Microsoft Entra Bulut Eşitleme önkoşulları

Bu makale, kimlik çözümünüz olarak Microsoft Entra Cloud Sync'i kullanma konusunda rehberlik sağlar.

Bulut sağlama aracısı gereksinimleri

Microsoft Entra Cloud Sync'i kullanmak için aşağıdakilere ihtiyacınız vardır:

• Aracı hizmetini çalıştırmak için Microsoft Entra Connect bulut eşitleme gMSA'sını (grup yönetilen hizmet hesabı) oluşturmak için Etki Alanı Yöneticisi veya Kuruluş Yöneticisi kimlik bilgileri.
• Microsoft Entra kiracınız için konuk kullanıcı olmayan bir karma kimlik yöneticisi hesabı.
• Windows 2016 veya sonraki bir sürüme sahip sağlama aracısı için şirket içi sunucu. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır. Aracıyı bir etki alanı denetleyicisine yüklemek desteklenir.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Yüksek kullanılabilirlik, Microsoft Entra Cloud Sync'in uzun bir süre hata olmadan sürekli çalışma olanağını ifade eder. Birden çok etkin aracı yüklenip çalıştırıldığında, bir aracı başarısız olsa bile Microsoft Entra Cloud Sync çalışmaya devam edebilir. Microsoft, yüksek kullanılabilirlik için 3 etkin aracının yüklü olmasını önerir.
• Şirket içi güvenlik duvarı yapılandırmaları.

Grup Tarafından Yönetilen Hizmet Hesapları

Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Bu hesabı oluşturmak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Hesap olarak domain\provAgentgMSA$görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.

gMSA için önkoşullar

1. gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
2. Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .
3. Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
4. Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.

Özel gMSA hesabı

Özel bir gMSA hesabı oluşturuyorsanız, hesabın aşağıdaki izinlere sahip olduğundan emin olmanız gerekir.

Tür	Veri Akışı Adı	Access	Uygulandığı Öğe
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt cihaz nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant InetOrgPerson nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Bilgisayar nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant foreignSecurityPrincipal nesneleri
İzin Ver	gMSA Hesabı	Tam denetim	Alt Grup nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kullanıcı nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kişi nesneleri
İzin Ver	gMSA Hesabı	Kullanıcı nesnelerini oluşturma/silme	Bu nesne ve tüm alt nesneler

Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları.

Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış ve Yönetilen hizmet hesaplarını bulut eşitleme ile gruplandırma.

Microsoft Entra yönetim merkezinde

1. Microsoft Entra kiracınızda yalnızca bulutta karma kimlik yönetici hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz hale gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik yöneticisi hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmediğinden emin olmak için kritik öneme sahiptir.
2. Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Active Directory'deki dizininizde

Dizin özniteliklerini eşitlemeye hazırlamak için IdFix aracını çalıştırın.

Şirket içi ortamınızda

1. En az 4 GB RAM ve .NET 4.7.1+ çalışma zamanı ile Windows Server 2016 veya üzerini çalıştıran etki alanına katılmış bir konak sunucusunu belirleyin.
2. Yerel sunucudaki PowerShell yürütme ilkesi Undefined veya RemoteSigned olarak ayarlanmalıdır.
3. Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa bkz . Güvenlik duvarı ve ara sunucu gereksinimleri.

Not

Windows Server Core'a bulut sağlama aracısını yükleme desteklenmez.

Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar

Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Genel gereksinimler

• En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
• Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.

Not

Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.

Bu izinler, varsayılan olarak Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri tarafından AdminSDHolder nesnelerine uygulanmaz

• Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
  • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
• Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect
  • Microsoft Entra Connect kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
  • AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir

Desteklenen gruplar

Yalnızca aşağıdakiler desteklenir:

• Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
• Bu grupların atanmış veya dinamik üyelikleri olabilir.
• Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
• Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
• 50.000'den büyük üyeler desteklenmez.
• İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
• Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.

Ek bilgi

Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.

• Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Bu kullanıcıların tümünün hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
• onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
• Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Connect Sync (2.2.8.0) kullanılarak eşitlenebilir
• Kullanıcıları eşitlemek için Microsoft Entra Cloud Sync yerine Microsoft Entra Connect Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
• Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
• Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.

Diğer gereksinimler

• En düşük Microsoft .NET Framework 4.7.1

TLS gereksinimleri

Not

Aktarım Katmanı Güvenliği (TLS), güvenli iletişim sağlayan bir protokoldür. TLS ayarlarının değiştirilmesi tüm ormanı etkiler. Daha fazla bilgi için bkz . Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.

Microsoft Entra Connect bulut sağlama aracısını barındıran Windows sunucusunda yüklemeden önce TLS 1.2'nin etkinleştirilmesi gerekir.

TLS 1.2'yi etkinleştirmek için aşağıdaki adımları izleyin.

1. İçeriği bir .reg dosyasına kopyalayıp dosyayı çalıştırarak aşağıdaki kayıt defteri anahtarlarını ayarlayın (sağ tıklayıp Birleştir'i seçin):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Sunucuyu yeniden başlatın.

Güvenlik duvarı ve Proxy gereksinimleri

Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

• Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:

  Bağlantı noktası numarası	Açıklama
  80	TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir.
  443	Hizmetle tüm giden iletişimi işler.
  8080 (isteğe bağlı)	Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde gösterilir.

• Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.

• Proxy'nizin en az HTTP 1.1 protokollerini desteklediğini ve öbeklenmiş kodlamanın etkinleştirildiğinden emin olun.

• Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa, bağlantılar ekleyin:

Genel Bulut

URL	Açıklama
*.msappproxy.net *.servicebus.windows.net	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.net	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

ABD Kamu Bulutu

URL	Açıklama
*.msappproxy.us *.servicebus.usgovcloudapi.net	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

• Bağlantı ekleyemiyorsanız, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

NTLM gereksinimi

Microsoft Entra sağlama aracısını çalıştıran Windows Server'da NTLM'yi etkinleştirmemelisiniz ve etkinleştirildiyse devre dışı bırakmanız gerekir.

Bilinen sınırlamalar

Bilinen sınırlamalar şunlardır:

Delta Eşitleme

• Delta eşitleme için grup kapsamı filtrelemesi 50.000'den fazla üyeyi desteklemez.
• Bir grup kapsam filtresinin parçası olarak kullanılan bir grubu sildiğinizde, grubun üyesi olan kullanıcılar silinmez.
• Kapsamdaki OU veya grubu yeniden adlandırdığınızda, delta eşitlemesi kullanıcıları kaldırmaz.

Sağlama Günlükleri

• Sağlama günlükleri oluşturma ve güncelleştirme işlemleri arasında net bir ayrım yoktur. Bir güncelleştirme için oluşturma işlemi ve oluşturma için bir güncelleştirme işlemi görebilirsiniz.

Grup yeniden adlandırma veya OU yeniden adlandırma

• Ad'da belirli bir yapılandırma kapsamındaki bir grubu veya OU'nun adını değiştirirseniz, bulut eşitleme işi AD'deki ad değişikliğini tanıyamaz. İş karantinaya girmez ve sağlıklı kalır.

Kapsam filtresi

OU kapsam filtresi kullanılırken

• Belirli bir yapılandırma için en fazla 59 ayrı OU veya Güvenlik Grubu eşitleyebilirsiniz.
• İç içe OU'lar desteklenir (yani, 130 iç içe OU'su olan bir OU'yu eşitleyebilirsiniz, ancak aynı yapılandırmada 60 ayrı OU'yu eşitleyemezsiniz).

Parola Karması Eşitleme

• InetOrgPerson ile parola karması eşitlemesi kullanılması desteklenmez.

Sonraki adımlar

• Sağlama nedir?
• Microsoft Entra Bulut Eşitleme nedir?