Microsoft Entra geçiş kimlik doğrulaması: Hızlı Başlangıç

  • Makale

Microsoft Entra doğrudan kimlik doğrulamasını dağıtma

Microsoft Entra doğrudan kimlik doğrulaması, kullanıcılarınızın aynı parolaları kullanarak hem şirket içi hem de bulut tabanlı uygulamalarda oturum açmasına olanak tanır. Doğrudan Kimlik Doğrulaması, parolalarını doğrudan şirket içi Active Directory karşı doğrulayarak kullanıcıları oturum açar.

Önemli

AD FS'den (veya diğer federasyon teknolojilerinden) Doğrudan Kimlik Doğrulaması'na geçiyorsanız, Uygulamaları Microsoft Entra Id'ye geçirmeye yönelik kaynakları görüntüleyin.

Dekont

geçiş kimlik doğrulamasını Azure Kamu bulutuyla dağıtıyorsanız, Azure Kamu için Karma KimlikLe İlgili Önemli Noktalar'ı görüntüleyin.

Kiracınıza Doğrudan Kimlik Doğrulaması dağıtmak için şu yönergeleri izleyin:

1. Adım: Önkoşulları denetleyin

Aşağıdaki önkoşulların karşılandığından emin olun.

Önemli

Güvenlik açısından, yöneticiler PTA aracısını çalıştıran sunucuyu bir etki alanı denetleyicisiymiş gibi ele almalıdır. PTA aracı sunucuları, Etki Alanı Denetleyicilerinin Saldırılara Karşı Güvenliğini Sağlama başlığı altında açıklandığı gibi aynı satırlar boyunca sağlamlaştırılmalıdır

Microsoft Entra yönetim merkezinde

  1. Microsoft Entra kiracınızda yalnızca bulutta bir Karma Kimlik Yönetici istrator hesabı veya Karma Kimlik yönetici hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz duruma gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik Yönetici istrator hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmemesini sağlamak için kritik öneme sahiptir.
  2. Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Şirket içi ortamınızda

  1. Microsoft Entra Bağlan çalıştırmak için Windows Server 2016 veya üzerini çalıştıran bir sunucuyu belirleyin. Henüz etkinleştirilmemişse, sunucuda TLS 1.2'yi etkinleştirin. Sunucuyu, parolalarını doğrulamanız gereken kullanıcılarla aynı Active Directory ormanına ekleyin. Windows Server Core sürümlerine Doğrudan Kimlik Doğrulama aracısının yüklenmesinin desteklenmediği belirtilmelidir.

  2. Önceki adımda tanımlanan sunucuya Microsoft Entra Bağlan'nin en son sürümünü yükleyin. Microsoft Entra Bağlan zaten çalışıyorsanız sürümün desteklendiğinden emin olun.

    Dekont

    Microsoft Entra Bağlan 1.1.557.0, 1.1.558.0, 1.1.561.0 ve 1.1.614.0 sürümlerinde parola karması eşitlemeyle ilgili bir sorun vardır. Parola karması eşitlemesini Doğrudan Kimlik Doğrulaması ile birlikte kullanmayı düşünmüyorsanız Microsoft Entra Bağlan sürüm notlarını okuyun.

  3. Tek başına Kimlik Doğrulama Aracılarını çalıştırabileceğiniz bir veya daha fazla ek sunucu (TLS 1.2 etkin olarak Windows Server 2016 veya üzerini çalıştırıyor) tanımlayın. Bu ek sunucular, oturum açma isteklerinin yüksek kullanılabilirliğini sağlamak için gereklidir. Sunucuları, parolalarını doğrulamanız gereken kullanıcılarla aynı Active Directory ormanına ekleyin.

    Önemli

    Üretim ortamlarında, kiracınızda en az 3 Kimlik Doğrulama Aracısı çalıştırmanızı öneririz. Kiracı başına 40 Kimlik Doğrulama Aracısı sistem sınırı vardır. En iyi yöntem olarak, Kimlik Doğrulama Aracıları çalıştıran tüm sunucuları Katman 0 sistemleri olarak değerlendirin (başvuruya bakın).

  4. Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

    • Kimlik Doğrulama Aracılarının aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler göndereediğinden emin olun:

      Bağlantı noktası numarası Nasıl kullanılır?
      80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir
      443 Hizmetle tüm giden iletişimi işler
      8080 (isteğe bağlı) Kimlik Doğrulama Aracıları, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden on dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde görüntülenir. 8080 numaralı bağlantı noktası kullanıcı oturum açma işlemleri için kullanılmaz .

      Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.

    • Güvenlik duvarınız veya proxy'niz izin verilenler listesine DNS girdileri eklemenize izin veriyorsa* .msappproxy.net ve *.servicebus.windows.net bağlantı ekleyin. Aksi takdirde, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

    • Azure Passthrough Aracısı ile Azure Uç Noktası arasındaki giden TLS iletişimlerinde tüm satır içi inceleme ve Sonlandırma biçimlerinden kaçının.

    • Giden bir HTTP proxy'niz varsa, bu URL'nin izin verilenler listesinde olduğundan emin autologon.microsoftazuread-sso.com. Joker karakter kabul edilebileceğinden bu URL'yi açıkça belirtmelisiniz.

    • Kimlik Doğrulama Aracılarınızın ilk kayıt için login.windows.net ve login.microsoftonline.com erişimi olmalıdır. Bu URL'ler için güvenlik duvarınızı da açın.

    • Sertifika doğrulaması için şu URL'lerin engelini kaldırın: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 ve ocsp.msocsp.com:80. Bu URL'ler diğer Microsoft ürünleriyle sertifika doğrulaması için kullanıldığından, bu URL'lerin engeli kaldırılmış olabilir.

Azure Kamu bulut önkoşulu

2. Adım ile Microsoft Entra Bağlan aracılığıyla Doğrudan Kimlik Doğrulaması'nı etkinleştirmeden önce, Microsoft Entra yönetim merkezinden PTA aracısının en son sürümünü indirin. Aracınızın 1.5.1742.0 veya sonraki bir sürüm olduğundan emin olmanız gerekir. Aracınızı doğrulamak için bkz. Kimlik doğrulama aracılarını yükseltme

Aracının en son sürümünü indirdikten sonra, Microsoft Entra Bağlan aracılığıyla Geçiş Kimlik Doğrulamasını yapılandırmak için aşağıdaki yönergelerle devam edin.

2. Adım: Özelliği etkinleştirme

Microsoft Entra Bağlan aracılığıyla Doğrudan Kimlik Doğrulamayı etkinleştirin.

Önemli

Microsoft Entra Bağlan birincil veya hazırlama sunucusunda Doğrudan Kimlik Doğrulamasını etkinleştirebilirsiniz. Birincil sunucudan etkinleştirmeniz kesinlikle önerilir. Gelecekte bir Microsoft Entra Bağlan hazırlama sunucusu ayarlayacaksanız, oturum açma seçeneği olarak Doğrudan Kimlik Doğrulaması'nı seçmeye devam etmeniz gerekir; başka bir seçenek belirlediğinizde kiracıda Doğrudan Kimlik Doğrulaması devre dışı bırakılır ve birincil sunucudaki ayar geçersiz kılınır.

Microsoft Entra Bağlan ilk kez yüklüyorsanız özel yükleme yolunu seçin. Kullanıcı oturum açma sayfasında, Oturum Açma yöntemi olarak Doğrudan Kimlik Doğrulaması'nıseçin. Başarıyla tamamlandığında, Microsoft Entra Bağlan ile aynı sunucuya bir Doğrudan Kimlik Doğrulama Aracısı yüklenir. Ayrıca, Kiracınızda Doğrudan Kimlik Doğrulaması özelliği etkinleştirilir.

Microsoft Entra Connect: User sign-in

Hızlı yükleme veya özel yükleme yolunu kullanarak Microsoft Entra Bağlan zaten yüklediyseniz, Microsoft Entra Bağlan'da Kullanıcı oturum açma görevini değiştir'i seçin ve ardından İleri'yi seçin. Ardından oturum açma yöntemi olarak Doğrudan Kimlik Doğrulaması'nı seçin. Başarıyla tamamlandığında, Microsoft Entra Bağlan ile aynı sunucuya bir Doğrudan Kimlik Doğrulama Aracısı yüklenir ve özellik kiracınızda etkinleştirilir.

Microsoft Entra Connect: Change user sign-in

Önemli

Doğrudan Kimlik Doğrulaması kiracı düzeyinde bir özelliktir. Bu ayarın açılması, kiracınızdaki tüm yönetilen etki alanlarındaki kullanıcılar için oturum açmayı etkiler. Active Directory Federasyon Hizmetleri (AD FS)'den (AD FS) Doğrudan Kimlik Doğrulaması'na geçiyorsanız, AD FS altyapınızı kapatmadan önce en az 12 saat beklemeniz gerekir. Bu bekleme süresi, kullanıcıların geçiş sırasında Exchange ActiveSync'te oturum açmaya devam etmelerini sağlamaktır. AD FS'den Doğrudan Kimlik Doğrulaması'na geçiş hakkında daha fazla yardım için burada yayımlanan dağıtım planlarımıza göz atın.

3. Adım: Özelliği test edin

Geçiş Kimlik Doğrulamasını doğru etkinleştirdiğinizden emin olmak için şu yönergeleri izleyin:

  1. Kiracınızın Karma Kimlik Yönetici istrator kimlik bilgileriyle Microsoft Entra yönetim merkezinde oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Microsoft Entra Bağlan'ı seçin.

  4. Geçiş kimlik doğrulaması özelliğinin Etkin olarak göründüğünü doğrulayın.

  5. Doğrudan kimlik doğrulama'ya tıklayın. Geçiş kimlik doğrulaması bölmesinde, Kimlik Doğrulama Aracılarınızın yüklü olduğu sunucular listelenir.

    Screenhot shows Microsoft Entra admin center: Microsoft Entra Connect pane.

    Screenshot shows Microsoft Entra admin center: Pass-through Authentication pane.

Bu aşamada, kiracınızdaki tüm yönetilen etki alanlarından kullanıcılar Doğrudan Kimlik Doğrulaması'nı kullanarak oturum açabilir. Ancak, federasyon etki alanlarından kullanıcılar AD FS'yi veya daha önce yapılandırdığınız başka bir federasyon sağlayıcısını kullanarak oturum açmaya devam eder. Bir etki alanını federasyondan yönetilene dönüştürürseniz, bu etki alanındaki tüm kullanıcılar Doğrudan Kimlik Doğrulaması kullanarak otomatik olarak oturum açmaya başlar. Doğrudan Kimlik Doğrulaması özelliği yalnızca bulut kullanıcılarını etkilemez.

4. Adım: Yüksek kullanılabilirlik sağlayın

Doğrudan Kimlik Doğrulaması'nın bir üretim ortamında dağıtılması planlanırsa, ek tek başına Kimlik Doğrulama Aracıları yüklemeniz gerekir. Bu Kimlik Doğrulama Aracılarını Microsoft Entra Bağlan çalıştıran sunuculardan başka sunuculara yükleyin. Bu kurulum, kullanıcı oturum açma istekleri için yüksek kullanılabilirlik sağlar.

Önemli

Üretim ortamlarında, kiracınızda en az 3 Kimlik Doğrulama Aracısı çalıştırmanızı öneririz. Kiracı başına 40 Kimlik Doğrulama Aracısı sistem sınırı vardır. En iyi yöntem olarak, Kimlik Doğrulama Aracıları çalıştıran tüm sunucuları Katman 0 sistemleri olarak değerlendirin (başvuruya bakın).

Birden çok Doğrudan Kimlik Doğrulama Aracısını yüklemek yüksek kullanılabilirlik sağlar, ancak Kimlik Doğrulama Aracıları arasında belirleyici yük dengelemesi sağlamaz. Kiracınız için kaç Kimlik Doğrulama Aracısına ihtiyacınız olduğunu belirlemek için, kiracınızda görmeyi beklediğiniz oturum açma isteklerinin en yüksek ve ortalama yükünü göz önünde bulundurun. Karşılaştırmalı olarak, tek bir Kimlik Doğrulama Aracısı standart 4 çekirdekli CPU, 16 GB RAM sunucusunda saniyede 300 ila 400 kimlik doğrulamasını işleyebilir.

Ağ trafiğini tahmin etmek için aşağıdaki boyutlandırma kılavuzunu kullanın:

  • Her isteğin yük boyutu (0,5K + 1K * num_of_agents) bayttır, yani Microsoft Entra Id'den Kimlik Doğrulama Aracısı'na veriler. Burada "num_of_agents", kiracınızda kayıtlı Kimlik Doğrulama Aracılarının sayısını gösterir.
  • Her yanıtın 1K baytlık bir yük boyutu vardır, yani Kimlik Doğrulama Aracısı'ndan Microsoft Entra Kimliğine veriler.

Çoğu müşteri için, yüksek kullanılabilirlik ve kapasite için toplamda üç Kimlik Doğrulama Aracısı yeterlidir. Oturum açma gecikme süresini geliştirmek için etki alanı denetleyicilerinizin yakınlarına Kimlik Doğrulama Aracıları yüklemeniz gerekir.

Başlamak için şu yönergeleri izleyerek Kimlik Doğrulama Aracısı yazılımını indirin:

  1. Kimlik Doğrulama Aracısı'nın en son sürümünü (sürüm 1.5.193.0 veya üzeri) indirmek için, kiracınızın Karma Kimlik Yönetici istrator kimlik bilgileriyle Microsoft Entra yönetim merkezinde oturum açın.

  2. Microsoft Entra Kimlik'i seçin.

  3. Microsoft Entra Bağlan'ı seçin, Doğrudan kimlik doğrulama'yı ve ardından Aracıyı İndir'i seçin.

  4. Koşulları kabul et ve indir düğmesini seçin.

    Screenshot shows Microsoft Entra admin center: Download Authentication Agent button.

Dekont

Kimlik Doğrulama Aracısı yazılımını doğrudan da indirebilirsiniz. Yüklemeden önce Kimlik Doğrulama Aracısının HizmetKoşullarını gözden geçirin ve kabul edin.

Tek başına Kimlik Doğrulama Aracısı dağıtmanın iki yolu vardır:

İlk olarak, yalnızca indirilen Kimlik Doğrulama Aracısı yürütülebilir dosyasını çalıştırarak ve istendiğinde kiracınızın genel yönetici kimlik bilgilerini sağlayarak etkileşimli olarak yapabilirsiniz.

İkincisi, katılımsız dağıtım betiği oluşturup çalıştırabilirsiniz. Bu, aynı anda birden çok Kimlik Doğrulama Aracısını dağıtmak veya Kullanıcı arabirimi etkin olmayan veya Uzak Masaüstü ile erişemiyorsanız Windows sunucularına Kimlik Doğrulama Aracıları yüklemek istediğinizde kullanışlıdır. Bu yaklaşımın nasıl kullanılacağına ilişkin yönergeler şunlardır:

  1. Bir Kimlik Doğrulama Aracısı yüklemek için aşağıdaki komutu çalıştırın: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Kimlik Doğrulama Aracısını PowerShell aracılığıyla hizmetimize kaydedebilirsiniz. Kiracınız için genel yönetici kullanıcı adı ve parolası içeren bir PowerShell Kimlik Bilgileri nesnesi $cred oluşturun. ve <password>öğesini değiştirerek <username> aşağıdaki komutu çalıştırın:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. C:\Program Files\Microsoft Azure AD Bağlan Authentication Agent'a gidin ve oluşturduğunuz nesneyi kullanarak $cred aşağıdaki betiği çalıştırın:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Önemli

Bir Sanal Makinede Kimlik Doğrulama Aracısı yüklüyse, başka bir Kimlik Doğrulama Aracısı ayarlamak için Sanal Makineyi kopyalayamazsınız. Bu yöntem desteklenmiyor.

5. Adım: Akıllı Kilitleme özelliğini yapılandırma

Akıllı Kilitleme, kullanıcılarınızın parolalarını tahmin etmeye çalışan veya girmek için deneme yanılma yöntemleri kullanan kötü aktörlerin kilitlenmesine yardımcı olur. Microsoft Entra ID'de Akıllı Kilitleme ayarları yapılandırılarak ve/veya şirket içi Active Directory uygun kilitleme ayarları yapılandırıldığında, saldırılar Active Directory'ye ulaşmadan önce filtrelenebilir. Kullanıcı hesaplarınızı korumak için kiracınızda Akıllı Kilitleme ayarlarını yapılandırma hakkında daha fazla bilgi edinmek için bu makaleyi okuyun.

Sonraki adımlar