Hibrit Azure AD'ye katılımı yapılandırma

Cihazlarınızı Azure AD getirmek, bulut ve şirket içi kaynaklarınızda çoklu oturum açma (SSO) aracılığıyla kullanıcı üretkenliğini en üst düzeye çıkarır. Koşullu Erişim ile kaynaklarınıza erişimin güvenliğini aynı anda sağlayabilirsiniz.

Önkoşullar

  • Azure AD Connect sürüm 1.1.819.0 veya üzeri.
    • Azure AD Connect eşitleme yapılandırmanızın varsayılan cihaz özniteliklerini dışlama. Azure AD ile eşitlenen varsayılan cihaz öznitelikleri hakkında daha fazla bilgi edinmek için bkz. Azure AD Connect tarafından eşitlenen öznitelikler.
    • Karma Azure AD birleştirmek istediğiniz cihazların bilgisayar nesneleri belirli kuruluş birimlerine (OU) aitse, Azure AD Connect'te eşitlenecek doğru OU'ları yapılandırın. Azure AD Connect kullanarak bilgisayar nesnelerini eşitleme hakkında daha fazla bilgi edinmek için bkz. Kuruluş birimi tabanlı filtreleme.
  • Azure AD kiracınız için Genel Yönetici kimlik bilgileri.
  • şirket içi Active Directory Etki Alanı Hizmetleri ormanlarının her biri için kuruluş yöneticisi kimlik bilgileri.
  • (Federasyon etki alanları için) Active Directory Federasyon Hizmetleri (AD FS) yüklü en az Windows Server 2012 R2.
  • Kullanıcılar cihazlarını Azure AD kaydedebilir. Bu ayar hakkında daha fazla bilgi, Cihaz ayarlarını yapılandırma makalesinin Cihaz ayarlarını yapılandırma başlığı altında bulunabilir.

Ağ bağlantısı gereksinimleri

Hibrit Azure AD'ye katılım cihazların kuruluşunuzun ağındaki şu Microsoft kaynaklarına erişim sağlamasını gerektirir:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Sorunsuz SSO kullanıyorsanız veya kullanmayı planlıyorsanız)
  • Kuruluşunuzun Güvenlik Belirteci Hizmeti (STS) (Federasyon etki alanları için)

Uyarı

Kuruluşunuz veri kaybı önleme veya kiracı kısıtlamaları Azure AD gibi senaryolar için SSL trafiğini kesen proxy sunucuları kullanıyorsa, bu URL'lere gelen trafiğin TLS kesme ve inceleme dışında bırakıldığından emin olun. Bu URL'lerin dışlanmaması istemci sertifikası kimlik doğrulamasıyla etkileşime neden olabilir, cihaz kaydı ve cihaz tabanlı Koşullu Erişim ile ilgili sorunlara neden olabilir.

Kuruluşunuz giden ara sunucu aracılığıyla İnternet'e erişim gerektiriyorsa, Azure AD ile cihaz kaydı için Windows 10 veya daha yeni bilgisayarları etkinleştirmek için Web Proxy Otomatik Bulma'yı (WPAD) kullanabilirsiniz. WPAD'i yapılandırma ve yönetme sorunlarını gidermek için bkz. Otomatik Algılama Sorunlarını Giderme.

WPAD kullanmıyorsanız, bilgisayarınızda WinHTTP proxy ayarlarını 1709'Windows 10 başlayan bir grup ilkesi Nesnesi (GPO) ile yapılandırabilirsiniz. Daha fazla bilgi için bkz. GPO tarafından dağıtılan WinHTTP Proxy Ayarları.

Not

Bilgisayarınızda ara sunucu ayarlarını WinHTTP ayarlarını kullanarak yapılandırdığınızda, yapılandırılan ara sunucuya bağlanabilen bilgisayarlar İnternet'e bağlanamaz.

Kuruluşunuz kimliği doğrulanmış bir giden ara sunucu aracılığıyla İnternet'e erişim gerektiriyorsa, Windows 10 veya daha yeni bilgisayarlarınızın giden proxy'de başarıyla kimlik doğrulaması yapabilmesini sağlayın. Windows 10 veya daha yeni bilgisayarlar makine bağlamı kullanarak cihaz kaydını çalıştırdığından, makine bağlamı kullanarak giden ara sunucu kimlik doğrulamasını yapılandırın. Yapılandırma gereksinimleri için giden bağlantı proxy'si sağlayıcınızı izleyin.

Cihaz Kaydı Bağlantısını Test Et betiğini kullanarak cihazların sistem hesabı altında gerekli Microsoft kaynaklarına erişebildiğini doğrulayın.

Yönetilen etki alanları

Çoğu kuruluşun yönetilen etki alanlarıyla karma Azure AD katılacağını düşünüyoruz. Yönetilen etki alanları, sorunsuz çoklu oturum açma ile parola karması eşitleme (PHS) veya doğrudan kimlik doğrulaması (PTA) kullanır. Yönetilen etki alanı senaryoları için federasyon sunucusunun yapılandırılması gerekmez.

Yönetilen bir etki alanı için Azure AD Connect kullanarak karma Azure AD katılımını yapılandırın:

  1. Bağlan Azure AD başlatın ve yapılandır'ı seçin.

  2. Ek görevler bölümünde Cihaz seçeneklerini yapılandır'ı ve ardından İleri'yi seçin.

  3. Genel Bakış'taİleri'yi seçin.

  4. Azure AD bağlan bölümünde, Azure AD kiracınız için Genel Yöneticinin kimlik bilgilerini girin.

  5. Cihaz seçenekleri'ndeKarma Azure AD katılmayı yapılandır'ı ve ardından İleri'yi seçin.

  6. Cihaz işletim sistemleri bölümünde, Active Directory ortamınızdaki cihazların kullandığı işletim sistemlerini seçin ve ardından İleri'yi seçin.

  7. SCP yapılandırmasında, SCP'yi yapılandırmak için Bağlan'ı Azure AD istediğiniz her orman için aşağıdaki adımları tamamlayın ve İleri'yi seçin.

    1. Orman'ı seçin.
    2. Bir Kimlik Doğrulama Hizmeti seçin.
    3. Kuruluş yöneticisi kimlik bilgilerini girmek için Ekle'yi seçin.

    Azure AD Connect SCP yapılandırması yönetilen etki alanı

  8. Yapılandırmaya hazır bölümünde Yapılandır'ı seçin.

  9. Yapılandırma tamamlandı bölümündeÇıkış'ı seçin.

Federasyon etki alanları

Federasyon ortamında aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısı olmalıdır. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan bir federasyon ortamınız varsa, aşağıdaki gereksinimler zaten desteklenmektedir.

  • WIAORMULTIAUTHN talebi: Bu talep, Windows alt düzey cihazlarda karma Azure AD katılmak için gereklidir.
  • WS-Güven protokolü: Bu protokol, Windows'un geçerli karma Azure AD katılmış cihazlarının kimliğini Azure AD ile doğrulamak için gereklidir. AD FS kullanırken aşağıdaki WS-Trust uç noktalarını etkinleştirmeniz gerekir:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Uyarı

Hem adfs/services/trust/2005/windowstransport ve adfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulama Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır. WS-Trust Windows uç noktalarını devre dışı bırakma hakkında daha fazla bilgi edinmek için bkz. Ara sunucuda WS-Trust Windows uç noktalarını devre dışı bırakma. Hizmet>Uç Noktaları'nın altındaki AD FS yönetim konsolu aracılığıyla hangi uç noktaların etkinleştirildiğini görebilirsiniz.

Federasyon ortamı için Azure AD Connect kullanarak karma Azure AD birleştirmeyi yapılandırın:

  1. Bağlan Azure AD başlatın ve yapılandır'ı seçin.

  2. Ek görevler sayfasında Cihaz seçeneklerini yapılandır'ı ve ardından İleri'yi seçin.

  3. Genel Bakış sayfasında İleri'yi seçin.

  4. Azure AD bağlan sayfasında, Azure AD kiracınızın Genel Yöneticisinin kimlik bilgilerini girin ve İleri'yi seçin.

  5. Cihaz seçenekleri sayfasında Karma Azure AD katılmayı yapılandır'ı ve ardından İleri'yi seçin.

  6. SCP sayfasında aşağıdaki adımları tamamlayın ve İleri'yi seçin:

    1. Ormanı seçin.
    2. Kimlik doğrulama hizmetini seçin. Kuruluşunuzda yalnızca Windows 10 veya daha yeni istemciler yoksa ve bilgisayar/cihaz eşitlemeyi yapılandırdıysanız veya kuruluşunuz sorunsuz SSO kullanmıyorsa AD FS sunucusunu seçmeniz gerekir.
    3. Kuruluş yöneticisi kimlik bilgilerini girmek için Ekle'yi seçin.

    Azure AD SCP yapılandırması federasyon etki alanını bağlama

  7. Cihaz işletim sistemleri sayfasında, Active Directory ortamınızdaki cihazların kullandığı işletim sistemlerini seçin ve ardından İleri'yi seçin.

  8. Federasyon yapılandırması sayfasında AD FS yöneticinizin kimlik bilgilerini girin ve İleri'yi seçin.

  9. Yapılandırmaya hazır sayfasında Yapılandır'ı seçin.

  10. Yapılandırma tamamlandı sayfasında Çıkış'ı seçin.

Federasyon uyarıları

Windows 10 1803 veya daha yeni bir sürümle, AD FS kullanarak federasyon ortamı için anlık karma Azure AD birleştirme başarısız olursa, bilgisayar nesnesini karma Azure AD birleştirme için cihaz kaydını tamamlamak için kullanılan Azure AD eşitlemek için Azure AD Connect kullanırız.

Diğer senaryolar

Kuruluşlar karma Azure AD tam bir dağıtımdan önce ortamlarının bir alt kümesinde test edebilir. Hedeflenen dağıtımı tamamlama adımları Karma Azure AD hedeflenen dağıtımı birleştirme makalesinde bulunabilir. Kuruluşlar, bu pilot gruptaki farklı rol ve profillerden bir kullanıcı örneği içermelidir. Hedeflenen bir dağıtım, tüm kuruluş için etkinleştirmeden önce planınızın ele almamış olabileceği sorunları belirlemenize yardımcı olur.

Bazı kuruluşlar AD FS'yi yapılandırmak için Azure AD Connect'i kullanamayabilir. Talepleri el ile yapılandırma adımları Karma Azure Active Directory katılımını el ile yapılandırma makalesinde bulunabilir.

Kamu bulutu

Azure Kamu'deki kuruluşlar için karma Azure AD katılma, cihazların kuruluşunuzun ağı içinden aşağıdaki Microsoft kaynaklarına erişmesini gerektirir:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Sorunsuz SSO kullanıyorsanız veya kullanmayı planlıyorsanız)

Karma Azure AD katılma sorunlarını giderme

Etki alanına katılmış Windows cihazları için karma Azure AD katılımı tamamlamayla ilgili sorunlarla karşılaşıyorsanız bkz:

Sonraki adımlar