Kılavuz: Tek bir dizin ormanını tek bir Microsoft Entra kiracısıyla entegre etme

Bu öğretici, Microsoft Entra Cloud Sync kullanarak karma kimlik ortamı oluşturma konusunda size yol gösterir.

Microsoft Entra Cloud Sync akışını gösteren diyagram.

Bu öğreticide oluşturduğunuz ortamı test etmek veya bulut eşitleme hakkında daha fazla bilgi edinmek için kullanabilirsiniz.

Önkoşullar

Microsoft Entra yönetim merkezinde

  • Microsoft, kuruluşların yalnızca bulut tabanlı iki acil durum erişim hesabının kalıcı olarak genel yönetici rolüne atanması gerektiğini önerir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin hesaplarına erişimin yanlışlıkla engellendiği acil durum veya "cam kırma" senaryolarıyla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.
  • Microsoft Entra kiracınıza bir veya daha fazla özel alan adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Şirket içi ortamınızda

  1. Windows Server 2016 veya üzerini, en az 4 GB RAM ve .NET 4.7.1+ çalışma zamanıyla çalıştıran etki alanına katılmış bir konak sunucusunu tanımlayın

  2. Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

    • Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:

      Bağlantı noktası numarası Nasıl kullanılır?
      80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir
      443 Hizmetle ilgili tüm giden iletişimi yönetir
      8080 (isteğe bağlı) Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum portalda görüntülenir.

      Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.

    • Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa *.msappproxy.net ve *.servicebus.windows.net bağlantılarını ekleyin. Aksi takdirde, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

    • Aracılarınızın ilk kayıt için login.windows.net ve login.microsoftonline.com erişimi olmalıdır. Bu URL'ler için güvenlik duvarınızı da açın.

    • Sertifika doğrulaması için şu URL'lerin engelini kaldırın: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 ve www.microsoft.com:80. Bu URL'ler diğer Microsoft ürünleriyle sertifika doğrulaması için kullanıldığından, bu URL'lerin engeli kaldırılmış olabilir.

Microsoft Entra sağlama aracısını yükleme

Temel AD ve Azure ortamı öğreticisini kullanıyorsanız DC1 olacaktır. Aracıyı yüklemek için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.

  2. Sol bölmede Entra Connect'i ve ardından Cloud Sync'i seçin.

    Başlarken ekranını gösteren ekran görüntüsü.

  3. Sol bölmede Aracılar'ı seçin.

  4. Şirket içi aracıyı indir'i ve ardından Koşulları kabul et ve indir'i seçin.

    Aracıyı indirmeyi gösteren ekran görüntüsü.

  5. Microsoft Entra Connect Sağlama Aracısı Paketini indirdikten sonra, indirmeler klasörünüzden AADConnectProvisioningAgentSetup.exe yükleme dosyasını çalıştırın.

  6. Açılan ekranda Lisans hüküm ve koşullarını kabul ediyorum onay kutusunu ve ardından Yükle'yi seçin.

    Microsoft Entra Provisioning Agent Paketi lisanslama koşullarını gösteren ekran görüntüsü.

  7. Yükleme tamamlandıktan sonra yapılandırma sihirbazı açılır. Yapılandırmayı başlatmak için İleri'yi seçin.

    Hoş geldiniz ekranını gösteren ekran görüntüsü.

  8. En azından Karma Kimlik yöneticisi rolüne sahip bir hesapla oturum açın. Internet Explorer gelişmiş güvenliği etkinleştirdiyseniz, oturum açma işlemini engeller. Bu durumda yüklemeyi kapatın, Internet Explorer artırılmış güvenliğini devre dışı bırakın ve Microsoft Entra Sağlama Aracısı Paketi yüklemesini yeniden başlatın.

    Microsoft Entra Id'ye Bağlan ekranını gösteren ekran görüntüsü.

  9. Hizmet Hesabını Yapılandır ekranında bir grup Yönetilen Hizmet Hesabı (gMSA) seçin. Bu hesap aracı hizmetini çalıştırmak için kullanılır. Yönetilen bir hizmet hesabı etki alanınızda başka bir aracı tarafından zaten yapılandırılmışsa ve ikinci bir aracı yüklüyorsanız gMSA oluştur'u seçin. Sistem mevcut hesabı algılar ve yeni aracının gMSA hesabını kullanması için gerekli izinleri ekler. İstendiğinde iki seçenek arasından birini belirleyin:

    • gMSA oluşturma: Aracının sizin için provAgentgMSA$ yönetilen hizmet hesabını oluşturmasına izin verin. Grup tarafından yönetilen hizmet hesabı (örneğin, CONTOSO\provAgentgMSA$), konak sunucusunun katıldığı aynı Active Directory etki alanında oluşturulur. Bu seçeneği kullanmak için Active Directory etki alanı yöneticisi kimlik bilgilerini girin (önerilir).
    • Özel gMSA kullan: Bu görev için el ile oluşturduğunuz yönetilen hizmet hesabının adını belirtin.

    Grup Yönetilen Hizmet Hesabı'nın nasıl yapılandırıldığını gösteren ekran görüntüsü.

  10. Devam etmek için İleri'yi seçin.

  11. Active Directory'ye Bağlan ekranında, etki alanı adınız Yapılandırılan etki alanları altında görünüyorsa sonraki adıma geçin. Aksi takdirde, Active Directory etki alanı adınızı girin ve Dizin ekle'yi seçin.

    Yapılandırılmış etki alanlarını gösteren bir ekran görüntüsü.

  12. Active Directory etki alanı yönetici hesabınızla oturum açın. Etki alanı yöneticisi hesabının süresi dolmuş bir parola olmamalıdır. Parolanın süresi dolduysa veya aracı yüklemesi sırasında değişirse aracıyı yeni kimlik bilgileriyle yeniden yapılandırın. Bu işlem şirket içi dizininizi ekler. Tamam'ı seçin ve ardından devam etmek için İleri'yi seçin.

  13. Devam etmek için İleri'yi seçin.

  14. Yapılandırma tamamlandı ekranında Onayla'yı seçin. Bu işlem aracıyı kaydeder ve yeniden başlatır.

    Bitiş ekranını gösteren ekran görüntüsü.

  15. İşlem tamamlandıktan sonra aracı yapılandırmanızın başarıyla doğrulandığını belirten bir bildirim görürsünüz. Çıkış'ı seçin. İlk ekranı almaya devam ediyorsanız Kapat'ı seçin.

Ajan yüklemesini doğrulayın

Aracı doğrulaması Azure portalında ve aracıyı çalıştıran yerel sunucuda gerçekleşir.

Azure portalında aracıyı doğrulama

Microsoft Entra Id'nin aracıyı kaydettirdiğini doğrulamak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.

  2. Entra Connect'i ve ardından Cloud Sync'i seçin.

    Başlarken ekranını gösteren ekran görüntüsü.

  3. Yüklediğiniz aracıları görmek için Cloud Sync sayfasında Aracılar'a tıklayın. Ajanın göründüğünü ve durumun etkin olduğunu doğrulayın.

Yerel sunucuda aracıyı doğrula

Ajanın çalışmakta olduğunu doğrulamak için şu adımları izleyin:

  1. Sunucuda yönetici hesabıyla oturum açın.

  2. Hizmetler'e gidin. Buna ulaşmak için Start/Run/Services.msc dosyasını da kullanabilirsiniz.

  3. Hizmetler altında, Microsoft Azure AD Connect Aracısı Güncelleştiricisi ve Microsoft Azure AD Connect Sağlama Aracısı'nın mevcut olduğundan ve durumun Çalışıyor olduğundan emin olun.

    Windows hizmetlerini gösteren ekran görüntüsü.

Sağlama aracısı sürümünü doğrulama

Çalışan aracının sürümünü doğrulamak için şu adımları izleyin:

  1. C:\Program Files\Microsoft Azure AD Connect Sağlama Aracısı'na gidin.
  2. AADConnectProvisioningAgent.exe sağ tıklayın ve Özellikler'i seçin.
  3. Ayrıntılar sekmesini seçin. Sürüm numarası, ürün sürümünün yanında görünür.

Microsoft Entra Cloud Sync'i yapılandırma

Sağlamayı yapılandırmak ve başlatmak için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.

  2. Entra ID>Entra Connect>Cloud sync konumuna gidin.

    Microsoft Entra Connect Cloud Sync giriş sayfasını gösteren ekran görüntüsü.

  1. Yeni yapılandırma>Microsoft Entra ID'ye AD eşitleme'yi seçin.
  2. Eşitlemek istediğiniz etki alanını seçin ve Oluştur'u seçin.

Microsoft Entra Cloud Sync'i yapılandırma hakkında daha fazla bilgi için bkz. Microsoft Entra Id'ye Active Directory sağlama.

Kullanıcıların oluşturulduğunu ve eşitlemenin gerçekleştiğini doğrulayın

Şimdi şirket içi dizininizde bulunan ve eşitleme kapsamında olan kullanıcıların eşitlendiğini ve artık Microsoft Entra kiracınızda mevcut olduğunu doğrulayacaksınız. Eşitleme işleminin tamamlanması birkaç saat sürebilir. Kullanıcıların eşitlendiğini doğrulamak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
  2. Entra ID>Users konumuna gidin.
  3. Kiracınızda yeni kullanıcıları gördüğünüzden emin olun

Kullanıcılarınızdan biriyle oturum açmayı test edin

  1. https://myapps.microsoft.com adresine gidin

  2. Kiracınızda oluşturulmuş bir kullanıcı hesabıyla oturum açın. Şu biçimi kullanarak oturum açmanız gerekir: (user@domain.onmicrosoft.com). Kullanıcının şirket içinde oturum açmak için kullandığı parolayı kullanın.

Oturum açmış kullanıcılarla uygulamalarım portalını gösteren ekran görüntüsü.

Artık Microsoft Entra Cloud Sync kullanarak bir karma kimlik ortamını başarıyla yapılandırdıysanız.

Sonraki adımlar

  • Last updated on