Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft Entra Connect, kullanıcılarınızın aynı parolaları kullanarak hem bulut hem de şirket içi kaynaklarda oturum açmasına olanak tanır. Bu makalede, Microsoft Entra Id'de oturum açmak için kullanmak istediğiniz kimliği seçmenize yardımcı olacak her kimlik modeline yönelik temel kavramlar açıklanmaktadır.
Microsoft Entra kimlik modelini zaten biliyorsanız ve belirli bir yöntem hakkında daha fazla bilgi edinmek istiyorsanız uygun bağlantıya bakın:
- Parola karması eşitleme, Sorunsuz Tek Oturum Açma (SSO) ile
- Geçişli kimlik doğrulaması, Sorunsuz Tek Oturum Açma (SSO) ile
- Federasyon SSO'su (Active Directory Federasyon Hizmetleri (AD FS) ile)
- PingFederate ile federasyon
Not
Microsoft Entra Id için federasyon yapılandırarak Microsoft Entra kiracınız ile federasyon etki alanlarınız arasında güven oluşturduğunuz unutulmamaktadır. Bu federasyon güven etki alanı ile kullanıcılar, kiracı içindeki Microsoft Entra bulut kaynaklarına erişebilir.
Kuruluşunuz için kullanıcı oturum açma yöntemini seçme
Microsoft Entra Connect'i uygulamanın ilk kararı, kullanıcılarınızın oturum açmak için hangi kimlik doğrulama yöntemini kullanacağını seçmektir. Kuruluşunuzun güvenlik ve gelişmiş gereksinimlerini karşılayan doğru yöntemi seçtiğinizden emin olmanız önemlidir. Kimlik doğrulaması kritik öneme sahiptir, çünkü kullanıcının kimliklerini buluttaki uygulamalara ve verilere erişmek için doğrular. Doğru kimlik doğrulama yöntemini seçmek için zaman, mevcut altyapı, karmaşıklık ve seçiminizi uygulama maliyetini göz önünde bulundurmanız gerekir. Bu faktörler her kuruluş için farklıdır ve zaman içinde değişebilir.
Microsoft Entra ID aşağıdaki kimlik doğrulama yöntemlerini destekler:
-
Bulut Kimlik Doğrulaması - Bu kimlik doğrulama yöntemini seçtiğinizde Microsoft Entra ID, kullanıcının oturum açma işlemi için kimlik doğrulama işlemini işler. Bulut kimlik doğrulaması ile iki seçenek arasından seçim yapabilirsiniz:
- Parola karması eşitlemesi (PHS) - Parola Karması Eşitleme, kullanıcıların Microsoft Entra Connect dışında herhangi bir ek altyapı dağıtmak zorunda kalmadan şirket içinde kullandıkları kullanıcı adı ve parolayı kullanmalarını sağlar.
- Doğrudan kimlik doğrulaması (PTA) - Bu seçenek parola karması eşitlemesine benzer, ancak güçlü güvenlik ve uyumluluk ilkelerine sahip kuruluşlar için şirket içi yazılım aracılarını kullanarak basit bir parola doğrulaması sağlar.
- Federasyon kimlik doğrulaması - Bu kimlik doğrulama yöntemini seçtiğinizde Microsoft Entra ID, kullanıcının oturum açma işlemini doğrulamak için kimlik doğrulama işlemini AD FS veya üçüncü taraf federasyon sistemi gibi ayrı bir güvenilir kimlik doğrulama sistemine devredecektir.
Yalnızca Microsoft 365, SaaS uygulamaları ve diğer Microsoft Entra ID tabanlı kaynaklarda kullanıcı oturum açmayı etkinleştirmek isteyen çoğu kuruluş için varsayılan parola karması eşitleme seçeneğini öneririz.
Kimlik doğrulama yöntemi seçme hakkında ayrıntılı bilgi için bkz. Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme
Parola hash senkronizasyonu
Parola karması eşitlemesiyle, kullanıcı parolalarının karmaları şirket içi Active Directory'den Microsoft Entra Id'ye eşitlenir. Parolalar şirket içinde değiştirildiğinde veya sıfırlandığında, kullanıcılarınızın bulut kaynakları ve şirket içi kaynaklar için her zaman aynı parolayı kullanabilmesi için yeni parola karmaları Microsoft Entra Id ile hemen eşitlenir. Parolalar hiçbir zaman Microsoft Entra Id'ye gönderilmez veya Microsoft Entra Id'de düz metin olarak depolanmaz. Microsoft Entra ID'de self servis parola sıfırlamayı etkinleştirmek için parola karması senkronizasyonunu parola geri yazma işlemiyle birlikte kullanabilirsiniz.
Ayrıca, şirket ağındaki etki alanına katılmış makinelerdeki kullanıcılar için sorunsuz SSO etkinleştirebilirsiniz. Çoklu oturum açma ile etkin kullanıcıların yalnızca bulut kaynaklarına güvenli bir şekilde erişmelerine yardımcı olmak için bir kullanıcı adı girmeleri gerekir.
parola karması eşitlemePassword hash synchronization
Daha fazla bilgi için parola karması eşitleme makalesine bakın.
Ara geçişli kimlik doğrulama
Doğrudan kimlik doğrulamasıyla, kullanıcının parolası şirket içi Active Directory denetleyicisine karşı doğrulanır. Parolanın Microsoft Entra Id'de herhangi bir biçimde mevcut olması gerekmez. Bu, oturum açma saati kısıtlamaları gibi şirket içi ilkelerin bulut hizmetlerinde kimlik doğrulaması sırasında değerlendirilmesini sağlar.
Doğrudan kimlik doğrulaması, şirket içi ortamdaki Windows Server etki alanına katılmış bir makinede basit bir aracı kullanır. Bu aracı, parola doğrulama isteklerini dinler. Bağlantı noktalarından hiçbirinin İnternet'e açık olmasını gerektirmez.
Ayrıca, şirket ağındaki etki alanına katılmış makinelerdeki kullanıcılar için çoklu oturum açmayı da etkinleştirebilirsiniz. Çoklu oturum açma ile etkin kullanıcıların yalnızca bulut kaynaklarına güvenli bir şekilde erişmelerine yardımcı olmak için bir kullanıcı adı girmeleri gerekir.
Daha fazla bilgi için bkz:
Windows Server'da AD FS ile yeni veya mevcut bir çiftlik kullanan Federasyon
Federasyon oturum açma ile kullanıcılarınız şirket içi parolalarıyla Microsoft Entra ID tabanlı hizmetlerde oturum açabilir. Şirket ağındayken parolalarını girmeleri bile gerekmez. AD FS ile federasyon seçeneğini kullanarak, Windows Server 2022'de AD FS ile yeni veya mevcut bir grup dağıtabilirsiniz. Mevcut bir grubu belirtmeyi seçerseniz Microsoft Entra Connect, kullanıcılarınızın oturum açabilmesi için grubunuzla Microsoft Entra Id arasındaki güveni yapılandırabilir.
Windows Server 2022'de AD FS ile federasyon dağıtma
Yeni bir çiftlik dağıtıyorsanız şunlara ihtiyacınız var:
Federasyon sunucusu için bir Windows Server 2022 sunucusu.
Web Uygulaması Ara Sunucusu için bir Windows Server 2022 sunucusu.
Hedeflenen federasyon hizmeti adınız için bir TLS/SSL sertifikasına sahip bir .pfx dosyası. Örneğin: fs.contoso.com.
Yeni bir sunucu grubu dağıtıyorsanız veya mevcut bir sunucu grubunu kullanıyorsanız, şunlara ihtiyacınız vardır:
- Federasyon sunucularınızdaki yerel yönetici kimlik bilgileri.
- Web Uygulaması Ara Sunucusu rolünü dağıtmak istediğiniz herhangi bir çalışma grubu sunucusundaki (etki alanına katılmayan) yerel yönetici kimlik bilgileri.
- Windows Uzaktan Yönetimi'ni kullanarak AD FS veya Web Uygulaması Ara Sunucusu yüklemek istediğiniz diğer makinelere bağlanabilmek için sihirbazı çalıştırdığınız makine.
Daha fazla bilgi için bkz. AD FS ile SSO yapılandırma.
PingFederate ile Federasyon Kurulumu
Federasyon oturum açma ile kullanıcılarınız şirket içi parolalarıyla Microsoft Entra ID tabanlı hizmetlerde oturum açabilir. Şirket ağındayken parolalarını girmeleri bile gerekmez.
PingFederate'i Microsoft Entra ID ile kullanılmak üzere yapılandırma hakkında daha fazla bilgi için bkz. Ping Identity Support.
PingFederate kullanarak Microsoft Entra Connect'i ayarlama hakkında bilgi için bkz. Microsoft Entra Connect özel yükleme
AD FS'nin önceki bir sürümünü veya üçüncü taraf çözümü kullanarak oturum açın
Bulut oturum açma işlemini AD FS'nin önceki bir sürümünü (AD FS 2.0 gibi) veya üçüncü taraf federasyon sağlayıcısını kullanarak zaten yapılandırdıysanız, Microsoft Entra Connect aracılığıyla kullanıcı oturum açma yapılandırmasını atlamayı seçebilirsiniz. Bu, oturum açmak için mevcut çözümünüzü kullanmaya devam ederken Microsoft Entra Connect'in en son eşitlemesini ve diğer özelliklerini edinmenizi sağlar.
Daha fazla bilgi için Microsoft Entra üçüncü taraf federasyon uyumluluk listesine bakın.
Kullanıcı girişi ve UserPrincipalName
UserPrincipalName'i anlama
Active Directory'de varsayılan UserPrincipalName (UPN) soneki, kullanıcı hesabının oluşturulduğu etki alanının DNS adıdır. Çoğu durumda, bu, İnternet'te kurumsal alan adı olarak kaydedilen isimdir. Ancak, Active Directory Etki Alanları ve Güvenleri kullanarak daha fazla UPN soneki ekleyebilirsiniz.
Kullanıcının UPN'sinin biçimi username@domain. Örneğin, "contoso.com" adlı bir Active Directory etki alanı için John adlı bir kullanıcının UPN "john@contoso.com" olabilir. Kullanıcının UPN'si RFC 822'yi temel alır. UPN ve e-posta aynı biçimi paylaşsa da, bir kullanıcının UPN değeri kullanıcının e-posta adresiyle aynı olabilir veya olmayabilir.
Microsoft Entra Id'de UserPrincipalName
Microsoft Entra Connect sihirbazı UserPrincipalName özniteliğini kullanır veya özel yükleme sırasında şirket içi ortamdan Microsoft Entra ID'de UserPrincipalName olarak kullanılacak başka bir özniteliği belirtmenize olanak tanır. Bu, Microsoft Entra Id'de oturum açmak için kullanılan değerdir. userPrincipalName özniteliğinin değeri Microsoft Entra Id'deki doğrulanmış bir etki alanına karşılık gelmiyorsa, Microsoft Entra Id bunu varsayılan .onmicrosoft.com değeriyle değiştirir.
Microsoft Entra ID'deki her dizin, Microsoft Entra veya diğer Microsoft çevrimiçi hizmetlerini kullanmaya başlamanıza olanak tanıyan contoso.onmicrosoft.com biçiminde yerleşik bir etki alanı adıyla birlikte gelir. Özel etki alanlarını kullanarak oturum açma deneyimini geliştirebilir ve basitleştirebilirsiniz. Microsoft Entra Id'deki özel etki alanı adları ve etki alanını doğrulama hakkında bilgi için bkz. Özel etki alanı adınızı Microsoft Entra Id'ye ekleme.
Microsoft Entra oturum açma yapılandırması
Microsoft Entra Connect ile Microsoft Entra oturum açma yapılandırması
Microsoft Entra oturum açma deneyimi, Microsoft Entra ID'nin Microsoft Entra dizininde doğrulanan özel etki alanlarından biriyle senkronize edilen bir kullanıcının UserPrincipalName sonekini eşleştirip eşleştiremeyeceğine bağlıdır. Microsoft Entra Connect, microsoft Entra oturum açma ayarlarını yapılandırırken, bulutta kullanıcı oturum açma deneyiminin şirket içi deneyime benzer olması için yardım sağlar.
Microsoft Entra Connect, etki alanları için tanımlanan UPN son eklerini listeler ve bunları Microsoft Entra Id'deki özel bir etki alanıyla eşleştirmeye çalışır. Ardından yapılması gereken uygun eylemde size yardımcı olur. Microsoft Entra oturum açma sayfası, şirket içi Active Directory için tanımlanan UPN son eklerini listeler ve her son ek için karşılık gelen durumu görüntüler. Durum değerleri aşağıdakilerden biri olabilir:
Devlet | Açıklama | Eylem gerekiyor |
---|---|---|
Doğrulandı | Microsoft Entra Connect, Microsoft Entra Kimliği içinde eşleşen bir doğrulanmış etki alanı buldu. Bu etki alanı için tüm kullanıcılar şirket içi kimlik bilgilerini kullanarak oturum açabilir. | Eylem gerekmez. |
Doğrulanmadı | Microsoft Entra Connect, Microsoft Entra ID'de eşleşen bir özel alan adı buldu, ancak doğrulanmadı. Etki alanı doğrulanmamışsa, bu alanın kullanıcılarının UPN soneki eşitleme sonrasında varsayılan .onmicrosoft.com soneki ile değiştirilecektir. | Microsoft Entra ID'de özel etki alanını doğrulayın. |
Eklenmedi | Microsoft Entra Connect, UPN sonekine karşılık gelen bir özel etki alanı bulamamıştır. Bu etki alanı kullanıcılarının UPN soneki, etki alanı Entra ID'ye eklenip doğrulanmamışsa varsayılan .onmicrosoft.com soneki olarak değiştirilir. | UPN sonekiyle eşleşen özel bir etki alanı ekleyin ve doğrulayın. |
Microsoft Entra oturum açma sayfasında, yerel Active Directory için tanımlanan UPN sonekleri ve Microsoft Entra ID'deki mevcut doğrulama durumu ile ilgili özel etki alanı listelenir. Özel yüklemede artık Microsoft Entra oturum açma sayfasında UserPrincipalName özniteliğini seçebilirsiniz.
Özel etki alanlarının en son durumunu Microsoft Entra Id'den yeniden getirmek için yenile düğmesine tıklayabilirsiniz.
Microsoft Entra Id'de UserPrincipalName özniteliğini seçme
userPrincipalName özniteliği, kullanıcıların Microsoft Entra Id ve Microsoft 365'te oturum açarken kullandıkları özniteliktir. Kullanıcılar senkronize edilmeden önce Microsoft Entra ID'de kullanılan etki alanlarını (UPN sonekleri olarak da bilinir) doğrulamanız gerekir.
userPrincipalName varsayılan özniteliğini korumanızı kesinlikle öneririz. Bu öznitelik yönlendirilemezse ve doğrulanamıyorsa, oturum açma kimliğini barındıran öznitelik olarak başka bir öznitelik (örneğin e-posta) seçmek mümkündür. Bu, Alternatif Kimlik olarak bilinir. Alternatif Kimlik öznitelik değeri RFC 822 standardına uygun olmalıdır. Oturum açma çözümü olarak hem parola SSO'sunu hem de federasyon SSO'sunu içeren bir Alternatif Kimlik kullanabilirsiniz.
Not
Alternatif kimlik kullanmak tüm Microsoft 365 iş yükleriyle uyumlu değildir. Daha fazla bilgi için bkz. Alternatif Oturum Açma Kimliğini Yapılandırma.
Farklı özel etki alanı durumları ve Bunların Entra Kimliği oturum açma deneyimi üzerindeki etkisi
Microsoft Entra dizinindeki özel alan adı durumları ile yerelde tanımlanan UPN sonekleri arasındaki ilişkiyi anlamak çok önemlidir. Microsoft Entra Connect kullanarak eşitlemeyi ayarlarken olası farklı Entra Id oturum açma deneyimlerini inceleyelim.
Aşağıdaki bilgiler için, şirket içi dizinde UPN'nin bir parçası olarak kullanılan UPN son eki contoso.com ile ilgilendiğimizi varsayalım; örneğin user@contoso.com.
Hızlı Ayarlar/Parola Hash Senkronizasyonu
Devlet | Kullanıcı Entra Kimliği oturum açma deneyimi üzerindeki etkisi |
---|---|
Eklenmedi | Bu durumda, Microsoft Entra dizinine contoso.com için özel bir etki alanı eklenmemiştir. Son eki @contoso.com olan şirket içi UPN'si olan kullanıcılar, Şirket içi UPN'lerini Kullanarak Entra Kimliği'nde oturum açamaz. Bunun yerine, Microsoft Entra ID tarafından kendilerine sağlanan yeni bir UPN'yi, varsayılan Microsoft Entra dizini için son eki ekleyerek kullanmaları gerekir. Örneğin, kullanıcıları Microsoft Entra dizini contoso.onmicrosoft.com ile eşitlerseniz, yerel kullanıcı user@contoso.com'ya user@contoso.onmicrosoft.comUPN'si verilecektir. |
Doğrulanmadı | Bu durumda, Microsoft Entra dizinine eklenen contoso.com isimli özel bir etki alanımız vardır. Ancak henüz doğrulanmamıştır. Etki alanını doğrulamadan kullanıcıları eşitlemeye devam ederseniz, "Eklenmedi" senaryosunda olduğu gibi kullanıcılara Microsoft Entra Id tarafından yeni bir UPN atanır. |
Doğrulandı | Bu durumda, UPN soneki için Microsoft Entra ID'ye eklenmiş ve doğrulanmış özel bir etki alanı contoso.com var. Kullanıcılar, Microsoft Entra Kimliği ile eşitlendikten sonra Entra'da oturum açmak için şirket içi KullanıcıAnaAdı'nı, örneğin user@contoso.com, kullanabilir. |
AD FS federasyonu
Microsoft Entra Kimliği'nde varsayılan .onmicrosoft.com etki alanıyla veya Microsoft Entra Id'de bir onaylanmamış özel etki alanıyla federasyon oluşturamazsınız. Microsoft Entra Connect sihirbazını çalıştırırken, federasyon oluşturmak için bir onaylanmamış etki alanı seçerseniz, Microsoft Entra Connect etki alanı için DNS'nizin barındırıldığı yerde oluşturulacak gerekli kayıtları girmenizi ister. Daha fazla bilgi için bkz. Federasyon için seçilenMicrosoft Entra etki alanını doğrulayın.
AD FS ile Federasyonkullanıcı oturum açma seçeneğini belirlediyseniz, Microsoft Entra ID'de federasyon oluşturmaya devam etmek için özel bir etki alanınız olmalıdır. Tartışmamız kapsamında, Microsoft Entra dizinine contoso.com şeklinde bir özel etki alanı eklenmesi gerektiği anlamına gelir.
Devlet | Kullanıcı Entra ID oturum açma deneyimi üzerindeki etkisi |
---|---|
Eklenmedi | Bu durumda, Microsoft Entra Connect, Microsoft Entra dizininde UPN soneki contoso.com için eşleşen bir özel etki alanı bulamadı. Kullanıcıların, şirket içi UPN'lerini (user@contoso.com gibi) kullanarak AD FS ile oturum açabilmesi için özel bir etki alanı contoso.com eklemeniz gerekir. |
Doğrulanmadı | Bu durumda, Microsoft Entra Connect daha sonraki bir aşamada etki alanınızı nasıl doğrulayabileceğiniz hakkında size uygun ayrıntıları sorar. |
Doğrulandı | Bu durumda, başka bir işlem yapmadan yapılandırmaya devam edebilirsiniz. |
Kullanıcı oturum açma yöntemini değiştirme
Microsoft Entra Connect'in sihirbazla ilk yapılandırmasından sonra Microsoft Entra Connect'te kullanılabilen görevleri kullanarak kullanıcı oturum açma yöntemini federasyondan, parola karması eşitlemesinden veya doğrudan kimlik doğrulamasından değiştirebilirsiniz. Microsoft Entra Connect sihirbazını yeniden çalıştırdığınızda gerçekleştirebileceğiniz görevlerin listesini görürsünüz. Görev listesinden Kullanıcı oturum açma değiştir'i seçin.
değiştir
Sonraki sayfada, Microsoft Entra Id için kimlik bilgilerini sağlamanız istenir.
Kullanıcı oturum açma sayfasında, istediğiniz kullanıcı oturum açmasını seçin.
'e bağlan
Not
Parola karma eşitlemesine yalnızca geçici bir geçiş yapıyorsanız, Kullanıcı hesaplarını dönüştürme seçeneğini işaretlemeyin onay kutusunu seçin. Seçeneğin işaretlenmemesi, her kullanıcıyı federasyona dönüştürür ve birkaç saat sürebilir.
Sonraki adımlar
- Şirket içi kimliklerinizi Microsoft Entra ID ile tümleştirmehakkında daha fazla bilgi edinin.
- Microsoft Entra Connect tasarım kavramları hakkında daha fazla bilgi edinin.