Azure giriş bölgelerinde Active Directory ve Microsoft Entra Kimliği ile karma kimlik
Bu makalede, Azure giriş bölgeleri için Microsoft Entra Kimliği ve karma kimlik tasarlama ve uygulama hakkında yönergeler sağlanır.
Bulutta çalışan kuruluşlar, kullanıcı kimliklerini yönetmek ve kaynaklara erişmek için bir dizin hizmeti gerektirir. Microsoft Entra ID, kullanıcıları ve grupları yönetmek için güçlü özellikler sağlayan bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir. Microsoft Entra Id'yi tek başına kimlik çözümü olarak kullanabilir veya bunu bir Microsoft Entra Domain Services altyapısı veya şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) altyapısıyla tümleştirebilirsiniz.
Microsoft Entra ID, Azure ve Microsoft 365 hizmetleri için modern güvenli kimlik ve erişim yönetimi sağlar. Çeşitli kuruluşlar ve iş yükleri için Microsoft Entra Id kullanabilirsiniz. Örneğin, şirket içi AD DS altyapısına ve bulut tabanlı iş yüklerine sahip kuruluşlar Microsoft Entra Id ile dizin eşitlemesini kullanabilir. Dizin eşitleme, şirket içi ve bulut ortamlarının tutarlı bir kimlik, grup ve rol kümesini paylaşmasını sağlar. Eski kimlik doğrulama mekanizmaları gerektiren uygulamalar, bulutta yönetilen etki alanı hizmetleri için Etki Alanı Hizmetleri'ne ve şirket içi AD DS altyapısını Azure'a genişletmeye ihtiyaç duyabilir.
Bulut tabanlı kimlik yönetimi, yinelemeli bir süreçtir. İlk dağıtım için küçük bir kullanıcı kümesine ve karşılık gelen rollere sahip buluta özel bir çözümle başlayabilirsiniz. Geçişiniz büyüdükçe, dizin eşitlemesini kullanarak kimlik çözümünüzü tümleştirmeniz veya bulut dağıtımlarınızın bir parçası olarak bulutta barındırılan etki alanı hizmetleri eklemeniz gerekebilir.
Kurumsal kimlik stratejinizdeki değişiklikler ve güvenlik gereksinimleri veya diğer dizin hizmetleriyle tümleştirme gibi iş yükü kimlik doğrulama gereksinimlerinize ve diğer gereksinimlerinize bağlı olarak kimlik çözümünüzü zaman içinde ayarlayın. Windows Server Active Directory çözümlerini değerlendirirken, Windows Server'da Microsoft Entra Id, Domain Services ve AD DS arasındaki farkları anlayın.
Daha fazla bilgi için bkz . Kimlik kararı kılavuzu.
Azure giriş bölgelerinde kimlik ve erişim yönetimi hizmetleri
Platform ekibi, kimlik ve erişim yönetimi yönetiminden sorumludur. Kimlik ve erişim yönetimi hizmetleri, kurumsal güvenliğin temelleridir. Kuruluşunuz, yönetim erişimini denetlemek ve platform kaynaklarını korumak için Microsoft Entra Id kullanabilir. Bu yaklaşım, platform ekibi dışındaki kullanıcıların yapılandırmada veya Microsoft Entra Id içinde yer alan güvenlik sorumlularında değişiklik yapmasını engeller.
AD DS veya Etki Alanı Hizmetleri kullanıyorsanız, etki alanı denetleyicilerini yetkisiz erişime karşı korumanız gerekir. Etki alanı denetleyicileri saldırılara karşı son derece savunmasızdır ve uygulama iş yüklerinden sıkı güvenlik denetimlerine ve ayrımlarına sahip olmalıdır.
Platform yönetim grubunda bulunan Kimlik aboneliğinde etki alanı denetleyicilerini ve Microsoft Entra Bağlan sunucuları gibi ilişkili bileşenleri dağıtın. Etki alanı denetleyicileri uygulama ekiplerine temsilci olarak atanmıyor. Bu yalıtım, uygulama sahiplerinin kimlik hizmetlerini korumak zorunda kalmadan kullanmasına olanak tanır ve bu da kimlik ve erişim yönetimi hizmetlerine yönelik risk riskini azaltır. Kimlik platformu aboneliğindeki kaynaklar, bulut ve şirket içi ortamlarınız için kritik bir güvenlik noktasıdır.
Uygulama sahiplerinin iş yükü gereksinimlerine uyacak şekilde Microsoft Entra Id veya AD DS ve Domain Services'ı seçebilmesi için giriş bölgeleri sağlayın. Kimlik çözümünüze bağlı olarak diğer hizmetleri yapılandırmanız gerekebilir. Örneğin, Kimlik sanal ağına ağ bağlantısını etkinleştirmeniz ve güvenliğini sağlamanız gerekebilir. Abonelik-satış işlemi kullanıyorsanız, bu yapılandırma bilgilerini abonelik isteğinize ekleyin.
Azure ve şirket içi etki alanları (karma kimlik)
Tamamen Microsoft Entra Id içinde oluşturduğunuz kullanıcı nesneleri yalnızca bulut hesapları olarak bilinir. Yalnızca bulut hesapları modern kimlik doğrulamasını ve Azure ve Microsoft 365 kaynaklarına erişimi destekler ve Windows 10 veya Windows 11 kullanan yerel cihazlara erişimi destekler.
Kuruluşunuzun, Basit Dizin Erişim Protokolü (LDAP) aracılığıyla iş kolu veya kurumsal kaynak planlaması (ERP) gibi diğer sistemlerle tümleştirdiğiniz uzun süredir devam eden AD DS dizinleri olabilir. Bu etki alanları, kimlik doğrulaması için Kerberos veya eski NTLMv2 protokollerini kullanan etki alanına katılmış birçok bilgisayara ve uygulamaya sahip olabilir. Bu ortamlarda, kullanıcıların hem şirket içi sistemlerde hem de bulut kaynaklarında tek bir kimlikle oturum açabilmesi için kullanıcı nesnelerini Microsoft Entra Id ile eşitleyebilirsiniz. Şirket içi ve bulut dizin hizmetlerinin birleştirilmesi karma kimlik olarak bilinir. Şirket içi etki alanlarını Azure giriş bölgelerine genişletebilirsiniz:
Hem bulut hem de şirket içi ortamlarda tek bir kullanıcı nesnesini korumak için AD DS etki alanı kullanıcılarını Microsoft Entra Bağlan veya Microsoft Entra Cloud Sync aracılığıyla Microsoft Entra Id ile eşitleyebilirsiniz. Ortamınız için önerilen yapılandırmayı belirlemek için bkz. Microsoft Entra Bağlan topolojileri ve Microsoft Entra Cloud Sync için Topolojiler.
Etki alanına Windows sanal makinelerine (VM' ler) ve diğer hizmetlere katılmak için Azure'da AD DS etki alanı denetleyicileri veya Etki Alanı Hizmetleri dağıtabilirsiniz. AD DS kullanıcılarının Windows sunucularında, Azure dosya paylaşımlarında ve Active Directory'yi kimlik doğrulama kaynağı olarak kullanan diğer kaynaklarda oturum açabilmesi için bu yaklaşımı kullanın. Kimlik doğrulama kaynağı olarak grup ilkesi gibi diğer Active Directory teknolojilerini de kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Domain Services için yaygın dağıtım senaryoları.
Karma kimlik önerileri
Kimlik çözümü gereksinimlerinizi belirlemek için her uygulamanın kullandığı kimlik doğrulama sağlayıcısını belgeleyin. Kuruluşunuz için doğru hizmetleri seçmek için kimlik kararı kılavuzunu kullanın. Daha fazla bilgi için bkz . Active Directory'yi Microsoft Entra Id ile karşılaştırma.
Etki alanı hizmetlerini kullanan ve eski protokolleri kullanan uygulamalar için Etki Alanı Hizmetleri'ni kullanabilirsiniz. Mevcut AD DS etki alanları bazen geriye dönük uyumluluğu destekler ve güvenliği olumsuz etkileyebilecek eski protokollere izin verir. Şirket içi etki alanını genişletmek yerine, Eski protokollere izin vermeyen yeni bir etki alanı oluşturmak için Etki Alanı Hizmetleri'ni kullanmayı göz önünde bulundurun. Bulutta barındırılan uygulamalar için dizin hizmeti olarak yeni etki alanını kullanın.
Azure'da hibrit kimlik stratejiniz için kritik bir tasarım gereksinimi olarak dayanıklılığı dikkate alın. Microsoft Entra ID genel olarak yedekli, bulut tabanlı bir sistemdir ancak Domain Services ve AD DS değildir. Etki Alanı Hizmetleri ve AD DS uygularken dayanıklılık için dikkatli bir şekilde planlayın. Her iki hizmeti de tasarlarken, bölgesel bir olay durumunda hizmet işleminin devam etmesini sağlamak için çok bölgeli dağıtımları kullanmayı göz önünde bulundurun.
Şirket içi AD DS örneğini Azure'a genişletmek ve dağıtımı iyileştirmek için Azure bölgelerinizi Active Directory site tasarımınıza ekleyin. İş yüklerini dağıtmayı planladığınız her Azure bölgesi için AD DS sitelerinde ve hizmetlerinde bir site oluşturun. Ardından, bölgeye dağıtmayı planladığınız her IP adresi aralığı için AD DS sitelerinde ve hizmetlerinde yeni bir alt ağ nesnesi oluşturun. Yeni alt ağ nesnesini oluşturduğunuz AD DS sitesiyle ilişkilendirin. Bu yapılandırma, etki alanı denetleyicisi bulucu hizmetinin yetkilendirme ve kimlik doğrulama isteklerini aynı Azure bölgesindeki en yakın AD DS etki alanı denetleyicilerine yönlendirmesini sağlar.
Kaynaklara erişebilmeleri için konukları, müşterileri veya iş ortaklarını ayarlayan senaryoları değerlendirin. Bu senaryoların Microsoft Entra B2B mi yoksa müşteriler için Microsoft Entra Dış Kimlik mi içerdiğini belirleyin. Daha fazla bilgi için bkz. Microsoft Entra Dış Kimlik.
Kullanıcı deneyimine gecikme süresi eklediğinden intranet erişimi için Microsoft Entra uygulama ara sunucusunu kullanmayın. Daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusu planlaması ve Microsoft Entra uygulaması ara sunucusu güvenlik konuları.
Kuruluş gereksinimlerinizi karşılamak üzere şirket içi Active Directory Azure ile tümleştirmek için kullanabileceğiniz çeşitli yöntemleri göz önünde bulundurun.
Microsoft Entra Id ile Active Directory Federasyon Hizmetleri (AD FS) (AD FS) federasyonunuz varsa, parola karması eşitlemesini yedek olarak kullanabilirsiniz. AD FS, Microsoft Entra sorunsuz çoklu oturum açmayı (SSO) desteklemez.
Bulut kimliğiniz için doğru eşitleme aracını belirleyin.
AD FS kullanma gereksinimleriniz varsa bkz . Azure'da AD FS dağıtma.
Eşitleme aracı olarak Microsoft Entra Bağlan kullanıyorsanız, olağanüstü durum kurtarma için birincil Microsoft Entra Bağlan sunucunuzdan farklı bir bölgeye hazırlama sunucusu dağıtmayı göz önünde bulundurun. Alternatif olarak, birden çok bölge kullanmıyorsanız, yüksek kullanılabilirlik için kullanılabilirlik alanları uygulayın.
Eşitleme aracınız olarak Microsoft Entra Cloud Sync kullanıyorsanız olağanüstü durum kurtarma için birden çok bölgede farklı sunuculara en az üç aracı yüklemeyi göz önünde bulundurun. Alternatif olarak, aracıları yüksek kullanılabilirlik için farklı kullanılabilirlik alanlarındaki sunucular arasında yükleyebilirsiniz.
Önemli
ÖZELLIKLE AD FS gerektirmediğiniz sürece Microsoft Entra Id'ye geçmenizi kesinlikle öneririz. Daha fazla bilgi için bkz. AD FS'nin yetkisini alma ve AD FS'den Microsoft Entra Id'ye geçiş için kaynaklar.
Microsoft Entra Id, Domain Services ve AD DS
Microsoft dizin hizmetlerini uygulamak için yöneticileri aşağıdaki seçeneklerle tanıyın:
AD DS etki alanı denetleyicilerini, platform veya kimlik yöneticilerinin tam olarak denetlediği Windows VM'leri olarak Azure'a dağıtabilirsiniz. Bu yaklaşım bir hizmet olarak altyapı (IaaS) çözümüdür. Etki alanı denetleyicilerini mevcut bir Active Directory etki alanına ekleyebilir veya mevcut şirket içi etki alanlarıyla isteğe bağlı güven ilişkisi olan yeni bir etki alanı barındırabilirsiniz. Daha fazla bilgi için bkz. Azure giriş bölgesinde Azure Sanal Makineler temel mimarisi.
Etki Alanı Hizmetleri , Azure'da barındırılan yeni bir yönetilen Active Directory etki alanı oluşturmak için kullanabileceğiniz Azure tarafından yönetilen bir hizmettir. Etki alanının mevcut etki alanlarıyla bir güven ilişkisi olabilir ve Microsoft Entra Id'den kimlikleri eşitleyebilir. Yönetici istrator'ların etki alanı denetleyicilerine doğrudan erişimi yoktur ve düzeltme eki uygulama ve diğer bakım işlemlerinden sorumlu değildir.
Etki Alanı Hizmetleri'ni dağıttığınızda veya şirket içi ortamları Azure ile tümleştirdiğinizde, mümkün olduğunda daha fazla kullanılabilirlik için kullanılabilirlik alanları olan konumları kullanın. Daha fazla dayanıklılık için birden çok Azure bölgesine dağıtmayı da göz önünde bulundurun.
AD DS veya Etki Alanı Hizmetleri'ni yapılandırdıktan sonra, Azure VM'lerine ve dosya paylaşımlarına etki alanına katılmak için şirket içi bilgisayarlarla aynı yöntemi kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft dizin tabanlı hizmetleri karşılaştırma.
Microsoft Entra Id ve AD DS önerileri
Microsoft Entra id aracılığıyla uzaktan şirket içi kimlik doğrulaması kullanan uygulamalara erişmek için Microsoft Entra uygulama ara sunucusunu kullanın. Bu özellik, şirket içi web uygulamalarına güvenli uzaktan erişim sağlar. Microsoft Entra uygulama ara sunucusu vpn veya ağ altyapısında herhangi bir değişiklik gerektirmez. Ancak, Microsoft Entra ID'ye tek bir örnek olarak dağıtıldığından, uygulama sahiplerinin ve platform veya kimlik ekiplerinin uygulamanın doğru yapılandırıldığından emin olmak için işbirliği yapması gerekir.
Windows Server ve Etki Alanı Hizmetlerinde AD DS için iş yüklerinin uyumluluğunu değerlendirin. Daha fazla bilgi için bkz . Yaygın kullanım örnekleri ve senaryolar.
Etki alanı denetleyicisi VM'lerini veya Etki Alanı Hizmetleri çoğaltma kümelerini platform yönetim grubundaki Kimlik platformu aboneliğine dağıtın.
Etki alanı denetleyicilerini içeren sanal ağın güvenliğini sağlayın. Sanal ağ ve etki alanı denetleyicisine doğrudan İnternet bağlantısını önlemek için AD DS sunucularını bir ağ güvenlik grubu (NSG) içeren yalıtılmış bir alt ağa yerleştirin. NSG, güvenlik duvarı işlevselliği sağlar. Kimlik doğrulaması için etki alanı denetleyicileri kullanan kaynakların etki alanı denetleyicisi alt ağına giden bir ağ yolu olmalıdır. Ağ yolunu yalnızca Kimlik aboneliğindeki hizmetlere erişim gerektiren uygulamalar için etkinleştirin. Daha fazla bilgi için bkz . Azure sanal ağında AD DS dağıtma.
Sanal ağlara uygulanan standart kuralları zorunlu kılmak için Azure Sanal Ağ Yöneticisi'ni kullanın. Örneğin, Azure İlkesi veya sanal ağ kaynak etiketlerini kullanarak Active Directory kimlik hizmetlerine ihtiyaç duyan bir ağ grubuna giriş bölgesi sanal ağları ekleyebilirsiniz. Daha sonra ağ grubu, etki alanı denetleyicisi alt ağına yalnızca bunu gerektiren uygulamalardan erişime izin veren ve diğer uygulamalardan erişimi engelleyen kullanılabilir.
Etki alanı denetleyicisi VM'lerine ve diğer kimlik kaynaklarına uygulanan rol tabanlı erişim denetimi (RBAC) izinlerinin güvenliğini sağlayın. Azure denetim düzleminde Katkıda Bulunan, Sahip veya Sanal Makine Katkıda Bulunanı gibi RBAC rol atamalarına sahip Yönetici vm'lerde komut çalıştırabilir. Kimlik aboneliğindeki VM'lere yalnızca yetkili yöneticilerin erişebildiğinden ve fazla izin veren rol atamalarının yüksek yönetim gruplarından devralınmadığından emin olun.
Gecikme süresini en aza indirmek için çekirdek uygulamalarınızı çoğaltma kümelerinizin sanal ağına yakın veya aynı bölgede tutun. Çok bölgeli bir kuruluşta, Etki Alanı Hizmetleri'ni temel platform bileşenlerini barındıran bölgeye dağıtın. Etki Alanı Hizmetlerini yalnızca tek bir aboneliğe dağıtabilirsiniz. Etki Alanı Hizmetleri'ni daha fazla bölgeye genişletmek için, birincil sanal ağ ile eşlenmiş ayrı sanal ağlarda en fazla dört çoğaltma kümesi daha ekleyebilirsiniz.
Dayanıklılığı ve kullanılabilirliği artırmak için AD DS etki alanı denetleyicilerini birden çok Azure bölgesine ve kullanılabilirlik alanlarına dağıtmayı göz önünde bulundurun. Daha fazla bilgi için bkz . Kullanılabilirlik alanlarında VM oluşturma ve VM'leri kullanılabilirlik alanlarına geçirme.
Kimlik planlamanızın bir parçası olarak Microsoft Entra Id için kimlik doğrulama yöntemlerini keşfedin. Kimlik doğrulaması bulutta ve şirket içinde veya yalnızca şirket içinde gerçekleşebilir.
Windows kullanıcısı Azure Dosyalar dosya paylaşımları için Kerberos gerektiriyorsa, bulutta etki alanı denetleyicileri dağıtmak yerine Microsoft Entra Id için Kerberos kimlik doğrulamasını kullanmayı göz önünde bulundurun.