Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra Connect'in nasıl kullanılacağına ilişkin konuların çoğu, yeni bir Microsoft Entra kiracısıyla başladığınızı ve orada kullanıcı veya başka nesne olmadığını varsayar. Ancak bir Microsoft Entra kiracısıyla başladıysanız, kiracıyı kullanıcılar ve diğer nesnelerle doldurduysanız ve şimdi Connect'i kullanmak istiyorsanız, bu konu tam size göre.
Temel bilgiler
Microsoft Entra Id içindeki bir nesne bulutta veya şirket içinde yönetilir. Tek bir nesne için bazı öznitelikleri şirket içinde ve bazı diğer öznitelikleri Microsoft Entra Id'de yönetemezsiniz. Her nesnenin, nesnenin yönetildiği yeri gösteren bir bayrağı vardır.
Bazı kullanıcıları şirket içinde ve diğerlerini bulutta yönetebilirsiniz. Bu yapılandırma için yaygın bir senaryo, muhasebe çalışanlarının ve satış çalışanlarının bir karışımını içeren bir kuruluştır. Muhasebe çalışanlarının şirket içi AD hesabı vardır, ancak satış çalışanlarının hesabı yoktur, ancak her ikisinin de Microsoft Entra Id'de bir hesabı vardır. Bazı kullanıcıları şirket içinde, bazılarını da Microsoft Entra Id'de yönetebilirsiniz.
Şirket içinde de bulunan ve daha sonra Microsoft Entra Connect'i kullanmak isteyen Microsoft Entra Id'deki kullanıcıları yönetmeye başladığınızda dikkate almanız gereken bazı ek endişeler vardır.
Microsoft Entra Id'de mevcut kullanıcılarla eşitleme
Microsoft Entra Connect ile eşitlemeye başladığınızda, Microsoft Entra hizmeti API'si her yeni gelen nesneyi denetler ve eşleşecek mevcut bir nesneyi bulmaya çalışır. Bu işlem için kullanılan üç öznitelik vardır: userPrincipalName, proxyAddressesve sourceAnchor/sabitID. userPrincipalName veya proxyAddresses üzerinde bir eşleşme "soft-match" olarak bilinir. sourceAnchor üzerinde bir eşleşme "hard-match" olarak bilinir. proxyAddresses özelliği için, yalnızca değerlendirme için kullanılan SMTP: ile başlayan değer, yani ana e-posta adresi dikkate alınır.
Eşleşme yalnızca şirket içi Aktif Dizin (AD)'den gelen yeni nesneler için değerlendirilir. Var olan bir nesneyi bu özniteliklerden herhangi biri ile eşleşeceği şekilde değiştirirseniz, bunun yerine bir hata görürsünüz.
Microsoft Entra Id, öznitelik değerlerinin Microsoft Entra Connect'ten gelen yeni nesneyle aynı olduğu bir nesne bulursa, nesneyi Microsoft Entra Id'de devralır ve önceden bulut tarafından yönetilen nesne şirket içi yönetilene dönüştürülür. Şirket içi AD'de bir değere sahip olan Microsoft Entra ID'deki tüm öznitelikler, ilgili şirket içi değeri ile değiştirilir.
Uyarı
Microsoft Entra ID'deki tüm nitelikler yerel değerle değiştirileceğinden, yerel sisteminizde iyi veriye sahip olduğunuzdan emin olun. Örneğin, yalnızca Microsoft 365'te yönetilen e-posta adresiniz varsa ve bunu şirket içi AD DS'de güncel tutmadıysanız, Microsoft Entra Id / Microsoft 365'te AD DS'de bulunmayan tüm değerleri kaybedersiniz.
Önemli
Hızlı yükleme ile her zaman etkin olan parola karması eşitlemesini kullanıyorsanız, Microsoft Entra ID'deki parola karması, şirket içi AD'deki parola karması ile değiştirilir. Kullanıcılarınız farklı parolaları yönetmeye alışkınsa, şirket içi AD parolasını kullanmaları gerektiğini onlara bildirmeniz gerekir.
Önceki bölüm ve uyarı, planlamanızda dikkate alınmalıdır. Microsoft Entra Id'de şirket içi AD DS'ye yansıtılmayan birçok değişiklik yaptıysanız, veri kaybını önlemek için nesnelerinizi Microsoft Entra Connect ile eşitlemeden önce AD DS'yi Microsoft Entra Id'deki güncelleştirilmiş değerlerle nasıl doldurabileceğinizi planlamanız gerekir.
Nesnelerinizi yumuşak bir eşleme ile eşleştirdiyseniz, daha sonra zor bir eşleme kullanılabilmesi için sourceAnchor Microsoft Entra ID'deki nesneye eklenir.
Önemli
Microsoft, şirket içi hesapların Microsoft Entra ID'de önceden var olan yönetim hesaplarıyla eşitlenmemesini kesinlikle önerir.
Sert eşleşme vs yumuşak eşleşme
Varsayılan olarak, bir nesnenin SourceAnchor değeri (örneğin, "abcdefghijklmnoprstuv=="), şirket içi Active Directory nesnesinden mS-Ds-ConsistencyGUID özniteliğinin (veya yapılandırmaya bağlı olarak ObjectGUID) Base64 dize gösterimidir. Bu değer, Microsoft Entra Id'de karşılık gelen ImmutableId olarak ayarlanır.
Microsoft Entra Connect veya Cloud Sync yeni nesneler eklediğinde Microsoft Entra ID hizmeti, Microsoft Entra ID'deki mevcut nesnelerin ImmutableId özniteliğine karşılık gelen sourceAnchor değerini kullanarak gelen nesneyi eşleştirmeye çalışır. Bir eşleşme varsa, Microsoft Entra Connect bu nesnenin kaynağını veya yetkilisini (SoA) devralır ve bunu "sabit eşleşme " olarak bilinen şekilde gelen şirket içi Active Directory nesnesinin özellikleriyle güncelleştirir. Microsoft Entra Kimliği, SourceAnchor değeriyle eşleşen bir ImmutableId'ye sahip herhangi bir nesne bulamazsa, "yumuşak eşleşme" olarak bilinen bir eşleşme bulmak için gelen nesnenin userPrincipalName veya birincil SMTP adresini kullanmaya çalışır.
Hem sabit eşleşme hem de yumuşak eşleşme, Microsoft Entra ID'de zaten mevcut ve yönetilen nesneleri, aynı şirket içi varlığı temsil eden yeni gelen nesneler eklenerek eşleştirmeye çalışır. Microsoft Entra Kimliği, gelen nesne için bir tam eşleşme veya kısmi eşleşme bulamazsa, Microsoft Entra Kimliği dizininde yeni bir nesne oluşturur.
Microsoft Entra Kimliği, Microsoft Entra Kimliği'nde yönetilen mevcut bir nesneyle birincil SMTP adresine dayanarak "geçici eşleşme" yapabiliyorsa, ancak bu yeni nesnenin farklı bir sourceAnchor değeri varsa, bu durum genellikle yeni nesnenin sağlanmasına yönelik bir girişimde bulunulmasına ve bu nedenle, Microsoft Entra Kimliği'nin yeni nesneyi oluşturamamasına neden olan bir çakışma ile sonuçlanır. Bu çakışma aşağıdaki gibi durumlarda oluşur:
mS-Ds-ConsistencyGuidniteliğinde farklı bir sourceAnchor değeri, Entra ID ile halihazırda senkronize edilmiş olan orijinal yerel AD kullanıcı için ayarlandı.Aynı UPN ve Birincil SMTP adresiyle yeni bir şirket içi AD kullanıcısı oluşturuldu, ancak farklı bir sourceAnchor ve SID'ye sahip.
Bu gibi durumlarda, Microsoft Entra Connect veya Cloud Sync'te AttributeValueMustBeUnique dışarı aktarma hatası oluşur. Gelen kullanıcı özelliklerine bağlı olarak bu hata aşağıdaki öznitelik çakışmalarından birine başvurabilir:
ÖznitelikÇatışmaAdı = OnPremiseSecurityIdentifier: Gelen yeni nesne, farklı bir kaynakAlıcıya sahip ancak Entra ID dizinindeki mevcut kullanıcıyla aynı OnPremiseSecurityIdentifier (SID) ve birincil SMTP adresine sahiptir.
AttributeConflictName = ProxyAddresses: Yeni gelen nesne farklı bir sourceAnchor ve SID'ye sahiptir, ancak Entra Id dizinindeki mevcut kullanıcıyla aynı Birincil SMTP adresine sahiptir.
Uyarı
Bazı nadir durumlarda, aynı SID'ye sahip yeni bir kullanıcı oluşturabilen şirket içi AD RID Havuzu (örneğin, yedekten kurtarılan bir Etki Alanı Denetleyicisi) ile ilgili bir sorun nedeniyle OnPremiseSecurityIdentifier çakışması oluşur. Bu gibi durumlarda, kullanıcıyı sağlamaya çalışırken "AttributeValueMustBeUnique" denemelerinden değil, 'ün Entra ID dizininde benzersiz olması gerektiğinden bir OnPremiseSecurityIdentifier hatası verilir.
Bu senaryolar genellikle aynı kullanıcıyı yeniden yapılandırmayı denediğiniz anlamına gelir. Çakışmayı çözmek için şirket içi kullanıcının mS-Ds-ConsistencyGuid özniteliğini mevcut bulut kullanıcısının ImmutableID değeriyle aynı değerle eşleşecek şekilde güncelleştirmeniz gerekir. Bu değişiklik, Microsoft Entra Id'nin doğru "sabit eşleşme" yapmasını sağlar.
Microsoft Entra ID'de kesin eşleşmeyi engelleyin
Microsoft Entra Id'de sabit eşleştirme özelliğini devre dışı bırakmak için bir yapılandırma seçeneği ekledik. Müşterilere, yalnızca bulut tabanlı hesapları devralmak için ihtiyaçları olmadıkça, zor veya katı eşleştirmeyi devre dışı bırakmalarını öneriyoruz.
Sabit eşleştirmeyi devre dışı bırakmak için Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet'ini kullanın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Yumuşak eşleşmeyi engelle Microsoft Entra ID'de
Benzer şekilde, Microsoft Entra ID'de geçici eşleştirme seçeneğini devre dışı bırakmak için bir yapılandırma seçeneği ekledik. Müşterilere, yalnızca bulut hesaplarını devralmak için ihtiyaç duymadıkları sürece, yumuşak eşleştirmeyi devre dışı bırakmalarını tavsiye ediyoruz.
Geçici eşleştirmeyi devre dışı bırakmak için Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet'ini kullanın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Uyarı
BlockCloudObjectTakeoverThroughHardMatchEnabled ve BlockSoftMatchEnabled ayarları, kiracı için etkinleştirildiğinde tüm nesneler için eşleştirmenin engellenmesi amacıyla kullanılır. Müşterilerin bu özellikleri yalnızca kiracıları için eşleştirme yordamının gerekli olduğu süre boyunca devre dışı bırakmaları teşvik edilir. Bu bayrak, eşleştirme tamamlandıktan ve artık gerekli olmadığında tekrar True olarak ayarlanmalıdır.
Kullanıcılar dışındaki diğer nesneler
E-posta özellikli gruplar ve kişiler için proxyAddresses temelinde geçici eşleşme yapabilirsiniz. Yalnızca Kullanıcılar'da sourceAnchor/immutableID değerini PowerShell kullanarak güncelleyebileceğiniz için sabit eşleşme uygulanamaz. Posta özellikli olmayan gruplar için şu anda yumuşak eşleştirme veya kesin eşleşme desteği yoktur.
Yönetici rolüyle ilgili dikkat edilmesi gerekenler
Güvenilmeyen şirket içi kullanıcılardan korunmak için Microsoft Entra ID, şirket içi kullanıcılarla yönetici rolüne sahip bulut kullanıcıları ile eşleşmez. Bu davranış varsayılan olarakdır. Bu sorunu geçici olarak çözmek için aşağıdaki adımları gerçekleştirebilirsiniz:
Bulut ortamında bulunan kullanıcı nesnesinden dizin rollerini kaldırın.
Bulutta oluşturulan yeni karantinaya alınan nesneyi sıkı bir şekilde silin.
Yeni bir eşitleme döngüsü tetikleyin.
İsteğe bağlı olarak, eşleştirme tamamlandıktan sonra dizin rollerini buluttaki kullanıcı nesnesine geri ekleyin.
Microsoft Entra Id'deki verilerden yeni bir şirket içi Active Directory oluşturma
Bazı müşteriler Microsoft Entra ID ile yalnızca buluta yönelik bir çözümle başlar ve şirket içi AD'si yoktur. Daha sonra şirket içi kaynakları kullanmak ve Microsoft Entra verilerini temel alan bir şirket içi AD oluşturmak istiyorlar. Microsoft Entra Connect bu senaryo için size yardımcı olamaz. Şirket içinde kullanıcı oluşturmaz ve şirket içi parolayı Microsoft Entra Id ile aynı şekilde ayarlama özelliğine sahip değildir.
Şirket içi AD eklemeyi planlamanın tek nedeni LOB'ları (İş Kolu uygulamaları) desteklemekse bunun yerine Microsoft Entra Domain Services kullanmayı düşünebilirsiniz.
Sonraki adımlar
Şirket içi kimliklerinizi Microsoft Entra IDile tümleştirme hakkında daha fazla bilgi edinin.