Aracılığıyla paylaş

Microsoft Entra Connect'in özel yüklemesi

  • Makale

Yükleme için daha fazla seçenek istediğinizde Microsoft Entra Connect'te özel ayarları kullanın. Örneğin, birden çok ormanınız varsa veya isteğe bağlı özellikleri yapılandırmak istiyorsanız bu ayarları kullanın. Hızlı yüklemenin dağıtım veya topoloji gereksinimlerinizi karşılamadığı her durumda özel ayarları kullanın.

Önkoşullar:

Özel yükleme ayarları

Microsoft Entra Connect için özel bir yükleme ayarlamak için aşağıdaki bölümlerde açıklanan sihirbaz sayfalarını inceleyin.

Hızlı ayarlar

Özel ayarlar yüklemesini başlatmak için Hızlı Ayarlar sayfasında Özelleştir'i seçin. Bu makalenin geri kalanı, özel yükleme işleminde size yol gösterir. Belirli bir sayfanın bilgilerine hızla gitmek için aşağıdaki bağlantıları kullanın:

Gerekli bileşenleri yükleme

Eşitleme hizmetlerini yüklediğinizde, isteğe bağlı yapılandırma bölümünü seçili bırakabilirsiniz. Microsoft Entra Connect her şeyi otomatik olarak ayarlar. Bir SQL Server 2019 Express LocalDB örneği ayarlar, uygun grupları oluşturur ve izinleri atar. Varsayılanları değiştirmek istiyorsanız, uygun kutuları seçin. Aşağıdaki tabloda bu seçenekler özetlenmiştir ve ek bilgilere bağlantılar sağlanmaktadır.

Microsoft Entra Connect'te gerekli yükleme bileşenleri için isteğe bağlı seçimleri gösteren ekran görüntüsü.

İsteğe bağlı yapılandırma Açıklama
Özel yükleme konumu belirtme Microsoft Entra Connect için varsayılan yükleme yolunu değiştirmenize olanak tanır.
Var olan bir SQL Server kullanma SQL Server adını ve örnek adını belirtmenize olanak tanır. Kullanmak istediğiniz bir veritabanı sunucunuz varsa bu seçeneği belirleyin. Örnek Adı için, SQL Server örneğinizde göz atma etkin değilse örnek adını, virgül ve bağlantı noktası numarasını girin. Ardından Microsoft Entra Connect veritabanının adını belirtin. SQL ayrıcalıklarınız yeni bir veritabanı oluşturulup oluşturulamayacağını veya SQL yöneticinizin veritabanını önceden oluşturması gerekip gerekmediğini belirler. SQL Server yöneticisi (SA) izinleriniz varsa bkz . Microsoft Entra Connect'i var olan bir veritabanını kullanarak yükleme. Temsilci izinleriniz (DBO) varsa bkz . SQL temsilci yönetici izinlerini kullanarak Microsoft Entra Connect'i yükleme.
Mevcut bir hizmet hesabını kullanma Varsayılan olarak, Microsoft Entra Connect eşitleme hizmetleri için bir sanal hizmet hesabı sağlar. SQL Server'ın uzak bir örneğini kullanıyorsanız veya kimlik doğrulaması gerektiren bir ara sunucu kullanıyorsanız, etki alanında yönetilen bir hizmet hesabı veya parola korumalı bir hizmet hesabı kullanabilirsiniz. Böyle durumlarda, kullanmak istediğiniz hesabı girin. Yüklemeyi çalıştırmak için, hizmet hesabı için oturum açma kimlik bilgileri oluşturabilmeniz için SQL'de SA olmanız gerekir. Daha fazla bilgi için bkz . Microsoft Entra Connect hesapları ve izinleri.

SQL yöneticisi artık en son derlemeyi kullanarak veritabanını bant dışında sağlayabilir. Ardından Microsoft Entra Connect yöneticisi bunu veritabanı sahibi haklarıyla yükleyebilir. Daha fazla bilgi için bkz . SQL yönetici temsilcisi izinlerini kullanarak Microsoft Entra Connect'i yükleme.
Özel eşitleme gruplarını belirtme Varsayılan olarak, eşitleme hizmetleri yüklendiğinde Microsoft Entra Connect sunucuda yerel olan dört grup oluşturur. Bu gruplar Yöneticiler, İşleçler, Gözat ve Parola Sıfırlama'dır. Burada kendi gruplarınızı belirtebilirsiniz. Grupların sunucuda yerel olması gerekir. Etki alanında bulunamaz.
Eşitleme ayarlarını içeri aktarma Microsoft Entra Connect'in diğer sürümlerinden ayarları içeri aktarmanıza olanak tanır. Daha fazla bilgi için bkz . Microsoft Entra Connect yapılandırma ayarlarını içeri ve dışarı aktarma.

Kullanıcı oturum açma

Gerekli bileşenleri yükledikten sonra kullanıcılarınızın çoklu oturum açma yöntemini seçin. Aşağıdaki tabloda, kullanılabilir seçenekler kısaca açıklanmaktadır. Oturum açma yöntemlerinin tam açıklaması için bkz . Kullanıcı oturum açma.

Çoklu oturum açma seçeneği Açıklama
Parola karması eşitleme Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, Microsoft Entra Id ile parola karması olarak eşitlenir. Kimlik doğrulaması bulutta gerçekleşir. Daha fazla bilgi için bkz . Parola karması eşitleme.
Doğrudan kimlik doğrulaması Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, şirket içi Active Directory etki alanı denetleyicisine geçirilerek doğrulanır.
AD FS ile federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi Azure Dizin Federasyon Hizmetleri (AD FS) örneğine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
PingFederate ile Federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi PingFederate örneklerine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
Yapılandırma Hiçbir kullanıcı oturum açma özelliği yüklenmedi veya yapılandırılmadı. Zaten bir üçüncü taraf federasyon sunucunuz veya başka bir çözümünüz varsa bu seçeneği belirleyin.
Çoklu oturum açmayı etkinleştirme Bu seçenek hem parola karması eşitleme hem de doğrudan kimlik doğrulaması ile kullanılabilir. Kurumsal ağlardaki masaüstü kullanıcıları için çoklu oturum açma deneyimi sağlar. Daha fazla bilgi için bkz . Çoklu oturum açma.

Not: AD FS müşterileri için bu seçenek kullanılamaz. AD FS zaten aynı çoklu oturum açma düzeyini sunuyor.

Microsoft Entra Id'ye bağlanma

Microsoft Entra Id'ye Bağlan sayfasında bir Karma Kimlik Yöneticisi hesabı ve parolası girin. Önceki sayfada AD FS ile Federasyon seçeneğini belirlediyseniz, federasyon için etkinleştirmeyi planladığınız bir etki alanında bulunan bir hesapla oturum açmayın.

Microsoft Entra kiracınızla birlikte gelen varsayılan onmicrosoft.com etki alanında bir hesap kullanmak isteyebilirsiniz. Bu hesap yalnızca Microsoft Entra Id'de bir hizmet hesabı oluşturmak için kullanılır. Yükleme tamamlandıktan sonra kullanılmaz.

Not

Microsoft Entra rol atamaları için şirket içi eşitlenmiş hesapları kullanmaktan kaçınmak en iyi yöntemdir. Şirket içi hesabın gizliliği ihlal edilirse bu, Microsoft Entra kaynaklarınızın güvenliğini tehlikeye atmak için de kullanılabilir. En iyi yöntemlerin tam listesi için bkz . Microsoft Entra rolleri için en iyi yöntemler

Genel Yönetici hesabınızda çok faktörlü kimlik doğrulaması etkinleştirildiyse, oturum açma penceresinde parolayı yeniden sağlarsınız ve çok faktörlü kimlik doğrulama sınamasını tamamlamanız gerekir. Sınama bir doğrulama kodu veya bir telefon görüşmesi olabilir.

Genel Yönetici hesabında ayrıcalıklı kimlik yönetimi de etkinleştirilebilir.

Federasyon hesapları, akıllı kart ve MFA senaryoları gibi parola dışı senaryolarda kimlik doğrulama desteği kullanmak için sihirbazı başlatırken /InteractiveAuth anahtarını sağlayabilirsiniz. Bu anahtarın kullanılması Sihirbazın kimlik doğrulama kullanıcı arabirimini atlar ve kimlik doğrulamasını işlemek için MSAL kitaplığının kullanıcı arabirimini kullanır.

Bir hata görürseniz veya bağlantıyla ilgili sorun yaşıyorsanız bkz . Bağlantı sorunlarını giderme.

Sayfaları eşitleme

Aşağıdaki bölümlerde, Eşitleme bölümündeki sayfalar açıklanmaktadır.

Dizinlerinizi bağlama

Active Directory Etki Alanı Hizmetlerine (AD DS) bağlanmak için, Microsoft Entra Connect'in yeterli izinlere sahip bir hesabın orman adına ve kimlik bilgilerine ihtiyacı vardır.

Orman adını girip Dizin Ekle'yi seçtikten sonra bir pencere görüntülenir. Aşağıdaki tabloda seçenekleriniz açıklanmaktadır.

Seçenek Açıklama
Yeni hesap oluşturma Dizin eşitlemesi sırasında Microsoft Entra Connect'in Active Directory ormanına bağlanması için gereken AD DS hesabını oluşturun. Bu seçeneği belirledikten sonra, kurumsal yönetici hesabının kullanıcı adını ve parolasını girin. Microsoft Entra Connect, gerekli AD DS hesabını oluşturmak için sağlanan kurumsal yönetici hesabını kullanır. Etki alanı bölümünü NetBIOS veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\administrator veya fabrikam.com\administrator girin.
Mevcut hesabı kullan Microsoft Entra Connect'in dizin eşitlemesi sırasında Active Directory ormanına bağlanmak için kullanabileceği mevcut bir AD DS hesabı sağlayın. Etki alanı bölümünü NetBIOS veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\syncuser veya fabrikam.com\syncuser girin. Yalnızca varsayılan okuma izinlerine ihtiyacı olduğundan bu hesap normal bir kullanıcı hesabı olabilir. Ancak senaryonuza bağlı olarak daha fazla izne ihtiyacınız olabilir. Daha fazla bilgi için bkz . Microsoft Entra Connect hesapları ve izinleri.

Yeni bir hesap oluşturmayı veya var olan bir hesabı kullanmayı seçebileceğiniz

Not

Derleme 1.4.18.0'da ad DS bağlayıcı hesabı olarak kurumsal yönetici veya etki alanı yönetici hesabı kullanamazsınız. Var olan hesabı kullan'ı seçtiğinizde, bir kurumsal yönetici hesabı veya etki alanı yönetici hesabı girmeye çalışırsanız şu hatayı görürsünüz: "AD orman hesabınız için Kurumsal veya Etki Alanı yönetici hesabı kullanılmasına izin verilmiyor. Microsoft Entra Connect'in sizin için hesap oluşturmasına veya doğru izinlere sahip bir eşitleme hesabı belirtmesine izin verin."

Microsoft Entra oturum açma yapılandırması

Microsoft Entra oturum açma yapılandırması sayfasında, şirket içi AD DS'de kullanıcı asıl adı (UPN) etki alanlarını gözden geçirin. Bu UPN etki alanları Microsoft Entra Id'de doğrulanmıştır. Bu sayfada, userPrincipalName için kullanılacak özniteliğini yapılandıracaksınız.

Eklenmedi veya Doğrulanmadı olarak işaretlenmiş tüm etki alanını gözden geçirin. Kullandığınız etki alanlarının Microsoft Entra Id'de doğrulanmış olduğundan emin olun. Etki alanlarınızı doğruladıktan sonra döngüsel yenileme simgesini seçin. Daha fazla bilgi için bkz . Etki alanı ekleme ve doğrulama.

Kullanıcılar Microsoft Entra Id ve Microsoft 365'te oturum açarken userPrincipalName özniteliğini kullanır. Microsoft Entra Id, kullanıcılar eşitlenmeden önce UPN son eki olarak da bilinen etki alanlarını doğrulamalıdır. Microsoft, userPrincipalName varsayılan özniteliğini korumanızı önerir.

userPrincipalName özniteliği yönlendirilemezse ve doğrulanamıyorsa başka bir öznitelik seçebilirsiniz. Örneğin, oturum açma kimliğini barındıran öznitelik olarak e-postayı seçebilirsiniz. userPrincipalName dışında bir öznitelik kullandığınızda, diğer kimlik olarak bilinir.

Alternatif kimlik özniteliği değeri RFC 822 standardına uygun olmalıdır. Parola karması eşitlemesi, doğrudan kimlik doğrulaması ve federasyon ile alternatif bir kimlik kullanabilirsiniz. Active Directory'de öznitelik, tek bir değere sahip olsa bile birden çok değerli olarak tanımlanamaz. Alternatif kimlik hakkında daha fazla bilgi için bkz . Doğrudan kimlik doğrulaması: Sık sorulan sorular.

Not

Doğrudan kimlik doğrulamasını etkinleştirdiğinizde, özel yükleme işlemine devam etmek için en az bir doğrulanmış etki alanınız olmalıdır.

Uyarı

Alternatif kimlikler tüm Microsoft 365 iş yükleriyle uyumlu değildir. Daha fazla bilgi için bkz . Alternatif oturum açma kimliklerini yapılandırma.

Etki alanı ve OU filtreleme

Varsayılan olarak, tüm etki alanları ve kuruluş birimleri (OU) eşitlenir. Bazı etki alanlarını veya OU'ları Microsoft Entra Id ile eşitlemek istemiyorsanız, uygun seçimleri temizleyebilirsiniz.

Etki alanı ve O U filtreleme sayfasını gösteren ekran görüntüsü.

Bu sayfa etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırmaktadır. Değişiklik yapmayı planlıyorsanız bkz . Etki alanı tabanlı filtreleme ve OU tabanlı filtreleme. Bazı OU'lar işlevsellik için gereklidir, bu nedenle bunları seçili bırakmalısınız.

1.1.524.0'dan eski bir Microsoft Entra Connect sürümüyle OU tabanlı filtreleme kullanırsanız, yeni OU'lar varsayılan olarak eşitlenir. Yeni OU'ların eşitlenmesini istemiyorsanız, OU tabanlı filtreleme adımından sonra varsayılan davranışı ayarlayabilirsiniz. Microsoft Entra Connect 1.1.524.0 veya üzeri için yeni OU'ların eşitlenmesini isteyip istemediğinizi belirtebilirsiniz.

Grup tabanlı filtreleme kullanmayı planlıyorsanız, grupla birlikte OU'nun eklendiğinden ve OU filtrelemesi kullanılarak filtrelenmediğinden emin olun. OU filtrelemesi, grup tabanlı filtreleme değerlendirilmeden önce değerlendirilir.

Güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına ulaşılamıyor da olabilir. Bu etki alanları varsayılan olarak seçili değildir ve bir uyarı görüntüler.

Ulaşılamayan etki alanlarını gösteren ekran görüntüsü.

Bu uyarıyı görürseniz, bu etki alanlarına gerçekten ulaşılamadığını ve uyarının beklendiğinden emin olun.

Kullanıcılarınızı benzersiz bir şekilde tanımlama

Kullanıcıları tanımlama sayfasında, şirket içi dizinlerinizdeki kullanıcıları tanımlamayı ve sourceAnchor özniteliğini kullanarak bunları tanımlamayı seçin.

Kullanıcıların şirket içi dizinlerinizde nasıl tanımlanacaklarını seçin

Ormanlar arasında eşleştirme özelliğini kullanarak, AD DS ormanlarınızdaki kullanıcıların Microsoft Entra Kimliği'nde nasıl temsil edilebileceğini tanımlayabilirsiniz. Bir kullanıcı tüm ormanlarda yalnızca bir kez temsil edilebilir veya etkin ve devre dışı hesapların birleşimine sahip olabilir. Kullanıcı bazı ormanlarda kişi olarak da temsil edilebilir.

Kullanıcılarınızı benzersiz olarak tanımlayabileceğiniz sayfayı gösteren ekran görüntüsü.

Ayar Açıklama
Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edilir Tüm kullanıcılar, Microsoft Entra Id'de tek tek nesneler olarak oluşturulur. Nesneler meta veri deposuna katılmaz.
Posta özniteliği Posta özniteliği farklı ormanlarda aynı değere sahipse bu seçenek kullanıcıları ve kişileri birleştirir. Kişileriniz GALSync kullanılarak oluşturulduğunda bu seçeneği kullanın. Bu seçeneği belirlerseniz, posta özniteliği doldurulmamış kullanıcı nesneleri Microsoft Entra Id ile eşitlenmez.
ObjectSID ve msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID öznitelikleri Bu seçenek, hesap ormanındaki etkin bir kullanıcıyı, kaynak ormanında devre dışı bırakılmış bir kullanıcıyla birleştirir. Exchange'de bu yapılandırma bağlantılı posta kutusu olarak bilinir. Yalnızca Lync kullanıyorsanız ve kaynak ormanında Exchange yoksa bu seçeneği kullanabilirsiniz.
SAMAccountName ve MailNickName öznitelikleri Bu seçenek, kullanıcının oturum açma kimliğinin bulunması beklenen özniteliklere katılır.
Belirli bir öznitelik seçin Bu seçenek kendi özniteliğinizi seçmenizi sağlar. Bu seçeneği belirlerseniz, (seçili) özniteliği doldurulmamış kullanıcı nesneleri Microsoft Entra Kimliği ile eşitlenmez. Sınırlama: Bu seçenek için yalnızca meta veri bölmesinde bulunan öznitelikler kullanılabilir.

Kullanıcıların kaynak bağlantı noktası kullanılarak nasıl tanımlanacaklarını seçme

sourceAnchor özniteliği, kullanıcı nesnesinin ömrü boyunca sabittir. Şirket içi kullanıcıyı Microsoft Entra Id'deki kullanıcıya bağlayan birincil anahtardır.

Ayar Açıklama
Kaynak bağlantı noktasını Azure'ın yönetmesine izin verme Microsoft Entra Id'nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin. Bu seçeneği belirlerseniz Microsoft Entra Connect, sourceAnchor olarak ms-DS-ConsistencyGuid kullanma bölümünde açıklanan sourceAnchor özniteliği seçim mantığını uygular. Özel yükleme tamamlandıktan sonra sourceAnchor özniteliği olarak hangi özniteliğin seçildiğini görürsünüz.
Belirli bir öznitelik seçin sourceAnchor özniteliği olarak mevcut bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.

sourceAnchor özniteliği değiştirilemediğinden, uygun bir öznitelik seçmeniz gerekir. objectGUID iyi bir adaydır. Kullanıcı hesabı ormanlar veya etki alanları arasında taşınmadığı sürece bu öznitelik değiştirilmez. Bir kişi evlendiğinde veya atamaları değiştirdiğinde değişebilecek öznitelikleri seçmeyin.

at işareti (@) içeren öznitelikleri kullanamazsınız, bu nedenle e-posta ve userPrincipalName kullanamazsınız. Özniteliği büyük/küçük harfe de duyarlıdır, bu nedenle bir nesneyi ormanlar arasında taşıdığınızda büyük ve küçük harfleri koruduğunuzdan emin olun. İkili öznitelikler Base64 ile kodlanır, ancak diğer öznitelik türleri kodlanmamış durumunda kalır.

Federasyon senaryolarında ve bazı Microsoft Entra ID arabirimlerinde sourceAnchor özniteliği sabitID olarak da bilinir.

Kaynak bağlantı hakkında daha fazla bilgi için bkz . Tasarım kavramları.

Gruplara göre filtrelemeyi eşitleme

Gruplara göre filtreleme özelliği, pilot için nesnelerin yalnızca küçük bir alt kümesini eşitlemenizi sağlar. Bu özelliği kullanmak için şirket içi Active Directory örneğinizde bu amaçla bir grup oluşturun. Ardından Microsoft Entra Id ile eşitlenmesi gereken kullanıcıları ve grupları doğrudan üye olarak ekleyin. Microsoft Entra Id'de bulunması gereken nesnelerin listesini korumak için daha sonra bu gruptan kullanıcı ekleyebilir veya kullanıcıları kaldırabilirsiniz.

Eşitlemek istediğiniz tüm nesneler grubun doğrudan üyeleri olmalıdır. Kullanıcıların, grupların, kişilerin ve bilgisayarların veya cihazların tümü doğrudan üye olmalıdır. İç içe grup üyeliği çözümlenmez. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir. Üyeleri eklenmez.

Kullanıcıları ve cihazları filtrelemeyi seçebileceğiniz sayfayı gösteren ekran görüntüsü.

Uyarı

Bu özellik yalnızca bir pilot dağıtımı desteklemeye yöneliktir. Tam üretim dağıtımında kullanmayın.

Tam üretim dağıtımında, tek bir grubun ve tüm nesnelerinin eşitlenmesi zor olabilir. Gruplara göre filtreleme özelliği yerine, Filtrelemeyi yapılandırma bölümünde açıklanan yöntemlerden birini kullanın.

İsteğe bağlı özellikler

Sonraki sayfada senaryonuz için isteğe bağlı özellikleri seçebilirsiniz.

Uyarı

Microsoft Entra Connect 1.0.8641.0 ve önceki sürümleri, parola geri yazma için Azure Erişim Denetim Hizmeti'ni kullanır. Bu hizmet 7 Kasım 2018'de kullanımdan kaldırılmıştır. Microsoft Entra Connect'in bu sürümlerinden herhangi birini kullanıyorsanız ve parola geri yazmayı etkinleştirdiyseniz, hizmet kullanımdan kaldırıldığında kullanıcılar parolalarını değiştirme veya sıfırlama yeteneğini kaybedebilir. Microsoft Entra Connect'in bu sürümleri parola geri yazmayı desteklemez.

Parola geri yazma özelliğini kullanmak istiyorsanız Microsoft Entra Connect'in en son sürümünü indirin.

Uyarı

Azure AD Eşitleme veya Doğrudan Eşitleme (DirSync) etkinse, Microsoft Entra Connect'teki geri yazma özelliklerini etkinleştirmeyin.

İsteğe bağlı özellikler Açıklama
Exchange karma dağıtımı Exchange karma dağıtım özelliği, Exchange posta kutularının hem şirket içinde hem de Microsoft 365'te birlikte varlığına olanak tanır. Microsoft Entra Connect, Microsoft Entra'dan belirli bir öznitelik kümesini şirket içi dizininize geri eşitler.
Exchange posta ortak klasörleri Exchange posta ortak klasörleri özelliği, posta etkin ortak klasör nesnelerini şirket içi Active Directory örneğinizden Microsoft Entra Id ile eşitlemenize olanak tanır. Ortak klasörleri içeren grupları üye olarak eşitlemenin desteklenmediğini ve bunu yapmaya çalışmanın eşitleme hatasına neden olacağını unutmayın.
Microsoft Entra uygulaması ve öznitelik filtrelemesi Microsoft Entra uygulaması ve öznitelik filtrelemesini etkinleştirerek eşitlenmiş öznitelik kümesini uyarlayabilirsiniz. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler. Daha fazla bilgi için bkz . Microsoft Entra uygulaması ve öznitelik filtreleme.
Parola karması eşitleme Oturum açma çözümü olarak federasyonu seçtiyseniz parola karması eşitlemesini etkinleştirebilirsiniz. Ardından bunu bir yedekleme seçeneği olarak kullanabilirsiniz.

Doğrudan kimlik doğrulamasını seçtiyseniz, eski istemciler için destek sağlamak ve bir yedekleme sağlamak için bu seçeneği etkinleştirebilirsiniz.

Daha fazla bilgi için bkz . Parola karması eşitleme.
Parola geri yazma Microsoft Entra Id'den kaynaklanan parola değişikliklerinin şirket içi dizininize geri yazıldığından emin olmak için bu seçeneği kullanın. Daha fazla bilgi için bkz . Parola yönetimini kullanmaya başlama.
Grup geri yazma Microsoft 365 Grupları kullanıyorsanız, şirket içi Active Directory örneğinizdeki grupları temsil edebilirsiniz. Bu seçenek yalnızca şirket içi Active Directory örneğinizde Exchange varsa kullanılabilir. Daha fazla bilgi için bkz . Microsoft Entra Connect grup geri yazma.
Cihaz geri yazma Koşullu erişim senaryoları için, Microsoft Entra Id'deki cihaz nesnelerini şirket içi Active Directory örneğine geri yazmak için bu seçeneği kullanın. Daha fazla bilgi için bkz . Microsoft Entra Connect'te cihaz geri yazmayı etkinleştirme.
Dizin uzantısı özniteliği eşitleme Belirtilen öznitelikleri Microsoft Entra Id ile eşitlemek için bu seçeneği belirleyin. Daha fazla bilgi için bkz . Dizin uzantıları.

Microsoft Entra uygulaması ve öznitelik filtrelemesi

Hangi özniteliklerin Microsoft Entra Id ile eşitleneceğini sınırlamak istiyorsanız, kullandığınız hizmetleri seçerek başlayın. Bu sayfadaki seçimleri değiştirirseniz, yükleme sihirbazını yeniden çalıştırarak yeni bir hizmeti açıkça seçmeniz gerekir.

İsteğe bağlı Microsoft Entra uygulamaları özelliklerini gösteren ekran görüntüsü.

Önceki adımda seçtiğiniz hizmetlere bağlı olarak, bu sayfa eşitlenen tüm öznitelikleri gösterir. Bu liste, eşitlenen tüm nesne türlerinin birleşimidir. Bazı özniteliklerin eşitlenmemiş kalması gerekiyorsa, bu özniteliklerden seçimi temizleyebilirsiniz.

İsteğe bağlı Microsoft Entra öznitelik özelliklerini gösteren ekran görüntüsü.

Uyarı

Özniteliklerin kaldırılması işlevselliği etkileyebilir. En iyi yöntemler ve öneriler için bkz . Eşitlenecek öznitelikler.

Dizin Uzantısı öznitelik eşitlemesi

Kuruluşunuzun eklediği özel öznitelikleri veya Active Directory'deki diğer öznitelikleri kullanarak Microsoft Entra Id'de şemayı genişletebilirsiniz. Bu özelliği kullanmak için İsteğe Bağlı Özellikler sayfasında Dizin Uzantısı öznitelik eşitleme'yi seçin. Dizin Uzantıları sayfasında, eşitlenecek daha fazla öznitelik seçebilirsiniz.

Not

Kullanılabilir Öznitelikler alanı büyük/küçük harfe duyarlıdır.

Daha fazla bilgi için bkz . Dizin uzantıları.

Çoklu oturum açmayı etkinleştirme

Çoklu oturum açma sayfasında, parola eşitleme veya doğrudan kimlik doğrulaması ile kullanmak üzere çoklu oturum açmayı yapılandırabilirsiniz. Bu adımı, Microsoft Entra Id ile eşitlenen her orman için bir kez yaparsınız. Yapılandırma iki adımdan oluşur:

  1. Şirket içi Active Directory örneğinizde gerekli bilgisayar hesabını oluşturun.
  2. İstemci makinelerinin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırın.

Active Directory'de bilgisayar hesabı oluşturma

Microsoft Entra Connect'e eklenen her orman için, bilgisayar hesabının her ormanda oluşturulabilmesi için etki alanı yöneticisi kimlik bilgilerini sağlamanız gerekir. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır. Bunlar başka hiçbir işlem için depolanmaz veya kullanılmaz. Aşağıdaki resimde gösterildiği gibi, kimlik bilgilerini Çoklu oturum açmayı etkinleştir sayfasına ekleyin.

Not

Çoklu oturum açmayı kullanmak istemediğiniz ormanları atlayabilirsiniz.

İstemci makineler için intranet bölgesini yapılandırma

İstemcinin intranet bölgesinde otomatik olarak oturum açtığından emin olmak için URL'nin intranet bölgesinin bir parçası olduğundan emin olun. Bu adım, etki alanına katılmış bilgisayarın şirket ağına bağlandığında Otomatik olarak Microsoft Entra Id'ye kerberos bileti göndermesini sağlar.

Grup İlkesi yönetim araçlarının olduğu bir bilgisayarda:

  1. Grup İlkesi yönetim araçlarını açın.

  2. Tüm kullanıcılara uygulanacak grup ilkesini düzenleyin. Örneğin, Varsayılan Etki Alanı ilkesi.

  3. Kullanıcı Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Internet Explorer>Internet Denetim Masası> Güvenlik Sayfası'na gidin. Ardından Siteden Bölgeye Atama Listesi'ne tıklayın.

  4. İlkeyi etkinleştirin. Ardından, iletişim kutusuna her iki URL için de ve değerini içeren bir değer 1 adı https://autologon.microsoftazuread-sso.comhttps://aadg.windows.net.nsatc.net girin. Kurulumunuz aşağıdaki görüntü gibi görünmelidir.

    İntranet bölgelerini gösteren ekran görüntüsü.

  5. Tamam'ı iki kez seçin.

AD FS ile federasyonu yapılandırma

AD FS'yi Microsoft Entra Connect ile yalnızca birkaç tıklamayla yapılandırabilirsiniz. Başlamadan önce şunları yapmanız gerekir:

  • Federasyon sunucusu için Windows Server 2012 R2 veya üzeri. Uzaktan yönetim etkinleştirilmelidir.
  • Web Uygulama Ara Sunucusu sunucusu için Windows Server 2012 R2 veya üzeri. Uzaktan yönetim etkinleştirilmelidir.
  • Kullanmayı planladığınız federasyon hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).

Not

Federasyon güveninizi yönetmek için kullanmasanız bile Microsoft Entra Connect'i kullanarak AD FS grubunuzun TLS/SSL sertifikasını güncelleştirebilirsiniz.

AD FS yapılandırma önkoşulları

AD FS grubunuzu Microsoft Entra Connect kullanarak yapılandırmak için uzak sunucularda WinRM'nin etkinleştirildiğinden emin olun. Federasyon önkoşullarındaki diğer görevleri tamamladığınızdan emin olun. Ayrıca, Microsoft Entra Connect ve Federation/WAP sunucuları tablosunda listelenen bağlantı noktası gereksinimlerini de izlediğinize emin olun.

Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubu kullanma

Mevcut bir AD FS grubu kullanabilir veya yeni bir grup oluşturabilirsiniz. Yeni bir sertifika oluşturmayı seçerseniz TLS/SSL sertifikasını sağlamanız gerekir. TLS/SSL sertifikası bir parolayla korunuyorsa parolayı sağlamanız istenir.

Mevcut bir AD FS grubu kullanmayı seçerseniz, AD FS ile Microsoft Entra Id arasındaki güven ilişkisini yapılandırabileceğiniz sayfayı görürsünüz.

Not

Yalnızca bir AD FS grubu yönetmek için Microsoft Entra Connect'i kullanabilirsiniz. Seçili AD FS grubunda Microsoft Entra Id'nin yapılandırıldığı mevcut bir federasyon güveni varsa, Microsoft Entra Connect güveni sıfırdan yeniden oluşturur.

AD FS sunucularını belirtme

AD FS'yi yüklemek istediğiniz sunucuları belirtin. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. Bu yapılandırmayı ayarlamadan önce, tüm AD FS sunucularını Active Directory'ye katın. Bu adım Web Uygulama Ara Sunucusu sunucuları için gerekli değildir.

Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusu yüklemenizi önerir. İlk yapılandırmadan sonra, Microsoft Entra Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.

Not

Bu yapılandırmayı ayarlamadan önce tüm sunucularınızın bir Microsoft Entra etki alanına katıldığından emin olun.

Web Uygulama Ara Sunucusu sunucularını belirtme

Web Uygulama Ara Sunucusu sunucularınızı belirtin. Web Uygulama Ara Sunucusu sunucusu çevre ağınıza dağıtılır ve extranet'e yöneliktir. Extranetten gelen kimlik doğrulama isteklerini destekler. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.

Microsoft, test ve pilot dağıtımlar için tek bir Web Uygulama Ara Sunucusu sunucusu yüklemenizi önerir. İlk yapılandırmadan sonra, Microsoft Entra Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz. İntranet'ten kimlik doğrulamasını karşılamak için eşdeğer sayıda ara sunucuya sahip olmanız önerilir.

Not

  • Kullandığınız hesap Web Uygulama Ara Sunucusu sunucularında yerel yönetici değilse yönetici kimlik bilgileri istenir.
  • Web Uygulama Ara Sunucusu sunucularını belirtmeden önce, Microsoft Entra Connect sunucusu ile Web Uygulama Ara Sunucusu sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.
  • Kimlik doğrulama isteklerinin akışına izin vermek için Web Uygulaması Sunucusu ile AD FS sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.

Web Uygulama Ara Sunucusu sunucuları sayfasını gösteren ekran görüntüsü.

Web uygulaması sunucusunun AD FS sunucusuna güvenli bir bağlantı kurabilmesi için kimlik bilgilerini girmeniz istenir. Bu kimlik bilgileri AD FS sunucusundaki bir yerel yönetici hesabı için olmalıdır.

AD FS hizmeti için hizmet hesabını belirtin

AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory'de kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir. İki tür hizmet hesabını destekleyebilir:

  • Grup tarafından yönetilen hizmet hesabı: Bu hesap türü, Windows Server 2012 tarafından AD DS'ye tanıtıldı. Bu hesap türü AD FS gibi hizmetler sağlar. Parolayı düzenli olarak güncelleştirmeniz gerekmeyen tek bir hesaptır. AD FS sunucularınızın ait olduğu etki alanında zaten Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.
  • Etki alanı kullanıcı hesabı: Bu hesap türü için parola girmeniz ve süresi dolduğunda parolayı düzenli olarak güncelleştirmeniz gerekir. Bu seçeneği yalnızca AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz olmadığında kullanın.

Grup Yönetilen Hizmet Hesabı oluştur'u seçtiyseniz ve bu özellik Active Directory'de hiç kullanılmadıysa, kurumsal yönetici kimlik bilgilerinizi girin. Bu kimlik bilgileri, anahtar depoyu başlatmak ve Özelliği Active Directory'de etkinleştirmek için kullanılır.

Not

Microsoft Entra Connect, AD FS hizmetinin etki alanında hizmet asıl adı (SPN) olarak zaten kayıtlı olup olmadığını denetler. AD DS, yinelenen SPN'lerin aynı anda kaydedilmesine izin vermez. Yinelenen bir SPN bulunursa, SPN kaldırılana kadar daha fazla ilerleyemezsiniz.

Birleştirmek istediğiniz Microsoft Entra etki alanını seçin

AD FS ile Microsoft Entra Id arasındaki federasyon ilişkisini ayarlamak için Microsoft Entra Domain sayfasını kullanın. Burada AD FS'yi Microsoft Entra Id'ye güvenlik belirteçleri sağlayacak şekilde yapılandıracaksınız. Ayrıca Microsoft Entra Id'yi bu AD FS örneğindeki belirteçlere güvenecek şekilde yapılandırabilirsiniz.

Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz. Daha sonra Microsoft Entra Connect'i yeniden çalıştırarak daha fazla etki alanı yapılandırabilirsiniz.

Federasyon için seçilen Microsoft Entra etki alanını doğrulama

Birleştirmek istediğiniz etki alanını seçtiğinizde, Microsoft Entra Connect doğrulanmamış bir etki alanını doğrulamak için kullanabileceğiniz bilgiler sağlar. Daha fazla bilgi için bkz . Etki alanı ekleme ve doğrulama.

Etki alanını doğrulamak için kullanabileceğiniz bilgiler de dahil olmak üzere

Not

Microsoft Entra Connect, yapılandırma aşamasında etki alanını doğrulamaya çalışır. Gerekli Etki Alanı Adı Sistemi (DNS) kayıtlarını eklemezseniz, yapılandırma tamamlanamaz.

PingFederate ile federasyonu yapılandırma

PingFederate'i Microsoft Entra Connect ile yalnızca birkaç tıklamayla yapılandırabilirsiniz. Aşağıdaki önkoşullar gereklidir:

  • PingFederate 8.4 veya üzeri. Daha fazla bilgi için Ping Kimliği belgelerindeki Microsoft Entra ID ve Microsoft 365 ile PingFederate tümleştirmesi bölümüne bakın.
  • Kullanmayı planladığınız federasyon hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).

Etki alanını doğrulama

PingFederate kullanarak federasyonu ayarlamayı seçtikten sonra federasyon oluşturmak istediğiniz etki alanını doğrulamanız istenir. Açılan menüden etki alanını seçin.

PingFederate ayarlarını dışarı aktarma

PingFederate'i federasyon sunucusu olarak her federasyon Azure etki alanı için yapılandırın. Bu bilgileri PingFederate yöneticinizle paylaşmak için Ayarları Dışarı Aktar'ı seçin. Federasyon sunucusu yöneticisi yapılandırmayı güncelleştirir ve ardından Microsoft Entra Connect'in meta veri ayarlarını doğrulayabilmesi için PingFederate sunucu URL'sini ve bağlantı noktası numarasını sağlar.

Doğrulama sorunlarını çözmek için PingFederate yöneticinize başvurun. Aşağıdaki görüntüde, Azure ile geçerli bir güven ilişkisi olmayan bir PingFederate sunucusu hakkındaki bilgiler gösterilmektedir.

Sunucu bilgilerini gösteren ekran görüntüsü: PingFederate sunucusu bulundu, ancak Azure için hizmet sağlayıcısı bağlantısı eksik veya devre dışı.

Federasyon bağlantısını doğrulama

Microsoft Entra Connect, önceki adımda PingFederate meta verilerinden alınan kimlik doğrulama uç noktalarını doğrulamaya çalışır. Microsoft Entra Connect ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözümlemeye çalışır. Ardından, uç noktaları bir dış DNS sağlayıcısı kullanarak çözümlemeye çalışır. Doğrulama sorunlarını çözmek için PingFederate yöneticinize başvurun.

Federasyon oturum açma doğrulama

Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz. Oturum açma işleminiz başarılı olursa PingFederate ile federasyon başarıyla yapılandırılır.

Sayfaları yapılandırma ve doğrulama

Yapılandırma Yapılandır sayfasında gerçekleşir.

Not

Federasyonu yapılandırdıysanız, yüklemeye devam etmeden önce federasyon sunucuları için Ad çözümlemesini de yapılandırdığınızdan emin olun.

Hazırlama modunu kullanma

Hazırlama moduna paralel olarak yeni bir eşitleme sunucusu ayarlamak mümkündür. Bu kurulumu kullanmak istiyorsanız, buluttaki bir dizine yalnızca bir eşitleme sunucusu dışarı aktarabilir. Ancak başka bir sunucudan( örneğin DirSync çalıştıran bir sunucudan) geçmek istiyorsanız, Microsoft Entra Connect'i hazırlama modunda etkinleştirebilirsiniz.

Hazırlama kurulumunu etkinleştirdiğinizde, eşitleme altyapısı verileri normal şekilde içeri aktarır ve eşitler. Ancak hiçbir veriyi Microsoft Entra ID veya Active Directory'ye dışarı aktarmaz. Hazırlama modunda parola eşitleme özelliği ve parola geri yazma özelliği devre dışı bırakılır.

Hazırlama modunda, eşitleme altyapısında gerekli değişiklikleri yapabilir ve dışarı aktarılacakları gözden geçirebilirsiniz. Yapılandırma iyi göründüğünde yükleme sihirbazını yeniden çalıştırın ve hazırlama modunu devre dışı bırakın.

Veriler artık sunucudan Microsoft Entra Id'ye aktarılır. Yalnızca bir sunucunun etkin olarak dışarı aktarması için diğer sunucuyu aynı anda devre dışı bırakın.

Daha fazla bilgi için bkz . Hazırlama modu.

Federasyon yapılandırmanızı doğrulama

Doğrula düğmesini seçtiğinizde Microsoft Entra Connect DNS ayarlarını doğrular . Aşağıdaki ayarları denetler:

  • İntranet bağlantısı
    • Federasyon FQDN'sini çözme: Microsoft Entra Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler. Microsoft Entra Connect FQDN'yi çözemezse doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon hizmeti FQDN'sinde bir DNS kaydının mevcut olduğundan emin olun.
    • DNS A kaydı: Microsoft Entra Connect, federasyon hizmetinizin A kaydı olup olmadığını denetler. A kaydının olmaması durumunda doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon FQDN'niz için bir A kaydı (CNAME kaydı değil) oluşturun.
  • Extranet bağlantısı

    • Federasyon FQDN'sini çözme: Microsoft Entra Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler.

Uçtan uca kimlik doğrulamasını doğrulamak için aşağıdaki testlerden birini veya birkaçını el ile gerçekleştirin:

  • Eşitleme tamamlandığında, Microsoft Entra Connect'te, seçtiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulamak için Federasyon oturum açma bilgilerini doğrulama ek görevini kullanın.
  • İntranet üzerindeki etki alanına katılmış bir makineden tarayıcıdan oturum açabildiğinizden emin olun. öğesine https://myapps.microsoft.combağlanın. Ardından oturum açma işlemini doğrulamak için oturum açmış hesabınızı kullanın. Yerleşik AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanamazsınız.
  • Extranet üzerindeki bir cihazdan oturum açabildiğinizden emin olun. Bir ev makinesinde veya mobil cihazda adresine https://myapps.microsoft.combağlanın. Ardından kimlik bilgilerinizi sağlayın.
  • Zengin istemci oturum açmayı doğrulayın. öğesine https://testconnectivity.microsoft.combağlanın. Ardından Office 365>Office 365 Çoklu Oturum Açma Testi'ne tıklayın.

Gidermek

Bu bölüm, Microsoft Entra Connect'i yüklerken bir sorun varsa kullanabileceğiniz sorun giderme bilgilerini içerir.

Bir Microsoft Entra Connect yüklemesini özelleştirdiğinizde, Gerekli bileşenleri yükle sayfasında Mevcut SQL Server'ı kullan'ı seçebilirsiniz. Şu hatayı görebilirsiniz: "ADSync veritabanı zaten veri içeriyor ve üzerine yazılamaz. Lütfen mevcut veritabanını kaldırın ve yeniden deneyin."

Belirttiğiniz SQL Server'ın SQL örneğinde ADSync adlı bir veritabanı zaten var olduğundan bu hatayı görürsünüz.

Bu hatayı genellikle Microsoft Entra Connect'i kaldırdıktan sonra görürsünüz. Microsoft Entra Connect'i kaldırdığınızda veritabanı SQL Server çalıştıran bilgisayardan silinmez.

Bu sorunu düzeltmek için:

  1. Microsoft Entra Connect'in kaldırılmadan önce kullandığı ADSync veritabanını denetleyin. Veritabanının artık kullanılmadığından emin olun.

  2. Veritabanını yedekleyin.

  3. Veritabanını silin:

    1. SQL örneğine bağlanmak için Microsoft SQL Server Management Studio'yu kullanın.
    2. ADSync veritabanını bulun ve sağ tıklayın.
    3. Bağlam menüsünde Sil'i seçin.
    4. Veritabanını silmek için Tamam'ı seçin.

Microsoft SQL Server Management Studio'yu gösteren ekran görüntüsü. Bir D Eşitlemesi seçilidir.

ADSync veritabanını sildikten sonra yüklemeyi yeniden denemek için Yükle'yi seçin.

Sonraki adımlar

Yükleme tamamlandıktan sonra Windows oturumunu kapatın. Ardından Eşitleme Hizmeti Yöneticisi'ni veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce yeniden oturum açın.

Artık Microsoft Entra Connect'i yüklediğinize göre yüklemeyi doğrulayabilir ve lisansları atayabilirsiniz.

Yükleme sırasında etkinleştirdiğiniz özellikler hakkında daha fazla bilgi için bkz . Yanlışlıkla silmeleri önleme ve Microsoft Entra Connect Health.

Diğer yaygın konular hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync: Scheduler ve Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme.