Microsoft Entra Bağlan kullanarak Microsoft Entra ID ile AD FS güvenini yönetme
Genel Bakış
Şirket içi ortamınızı Microsoft Entra Id ile birleştirirken, şirket içi kimlik sağlayıcısı ile Microsoft Entra Kimliği arasında bir güven ilişkisi kurarsınız. Microsoft Entra Bağlan, şirket içi Active Directory Federasyon Hizmeti (AD FS) ile Microsoft Entra Kimliği arasındaki federasyonu yönetebilir. Bu makalede şunlara genel bir bakış sağlanır:
- Microsoft Entra Bağlan tarafından güven üzerinde yapılandırılan çeşitli ayarlar.
- Microsoft Entra Bağlan tarafından ayarlanan verme dönüştürme kuralları (talep kuralları).
- Yükseltmeler ve yapılandırma güncelleştirmeleri arasında talep kurallarınızı yedekleme ve geri yükleme.
- Microsoft Entra Id ile AD FS güvenini güvenli hale getirmek ve izlemek için en iyi yöntem.
Microsoft Entra Bağlan tarafından denetlenen Ayarlar
Microsoft Entra Bağlan yalnızca Microsoft Entra ID güveni ile ilgili ayarları yönetir. Microsoft Entra Bağlan, AD FS'deki diğer bağlı olan taraf güvenlerinde hiçbir ayarı değiştirmez. Aşağıdaki tabloda, Microsoft Entra Bağlan tarafından denetlenen ayarlar gösterilir.
| Ayar | Açıklama |
|---|---|
| Belirteç imzalama sertifikası | Microsoft Entra Bağlan, Microsoft Entra Id ile güveni sıfırlamak ve yeniden oluşturmak için kullanılabilir. Microsoft Entra Bağlan, AD FS için belirteç imzalama sertifikalarının bir kerelik anında teslimini yapar ve Microsoft Entra etki alanı federasyon ayarlarını güncelleştirir. |
| Belirteç imzalama algoritması | Microsoft, belirteç imzalama algoritması olarak SHA-256 kullanılmasını önerir. Microsoft Entra Bağlan, belirteç imzalama algoritmasının SHA-256'dan daha az güvenli bir değere ayarlandığını algılayabilir. Sonraki olası yapılandırma işleminde ayarı SHA-256 olarak güncelleştirir. Diğer bağlı olan taraf güveni, yeni belirteç imzalama sertifikasını kullanacak şekilde güncelleştirilmelidir. |
| Microsoft Entra Id güven tanımlayıcısı | Microsoft Entra Bağlan, Microsoft Entra ID güveni için doğru tanımlayıcı değerini ayarlar. AD FS, tanımlayıcı değerini kullanarak Microsoft Entra Id güvenini benzersiz olarak tanımlar. |
| Microsoft Entra uç noktaları | Microsoft Entra Bağlan, Microsoft Entra Id güveni için yapılandırılan uç noktaların her zaman dayanıklılık ve performans için önerilen en son değerlere uygun olmasını sağlar. |
| Verme dönüştürme kuralları | Federasyon ayarında Microsoft Entra Id özelliklerinin en iyi performansı için gereken çok sayıda talep kuralı vardır. Microsoft Entra Bağlan, Microsoft Entra ID güveninin her zaman doğru önerilen talep kuralları kümesiyle yapılandırıldığından emin olur. |
| Alternatif kimlik | Eşitleme alternate-id kullanacak şekilde yapılandırılmışsa, Microsoft Entra Bağlan AD FS'yi alternatif kimlik kullanarak kimlik doğrulaması gerçekleştirecek şekilde yapılandırıyor. |
| Otomatik meta veri güncelleştirmesi | Microsoft Entra Id ile güven, otomatik meta veri güncelleştirmesi için yapılandırılır. AD FS, Microsoft Entra ID güveninin meta verilerini düzenli aralıklarla denetler ve Microsoft Entra Id tarafında değişmesi durumunda güncel tutar. |
| Tümleşik Windows kimlik doğrulaması (IWA) | Microsoft Entra karma birleştirme işlemi sırasında IWA, alt düzey cihazlar için Microsoft Entra karma katılımını kolaylaştırmak amacıyla cihaz kaydı için etkinleştirilir |
Microsoft Entra Bağlan tarafından yapılandırılan yürütme akışları ve federasyon ayarları
Microsoft Entra Bağlan, yapılandırma akışları sırasında Microsoft Entra ID güveni için tüm ayarları güncelleştirmez. Değiştirilen ayarlar, yürütülmekte olan göreve veya yürütme akışına bağlıdır. Aşağıdaki tabloda farklı yürütme akışlarında etkilenen ayarlar listelenmiştir.
| Yürütme akışı | etkilenen Ayarlar |
|---|---|
| İlk geçiş yüklemesi (express) | Hiçbiri |
| İlk geçiş yüklemesi (yeni AD FS grubu) | Yeni bir AD FS grubu oluşturulur ve Sıfırdan Microsoft Entra Id ile bir güven oluşturulur. |
| İlk geçiş yüklemesi (mevcut AD FS grubu, mevcut Microsoft Entra ID güveni) | Microsoft Entra Id güven tanımlayıcısı, Verme dönüştürme kuralları, Microsoft Entra uç noktaları, Alternate-id (gerekirse), otomatik meta veri güncelleştirmesi |
| Microsoft Entra Id güvenini sıfırlama | Belirteç imzalama sertifikası, Belirteç imzalama algoritması, Microsoft Entra Id güven tanımlayıcısı, Verme dönüştürme kuralları, Microsoft Entra uç noktaları, Alternatif kimlik (gerekirse), otomatik meta veri güncelleştirmesi |
| Federasyon sunucusu ekleme | Hiçbiri |
| WAP sunucusu ekleme | Hiçbiri |
| Cihaz seçenekleri | Verme dönüştürme kuralları, cihaz kaydı için IWA |
| Federasyon etki alanı ekleme | Etki alanı ilk kez ekleniyorsa, yani kurulum tek etki alanı federasyonundan çok etki alanılı federasyona değişir. Microsoft Entra Bağlan, güveni sıfırdan yeniden oluşturur. Microsoft Entra Id ile güven birden çok etki alanı için zaten yapılandırılmışsa, yalnızca Verme dönüştürme kuralları değiştirilir |
| TLS'i güncelleştirme | Hiçbiri |
Herhangi bir ayarın değiştirildiği tüm işlemler sırasında, Microsoft Entra Bağlan %ProgramData%\AAD Bağlan\ADFS konumunda geçerli güven ayarlarını yedekler
Dekont
1.1.873.0 sürümünden önce, yedekleme yalnızca verme dönüştürme kurallarından oluşuyordu ve sihirbaz izleme günlüğü dosyasında yedekleniyordu.
Microsoft Entra Bağlan tarafından ayarlanan verme dönüştürme kuralları
Microsoft Entra Bağlan, Microsoft Entra ID güveninin her zaman doğru önerilen talep kuralları kümesiyle yapılandırıldığından emin olur. Microsoft, Microsoft Entra Id güveninizi yönetmek için Microsoft Entra Bağlan kullanmanızı önerir. Bu bölümde verme dönüştürme kuralları kümesi ve açıklamaları listeleniyor.
| Kural adı | Açıklama |
|---|---|
| UPN sorunu | Bu kural userprincipalname değerini userprincipalname için eşitleme ayarlarında yapılandırılan öznitelikten sorgular. |
| Özel ImmutableId talebi için objectguid ve msdsconsistencyguid sorgula | Bu kural varsa objectguid ve msdsconsistencyguid değeri için işlem hattına geçici bir değer ekler |
| msdsconsistencyguid varlığını denetleyin | msdsconsistencyguid değerinin var olup olmadığına bağlı olarak, nelerin ImmutableId olarak kullanılacağını yönlendirmek için geçici bir bayrak ayarladık |
| Varsa sabit kimlik olarak msdsconsistencyguid verme | Değer varsa ImmutableId olarak msdsconsistencyguid verme |
| msdsConsistencyGuid kuralı yoksa objectGuidRule sorunu | msdsconsistencyguid değeri yoksa objectguid değeri ImmutableId olarak verilir |
| Sorun adı belirleyicisi | Bu kural, ad belirleyici talebi için değer verir. |
| Etki alanına katılmış bilgisayarlar için hesap türü sorunu | Kimliği doğrulanan varlık etki alanına katılmış bir cihazsa, bu kural hesap türünü etki alanına katılmış bir cihazı belirten DJ olarak dağıtır |
| Bir bilgisayar hesabı olmadığında USER değeriyle AccountType sorununu giderme | Kimliği doğrulanan varlık bir kullanıcıysa, bu kural hesap türünü Kullanıcı olarak dağıtır |
| Sorun, bilgisayar hesabı olmadığında geçersiz | Bu kural, kimlik doğrulama varlığı bir cihaz olmadığında issuerId değerini verir. Değer, Microsoft Entra Bağlan tarafından yapılandırılan bir regex aracılığıyla oluşturulur. Regex, Microsoft Entra Bağlan kullanılarak birleştirilmiş tüm etki alanları dikkate alınarak oluşturulur. |
| DJ bilgisayar kimlik doğrulaması için sorun geçersiz | Bu kural, kimlik doğrulama varlığı bir cihaz olduğunda issuerId değerini verir |
| Etki alanına katılmış bilgisayarlar için onpremobjectguid sorunu | Kimliği doğrulanan varlık etki alanına katılmış bir cihazsa, bu kural cihaz için şirket içi objectguid'i yayınlar |
| Birincil SID'lerden geçirme | Bu kural, kimlik doğrulama varlığının birincil SID'sini dağıtır |
| Talepten geçme -CorporateNetwork içinde | Bu kural, Microsoft Entra Id'nin kimlik doğrulamasının şirket ağı içinden mi yoksa dışarıdan mı geldiğini bilmesine yardımcı olan bir talep verir |
| Geçiş Talebi – Psso | |
| Parola Süre Sonu Talepleri Verme | Bu kural parola süre sonu için üç talep, kimliği doğrulanan varlığın süresinin dolması için parolanın gün sayısı ve parolanın değiştirilmesi için yönlendirileceği URL'yi verir. |
| Talepten geçme – authnmethodsreferences | Bu kural kapsamında verilen talepteki değer, varlık için ne tür bir kimlik doğrulaması gerçekleştirildiğini gösterir |
| Talepten geçme - multifactorauthenticationinstant | Bu talebin değeri, kullanıcının en son birden çok faktörlü kimlik doğrulaması gerçekleştirdiği saati UTC cinsinden belirtir. |
| Geçiş talebi - AlternateLoginID | Bu kural, kimlik doğrulaması alternatif oturum açma kimliği kullanılarak gerçekleştirildiyse AlternateLoginID talebi verir. |
Dekont
Microsoft Entra Bağlan yapılandırması sırasında varsayılan olmayan bir seçenek kullanırsanız, Issue UPN ve ImmutableId için talep kuralları farklılık gösterir
Verme dönüştürme kurallarını geri yükleme
Microsoft Entra Bağlan sürüm 1.1.873.0 veya üzeri, Microsoft Entra Id güven ayarlarına her güncelleştirme yapıldığında Microsoft Entra Id güven ayarlarını yedekler. Microsoft Entra Id güven ayarları %ProgramData%\AAD Bağlan\ADFS konumunda yedeklenir. Dosya adı şu biçimdedir: AadTrust-date-time.txt><<>, örneğin - AadTrust-20180710-150216.txt
Aşağıdaki önerilen adımları kullanarak verme dönüştürme kurallarını geri yükleyebilirsiniz
- AD FS yönetim kullanıcı arabirimini Sunucu Yöneticisi açın
- AD FS > Bağlı Olan Taraf Güvenleri > Microsoft Office 365 Kimlik Platformu > Düzenleme Talepleri Verme İlkesi'ne giderek Microsoft Entra Id güven özelliklerini açın
- Kural ekle'ye tıklayın
- Talep kuralı şablonunda, Özel Kural Kullanarak Talep Gönder'i seçin ve İleri'ye tıklayın
- Yedekleme dosyasından talep kuralının adını kopyalayın ve Talep kuralı adı alanına yapıştırın
- Talep kuralını yedekleme dosyasından Özel kural için metin alanına kopyalayın ve Son'a tıklayın
Dekont
Ek kurallarınızın Microsoft Entra Bağlan tarafından yapılandırılan kurallarla çakışmadığından emin olun.
Microsoft Entra ID ile AD FS güvenini güvenli hale getirmek ve izlemek için en iyi yöntem
AD FS'nizi Microsoft Entra Id ile birleştirdiğinizde, federasyon yapılandırmasının (AD FS ile Microsoft Entra Kimliği arasında yapılandırılan güven ilişkisi) yakından izlenmesi ve olağan dışı veya şüpheli etkinliklerin yakalanması kritik önem taşır. Bunu yapmak için, federasyon yapılandırmasında her değişiklik yapıldığında uyarıları ayarlamanızı ve bildirim almanızı öneririz. Uyarıları ayarlamayı öğrenmek için bkz . Federasyon yapılandırmasındaki değişiklikleri izleme.
Şirket dışı kullanıcılarla çok faktörlü kimlik doğrulaması için bulut Azure MFA kullanıyorsanız ek güvenlik korumasının etkinleştirilmesini kesinlikle öneririz. Bu güvenlik koruması, Microsoft Entra Id ile birleştirilirken bulut Azure MFA'sının atlanmasını önler. Etkinleştirildiğinde, Microsoft Entra kiracınızdaki bir federasyon etki alanı için, kötü bir aktörün kimlik sağlayıcısı tarafından çok faktörlü kimlik doğrulamasının zaten gerçekleştirildiğini taklit ederek Azure MFA'yı atlayamayacağını güvence altına alır. Koruma, yeni güvenlik ayarı federatedIdpMfaBehavioraracılığıyla etkinleştirilebilir. Ek bilgi için bkz. Active Directory Federasyon Hizmetleri (AD FS) güvenliğini sağlamaya yönelik en iyi yöntemler
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin