükseltin. Şimdi yükleme sihirbazını yeniden çalıştırın ve sizden istendiğinde hesabı oluşturmak için kimlik bilgilerini sağlayın.

Aracıyı yükleme

  1. Azure portalında Microsoft Entra ID'yi seçin.
  2. Sol tarafta Microsoft Entra Bağlan'ı seçin.
  3. Sol tarafta Bulut eşitleme'yi seçin.

Yeni UX ekranının ekran görüntüsü.

  1. Sol tarafta Aracı'yı seçin.
  2. Şirket içi aracıyı indir'i ve koşulları kabul et ve indir'i seçin.

İndirme aracısının ekran görüntüsü.

  1. Microsoft Entra Bağlan Sağlama Aracısı Paketi'nin indirilmesi tamamlandıktan sonra, indirilenler klasörünüzden AAD Bağlan ProvisioningAgentSetup.exe yükleme dosyasını çalıştırın.

Not

ABD Kamu Bulutu için yükleme yaparken:
AAD Bağlan ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Daha fazla bilgi için bkz. "ABD kamu bulutunda aracı yükleme".

  1. Giriş ekranında Lisans ve koşulları kabul ediyorum'u ve ardından Yükle'yi seçin.

Microsoft Entra Bağlan Sağlama Aracısı Paketi giriş ekranını gösteren ekran görüntüsü.

  1. Yükleme işlemi tamamlandıktan sonra yapılandırma sihirbazı başlatılır. Yapılandırmayı başlatmak için İleri'yi seçin. Hoş geldiniz ekranının ekran görüntüsü.
  2. Uzantı Seç ekranında İk temelli sağlama (Workday ve SuccessFactors) / Microsoft Entra Bağlan bulut eşitlemesi'ni seçin ve İleri'ye tıklayın. Uzantı seçme ekranının ekran görüntüsü.

Not

Şirket içi uygulama sağlama ile kullanmak üzere sağlama aracısını yüklüyorsanız Şirket içi uygulama sağlama (Microsoft Uygulama için Entra Id) seçeneğini belirleyin.

  1. Microsoft Entra Global Yönetici istrator veya Karma Kimlik Yönetici istrator hesabınızla oturum açın. Internet Explorer gelişmiş güvenliği etkinleştirdiyseniz oturum açma engellenir. Bu durumda yüklemeyi kapatın, Internet Explorer artırılmış güvenliğini devre dışı bırakın ve Microsoft Entra Bağlan Sağlama Aracısı Paketi yüklemesini yeniden başlatın.

Bağlan Microsoft Entra Id ekranının ekran görüntüsü.

  1. Hizmet Hesabını Yapılandır ekranında bir grup Yönetilen Hizmet Hesabı (gMSA) seçin. Bu hesap aracı hizmetini çalıştırmak için kullanılır. Yönetilen hizmet hesabı etki alanınızda başka bir aracı tarafından zaten yapılandırılmışsa ve ikinci bir aracı yüklüyorsanız, sistem mevcut hesabı algıladığı ve yeni aracı için gMSA hesabını kullanması için gerekli izinleri ekleyeceği için gMSA oluştur'u seçin. İstendiğinde aşağıdakilerden birini seçin:
  • Aracının sizin için provAgentgMSA$ yönetilen hizmet hesabını oluşturmasına olanak tanıyan gMSA oluşturun. Grup tarafından yönetilen hizmet hesabı (örneğin, CONTOSO\provAgentgMSA$) konak sunucusunun katıldığı Aynı Active Directory etki alanında oluşturulur. Bu seçeneği kullanmak için Active Directory etki alanı yöneticisi kimlik bilgilerini girin (önerilir).
  • Özel gMSA kullanın ve bu görev için el ile oluşturduğunuz yönetilen hizmet hesabının adını belirtin.

Devam etmek için İleri’yi seçin.

Hizmet Hesabını Yapılandır ekranının ekran görüntüsü.

  1. Bağlan Active Directory ekranında, etki alanı adınız Yapılandırılan etki alanları altında görünüyorsa sonraki adıma geçin. Aksi takdirde, Active Directory etki alanı adınızı yazın ve Dizin ekle'yi seçin.

  2. Active Directory etki alanı yönetici hesabınızla oturum açın. Etki alanı yöneticisi hesabının süresi dolmuş bir parola olmamalıdır. Parolanın süresinin dolması veya aracı yüklemesi sırasında değişmesi durumunda aracıyı yeni kimlik bilgileriyle yeniden yapılandırmanız gerekir. Bu işlem şirket içi dizininizi ekler. Devam etmek için Tamam'ı ve ardından İleri'yi seçin.

Etki alanı yöneticisi kimlik bilgilerinin nasıl girildiğini gösteren ekran görüntüsü.

  1. Aşağıdaki ekran görüntüsünde yapılandırılmış contoso.com etki alanı örneği gösterilmektedir. Devam etmek için İleri'yi seçin.

Bağlan Active Directory ekranının ekran görüntüsü.

  1. Yapılandırma tamamlandı ekranında Onayla'yı seçin. Bu işlem aracıyı kaydeder ve yeniden başlatır.

  2. Bu işlem tamamlandıktan sonra Aracı yapılandırmanızın başarıyla doğrulandığı size bildirilmelidir. Çıkış'ı seçebilirsiniz.

Bitiş ekranını gösteren ekran görüntüsü.

  1. İlk giriş ekranını almaya devam ediyorsanız Kapat'ı seçin.

Aracı yüklemesini doğrulama

Aracı doğrulaması Azure portalında ve aracıyı çalıştıran yerel sunucuda gerçekleşir.

Azure portal aracısı doğrulaması

Aracının Microsoft Entra Id tarafından kaydedildiğini doğrulamak için şu adımları izleyin:

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID'yi seçin.
  3. Microsoft Entra Bağlan'ı ve ardından Bulut eşitleme'yi seçin.Yeni UX ekranının ekran görüntüsü.
  4. Bulut eşitleme sayfasında yüklediğiniz aracıları görürsünüz. Aracının görüntülendiğini ve durumunun iyi durumda olduğunu doğrulayın.

Yerel sunucuda

Aracının çalıştığını doğrulamak için şu adımları izleyin:

  1. Sunucuda yönetici hesabıyla oturum açın.
  2. Hizmetler'e giderek veya Başlat/Çalıştır/Services.msc adresine giderek Hizmetleri açın.
  3. Hizmetler altında, Microsoft Entra Bağlan Agent Updater ve Microsoft Entra Bağlan Sağlama Aracısı'nın mevcut olduğundan ve durumun Çalışıyor olduğundan emin olun. Windows hizmetlerini gösteren ekran görüntüsü.

Sağlama aracısı sürümünü doğrulama

Aracının sürümünün çalıştığını doğrulamak için şu adımları izleyin:

  1. 'C:\Program Files\Microsoft Azure AD Bağlan Sağlama Aracısı' öğesine gidin
  2. 'AAD Bağlan ProvisioningAgent.exe' öğesine sağ tıklayın ve özellikleri seçin.
  3. Ayrıntılar sekmesine tıklar ve sürüm numarası Ürün sürümü'nin yanında görüntülenir.

Önemli

Aracıyı yükledikten sonra, kullanıcıları eşitlemeye başlamadan önce aracıyı yapılandırmanız ve etkinleştirmeniz gerekir. Yeni bir aracı yapılandırmak için bkz . Microsoft Entra Cloud Sync için yeni yapılandırma oluşturma.

Bulut eşitlemesinde parola geri yazmayı etkinleştirme

SSPR'de parola geri yazmayı doğrudan portalda veya PowerShell aracılığıyla etkinleştirebilirsiniz.

Portalda parola geri yazmayı etkinleştirme

Parola geri yazma özelliğini kullanmak ve self servis parola sıfırlama (SSPR) hizmetini etkinleştirerek bulut eşitleme aracısını algılamak için portalı kullanarak aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yönetici istrator olarak oturum açın.
  2. Sol tarafta Koruma'yı, Parola sıfırlama'yı ve ardından Şirket içi tümleştirme'yi seçin.
  3. Eşitlenmiş kullanıcılar için parola geri yazmayı etkinleştir seçeneğini işaretleyin.
  4. (isteğe bağlı) Microsoft Entra Bağlan sağlama aracıları algılanırsa, Microsoft Entra Cloud Sync ile parolaları geri yazma seçeneğini de de işaretleyebilirsiniz.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.
  6. Hazır olduğunuzda Kaydet'i seçin.

PowerShell’i kullanma

Bulut eşitleme aracısını algılamak üzere parola geri yazma özelliğini kullanmak ve self servis parola sıfırlama (SSPR) hizmetini etkinleştirmek için cmdlet'ini Set-AADCloudSyncPasswordWritebackConfiguration ve kiracının genel yönetici kimlik bilgilerini kullanın:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Microsoft Entra Cloud Sync ile parola geri yazma kullanma hakkında daha fazla bilgi için bkz . Öğretici: Bulut eşitleme self servis parola sıfırlama geri yazmayı şirket içi ortama etkinleştirme.

ABD kamu bulutunda aracı yükleme

Varsayılan olarak, Microsoft Entra sağlama aracısı varsayılan Azure ortamına yüklenir. Aracıyı ABD kamu kullanımı için yüklüyorsanız, önceki yükleme yordamının 7. adımında bu değişikliği yapın:

  • Dosyayı aç'ı seçmek yerine Çalıştırmayı Başlat'ı>seçin ve ardından AAD Bağlan ProvisioningAgentSetup.exe dosyasına gidin. Çalıştır kutusuna yürütülebilir dosyadan sonra ENVIRONMENTNAME=AzureUSGovernment yazın ve Tamam'ı seçin.

    ABD kamu bulutunda aracı yükleme işlemini gösteren ekran görüntüsü.

Bulut eşitleme ile parola karması eşitlemesi ve FIPS

Sunucunuz Federal Bilgi İşleme Standardı'na (FIPS) göre kilitlenmişse, MD5 (ileti özeti algoritması 5) devre dışı bırakılır.

Parola karması eşitlemesi için MD5'i etkinleştirmek için aşağıdakileri yapın:

  1. %programfiles%\Microsoft Azure AD Bağlan Sağlama Aracısı'na gidin.
  2. AAD Bağlan ProvisioningAgent.exe.config dosyasını açın.
  3. Dosyanın üst kısmındaki yapılandırma/çalışma zamanı düğümüne gidin.
  4. <enforceFIPSPolicy enabled="false"/> Düğümü ekleyin.
  5. Değişikliklerinizi kaydedin.

Başvuru için kodunuz aşağıdaki kod parçacığı gibi görünmelidir:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Güvenlik ve FIPS hakkında bilgi için bkz . Microsoft Entra parola karması eşitleme, şifreleme ve FIPS uyumluluğu.

Sonraki adımlar