Microsoft Entra karma katılım uygulamanızı planlama

şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamınız varsa ve AD DS etki alanına katılmış bilgisayarlarınızı Microsoft Entra ID'ye eklemek istiyorsanız, Microsoft Entra karma katılımını yaparak bu görevi gerçekleştirebilirsiniz.

Bahşiş

Şirket içi kaynaklara SSO erişimi, Microsoft Entra'ya katılmış cihazlar için de kullanılabilir. Daha fazla bilgi için bkz . Şirket içi kaynaklara yönelik SSO, Microsoft Entra'ya katılmış cihazlarda nasıl çalışır?

Önkoşullar

Bu makalede, Microsoft Entra Id'de cihaz kimliği yönetimine giriş hakkında bilgi sahibi olduğunuz varsayılır.

Dekont

Windows 10 veya daha yeni bir Microsoft Entra karma katılımı için gereken en düşük etki alanı denetleyicisi sürümü Windows Server 2008 R2'dir.

Microsoft Entra karmaya katılmış cihazlar, etki alanı denetleyicilerinize düzenli aralıklarla ağ görüş hattı gerektirir. Bu bağlantı olmadan cihazlar kullanılamaz hale gelir.

Etki alanı denetleyicileriniz için görüş çizgisi olmadan kesen senaryolar şunlardır:

  • Cihaz parolası değişikliği
  • Kullanıcı parolası değişikliği (Önbelleğe alınan kimlik bilgileri)
  • TPM sıfırlama

Uygulamanızı planlayın

Karma Microsoft Entra uygulamanızı planlamak için şunları tanımanız gerekir:

  • Desteklenen cihazları gözden geçirme
  • Bilmeniz gerekenleri gözden geçirin
  • Microsoft Entra karma katılımının hedeflenen dağıtımını gözden geçirin
  • Kimlik altyapınıza göre senaryonuzu seçin
  • Microsoft Entra karma katılımı için şirket içi AD UPN desteğini gözden geçirin

Desteklenen cihazları gözden geçirme

Microsoft Entra karma birleştirme, çok çeşitli Windows cihazlarını destekler. Windows'un eski sürümlerini çalıştıran cihazlar için yapılandırma başka adımlar gerektirdiğinden, desteklenen cihazlar iki kategoride gruplandırılır:

Windows geçerli cihazları

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Not: Azure Ulusal bulut müşterileri sürüm 1803 gerektirir
  • Windows Server 2019

Windows masaüstü işletim sistemini çalıştıran cihazlar için, desteklenen sürümler windows 10 sürüm bilgileri bu makalede listelenmiştir. En iyi uygulama olarak Microsoft, Windows'un en son sürümüne yükseltmenizi önerir.

Windows alt düzey cihazlar

  • Windows Server 2012 R2
  • Windows Server 2012

İlk planlama adımı olarak ortamınızı gözden geçirmeniz ve Windows alt düzey cihazları desteklemeniz gerekip gerekmediğini belirlemeniz gerekir.

Bilmeniz gerekenleri gözden geçirin

Desteklenmeyen senaryolar

  • Etki Alanı Denetleyicisi (DC) rolünü çalıştıran Windows Server için Microsoft Entra karma katılımı desteklenmez.
  • Microsoft Entra karma katılımı, kimlik bilgisi dolaşımı veya kullanıcı profili dolaşımı veya zorunlu profil kullanılırken Windows alt düzey cihazlarda desteklenmez.
  • Sunucu Çekirdeği işletim sistemi herhangi bir cihaz kaydını desteklemez.
  • Kullanıcı Durumu Geçiş Aracı (USMT), cihaz kaydıyla çalışmaz.

İşletim sistemi görüntülemeyle ilgili dikkat edilmesi gerekenler

  • Sistem Hazırlama Aracı'na (Sysprep) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kaydedilmiş bir cihazdan olmadığından emin olun.

  • Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kaydedilmiş bir VM'den olmadığından emin olun.

  • Yeniden başlatma sırasında diskte yapılan değişiklikleri temizleyen Birleşik Yazma Filtresi ve benzer teknolojiler kullanıyorsanız, cihaz Microsoft Entra karmasına katıldıktan sonra uygulanmalıdır. Microsoft Entra karma katılımı tamamlanmadan önce bu tür teknolojilerin etkinleştirilmesi, cihazın her yeniden başlatma işleminde birleştirilmemiş hale geçmesine neden olur.

Microsoft Entra kayıtlı durumuyla cihazları işleme

Windows 10 veya daha yeni etki alanına katılmış cihazlarınız kiracınıza kayıtlı Microsoft Entra ise, microsoft Entra karmasına katılmış ve Microsoft Entra kayıtlı cihazın çift durumuna yol açabilir. Bu senaryoya otomatik olarak çözüm getirmek için Windows 10 1803'e (KB4489894 uygulanmış) veya daha yeni bir sürüme yükseltmenizi öneririz. 1803 öncesi sürümlerde, Microsoft Entra karma katılımını etkinleştirmeden önce Microsoft Entra kayıtlı durumunu el ile kaldırmanız gerekir. 1803 ve sonraki sürümlerde bu çift durumu önlemek için aşağıdaki değişiklikler yapılmıştır:

  • Bir kullanıcı için var olan Microsoft Entra kayıtlı durumları, cihaz Microsoft Entra karmaya katıldıktan ve aynı kullanıcı oturum açtığında otomatik olarak kaldırılır. Örneğin, A Kullanıcısının cihazda Microsoft Entra'ya kayıtlı durumu varsa bu kullanıcının çift durumu ancak cihazda oturum açtığında temizlenir. Aynı cihazda birden fazla kullanıcı varsa, çift durum söz konusu kullanıcılar oturum açtığında bireysel olarak temizlenir. Bir yönetici Microsoft Entra kayıtlı durumunu kaldırdıktan sonra, kayıt otomatik kayıt yoluyla Microsoft Entra kaydının bir parçası olarak olduysa Windows 10 cihazın Intune veya diğer MDM kaydını kaldırır.
  • Cihazdaki herhangi bir yerel hesapta Microsoft Entra kayıtlı durumu bu değişiklik tarafından etkilenmez. Yalnızca etki alanı hesapları için geçerlidir. Yerel hesaplarda Microsoft Entra kayıtlı durumu, kullanıcı bir etki alanı kullanıcısı olmadığından, kullanıcı oturum açma sonrasında bile otomatik olarak kaldırılmaz.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:"BlockAADWorkplaceJoin"=dword:00000001 öğesine aşağıdaki kayıt defteri değerini ekleyerek etki alanına katılmış cihazınızın Microsoft Entra kayıtlı olmasını engelleyebilirsiniz.
  • Windows 10 1803'te, İş İçin Windows Hello yapılandırdıysanız kullanıcının çift durumlu temizlemeden sonra İş İçin Windows Hello yeniden yapılandırması gerekir. Bu sorun KB4512509 ile çözülmüştür.

Dekont

Windows 10 ve Windows 11, Microsoft Entra kayıtlı durumunu yerel olarak otomatik olarak kaldırsa da, Intune tarafından yönetiliyorsa Microsoft Entra Id'deki cihaz nesnesi hemen silinmez. dsregcmd /status komutunu çalıştırarak Microsoft Entra kayıtlı durumunun kaldırılmasını doğrulayabilir ve buna bağlı olarak cihazın Microsoft Entra kayıtlı olmadığını düşünebilirsiniz.

Tek orman, birden çok Microsoft Entra kiracısı için Microsoft Entra karma katılımı

Cihazları ilgili kiracılara Microsoft Entra karma katılımı olarak kaydetmek için kuruluşların Ad'de değil cihazlarda Hizmet Bağlan ion Points (SCP) yapılandırmasının yapıldığından emin olması gerekir. Bu görevin nasıl yerine getirileceği hakkında daha fazla bilgi için Microsoft Entra karma birleştirme hedefli dağıtımı makalesinde bulabilirsiniz. Kuruluşların belirli Microsoft Entra özelliklerinin tek bir ormanda, birden çok Microsoft Entra kiracı yapılandırmasında çalışmayacağını anlaması önemlidir.

  • Cihaz geri yazma işlemi çalışmaz. Bu yapılandırma, ADFS kullanılarak birleştirilmiş şirket içi uygulamalar için Cihaz Tabanlı Koşullu Erişimi etkiler. Bu yapılandırma, Karma Sertifika Güveni modeli kullanılırken İş İçin Windows Hello dağıtımı da etkiler.
  • Gruplar geri yazma çalışmaz. Bu yapılandırma, Office 365 Gruplarının Exchange'in yüklü olduğu bir ormana geri yazmayı etkiler.
  • Sorunsuz SSO çalışmaz. Bu yapılandırma, kuruluşların windows 10 uzantısı olmadan Firefox, Safari veya Chrome ile iOS veya Linux gibi çapraz işletim sistemi veya tarayıcı platformlarında kullanabilecekleri SSO senaryolarını etkiler.
  • Yönetilen ortamda windows alt düzey cihazlar için Microsoft Entra karma katılımı çalışmaz. Örneğin, yönetilen bir ortamda Windows Server 2012 R2'de Microsoft Entra karma katılımı sorunsuz SSO gerektirir ve Sorunsuz SSO çalışmayacağından, böyle bir kurulum için Microsoft Entra karma katılımı çalışmaz.
  • Şirket içi Microsoft Entra Parola Koruması çalışmaz. Bu yapılandırma, Microsoft Entra Id'de depolanan aynı genel ve özel yasaklanmış parola listelerini kullanarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicilerine karşı parola değişiklikleri ve parola sıfırlama olaylarının yapılabilmesini etkiler.

Dikkat edilecek diğer noktalar

  • Ortamınız sanal masaüstü altyapısı (VDI) kullanıyorsa bkz . Cihaz kimliği ve masaüstü sanallaştırma.

  • Microsoft Entra karma birleşimi FIPS uyumlu TPM 2.0 için desteklenir ve TPM 1.2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1.2 varsa, Microsoft Entra karma katılımına devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan TPM'ler için FIPS modunu devre dışı bırakmak için herhangi bir araç sağlamaz. Destek için donanım OEM'inize başvurun.

  • Windows 10 1903 sürümünden başlayarak, TPM'ler 1.2 Microsoft Entra karma katılımı ile kullanılmaz ve bu TPM'lere sahip cihazlar TPM'leri yok gibi değerlendirilir.

  • UPN değişiklikleri yalnızca Windows 10 2004 güncelleştirmesi başlatılırken desteklenir. Windows 10 2004 güncelleştirmesi öncesinde cihazlar için, kullanıcıların cihazlarında SSO ve Koşullu Erişim sorunları olabilir. Bu sorunu çözmek için Microsoft Entra ID'den cihaza katılmayı kaldırmanız (yükseltilmiş ayrıcalıklarla "dsregcmd /leave" komutunu çalıştırmanız) ve yeniden katılmanız (otomatik olarak gerçekleşir) gerekir. Ancak, İş İçin Windows Hello ile oturum açmış olan kullanıcılar bu sorunla karşılaşmaz.

Hedeflenen Microsoft Entra karma katılımını gözden geçirin

Kuruluşlar, tüm kuruluşlarında etkinleştirmeden önce Microsoft Entra karma katılımının hedefli bir dağıtımını yapmak isteyebilir. Bunu nasıl gerçekleştireceklerini anlamak için Microsoft Entra karma katılımı hedeflenen dağıtım makalesini gözden geçirin.

Uyarı

Kuruluşlar, pilot gruplarındaki farklı rollerden ve profillerden bir kullanıcı örneği içermelidir. Hedeflenen bir dağıtım, tüm kuruluş için etkinleştirmeden önce planınızın ele almamış olabileceği sorunları belirlemenize yardımcı olur.

Kimlik altyapınıza göre senaryonuzu seçin

Microsoft Entra karma birleştirme, UPN'nin yönlendirilebilir veya yönlendirilemez olmasına bağlı olarak hem yönetilen hem de federasyon ortamlarıyla çalışır. Desteklenen senaryolar hakkında tablo için sayfanın en altına bakın.

Yönetilen ortam

Yönetilen ortam, Sorunsuz Çoklu Oturum Açma ile Parola Karması Eşitleme (PHS) veya Geçiş Kimlik Doğrulaması (PTA) aracılığıyla dağıtılabilir.

Bu senaryolar, kimlik doğrulaması için bir federasyon sunucusu yapılandırmanızı gerektirmez.

Dekont

Aşamalı dağıtım kullanılarak bulut kimlik doğrulaması yalnızca Windows 10 1903 güncelleştirmesinde başlayarak desteklenir.

Federasyon ortamı

Federasyon ortamı, aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısına sahip olmalıdır. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan bir federasyon ortamınız varsa aşağıdaki gereksinimler zaten desteklenir.

  • WIAORMULTIAUTHN talebi: Bu talep, Windows alt düzey cihazlar için Microsoft Entra karma katılımı gerçekleştirmek için gereklidir.
  • WS-Trust protokolü: Bu protokol, Windows'un geçerli Microsoft Entra karma katılmış cihazlarının kimliğini Microsoft Entra Kimliği ile doğrulamak için gereklidir. AD FS kullanırken aşağıdaki WS-Trust uç noktalarını etkinleştirmeniz gerekir: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Uyarı

Hem adfs/services/trust/2005/windowstransport veya adfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulama Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır. WS-Trust Windows uç noktalarını devre dışı bırakma hakkında daha fazla bilgi edinmek için bkz . Ara sunucuda WS-Trust Windows uç noktalarını devre dışı bırakma. Hizmet>Uç Noktaları altındaki AD FS yönetim konsolu aracılığıyla hangi uç noktaların etkinleştirildiğini görebilirsiniz.

1.1.819.0 sürümünden itibaren Microsoft Entra Bağlan, Microsoft Entra karma katılımını yapılandırmanıza yönelik bir sihirbaz sağlar. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirebilmenizi sağlar. Microsoft Entra Bağlan'nin gerekli sürümünü yüklemek sizin için bir seçenek değilse cihaz kaydını el ile yapılandırma konusuna bakın. contoso.com onaylanmış bir özel etki alanı olarak kayıtlıysa, eşitlenmiş şirket içi AD DS UPN soneki test.contoso.com gibi bir alt etki alanında olsa bile kullanıcılar PRT alabilir.

Microsoft Entra karma katılımı için şirket içi AD kullanıcıları UPN desteğini gözden geçirin

Bazen şirket içi AD kullanıcıları UPN'leri Microsoft Entra UPN'lerinizden farklıdır. Bu gibi durumlarda, Windows 10 veya daha yeni bir Microsoft Entra karma katılımı, kimlik doğrulama yöntemine, etki alanı türüne ve Windows sürümüne bağlı olarak şirket içi AD UPN'ler için sınırlı destek sağlar. Ortamınızda mevcut olabilecek iki tür şirket içi AD UPN vardır:

  • Yönlendirilebilir kullanıcılar UPN'leri: Yönlendirilebilir UPN'nin, bir etki alanı kayıt şirketine kayıtlı geçerli bir doğrulanmış etki alanı vardır. Örneğin, contoso.com Microsoft Entra Id'deki birincil etki alanıysa, contoso.org Contoso'ya ait olan ve Microsoft Entra Id'de doğrulanan şirket içi AD'deki birincil etki alanıdır.
  • Yönlendirilemeyen kullanıcılar UPN'leri: Yönlendirilemeyen bir UPN'nin doğrulanmış bir etki alanı yoktur ve yalnızca kuruluşunuzun özel ağı içinde geçerlidir. Örneğin, contoso.com Microsoft Entra Id'deki birincil etki alanıysa ve contoso.local şirket içi AD'deki birincil etki alanıysa ancak İnternet'te doğrulanabilir bir etki alanı değilse ve yalnızca Contoso'nun ağında kullanılıyorsa.

Dekont

Bu bölümdeki bilgiler yalnızca şirket içi kullanıcıların UPN'leri için geçerlidir. Şirket içi bilgisayar etki alanı soneki için geçerli değildir (örnek: bilgisayar1.contoso.local).

Aşağıdaki tabloda, Windows 10 Microsoft Entra karma katılımındaki bu şirket içi AD UPN'leri için destekle ilgili ayrıntılar sağlanır

Şirket içi AD UPN türü Etki alanı türü Windows 10 sürümü Açıklama
Yönlendirilebilir Federe 1703 sürümünden itibaren Genel kullanılabilir
Yönlendirilemeyen Federe 1803 sürümünden itibaren Genel kullanılabilir
Yönlendirilebilir Yönetilen 1803 sürümünden itibaren Genel kullanıma sunulan Windows kilit ekranındaki Microsoft Entra SSPR, şirket içi UPN'nin Microsoft Entra UPN'den farklı olduğu ortamlarda desteklenmez. Şirket içi UPN, Microsoft Entra Id'de özniteliğiyle onPremisesUserPrincipalName eşitlenmelidir
Yönlendirilemeyen Yönetilen Desteklenmez

Sonraki adımlar