Mevcut bir eşitlenmiş AD ormanı için Microsoft Entra Cloud Sync'e geçiş

  • Makale

Bu öğretici, Microsoft Entra Bağlan Sync kullanılarak zaten eşitlenmiş bir test Active Directory ormanı için bulut eşitlemeye nasıl geçiş yapacağınızı gösterir.

Not

Bu makalede temel geçiş bilgileri sağlanır ve üretim ortamınızı geçirmeyi denemeden önce Bulut eşitlemesine geçiş belgelerini gözden geçirmeniz gerekir.

Microsoft Entra Cloud Sync akışını gösteren diyagram.

Dikkat edilmesi gereken noktalar

Bu öğreticiyi denemeden önce aşağıdaki öğeleri göz önünde bulundurun:

  1. Bulut eşitlemenin temellerini bildiğinizden emin olun.

  2. Microsoft Entra Bağlan Sync sürüm 1.4.32.0 veya üzerini çalıştırdığınızdan ve eşitleme kurallarını belgelendiği gibi yapılandırdığınızdan emin olun.

  3. Pilot çalışırken, Microsoft Entra Bağlan Sync kapsamından bir test OU veya grubu kaldıracaksınız. Nesneleri kapsam dışına taşımak, Bu nesnelerin Microsoft Entra Id'de silinmesine neden olur.

    • Kullanıcı nesneleri, Microsoft Entra Id içindeki nesneler geçici olarak silinir ve geri yüklenebilir.
    • Grup nesneleri, Microsoft Entra Id içindeki nesneler sabit olarak silinir ve geri yüklenemez.

    Microsoft Entra Bağlan Sync'te pilot kullanım senaryosunda silme işlemini önleyecek yeni bir bağlantı türü kullanıma sunulmuştur.

  4. Bulut eşitlemenin nesnelerle sabit eşleşmesi için pilot kapsamdaki nesnelerin ms-ds-consistencyGUID doldurulmuş olduğundan emin olun.

Not

Microsoft Entra Bağlan Sync, grup nesneleri için ms-ds-consistencyGUID'yi varsayılan olarak doldurmaz.

  1. Bu yapılandırma gelişmiş senaryolara yöneliktir. Bu öğreticide belgelenen adımları tam olarak izlediğinize emin olun.

Önkoşullar

Bu öğreticiyi tamamlamak için gereken önkoşullar şunlardır:

  • Microsoft Entra Bağlan Sync sürüm 1.4.32.0 veya üzeri ile bir test ortamı
  • Eşitleme kapsamında olan ve pilot olarak kullanılabilen bir OU veya grup. Küçük bir nesne kümesiyle başlamanızı öneririz.
  • Sağlama aracısını barındıracak Windows Server 2016 veya üzerini çalıştıran bir sunucu.
  • Microsoft Entra Bağlan Sync kaynak bağlantısı objectGuid veya ms-ds-consistencyGUID olmalıdır

Microsoft Entra Bağlan'i güncelleştirme

En azından Microsoft Entra Bağlan 1.4.32.0 olmalıdır. Microsoft Entra Bağlan Sync'i güncelleştirmek için Microsoft Entra Bağlan: En son sürüme yükseltme makalesindeki adımları tamamlayın.

Microsoft Entra Bağlan yapılandırmanızı yedekleme

Herhangi bir değişiklik yapmadan önce Microsoft Entra Bağlan yapılandırmanızı yedeklemeniz gerekir. Bu şekilde önceki yapılandırmanıza geri dönebilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra Bağlan yapılandırma ayarlarını içeri ve dışarı aktarma.

Zamanlayıcıyı durdurma

Microsoft Entra Bağlan Sync, şirket içi dizininizde gerçekleşen değişiklikleri bir zamanlayıcı kullanarak eşitler. Özel kuralları değiştirmek ve eklemek için, değişiklikleri yaparken eşitlemelerin çalışmaması için zamanlayıcıyı devre dışı bırakmak istiyorsunuz. Zamanlayıcıyı durdurmak için aşağıdaki adımları kullanın:

  1. Microsoft Entra Bağlan Sync çalıştıran sunucuda PowerShell'i Yönetici istrative Privileges ile açın.
  2. Stop-ADSyncSyncCycle'i çalıştırın. Enter tuşuna basın.
  3. Set-ADSyncScheduler -SyncCycleEnabled $false'i çalıştırın.

Not

Microsoft Entra Bağlan Sync için kendi özel zamanlayıcınızı çalıştırıyorsanız lütfen zamanlayıcıyı devre dışı bırakın.

Özel kullanıcı gelen kuralı oluşturma

Microsoft Entra Bağlan Eşitleme Kuralları düzenleyicisinde, daha önce tanımladığınız OU'daki kullanıcıları filtreleyen bir gelen eşitleme kuralı oluşturmanız gerekir. Gelen eşitleme kuralı, cloudNoFlow'un hedef özniteliğine sahip bir birleştirme kuralıdır. Bu kural Microsoft Entra'ya Bağlan bu kullanıcılar için öznitelikleri eşitlememelerini bildirir. Daha fazla bilgi için üretim ortamınızı geçirmeyi denemeden önce bulut eşitlemesine geçiş belgelerine bakın.

  1. Eşitleme düzenleyicisini aşağıda gösterildiği gibi masaüstündeki uygulama menüsünden başlatın:

    Eşitleme kuralı düzenleyicisi menüsünün ekran görüntüsü.

  2. Yön açılan listesinden Gelen'i seçin ve Yeni kural ekle'yi seçin.

  3. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

    • Ad: Kurala anlamlı bir ad verin
    • Açıklama: Anlamlı bir açıklama ekleyin
    • Bağlan Sistem: Özel eşitleme kuralını yazmakta olduğunuz AD bağlayıcısını seçin
    • Bağlan Sistem Nesne Türü: Kullanıcı
    • MetaVerse Nesne Türü: Kişi
    • Bağlantı Türü: Birleştirme
    • Öncelik: Sistemde benzersiz bir değer sağlayın
    • Etiket: Bunu boş bırakın

    Değerlerin girilmiş olduğu

  4. Kapsam filtresi sayfasında, pilota dayalı olmasını istediğiniz OU veya güvenlik grubunu girin. OU'ya filtre uygulamak için ayırt edici adın OU bölümünü ekleyin. Bu kural, o OU'daki tüm kullanıcılara uygulanır. Bu nedenle, DN "OU=CPUsers,DC=contoso,DC=com ile bitiyorsa, bu filtreyi eklemeniz gerekir. Sonra İleri'yi seçin.

    Kural Öznitelik İşleç Değer
    Kapsam belirleme OU DN ENDSWITH OU'nun ayırt edici adı.
    Kapsam belirleme grubu ISMEMBEROF Güvenlik grubunun ayırt edici adı.

    Kapsam filtresi değeri girilmiş Gelen eşitleme kuralı oluştur - Kapsam filtresi sayfasını gösteren ekran görüntüsü.

  5. Birleştirme kuralları sayfasında İleri'yi seçin.

  6. Dönüşümler sayfasında bir Sabit dönüştürme: flow True to cloudNoFlow özniteliği ekleyin. Ekle'yi seçin.

    Sabit dönüştürme akışının eklendiği Gelen eşitleme kuralı oluşturma - Dönüşümler sayfasını gösteren ekran görüntüsü.

Tüm nesne türleri (kullanıcı, grup ve kişi) için aynı adımların izlenmesi gerekir. Yapılandırılmış AD Bağlan veya / AD ormanı başına adımları yineleyin.

Özel kullanıcı giden kuralı oluşturma

Ayrıca bağlantı türü JoinNoFlow olan bir giden eşitleme kuralına ve cloudNoFlow özniteliği True olarak ayarlanmış kapsam filtresine de ihtiyacınız olacaktır. Bu kural Microsoft Entra'ya Bağlan bu kullanıcılar için öznitelikleri eşitlememelerini bildirir. Daha fazla bilgi için üretim ortamınızı geçirmeyi denemeden önce bulut eşitlemesine geçiş belgelerine bakın.

  1. Yön açılan listesinde Giden'i seçin ve kural ekle'yi seçin.

    Giden Yönü'nü ve Yeni kural ekle düğmesinin vurgulandığını gösteren ekran görüntüsü.

  2. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

    • Ad: Kurala anlamlı bir ad verin
    • Açıklama: Anlamlı bir açıklama ekleyin
    • Bağlan Sistem: Özel eşitleme kuralını yazmakta olduğunuz Microsoft Entra bağlayıcısını seçin
    • Bağlan Sistem Nesne Türü: Kullanıcı
    • MetaVerse Nesne Türü: Kişi
    • Bağlantı Türü: JoinNoFlow
    • Öncelik: Sistemde benzersiz bir değer sağlayın
    • Etiket: Bunu boş bırakın

    Özelliklerin girilmiş olduğu Açıklama sayfasını gösteren ekran görüntüsü.

  3. Kapsam belirleme filtresi sayfasında cloudNoFlow eşittir True'yu seçin. Sonra İleri'yi seçin.

    Özel kuralı gösteren ekran görüntüsü.

  4. Birleştirme kuralları sayfasında İleri'yi seçin.

  5. Dönüşümler sayfasında Ekle'yi seçin.

Tüm nesne türleri (kullanıcı, grup ve kişi) için aynı adımların izlenmesi gerekir.

Microsoft Entra sağlama aracısını yükleme

Temel AD ve Azure ortamı öğreticisini kullanıyorsanız cp1 olacaktır. Aracıyı yüklemek için şu adımları izleyin:

  1. Azure portalında Microsoft Entra ID'yi seçin.
  2. Sol tarafta Microsoft Entra Bağlan'ı seçin.
  3. Sol tarafta Bulut eşitleme'yi seçin.

Yeni UX ekranının ekran görüntüsü.

  1. Sol tarafta Aracı'yı seçin.
  2. Şirket içi aracıyı indir'i ve koşulları kabul et ve indir'i seçin.

İndirme aracısının ekran görüntüsü.

  1. Microsoft Entra Bağlan Sağlama Aracısı Paketi indirildikten sonra, indirilenler klasörünüzden AAD Bağlan ProvisioningAgentSetup.exe yükleme dosyasını çalıştırın.

Not

ABD Kamu Bulutu için yükleme yaparken:
AAD Bağlan ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Daha fazla bilgi için bkz. "ABD kamu bulutunda aracı yükleme".

  1. Giriş ekranında Lisans ve koşulları kabul ediyorum'u ve ardından Yükle'yi seçin.

Microsoft Entra Bağlan Sağlama Aracısı Paketi giriş ekranını gösteren ekran görüntüsü.

  1. Yükleme işlemi tamamlandıktan sonra yapılandırma sihirbazı başlatılır. Yapılandırmayı başlatmak için İleri'yi seçin. Hoş geldiniz ekranının ekran görüntüsü.
  2. Uzantı Seç ekranında İk temelli sağlama (Workday ve SuccessFactors) / Microsoft Entra Bağlan bulut eşitlemesi'ni ve ardından İleri'yi seçin. Uzantı seçme ekranının ekran görüntüsü.

Not

Şirket içi uygulama sağlama ile kullanmak üzere sağlama aracısını yüklüyorsanız Şirket içi uygulama sağlama (Microsoft Uygulama için Entra Id) seçeneğini belirleyin.

  1. En azından Karma Kimlik Yönetici istrator rolüne sahip bir hesapla oturum açın. Internet Explorer gelişmiş güvenliği etkinleştirdiyseniz, oturum açma işlemini engeller. Bu durumda yüklemeyi kapatın, Internet Explorer artırılmış güvenliğini devre dışı bırakın ve Microsoft Entra Bağlan Sağlama Aracısı Paketi yüklemesini yeniden başlatın.

Bağlan Microsoft Entra Id ekranının ekran görüntüsü.

  1. Hizmet Hesabını Yapılandır ekranında bir grup Yönetilen Hizmet Hesabı (gMSA) seçin. Bu hesap aracı hizmetini çalıştırmak için kullanılır. Yönetilen hizmet hesabı etki alanınızda zaten başka bir aracı tarafından yapılandırılmışsa ve ikinci bir aracı yüklüyorsanız, sistem mevcut hesabı algıladığı ve yeni aracı için gMSA hesabını kullanması için gerekli izinleri eklediğinden gMSA oluştur'u seçin. İstendiğinde aşağıdakilerden birini seçin:
  • Aracının sizin için provAgentgMSA$ yönetilen hizmet hesabını oluşturmasına olanak tanıyan gMSA oluşturun. Grup tarafından yönetilen hizmet hesabı (örneğin, CONTOSO\provAgentgMSA$) konak sunucusunun katıldığı Aynı Active Directory etki alanında oluşturulur. Bu seçeneği kullanmak için Active Directory etki alanı yöneticisi kimlik bilgilerini girin (önerilir).
  • Özel gMSA kullanın ve bu görev için el ile oluşturduğunuz yönetilen hizmet hesabının adını belirtin.

Devam etmek için İleri’yi seçin.

Hizmet Hesabını Yapılandır ekranının ekran görüntüsü.

  1. Bağlan Active Directory ekranında, etki alanı adınız Yapılandırılan etki alanları altında görünüyorsa sonraki adıma geçin. Aksi takdirde, Active Directory etki alanı adınızı yazın ve Dizin ekle'yi seçin.

  2. Active Directory etki alanı yönetici hesabınızla oturum açın. Etki alanı yöneticisi hesabının süresi dolmuş bir parola olmamalıdır. Parolanın süresinin dolması veya aracı yüklemesi sırasında değişmesi durumunda aracıyı yeni kimlik bilgileriyle yeniden yapılandırmanız gerekir. Bu işlem şirket içi dizininizi ekler. Devam etmek için Tamam'ı ve ardından İleri'yi seçin.

Etki alanı yöneticisi kimlik bilgilerinin nasıl girildiğini gösteren ekran görüntüsü.

  1. Aşağıdaki ekran görüntüsünde yapılandırılmış contoso.com etki alanı örneği gösterilmektedir. Devam etmek için İleri'yi seçin.

Bağlan Active Directory ekranının ekran görüntüsü.

  1. Yapılandırma tamamlandı ekranında Onayla'yı seçin. Bu işlem aracıyı kaydeder ve yeniden başlatır.

  2. Bu işlem tamamlandıktan sonra Aracı yapılandırmanızın başarıyla doğrulandığı size bildirilmelidir. Çıkış'ı seçebilirsiniz.

Bitiş ekranını gösteren ekran görüntüsü.

  1. İlk giriş ekranını almaya devam ediyorsanız Kapat'ı seçin.

Aracı yüklemesini doğrulama

Aracı doğrulaması Azure portalında ve aracıyı çalıştıran yerel sunucuda gerçekleşir.

Azure portal aracısı doğrulaması

Aracının Microsoft Entra Id tarafından kaydedildiğini doğrulamak için şu adımları izleyin:

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID'yi seçin.
  3. Microsoft Entra Bağlan'ı ve ardından Bulut eşitleme'yi seçin.Yeni UX ekranının ekran görüntüsü.
  4. Bulut eşitleme sayfasında yüklediğiniz aracıları görürsünüz. Aracının görüntülendiğini ve durumunun iyi durumda olduğunu doğrulayın.

Yerel sunucuda

Aracının çalıştığını doğrulamak için şu adımları izleyin:

  1. Sunucuda yönetici hesabıyla oturum açın.
  2. Hizmetler'e giderek veya Başlat/Çalıştır/Services.msc adresine giderek Hizmetleri açın.
  3. Hizmetler altında, Microsoft Entra Bağlan Agent Updater ve Microsoft Entra Bağlan Sağlama Aracısı'nın mevcut olduğundan ve durumun Çalışıyor olduğundan emin olun. Windows hizmetlerini gösteren ekran görüntüsü.

Sağlama aracısı sürümünü doğrulama

Aracının sürümünün çalıştığını doğrulamak için şu adımları izleyin:

  1. 'C:\Program Files\Microsoft Azure AD Bağlan Sağlama Aracısı' öğesine gidin
  2. 'AAD Bağlan ProvisioningAgent.exe' öğesine sağ tıklayın ve özellikleri seçin.
  3. Ayrıntılar sekmesine tıklar ve sürüm numarası Ürün sürümü'nin yanında görüntülenir.

Microsoft Entra Cloud Sync'i yapılandırma

Sağlamayı yapılandırmak için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
  2. Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.Bulut eşitleme giriş sayfasının ekran görüntüsü.
  1. Yeni yapılandırma'ya tıklayın. Yapılandırma ekleme ekran görüntüsü.
  2. Yapılandırma ekranında etki alanınızı ve parola karması eşitlemenin etkinleştirilip etkinleştirilmeymeyeceğini seçin. Oluştur'a tıklayın.

Yeni yapılandırmanın ekran görüntüsü.

  1. Başlarken ekranı açılır.

  2. Başlarken ekranında Kapsam filtresi ekle simgesinin yanındaki Kapsam belirleme filtreleri ekle'ye veya Yönet'in altındaki sol taraftaki Kapsam belirleme filtreleri'ne tıklayın.

Kapsam filtrelerinin ekran görüntüsü.

  1. Kapsam filtresini seçin. Bu öğretici için şunları seçin:
    • Seçili kuruluş birimleri: Yapılandırmayı belirli OU'lara uygulanacak şekilde kapsamlar.
  2. Kutuya "OU=CPUsers,DC=contoso,DC=com" yazın.

Kapsam filtresinin ekran görüntüsü.

  1. Ekle'yi tıklatın. Kaydet'e tıklayın.

Zamanlayıcıyı başlatma

Microsoft Entra Bağlan Sync, şirket içi dizininizde gerçekleşen değişiklikleri bir zamanlayıcı kullanarak eşitler. Kuralları değiştirdiğinize göre zamanlayıcıyı yeniden başlatabilirsiniz. Aşağıdaki adımları kullanın:

  1. Microsoft Entra Bağlan Sync çalıştıran sunucuda PowerShell'i Yönetici Istrative Privileges ile açın
  2. Set-ADSyncScheduler -SyncCycleEnabled $true'i çalıştırın.
  3. komutunu çalıştırınStart-ADSyncSyncCycle, ardından Enter tuşuna basın.

Not

Microsoft Entra Bağlan Sync için kendi özel zamanlayıcınızı çalıştırıyorsanız, lütfen zamanlayıcıyı etkinleştirin.

Zamanlayıcı etkinleştirildikten sonra, herhangi bir başvuru özniteliği (örneğinmanager) güncelleştirilmediği sürece Microsoft Entra Bağlan meta veri kümesinin içindeki nesnelerdeki cloudNoFlow=true değişiklikleri dışarı aktarmayı durdurur. Nesnede herhangi bir başvuru özniteliği güncelleştirmesi olması durumunda, Microsoft Entra Bağlan sinyali yoksayar cloudNoFlow ve nesnedeki tüm güncelleştirmeleri dışarı aktarır.

Bir sorun oluştu

Pilot sistemin beklendiği gibi çalışmaması durumunda, aşağıdaki adımları izleyerek Microsoft Entra Bağlan Eşitleme kurulumuna geri dönebilirsiniz:

  1. Portalda sağlama yapılandırmasını devre dışı bırakın.
  2. Eşitleme Kuralı Düzenleyicisi aracını kullanarak Bulut Sağlama için oluşturulan tüm özel eşitleme kurallarını devre dışı bırakın. Devre dışı bırakmak tüm bağlayıcılarda tam eşitlemeye neden olmalıdır.

Sonraki adımlar