Microsoft Entra Connect'in özel yüklemesi

  • Makale

Yükleme için daha fazla seçenek istediğinizde Microsoft Entra Bağlan'da özel ayarları kullanın. Örneğin, birden çok ormanınız varsa veya isteğe bağlı özellikleri yapılandırmak istiyorsanız bu ayarları kullanın. Hızlı yüklemenin dağıtım veya topoloji gereksinimlerinizi karşılamadığı her durumda özel ayarları kullanın.

Ön koşullar:

Özel yükleme ayarları

Microsoft Entra Connect için özel bir yükleme ayarlamak için, aşağıdaki bölümlerde açıklanan sihirbaz sayfalarını gözden geçirin.

Hızlı ayarlar

Hızlı Ayarlar sayfasında Özelleştir'i seçerek özelleştirilmiş ayarlar yüklemesini başlatın. Bu makalenin geri kalanı, özel yükleme işleminde size yol gösterir. Belirli bir sayfanın bilgilerine hızla gitmek için aşağıdaki bağlantıları kullanın:

Gerekli bileşenleri yükleme

Eşitleme hizmetlerini yüklediğinizde, isteğe bağlı yapılandırma bölümünü seçili bırakabilirsiniz. Microsoft Entra Connect her şeyi otomatik olarak ayarlar. SQL Server 2019 Express LocalDB örneğini ayarlar, uygun grupları oluşturur ve izinleri atar. Varsayılanları değiştirmek istiyorsanız, uygun kutuları seçin. Aşağıdaki tabloda bu seçenekler özetlenmiştir ve ek bilgilere bağlantılar sağlanmaktadır.

Microsoft Entra Connect'te gerekli yükleme bileşenleri için isteğe bağlı seçimleri gösteren ekran görüntüsü.

İsteğe bağlı yapılandırma Description
Özel yükleme konumu belirtme Microsoft Entra Connect için varsayılan yükleme yolunu değiştirmenize olanak tanır.
Mevcut bir SQL Server'ı kullanma SQL Server adını ve örnek adını belirtmenize olanak tanır. Kullanmak istediğiniz bir veritabanı sunucunuz zaten varsa bu seçeneği belirleyin. Örnek Adı için örnek adını, virgül ve SQL Server örneğinizde gözatma etkin değilse bağlantı noktası numarasını girin. Ardından Microsoft Entra Connect veritabanının adını belirtin. SQL ayrıcalıklarınız yeni bir veritabanı oluşturulup oluşturulamayacağını veya SQL yöneticinizin veritabanını önceden oluşturması gerekip gerekmediğini belirler. SQL Server yönetici (SA) izinleriniz varsa bkz. Var olan bir veritabanını kullanarak Microsoft Entra Bağlanma'yı yükleme. Temsilci izinleriniz (DBO) varsa bkz. SQL yönetici temsilcisi izinlerini kullanarak Microsoft Entra Connect'i yükleme.
Mevcut bir hizmet hesabını kullanma Varsayılan olarak, Microsoft Entra Connect eşitleme hizmetleri için bir sanal hizmet hesabı sağlar. SQL Server uzak örneğini veya kimlik doğrulaması gerektiren bir ara sunucu kullanıyorsanız, etki alanında bir yönetilen hizmet hesabı veya parola korumalı hizmet hesabı kullanabilirsiniz. Böyle durumlarda, kullanmak istediğiniz hesabı girin. Yüklemeyi çalıştırmak için, hizmet hesabı için oturum açma kimlik bilgileri oluşturabilmeniz için SQL'de SA olmanız gerekir. Daha fazla bilgi için bkz. Hesapları ve izinleri bağlama Microsoft Entra.

SQL yöneticisi artık en son derlemeyi kullanarak veritabanını bant dışında sağlayabilir. Ardından Microsoft Entra Connect yöneticisi bunu veritabanı sahibi haklarıyla yükleyebilir. Daha fazla bilgi için bkz. SQL yönetici temsilcisi izinlerini kullanarak Microsoft Entra Connect'i yükleme.
Özel eşitleme grubu belirtme Varsayılan olarak, eşitleme hizmetleri yüklendiğinde, Microsoft Entra Connect sunucuda yerel olan dört grup oluşturur. Bu gruplar Yöneticiler, İşleçler, Gözat ve Parola Sıfırlama'dır. Kendi gruplarınızı burada belirtebilirsiniz. Gruplar sunucuda yerel olmalıdır. Etki alanında bulunamaz.
Eşitleme ayarlarını içeri aktarma Microsoft Entra Connect'in diğer sürümlerinden ayarları içeri aktarmanıza olanak tanır. Daha fazla bilgi için bkz. connect yapılandırma ayarları Microsoft Entra içeri ve dışarı aktarma.

Kullanıcı oturumu açma

Gerekli bileşenleri yükledikten sonra kullanıcılarınızın çoklu oturum açma yöntemini seçin. Aşağıdaki tabloda kullanılabilir seçenekler kısaca açıklanmaktadır. Oturum açma yöntemleriyle ilgili tam açıklama için bkz. Kullanıcı oturumu açma.

Çoklu oturum açma seçeneği Description
Parola karması eşitleme Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, parola karması olarak Microsoft Entra kimliğiyle eşitlenir. Kimlik doğrulaması bulutta gerçekleşir. Daha fazla bilgi için bkz . Parola karması eşitleme.
Doğrudan kimlik doğrulama Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, şirket içi Active Directory etki alanı denetleyicisine geçirilerek doğrulanır.
AD FS ile Federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi Azure Dizin Federasyon Hizmetleri (AD FS) örneğine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
PingFederate ile federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi PingFederate örneğine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
Yapılandırmayın Hiçbir kullanıcı oturum açma özelliği yüklenmez veya yapılandırılmaz. Zaten bir üçüncü taraf federasyon sunucunuz veya başka bir çözümünüz varsa bu seçeneği belirleyin.
Çoklu oturum açmayı etkinleştirme Bu seçenek hem parola karması eşitleme hem de doğrudan kimlik doğrulaması ile kullanılabilir. Kurumsal ağlardaki masaüstü kullanıcıları için çoklu oturum açma deneyimi sağlar. Daha fazla bilgi için bkz. Çoklu oturum açma.

Not: AD FS müşterileri için bu seçenek kullanılamaz. AD FS zaten aynı çoklu oturum açma düzeyini sunuyor.

Microsoft Entra kimliğine bağlanma

Microsoft Entra Kimliğine Bağlan sayfasında Karma Kimlik Yöneticisi hesabı ve parolası girin. Önceki sayfada AD FS ile Federasyon'u seçtiyseniz, federasyon için etkinleştirmeyi planladığınız bir etki alanında bulunan bir hesapla oturum açmayın.

Microsoft Entra kiracınızla birlikte gelen varsayılan onmicrosoft.com etki alanında bir hesap kullanmak isteyebilirsiniz. Bu hesap yalnızca Microsoft Entra kimliğinde bir hizmet hesabı oluşturmak için kullanılır. Yükleme tamamlandıktan sonra kullanılmaz.

Not

En iyi uygulama, Microsoft Entra rol atamaları için şirket içi eşitlenmiş hesapları kullanmaktan kaçınmaktır. Şirket içi hesabın güvenliği aşılırsa, bu, Microsoft Entra kaynaklarınızın güvenliğini tehlikeye atmak için de kullanılabilir. En iyi yöntemlerin tam listesi için bkz. Microsoft Entra rolleri için en iyi yöntemler

Genel Yönetici hesabınızda çok faktörlü kimlik doğrulaması etkinleştirildiyse, oturum açma penceresinde parolayı yeniden sağlarsınız ve çok faktörlü kimlik doğrulama sınamasını tamamlamanız gerekir. Bu sınama bir doğrulama kodu veya telefon araması olabilir.

Genel Yönetici hesabının ayrıcalıklı kimlik yönetimi de etkinleştirilebilir.

Federasyon hesapları, akıllı kart ve MFA senaryoları gibi parola dışı senaryolarda kimlik doğrulama desteğini kullanmak için sihirbazı başlatırken /InteractiveAuth anahtarını sağlayabilirsiniz. Bu anahtarın kullanılması Sihirbazın kimlik doğrulama kullanıcı arabirimini atlar ve kimlik doğrulamasını işlemek için MSAL kitaplığının kullanıcı arabirimini kullanır.

Bir hata görürseniz veya bağlantıyla ilgili sorunlarınız varsa bkz. Bağlantı sorunlarını giderme.

Sayfaları eşitleme

Aşağıdaki bölümlerde , Eşitleme bölümündeki sayfalar açıklanmaktadır.

Dizinlerinizi bağlama

Active Directory Domain Services 'a (AD DS) bağlanmak için, Microsoft Entra Connect için yeterli izinlere sahip bir hesabın orman adı ve kimlik bilgileri gerekir.

Orman adını girip Dizin Ekle'yi seçtikten sonra bir pencere görüntülenir. Aşağıdaki tabloda seçenekleriniz açıklanmaktadır.

Seçenek Açıklama
Yeni hesap oluştur Dizin eşitlemesi sırasında Connect Microsoft Entra in Active Directory ormanına bağlanması gereken AD DS hesabını oluşturun. Bu seçeneği belirledikten sonra kurumsal yönetici hesabının kullanıcı adını ve parolasını girin. Microsoft Entra Connect, gerekli AD DS hesabını oluşturmak için sağlanan kurumsal yönetici hesabını kullanır. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\administrator veya fabrikam.com\administrator girin.
Mevcut hesabı kullan Microsoft Entra Connect'in dizin eşitlemesi sırasında Active Directory ormanına bağlanmak için kullanabileceği mevcut bir AD DS hesabı sağlayın. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Yani , FABRIKAM\syncuser veya fabrikam.com\syncuser girin. Yalnızca varsayılan okuma izinlerine ihtiyaç duyduğundan bu hesap normal bir kullanıcı hesabı olabilir. Ancak senaryonuza bağlı olarak daha fazla izne ihtiyacınız olabilir. Daha fazla bilgi için bkz. Microsoft Entra Hesapları ve izinleri bağlama.

Yeni bir hesap oluşturmayı veya mevcut bir hesabı kullanmayı seçebileceğiniz

Not

1.4.18.0 derlemesi itibarıyla AD DS bağlayıcı hesabı olarak bir kuruluş yöneticisi veya etki alanı yöneticisi hesabı kullanamazsınız. Var olan hesabı kullan'ı seçtiğinizde, bir kurumsal yönetici hesabı veya etki alanı yöneticisi hesabı girmeye çalışırsanız şu hatayı görürsünüz: "AD orman hesabınız için Kurumsal veya Etki Alanı yönetici hesabı kullanılmasına izin verilmiyor. Microsoft Entra Connect'in hesabı sizin için oluşturmasına veya doğru izinlere sahip bir eşitleme hesabı belirtmesine izin verin."

Oturum açma yapılandırmasını Microsoft Entra

Microsoft Entra oturum açma yapılandırması sayfasında, şirket içi AD DS'deki kullanıcı asıl adı (UPN) etki alanlarını gözden geçirin. Bu UPN etki alanları Microsoft Entra kimliğinde doğrulanmıştır. Bu sayfada, userPrincipalName için kullanılacak özniteliğini yapılandıracaksınız.

Eklenmedi veya Doğrulanmadı olarak işaretlenmiş tüm etki alanları gözden geçirin. Kullandığınız etki alanlarının Microsoft Entra kimliğinde doğrulanmış olduğundan emin olun. Etki alanlarınızı doğruladıktan sonra döngüsel yenileme simgesini seçin. Daha fazla bilgi için bkz. Etki alanı ekleme ve doğrulama.

Kullanıcılar, Microsoft Entra Kimliği ve Microsoft 365'te oturum açarken userPrincipalName özniteliğini kullanır. Microsoft Entra kimliği, kullanıcılar eşitlenmeden önce upn-soneki olarak da bilinen etki alanlarını doğrulamalıdır. Microsoft, userPrincipalName varsayılan özniteliğini tutmanızı önerir.

userPrincipalName özniteliği yönlendirilemezse ve doğrulanamıyorsa başka bir öznitelik seçebilirsiniz. Örneğin, oturum açma kimliğini barındıran öznitelik olarak e-postayı seçebilirsiniz. userPrincipalName dışında bir öznitelik kullandığınızda, diğer kimlik olarak bilinir.

Alternatif kimlik öznitelik değeri, RFC 822 standardına uygun olmalıdır. Alternatif kimliği parola karma eşitlemesi, geçiş kimlik doğrulaması ve federasyon ile kullanabilirsiniz. Active Directory’de öznitelik, yalnızca tek bir değere sahip olsa bile çok değerli olarak tanımlanamaz. Alternatif kimlik hakkında daha fazla bilgi için bkz. Doğrudan kimlik doğrulaması: Sık sorulan sorular.

Not

Doğrudan kimlik doğrulamasını etkinleştirdiğinizde, özel yükleme işlemine devam etmek için en az bir doğrulanmış etki alanınız olmalıdır.

Uyarı

Alternatif kimlikler tüm Microsoft 365 iş yükleriyle uyumlu değildir. Daha fazla bilgi için bkz. Alternatif oturum açma kimliklerini yapılandırma.

Etki alanı ve OU filtreleme

Varsayılan olarak, tüm etki alanları ve kuruluş birimleri (OU) eşitlenir. Bazı etki alanlarını veya OU'ları Microsoft Entra kimliğiyle eşitlemek istemiyorsanız, uygun seçimleri temizleyebilirsiniz.

Etki Alanı ve O U filtreleme sayfasını gösteren ekran görüntüsü.

Bu sayfa etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırmaktadır. Değişiklik yapmayı planlıyorsanız bkz . Etki alanı tabanlı filtreleme ve OU tabanlı filtreleme. Bazı OU'lar işlevsellik açısından önemlidir, bu nedenle bunları seçili bırakmalısınız.

1.1.524.0'dan eski bir Microsoft Entra Connect sürümüyle OU tabanlı filtreleme kullanırsanız, yeni OU'lar varsayılan olarak eşitlenir. Yeni OU'ların eşitlenmesini istemiyorsanız, OU tabanlı filtreleme adımından sonra varsayılan davranışı ayarlayabilirsiniz. Connect 1.1.524.0 veya sonraki bir sürümü Microsoft Entra için yeni OU'ların eşitlenmesini isteyip istemediğinizi belirtebilirsiniz.

Grup tabanlı filtreleme kullanmayı planlıyorsanız, grupla birlikte OU'nun eklendiğinden ve OU filtrelemesi kullanılarak filtrelenmediğinden emin olun. OU filtrelemesi, grup tabanlı filtreleme değerlendirilmeden önce değerlendirilir.

Güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına ulaşılamıyor da olabilir. Bu etki alanları varsayılan olarak seçilmez ve bir uyarı görüntüler.

Ulaşılamayan etki alanlarını gösteren ekran görüntüsü.

Bu uyarıyı görürseniz, bu etki alanlarına gerçekten ulaşılamadığını ve uyarının beklendiğinden emin olun.

Kullanıcılarınızı benzersiz olarak tanımlama

Kullanıcıları tanımlama sayfasında, şirket içi dizinlerinizdeki kullanıcıları tanımlamayı ve sourceAnchor özniteliğini kullanarak bunları tanımlamayı seçin.

Şirket içi dizinlerinizde kullanıcıların nasıl tanımlanması gerektiğini seçin

Ormanlar arasında eşleştirme özelliğini kullanarak, AD DS ormanlarınızdaki kullanıcıların Microsoft Entra kimliğiyle nasıl temsil edilebileceğini tanımlayabilirsiniz. Bir kullanıcı tüm ormanlarda yalnızca bir kez temsil edilebilir veya etkin ve devre dışı hesapların birleşimine sahip olabilir. Ayrıca kullanıcı, bazı ormanlarda kişi olarak da temsil edilebilir.

Kullanıcılarınızı benzersiz olarak tanımlayabileceğiniz sayfayı gösteren ekran görüntüsü.

Ayar Açıklama
Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edilir Tüm kullanıcılar Microsoft Entra kimliğinde tek tek nesneler olarak oluşturulur. Nesneler meta veri deposuna katılmaz.
Posta özniteliği Bu seçenek, posta özniteliğinin farklı ormanlarda aynı değere sahip olması halinde kullanıcıları ve kişileri birleştirir. Kişileriniz GALSync kullanılarak oluşturulduğunda bu seçeneği kullanın. Bu seçeneği belirlerseniz, posta özniteliği doldurulmamış kullanıcı nesneleri Microsoft Entra kimliğiyle eşitlenmez.
ObjectSID ve msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID öznitelikleri Bu seçenek, hesap ormanındaki etkin bir kullanıcıyla kaynak ormandaki devre dışı bırakılmış bir kullanıcıyı birleştirir. Bu yapılandırma, Exchange'de bağlı posta kutusu olarak bilinir. Yalnızca Lync kullanıyorsanız ve kaynak ormanında Exchange yoksa bu seçeneği kullanabilirsiniz.
SAMAccountName ve MailNickName öznitelikleri Bu seçenek, kullanıcının oturum açma kimliğinin bulunması beklenen öznitelikleri birleştirir.
Belirli bir öznitelik seçin Bu seçenek, kendi özniteliğinizi seçmenize olanak tanır. Bu seçeneği belirlerseniz, (seçili) özniteliği doldurulmamış kullanıcı nesneleri Microsoft Entra kimliğiyle eşitlenmez. Sınırlama: Bu seçenek için yalnızca meta veri bölmesinde bulunan öznitelikler kullanılabilir.

Kaynak bağlantı noktası kullanılarak kullanıcıların nasıl tanımlanması gerektiğini seçme

sourceAnchor özniteliği, kullanıcı nesnesinin ömrü boyunca sabittir. Şirket içi kullanıcıyı Microsoft Entra kimliğindeki kullanıcıya bağlayan birincil anahtardır.

Ayar Açıklama
Kaynak tutturucuyu Azure'ın yönetmesine izin ver Microsoft Entra kimliğinin özniteliğini sizin için seçmesini istiyorsanız bu seçeneği belirleyin. Bu seçeneği belirlerseniz, bağlan Microsoft Entra ms-DS-ConsistencyGuid'i sourceAnchor olarak kullanma bölümünde açıklanan sourceAnchor özniteliği seçim mantığını uygular. Özel yükleme tamamlandıktan sonra sourceAnchor özniteliği olarak hangi özniteliğin seçildiğini görürsünüz.
Belirli bir öznitelik seçin sourceAnchor özniteliği olarak var olan bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.

sourceAnchor özniteliği değiştirilemediğinden, uygun bir öznitelik seçmeniz gerekir. ObjectGUID iyi bir seçenektir. Kullanıcı hesabı ormanlar veya etki alanları arasında taşınmadığı sürece bu öznitelik değiştirilmez. Bir kişi evlendiğinde veya atamaları değiştirdiğinde değişebilecek öznitelikleri seçmeyin.

At işareti (@) içeren öznitelikleri kullanamazsınız, bu nedenle e-posta ve userPrincipalName kullanamazsınız. Özniteliği büyük/küçük harfe de duyarlıdır, bu nedenle bir nesneyi ormanlar arasında taşıdığınızda büyük ve küçük harfleri koruduğunuzdan emin olun. İkili öznitelikler Base64 ile kodlanmıştır, ancak diğer öznitelik türleri kodlanmamış durumunda kalır.

Federasyon senaryolarında ve bazı Microsoft Entra Kimliği arabirimlerinde sourceAnchor özniteliği sabitID olarak da bilinir.

Kaynak bağlantı noktası hakkında daha fazla bilgi için bkz . Tasarım kavramları.

Grup tabanlı eşitleme filtrelemesi

Gruplarda filtreleme özelliği, pilot için nesnelerin yalnızca küçük bir alt kümesini eşitlemenize olanak tanır. Bu özelliği kullanmak için şirket içi Active Directory örneğinizde bu amaçla bir grup oluşturun. Ardından, Microsoft Entra kimliğiyle eşitlenmesi gereken kullanıcıları ve grupları doğrudan üye olarak ekleyin. Daha sonra, Microsoft Entra kimliğinde bulunması gereken nesnelerin listesini korumak için kullanıcıları ekleyebilir veya bu gruptan kullanıcıları kaldırabilirsiniz.

Eşitlemek istediğiniz tüm nesneler grubun doğrudan üyeleri olmalıdır. Kullanıcıların, grupların, kişilerin ve bilgisayarların veya cihazların tümü doğrudan üye olmalıdır. İç içe grup üyeliği çözümlenmez. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir. Üyeleri eklenmez.

Kullanıcıları ve cihazları filtrelemeyi seçebileceğiniz sayfayı gösteren ekran görüntüsü.

Uyarı

Bu özellik yalnızca pilot dağıtımı desteklemeye yöneliktir. Bunu tam üretim dağıtımında kullanmayın.

Tam üretim dağıtımında, tek bir grubun ve tüm nesnelerinin eşitlenmesi zor olabilir. Gruplarda filtreleme özelliği yerine, Filtrelemeyi yapılandırma bölümünde açıklanan yöntemlerden birini kullanın.

İsteğe bağlı özellikler

Sonraki sayfada senaryonuz için isteğe bağlı özellikleri seçebilirsiniz.

Uyarı

connect 1.0.8641.0 ve önceki sürümleri Microsoft Entra, parola geri yazma için Azure Access Control Hizmeti'ne dayanır. Bu hizmet 7 Kasım 2018'de kullanımdan kaldırılmıştır. Microsoft Entra Connect'in bu sürümlerinden birini kullanıyorsanız ve parola geri yazmayı etkinleştirdiyseniz, hizmet kullanımdan kaldırıldığında kullanıcılar parolalarını değiştirme veya sıfırlama yeteneğini kaybedebilir. Microsoft Entra Connect'in bu sürümleri parola geri yazmayı desteklemez.

Daha fazla bilgi için bkz. Azure Access Control Hizmetinden geçiş.

Parola geri yazma özelliğini kullanmak istiyorsanız Microsoft Entra Connect'in en son sürümünü indirin.

Uyarı

Azure AD Eşitleme veya Doğrudan Eşitleme (DirSync) etkinse, Microsoft Entra Connect'te geri yazma özelliklerini etkinleştirmeyin.

İsteğe bağlı özellikler Description
Exchange karma dağıtımı Exchange karma dağıtım özelliği, Exchange posta kutularının hem şirket içinde hem de Microsoft 365'te birlikte kullanılabilirliğini sağlar. Microsoft Entra Connect, belirli bir öznitelik kümesini Microsoft Entra şirket içi dizininize yeniden eşitler.
Exchange posta ortak klasörleri Exchange posta ortak klasörleri özelliği, şirket içi Active Directory örneğinizdeki posta etkin ortak klasör nesnelerini Microsoft Entra kimlikle eşitlemenize olanak tanır. Ortak klasörleri içeren grupların üye olarak eşitlenmesinin desteklenmediğini ve bunu yapmayı denemenin eşitleme hatasına neden olacağını unutmayın.
Uygulama ve öznitelik filtrelemeyi Microsoft Entra Microsoft Entra uygulama ve öznitelik filtrelemeyi etkinleştirerek eşitlenmiş öznitelik kümesini uyarlayabilirsiniz. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler. Daha fazla bilgi için bkz. Microsoft Entra uygulama ve öznitelik filtreleme.
Parola karması eşitleme Oturum açma çözümü olarak federasyonu seçtiyseniz parola karması eşitlemesini etkinleştirebilirsiniz. Ardından bunu bir yedekleme seçeneği olarak kullanabilirsiniz.

Doğrudan kimlik doğrulamasını seçtiyseniz, eski istemciler için destek sağlamak ve bir yedekleme sağlamak için bu seçeneği etkinleştirebilirsiniz.

Daha fazla bilgi için bkz . Parola karması eşitleme.
Parola geri yazma Microsoft Entra kimliğindeki parola değişikliklerinin şirket içi dizininize geri yazılmasını sağlamak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Parola yönetimine başlarken.
Grup geri yazma Microsoft 365 Grupları kullanıyorsanız, şirket içi Active Directory örneğinizdeki grupları temsil edebilirsiniz. Bu seçenek yalnızca şirket içi Active Directory örneğinizde Exchange varsa kullanılabilir. Daha fazla bilgi için bkz. Microsoft Entra Connect grup geri yazma.
Cihaz geri yazma Koşullu erişim senaryoları için, cihaz nesnelerini şirket içi Active Directory örneğine Microsoft Entra kimliğiyle geri yazmak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Microsoft Entra Connect'te cihaz geri yazmayı etkinleştirme.
Dizin genişletme öznitelik eşitlemesi Belirtilen öznitelikleri Microsoft Entra kimliğiyle eşitlemek için bu seçeneği belirleyin. Daha fazla bilgi için bkz. Dizin genişletmeleri.

Uygulama ve öznitelik filtrelemeyi Microsoft Entra

Hangi özniteliklerin Microsoft Entra kimliğiyle eşitleneceğini sınırlamak istiyorsanız, kullandığınız hizmetleri seçerek başlayın. Bu sayfadaki seçimleri değiştirirseniz, yükleme sihirbazını yeniden çalıştırarak yeni bir hizmeti açıkça seçmeniz gerekir.

İsteğe bağlı Microsoft Entra uygulama özelliklerini gösteren ekran görüntüsü.

Önceki adımda seçtiğiniz hizmetlere bağlı olarak, bu sayfa eşitlenen tüm öznitelikleri gösterir. Bu liste, eşitlenen tüm nesne türlerinin birleşimidir. Bazı özniteliklerin eşitlenmemiş kalması gerekiyorsa, bu özniteliklerden seçimi temizleyebilirsiniz.

İsteğe bağlı Microsoft Entra öznitelik özelliklerini gösteren ekran görüntüsü.

Uyarı

Özniteliklerin kaldırılması işlevselliği etkileyebilir. En iyi yöntemler ve öneriler için bkz. Eşitlenecek öznitelikler.

Dizin Genişletme öznitelik eşitlemesi

Kuruluşunuzun eklediği özel öznitelikleri veya Active Directory'deki diğer öznitelikleri kullanarak şemayı Microsoft Entra kimliğinde genişletebilirsiniz. Bu özelliği kullanmak için İsteğe Bağlı Özellikler sayfasında Dizin Uzantısı öznitelik eşitleme'yi seçin. Dizin Uzantıları sayfasında, eşitlemek için daha fazla öznitelik seçebilirsiniz.

Not

Kullanılabilir Öznitelikler alanı büyük/küçük harfe duyarlıdır.

Daha fazla bilgi için bkz. Dizin genişletmeleri.

Çoklu oturum açmayı etkinleştirme

Çoklu oturum açma sayfasında, parola eşitleme veya doğrudan kimlik doğrulaması ile kullanmak üzere çoklu oturum açmayı yapılandırabilirsiniz. Bu adımı, Microsoft Entra kimliğiyle eşitlenen her orman için bir kez yaparsınız. Yapılandırma iki adımdan oluşur:

  1. Şirket içi Active Directory örneğinizde gerekli bilgisayar hesabını oluşturun.
  2. İstemci makinelerinin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırın.

Active Directory'de bilgisayar hesabını oluşturma

Microsoft Entra Connect'e eklenen her orman için, bilgisayar hesabının her ormanda oluşturulabilmesi için etki alanı yöneticisi kimlik bilgilerini sağlamanız gerekir. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır. Bunlar depolanmaz veya başka bir işlem için kullanılmaz. Aşağıdaki resimde gösterildiği gibi, kimlik bilgilerini Çoklu oturum açmayı etkinleştir sayfasına ekleyin.

Not

Çoklu oturum açmayı kullanmak istemediğiniz ormanları atlayabilirsiniz.

İstemci makineleri için intranet bölgesini yapılandırma

İstemcinin intranet bölgesinde otomatik olarak oturum açtığından emin olmak için URL'nin intranet bölgesinin bir parçası olduğundan emin olun. Bu adım, etki alanına katılmış bilgisayarın şirket ağına bağlıyken otomatik olarak Microsoft Entra kimliğine kerberos bileti göndermesini sağlar.

grup ilkesi yönetim araçlarının bulunduğu bir bilgisayarda:

  1. grup ilkesi yönetim araçlarını açın.

  2. Tüm kullanıcılara uygulanacak grup ilkesini düzenleyin. Örneğin, Varsayılan Etki Alanı ilkesi.

  3. Kullanıcı Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Internet Explorer>Internet Denetim Masası>Güvenlik Sayfası'na gidin. Ardından Siteden Bölgeye Atama Listesi'ne tıklayın.

  4. İlkeyi etkinleştirin. Ardından iletişim kutusuna değerinin https://autologon.microsoftazuread-sso.com ve değerini 1girin. Kurulumunuz aşağıdaki görüntü gibi görünmelidir.

    İntranet bölgelerini gösteren ekran görüntüsü.

  5. İki kez Tamam'ı seçin.

AD FS ile federasyonu yapılandırma

AD FS'yi Microsoft Entra Connect ile yalnızca birkaç tıklamayla yapılandırabilirsiniz. Başlamadan önce şunları yapmanız gerekir:

  • Federasyon sunucusu için Windows Server 2012 R2 veya üzeri. Uzaktan yönetim etkinleştirilmelidir.
  • Web Uygulama Ara Sunucusu sunucusu için Windows Server 2012 R2 veya üzeri. Uzaktan yönetim etkinleştirilmelidir.
  • Kullanmayı planladığınız federasyon hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).

Not

Federasyon güveninizi yönetmek için kullanmasanız bile Microsoft Entra Connect kullanarak AD FS grubunuz için bir TLS/SSL sertifikasını güncelleştirebilirsiniz.

AD FS yapılandırma önkoşulları

AD FS grubunuzu Microsoft Entra Connect kullanarak yapılandırmak için uzak sunucularda WinRM'nin etkinleştirildiğinden emin olun. Federasyon önkoşulları bölümündeki diğer görevleri tamamladığınızdan emin olun. Ayrıca, Microsoft Entra Connect ve Federation/WAP sunucuları tablosunda listelenen bağlantı noktası gereksinimlerini de izlediğinize emin olun.

Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubunu kullanma

Mevcut bir AD FS grubunu kullanabilir veya yeni bir grup oluşturabilirsiniz. Yeni bir sertifika oluşturmayı seçerseniz TLS/SSL sertifikasını sağlamanız gerekir. TLS/SSL sertifikası bir parolayla korunuyorsa parolayı sağlamanız istenir.

Mevcut bir AD FS grubunu kullanmayı seçerseniz, AD FS ile Microsoft Entra kimliği arasındaki güven ilişkisini yapılandırabileceğiniz sayfayı görürsünüz.

Not

yalnızca bir AD FS grubunu yönetmek için Microsoft Entra Connect'i kullanabilirsiniz. Seçili AD FS grubunda Microsoft Entra kimliğinin yapılandırıldığı bir federasyon güveni varsa, Microsoft Entra Bağlan sıfırdan güveni yeniden oluşturur.

AD FS sunucularını belirtme

AD FS'yi yüklemek istediğiniz sunucuları belirtin. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. Bu yapılandırmayı ayarlamadan önce tüm AD FS sunucularını Active Directory'ye birleştirin. Bu adım Web Uygulama Ara Sunucusu sunucuları için gerekli değildir.

Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir. İlk yapılandırmadan sonra, Microsoft Entra Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.

Not

Bu yapılandırmayı ayarlamadan önce tüm sunucularınızın bir Microsoft Entra etki alanına katılmış olduğundan emin olun.

Web Uygulaması Ara Sunucularını belirtme

Web Uygulama Ara Sunucusu sunucularınızı belirtin. Web Uygulama Ara Sunucusu sunucusu çevre ağınıza dağıtılır ve extranet ile karşı karşıya gelir. Extranetten gelen kimlik doğrulama isteklerini destekler. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.

Microsoft, test ve pilot dağıtımlar için tek bir Web Uygulama Ara Sunucusu sunucusu yüklemenizi önerir. İlk yapılandırmadan sonra, Microsoft Entra Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz. İntranetten kimlik doğrulamasını karşılamak için eşdeğer sayıda ara sunucuya sahip olmanız önerilir.

Not

  • Kullandığınız hesap Web Uygulama Ara Sunucusu sunucularında yerel yönetici değilse yönetici kimlik bilgileri istenir.
  • Web Uygulama Ara Sunucusu sunucularını belirtmeden önce, Microsoft Entra Connect sunucusu ile Web Uygulama Ara Sunucusu sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.
  • Kimlik doğrulama isteklerinin akmasına izin vermek için Web Uygulaması Sunucusu ile AD FS sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.

Web Uygulama Ara Sunucusu sunucuları sayfasını gösteren ekran görüntüsü.

Web uygulaması sunucusunun AD FS sunucusuna güvenli bir bağlantı kurabilmesi için kimlik bilgilerini girmeniz istenir. Bu kimlik bilgileri AD FS sunucusundaki bir yerel yönetici hesabı için olmalıdır.

AD FS hizmetine ilişkin hizmet hesabını belirtme

AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory'de kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir. AD FS hizmeti, iki hizmet hesabı türünü destekler:

  • Grup tarafından yönetilen hizmet hesabı: Bu hesap türü, Windows Server 2012 tarafından AD DS'ye tanıtıldı. Bu hesap türü AD FS gibi hizmetler sağlar. Parolayı düzenli olarak güncelleştirmeniz gerekmeyen tek bir hesaptır. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.
  • Etki alanı kullanıcı hesabı: Bu hesap türü için parola sağlamanız ve süresi dolduğunda parolayı düzenli olarak güncelleştirmeniz gerekir. Bu seçeneği yalnızca AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz olmadığında kullanın.

Grup Yönetilen Hizmet Hesabı oluştur'u seçtiyseniz ve bu özellik Active Directory'de hiç kullanılmadıysa, kuruluş yöneticisi kimlik bilgilerinizi girin. Bu kimlik bilgileri, anahtar deposunu başlatmak ve Active Directory'de ilgili özelliği etkinleştirmek için kullanılır.

Not

Microsoft Entra Connect, AD FS hizmetinin etki alanında hizmet asıl adı (SPN) olarak zaten kayıtlı olup olmadığını denetler. AD DS, yinelenen SPN'lerin aynı anda kaydedilmesine izin vermez. Yinelenen bir SPN bulunursa, SPN kaldırılana kadar daha fazla ilerleyemezsiniz.

Federasyon yapmak istediğiniz Microsoft Entra etki alanını seçin

AD FS ile Microsoft Entra kimliği arasındaki federasyon ilişkisini ayarlamak için Microsoft Entra Etki Alanı sayfasını kullanın. Burada AD FS'yi Microsoft Entra kimliğine güvenlik belirteçleri sağlayacak şekilde yapılandıracaksınız. Ayrıca Microsoft Entra kimliğini bu AD FS örneğindeki belirteçlere güvenecek şekilde yapılandırabilirsiniz.

Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz. Daha sonra Microsoft Entra Bağlan'ı yeniden çalıştırarak daha fazla etki alanı yapılandırabilirsiniz.

Federasyon için seçilen Microsoft Entra etki alanını doğrulama

Birleştirmek istediğiniz etki alanını seçtiğinizde, Microsoft Entra Connect doğrulanmamış bir etki alanını doğrulamak için kullanabileceğiniz bilgiler sağlar. Daha fazla bilgi için bkz. Etki alanı ekleme ve doğrulama.

Etki alanını doğrulamak için kullanabileceğiniz bilgiler de dahil olmak üzere

Not

Microsoft Entra Connect, yapılandırma aşamasında etki alanını doğrulamaya çalışır. Gerekli Etki Alanı Adı Sistemi (DNS) kayıtlarını eklemezseniz yapılandırma tamamlanamaz.

PingFederate ile federasyonu yapılandırma

PingFederate'i yalnızca birkaç tıklamayla Microsoft Entra Bağlan ile yapılandırabilirsiniz. Aşağıdaki önkoşullar gereklidir:

Etki alanını doğrulama

PingFederate kullanarak federasyonu ayarlamayı seçtikten sonra federasyon oluşturmak istediğiniz etki alanını doğrulamanız istenir. Açılan menüden etki alanını seçin.

PingFederate ayarlarını dışarı aktarma

PingFederate'i federasyon sunucusu olarak her federasyon Azure etki alanı için yapılandırın. Bu bilgileri PingFederate yöneticinizle paylaşmak için Ayarları Dışarı Aktar'ı seçin. Federasyon sunucusu yöneticisi yapılandırmayı güncelleştirir ve ardından Microsoft Entra Connect'in meta veri ayarlarını doğrulayabilmesi için PingFederate sunucu URL'sini ve bağlantı noktası numarasını sağlar.

Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun. Aşağıdaki görüntüde, Azure ile geçerli bir güven ilişkisi olmayan pingfederate sunucusu hakkındaki bilgiler gösterilmektedir.

Sunucu bilgilerini gösteren ekran görüntüsü: PingFederate sunucusu bulundu, ancak Azure için hizmet sağlayıcısı bağlantısı eksik veya devre dışı.

Federasyon bağlantısını doğrulama

Microsoft Entra Connect, önceki adımda PingFederate meta verilerinden alınan kimlik doğrulama uç noktalarını doğrulamaya çalışır. Microsoft Entra Connect ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözümlemeyi dener. Ardından, uç noktaları bir dış DNS sağlayıcısı kullanarak çözümlemeye çalışır. Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.

Federasyon oturum açma işlemini doğrulama

Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz. Oturum açma işleminiz başarılı olursa PingFederate ile federasyon başarıyla yapılandırılır.

Yapılandırma ve doğrulama sayfaları

Yapılandırma Yapılandır sayfasında gerçekleşir.

Not

Federasyonu yapılandırdıysanız, yüklemeye devam etmeden önce federasyon sunucuları için Ad çözümlemesi'ni de yapılandırdığınızdan emin olun.

Hazırlama modunu kullanma

Hazırlama moduna paralel olarak yeni bir eşitleme sunucusu ayarlamak mümkündür. Bu kurulumu kullanmak istiyorsanız, buluttaki bir dizine yalnızca bir eşitleme sunucusu dışarı aktarabilir. Ancak, dirsync çalıştıran bir sunucu gibi başka bir sunucudan taşımak istiyorsanız, hazırlama modunda Microsoft Entra Bağlan'ı etkinleştirebilirsiniz.

Hazırlama kurulumunu etkinleştirdiğinizde, eşitleme altyapısı verileri normal şekilde içeri aktarır ve eşitler. Ancak hiçbir veriyi Microsoft Entra kimliğine veya Active Directory'ye dışarı aktarmaz. Hazırlama modunda parola eşitleme özelliği ve parola geri yazma özelliği devre dışı bırakılır.

Hazırlama modunda, eşitleme altyapısında gerekli değişiklikleri yapabilir ve dışarı aktarılacakları gözden geçirebilirsiniz. Yapılandırmayla ilgili bir sorun yoksa yükleme sihirbazını tekrar çalıştırın ve hazırlama modunu devre dışı bırakın.

Veriler artık sunucudan Microsoft Entra kimliğine aktarılır. Yalnızca bir sunucunun etkin şekilde dışarı aktarma işlemi gerçekleştirmesini sağlamak için, diğer sunucuyu devre dışı bıraktığınızdan emin olun.

Daha fazla bilgi için bkz. Hazırlama modu.

Federasyon yapılandırmanızı doğrulama

Microsoft Entra Bağlan, Doğrula düğmesini seçtiğinizde DNS ayarlarını doğrular. Aşağıdaki ayarları denetler:

  • İntranet bağlantısı
    • Federasyon FQDN'sini çözümleme: Microsoft Entra Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler. Microsoft Entra Connect FQDN'yi çözümleyemezse doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon hizmeti FQDN'sine yönelik bir DNS kaydının mevcut olduğundan emin olun.
    • DNS A kaydı: Microsoft Entra Connect, federasyon hizmetinizin A kaydı olup olmadığını denetler. A kaydı olmadığında doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon FQDN'niz için bir A kaydı (CNAME kaydı değil) oluşturun.
  • Extranet bağlantısı

    • Federasyon FQDN'sini çözümleme: Microsoft Entra Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler.

Uçtan uca kimlik doğrulamasını doğrulamak için aşağıdaki testlerden birini veya daha fazlasını el ile gerçekleştirin:

  • Eşitleme tamamlandığında, Microsoft Entra Connect'te, seçtiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulamak için Federasyon oturum açma bilgilerini doğrulama ek görevini kullanın.
  • İntranet üzerindeki etki alanına katılmış bir makineden tarayıcıdan oturum açabildiğinizden emin olun. bağlantısına https://myapps.microsoft.combağlanın. Ardından oturum açma işlemini doğrulamak için oturum açmış hesabınızı kullanın. Yerleşik AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanamazsınız.
  • Extranetteki bir cihazdan oturum açabildiğinizden emin olun. Bir ev makinesinde veya mobil cihazda adresine https://myapps.microsoft.combağlanın. Ardından kimlik bilgilerinizi sağlayın.
  • Zengin istemci oturumu açma işlemini doğrulayın. bağlantısına https://testconnectivity.microsoft.combağlanın. Ardından Office 365>Office 365 Tek Sign-On Test'i seçin.

Sorun giderme

Bu bölüm, Microsoft Entra Connect'i yüklerken bir sorun varsa kullanabileceğiniz sorun giderme bilgilerini içerir.

bir Microsoft Entra Connect yüklemesini özelleştirdiğinizde, Gerekli bileşenleri yükle sayfasında Var olan bir SQL Server kullan'ı seçebilirsiniz. Şu hatayı görebilirsiniz: "ADSync veritabanı zaten veri içeriyor ve üzerine yazılamıyor. Lütfen var olan veritabanını kaldırın ve yeniden deneyin."

Belirttiğiniz SQL Server SQL örneğinde ADSync adlı bir veritabanı zaten bulunduğundan bu hatayı görürsünüz.

Bu hatayı genellikle Microsoft Entra Connect'i kaldırdıktan sonra görürsünüz. veritabanı, Microsoft Entra Connect'i kaldırdığınızda SQL Server çalıştıran bilgisayardan silinmez.

Bu sorunu çözmek için:

  1. Connect Microsoft Entra in kaldırılmadan önce kullandığı ADSync veritabanını denetleyin. Veritabanının artık kullanılmadığından emin olun.

  2. Veritabanını yedekleyin.

  3. Veritabanını silin:

    1. SQL örneğine bağlanmak için Microsoft SQL Server Management Studio kullanın.
    2. ADSync veritabanını bulun ve sağ tıklayın.
    3. Bağlam menüsünde Sil'i seçin.
    4. Veritabanını silmek için Tamam'ı seçin.

Microsoft SQL Server Management Studio gösteren ekran görüntüsü. Bir D Eşitlemesi seçilidir.

ADSync veritabanını sildikten sonra yüklemeyi yeniden denemek için Yükle'yi seçin.

Sonraki adımlar

Yükleme tamamlandıktan sonra Windows oturumunu kapatın. Ardından Eşitleme Service Manager veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce yeniden oturum açın.

Artık Connect Microsoft Entra yüklediğinize göre, yüklemeyi doğrulayabilir ve lisans atayabilirsiniz.

Yükleme sırasında etkinleştirdiğiniz özellikler hakkında daha fazla bilgi için bkz. Yanlışlıkla silmeleri önleme ve Connect Health Microsoft Entra.

Diğer yaygın konular hakkında daha fazla bilgi için bkz. Microsoft Entra Connect Sync: Scheduler ve Şirket içi kimliklerinizi Microsoft Entra kimliğiyle tümleştirme.