Microsoft Entra Connect Sync kullanılarak Active Directory'den sağlanan bulut kullanıcılarını ve gruplarını yönetme

Senaryo: Microsoft Entra connect eşitlemesini kullanarak Active Directory'den sağlanan bulut kullanıcılarını ve gruplarını yönetin.

Önkoşullar

• Hyper-V yüklü bir bilgisayar. Windows 10 veya WindowsServer 2016 bilgisayarına Hyper-V yüklemenizi öneririz.
• Bir Azure aboneliği. Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
• Sanal makinenin İnternet'e bağlanabilmesi için bir dış ağ bağdaştırıcısı.
• Windows Server 2016'nın bir kopyası.

Not

Bu öğreticide, öğretici ortamını hızla oluşturmak için PowerShell betikleri kullanılır. Her betik, betiğin başında bildirilen değişkenleri kullanır. Değişkenleri ortamınızı yansıtacak şekilde değiştirdiğinizden emin olun.

Öğreticideki betikler, Microsoft Entra Connect'i yüklemeden önce genel bir Windows Server Active Directory (Windows Server AD) ortamı oluşturur. Komut dosyaları ilgili öğreticilerde de kullanılır.

Bu öğreticide kullanılan PowerShell betikleri GitHub'da kullanılabilir.

Sanal makine oluşturma

Karma kimlik ortamı oluşturmak için ilk görev, şirket içi Windows Server AD sunucusu olarak kullanılacak bir sanal makine oluşturmaktır.

Not

Konak makinenizde PowerShell'de hiç betik çalıştırmadıysanız, betik çalıştırmadan önce Windows PowerShell ISE'yi yönetici olarak açın ve Set-ExecutionPolicy remotesignedçalıştırın. Yürütme İlkesi Değişikliği iletişim kutusunda Evet'i seçin.

Sanal makineyi oluşturmak için:

1. Windows PowerShell ISE'i yönetici olarak açın.

2. Aşağıdaki betiği çalıştırın:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

İşletim sistemini yükleme

Sanal makine oluşturmayı tamamlamak için işletim sistemini yükleyin:

1. Hyper-V Yöneticisi'nde sanal makineye çift tıklayın.
2. Başlat'ı seçin.
3. İstemde, CD veya DVD'den önyükleme yapmak için herhangi bir tuşa basın.
4. Windows Server başlangıç penceresinde dilinizi ve ardından İleri'yi seçin.
5. Şimdi Yükle'yi seçin.
6. Lisans anahtarınızı girin ve İleri'yi seçin.
7. Lisans koşullarını kabul ediyorum onay kutusunu seçin ve İleri seçin.
8. Özel: Yalnızca Windows'u Yükle (Gelişmiş)'i seçin.
9. İleri'yi seçin.
10. Yükleme tamamlandığında sanal makineyi yeniden başlatın. Oturum açın ve Ardından Windows Update'i denetleyin. VM'nin tam olarak up-to-date olduğundan emin olmak için tüm güncelleştirmeleri yükleyin.

Windows Server AD önkoşullarını yükleme

Windows Server AD'yi yüklemeden önce önkoşulları yükleyen bir betik çalıştırın:

1. Windows PowerShell ISE'i yönetici olarak açın.

2. Set-ExecutionPolicy remotesignedçalıştırın. Yürütme İlkesi Değişikliği iletişim kutusunda Tümüne Evet'i seçin.

3. Aşağıdaki betiği çalıştırın:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "4.2.2.2" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Windows Server AD ortamı oluşturma

Şimdi ortamı oluşturmak için Active Directory Etki Alanı Hizmetleri'ni yükleyin ve yapılandırın:

1. Windows PowerShell ISE'i yönetici olarak açın.

2. Aşağıdaki betiği çalıştırın:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = "Pass1w0rd"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Windows Server AD kullanıcısı oluşturma

Ardından bir test kullanıcı hesabı oluşturun. Bu hesabı şirket içi Active Directory ortamınızda oluşturun. Hesap daha sonra Microsoft Entra Id ile eşitlenir.

1. Windows PowerShell ISE'i yönetici olarak açın.

2. Aşağıdaki betiği çalıştırın:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Microsoft Entra kiracısı oluşturun

Kiracınız yoksa, yeni bir kiracı oluşturmak için Microsoft Entra Id'de yeni kiracı oluşturma makalesindeki adımları izleyin.

Microsoft Entra Id'de Karma Kimlik Yöneticisi oluşturma

Sonraki görev bir Karma Kimlik Yöneticisi hesabı oluşturmaktır. Bu hesap, Microsoft Entra Connect yüklemesi sırasında Microsoft Entra Connector hesabını oluşturmak için kullanılır. Microsoft Entra Connector hesabı, Microsoft Entra Id'ye bilgi yazmak için kullanılır.

Karma Kimlik Yöneticisi hesabını oluşturmak için:

1. Microsoft Entra yönetim merkezinde oturum açın.
2. Entra ID>Kullanıcılar bölümüne göz atın
3. Yeni kullanıcı>Yeni kullanıcı oluştur seçin.
4. Yeni kullanıcı oluştur bölmesinde, yeni kullanıcı için bir Görünen ad ve kullanıcı asıl adı girin. Kiracı için Karma Kimlik Yöneticisi hesabınızı oluşturuyorsunuz. Geçici parolayı gösterebilir ve kopyalayabilirsiniz.
   1. Atamalar'ın altında Rol ekle'yi ve ardından Karma Kimlik Yöneticisi'ni seçin.
5. Ardından Gözden Geçir ve Oluştur'u> seçin.
6. Yeni bir web tarayıcısı penceresinde, yeni Karma Kimlik Yöneticisi hesabını ve geçici parolayı kullanarak myapps.microsoft.com oturum açın.

Microsoft Entra Connect'i indirme ve yükleme

Artık Microsoft Entra Connect'i indirip yükleme zamanı geldi. Yüklendikten sonra hızlı yüklemeyi kullanacaksınız.

1. Microsoft Entra Connect'i indirin.

2. AzureADConnect.msi gidin ve çift tıklayarak yükleme dosyasını açın.

3. Hoş Geldiniz'de, lisans koşullarını kabul etmek için onay kutusunu seçin ve Devam'ı seçin.

4. Hızlı ayarlar bölümünde, Hızlı ayarları kullan seçeneğini seçin.

5. Microsoft Entra Id'ye bağlan bölümünde, Microsoft Entra Id için Karma Kimlik Yöneticisi hesabının kullanıcı adını ve parolasını girin. İleri'yi seçin.

6. AD DS'ye bağlan bölümünde kurumsal yönetici hesabının kullanıcı adını ve parolasını girin. İleri'yi seçin.

7. Yapılandırmaya hazır bölümünde Yükle'yi seçin.

8. Yükleme tamamlandığında Çıkış'ı seçin.

9. Eşitleme Hizmeti Yöneticisi'ni veya Eşitleme Kuralı Düzenleyicisi'ni kullanmadan önce çıkış yapın ve ardından tekrar giriş yapın.

Portaldaki kullanıcıları denetlemek

Şimdi şirket içi Active Directory kiracınızdaki kullanıcılarınızın senkronize edilmiş ve artık Microsoft Entra kiracınıza geçtiğini doğrulayacaksınız. Bu bölümün tamamlanması birkaç saat sürebilir.

Kullanıcıların eşitlendiğini doğrulamak için:

1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.

2. Entra ID>Kullanıcılar bölümüne göz atın

3. Yeni kullanıcıların kiracınızda göründüğünü doğrulayın.

   

Eşitlemeyi test etmek için kullanıcı hesabıyla oturum açma

Windows Server AD kiracınızdaki kullanıcıların Microsoft Entra kiracınızla eşitlendiğini test etmek için, kullanıcılardan biri olarak oturum açın:

1. https://myapps.microsoft.com'ye gidin.

2. Yeni kiracınızda oluşturulmuş bir kullanıcı hesabıyla oturum açın.

   Kullanıcı adı için user@domain.onmicrosoft.combiçimini kullanın. Kullanıcının şirket içi Active Directory'de oturum açmak için kullandığı parolayı kullanın.

Azure'ın sunduğu olanakları test etmek ve öğrenmek için kullanabileceğiniz bir karma kimlik ortamını başarıyla ayarladınız.

Sonraki adımlar

• Kimlik yaşam döngüsü yönetimi nedir?
• Sağlama nedir?
• Microsoft Entra Connect Sync nedir?