Share via


Microsoft Entra Bağlan kullanıcı oturum açma seçenekleri

Microsoft Entra Bağlan, kullanıcılarınızın aynı parolaları kullanarak hem bulut hem de şirket içi kaynaklarda oturum açmasına olanak tanır. Bu makalede, Microsoft Entra Id'de oturum açmak için kullanmak istediğiniz kimliği seçmenize yardımcı olacak her kimlik modeline yönelik temel kavramlar açıklanmaktadır.

Microsoft Entra kimlik modelini zaten biliyorsanız ve belirli bir yöntem hakkında daha fazla bilgi edinmek istiyorsanız uygun bağlantıya bakın:

Dekont

Microsoft Entra Id için federasyon yapılandırarak Microsoft Entra kiracınız ile federasyon etki alanlarınız arasında güven oluşturduğunuz unutulmamaktadır. Bu güven federasyon etki alanı ile kullanıcılar kiracı içindeki Microsoft Entra bulut kaynaklarına erişebilir.

Kuruluşunuz için kullanıcı oturum açma yöntemini seçme

Microsoft Entra Bağlan uygulamanın ilk kararı, kullanıcılarınızın oturum açmak için hangi kimlik doğrulama yöntemini kullanacağını seçmektir. Kuruluşunuzun güvenlik ve gelişmiş gereksinimlerini karşılayan doğru yöntemi seçtiğinizden emin olmanız önemlidir. Kimlik doğrulaması kritik öneme sahiptir, çünkü kullanıcının kimliklerini buluttaki uygulamalara ve verilere erişmek için doğrular. Doğru kimlik doğrulama yöntemini seçmek için zaman, mevcut altyapı, karmaşıklık ve seçiminizi uygulama maliyetini göz önünde bulundurmanız gerekir. Bu faktörler her kuruluş için farklıdır ve zaman içinde değişebilir.

Microsoft Entra ID aşağıdaki kimlik doğrulama yöntemlerini destekler:

  • Bulut Kimlik Doğrulaması - Bu kimlik doğrulama yöntemini seçtiğinizde Microsoft Entra ID, kullanıcının oturum açma işlemi için kimlik doğrulama işlemini işler. Bulut kimlik doğrulaması ile iki seçenek arasından seçim yapabilirsiniz:
    • Parola karması eşitleme (PHS) - Parola Karması Eşitleme, kullanıcıların Microsoft Entra Bağlan dışında herhangi bir ek altyapı dağıtmak zorunda kalmadan şirket içinde kullandıkları aynı kullanıcı adını ve parolayı kullanmalarını sağlar.
    • Doğrudan kimlik doğrulaması (PTA) - Bu seçenek parola karması eşitlemesine benzer, ancak güçlü güvenlik ve uyumluluk ilkelerine sahip kuruluşlar için şirket içi yazılım aracılarını kullanarak basit bir parola doğrulaması sağlar.
  • Federasyon kimlik doğrulaması - Bu kimlik doğrulama yöntemini seçtiğinizde Microsoft Entra ID, kullanıcının oturum açma işlemini doğrulamak için kimlik doğrulama işlemini AD FS veya üçüncü taraf federasyon sistemi gibi ayrı bir güvenilir kimlik doğrulama sistemine devredecektir.

Yalnızca Microsoft 365, SaaS uygulamaları ve diğer Microsoft Entra ID tabanlı kaynaklarda kullanıcı oturum açmayı etkinleştirmek isteyen çoğu kuruluş için varsayılan parola karması eşitleme seçeneğini öneririz.

Kimlik doğrulama yöntemi seçme hakkında ayrıntılı bilgi için bkz . Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme

Parola karması eşitleme

Parola karması eşitlemesiyle, kullanıcı parolalarının karmaları şirket içi Active Directory Microsoft Entra Id ile eşitlenir. Parolalar şirket içinde değiştirildiğinde veya sıfırlandığında, kullanıcılarınızın bulut kaynakları ve şirket içi kaynaklar için her zaman aynı parolayı kullanabilmesi için yeni parola karmaları Microsoft Entra Id ile hemen eşitlenir. Parolalar hiçbir zaman Microsoft Entra Id'ye gönderilmez veya Microsoft Entra Id'de düz metin olarak depolanmaz. Microsoft Entra Id'de self servis parola sıfırlamayı etkinleştirmek için parola karması eşitlemesini parola geri yazma ile birlikte kullanabilirsiniz.

Buna ek olarak, şirket ağındaki etki alanına katılmış makinelerdeki kullanıcılar için Sorunsuz SSO'nun etkinleştirilmesini sağlayabilirsiniz. Çoklu oturum açma ile etkin kullanıcıların yalnızca bulut kaynaklarına güvenli bir şekilde erişmelerine yardımcı olmak için bir kullanıcı adı girmeleri gerekir.

Password hash synchronization

Daha fazla bilgi için parola karması eşitleme makalesine bakın.

Doğrudan kimlik doğrulaması

Doğrudan kimlik doğrulaması ile kullanıcının parolası şirket içi Active Directory denetleyicisinde doğrulanır. Parolanın Microsoft Entra Id'de herhangi bir biçimde mevcut olması gerekmez. Bu, oturum açma saati kısıtlamaları gibi şirket içi ilkelerin bulut hizmetlerinde kimlik doğrulaması sırasında değerlendirilmesini sağlar.

Doğrudan kimlik doğrulaması, şirket içi ortamdaki Windows Server 2012 R2 etki alanına katılmış makinede basit bir aracı kullanır. Bu aracı, parola doğrulama isteklerini dinler. Gelen bağlantı noktalarının İnternet'e açık olmasını gerektirmez.

Ayrıca, şirket ağındaki etki alanına katılmış makinelerdeki kullanıcılar için çoklu oturum açmayı da etkinleştirebilirsiniz. Çoklu oturum açma ile etkin kullanıcıların yalnızca bulut kaynaklarına güvenli bir şekilde erişmelerine yardımcı olmak için bir kullanıcı adı girmeleri gerekir. Pass-through authentication

Daha fazla bilgi için bkz.

Windows Server 2012 R2'de AD FS ile yeni veya mevcut bir grup kullanan federasyon

Federasyon oturum açma ile kullanıcılarınız şirket içi parolalarıyla Microsoft Entra ID tabanlı hizmetlerde oturum açabilir. Şirket ağındayken parolalarını girmeleri bile gerekmez. AD FS ile federasyon seçeneğini kullanarak, Windows Server 2012 R2'de AD FS ile yeni veya mevcut bir grubu dağıtabilirsiniz. Mevcut bir grubu belirtmeyi seçerseniz Microsoft Entra Bağlan, kullanıcılarınızın oturum açabilmesi için grubunuzla Microsoft Entra Kimliği arasındaki güveni yapılandırıyor.

Federation with AD FS in Windows Server 2012 R2

Windows Server 2012 R2'de AD FS ile federasyon dağıtma

Yeni bir grup dağıtıyorsanız şunları yapmanız gerekir:

  • Federasyon sunucusu için bir Windows Server 2012 R2 sunucusu.
  • Web Uygulama Ara Sunucusu için bir Windows Server 2012 R2 sunucusu.
  • Hedeflenen federasyon hizmeti adınız için bir TLS/SSL sertifikasına sahip bir .pfx dosyası. Örneğin: fs.contoso.com.

Yeni bir grup dağıtıyorsanız veya mevcut bir grubu kullanıyorsanız şunlara ihtiyacınız vardır:

  • Federasyon sunucularınızdaki yerel yönetici kimlik bilgileri.
  • Web Uygulama Ara Sunucusu rolünü dağıtmak istediğiniz herhangi bir çalışma grubu sunucusundaki (etki alanına katılmayan) yerel yönetici kimlik bilgileri.
  • Windows Uzaktan Yönetimi'ni kullanarak AD FS veya Web Uygulama Ara Sunucusu yüklemek istediğiniz diğer makinelere bağlanabilmek için sihirbazı çalıştırdığınız makine.

Daha fazla bilgi için bkz . AD FS ile SSO yapılandırma.

PingFederate ile federasyon

Federasyon oturum açma ile kullanıcılarınız şirket içi parolalarıyla Microsoft Entra ID tabanlı hizmetlerde oturum açabilir. Şirket ağındayken parolalarını girmeleri bile gerekmez.

PingFederate'ı Microsoft Entra Id ile kullanmak üzere yapılandırma hakkında daha fazla bilgi için bkz . Microsoft Entra Id ve Microsoft 365 ile PingFederate tümleştirmesi.

PingFederate kullanarak Microsoft Entra Bağlan ayarlama hakkında bilgi için bkz. Microsoft Entra Bağlan özel yükleme

AD FS'nin önceki bir sürümünü veya üçüncü taraf çözümü kullanarak oturum açın

Ad FS'nin önceki bir sürümünü (AD FS 2.0 gibi) veya üçüncü taraf federasyon sağlayıcısını kullanarak bulutta oturum açmayı zaten yapılandırdıysanız, Microsoft Entra Bağlan aracılığıyla kullanıcı oturum açma yapılandırmasını atlamayı seçebilirsiniz. Bu, oturum açmak için mevcut çözümünüzü kullanmaya devam ederken Microsoft Entra Bağlan'ın en son eşitlemesini ve diğer özelliklerini edinmenizi sağlar.

Daha fazla bilgi için bkz . Microsoft Entra üçüncü taraf federasyon uyumluluk listesi.

Kullanıcı oturum açma ve kullanıcı asıl adı

Kullanıcı asıl adını anlama

Active Directory'de, varsayılan kullanıcı asıl adı (UPN) soneki, kullanıcı hesabının oluşturulduğu etki alanının DNS adıdır. Çoğu durumda bu, İnternet'te kurumsal etki alanı olarak kaydedilen etki alanı adıdır. Ancak, Active Directory Etki Alanı ve Güvenleri kullanarak daha fazla UPN soneki ekleyebilirsiniz.

Kullanıcının UPN'sinin biçimi username@domain. Örneğin, "contoso.com" adlı bir Active Directory etki alanı için John adlı bir kullanıcı "john@contoso.com" UPN'sine sahip olabilir. Kullanıcının UPN'si RFC 822'yi temel alır. UPN ve e-posta aynı biçimi paylaşsa da, bir kullanıcının UPN değeri kullanıcının e-posta adresiyle aynı olabilir veya olmayabilir.

Microsoft Entra Id'de kullanıcı asıl adı

Microsoft Entra Bağlan sihirbazı userPrincipalName özniteliğini kullanır veya şirket içinden microsoft Entra ID'de kullanıcı asıl adı olarak kullanılacak özniteliğini (özel yüklemede) belirtmenize olanak tanır. Bu, Microsoft Entra Id'de oturum açmak için kullanılan değerdir. userPrincipalName özniteliğinin değeri Microsoft Entra Id'deki doğrulanmış bir etki alanına karşılık gelmiyorsa, Microsoft Entra Id bunu varsayılan .onmicrosoft.com değeriyle değiştirir.

Microsoft Entra ID'deki her dizin, Azure veya diğer Microsoft hizmetleri kullanmaya başlamanıza olanak tanıyan contoso.onmicrosoft.com biçiminde yerleşik bir etki alanı adıyla birlikte gelir. Özel etki alanlarını kullanarak oturum açma deneyimini geliştirebilir ve basitleştirebilirsiniz. Microsoft Entra Id'deki özel etki alanı adları ve bir etki alanını doğrulama hakkında bilgi için bkz . Microsoft Entra Id'ye özel etki alanı adınızı ekleme.

Microsoft Entra oturum açma yapılandırması

Microsoft Entra Bağlan ile Microsoft Entra oturum açma yapılandırması

Microsoft Entra oturum açma deneyimi, Microsoft Entra Kimliğinin Microsoft Entra dizininde doğrulanan özel etki alanlarından biriyle eşitlenen bir kullanıcının kullanıcı asıl adı soneki ile eşleşip eşleşmediğine bağlıdır. Microsoft Entra Bağlan, bulutta kullanıcı oturum açma deneyiminin şirket içi deneyime benzer olması için Microsoft Entra oturum açma ayarlarını yapılandırırken yardım sağlar.

Microsoft Entra Bağlan, etki alanları için tanımlanan UPN soneklerini listeler ve bunları Microsoft Entra ID'deki özel bir etki alanıyla eşleştirmeye çalışır. Ardından yapılması gereken uygun eylemde size yardımcı olur. Microsoft Entra oturum açma sayfası, şirket içi Active Directory için tanımlanan UPN soneklerini listeler ve her sonek için ilgili durumu görüntüler. Durum değerleri aşağıdakilerden biri olabilir:

Durum Açıklama Eylem gerekiyor
Doğrulandı Microsoft Entra Bağlan Microsoft Entra Id'de eşleşen doğrulanmış bir etki alanı buldu. Bu etki alanı için tüm kullanıcılar şirket içi kimlik bilgilerini kullanarak oturum açabilir. Eylem gerekmiyor.
Doğrulanmadı Microsoft Entra Bağlan Microsoft Entra Id içinde eşleşen bir özel etki alanı buldu, ancak doğrulanmadı. Bu etki alanı kullanıcılarının UPN soneki, etki alanı doğrulanmamışsa eşitlemeden sonra varsayılan .onmicrosoft.com soneki olarak değiştirilir. Microsoft Entra Id'de özel etki alanını doğrulayın.
Eklenmedi Microsoft Entra Bağlan, UPN sonekine karşılık gelen özel bir etki alanı bulamadı. Bu etki alanı kullanıcılarının UPN soneki, etki alanı Azure'da eklenip doğrulanmamışsa varsayılan .onmicrosoft.com soneki olarak değiştirilir. UPN sonekine karşılık gelen özel bir etki alanı ekleyin ve doğrulayın.

Microsoft Entra oturum açma sayfasında, şirket içi Active Directory için tanımlanan UPN sonekleri ve Microsoft Entra Id'de geçerli doğrulama durumuyla ilgili özel etki alanı listelenir. Özel bir yüklemede artık Microsoft Entra oturum açma sayfasında kullanıcı asıl adı özniteliğini seçebilirsiniz.

Microsoft Entra sign-in page

Özel etki alanlarının en son durumunu Microsoft Entra Id'den yeniden getirmek için yenile düğmesine tıklayabilirsiniz.

Microsoft Entra ID'de kullanıcı asıl adı özniteliğini seçme

userPrincipalName özniteliği, kullanıcıların Microsoft Entra Id ve Microsoft 365'te oturum açarken kullandıkları özniteliktir. Kullanıcılar eşitlenmeden önce Microsoft Entra Id'de kullanılan etki alanlarını (UPN sonekleri olarak da bilinir) doğrulamanız gerekir.

userPrincipalName varsayılan özniteliğini korumanızı kesinlikle öneririz. Bu öznitelik yönlendirilemezse ve doğrulanamıyorsa, oturum açma kimliğini barındıran öznitelik olarak başka bir öznitelik (örneğin e-posta) seçmek mümkündür. Bu, Alternatif Kimlik olarak bilinir. Alternatif Kimlik öznitelik değeri RFC 822 standardına uygun olmalıdır. Oturum açma çözümü olarak hem parola SSO'sunu hem de federasyon SSO'sunu içeren bir Alternatif Kimlik kullanabilirsiniz.

Dekont

Alternatif kimlik kullanmak tüm Microsoft 365 iş yükleriyle uyumlu değildir. Daha fazla bilgi için bkz. Alternatif Oturum Açma Kimliğini Yapılandırma.

Farklı özel etki alanı durumları ve bunların Azure oturum açma deneyimi üzerindeki etkisi

Microsoft Entra dizininizdeki özel etki alanı durumları ile şirket içinde tanımlanan UPN sonekleri arasındaki ilişkiyi anlamak çok önemlidir. Microsoft Entra Bağlan kullanarak eşitlemeyi ayarlarken olası farklı Azure oturum açma deneyimlerini inceleyelim.

Aşağıdaki bilgiler için UPN'nin bir parçası olarak şirket içi dizininde kullanılan UPN soneki contoso.com ilgilendiğimizi varsayalım. Örneğin user@contoso.com.

Hızlı ayarlar/Parola karması eşitleme
State Kullanıcı Azure oturum açma deneyimi üzerindeki etkisi
Eklenmedi Bu durumda, Microsoft Entra dizinine contoso.com için özel bir etki alanı eklenmemiştir. Son ekiyle @contoso.com şirket içinde UPN kullanan kullanıcılar, Şirket içi UPN'lerini kullanarak Azure'da oturum açamaz. Bunun yerine, varsayılan Microsoft Entra dizininin son ekini ekleyerek Microsoft Entra Id tarafından kendilerine sağlanan yeni bir UPN'yi kullanmaları gerekir. Örneğin, kullanıcıları Microsoft Entra dizin azurecontoso.onmicrosoft.com eşitlerseniz, şirket içi kullanıcıya user@contoso.com bir UPN user@azurecontoso.onmicrosoft.comverilir.
Doğrulanmadı Bu durumda, Microsoft Entra dizinine eklenen özel bir etki alanı contoso.com vardır. Ancak henüz doğrulanmamıştır. Etki alanını doğrulamadan kullanıcıları eşitlemeye devam ederseniz, "Eklenmedi" senaryosunda olduğu gibi kullanıcılara Microsoft Entra Id tarafından yeni bir UPN atanır.
Doğrulandı Bu durumda, UPN soneki için Microsoft Entra Id'ye eklenmiş ve doğrulanmış özel bir etki alanı contoso.com var. Kullanıcılar, Microsoft Entra Id ile eşitlendikten sonra Azure'da oturum açmak için user@contoso.comşirket içi kullanıcı asıl adlarını kullanabilir.
AD FS federasyonu

Microsoft Entra Kimliği'nde varsayılan .onmicrosoft.com etki alanıyla veya Microsoft Entra Id'de bir onaylanmamış özel etki alanıyla federasyon oluşturamazsınız. Microsoft Entra Bağlan sihirbazını çalıştırırken, federasyon oluşturmak için uygun olmayan bir etki alanı seçerseniz, Microsoft Entra Bağlan etki alanı için DNS'nizin barındırıldığı yerde oluşturulacak gerekli kayıtları girmenizi ister. Daha fazla bilgi için bkz . Federasyon için seçilen Microsoft Entra etki alanını doğrulama.

AD FS ile Federasyon kullanıcı oturum açma seçeneğini belirlediyseniz, Microsoft Entra Id'de federasyon oluşturmaya devam etmek için özel bir etki alanınız olmalıdır. Bu, tartışmamız için Microsoft Entra dizinine özel bir etki alanı contoso.com eklenmesi gerektiği anlamına gelir.

State Kullanıcı Azure oturum açma deneyimi üzerindeki etkisi
Eklenmedi Bu durumda, Microsoft Entra Bağlan Microsoft Entra dizininde UPN soneki contoso.com için eşleşen bir özel etki alanı bulamadı. Kullanıcıların AD FS'yi şirket içi UPN'leriyle (örneğin user@contoso.com) kullanarak oturum açmasına ihtiyacınız varsa özel bir etki alanı contoso.com eklemeniz gerekir.
Doğrulanmadı Bu durumda, Microsoft Entra Bağlan daha sonraki bir aşamada etki alanınızı nasıl doğrulayabileceğiniz hakkında size uygun ayrıntıları sorar.
Doğrulandı Bu durumda, başka bir işlem yapmadan yapılandırmaya devam edebilirsiniz.

Kullanıcı oturum açma yöntemini değiştirme

Kullanıcı oturum açma yöntemini federasyondan, parola karması eşitlemesinden veya geçiş kimlik doğrulamasından, Microsoft Entra Bağlan'da sihirbazla Bağlan ilk yapılandırmasından sonra sağlanan görevleri kullanarak değiştirebilirsiniz. Microsoft Entra Bağlan sihirbazını yeniden çalıştırdığınızda gerçekleştirebileceğiniz görevlerin listesini görürsünüz. Görev listesinden Kullanıcı oturum açma bilgilerini değiştir'i seçin.

Change user sign-in

Sonraki sayfada, Microsoft Entra Id için kimlik bilgilerini sağlamanız istenir.

Screenshot that shows where you should type the credentials for Microsoft Entra ID.

Kullanıcı oturum açma sayfasında, istediğiniz kullanıcı oturum açmasını seçin.

Connect to Microsoft Entra ID

Dekont

Parola karması eşitlemesine geçici bir geçiş yapıyorsanız Kullanıcı hesaplarını dönüştürme onay kutusunu seçin. Seçeneğin işaretlenmemesi, her kullanıcıyı federasyona dönüştürür ve birkaç saat sürebilir.

Sonraki adımlar