şirket içi Active Directory etki alanlarını Microsoft Entra ID ile tümleştirme

Microsoft Entra ID
Azure Virtual Network
Azure Virtual Machines

Microsoft Entra Id, bulut tabanlı çok kiracılı bir dizin ve kimlik hizmetidir. Bu başvuru mimarisi, bulut tabanlı kimlik doğrulaması sağlamak için şirket içi Active Directory etki alanlarını Microsoft Entra Id ile tümleştirmeye yönelik en iyi yöntemleri gösterir.

Mimari

Diagram of a hybrid cloud identity architecture that uses Microsoft Entra ID.

Microsoft 365 aracılığıyla Visio diyagramına çevrimiçi olarak erişin. Bu diyagrama erişmek için Visio lisansına sahip olmanız gerektiğini unutmayın. Veya bu mimarinin Visio dosyasını indirin (bkz. Visio sekmesi "Microsoft Entra Id").

Dekont

Kolaylık olması için, bu diyagram yalnızca doğrudan Microsoft Entra Kimliği ile ilgili bağlantıları gösterir ve kimlik doğrulaması ve kimlik federasyonunun bir parçası olarak oluşabilecek protokolle ilgili trafiği göstermez. Örneğin, bir web uygulaması Microsoft Entra Id aracılığıyla isteğin kimliğini doğrulamak için web tarayıcısını yeniden yönlendirebilir. Kimlik doğrulaması yapıldıktan sonra, istek uygun kimlik bilgileriyle birlikte yeniden web uygulamasına geçirilebilir.

Ek konular için, bkz. Şirket içi Active Directory’yi Azure ile tümleştirmek için bir çözüm seçme.

Components

Mimari aşağıdaki bileşenlere sahiptir.

  • Microsoft Entra kiracısı. Kuruluşunuz tarafından oluşturulan bir Microsoft Entra Id örneği. Bulut uygulamaları için şirket içi Active Directory'den kopyalanan nesnelerin depolandığı bir dizin hizmeti işlevi görür ve kimlik hizmetleri sağlar.

  • Web katmanı alt ağı. Bu alt ağ bir web uygulaması çalıştıran sanal makineleri barındırır. Microsoft Entra Id, bu uygulama için kimlik aracısı olarak görev yapabilir.

  • Şirket içi AD DS sunucusu. Şirket içi dizin ve kimlik hizmeti. AD DS dizini, şirket içi kullanıcıların kimliğini doğrulamasını sağlamak için Microsoft Entra Id ile eşitlenebilir.

  • Microsoft Entra Bağlan Eşitleme sunucusu. Microsoft Entra Bağlan eşitleme hizmetini çalıştıran bir şirket içi bilgisayar. Bu hizmet, şirket içi Active Directory tutulan bilgileri Microsoft Entra Kimliği ile eşitler. Örneğin, şirket içi grupları ve kullanıcıları sağlarsanız veya sağlamasını kaldırdığınızda, bu değişiklikler Microsoft Entra Id'ye yayılır.

    Dekont

    Güvenlik nedeniyle, Microsoft Entra Id kullanıcının parolalarını karma olarak depolar. Bir kullanıcı parola sıfırlaması gerektiriyorsa, bunun şirket içinde gerçekleştirilmesi ve yeni karmanın Microsoft Entra Kimliği'ne gönderilmesi gerekir. Microsoft Entra Id P1 veya P2 sürümleri, parola değişikliklerinin bulutta gerçekleşmesini ve ardından şirket içi AD DS'ye geri yazılabilmesini sağlayan özellikler içerir.

  • N katmanlı uygulama için sanal makineler. Bu kaynaklar hakkında daha fazla bilgi için bkz. [N katmanlı mimari için VM çalıştırma][Azure'da çok katmanlı mimariyi uygulama].

Senaryo ayrıntıları

Olası kullanım örnekleri

Bu başvuru mimarisinin tipik kullanımları şunlardır:

  • Azure'da dağıtılan ve kuruluşunuzun uzak kullanıcılarına erişim sağlayan web uygulamaları.
  • Son kullanıcılara kendi parolalarını sıfırlama ve grup yönetimi için temsilci seçme gibi self servis özellikleri uygulama. Bunun için Microsoft Entra ID P1 veya P2 sürümü gerekir.
  • Şirket içi ağın ve uygulamanın Azure sanal ağının VPN tüneli veya ExpressRoute bağlantı hattı kullanılarak bağlanmadığı mimariler.

Dekont

Microsoft Entra Id, bir kuruluşun dizininde bulunan kullanıcıların ve uygulamaların kimliğini doğrulayabilir. SQL Server gibi bazı uygulamalar ve hizmetler bilgisayar kimlik doğrulaması gerektirebilir; bu çözüm böyle durumlara uygun değildir.

Öneriler

Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.

Microsoft Entra Bağlan Eşitleme hizmetini yapılandırma

Microsoft Entra Bağlan Eşitleme hizmeti, bulutta depolanan kimlik bilgilerinin şirket içinde depolanan kimlik bilgileriyle tutarlı olmasını sağlar. Bu hizmeti Microsoft Entra Bağlan yazılımını kullanarak yüklersiniz.

Microsoft Entra Bağlan Sync'i uygulamadan önce kuruluşunuzun eşitleme gereksinimlerini belirleyin. Örneğin nelerin, hangi etki alanlarından ve ne sıklıkta eşitleneceğini belirleyin. Daha fazla bilgi için bkz. Dizin eşitleme gereksinimlerini belirleme.

Microsoft Entra Bağlan Eşitleme hizmetini bir VM'de veya şirket içinde barındırılan bir bilgisayarda çalıştırabilirsiniz. Active Directory dizininizdeki bilgilerin volatilitesine bağlı olarak, Microsoft Entra Bağlan Sync hizmetindeki yükün Microsoft Entra Id ile ilk eşitlemeden sonra yüksek olma olasılığı düşüktür. Hizmetin sanal makine üzerinde çalıştırılması gerektiğinde sunucunun ölçeklendirilmesini kolaylaştırır. Ölçeklendirmenin gerekli olup olmadığını saptamak için sanal makinedeki etkinliği İzlemede dikkate alınacak noktalar altında açıklandığı gibi izleyin.

Bir ormanda birden çok şirket içi etki alanınız varsa, tüm ormanın bilgilerini tek bir Microsoft Entra kiracısına depolamanızı ve eşitlemenizi öneririz. Birden fazla etki alanında gerçekleşen kimliklere ilişkin bilgileri filtreleyin, böylece her kimlik yinelenmek yerine Microsoft Entra Id'de yalnızca bir kez görünür. Yinelemeler, veriler eşitlendiğinde tutarsızlıklara yol açabilir. Daha fazla bilgi için aşağıdaki Topoloji bölümüne bakın.

Yalnızca gerekli verilerin Microsoft Entra Id'de depolanması için filtrelemeyi kullanın. Örneğin, kuruluşunuz etkin olmayan hesaplar hakkındaki bilgileri Microsoft Entra Id'de depolamak istemeyebilir. Grup tabanlı, etki alanı tabanlı, kuruluş birimi (OU) tabanlı veya öznitelik tabanlı filtreleme yapılabilir. Filtreleri birleştirerek daha karmaşık kurallar oluşturabilirsiniz. Örneğin, bir etki alanında tutulan ve seçili özniteliğinde belirli bir değer bulunan nesneleri eşitleyebilirsiniz. Ayrıntılı bilgi için bkz. Microsoft Entra Bağlan Eşitleme: Filtrelemeyi Yapılandırma.

AD Connect eşitleme hizmetinde yüksek kullanılabilirliği uygulamak için ikinci bir hazırlık sunucusu çalıştırın. Daha fazla bilgi için Topoloji önerileri bölümüne bakın.

Dekont

Microsoft Entra Bağlan bulut eşitleme, Microsoft'un kullanıcı, grup ve kişilerin Microsoft Entra Id ile eşitlenmesi için karma kimlik hedeflerinizi karşılamak ve gerçekleştirmek üzere tasarlanmış yeni bir teklifidir. Microsoft Entra Bağlan bulut eşitlemesiyle, AD'den Microsoft Entra Id'ye sağlama, Microsoft Online Services'ta düzenlenmektedir.

Güvenlik yapılandırmasını ve ilkesini doğrulama

Parola yönetimini kullanın. Microsoft Entra Id P1 veya P2 sürümleri parola geri yazmayı destekleyerek şirket içi kullanıcılarınızın Azure portalından self servis parola sıfırlamaları gerçekleştirmesini sağlar. Bu özellik yalnızca kuruluşunuzun parola güvenlik ilkesi gözden geçirildikten sonra etkinleştirilmelidir. Örneğin, hangi kullanıcıların kendi parolalarını değiştirebileceğine ilişkin kısıtlamalar belirleyebilir ve parola yönetim deneyimini uyarlayabilirsiniz. Daha fazla bilgi için bkz. Parola Yönetimini kuruluşunuzun gereksinimlerine uygun olarak özelleştirme.

Harici olarak erişilebilen şirket içi uygulamaları koruyun. Microsoft Entra id aracılığıyla ağınız dışındaki kullanıcılara şirket içi web uygulamalarına denetimli erişim sağlamak için Microsoft Entra uygulama ara sunucusunu kullanın. Yalnızca Azure dizininizde geçerli kimlik bilgileri olan kullanıcılara uygulamayı kullanma izni verilir. Daha fazla bilgi için, Azure Portal'da Uygulama Ara Sunucusunu etkinleştirme makalesine bakın.

Şüpheli etkinlik belirtileri için Microsoft Entra Kimliğini etkin bir şekilde izleyin. Microsoft Entra Kimlik Koruması içeren Microsoft Entra ID P2 sürümünü kullanmayı göz önünde bulundurun. Kimlik koruması, kimliğin gizliliğinin bozulduğunu gösteriyor olabilecek anormallikleri ve risk olaylarını algılamak için uyarlamalı makine öğrenme algoritmaları ve buluşsal yöntemler kullanır. Örneğin, düzensiz oturum açma etkinlikleri, bilinmeyen kaynaklardan veya şüpheli etkinliği olan IP adreslerinden yapılan oturum açma işlemleri veya virüs bulaşmış olabilecek cihazlardan oturum açma işlemleri gibi alışılmışın dışında olabilecek etkinlikleri algılayabilir. Kimlik Koruması bu verileri, bu risk olaylarını araştırmanıza ve uygun eylemleri gerçekleştirmenize olanak tanıyan raporlar ve uyarılar oluşturmak için kullanır. Daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması.

Sisteminizde gerçekleşen güvenlikle ilgili etkinlikleri izlemek için Azure portalında Microsoft Entra ID raporlama özelliğini kullanabilirsiniz. Bu raporları kullanma hakkında daha fazla bilgi için bkz . Microsoft Entra ID Raporlama Kılavuzu.

Ağ topolojisi doğrulama

Microsoft Entra Bağlan'ı kuruluşunuzun gereksinimlerine en yakın topolojiyi uygulayacak şekilde yapılandırın. Microsoft Entra Bağlan tarafından desteklenen topolojiler şunlardır:

  • Tek orman, tek Microsoft Entra dizini. Bu topolojide, Microsoft Entra Bağlan tek bir şirket içi ormandaki bir veya daha fazla etki alanından nesneleri ve kimlik bilgilerini tek bir Microsoft Entra kiracısına eşitler. Bu topoloji, Microsoft Entra Bağlan'nin hızlı yüklemesi tarafından varsayılan uygulamadır.

    Dekont

    Aşağıda açıklanan hazırlama modunda bir sunucu çalıştırmadığınız sürece, aynı şirket içi ormandaki farklı etki alanlarını aynı Microsoft Entra kiracısına bağlamak için birden çok Microsoft Entra Bağlan Eşitleme sunucusu kullanmayın.

  • Birden çok orman, tek bir Microsoft Entra dizini. Bu topolojide, Microsoft Entra Bağlan birden çok ormandaki nesneleri ve kimlik bilgilerini tek bir Microsoft Entra kiracısında eşitler. Kuruluşunuzun birden çok şirket içi ormanı varsa bu topolojiyi kullanın. Kimlik bilgilerini birleştirerek, kullanıcı birden fazla ormanda olsa bile her benzersiz kullanıcının Microsoft Entra dizininde bir kez gösterilmesini sağlayabilirsiniz. Tüm ormanlar aynı Microsoft Entra Bağlan Sync sunucusunu kullanır. Microsoft Entra Bağlan Sync sunucusunun herhangi bir etki alanının parçası olması gerekmez, ancak tüm ormanlardan erişilebilir olması gerekir.

    Dekont

    Bu topolojide, her şirket içi ormanı tek bir Microsoft Entra kiracısına bağlamak için ayrı Microsoft Entra Bağlan Eşitleme sunucuları kullanmayın. Bu, kullanıcılar birden fazla ormanda varsa Microsoft Entra Id'de yinelenen kimlik bilgilerine neden olabilir.

  • Birden çok orman, ayrı topolojiler. Bu topoloji, ayrı ormanlardan gelen kimlik bilgilerini tek bir Microsoft Entra kiracısı ile birleştirerek tüm ormanları ayrı varlıklar olarak ele alır. Bu topoloji, farklı kuruluşlardaki ormanları birleştiriyorsanız ve her kullanıcının kimlik bilgileri yalnızca bir ormanda tutuluyorsa kullanışlıdır.

    Dekont

    Ormanların her birindeki genel adres listeleri (GAL) eşitlenirse, bir ormandaki kullanıcı başka bir ormanda kişi olarak var olabilir. Kuruluşunuz Forefront Identity Manager 2010 veya Microsoft Identity Manager 2016 ile GALSync'i uyguladıysa, bu durum oluşabilir. Bu senaryoda kullanıcıların Mail özniteliklerine göre tanımlanacağını belirtebilirsiniz. Ayrıca kimlikleri eşleştirmek için ObjectSID ve msExchMasterAccountSID özniteliklerini de kullanabilirsiniz. Devre dışı bırakılmış hesapları olan bir veya birden çok kaynak ormanınız varsa, bu kullanışlı olur.

  • Hazırlama sunucusu. Bu yapılandırmada, Microsoft Entra Bağlan Sync sunucusunun ikinci bir örneğini ilkiyle paralel olarak çalıştırırsınız. Bu yapı şöyle senaryoları destekler:

    • Yüksek kullanılabilirlik.

    • Microsoft Entra Bağlan Sync sunucusunun yeni bir yapılandırmasını test etme ve dağıtma.

    • Yeni bir sunucuyu kullanıma alma ve eski yapılandırmanın yetkisini alma.

      Bu senaryolarda, ikinci örnek hazırlama modunda çalıştırılır. Sunucu, içeri aktarılan nesneleri ve eşitleme verilerini veritabanında kaydeder, ancak verileri Microsoft Entra Kimliği'ne geçirmez. Hazırlama modunu devre dışı bırakırsanız, sunucu Microsoft Entra Id'ye veri yazmaya başlar ve uygun durumlarda şirket içi dizinlerde parola geri yazma işlemleri gerçekleştirmeye başlar. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync: operasyonel görevler ve dikkat edilmesi gerekenler.

  • Birden çok Microsoft Entra dizini. Genellikle bir kuruluş için tek bir Microsoft Entra dizini oluşturursunuz, ancak bilgileri ayrı Microsoft Entra dizinleri arasında bölümlemeniz gereken durumlar olabilir. Bu durumda, şirket içi ormandaki her nesnenin yalnızca bir Microsoft Entra dizininde göründüğünden emin olarak eşitleme ve parola geri yazma sorunlarından kaçının. Bu senaryonun uygulanması için, her Microsoft Entra dizini için ayrı Microsoft Entra Bağlan Eşitleme sunucuları yapılandırın ve her Microsoft Entra Bağlan Sync sunucusunun birbirini dışlayan bir nesne kümesinde çalışması için filtrelemeyi kullanın.

Bu topolojiler hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan için topolojiler.

Kullanıcı kimlik doğrulama yöntemini yapılandırma

Varsayılan olarak, Microsoft Entra Bağlan Eşitleme sunucusu şirket içi etki alanı ile Microsoft Entra Id arasında parola karması eşitlemesini yapılandırmaktadır. Microsoft Entra hizmeti, kullanıcıların şirket içinde kullandıkları parolayı sağlayarak kimlik doğrulaması yaptıklarını varsayar. Birçok kuruluş için bu strateji uygundur, ancak kuruluşunuzun mevcut ilkelerini ve altyapısını dikkate almanız gerekir. Örneğin:

  • Kuruluşunuzun güvenlik ilkesi, parola karmalarının bulutla eşitlenmesini engelleyebilir. Bu durumda, kuruluşunuz doğrudan kimlik doğrulamasını göz önünde bulundurmalıdır.
  • Kullanıcıların şirket ağındaki etki alanına katılmış makinelerden bulut kaynaklarına erişirken sorunsuz bir çoklu oturum açma deneyimi (SSO) yaşamaları gerekiyor da olabilir.
  • Kuruluşunuzda zaten Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya bir üçüncü taraf federasyon sağlayıcısı dağıtılmış olabilir. Microsoft Entra Id'yi bulutta tutulan parola bilgilerini kullanmak yerine kimlik doğrulaması ve SSO uygulamak için bu altyapıyı kullanacak şekilde yapılandırabilirsiniz.

Daha fazla bilgi için bkz. Microsoft Entra Bağlan Kullanıcı Oturum açma seçenekleri.

Microsoft Entra uygulama ara sunucusunu yapılandırma

Şirket içi uygulamalara erişim sağlamak için Microsoft Entra Id kullanın.

Microsoft Entra uygulama ara sunucusu bileşeni tarafından yönetilen uygulama ara sunucu bağlayıcılarını kullanarak şirket içi web uygulamalarınızı kullanıma sunma. Uygulama ara sunucusu bağlayıcısı, Microsoft Entra uygulama ara sunucusuna giden bir ağ bağlantısı açar. Uzak kullanıcıların istekleri, web uygulamalarına yönelik bu ara sunucu bağlantısı aracılığıyla Microsoft Entra ID'den geri yönlendirilir. Bu yapılandırma, şirket içi güvenlik duvarında gelen bağlantı noktalarını açma gereksinimini ortadan kaldırır ve kuruluşunuz tarafından kullanıma sunulan saldırı yüzeyini azaltır.

Daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusunu kullanarak uygulama yayımlama.

Microsoft Entra nesne eşitlemesini yapılandırma

Microsoft Entra Bağlan için varsayılan yapılandırma, Microsoft Entra Bağlan Sync: Varsayılan yapılandırmayı anlama makalesinde belirtilen kurallara göre yerel Active Directory dizininizdeki nesneleri eşitler. Bu kurallara uyan nesneler eşitlenirken diğer tüm nesneler yoksayılır. Bazı kural örnekleri:

  • Kullanıcı nesnelerinin benzersiz bir sourceAnchor özniteliği olmalıdır ve accountEnabled özniteliği doldurulmalıdır.
  • Kullanıcı nesnelerinin sAMAccountName özniteliği olmalıdır ve Azure AD_ veya MSOL_ metniyle başlayamaz.

Microsoft Entra Bağlan User, Contact, Group, ForeignSecurityPrincipal ve Computer nesnelerine çeşitli kurallar uygular. Varsayılan kural kümesini değiştirmeniz gerekiyorsa, Microsoft Entra Bağlan ile yüklenen Eşitleme Kuralları Düzenleyicisi'ni kullanın. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync: Varsayılan yapılandırmayı anlama).

Ayrıca, ekti alanına veya kuruluş birimine (OU) göre nesnelerin eşitlenmesini sınırlandırmak istiyorsanız kendi filtrelerinizi de tanımlayabilirsiniz. Alternatif olarak, Microsoft Entra Bağlan Sync: Filtrelemeyi Yapılandırma bölümünde açıklanan gibi daha karmaşık özel filtreleme uygulayabilirsiniz.

İzleme aracılarını yapılandırma

Sistem durumu izlemesi şirket içinde yüklenmiş şu aracılarla gerçekleştirilir:

  • Microsoft Entra Bağlan, eşitleme işlemleriyle ilgili bilgileri yakalayan bir aracı yükler. Sistem durumunu ve performansını izlemek için Azure portalındaki Microsoft Entra Bağlan Health dikey penceresini kullanın. Daha fazla bilgi için bkz. Eşitleme için Microsoft Entra Bağlan Health kullanma.
  • Azure'dan AD DS etki alanlarının ve dizinlerinin durumunu izlemek için AD DS için Microsoft Entra Bağlan Health aracısını şirket içi etki alanı içindeki bir makineye yükleyin. Sistem durumunu izlemek için Azure portalındaki Microsoft Entra Bağlan Health dikey penceresini kullanın. Daha fazla bilgi için bkz. MICROSOFT Entra Bağlan Health'i AD DS ile kullanma
  • Şirket içinde çalışan hizmetlerin durumunu izlemek için AD FS için Microsoft Entra Bağlan Health aracını yükleyin ve AD FS'yi izlemek için Azure portalındaki Microsoft Entra Bağlan Health dikey penceresini kullanın. Daha fazla bilgi için bkz. MICROSOFT Entra Bağlan Health'i AD FS ile kullanma

AD Bağlan Sistem Durumu aracılarını ve bunların gereksinimlerini yükleme hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan Health Aracısı Yüklemesi.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Güvenilirlik

Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.

Microsoft Entra hizmeti coğrafi olarak dağıtılmıştır ve otomatik yük devretme ile dünyaya yayılmış birden çok veri merkezinde çalışır. Bir veri merkezi kullanılamaz duruma gelirse, Microsoft Entra Id dizin verilerinizin en az iki daha fazla bölgesel olarak dağınık veri merkezinde erişim için kullanılabilir olmasını sağlar.

Dekont

Microsoft 365 Uygulamaları AD katmanı ve Premium hizmetler için hizmet düzeyi sözleşmesi (SLA), en az %99,9 kullanılabilirlik garantisi sunar. Microsoft Entra Id'nin Ücretsiz katmanı için SLA yoktur. Daha fazla bilgi için bkz . Microsoft Entra Id için SLA.

Topoloji önerileri bölümünde açıklandığı gibi kullanılabilirliği artırmak için hazırlama modunda Microsoft Entra Bağlan Sync sunucusunun ikinci bir örneğini sağlamayı göz önünde bulundurun.

Microsoft Entra Bağlan ile birlikte gelen SQL Server Express LocalDB örneğini kullanmıyorsanız, yüksek kullanılabilirlik elde etmek için SQL kümeleme kullanmayı göz önünde bulundurun. Yansıtma ve Always On gibi çözümler Microsoft Entra Bağlan tarafından desteklenmez.

Microsoft Entra Bağlan Sync sunucusunun yüksek kullanılabilirliğini elde etme ve bir hatadan sonra kurtarma hakkında ek konular için bkz. Microsoft Entra Bağlan Sync: operasyonel görevler ve dikkat edilmesi gerekenler - Olağanüstü Durum Kurtarma.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Beklenmeyen kaynaklardan gelen kimlik doğrulama isteklerini reddetmek için koşullu erişim denetimi kullanın:

  • Kullanıcı güvenilir bir ağ yerine İnternet üzerinden gibi güvenilmeyen bir konumdan bağlanmaya çalışırsa Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) tetikler.

  • Uygulamalara ve özelliklere erişim ilkesini belirlemek için kullanıcının cihaz platformu türünü (iOS, Android, Windows Mobile, Windows) kullanın.

  • Kullanıcı cihazlarının etkin/devre dışı durumunu kaydedin ve bu bilgileri erişim ilkesi denetimleriyle birleştirin. Örneğin kullanıcının telefonu kaybolur veya çalınırsa, erişim elde etmek için kullanılmasını önlemek için bu telefonun devre dışı olarak kaydedilmesi gerekir.

  • Kaynaklara kullanıcı erişimini grup üyeliği temelinde denetleyin. Grup yönetimini basitleştirmek için Microsoft Entra dinamik üyelik kurallarını kullanın. Bunun nasıl çalıştığını gösteren kısa genel bakış bilgileri için bkz. Gruplarda Dinamik Üyeliğe Giriş.

  • Olağan dışı oturum açma etkinliklerine veya diğer olaylara göre gelişmiş koruma sağlamak için Microsoft Entra Kimlik Koruması ile koşullu erişim riski ilkelerini kullanın.

Daha fazla bilgi için bkz . Microsoft Entra Koşullu Erişim.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.

Maliyetle ilgili dikkat edilmesi gerekenler şunlardır:

  • Microsoft Entra Bağlan - Microsoft Entra Bağlan eşitleme özelliği, Microsoft Entra Id'nin tüm sürümlerinde kullanılabilir.

    • Microsoft Entra Bağlan kullanmak için ek lisans gereksinimi yoktur ve Azure aboneliğinize dahil edilir.

    • Microsoft Entra Id sürümleri hakkında fiyatlandırma bilgileri için bkz . Microsoft Entra fiyatlandırması.

  • N Katmanlı uygulama vm'leri - Bu kaynaklar hakkında maliyet bilgileri için bkz. [N katmanlı mimari için VM çalıştırma][Azure'da çok katmanlı mimariyi uygulama].

Operasyonel mükemmellik

Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.

Yönetilebilirlik

Microsoft Entra Id'yi yönetmenin iki yönü vardır:

  • Yönetici Microsoft Entra Id'yi bulutta listeleme.
  • Microsoft Entra Bağlan Eşitleme sunucularının bakımı.

Microsoft Entra ID, buluttaki etki alanlarını ve dizinleri yönetmek için aşağıdaki seçenekleri sağlar:

  • Microsoft Graph PowerShell Modülü - Kullanıcı yönetimi, etki alanı yönetimi ve çoklu oturum açma yapılandırması gibi yaygın Microsoft Entra yönetim görevlerini betik olarak kullanmak için kullanılır.
  • Azure portalındaki Microsoft Entra yönetim dikey penceresi, dizinin etkileşimli bir yönetim görünümünü sağlar ve Microsoft Entra Id'nin çoğu yönünü denetlemenize ve yapılandırmanıza olanak tanır.

Microsoft Entra Bağlan, şirket içi makinelerinizden Microsoft Entra Bağlan Eşitleme hizmetlerini korumak için aşağıdaki araçları yükler:

  • Microsoft Entra Bağlan konsolu - Azure AD Eşitleme sunucusunun yapılandırmasını değiştirmenize, eşitlemenin nasıl gerçekleştiğini özelleştirmenize, hazırlama modunu etkinleştirmenize veya devre dışı bırakmanıza ve kullanıcı oturum açma modunu değiştirmenize olanak tanır. Şirket içi altyapınızı kullanarak Active Directory FS oturum açmayı etkinleştirebilirsiniz.
  • Eşitleme Hizmeti Yöneticisi - Eşitleme işlemini yönetmek ve işlemin herhangi bir bölümünün başarısız olup olmadığını algılamak için bu araçtaki İşlemler sekmesini kullanın. Bu aracı kullanıp eşitlemeleri el ile tetikleyebilirsiniz. Bağlayıcılar sekmesi eşitleme altyapısının bağlandığı etki alanları için bağlantıları denetlemenizi sağlar.
  • Eşitleme Kuralları Düzenleyicisi - Nesnelerin şirket içi dizin ile Microsoft Entra Id arasında kopyalandığında dönüştürülmesi şeklini özelleştirmenize olanak tanır. Bu araç, eşitleme için ek öznitelikler ve nesneler belirtmenize olanak tanır, ardından hangi nesnelerin eşitlenmesi gerektiğini veya eşitlenmemesi gerektiğini belirlemek için filtreleri yürütür. Daha fazla bilgi için Microsoft Entra Bağlan Sync: Varsayılan yapılandırmayı anlama belgesinin Eşitleme Kuralı Düzenleyicisi bölümüne bakın.

Microsoft Entra Bağlan yönetme hakkında daha fazla bilgi ve ipucu için bkz. Microsoft Entra Bağlan Sync: Varsayılan yapılandırmayı değiştirmek için en iyi yöntemler.

DevOps

DevOps ile ilgili dikkat edilmesi gerekenler için bkz. Active Directory Etki Alanı Hizmetlerini (AD DS) Azure'a genişletme konusunda operasyonel mükemmellik.

Performans verimliliği

Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.

Microsoft Entra hizmeti, yazma işlemlerini ve birden çok salt okunur ikincil çoğaltmayı işleyen tek bir birincil çoğaltma ile çoğaltmalara göre ölçeklenebilirliği destekler. Microsoft Entra ID, ikincil çoğaltmalarda yapılan yazma girişimlerini saydam bir şekilde birincil çoğaltmaya yönlendirir ve nihai tutarlılık sağlar. Birincil çoğaltmada yapılan tüm değişiklikler ikincil çoğaltmalara yaygınlaştırılır. Microsoft Entra ID'ye yönelik işlemlerin çoğu yazma yerine okuma olduğundan bu mimari iyi ölçeklendirilir. Daha fazla bilgi için bkz . Microsoft Entra mimarisi nedir?

Microsoft Entra Bağlan Eşitleme sunucusu için, yerel dizininizden eşitleme olasılığınız olan nesne sayısını belirleyin. 100.000'den az nesneniz varsa, Microsoft Entra Bağlan ile sağlanan varsayılan SQL Server Express LocalDB yazılımını kullanabilirsiniz. Daha fazla sayıda nesneniz varsa, SQL Server'ın üretim sürümünü yüklemeniz ve var olan bir SQL Server örneğini kullanması gerektiğini belirterek Microsoft Entra Bağlan özel yüklemesini gerçekleştirmeniz gerekir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar