Microsoft Entra Bağlan: Mevcut bir kiracınız olduğunda
Microsoft Entra Bağlan'nin nasıl kullanılacağına ilişkin konuların çoğu, yeni bir Microsoft Entra kiracısıyla başladığınızı ve orada kullanıcı veya başka nesne olmadığını varsayar. Ancak bir Microsoft Entra kiracısıyla başladıysanız, kiracıyı kullanıcılar ve diğer nesnelerle doldurduysanız ve şimdi Bağlan kullanmak istiyorsanız, bu konu tam size göre.
Temel bilgiler
Microsoft Entra Id içindeki bir nesne bulutta veya şirket içinde yönetilir. Tek bir nesne için bazı öznitelikleri şirket içinde ve bazı diğer öznitelikleri Microsoft Entra Id'de yönetemezsiniz. Her nesnenin, nesnenin yönetildiği yeri gösteren bir bayrağı vardır.
Bazı kullanıcıları şirket içinde ve diğerlerini bulutta yönetebilirsiniz. Bu yapılandırma için yaygın bir senaryo, muhasebe çalışanlarının ve satış çalışanlarının bir karışımını içeren bir kuruluştır. Muhasebe çalışanlarının şirket içi AD hesabı vardır, ancak satış çalışanlarının hesabı yoktur, ancak her ikisinin de Microsoft Entra Id'de bir hesabı vardır. Bazı kullanıcıları şirket içinde, bazılarını da Microsoft Entra Id'de yönetebilirsiniz.
Microsoft Entra Id'de kullanıcıları yönetmeye başladığınızda dikkate almanız gereken, şirket içinde de bulunan ve daha sonra Microsoft Entra Bağlan kullanmak isteyen bazı ek endişeler vardır.
Microsoft Entra Kimliğinde mevcut kullanıcılarla eşitleme
Microsoft Entra Bağlan ile eşitlemeye başladığınızda, Microsoft Entra hizmeti API'si her yeni gelen nesneyi denetler ve eşleşecek mevcut bir nesneyi bulmaya çalışır. Bu işlem için kullanılan üç öznitelik vardır: userPrincipalName, proxyAddresses ve sourceAnchor/immutableID. userPrincipalName veya proxyAddresses üzerindeki eşleşme "soft-match" olarak bilinir. sourceAnchor'da eşleşme "hard=match" olarak bilinir. proxyAddresses özniteliği için, değerlendirme için yalnızca SMTP: olan birincil e-posta adresi olan değer kullanılır.
Eşleşme yalnızca Bağlan gelen yeni nesneler için değerlendirilir. Var olan bir nesneyi bu özniteliklerden herhangi biri ile eşleşeceği şekilde değiştirirseniz, bunun yerine bir hata görürsünüz.
Microsoft Entra Kimliği, öznitelik değerlerinin Microsoft Entra Bağlan'dan gelen yeni nesneyle aynı olduğu bir nesne bulursa, nesneyi Microsoft Entra Id'de devralır ve önceden bulut tarafından yönetilen nesne şirket içi yönetilene dönüştürülür. Microsoft Entra ID'de şirket içi AD'de bir değere sahip tüm özniteliklerin üzerine ilgili şirket içi değerin üzerine yazılır.
Uyarı
Microsoft Entra ID'deki tüm özniteliklerin üzerine şirket içi değeri yazılacağından, şirket içinde iyi verileriniz olduğundan emin olun. Örneğin, yalnızca Microsoft 365'te yönetilen e-posta adresiniz varsa ve bunu şirket içi AD DS'de güncel tutmadıysanız, Microsoft Entra Id / Microsoft 365'te AD DS'de bulunmayan değerleri kaybedersiniz.
Önemli
Her zaman hızlı ayarlar tarafından kullanılan parola eşitlemeyi kullanırsanız, Microsoft Entra Id'deki parolanın üzerine şirket içi AD'deki parola yazılır. Kullanıcılarınız farklı parolaları yönetmek için kullanılıyorsa, Bağlan yüklediğinizde şirket içi parolayı kullanmaları gerektiğini onlara bildirmeniz gerekir.
Önceki bölüm ve uyarı, planlamanızda dikkate alınmalıdır. Microsoft Entra Id'de şirket içi AD DS'ye yansıtılmayan birçok değişiklik yaptıysanız, veri kaybını önlemek için nesnelerinizi Microsoft Entra Bağlan ile eşitlemeden önce AD DS'yi Microsoft Entra Id'deki güncelleştirilmiş değerlerle nasıl doldurabileceğinizi planlamanız gerekir.
Nesnelerinizi bir yumuşak eşleşme ile eşleştirdiyseniz sourceAnchor, daha sonra sabit eşleşmenin kullanılabilmesi için Microsoft Entra Id'deki nesneye eklenir.
Önemli
Microsoft, şirket içi hesapların Microsoft Entra Id'de önceden var olan yönetim hesaplarıyla eşitlenmesini kesinlikle önerir.
Sabit eşleşme ve Soft-match karşılaştırması
Varsayılan olarak, "abcdefghijklmnopqrstuv==" SourceAnchor değeri, Microsoft Entra Bağlan tarafından şirket içi Active Directory MsDs-ConsistencyGUID özniteliği (veya yapılandırmaya bağlı olarak ObjectGUID) kullanılarak hesaplanır. Bu öznitelik değeri, Microsoft Entra Id'de karşılık gelen ImmutableId değeridir. Microsoft Entra Bağlan (eşitleme altyapısı) nesneleri eklediğinde veya güncelleştirdiğinde, Microsoft Entra Kimliği, Microsoft Entra Id'deki mevcut nesnenin ImmutableId özniteliğine karşılık gelen sourceAnchor değerini kullanarak gelen nesneyle eşleşir. Eşleşme varsa, Microsoft Entra Bağlan bu nesneyi devralıp gelen şirket içi Active Directory nesnesinin özellikleriyle "sabit eşleşme" olarak bilinir. Microsoft Entra Id, SouceAnchor değeriyle eşleşen ImmutableId değerine sahip bir nesne bulamadığından, *"soft-match" olarak bilinen değerde eşleşme bulmak için gelen nesnenin userPrincipalName veya primary ProxyAddress değerini kullanmayı dener. Geçici eşleşme, Microsoft Entra ID'de zaten var olan ve yönetilen nesneleri, şirket içinde aynı varlığı temsil eden yeni gelen nesneler eklenip güncelleştirilen nesnelerle eşleştirmeye çalışır. Microsoft Entra Id gelen nesne için sabit eşleşme veya geçici eşleşme bulamazsa, Microsoft Entra ID dizininde yeni bir nesne sağlar. Microsoft Entra Id'de sabit eşleştirme özelliğini devre dışı bırakmak için bir yapılandırma seçeneği ekledik. Müşterilere yalnızca bulut hesaplarını devralmaları gerekmediği sürece sabit eşleştirmeyi devre dışı bırakmalarını öneririz.
Sabit eşleştirmeyi devre dışı bırakmak için Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet'ini kullanın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Benzer şekilde, Microsoft Entra Id'de geçici eşleştirme seçeneğini devre dışı bırakmak için bir yapılandırma seçeneği ekledik. Müşterilere yalnızca bulut hesaplarını devralmaları gerekmediği sürece geçici eşleştirmeyi devre dışı bırakmalarını öneririz.
Geçici eşleştirmeyi devre dışı bırakmak için Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell cmdlet'ini kullanın:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Not
Kiracı için etkinleştirilirse tüm nesneler için eşleştirmeyi engellemek için BlockCloudObjectTakeoverThroughHardMatchEnabled ve BlockSoftMatchEnabled kullanılır. Müşterilerin bu özellikleri yalnızca kiracıları için eşleştirme yordamının gerekli olduğu süre boyunca devre dışı bırakmaları teşvik edilir. Eşleştirme tamamlandıktan ve artık gerekli olmadığında bu bayrak yeniden True olarak ayarlanmalıdır.
Kullanıcılar dışındaki diğer nesneler
Posta etkin gruplar ve kişiler için proxyAddresses'e göre geçici eşleşme yapabilirsiniz. Yalnızca Kullanıcılar'da sourceAnchor/immutableID değerini güncelleştirebileceğinizden (PowerShell kullanarak) sabit eşleşme geçerli değildir. Posta etkin olmayan gruplar için şu anda geçici eşleşme veya sabit eşleşme desteği yoktur.
Yönetici rolüyle ilgili dikkat edilmesi gerekenler
Güvenilmeyen şirket içi kullanıcılardan korunmak için Microsoft Entra ID, şirket içi kullanıcılarla yönetici rolüne sahip bulut kullanıcıları ile eşleşmez. Bu davranış varsayılan olarakdır. Bu sorunu geçici olarak çözmek için aşağıdaki adımları gerçekleştirebilirsiniz:
- Dizin rollerini yalnızca bulut kullanıcı nesnesinden kaldırın.
- Bulutta karantinaya alınan nesneyi sıkı bir şekilde silin.
- Eşitleme tetikleyin.
- İsteğe bağlı olarak, eşleştirme tamamlandıktan sonra dizin rollerini buluttaki kullanıcı nesnesine geri ekleyin.
Microsoft Entra Id'deki verilerden yeni bir şirket içi Active Directory oluşturma
Bazı müşteriler Microsoft Entra ID ile yalnızca buluta yönelik bir çözümle başlar ve şirket içi AD'si yoktur. Daha sonra şirket içi kaynakları kullanmak ve Microsoft Entra verilerini temel alan bir şirket içi AD oluşturmak istiyorlar. Microsoft Entra Bağlan bu senaryo için size yardımcı olamaz. Şirket içinde kullanıcı oluşturmaz ve şirket içi parolayı Microsoft Entra Id ile aynı şekilde ayarlama özelliğine sahip değildir.
Şirket içi AD eklemeyi planlamanın tek nedeni LOB'leri (İş Kolu uygulamaları) desteklemekse, bunun yerine Microsoft Entra Domain Services'ı kullanmayı düşünebilirsiniz.
Sonraki adımlar
Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.