Microsoft Entra Bulut Eşitleme önkoşulları

Bu makalede, kimlik çözümünüz olarak Microsoft Entra Cloud Sync'i seçme ve kullanma hakkında yönergeler sağlanır.

Bulut sağlama aracısı gereksinimleri

Microsoft Entra Cloud Sync'i kullanmak için aşağıdakilere ihtiyacınız vardır:

• Aracı hizmetini çalıştırmak için Microsoft Entra Bağlan bulut eşitleme gMSA'sını (grup tarafından yönetilen hizmet hesabı) oluşturmak için etki alanı Yönetici istrator veya Enterprise Yönetici istrator kimlik bilgileri.
• Microsoft Entra kiracınız için konuk kullanıcı olmayan bir karma kimlik yöneticisi hesabı.
• Windows 2016 veya sonraki bir sürüme sahip sağlama aracısı için şirket içi sunucu. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır. Aracıyı bir etki alanı denetleyicisine yüklemek desteklenir.
• Yüksek kullanılabilirlik, Microsoft Entra Cloud Sync'in uzun bir süre hata olmadan sürekli çalışma olanağını ifade eder. Birden çok etkin aracı yüklenip çalıştırıldığında, bir aracı başarısız olsa bile Microsoft Entra Cloud Sync çalışmaya devam edebilir. Microsoft, yüksek kullanılabilirlik için 3 etkin aracının yüklü olmasını önerir.
• Şirket içi güvenlik duvarı yapılandırmaları.

Grup Tarafından Yönetilen Hizmet Hesapları

Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Bu hesabı oluşturmak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Hesap olarak domain\provAgentgMSA$görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.

gMSA için önkoşullar

1. gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
2. Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .
3. Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
4. Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.

Özel gMSA hesabı

Özel bir gMSA hesabı oluşturuyorsanız, hesabın aşağıdaki izinlere sahip olduğundan emin olmanız gerekir.

Tür	Veri Akışı Adı	Access	Uygulandığı Öğe
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt cihaz nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant InetOrgPerson nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Bilgisayar nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant foreignSecurityPrincipal nesneleri
İzin Ver	gMSA Hesabı	Tam denetim	Alt Grup nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kullanıcı nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kişi nesneleri
İzin Ver	gMSA Hesabı	Kullanıcı nesnelerini oluşturma/silme	Bu nesne ve tüm alt nesneler

Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları.

Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış.

Microsoft Entra yönetim merkezinde

1. Microsoft Entra kiracınızda yalnızca bulutta karma kimlik yönetici hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz hale gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik yöneticisi hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmediğinden emin olmak için kritik öneme sahiptir.
2. Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Active Directory'deki dizininizde

Dizin özniteliklerini eşitlemeye hazırlamak için IdFix aracını çalıştırın.

Şirket içi ortamınızda

1. En az 4 GB RAM ve .NET 4.7.1+ çalışma zamanı ile Windows Server 2016 veya üzerini çalıştıran etki alanına katılmış bir konak sunucusunu belirleyin.
2. Yerel sunucudaki PowerShell yürütme ilkesi Undefined veya RemoteSigned olarak ayarlanmalıdır.
3. Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa aşağıdaki Güvenlik duvarı ve ara sunucu gereksinimleri bölümüne bakın.

Not

Bulut sağlama aracısını Windows Server Core'a yüklemek desteklenmez.

Ek gereksinimler

• En düşük Microsoft .NET Framework 4.7.1

TLS gereksinimleri

Not

Aktarım Katmanı Güvenliği (TLS), güvenli iletişim sağlayan bir protokoldür. TLS ayarlarının değiştirilmesi tüm ormanı etkiler. Daha fazla bilgi için bkz . Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.

Microsoft Entra Bağlan bulut sağlama aracısını barındıran Windows sunucusunda yüklemeden önce TLS 1.2 etkinleştirilmelidir.

TLS 1.2'yi etkinleştirmek için aşağıdaki adımları izleyin.

1. İçeriği bir .reg dosyasına kopyalayıp dosyayı çalıştırarak aşağıdaki kayıt defteri anahtarlarını ayarlayın (sağ tıklayıp Birleştir'i seçin):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Sunucuyu yeniden başlatın.

Güvenlik duvarı ve Proxy gereksinimleri

Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

• Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:

  Bağlantı noktası numarası	Nasıl kullanılır?
  80	TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir.
  443	Hizmetle tüm giden iletişimi işler.
  8080 (isteğe bağlı)	Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde gösterilir.

• Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.

• Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa, bağlantılar ekleyin:

Genel Bulut

URL	Nasıl kullanılır?
*.msappproxy.net *.servicebus.windows.net	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.net	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

ABD Kamu Bulutu

URL	Nasıl kullanılır?
*.msappproxy.us *.servicebus.usgovcloudapi.net	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

• Bağlantı ekleyemiyorsanız, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

NTLM gereksinimi

Microsoft Entra sağlama aracısını çalıştıran Windows Server'da NTLM'yi etkinleştirmemelisiniz ve etkinleştirildiyse devre dışı bırakmanız gerekir.

Bilinen sınırlamalar

Bilinen sınırlamalar şunlardır:

Delta Eşitleme

• Delta eşitleme için grup kapsamı filtrelemesi 50.000'den fazla üyeyi desteklemez.
• Bir grup kapsam filtresinin parçası olarak kullanılan bir grubu sildiğinizde, grubun üyesi olan kullanıcılar silinmez.
• Kapsamdaki OU veya grubu yeniden adlandırdığınızda, delta eşitlemesi kullanıcıları kaldırmaz.

Sağlama Günlükleri

• Sağlama günlükleri oluşturma ve güncelleştirme işlemleri arasında net bir ayrım yapmaz. Bir güncelleştirme için oluşturma işlemi ve oluşturma için bir güncelleştirme işlemi görebilirsiniz.

Grup yeniden adlandırma veya OU yeniden adlandırma

• Ad'da belirli bir yapılandırma kapsamındaki bir grubu veya OU'nun adını değiştirirseniz, bulut eşitleme işi AD'deki ad değişikliğini tanıyamaz. İş karantinaya alınmayacak ve sağlıklı kalacak.

Kapsam filtresi

OU kapsam filtresi kullanılırken

• Belirli bir yapılandırma için en fazla 59 ayrı OU veya Güvenlik Grubu eşitleyebilirsiniz.
• İç içe OU'lar desteklenir (yani, 130 iç içe OU'su olan bir OU'yu eşitleyebilirsiniz, ancak aynı yapılandırmada 60 ayrı OU'yu eşitleyemezsiniz).

Parola Karması Eşitleme

• InetOrgPerson ile parola karması eşitlemesi kullanılması desteklenmez.

Sonraki adımlar

• Sağlama nedir?
• Microsoft Entra Bulut Eşitleme nedir?