Microsoft Entra karma katılım uygulamanızı planlama
şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamınız varsa ve AD DS etki alanına katılmış bilgisayarlarınızı Microsoft Entra ID'ye eklemek istiyorsanız, Microsoft Entra karma katılımını yaparak bu görevi gerçekleştirebilirsiniz.
İpucu
Şirket içi kaynaklara çoklu oturum açma (SSO) erişimi, Microsoft Entra'ya katılmış cihazlar için de kullanılabilir. Daha fazla bilgi için bkz . Şirket içi kaynaklara yönelik SSO, Microsoft Entra'ya katılmış cihazlarda nasıl çalışır?
Önkoşullar
Bu makalede, Microsoft Entra Id'de cihaz kimliği yönetimine giriş hakkında bilgi sahibi olduğunuz varsayılır.
Not
Windows 10 veya daha yeni bir Microsoft Entra karma birleşimi için gereken en düşük etki alanı denetleyicisi (DC) sürümü Windows Server 2008 R2'dir.
Microsoft Entra karmaya katılmış cihazlar, etki alanı denetleyicilerinize düzenli aralıklarla ağ görüş hattı gerektirir. Bu bağlantı olmadan cihazlar kullanılamaz hale gelir.
Etki alanı denetleyicileriniz için görüş çizgisi olmadan kesen senaryolar şunlardır:
- Cihaz parolası değişikliği
- Kullanıcı parolası değişikliği (Önbelleğe alınan kimlik bilgileri)
- Güvenilen Platform Modülü (TPM) sıfırlaması
Uygulamanızı planlayın
Karma Microsoft Entra uygulamanızı planlamak için şunları tanımanız gerekir:
- Desteklenen cihazları gözden geçirme
- Bilmeniz gerekenleri gözden geçirin
- Microsoft Entra karma katılımının hedeflenen dağıtımını gözden geçirin
- Kimlik altyapınıza göre senaryonuzu seçin
- Microsoft Entra karma katılımı için şirket içi Microsoft Windows Server Active Directory kullanıcı asıl adı (UPN) desteğini gözden geçirin
Desteklenen cihazları gözden geçirme
Microsoft Entra karma birleştirme, çok çeşitli Windows cihazlarını destekler.
- Windows 11
- Windows 10
- Windows Server 2016
- Not: Azure Ulusal bulut müşterileri sürüm 1803 gerektirir
- Windows Server 2019
En iyi uygulama olarak Microsoft, Windows'un en son sürümüne yükseltmenizi önerir.
Bilmeniz gerekenleri gözden geçirin
Desteklenmeyen senaryolar
- Etki Alanı Denetleyicisi (DC) rolünü çalıştıran Windows Server için Microsoft Entra karma katılımı desteklenmez.
- Sunucu Çekirdeği işletim sistemi herhangi bir cihaz kaydını desteklemez.
- Kullanıcı Durumu Geçiş Aracı (USMT), cihaz kaydıyla çalışmaz.
İşletim sistemi görüntülemeyle ilgili dikkat edilmesi gerekenler
Sistem Hazırlama Aracı'na (Sysprep) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kaydedilmiş bir cihazdan olmadığından emin olun.
Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kaydedilmiş bir VM'den olmadığından emin olun.
Yeniden başlatma sırasında diskte yapılan değişiklikleri temizleyen Birleşik Yazma Filtresi ve benzer teknolojiler kullanıyorsanız, cihaz Microsoft Entra karmasına katıldıktan sonra uygulanmalıdır. Microsoft Entra karma birleştirme işlemi tamamlanmadan önce bu tür teknolojilerin etkinleştirilmesi, cihazın her yeniden başlatma işleminde bir aradan çıkarılmasını sağlar.
Microsoft Entra kayıtlı durumuyla cihazları işleme
Windows 10 veya daha yeni etki alanına katılmış cihazlarınız kiracınıza kayıtlı Microsoft Entra ise, microsoft Entra karmasına katılmış ve Microsoft Entra kayıtlı cihazın çift durumuna yol açabilir. Bu senaryoya otomatik olarak çözüm getirmek için Windows 10 1803'e (KB4489894 uygulanmış) veya daha yeni bir sürüme yükseltmenizi öneririz. 1803 öncesi sürümlerde, Microsoft Entra karma katılımını etkinleştirmeden önce Microsoft Entra kayıtlı durumunu el ile kaldırmanız gerekir. 1803 ve üzeri sürümlerde, bu ikili durumu önlemek için aşağıdaki değişiklikler yapıldı:
- Bir kullanıcı için var olan Microsoft Entra kayıtlı durumları, cihaz Microsoft Entra karmaya katıldıktan ve aynı kullanıcı oturum açtığında otomatik olarak kaldırılır. Örneğin, A Kullanıcısının cihazda Microsoft Entra'ya kayıtlı durumu varsa bu kullanıcının çift durumu ancak cihazda oturum açtığında temizlenir. Aynı cihazda birden çok kullanıcı varsa, bu kullanıcılar oturum açtığınızda çift durum tek tek temizlenir. Bir yönetici Microsoft Entra kayıtlı durumunu kaldırdıktan sonra, kayıt otomatik kayıt yoluyla Microsoft Entra kaydının bir parçası olarak gerçekleştiyse Windows 10 cihazın Intune kaydını veya diğer mobil cihaz yönetiminin (MDM) kaydını kaldırır.
- Cihazdaki herhangi bir yerel hesapta Microsoft Entra kayıtlı durumu bu değişiklikten etkilenmez. Yalnızca etki alanı hesapları için geçerlidir. Yerel hesaplarda Microsoft Entra kayıtlı durumu, kullanıcı bir etki alanı kullanıcısı olmadığından, kullanıcı oturum açma sonrasında bile otomatik olarak kaldırılmaz.
- HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:"BlockAADWorkplaceJoin"=dword:00000001 öğesine aşağıdaki kayıt defteri değerini ekleyerek etki alanına katılmış cihazınızın Microsoft Entra kayıtlı olmasını engelleyebilirsiniz.
- Windows 10 1803'te, İş İçin Windows Hello yapılandırdıysanız kullanıcının çift durumlu temizlemeden sonra İş İçin Windows Hello yeniden yapılandırması gerekir. Bu sorun KB4512509 ile giderildi.
Not
Windows 10 ve Windows 11, Microsoft Entra kayıtlı durumunu yerel olarak otomatik olarak kaldırsa da, Intune tarafından yönetiliyorsa Microsoft Entra Id'deki cihaz nesnesi hemen silinmez. dsregcmd /status komutunu çalıştırarak Microsoft Entra kayıtlı durumunun kaldırılmasını doğrulayabilir ve buna bağlı olarak cihazın Microsoft Entra kayıtlı olmadığını düşünebilirsiniz.
Tek orman, birden çok Microsoft Entra kiracısı için Microsoft Entra karma katılımı
Cihazları ilgili kiracılara Microsoft Entra karma katılımı olarak kaydetmek için, kuruluşların Hizmet Bağlan Ion Point (SCP) yapılandırmasının Microsoft Windows Server Active Directory'de değil cihazlarda yapıldığından emin olması gerekir. Bu görevin nasıl yerine getirileceği hakkında daha fazla bilgi için Microsoft Entra karma birleştirme hedefli dağıtımı makalesinde bulabilirsiniz. Kuruluşların belirli Microsoft Entra özelliklerinin tek bir ormanda, birden çok Microsoft Entra kiracı yapılandırmasında çalışmadığını anlaması önemlidir.
- Cihaz geri yazma çalışmıyor. Bu yapılandırma, AD FS kullanılarak birleştirilmiş şirket içi uygulamalar için Cihaz Tabanlı Koşullu Erişimi etkiler. Bu yapılandırma, Karma Sertifika Güveni modeli kullanılırken İş İçin Windows Hello dağıtımı da etkiler.
- Gruplar geri yazma çalışmıyor. Bu yapılandırma, Office 365 Gruplarının Exchange'in yüklü olduğu bir ormana geri yazmayı etkiler.
- Sorunsuz SSO çalışmıyor. Bu yapılandırma, Windows 10 uzantısı olmadan Firefox, Safari veya Chrome ile iOS veya Linux gibi tarayıcı platformlarını kullanan kuruluşlarda SSO senaryolarını etkiler.
- Şirket içi Microsoft Entra Parola Koruması çalışmaz. Bu yapılandırma, Microsoft Entra Id'de depolanan aynı genel ve özel yasaklanmış parola listelerini kullanarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicilerine karşı parola değişiklikleri ve parola sıfırlama olaylarının yapılabilmesini etkiler.
Dikkat edilecek diğer noktalar
Ortamınız sanal masaüstü altyapısı (VDI) kullanıyorsa bkz . Cihaz kimliği ve masaüstü sanallaştırma.
Microsoft Entra karma katılımı Federal Bilgi İşleme Standardı (FIPS) uyumlu TPM 2.0 için desteklenir ve TPM 1.2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1.2 varsa, Microsoft Entra karma katılımına devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan TPM'ler için FIPS modunu devre dışı bırakmak için herhangi bir araç sağlamaz. Destek için donanım OEM'inize başvurun.
Windows 10 1903 sürümünden başlayarak, TPM'ler 1.2 Microsoft Entra karma katılımı ile kullanılmaz ve bu TPM'lere sahip cihazlar TPM'leri yok gibi değerlendirilir.
UPN değişiklikleri yalnızca Windows 10 2004 güncelleştirmesi başlatılırken desteklenir. Windows 10 2004 güncelleştirmesi öncesinde cihazlar için, kullanıcıların cihazlarında SSO ve Koşullu Erişim sorunları olabilir. Bu sorunu çözmek için Microsoft Entra ID'den cihaza katılmayı kaldırmanız (yükseltilmiş ayrıcalıklarla "dsregcmd /leave" komutunu çalıştırmanız) ve yeniden katılmanız (otomatik olarak gerçekleşir) gerekir. Ancak, İş İçin Windows Hello ile oturum açmış olan kullanıcılar bu sorunla karşılaşmaz.
Hedeflenen Microsoft Entra karma katılımını gözden geçirin
Kuruluşlar, tüm kuruluşları için etkinleştirmeden önce Microsoft Entra karma katılımının hedefli bir dağıtımını yapmak isteyebilir. Bunu nasıl gerçekleştireceklerini anlamak için Microsoft Entra karma katılımı hedeflenen dağıtım makalesini gözden geçirin.
Uyarı
Kuruluşlar, pilot gruplarındaki farklı rollerden ve profillerden bir kullanıcı örneği içermelidir. Hedeflenen bir dağıtım, tüm kuruluş için etkinleştirmeden önce planınızın ele almamış olabileceği sorunları belirlemenize yardımcı olur.
Kimlik altyapınıza göre senaryonuzu seçin
Microsoft Entra karma birleştirme, UPN'nin yönlendirilebilir veya yönlendirilemez olmasına bağlı olarak hem yönetilen hem de federasyon ortamlarıyla çalışır. Desteklenen senaryolar hakkında tablo için sayfanın en altına bakın.
Yönetilen ortam
Yönetilen ortam, Sorunsuz çoklu oturum açma ile Parola Karması Eşitleme (PHS) veya Geçiş Kimlik Doğrulaması (PTA) aracılığıyla dağıtılabilir.
Bu senaryolar, kimlik doğrulaması (AuthN) için bir federasyon sunucusu yapılandırmanızı gerektirmez.
Not
Aşamalı dağıtım kullanılarak bulut kimlik doğrulaması yalnızca Windows 10 1903 güncelleştirmesinde başlayarak desteklenir.
Federasyon ortamı
Federasyon ortamı, aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısına sahip olmalıdır. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan bir federasyon ortamınız varsa aşağıdaki gereksinimler zaten desteklenir.
WS-Trust protokolü: Bu protokol, Windows'un geçerli Microsoft Entra karma katılmış cihazlarının kimliğini Microsoft Entra Kimliği ile doğrulamak için gereklidir. AD FS kullanırken aşağıdaki WS-Trust uç noktalarını etkinleştirmeniz gerekir:
/adfs/services/trust/2005/windowstransport
/adfs/services/trust/13/windowstransport
/adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Uyarı
Hem adfs/services/trust/2005/windowstransport veya adfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulama Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır. WS-Trust Windows uç noktalarını devre dışı bırakma hakkında daha fazla bilgi edinmek için bkz . Ara sunucuda WS-Trust Windows uç noktalarını devre dışı bırakma. Hizmet>Uç Noktaları altındaki AD FS yönetim konsolu aracılığıyla hangi uç noktaların etkinleştirildiğini görebilirsiniz.
1.1.819.0 sürümünden itibaren Microsoft Entra Bağlan, Microsoft Entra karma katılımını yapılandırmanıza yönelik bir sihirbaz sağlar. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirebilmenizi sağlar. Microsoft Entra Bağlan'nin gerekli sürümünü yüklemek sizin için bir seçenek değilse bkz. Cihaz kaydını el ile yapılandırma. contoso.com onaylanmış bir özel etki alanı olarak kayıtlıysa, eşitlenmiş şirket içi AD DS UPN soneki test.contoso.com gibi bir alt etki alanında olsa bile kullanıcılar PRT alabilir.
Microsoft Entra karma katılımı için şirket içi Microsoft Windows Server Active Directory kullanıcıları UPN desteğini gözden geçirin
- Yönlendirilebilir kullanıcılar UPN'leri: Yönlendirilebilir UPN'nin, bir etki alanı kayıt şirketine kayıtlı geçerli bir doğrulanmış etki alanı vardır. Örneğin, contoso.com Microsoft Entra Id'deki birincil etki alanıysa, contoso.org Contoso'ya ait olan ve Microsoft Entra Id'de doğrulanan şirket içi AD'deki birincil etki alanıdır.
- Yönlendirilemeyen kullanıcılar UPN'leri: Yönlendirilemeyen bir UPN'nin doğrulanmış bir etki alanı yoktur ve yalnızca kuruluşunuzun özel ağı içinde geçerlidir. Örneğin, contoso.com Microsoft Entra Id'deki birincil etki alanıysa ve contoso.local şirket içi AD'deki birincil etki alanıysa ancak İnternet'te doğrulanabilir bir etki alanı değilse ve yalnızca Contoso'nun ağında kullanılıyorsa.
Not
Bu bölümdeki bilgiler yalnızca şirket içi kullanıcıların UPN'leri için geçerlidir. Şirket içi bilgisayar etki alanı soneki için geçerli değildir (örnek: bilgisayar1.contoso.local).
Aşağıdaki tabloda, Windows 10 Microsoft Entra karma birleştirmesindeki bu şirket içi Microsoft Windows Server Active Directory UPN'leri için destekle ilgili ayrıntılar sağlanır:
| Şirket içi Microsoft Windows Server Active Directory UPN türü | Etki alanı türü | Windows 10 sürümü | Açıklama |
|---|---|---|---|
| Yönlendirilebilir | Federe | 1703 sürümünden itibaren | Genel kullanılabilir |
| Yönlendirilemeyen | Federe | 1803 sürümünden itibaren | Genel kullanılabilir |
| Yönlendirilebilir | Yönetilen | 1803 sürümünden itibaren | Genel kullanıma sunulan Windows kilit ekranındaki Microsoft Entra SSPR, şirket içi UPN'nin Microsoft Entra UPN'den farklı olduğu ortamlarda desteklenmez. Şirket içi UPN, Microsoft Entra Id'de özniteliğiyle onPremisesUserPrincipalName eşitlenmelidir |
| Yönlendirilemeyen | Yönetilen | Desteklenmez |