Federasyondan bulut kimlik doğrulamasına geçiş yapın
Bu makalede, Microsoft Entra Parola karması eşitlemesi (PHS) veya Geçiş kimlik doğrulaması (PTA) ile bulut kullanıcısı kimlik doğrulamasını dağıtmayı öğreneceksiniz. Active Directory Federasyon Hizmetleri (AD FS) 'den (AD FS) bulut kimlik doğrulama yöntemlerine geçiş için kullanım örneğini sunmamıza karşın, bu kılavuz diğer şirket içi sistemler için de önemli ölçüde geçerlidir.
Devam etmeden önce, doğru kimlik doğrulama yöntemini seçme kılavuzumuzu gözden geçirmenizi ve kuruluşunuz için en uygun yöntemleri karşılaştırmanızı öneririz.
Bulut kimlik doğrulaması için PHS kullanmanızı öneririz.
Aşamalı dağıtım
Aşamalı dağıtım, etki alanlarınızı kesmeden önce Microsoft Entra çok faktörlü kimlik doğrulaması, Koşullu Erişim, sızdırılan kimlik bilgileri için Kimlik Koruması, Kimlik İdaresi ve diğerleri gibi bulut kimlik doğrulama özelliklerine sahip kullanıcı gruplarını seçmeli olarak test etmenin harika bir yoludur.
Desteklenen ve desteklenmeyen senaryoları anlamak için aşamalı dağıtım uygulama planına bakın. Etki alanlarını kesmeden önce test etmek için aşamalı dağıtım kullanmanızı öneririz.
Geçiş işlemi akışı
Önkoşullar
Geçişe başlamadan önce bu önkoşulları karşıladığınızdan emin olun.
Gerekli roller
Aşamalı dağıtım için kiracınızda Karma Kimlik Yönetici istratörü olmanız gerekir.
Microsoft Entra Bağlan sunucusuna adım at
Microsoft Entra Bağlan (Microsoft Entra Bağlan) yükleyin veya en son sürüme yükseltin. Microsoft Entra Bağlan sunucusuna adım attığınızda, AD FS'den bulut kimlik doğrulama yöntemlerine geçiş süresi, olası saatlerden dakikalara kadar azalır.
Geçerli federasyon ayarlarını belgele
Geçerli federasyon ayarlarınızı bulmak için Get-MgDomainFederationConfiguration komutunu çalıştırın.
Get-MgDomainFederationConfiguration - DomainID yourdomain.com
Federasyon tasarımı ve dağıtım belgeleriniz için özelleştirilmiş olabilecek tüm ayarları doğrulayın. Özellikle PreferredAuthenticationProtocol, federatedIdpMfaBehavior, SupportsMfa (federatedIdpMfaBehavior ayarlanmamışsa) ve PromptLoginBehavior'da özelleştirmeleri arayın.
Federasyon ayarlarını yedekleme
Bu dağıtım, AD FS grubunuzda başka bağlı olan tarafları değiştirmese de, ayarlarınızı yedekleyebilirsiniz:
Mevcut bir grubu geri yüklemek veya yeni bir grup oluşturmak için Microsoft AD FS Hızlı Geri Yükleme Aracı'nı kullanın.
Aşağıdaki PowerShell örneğini kullanarak Microsoft 365 Kimlik Platformu bağlı olan taraf güvenini ve eklediğiniz tüm ilişkili özel talep kurallarını dışarı aktarın:
(Get-AdfsRelyingPartyTrust -Name "Microsoft Office 365 Identity Platform") | Export-CliXML "C:\temp\O365-RelyingPartyTrust.xml"
Projeyi planlama
Teknoloji projeleri başarısız olduğunda, bunun nedeni genellikle etki, sonuç ve sorumluluklarla ilgili beklentilerin eşleşmemesidir. Bu tuzakları önlemek için doğru paydaşlarla etkileşimde olduğunuzdan ve projedeki paydaş rollerinin iyi anlaşıldığından emin olun.
İletişimleri planlama
Bulut kimlik doğrulamasına geçtikten sonra, Microsoft 365'e ve Microsoft Entra Id aracılığıyla kimliği doğrulanmış diğer kaynaklara erişmek için kullanıcı oturum açma deneyimi değişir. Ağ dışındaki kullanıcılar yalnızca Microsoft Entra oturum açma sayfasını görür.
Kullanıcılarınızla deneyimlerinin nasıl değiştiğini, ne zaman değiştiğini ve sorunlarla karşılaşmaları durumunda nasıl destek kazanacaklarını proaktif olarak iletin.
Bakım penceresini planlama
Modern kimlik doğrulama istemcileri (Office 2016 ve Office 2013, iOS ve Android uygulamaları), AD FS'ye dönmek yerine kaynaklara sürekli erişim için yeni erişim belirteçleri almak için geçerli bir yenileme belirteci kullanır. Bu istemciler, etki alanı dönüştürme işleminden kaynaklanan parola istemlerine karşı bağışıktır. İstemciler ek yapılandırma olmadan çalışmaya devam ediyor.
Not
Federasyon kimlik doğrulamasından bulut kimlik doğrulamasına geçiş yaptığınızda, etki alanını federasyondan yönetilene dönüştürme işlemi 60 dakikaya kadar sürebilir. Bu işlem sırasında kullanıcılardan Microsoft Entra yönetim merkezinde veya Microsoft Entra Kimliği ile korunan diğer tarayıcı tabanlı uygulamalarda yapılan yeni oturum açma işlemleri için kimlik bilgileri istenmeyebilir. Bu gecikmeyi bakım pencerenize eklemenizi öneririz.
Geri alma planı
İpucu
Geri alma gereksinimleri olması durumunda iş saatleri dışında etki alanlarının tam geçişini planlamayı göz önünde bulundurun.
Geri almayı planlamak için, belgelenmiş geçerli federasyon ayarlarını kullanın ve federasyon tasarımı ve dağıtım belgelerini gözden geçirin.
Geri alma işlemi, New-MgDomainFederationConfiguration cmdlet'ini kullanarak yönetilen etki alanlarını federasyon etki alanlarına dönüştürmeyi içermelidir. Gerekirse, ek talep kurallarını yapılandırma.
Geçiş fikirleri
Geçişle ilgili önemli noktalar aşağıdadır.
Özelleştirme ayarlarını planlama
onload.js dosyası Microsoft Entra Id'de çoğaltılamaz. AD FS örneğiniz büyük ölçüde özelleştirilmişse ve onload.js dosyasındaki belirli özelleştirme ayarlarına bağlıysa, Microsoft Entra Id'nin geçerli özelleştirme gereksinimlerinizi karşılayıp karşılamadığını doğrulayın ve buna göre plan yapın. Bu yaklaşan değişiklikleri kullanıcılarınıza iletin.
Oturum açma deneyimi
Microsoft Entra oturum açma deneyimini özelleştiremezsiniz. Kullanıcılarınızın daha önce nasıl oturum açtığı fark etsin, Microsoft Entra Id'de oturum açmak için Kullanıcı Asıl Adı (UPN) veya e-posta gibi tam etki alanı adı gerekir.
Kuruluş markası
Microsoft Entra oturum açma sayfasını özelleştirebilirsiniz. Oturum açma sayfalarında AD FS'den yapılan bazı görsel değişiklikler dönüştürme işleminden sonra beklenmelidir.
Not
Microsoft 365 lisansınız olmadığı sürece kuruluş markası ücretsiz Microsoft Entra ID lisanslarında kullanılamaz.
Koşullu Erişim ilkelerini planlama
Şu anda kimlik doğrulaması için Koşullu Erişim mi kullandığınızı veya AD FS'de erişim denetimi ilkeleri mi kullandığınızı değerlendirin.
AD FS erişim denetimi ilkelerini eşdeğer Microsoft Entra Koşullu Erişim ilkeleri ve Exchange Online İstemci Erişim Kuralları ile değiştirmeyi göz önünde bulundurun. Koşullu Erişim için Microsoft Entra Id veya şirket içi grupları kullanabilirsiniz.
Eski Kimlik Doğrulamasını Devre Dışı Bırak - Eski kimlik doğrulama protokolleriyle ilişkili artan risk nedeniyle, eski kimlik doğrulamasını engellemek için Koşullu Erişim ilkesi oluşturun.
MFA için plan desteği
Federasyon etki alanları için MFA, Microsoft Entra Koşullu Erişim veya şirket içi federasyon sağlayıcısı tarafından zorunlu kılınabilir. federatedIdpMfaBehavior güvenlik ayarını yapılandırarak Microsoft Entra çok faktörlü kimlik doğrulamasının atlanmasını önlemek için korumayı etkinleştirebilirsiniz. Microsoft Entra kiracınızdaki bir federasyon etki alanı için korumayı etkinleştirin. Federasyon kullanıcısı MFA gerektiren bir Koşullu Erişim ilkesi tarafından yönetilen bir uygulamaya eriştiğinde Microsoft Entra çok faktörlü kimlik doğrulamasının her zaman gerçekleştirildiğinden emin olun. Buna, şirket içi MFA'nın gerçekleştirildiği federasyon belirteci talepleri federasyon kimlik sağlayıcısı tarafından verilmiş olsa bile Microsoft Entra çok faktörlü kimlik doğrulaması gerçekleştirme dahildir. Microsoft Entra çok faktörlü kimlik doğrulamasını her seferinde zorlamak, kötü bir aktörün MFA'yi zaten gerçekleştirdiğini taklit ederek Microsoft Entra çok faktörlü kimlik doğrulamasını atlayamaz ve üçüncü taraf bir MFA sağlayıcısı kullanan federasyon kullanıcılarınız için MFA gerçekleştirmediğiniz sürece kesinlikle önerilir.
Aşağıdaki tabloda her seçeneğin davranışı açıklanmaktadır. Daha fazla bilgi için bkz . federatedIdpMfaBehavior.
| Value | Açıklama |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra Id, federasyon kimlik sağlayıcısının gerçekleştirdiği MFA'yi kabul eder. Federasyon kimlik sağlayıcısı MFA gerçekleştirmediyse, Microsoft Entra Id MFA'yı gerçekleştirir. |
| enforceMfaByFederatedIdp | Microsoft Entra Id, federasyon kimlik sağlayıcısının gerçekleştirdiği MFA'yi kabul eder. Federasyon kimlik sağlayıcısı MFA gerçekleştirmediyse, MFA gerçekleştirmek için isteği federasyon kimlik sağlayıcısına yönlendirir. |
| rejectMfaByFederatedIdp | Microsoft Entra Id her zaman MFA gerçekleştirir ve federasyon kimlik sağlayıcısının gerçekleştirdiği MFA'yi reddeder. |
federatedIdpMfaBehavior ayarı, Set-MsolDomainFederation Ayarlar MSOnline v1 PowerShell cmdlet'inin SupportsMfa özelliğinin gelişmiş bir sürümüdür.
SupportsMfa özelliğini ayarlamış olan etki alanları için bu kurallar federatedIdpMfaBehavior ve SupportsMfa'nın birlikte nasıl çalıştığını belirler:
- federatedIdpMfaBehavior ile SupportsMfa arasında geçiş desteklenmez.
- federatedIdpMfaBehavior özelliği ayarlandıktan sonra Microsoft Entra Id, SupportsMfa ayarını yoksayar.
- federatedIdpMfaBehavior özelliği hiçbir zaman ayarlanmamışsa, Microsoft Entra Id SupportsMfa ayarını yerine getirmek için devam eder.
- FedereIdpMfaBehavior veya SupportsMfa ayarlanmamışsa, Microsoft Entra Id varsayılan olarak davranış olarak
acceptIfMfaDoneByFederatedIdpayarlanır.
Get-MgDomainFederationConfiguration komutunu çalıştırarak koruma durumunu devrebilirsiniz:
Get-MgDomainFederationConfiguration -DomainId yourdomain.com
Uygulama planı
Bu bölüm, oturum açma yönteminizi değiştirmeden ve etki alanlarını dönüştürmeden önce gerçekleştirilir.
Aşamalı dağıtım için gerekli grupları oluşturma
Aşamalı dağıtım kullanmıyorsanız bu adımı atlayın.
Aşamalı dağıtım ve ayrıca eklemeye karar verirseniz Koşullu Erişim ilkeleri için gruplar oluşturun.
Yalnızca bulut grubu olarak da bilinen Microsoft Entra ID'de ana şablonu bulunan bir grup kullanmanızı öneririz. Hem kullanıcıları MFA'ya taşımak hem de Koşullu Erişim ilkeleri için Microsoft Entra güvenlik gruplarını veya Microsoft 365 Grupları kullanabilirsiniz. Daha fazla bilgi için bkz. Microsoft Entra güvenlik grubu oluşturma ve yöneticiler için Microsoft 365 Grupları genel bakış.
Bir gruptaki üyeler, aşamalı dağıtım için otomatik olarak etkinleştirilir. İç içe ve dinamik gruplar, aşamalı dağıtım için desteklenmez.
SSO için ön çalışma
Kullandığınız SSO sürümü, cihazınızın işletim sistemine ve katılma durumuna bağlıdır.
Windows 10, Windows Server 2016 ve sonraki sürümler için Microsoft Entra'ya katılmış cihazlar, Microsoft Entra karma katılmış cihazlar ve Microsoft Entra kayıtlı cihazlar ile Birincil Yenileme Belirteci (PRT) aracılığıyla SSO kullanmanızı öneririz.
macOS ve iOS cihazları için, Apple cihazları için Microsoft Enterprise SSO eklentisi aracılığıyla SSO kullanmanızı öneririz. Bu özellik, Apple cihazlarınızın bir MDM tarafından yönetilmesini gerektirir. MDM'niz olarak Intune kullanıyorsanız Apple Intune dağıtım kılavuzu için Microsoft Enterprise SSO eklentisini izleyin. Başka bir MDM kullanıyorsanız Jamf Pro / genel MDM dağıtım kılavuzunu izleyin.
Windows 7 ve 8.1 cihazlarında, bilgisayarı Microsoft Entra ID'ye kaydetmek için etki alanına katılmış sorunsuz SSO kullanmanızı öneririz. Bu hesapları Windows 10 cihazları için yaptığınız gibi eşitlemeniz gerekmez. Ancak, PowerShell kullanarak sorunsuz SSO için bu ön işi tamamlamanız gerekir.
PHS ve PTA için ön çalışma
Oturum açma yöntemi seçimine bağlı olarak, PHS veya PTA için ön işi tamamlayın.
çözümünüzü uygulayın
Son olarak, oturum açma yöntemini planlandığı gibi PHS veya PTA'ya geçirip etki alanlarını federasyondan bulut kimlik doğrulamasına dönüştürebilirsiniz.
Aşamalı dağıtımı kullanma
Aşamalı dağıtım kullanıyorsanız aşağıdaki bağlantılarda yer alan adımları izleyin:
Kiracınızda belirli bir özelliğin aşamalı dağıtımını etkinleştirin.
Test tamamlandıktan sonra etki alanlarını federasyondan yönetilecek şekilde dönüştürün.
Aşamalı dağıtım kullanmadan
Bu değişikliği etkinleştirmek için iki seçeneğiniz vardır:
Seçenek A: Microsoft Entra Bağlan kullanarak geçiş yapın.
AD FS/ ping federasyon ortamınızı ilk olarak Microsoft Entra Bağlan kullanarak yapılandırdıysanız kullanılabilir.
B Seçeneği: Microsoft Entra Bağlan ve PowerShell kullanarak geçiş yapma
Federasyon etki alanlarınızı başlangıçta Microsoft Entra Bağlan kullanarak yapılandırmadıysanız veya üçüncü taraf federasyon hizmetleri kullanıyorsanız kullanılabilir.
Bu seçeneklerden birini belirlemek için geçerli ayarlarınızı bilmeniz gerekir.
Geçerli Microsoft Entra Bağlan ayarlarını doğrulama
- Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
- Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.
- User SIGN_IN ayarlarını bu diyagramda gösterildiği gibi doğrulayın:
Federasyonun nasıl yapılandırıldığını doğrulamak için:
Microsoft Entra Bağlan sunucunuzda Microsoft Entra Bağlan'ı açın ve Yapılandır'ı seçin.
Ek Görevler > Federasyonu Yönet'in altında Federasyon yapılandırmasını görüntüle'yi seçin.
AD FS yapılandırması bu bölümde görünüyorsa, AD FS'nin ilk olarak Microsoft Entra Bağlan kullanılarak yapılandırıldığını güvenle varsayabilirsiniz. Aşağıdaki resme örnek olarak bakın:
AD FS geçerli ayarlarda listelenmiyorsa, PowerShell kullanarak etki alanlarınızı şirket dışı kimlikten yönetilen kimliğe el ile dönüştürmeniz gerekir.
Seçenek A
Microsoft Entra Bağlan kullanarak federasyondan yeni oturum açma yöntemine geçme
Microsoft Entra Bağlan sunucunuzda Microsoft Entra Bağlan'ı açın ve Yapılandır'ı seçin.
Ek görevler sayfasında Kullanıcı oturum açmasını değiştir'i ve ardından İleri'yi seçin.
Microsoft Entra Id'ye Bağlan sayfasında Genel Yönetici istrator hesabı kimlik bilgilerinizi girin.
Kullanıcı oturum açma sayfasında:
Doğrudan kimlik doğrulama seçeneği düğmesini seçerseniz ve Windows 7 ve 8.1 cihazları için SSO gerekiyorsa Çoklu oturum açmayı etkinleştir'i işaretleyin ve İleri'yi seçin.
Parola karması eşitleme seçeneği düğmesini seçerseniz Kullanıcı hesaplarını dönüştürme onay kutusunu seçtiğinizden emin olun. seçeneği kullanım dışıdır. Windows 7 ve 8.1 cihazları için SSO gerekiyorsa Çoklu oturum açmayı etkinleştir'i işaretleyin ve İleri'yi seçin.
Daha fazla bilgi edinin: PowerShell kullanarak sorunsuz SSO'ya olanak tanıyın.
Çoklu oturum açmayı etkinleştir sayfasında, etki alanı Yönetici istrator hesabının kimlik bilgilerini girin ve İleri'yi seçin.
Sorunsuz SSO'nun etkinleştirilmesi için etki alanı Yönetici istrator hesabı kimlik bilgileri gereklidir. İşlem, bu yükseltilmiş izinleri gerektiren aşağıdaki eylemleri tamamlar:
- şirket içi Active Directory örneğinizde AZUREADSSO (Microsoft Entra Id'yi temsil eder) adlı bir bilgisayar hesabı oluşturulur.
- Bilgisayar hesabının Kerberos şifre çözme anahtarı Microsoft Entra Id ile güvenli bir şekilde paylaşılır.
- Microsoft Entra oturum açma sırasında kullanılan iki URL'yi temsil etmek için iki Kerberos hizmet asıl adı (SPN) oluşturulur.
Etki alanı yöneticisi kimlik bilgileri Microsoft Entra Bağlan veya Microsoft Entra Kimliği'nde depolanmaz ve işlem başarıyla tamamlandığında atılır. Bu özelliği açmak için kullanılırlar.
Daha fazla bilgi edinin: Sorunsuz SSO teknik ayrıntılı bakış.
Yapılandırmaya hazır sayfasında, Yapılandırma tamamlandığında eşitleme işlemini başlat onay kutusunun seçili olduğundan emin olun. Ardından Yapılandır'ı seçin.
Önemli
Bu noktada, tüm federasyon etki alanlarınız yönetilen kimlik doğrulamasına dönüşür. Seçtiğiniz Kullanıcı oturum açma yöntemi, yeni kimlik doğrulama yöntemidir.
Microsoft Entra yönetim merkezinde Microsoft Entra Id'yi ve ardından Microsoft Entra Bağlan'ı seçin.
Şu ayarları doğrulayın:
- Federasyon Devre Dışı olarak ayarlanır.
- Sorunsuz çoklu oturum açma etkin olarak ayarlanır.
- Parola Karması Eşitleme etkin olarak ayarlanır.
PTA'ya geçiyorsanız sonraki adımları izleyin.
PTA için daha fazla kimlik doğrulama aracısı dağıtma
Not
PTA, Microsoft Entra Bağlan sunucusunda ve Windows server çalıştıran şirket içi bilgisayarınızda basit aracılar dağıtmayı gerektirir. Gecikme süresini azaltmak için aracıları Active Directory etki alanı denetleyicilerinize mümkün olduğunca yakın bir şekilde yükleyin.
Çoğu müşteri için, yüksek kullanılabilirlik ve gerekli kapasiteyi sağlamak için iki veya üç kimlik doğrulama aracısı yeterlidir. Kiracıda kayıtlı en fazla 12 aracı olabilir. İlk aracı her zaman Microsoft Entra Bağlan sunucusuna yüklenir. Aracı sınırlamaları ve aracı dağıtım seçenekleri hakkında bilgi edinmek için bkz . Microsoft Entra doğrudan kimlik doğrulaması: Geçerli sınırlamalar.
Doğrudan kimlik doğrulama'ya tıklayın.
Geçiş kimlik doğrulaması sayfasında İndir düğmesini seçin.
Aracıyı indir sayfasında Koşulları kabul et'i seçin ve download.f
Daha fazla kimlik doğrulama aracısı indirilmeye başlar. İkincil kimlik doğrulama aracısını etki alanına katılmış bir sunucuya yükleyin.
Kimlik doğrulama aracısı yüklemesini çalıştırın. Yükleme sırasında Genel Yönetici istrator hesabının kimlik bilgilerini girmeniz gerekir.
Kimlik doğrulama aracısı yüklendiğinde, PTA sistem durumu sayfasına dönerek daha fazla aracının durumunu kontrol edebilirsiniz.
B Seçeneği
Microsoft Entra Bağlan ve PowerShell kullanarak federasyondan yeni oturum açma yöntemine geçme
Federasyon etki alanlarınızı başlangıçta Microsoft Entra Bağlan kullanarak yapılandırmadıysanız veya üçüncü taraf federasyon hizmetleri kullanıyorsanız kullanılabilir.
Microsoft Entra Bağlan sunucunuzda, A Seçeneği'ndeki 1- 5 arası adımları izleyin. Kullanıcı oturum açma sayfasında Yapılandırma seçeneğinin önceden seçildiğine dikkat edin.
Microsoft Entra yönetim merkezinde Microsoft Entra Id'yi ve ardından Microsoft Entra Bağlan'ı seçin.
Şu ayarları doğrulayın:
Federasyon Etkin olarak ayarlanır.
Sorunsuz çoklu oturum açma devre dışı olarak ayarlanır.
Parola Karması Eşitleme etkin olarak ayarlanır.
Yalnızca PTA olması durumunda, daha fazla PTA aracı sunucusu yüklemek için bu adımları izleyin.
Microsoft Entra yönetim merkezinde Microsoft Entra Id'yi ve ardından Microsoft Entra Bağlan'ı seçin.
Doğrudan kimlik doğrulama'ya tıklayın. Durumun Etkin olduğunu doğrulayın.
Kimlik doğrulama aracısı etkin değilse, sonraki adımda etki alanı dönüştürme işlemine devam etmeden önce bu sorun giderme adımlarını tamamlayın. PTA aracılarınızın başarıyla yüklendiğini ve durumlarının Microsoft Entra yönetim merkezinde Etkin olduğunu doğrulamadan önce etki alanlarınızı dönüştürürseniz kimlik doğrulaması kesintisine neden olursunuz.
Daha fazla kimlik doğrulama aracısı dağıtın.
Etki alanlarını federasyondan yönetilene dönüştürme
Bu noktada, federasyon kimlik doğrulaması etki alanlarınız için hala etkin ve çalışır durumdadır. Dağıtıma devam etmek için her etki alanını federasyon kimliğinden yönetilen kimliğe dönüştürmeniz gerekir.
Önemli
Tüm etki alanlarını aynı anda dönüştürmeniz gerekmez. Üretim kiracınızdaki bir test etki alanıyla başlamayı veya en düşük kullanıcı sayısına sahip etki alanınızla başlamayı seçebilirsiniz.
Microsoft Graph PowerShell SDK'sını kullanarak dönüştürmeyi tamamlayın:
PowerShell'de Genel Yönetici istrator hesabı kullanarak Microsoft Entra Id'de oturum açın.
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"İlk etki alanını dönüştürmek için aşağıdaki komutu çalıştırın:
Update-MgDomain -DomainId <domain name> -AuthenticationType "Managed"Microsoft Entra yönetim merkezinde Microsoft Entra ID > Microsoft Entra Bağlan'ı seçin.
Aşağıdaki komutu çalıştırarak etki alanının yönetilmeye dönüştürüldüğünü doğrulayın. Kimlik doğrulama türü yönetilen olarak ayarlanmalıdır.
Get-MgDomain -DomainId yourdomain.com
Geçişinizi tamamlama
Kaydolma yöntemini doğrulamak ve dönüştürme işlemini tamamlamak için aşağıdaki görevleri tamamlayın.
Yeni oturum açma yöntemini test edin
Kiracınız federasyon kimliği kullandığında, kullanıcılar Microsoft Entra oturum açma sayfasından AD FS ortamınıza yönlendirildi. Kiracı artık federasyon kimlik doğrulaması yerine yeni oturum açma yöntemini kullanacak şekilde yapılandırıldığına göre kullanıcılar AD FS'ye yönlendirilmez.
Bunun yerine, kullanıcılar doğrudan Microsoft Entra oturum açma sayfasında oturum açar.
Bu bağlantıdaki adımları izleyin - PHS/ PTA ve sorunsuz SSO ile oturum açmayı doğrulayın (gerektiğinde)
Bir kullanıcıyı aşamalı dağıtımdan kaldırma
Aşamalı dağıtım kullandıysanız, kesme işlemini tamamladıktan sonra aşamalı dağıtım özelliklerini kapatmayı unutmamalısınız.
Aşamalı dağıtım özelliğini devre dışı bırakmak için denetimi Yeniden Kapalı'ya kaydırın.
UserPrincipalName güncelleştirmelerini eşitleme
Geçmişte, şirket içi ortamdan eşitleme hizmetini kullanan UserPrincipalName özniteliğine yönelik güncelleştirmeler, bu koşulların her ikisi de doğru olmadığı sürece engellenir:
- Kullanıcı yönetilen (eşitlenmemiş) bir kimlik etki alanındadır.
- Kullanıcıya lisans atanmadı.
Bu özelliği doğrulamayı veya açmayı öğrenmek için bkz . UserPrincipalName güncelleştirmelerini eşitleme.
Uygulamanızı yönetme
Sorunsuz SSO Kerberos şifre çözme anahtarını devredin
Active Directory etki alanı üyelerinin parola değişikliklerini gönderme yöntemiyle uyumlu olması için Kerberos şifre çözme anahtarını en az 30 günde bir aktarmanızı öneririz. AZUREADSSO bilgisayar hesabı nesnesine bağlı ilişkili bir cihaz olmadığından, geçişi el ile gerçekleştirmeniz gerekir.
Bkz. SSS Nasıl yaparım? AZUREADSSO bilgisayar hesabının Kerberos şifre çözme anahtarı üzerinden geçiş yapma.
İzleme ve Günlüğe Kaydetme
Çözüm kullanılabilirliğini korumak için kimlik doğrulama aracılarını çalıştıran sunucuları izleyin. Genel sunucu performans sayaçlarına ek olarak, kimlik doğrulama aracıları kimlik doğrulama istatistiklerini ve hatalarını anlamanıza yardımcı olabilecek performans nesnelerini kullanıma sunar.
Kimlik doğrulama aracıları, işlemleri Uygulama ve Hizmet günlükleri altında bulunan Windows olay günlüklerine kaydeder. Sorun giderme için günlüğü de açabilirsiniz.
Aşamalı dağıtımda gerçekleştirilen çeşitli eylemleri onaylamak için PHS, PTA veya sorunsuz SSO için olayları denetleyebilirsiniz.
Sorun giderme
Destek ekibiniz, federasyondan yönetilene geçiş sırasında veya sonrasında ortaya çıkan kimlik doğrulama sorunlarının nasıl giderildiğini anlamalıdır. Destek ekibinizin sorunu yalıtmaya ve çözmeye yardımcı olabilecek yaygın sorun giderme adımlarını ve uygun eylemleri tanımasına yardımcı olmak için aşağıdaki sorun giderme belgelerini kullanın.
AD FS altyapısının yetkisini alma
Uygulama kimlik doğrulamasını AD FS'den Microsoft Entra Id'ye geçirme
Geçiş, uygulamanın şirket içinde nasıl yapılandırıldığını değerlendirmeyi ve ardından bu yapılandırmayı Microsoft Entra Kimliği'ne eşlemeyi gerektirir.
AD FS'yi SAML / WS-FED veya Oauth protokolü kullanarak şirket içi ve SaaS Uygulamaları ile kullanmaya devam etmek istiyorsanız, etki alanlarını kullanıcı kimlik doğrulaması için dönüştürdükten sonra hem AD FS hem de Microsoft Entra Id kullanırsınız. Bu durumda, Microsoft Entra uygulama ara sunucusu veya Microsoft Entra ID iş ortağı tümleştirmelerinden biri aracılığıyla Güvenli Karma Erişim (SHA) ile şirket içi uygulamalarınızı ve kaynaklarınızı koruyabilirsiniz. Uygulama Ara Sunucusu veya iş ortaklarımızdan birini kullanmak, şirket içi uygulamalarınıza güvenli uzaktan erişim sağlayabilir. Kullanıcılar, tek bir oturum açma sonrasında uygulamalarına herhangi bir cihazdan kolayca bağlanarak avantaj sağlar.
Şu anda ADFS ile federasyon olan SaaS uygulamalarını Microsoft Entra Id'ye taşıyabilirsiniz. Azure Uygulaması galerisinden yerleşik bir bağlayıcı aracılığıyla veya uygulamayı Microsoft Entra ID'ye kaydederek Microsoft Entra Id ile kimlik doğrulaması yapmak için yeniden yapılandırın.
Daha fazla bilgi için bkz. Uygulama kimlik doğrulamasını Active Directory Federasyon Hizmetleri (AD FS) Microsoft Entra Id'ye taşıma.
Bağlı olan taraf güvenini kaldırma
Microsoft Entra Bağlan Health'iniz varsa Microsoft Entra yönetim merkezinden kullanımı izleyebilirsiniz. Kullanımda yeni kimlik doğrulaması req değeri gösterilmiyorsa ve tüm kullanıcıların ve istemcilerin Microsoft Entra Kimliği aracılığıyla kimlik doğrulamasını başarıyla tamamladığınızı doğrularsanız, Microsoft 365 bağlı olan taraf güvenini kaldırmak güvenlidir.
AD FS'yi başka amaçlarla (diğer bağlı olan taraf güvenleri için) kullanmıyorsanız, bu noktada AD FS'nin yetkisini alabilirsiniz.
AD FS'yi kaldırma
AD FS'yi ortamdan tamamen kaldırmak için atılacak adımların tam listesi için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yetkisini alma kılavuzunu izleyin.