Azure Active Directory Connect'in özel yüklemesi

Yükleme için daha fazla seçenek istediğinizde Azure Active Directory (Azure AD) Connect'te özel ayarları kullanın. Örneğin, birden çok ormanınız varsa veya isteğe bağlı özellikleri yapılandırmak istiyorsanız bu ayarları kullanın. Hızlı yüklemenin dağıtım veya topoloji gereksinimlerinizi karşılamadığı her durumda özel ayarları kullanın.

Ön koşullar:

Özel yükleme ayarları

Azure AD Connect için özel bir yükleme ayarlamak için aşağıdaki bölümlerde açıklanan sihirbaz sayfalarını inceleyin.

Hızlı ayarlar

Özel ayarlar yüklemesini başlatmak için Hızlı Ayarlar sayfasında Özelleştir'i seçin. Bu makalenin geri kalanı, özel yükleme işleminde size yol gösterir. Belirli bir sayfanın bilgilerine hızla gitmek için aşağıdaki bağlantıları kullanın:

Gerekli bileşenleri yükleme

Eşitleme hizmetlerini yüklediğinizde, isteğe bağlı yapılandırma bölümünü seçili bırakabilirsiniz. Azure AD Connect her şeyi otomatik olarak ayarlar. SQL Server 2019 Express LocalDB örneğini ayarlar, uygun grupları oluşturur ve izinleri atar. Varsayılanları değiştirmek istiyorsanız, uygun kutuları seçin. Aşağıdaki tabloda bu seçenekler özetlenmiştir ve ek bilgilere bağlantılar sağlanmaktadır.

Azure AD Connect'te gerekli yükleme bileşenleri için isteğe bağlı seçimleri gösteren ekran görüntüsü.

İsteğe bağlı yapılandırma Description
Özel yükleme konumu belirtme Azure AD Connect için varsayılan yükleme yolunu değiştirmenize olanak tanır.
Mevcut bir SQL Server'ı kullanma SQL Server adını ve örnek adını belirtmenize olanak tanır. Kullanmak istediğiniz bir veritabanı sunucunuz zaten varsa bu seçeneği belirleyin. Örnek Adı için örnek adı, virgül ve SQL Server örneğinizde göz atma etkin değilse bağlantı noktası numarasını girin. Ardından Azure AD Connect veritabanının adını belirtin. SQL ayrıcalıklarınız yeni bir veritabanı oluşturulup oluşturulamayacağını veya SQL yöneticinizin veritabanını önceden oluşturması gerekip gerekmediğini belirler. SQL Server yönetici (SA) izinleriniz varsa bkz. Var olan bir veritabanını kullanarak Azure AD Connect'i yükleme. Temsilci izinleriniz (DBO) varsa bkz. SQL temsilcisi yönetici izinlerini kullanarak Azure AD Connect'i yükleme.
Mevcut bir hizmet hesabını kullanma Varsayılan olarak, Azure AD Connect eşitleme hizmetleri için bir sanal hizmet hesabı sağlar. SQL Server uzak örneğini veya kimlik doğrulaması gerektiren bir ara sunucu kullanıyorsanız, etki alanında bir yönetilen hizmet hesabı veya parola korumalı bir hizmet hesabı kullanabilirsiniz. Böyle durumlarda, kullanmak istediğiniz hesabı girin. Yüklemeyi çalıştırmak için, hizmet hesabı için oturum açma kimlik bilgileri oluşturabilmeniz için SQL'de SA olmanız gerekir. Daha fazla bilgi için bkz. Azure AD Hesapları ve izinleri bağlama.

SQL yöneticisi artık en son derlemeyi kullanarak veritabanını bant dışı sağlayabilir. Ardından Azure AD Connect yöneticisi bunu veritabanı sahibi haklarıyla yükleyebilir. Daha fazla bilgi için bkz. SQL temsilcisi yönetici izinlerini kullanarak Azure AD Connect'i yükleme.
Özel eşitleme grubu belirtme Varsayılan olarak, eşitleme hizmetleri yüklendiğinde, Azure AD Connect sunucuda yerel olan dört grup oluşturur. Bu gruplar Yöneticiler, İşleçler, Gözatma ve Parola Sıfırlama'dır. Kendi gruplarınızı burada belirtebilirsiniz. Gruplar sunucuda yerel olmalıdır. Etki alanında bulunamaz.
Eşitleme ayarlarını içeri aktarma (önizleme) Azure AD Connect ayarları diğer sürümlerinden içeri aktarmanıza izin verir. Daha fazla bilgi için bkz. Connect yapılandırma ayarları Azure AD içeri ve dışarı aktarma.

Kullanıcı oturumu açma

Gerekli bileşenleri yükledikten sonra kullanıcılarınızın çoklu oturum açma yöntemini seçin. Aşağıdaki tabloda kullanılabilir seçenekler kısaca açıklanmaktadır. Oturum açma yöntemleriyle ilgili tam açıklama için bkz. Kullanıcı oturumu açma.

Çoklu oturum açma seçeneği Description
Parola karması eşitleme Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, parola karması olarak Azure AD eşitlenir. Kimlik doğrulaması bulutta gerçekleşir. Daha fazla bilgi için bkz . Parola karması eşitleme.
Doğrudan kimlik doğrulama Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcı parolaları, şirket içi Active Directory etki alanı denetleyicisine geçirilerek doğrulanır.
AD FS ile Federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi Azure Directory Federasyon Hizmetleri (AD FS) örneğine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
PingFederate ile federasyon Kullanıcılar, şirket içi ağlarında kullandıkları parolayı kullanarak Microsoft 365 gibi Microsoft bulut hizmetlerinde oturum açabilir. Kullanıcılar oturum açmak için şirket içi PingFederate örneğine yönlendirilir. Kimlik doğrulaması şirket içinde gerçekleşir.
Yapılandırmayın Hiçbir kullanıcı oturum açma özelliği yüklü veya yapılandırılmamış. Zaten bir üçüncü taraf federasyon sunucunuz veya başka bir çözümünüz varsa bu seçeneği belirleyin.
Çoklu oturum açmayı etkinleştirme Bu seçenek hem parola karması eşitleme hem de doğrudan kimlik doğrulaması ile kullanılabilir. Şirket ağlarında masaüstü kullanıcıları için çoklu oturum açma deneyimi sağlar. Daha fazla bilgi için bkz. Çoklu oturum açma.

Not: AD FS müşterileri için bu seçenek kullanılamaz. AD FS zaten aynı çoklu oturum açma düzeyini sunuyor.

Azure AD'ye Bağlanma

Azure AD bağlan sayfasında bir genel yönetici hesabı ve parola girin. Önceki sayfada AD FS ile Federasyon'ı seçtiyseniz, federasyon için etkinleştirmeyi planladığınız bir etki alanında bulunan bir hesapla oturum açmayın.

Azure AD kiracınızla birlikte gelen varsayılan onmicrosoft.com etki alanında bir hesap kullanmak isteyebilirsiniz. Bu hesap yalnızca Azure AD'da bir hizmet hesabı oluşturmak için kullanılır. Yükleme tamamlandıktan sonra kullanılmaz.

Not

En iyi yöntemlerden biri, Azure AD rol atamaları için şirket içi eşitlenmiş hesapları kullanmaktan kaçınmaktır. Şirket içi hesabın gizliliği ihlal edilirse bu, Azure AD kaynaklarınızın güvenliğini tehlikeye atmak için de kullanılabilir. En iyi yöntemlerin tam listesi için bkz. Azure AD rolleri için en iyi yöntemler

Genel yönetici hesabınızda çok faktörlü kimlik doğrulaması etkinleştirildiyse, oturum açma penceresinde parolayı yeniden sağlarsınız ve çok faktörlü kimlik doğrulaması sınamasını tamamlamanız gerekir. Bu sınama bir doğrulama kodu veya telefon araması olabilir.

Genel yönetici hesabında ayrıcalıklı kimlik yönetimi de etkinleştirilebilir.

Federasyon hesapları, akıllı kart ve MFA senaryoları gibi parola dışı senaryolarda kimlik doğrulama desteğini kullanmak için, sihirbazı başlatırken /InteractiveAuth anahtarını sağlayabilirsiniz. Bu anahtarın kullanılması Sihirbazın kimlik doğrulama kullanıcı arabirimini atlar ve kimlik doğrulamasını işlemek için MSAL kitaplığının kullanıcı arabirimini kullanır.

Bir hata görürseniz veya bağlantıyla ilgili sorunlarınız varsa bkz. Bağlantı sorunlarını giderme.

Sayfaları eşitleme

Aşağıdaki bölümlerde , Eşitleme bölümündeki sayfalar açıklanmaktadır.

Dizinlerinizi bağlama

Active Directory Domain Services 'a (Azure AD DS) bağlanmak için, Azure AD Connect'in yeterli izinlere sahip bir hesabın orman adına ve kimlik bilgilerine ihtiyacı vardır.

Orman adını girip Dizin Ekle'yi seçtikten sonra bir pencere görüntülenir. Aşağıdaki tabloda seçenekleriniz açıklanmaktadır.

Seçenek Açıklama
Yeni hesap oluştur Dizin eşitlemesi sırasında Connect'in Active Directory ormanına bağlanması Azure AD gereken Azure AD DS hesabını oluşturun. Bu seçeneği belirledikten sonra, kurumsal yönetici hesabının kullanıcı adını ve parolasını girin. Azure AD Connect, gerekli Azure AD DS hesabını oluşturmak için sağlanan kurumsal yönetici hesabını kullanır. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\administrator veya fabrikam.com\administrator girin.
Mevcut hesabı kullan Azure AD Connect'in dizin eşitlemesi sırasında Active Directory ormanına bağlanmak için kullanabileceği mevcut bir Azure AD DS hesabı sağlayın. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\syncuser veya fabrikam.com\syncuser girin. Yalnızca varsayılan okuma izinlerine ihtiyacı olduğundan bu hesap normal bir kullanıcı hesabı olabilir. Ancak senaryonuza bağlı olarak daha fazla izne ihtiyacınız olabilir. Daha fazla bilgi için bkz. Hesapları ve izinleri bağlama Azure AD.

Yeni bir hesap oluşturmayı veya mevcut bir hesabı kullanmayı seçebileceğiniz

Not

Derleme 1.4.18.0'dan itibaren Azure AD DS bağlayıcı hesabı olarak bir kuruluş yöneticisi veya etki alanı yöneticisi hesabı kullanamazsınız. Var olan hesabı kullan'ı seçtiğinizde, bir kurumsal yönetici hesabı veya etki alanı yöneticisi hesabı girmeye çalışırsanız şu hatayı görürsünüz: "AD orman hesabınız için Kuruluş veya Etki Alanı yönetici hesabı kullanılmasına izin verilmiyor. Azure AD Connect'in hesabı sizin yerinize oluşturmasına izin verin veya doğru izinlere sahip bir eşitleme hesabı belirtin."

Azure AD oturum açma yapılandırması

Azure AD oturum açma yapılandırması sayfasında, şirket içi Azure AD DS'deki kullanıcı asıl adı (UPN) etki alanlarını gözden geçirin. Bu UPN etki alanları Azure AD'de doğrulanmıştır. Bu sayfada, özniteliğini userPrincipalName için kullanılacak şekilde yapılandıracaksınız.

Eklenmedi veya Doğrulanmadı olarak işaretlenmiş her etki alanını gözden geçirin. Kullandığınız etki alanlarının Azure AD'de doğrulanmış olduğundan emin olun. Etki alanlarınızı doğruladıktan sonra döngüsel yenileme simgesini seçin. Daha fazla bilgi için bkz. Etki alanı ekleme ve doğrulama.

Kullanıcılar Azure AD ve Microsoft 365'te oturum açarken userPrincipalName özniteliğini kullanır. Azure AD, kullanıcılar eşitlenmeden önce UPN soneki olarak da bilinen etki alanlarını doğrulamalıdır. Microsoft, userPrincipalName varsayılan özniteliğini korumanızı önerir.

userPrincipalName özniteliği yönlendirilemezse ve doğrulanamıyorsa başka bir öznitelik seçebilirsiniz. Örneğin, oturum açma kimliğini içeren öznitelik olarak e-postayı seçebilirsiniz. userPrincipalName dışında bir öznitelik kullandığınızda, diğer kimlik olarak bilinir.

Alternatif kimlik öznitelik değeri, RFC 822 standardına uygun olmalıdır. Alternatif kimliği parola karma eşitlemesi, geçiş kimlik doğrulaması ve federasyon ile kullanabilirsiniz. Active Directory’de öznitelik, yalnızca tek bir değere sahip olsa bile çok değerli olarak tanımlanamaz. Alternatif kimlik hakkında daha fazla bilgi için bkz. Doğrudan kimlik doğrulaması: Sık sorulan sorular.

Not

Doğrudan kimlik doğrulamasını etkinleştirdiğinizde, özel yükleme işlemine devam etmek için en az bir doğrulanmış etki alanınız olmalıdır.

Uyarı

Alternatif kimlikler tüm Microsoft 365 iş yükleriyle uyumlu değildir. Daha fazla bilgi için bkz. Alternatif oturum açma kimliklerini yapılandırma.

Etki alanı ve OU filtreleme

Varsayılan olarak, tüm etki alanları ve kuruluş birimleri (OU) eşitlenir. Bazı etki alanlarını veya OU'ları Azure AD eşitlemek istemiyorsanız, uygun seçimleri temizleyebilirsiniz.

Etki Alanı ve O U filtreleme sayfasını gösteren ekran görüntüsü.

Bu sayfa etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırmaktadır. Değişiklik yapmayı planlıyorsanız bkz. Etki alanı tabanlı filtreleme ve OU tabanlı filtreleme. Bazı OU'lar işlevsellik açısından önemlidir, bu nedenle bunları seçili bırakmalısınız.

1.1.524.0'dan eski bir Azure AD Connect sürümüyle OU tabanlı filtreleme kullanırsanız, yeni OU'lar varsayılan olarak eşitlenir. Yeni OU'ların eşitlenmesini istemiyorsanız, OU tabanlı filtreleme adımından sonra varsayılan davranışı ayarlayabilirsiniz. Azure AD Connect 1.1.524.0 veya üzeri için yeni OU'ların eşitlenmesini isteyip istemediğinizi belirtebilirsiniz.

Grup tabanlı filtreleme kullanmayı planlıyorsanız, grupla birlikte OU'nun eklendiğinden ve OU filtrelemesi kullanılarak filtrelenmediğinden emin olun. Grup tabanlı filtreleme değerlendirilmeden önce OU filtrelemesi değerlendirilir.

Ayrıca güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına ulaşılamıyor da olabilir. Bu etki alanları varsayılan olarak seçili değildir ve bir uyarı görüntüler.

Ulaşılamayan etki alanlarını gösteren ekran görüntüsü.

Bu uyarıyı görürseniz, bu etki alanlarına gerçekten ulaşılamadığından ve uyarının beklendiğinden emin olun.

Kullanıcılarınızı benzersiz olarak tanımlama

Kullanıcıları tanımlama sayfasında, şirket içi dizinlerinizdeki kullanıcıları tanımlamayı ve sourceAnchor özniteliğini kullanarak bunları tanımlamayı seçin.

Şirket içi dizinlerinizde kullanıcıların nasıl tanımlanması gerektiğini seçin

Ormanlar arasında eşleştirme özelliğini kullanarak, Azure AD DS ormanlarınızdaki kullanıcıların Azure AD'de nasıl temsil edilirlerini tanımlayabilirsiniz. Bir kullanıcı tüm ormanlarda yalnızca bir kez temsil edilebilir veya etkin ve devre dışı hesapların bir birleşimine sahip olabilir. Ayrıca kullanıcı, bazı ormanlarda kişi olarak da temsil edilebilir.

Kullanıcılarınızı benzersiz olarak tanımlayabileceğiniz sayfayı gösteren ekran görüntüsü.

Ayar Açıklama
Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edilir Tüm kullanıcılar Azure AD'de bireysel nesne olarak oluşturulur. Nesneler meta veri deposuna katılmaz.
Posta özniteliği Bu seçenek, posta özniteliğinin farklı ormanlarda aynı değere sahip olması halinde kullanıcıları ve kişileri birleştirir. Kişileriniz GALSync kullanılarak oluşturulduğunda bu seçeneği kullanın. Bu seçeneği belirlerseniz, posta özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD eşitlenmez.
ObjectSID ve msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID öznitelikleri Bu seçenek, hesap ormanındaki etkin bir kullanıcıyla kaynak ormandaki devre dışı bırakılmış bir kullanıcıyı birleştirir. Bu yapılandırma, Exchange'de bağlı posta kutusu olarak bilinir. Yalnızca Lync kullanıyorsanız ve kaynak ormanında Exchange yoksa bu seçeneği kullanabilirsiniz.
SAMAccountName ve MailNickName öznitelikleri Bu seçenek, kullanıcının oturum açma kimliğinin bulunması beklenen özniteliklerde birleştirir.
Belirli bir öznitelik seçin Bu seçenek, kendi özniteliğinizi seçmenize olanak tanır. Bu seçeneği belirlerseniz, (seçili) özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD eşitlenmez. Sınırlama: Bu seçenek için yalnızca meta veri bölmesinde bulunan öznitelikler kullanılabilir.

Kaynak yer işareti kullanılarak kullanıcıların nasıl tanımlanması gerektiğini seçme

sourceAnchor özniteliği, kullanıcı nesnesinin kullanım ömrü boyunca sabittir. Şirket içi kullanıcıyı Azure AD'daki kullanıcıya bağlayan birincil anahtardır.

Ayar Açıklama
Kaynak tutturucuyu Azure'ın yönetmesine izin verme Azure AD’nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin. Bu seçeneği belirlerseniz Azure AD Connect, ms-DS-ConsistencyGuid'i sourceAnchor olarak kullanma başlığında açıklanan sourceAnchor özniteliği seçim mantığını uygular. Özel yükleme tamamlandıktan sonra sourceAnchor özniteliği olarak hangi özniteliğin seçildiğini görürsünüz.
Belirli bir öznitelik seçin sourceAnchor özniteliği olarak mevcut bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.

sourceAnchor özniteliği değiştirilemediğinden uygun bir öznitelik seçmeniz gerekir. ObjectGUID iyi bir seçenektir. Kullanıcı hesabı ormanlar veya etki alanları arasında taşınmadığı sürece bu öznitelik değiştirilmez. Bir kişi evlendiğinde veya atamaları değiştirdiğinde değişebilecek öznitelikleri seçmeyin.

At işareti (@) içeren öznitelikleri kullanamazsınız, bu nedenle e-postayı ve userPrincipalName'i kullanamazsınız. Özniteliği büyük/küçük harfe de duyarlıdır, bu nedenle bir nesneyi ormanlar arasında taşıdığınızda büyük ve küçük harfleri koruduğunuzdan emin olun. İkili öznitelikler Base64 ile kodlanır, ancak diğer öznitelik türleri kodlanmamış durumunda kalır.

Federasyon senaryolarında ve bazı Azure AD arabirimlerinde sourceAnchor özniteliği sabitID olarak da bilinir.

Kaynak bağlantısı hakkında daha fazla bilgi için bkz . Tasarım kavramları.

Grup tabanlı eşitleme filtrelemesi

Gruplarda filtreleme özelliği, pilot için nesnelerin yalnızca küçük bir alt kümesini eşitlemenize olanak tanır. Bu özelliği kullanmak için şirket içi Active Directory örneğinizde bu amaca yönelik bir grup oluşturun. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları ekleyin. Daha sonra Azure AD'de bulunması gereken nesnelerin listesini korumak için kullanıcıları ekleyebilir veya bu gruptan kullanıcıları kaldırabilirsiniz.

Eşitlemek istediğiniz tüm nesneler grubun doğrudan üyeleri olmalıdır. Kullanıcıların, grupların, kişilerin ve bilgisayarların veya cihazların tümü doğrudan üye olmalıdır. İç içe grup üyeliği çözümlenmez. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir. Üyeleri eklenmez.

Kullanıcıları ve cihazları filtrelemeyi seçebileceğiniz sayfayı gösteren ekran görüntüsü.

Uyarı

Bu özellik yalnızca pilot dağıtımı desteklemeye yöneliktir. Bunu tam üretim dağıtımında kullanmayın.

Tam bir üretim dağıtımında, tek bir grubu ve tüm nesnelerini eşitlemek zor olabilir. Gruplarda filtreleme özelliği yerine, Filtrelemeyi yapılandırma başlığında açıklanan yöntemlerden birini kullanın.

İsteğe bağlı özellikler

Sonraki sayfada senaryonuz için isteğe bağlı özellikleri seçebilirsiniz.

Uyarı

Azure AD Connect 1.0.8641.0 ve önceki sürümleri, parola geri yazma için Azure Access Control Hizmeti'ne dayanır. Bu hizmet 7 Kasım 2018'de kullanımdan kaldırılmıştır. Azure AD Connect'in bu sürümlerinden birini kullanıyorsanız ve parola geri yazmayı etkinleştirdiyseniz, hizmet kullanımdan kaldırıldığında kullanıcılar parolalarını değiştirme veya sıfırlama yeteneğini kaybedebilir. Azure AD Connect'in bu sürümleri parola geri yazmayı desteklemez.

Daha fazla bilgi için bkz. Azure Access Control Hizmetinden geçiş.

Parola geri yazma özelliğini kullanmak istiyorsanız Azure AD Connect'in en son sürümünü indirin.

Uyarı

Azure AD Eşitleme veya Doğrudan Eşitleme (DirSync) etkinse, Azure AD Connect'te geri yazma özelliklerini etkinleştirmeyin.

İsteğe bağlı özellikler Description
Exchange karma dağıtımı Exchange karma dağıtım özelliği, Exchange posta kutularının hem şirket içinde hem de Microsoft 365'te birlikte kullanılabilirliğini sağlar. Azure AD Connect, belirli bir öznitelik kümesini Azure AD şirket içi dizininize geri eşitler.
Exchange posta ortak klasörleri Exchange posta ortak klasörleri özelliği, şirket içi Active Directory örneğinizdeki posta etkin ortak klasör nesnelerini Azure AD eşitlemenize olanak tanır. Ortak klasörleri içeren grupların üye olarak eşitlenmesinin desteklenmediğini ve bunu yapmaya çalışmanın eşitleme hatasına neden olacağını unutmayın.
Azure AD uygulaması ve öznitelik filtreleme Azure AD uygulama ve öznitelik filtrelemeyi etkinleştirerek eşitlenmiş öznitelik kümesini uyarlayabilirsiniz. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler. Daha fazla bilgi için bkz. Azure AD uygulaması ve öznitelik filtreleme.
Parola karması eşitleme Oturum açma çözümü olarak federasyonu seçtiyseniz parola karması eşitlemesini etkinleştirebilirsiniz. Ardından bunu bir yedekleme seçeneği olarak kullanabilirsiniz.

Doğrudan kimlik doğrulamayı seçtiyseniz, eski istemciler için destek sağlamak ve bir yedekleme sağlamak için bu seçeneği etkinleştirebilirsiniz.

Daha fazla bilgi için bkz . Parola karması eşitleme.
Parola geri yazma Azure AD'den kaynaklanan parola değişikliklerinin şirket içi dizininize geri yazıldığından emin olmak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Parola yönetimine başlarken.
Grup geri yazma Microsoft 365 Grupları kullanıyorsanız, şirket içi Active Directory örneğinizdeki grupları temsil edebilirsiniz. Bu seçenek yalnızca şirket içi Active Directory örneğinizde Exchange varsa kullanılabilir. Daha fazla bilgi için bkz. Connect group writeback Azure AD.
Cihaz geri yazma Koşullu erişim senaryoları için, Azure AD içindeki cihaz nesnelerini şirket içi Active Directory örneğine geri yazmak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Azure AD Connect'te cihaz geri yazma özelliğini etkinleştirme.
Dizin genişletme öznitelik eşitlemesi Belirtilen öznitelikleri Azure AD eşitlemek için bu seçeneği belirleyin. Daha fazla bilgi için bkz. Dizin genişletmeleri.

Azure AD uygulaması ve öznitelik filtreleme

Hangi özniteliklerin Azure AD eşitleneceğini sınırlamak istiyorsanız, kullandığınız hizmetleri seçerek başlayın. Bu sayfadaki seçimleri değiştirirseniz, yükleme sihirbazını yeniden çalıştırarak yeni bir hizmeti açıkça seçmeniz gerekir.

İsteğe bağlı Azure A D uygulamaları özelliklerini gösteren ekran görüntüsü.

Önceki adımda seçtiğiniz hizmetlere bağlı olarak, bu sayfa eşitlenen tüm öznitelikleri gösterir. Bu liste, eşitlenen tüm nesne türlerinin birleşimidir. Bazı özniteliklerin eşitlenmemiş kalması gerekiyorsa, bu özniteliklerden seçimi temizleyebilirsiniz.

İsteğe bağlı Azure A D özniteliklerinin özelliklerini gösteren ekran görüntüsü.

Uyarı

Özniteliklerin kaldırılması işlevselliği etkileyebilir. En iyi yöntemler ve öneriler için bkz . Eşitlenecek öznitelikler.

Dizin Genişletme öznitelik eşitlemesi

Kuruluşunuzun eklediği özel öznitelikleri veya Active Directory'deki diğer öznitelikleri kullanarak şemayı Azure AD genişletebilirsiniz. Bu özelliği kullanmak için İsteğe Bağlı Özellikler sayfasında Dizin Uzantısı öznitelik eşitleme'yi seçin. Dizin Uzantıları sayfasında, eşitlemek için daha fazla öznitelik seçebilirsiniz.

Not

Kullanılabilir Öznitelikler alanı büyük/küçük harfe duyarlıdır.

Daha fazla bilgi için bkz. Dizin genişletmeleri.

Çoklu oturum açmayı etkinleştirme

Çoklu oturum açma sayfasında, parola eşitleme veya doğrudan kimlik doğrulaması ile kullanmak üzere çoklu oturum açmayı yapılandırabilirsiniz. Bu adımı, Azure AD eşitlenen her orman için bir kez yaparsınız. Yapılandırma iki adımdan oluşur:

  1. Şirket içi Active Directory örneğinizde gerekli bilgisayar hesabını oluşturun.
  2. İstemci makinelerinin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırın.

Active Directory'de bilgisayar hesabını oluşturma

Azure AD Connect'e eklenen her orman için, bilgisayar hesabının her ormanda oluşturulabilmesi için etki alanı yöneticisi kimlik bilgilerini sağlamanız gerekir. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır. Bunlar depolanmaz veya başka bir işlem için kullanılmaz. Aşağıdaki resimde gösterildiği gibi, kimlik bilgilerini Çoklu oturum açmayı etkinleştir sayfasına ekleyin.

Not

Çoklu oturum açmayı kullanmak istemediğiniz ormanları atlayabilirsiniz.

İstemci makineleri için intranet bölgesini yapılandırma

İstemcinin intranet bölgesinde otomatik olarak oturum açtığından emin olmak için URL'nin intranet bölgesinin bir parçası olduğundan emin olun. Bu adım, etki alanına katılmış bilgisayarın şirket ağına bağlandığında otomatik olarak Azure AD bir Kerberos bileti göndermesini sağlar.

grup ilkesi yönetim araçlarının bulunduğu bir bilgisayarda:

  1. grup ilkesi yönetim araçlarını açın.

  2. Tüm kullanıcılara uygulanacak grup ilkesini düzenleyin. Örneğin, Varsayılan Etki Alanı ilkesi.

  3. Kullanıcı Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Internet Explorer>Internet Denetim Masası>Güvenlik Sayfası'na gidin. Ardından Siteden Bölgeye Atama Listesi'ne tıklayın.

  4. İlkeyi etkinleştirin. Ardından iletişim kutusuna değerinin https://autologon.microsoftazuread-sso.com ve değerini 1girin. Kurulumunuz aşağıdaki görüntü gibi görünmelidir.

    İntranet bölgelerini gösteren ekran görüntüsü.

  5. İki kez Tamam'ı seçin.

AD FS ile federasyonu yapılandırma

AD FS'yi Azure AD Connect ile yalnızca birkaç tıklamayla yapılandırabilirsiniz. Başlamadan önce şunları yapmanız gerekir:

  • Federasyon sunucusu için R2 veya üstünü Windows Server 2012. Uzaktan yönetim etkinleştirilmelidir.
  • Web Uygulama Ara Sunucusu sunucusu için R2 veya üzerini Windows Server 2012. Uzaktan yönetim etkinleştirilmelidir.
  • Kullanmayı planladığınız federasyon hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).

Not

Federasyon güveninizi yönetmek için kullanmasanız bile Azure AD Connect kullanarak AD FS grubunuz için bir TLS/SSL sertifikasını güncelleştirebilirsiniz.

AD FS yapılandırma önkoşulları

AD FS grubunuzu Azure AD Connect kullanarak yapılandırmak için uzak sunucularda WinRM'nin etkinleştirildiğinden emin olun. Federasyon önkoşulları bölümündeki diğer görevleri tamamladığınızdan emin olun. Ayrıca, Azure AD Connect ve Federation/WAP sunucuları tablosunda listelenen bağlantı noktası gereksinimlerini de izlediğinize emin olun.

Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubunu kullanma

Mevcut bir AD FS grubunu kullanabilir veya yeni bir grup oluşturabilirsiniz. Yeni bir sertifika oluşturmayı seçerseniz TLS/SSL sertifikasını sağlamanız gerekir. TLS/SSL sertifikası bir parolayla korunuyorsa parolayı sağlamanız istenir.

Mevcut bir AD FS grubunu kullanmayı seçerseniz, AD FS ile Azure AD arasındaki güven ilişkisini yapılandırabileceğiniz sayfayı görürsünüz.

Not

Yalnızca bir AD FS grubunu yönetmek için Azure AD Connect'i kullanabilirsiniz. Seçili AD FS grubunda Azure AD yapılandırıldığı bir federasyon güveni varsa, Bağlan Azure AD güveni sıfırdan yeniden oluşturur.

AD FS sunucularını belirtme

AD FS'yi yüklemek istediğiniz sunucuları belirtin. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. Bu yapılandırmayı ayarlamadan önce tüm AD FS sunucularını Active Directory'ye birleştirin. Bu adım Web Uygulama Ara Sunucusu sunucuları için gerekli değildir.

Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir. İlk yapılandırmadan sonra, Azure AD Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.

Not

Bu yapılandırmayı ayarlamadan önce tüm sunucularınızın Azure AD etki alanına katılmış olduğundan emin olun.

Web Uygulaması Ara Sunucularını belirtme

Web Uygulama Ara Sunucusu sunucularınızı belirtin. Web Uygulama Ara Sunucusu sunucusu çevre ağınıza dağıtılır ve extranet ile karşı karşıya gelir. Extranetten gelen kimlik doğrulama isteklerini destekler. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.

Microsoft, test ve pilot dağıtımlar için tek bir Web Uygulama Ara Sunucusu sunucusu yüklemenizi önerir. İlk yapılandırmadan sonra, Azure AD Connect'i yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz. İntranetten kimlik doğrulamasını karşılamak için eşdeğer sayıda ara sunucuya sahip olmanız önerilir.

Not

  • Kullandığınız hesap Web Uygulama Ara Sunucusu sunucularında yerel yönetici değilse yönetici kimlik bilgileri istenir.
  • Web Uygulama Ara Sunucusu sunucularını belirtmeden önce, Azure AD Connect sunucusu ile Web Uygulama Ara Sunucusu sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.
  • Kimlik doğrulama isteklerinin akmasına izin vermek için Web Uygulaması Sunucusu ile AD FS sunucusu arasında HTTP/HTTPS bağlantısı olduğundan emin olun.

Web Uygulama Ara Sunucusu sunucuları sayfasını gösteren ekran görüntüsü.

Web uygulaması sunucusunun AD FS sunucusuna güvenli bir bağlantı kurabilmesi için kimlik bilgilerini girmeniz istenir. Bu kimlik bilgileri AD FS sunucusundaki bir yerel yönetici hesabı için olmalıdır.

AD FS hizmetine ilişkin hizmet hesabını belirtme

AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory'de kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir. AD FS hizmeti, iki hizmet hesabı türünü destekler:

  • Grup tarafından yönetilen hizmet hesabı: Bu hesap türü, Windows Server 2012 tarafından AD DS'ye tanıtıldı. Bu hesap türü AD FS gibi hizmetler sağlar. Parolayı düzenli olarak güncelleştirmeniz gerekmeyen tek bir hesaptır. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.
  • Etki alanı kullanıcı hesabı: Bu hesap türü için parola sağlamanız ve süresi dolduğunda parolayı düzenli olarak güncelleştirmeniz gerekir. Bu seçeneği yalnızca AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz olmadığında kullanın.

Grup Yönetilen Hizmet Hesabı oluştur'u seçtiyseniz ve bu özellik Active Directory'de hiç kullanılmadıysa, kuruluş yöneticisi kimlik bilgilerinizi girin. Bu kimlik bilgileri, anahtar deposunu başlatmak ve Active Directory'de ilgili özelliği etkinleştirmek için kullanılır.

Not

Azure AD Connect, AD FS hizmetinin etki alanında hizmet asıl adı (SPN) olarak zaten kayıtlı olup olmadığını denetler. Azure AD DS aynı anda yinelenen SPN'lerin kaydedilmesine izin vermez. Yinelenen bir SPN bulunursa, SPN kaldırılana kadar daha fazla ilerleyemezsiniz.

Federasyon yapmak istediğiniz Azure AD etki alanını seçin

AD FS ile Azure AD arasındaki federasyon ilişkisini ayarlamak için Azure AD Etki Alanı sayfasını kullanın. Burada AD FS'yi Azure AD için güvenlik belirteçleri sağlayacak şekilde yapılandıracaksınız. Ayrıca Azure AD bu AD FS örneğindeki belirteçlere güvenecek şekilde yapılandırabilirsiniz.

Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz. Daha sonra Azure AD Connect'i tekrar çalıştırarak daha fazla etki alanını yapılandırabilirsiniz.

Federasyon için seçilen Azure AD etki alanını doğrulama

Birleştirmek istediğiniz etki alanını seçtiğinizde, Azure AD Connect doğrulanmamış bir etki alanını doğrulamak için kullanabileceğiniz bilgiler sağlar. Daha fazla bilgi için bkz. Etki alanı ekleme ve doğrulama.

Etki alanını doğrulamak için kullanabileceğiniz bilgiler de dahil olmak üzere

Not

Azure AD Connect, yapılandırma aşamasında etki alanını doğrulamaya çalışır. Gerekli Etki Alanı Adı Sistemi (DNS) kayıtlarını eklemezseniz yapılandırma tamamlanamaz.

PingFederate ile federasyonu yapılandırma

PingFederate'i yalnızca birkaç tıklamayla Azure AD Bağlan ile yapılandırabilirsiniz. Aşağıdaki önkoşullar gereklidir:

Etki alanını doğrulama

PingFederate kullanarak federasyonu ayarlamayı seçtikten sonra federasyon oluşturmak istediğiniz etki alanını doğrulamanız istenir. Açılan menüden etki alanını seçin.

PingFederate ayarlarını dışarı aktarma

PingFederate'i federasyon sunucusu olarak her federasyon Azure etki alanı için yapılandırın. Bu bilgileri PingFederate yöneticinizle paylaşmak için Ayarları Dışarı Aktar'ı seçin. Federasyon sunucusu yöneticisi yapılandırmayı güncelleştirir ve ardından Azure AD Connect'in meta veri ayarlarını doğrulayabilmesi için PingFederate sunucu URL'sini ve bağlantı noktası numarasını sağlar.

Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun. Aşağıdaki görüntüde, Azure ile geçerli bir güven ilişkisi olmayan pingfederate sunucusu hakkındaki bilgiler gösterilmektedir.

Sunucu bilgilerini gösteren ekran görüntüsü: PingFederate sunucusu bulundu, ancak Azure için hizmet sağlayıcısı bağlantısı eksik veya devre dışı.

Federasyon bağlantısını doğrulama

Azure AD Connect, önceki adımda PingFederate meta verilerinden alınan kimlik doğrulama uç noktalarını doğrulamaya çalışır. Azure AD Connect ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözümlemeye çalışır. Ardından, uç noktaları bir dış DNS sağlayıcısı kullanarak çözümlemeye çalışır. Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.

Federasyon oturum açma işlemini doğrulama

Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz. Oturum açma işleminiz başarılı olursa PingFederate ile federasyon başarıyla yapılandırılır.

Yapılandırma ve doğrulama sayfaları

Yapılandırma Yapılandır sayfasında gerçekleşir.

Not

Federasyonu yapılandırdıysanız, yüklemeye devam etmeden önce federasyon sunucuları için Ad çözümlemesi'ni de yapılandırdığınızdan emin olun.

Hazırlama modunu kullanma

Hazırlama moduna paralel olarak yeni bir eşitleme sunucusu ayarlamak mümkündür. Bu kurulumu kullanmak istiyorsanız, buluttaki bir dizine yalnızca bir eşitleme sunucusu dışarı aktarabilir. Ancak, dirsync çalıştıran bir sunucu gibi başka bir sunucudan taşımak istiyorsanız, hazırlama modunda bağlan Azure AD etkinleştirebilirsiniz.

Hazırlama kurulumunu etkinleştirdiğinizde, eşitleme altyapısı verileri normal şekilde içeri aktarır ve eşitler. Ancak hiçbir veriyi Azure AD veya Active Directory'ye dışarı aktarmaz. Hazırlama modunda parola eşitleme özelliği ve parola geri yazma özelliği devre dışı bırakılır.

Hazırlama modunda, eşitleme altyapısında gerekli değişiklikleri yapabilir ve dışarı aktarılacakları gözden geçirebilirsiniz. Yapılandırmayla ilgili bir sorun yoksa yükleme sihirbazını tekrar çalıştırın ve hazırlama modunu devre dışı bırakın.

Veriler artık sunucudan Azure AD dışarı aktarılır. Yalnızca bir sunucunun etkin şekilde dışarı aktarma işlemi gerçekleştirmesini sağlamak için, diğer sunucuyu devre dışı bıraktığınızdan emin olun.

Daha fazla bilgi için bkz. Hazırlama modu.

Federasyon yapılandırmanızı doğrulama

Azure AD Bağlan, Doğrula düğmesini seçtiğinizde DNS ayarlarını doğrular. Aşağıdaki ayarları denetler:

  • İntranet bağlantısı
    • Federasyon FQDN'sini çözümleme: Azure AD Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler. Azure AD Connect FQDN'yi çözümleyemezse doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon hizmeti FQDN'sine yönelik bir DNS kaydının mevcut olduğundan emin olun.
    • DNS A kaydı: Azure AD Connect, federasyon hizmetinizin A kaydı olup olmadığını denetler. A kaydı olmadığında doğrulama başarısız olur. Doğrulamayı tamamlamak için federasyon FQDN'niz için bir A kaydı (CNAME kaydı değil) oluşturun.
  • Extranet bağlantısı
    • Federasyon FQDN'sini çözümleme: Azure AD Connect, DNS'nin bağlantıyı sağlamak için federasyon FQDN'sini çözümleyip çözümleyemediğini denetler.

Uçtan uca kimlik doğrulamasını doğrulamak için aşağıdaki testlerden birini veya daha fazlasını el ile gerçekleştirin:

  • Eşitleme tamamlandığında, Azure AD Connect'te, seçtiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulamak için Federasyon oturum açma bilgilerini doğrulama ek görevini kullanın.
  • İntranet üzerindeki etki alanına katılmış bir makineden tarayıcıdan oturum açabildiğinizden emin olun. bağlantısına https://myapps.microsoft.combağlanın. Ardından oturum açma işlemini doğrulamak için oturum açmış hesabınızı kullanın. Yerleşik Azure AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanamazsınız.
  • Extranetteki bir cihazdan oturum açabildiğinizden emin olun. Bir ev makinesinde veya mobil cihazda adresine https://myapps.microsoft.combağlanın. Ardından kimlik bilgilerinizi sağlayın.
  • Zengin istemci oturumu açma işlemini doğrulayın. bağlantısına https://testconnectivity.microsoft.combağlanın. Ardından Office 365>Office 365 Tek Sign-On Test'i seçin.

Sorun giderme

Bu bölüm, Azure AD Connect'i yüklerken sorun varsa kullanabileceğiniz sorun giderme bilgilerini içerir.

bir Azure AD Connect yüklemesini özelleştirdiğinizde, Gerekli bileşenleri yükle sayfasında Var olan bir SQL Server kullan'ı seçebilirsiniz. Şu hatayı görebilirsiniz: "ADSync veritabanı zaten veri içeriyor ve üzerine yazılamıyor. Lütfen var olan veritabanını kaldırın ve yeniden deneyin."

Belirttiğiniz SQL Server SQL örneğinde ADSync adlı bir veritabanı zaten bulunduğundan bu hatayı görürsünüz.

Bu hatayı genellikle Azure AD Connect'i kaldırdıktan sonra görürsünüz. veritabanı, Azure AD Connect'i kaldırdığınızda SQL Server çalıştıran bilgisayardan silinmez.

Bu sorunu çözmek için:

  1. Connect Azure AD in kaldırılmadan önce kullandığı ADSync veritabanını denetleyin. Veritabanının artık kullanılmadığından emin olun.

  2. Veritabanını yedekleyin.

  3. Veritabanını silin:

    1. SQL örneğine bağlanmak için Microsoft SQL Server Management Studio kullanın.
    2. ADSync veritabanını bulun ve sağ tıklayın.
    3. Bağlam menüsünde Sil'i seçin.
    4. Veritabanını silmek için Tamam'ı seçin.

Microsoft SQL Server Management Studio gösteren ekran görüntüsü. Bir D Eşitlemesi seçilidir.

ADSync veritabanını sildikten sonra yüklemeyi yeniden denemek için Yükle'yi seçin.

Sonraki adımlar

Yükleme tamamlandıktan sonra Windows oturumunu kapatın. Ardından Eşitleme Service Manager veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce yeniden oturum açın.

Azure AD Connect'i yüklediğinize göre, yüklemeyi doğrulayabilir ve lisans atayabilirsiniz.

Yükleme sırasında etkinleştirdiğiniz özellikler hakkında daha fazla bilgi için bkz. Yanlışlıkla silmeleri önleme ve Connect Health'i Azure AD.

Diğer yaygın konular hakkında daha fazla bilgi için bkz. Azure AD Connect sync: Scheduler ve Şirket içi kimliklerinizi Azure AD ile tümleştirme.