Microsoft Entra Bulut Eşitleme önkoşulları
Bu makalede, kimlik çözümünüz olarak Microsoft Entra Cloud Sync'i seçme ve kullanma hakkında yönergeler sağlanır.
Bulut sağlama aracısı gereksinimleri
Microsoft Entra Cloud Sync'i kullanmak için aşağıdakilere ihtiyacınız vardır:
- Aracı hizmetini çalıştırmak için Microsoft Entra Bağlan bulut eşitleme gMSA'sını (grup tarafından yönetilen hizmet hesabı) oluşturmak için etki alanı Yönetici istrator veya Enterprise Yönetici istrator kimlik bilgileri.
- Microsoft Entra kiracınız için konuk kullanıcı olmayan bir karma kimlik yöneticisi hesabı.
- Windows 2016 veya sonraki bir sürüme sahip sağlama aracısı için şirket içi sunucu. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır. Aracıyı bir etki alanı denetleyicisine yüklemek desteklenir.
- Yüksek kullanılabilirlik, Microsoft Entra Cloud Sync'in uzun bir süre hata olmadan sürekli çalışma olanağını ifade eder. Birden çok etkin aracı yüklenip çalıştırıldığında, bir aracı başarısız olsa bile Microsoft Entra Cloud Sync çalışmaya devam edebilir. Microsoft, yüksek kullanılabilirlik için 3 etkin aracının yüklü olmasını önerir.
- Şirket içi güvenlik duvarı yapılandırmaları.
Grup Tarafından Yönetilen Hizmet Hesapları
Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Bu hesabı oluşturmak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Hesap olarak domain\provAgentgMSA$
görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.
gMSA için önkoşullar
- gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
- Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .
- Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
- Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.
Özel gMSA hesabı
Özel bir gMSA hesabı oluşturuyorsanız, hesabın aşağıdaki izinlere sahip olduğundan emin olmanız gerekir.
Tür | Veri Akışı Adı | Access | Uygulandığı Öğe |
---|---|---|---|
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Alt cihaz nesneleri |
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Descendant InetOrgPerson nesneleri |
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Alt Bilgisayar nesneleri |
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Descendant foreignSecurityPrincipal nesneleri |
İzin Ver | gMSA Hesabı | Tam denetim | Alt Grup nesneleri |
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Alt Kullanıcı nesneleri |
İzin Ver | gMSA Hesabı | Tüm özellikleri okuma | Alt Kişi nesneleri |
İzin Ver | gMSA Hesabı | Kullanıcı nesnelerini oluşturma/silme | Bu nesne ve tüm alt nesneler |
Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları.
Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış.
Microsoft Entra yönetim merkezinde
- Microsoft Entra kiracınızda yalnızca bulutta karma kimlik yönetici hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz hale gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik yöneticisi hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmediğinden emin olmak için kritik öneme sahiptir.
- Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.
Active Directory'deki dizininizde
Dizin özniteliklerini eşitlemeye hazırlamak için IdFix aracını çalıştırın.
Şirket içi ortamınızda
- En az 4 GB RAM ve .NET 4.7.1+ çalışma zamanı ile Windows Server 2016 veya üzerini çalıştıran etki alanına katılmış bir konak sunucusunu belirleyin.
- Yerel sunucudaki PowerShell yürütme ilkesi Undefined veya RemoteSigned olarak ayarlanmalıdır.
- Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa aşağıdaki Güvenlik duvarı ve ara sunucu gereksinimleri bölümüne bakın.
Not
Bulut sağlama aracısını Windows Server Core'a yüklemek desteklenmez.
Ek gereksinimler
- En düşük Microsoft .NET Framework 4.7.1
TLS gereksinimleri
Not
Aktarım Katmanı Güvenliği (TLS), güvenli iletişim sağlayan bir protokoldür. TLS ayarlarının değiştirilmesi tüm ormanı etkiler. Daha fazla bilgi için bkz . Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.
Microsoft Entra Bağlan bulut sağlama aracısını barındıran Windows sunucusunda yüklemeden önce TLS 1.2 etkinleştirilmelidir.
TLS 1.2'yi etkinleştirmek için aşağıdaki adımları izleyin.
İçeriği bir .reg dosyasına kopyalayıp dosyayı çalıştırarak aşağıdaki kayıt defteri anahtarlarını ayarlayın (sağ tıklayıp Birleştir'i seçin):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Sunucuyu yeniden başlatın.
Güvenlik duvarı ve Proxy gereksinimleri
Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:
Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:
Bağlantı noktası numarası Nasıl kullanılır? 80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir. 443 Hizmetle tüm giden iletişimi işler. 8080 (isteğe bağlı) Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde gösterilir. Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.
Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa, bağlantılar ekleyin:
URL | Nasıl kullanılır? |
---|---|
*.msappproxy.net *.servicebus.windows.net |
Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Aracı sertifikaları doğrulamak için bu URL'leri kullanır. |
login.windows.net |
Aracı, kayıt işlemi sırasında bu URL'leri kullanır. |
NTLM gereksinimi
Microsoft Entra sağlama aracısını çalıştıran Windows Server'da NTLM'yi etkinleştirmemelisiniz ve etkinleştirildiyse devre dışı bırakmanız gerekir.
Bilinen sınırlamalar
Bilinen sınırlamalar şunlardır:
Delta Eşitleme
- Delta eşitleme için grup kapsamı filtrelemesi 50.000'den fazla üyeyi desteklemez.
- Bir grup kapsam filtresinin parçası olarak kullanılan bir grubu sildiğinizde, grubun üyesi olan kullanıcılar silinmez.
- Kapsamdaki OU veya grubu yeniden adlandırdığınızda, delta eşitlemesi kullanıcıları kaldırmaz.
Sağlama Günlükleri
- Sağlama günlükleri oluşturma ve güncelleştirme işlemleri arasında net bir ayrım yapmaz. Bir güncelleştirme için oluşturma işlemi ve oluşturma için bir güncelleştirme işlemi görebilirsiniz.
Grup yeniden adlandırma veya OU yeniden adlandırma
- Ad'da belirli bir yapılandırma kapsamındaki bir grubu veya OU'nun adını değiştirirseniz, bulut eşitleme işi AD'deki ad değişikliğini tanıyamaz. İş karantinaya alınmayacak ve sağlıklı kalacak.
Kapsam filtresi
OU kapsam filtresi kullanılırken
- Belirli bir yapılandırma için en fazla 59 ayrı OU veya Güvenlik Grubu eşitleyebilirsiniz.
- İç içe OU'lar desteklenir (yani, 130 iç içe OU'su olan bir OU'yu eşitleyebilirsiniz, ancak aynı yapılandırmada 60 ayrı OU'yu eşitleyemezsiniz).
Parola Karması Eşitleme
- InetOrgPerson ile parola karması eşitlemesi kullanılması desteklenmez.