Microsoft Azure'da Microsoft 365 Dizin Eşitleme'yi dağıtma

  • Makale

Microsoft Entra Connect (eski adıyla Dizin Eşitleme aracı, Dizin Eşitleme aracı veya DirSync.exe aracı), şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) kullanıcılarınızı eşitlemek için etki alanına katılmış bir sunucuya yüklediğiniz bir uygulamadır Microsoft 365 aboneliğinizin Microsoft Entra kiracısı. Microsoft 365, dizin hizmeti için Microsoft Entra ID kullanır. Microsoft 365 aboneliğiniz bir Microsoft Entra kiracı içerir. Bu kiracı, Azure'daki diğer SaaS uygulamaları ve uygulamaları dahil olmak üzere kuruluşunuzun kimliklerinin diğer bulut iş yükleriyle yönetilmesi için de kullanılabilir.

Microsoft Entra Connect'i şirket içi bir sunucuya yükleyebilirsiniz, ancak aşağıdaki nedenlerle Azure'daki bir sanal makineye de yükleyebilirsiniz:

  • Bulut tabanlı sunucuları daha hızlı sağlayabilir ve yapılandırarak hizmetleri kullanıcılarınızın daha erken kullanımına sunabilirsiniz.
  • Azure daha az çabayla daha iyi site kullanılabilirliği sunar.
  • Kuruluşunuzdaki şirket içi sunucu sayısını azaltabilirsiniz.

Bu çözüm, şirket içi ağınızla Azure sanal ağınız arasında bağlantı gerektirir. Daha fazla bilgi için bkz. Şirket içi ağı Microsoft Azure sanal ağına bağlama.

Not

Bu makalede, tek bir ormandaki tek bir etki alanının eşitlenmesi açıklanmaktadır. Microsoft Entra Connect, Active Directory ormanınızdaki tüm AD DS etki alanlarını Microsoft 365 ile eşitler. Microsoft 365 ile eşitlenecek birden çok Active Directory ormanınız varsa, bkz . Tek Sign-On Senaryosu ile Çok Ormanlı Dizin Eşitleme.

Azure'da Microsoft 365 dizin eşitlemesini dağıtmaya genel bakış

Aşağıdaki diyagramda, şirket içi AD DS ormanını Microsoft 365 aboneliğiyle eşitleyen Azure'daki bir sanal makinede (dizin eşitleme sunucusu) çalışan connect Microsoft Entra gösterilmektedir.

Microsoft Entra Azure'daki bir sanal makinede şirket içi hesapları microsoft 365 aboneliğinin Microsoft Entra kiracısıyla eşitleyerek trafik akışıyla bağlanma aracı.

Diyagramda, siteden siteye VPN veya ExpressRoute bağlantısıyla bağlanan iki ağ vardır. AD DS etki alanı denetleyicilerinin bulunduğu bir şirket içi ağ ve dizin eşitleme sunucusuna sahip bir Azure sanal ağı vardır ve bu ağ Microsoft Entra Connect çalıştıran bir sanal makinedir. Dizin eşitleme sunucusundan kaynaklanan iki ana trafik akışı vardır:

  • Microsoft Entra Connect, hesaplarda ve parolalarda yapılan değişiklikler için şirket içi ağdaki bir etki alanı denetleyicisini sorgular.
  • Microsoft Entra Connect, hesaplarda ve parolalarda yapılan değişiklikleri Microsoft 365 aboneliğinizin Microsoft Entra örneğine gönderir. Dizin eşitleme sunucusu şirket içi ağınızın genişletilmiş bir bölümünde olduğundan, bu değişiklikler şirket içi ağın proxy sunucusu üzerinden gönderilir.

Not

Bu çözüm, tek bir Active Directory ormanında tek bir Active Directory etki alanının eşitlenmesini açıklar. Microsoft Entra Connect, Active Directory ormanınızdaki tüm Active Directory etki alanlarını Microsoft 365 ile eşitler. Microsoft 365 ile eşitlenecek birden çok Active Directory ormanınız varsa, bkz . Tek Sign-On Senaryosu ile Çok Ormanlı Dizin Eşitleme.

Bu çözümü dağıtırken iki önemli adım vardır:

  1. Bir Azure sanal ağı oluşturun ve şirket içi ağınıza siteden siteye VPN bağlantısı kurun. Daha fazla bilgi için bkz. Şirket içi ağı Microsoft Azure sanal ağına bağlama.

  2. Microsoft Entra Connect'i Azure'da etki alanına katılmış bir sanal makineye yükleyin ve ardından şirket içi AD DS'yi Microsoft 365 ile eşitleyin. Bu şunları içerir:

    • Microsoft Entra Connect'i çalıştırmak için bir Azure Sanal Makinesi oluşturma.

    • Microsoft Entra Connect'i yükleme ve yapılandırma.

    Microsoft Entra Connect'i yapılandırmak için bir Microsoft Entra yönetici hesabının kimlik bilgileri (kullanıcı adı ve parolası) ve bir AD DS kurumsal yönetici hesabı gerekir. Microsoft Entra Connect, şirket içi AD DS ormanını Microsoft 365 ile eşitlemek için hemen ve sürekli olarak çalışır.

Bu çözümü üretim ortamında dağıtmadan önce, bu yapılandırmayı kavram kanıtı olarak, tanıtımlar veya denemeler için ayarlamak üzere Simülasyon kurumsal temel yapılandırması'ndaki yönergeleri kullanabilirsiniz.

Önemli

Microsoft Entra Connect yapılandırması tamamlandığında AD DS kurumsal yönetici hesabı kimlik bilgilerini kaydetmez.

Not

Bu çözüm, tek bir AD DS ormanının Microsoft 365 ile eşitlenmesini açıklar. Bu makalede ele alınan topoloji, bu çözümü uygulamanın tek bir yolunu temsil eder. Kuruluşunuzun topolojisi, benzersiz ağ gereksinimlerinize ve güvenlik konularınıza göre farklılık gösterebilir.

Azure'da Microsoft 365 için dizin eşitleme sunucusu barındırmayı planlama

Önkoşullar

Başlamadan önce bu çözüm için aşağıdaki önkoşulları gözden geçirin:

  • Azure sanal ağınızı planlama bölümünde ilgili planlama içeriğini gözden geçirin.

  • Azure sanal ağını yapılandırmaya yönelik tüm Önkoşulları karşıladığınızdan emin olun.

  • Active Directory tümleştirme özelliğini içeren bir Microsoft 365 aboneliğiniz olmalıdır. Microsoft 365 abonelikleri hakkında bilgi için Microsoft 365 abonelik sayfasına gidin.

  • Şirket içi AD DS ormanınızı Microsoft 365 ile eşitlemek için Connect Microsoft Entra çalıştıran bir Azure Sanal Makinesi sağlayın.

    Ad DS kuruluş yöneticisi hesabının kimlik bilgilerine (adlar ve parolalar) ve Microsoft Entra Yönetici hesabına sahip olmanız gerekir.

Çözüm mimarisi tasarım varsayımları

Aşağıdaki listede bu çözüm için yapılan tasarım seçimleri açıklanmaktadır.

  • Bu çözüm, siteden siteye VPN bağlantısına sahip tek bir Azure sanal ağı kullanır. Azure sanal ağı, connect Microsoft Entra çalıştıran dizin eşitleme sunucusu olan tek bir sunucuya sahip tek bir alt ağı barındırıyor.

  • Şirket içi ağda bir etki alanı denetleyicisi ve DNS sunucuları vardır.

  • Microsoft Entra Connect, çoklu oturum açma yerine parola karması eşitlemesi gerçekleştirir. Active Directory Federasyon Hizmetleri (AD FS) (AD FS) altyapısı dağıtmanız gerekmez. Parola karması eşitleme ve çoklu oturum açma seçenekleri hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme.

Bu çözümü ortamınıza dağıtırken göz önünde bulundurmanız gereken başka tasarım seçenekleri de vardır. Bunlar şunları içerir:

  • Mevcut bir Azure sanal ağında mevcut DNS sunucuları varsa, dizin eşitleme sunucunuzun bunları şirket içi ağdaki DNS sunucuları yerine ad çözümlemesi için kullanmasını isteyip istemediğinizi belirleyin.

  • Mevcut bir Azure sanal ağında etki alanı denetleyicileri varsa, Active Directory Sitelerini ve Hizmetlerini yapılandırmanın sizin için daha iyi bir seçenek olup olmadığını belirleyin. Dizin eşitleme sunucusu, şirket içi ağdaki etki alanı denetleyicileri yerine Azure sanal ağındaki etki alanı denetleyicilerini hesaplardaki ve parolalardaki değişiklikleri sorgulayabilir.

Dağıtım yol haritası

Azure'da bir sanal makinede Microsoft Entra Connect dağıtımı üç aşamadan oluşur:

  • 1. Aşama: Azure sanal ağını oluşturma ve yapılandırma

  • 2. Aşama: Azure sanal makinesini oluşturma ve yapılandırma

  • 3. Aşama: Microsoft Entra Connect'i yükleme ve yapılandırma

Dağıtımdan sonra, Microsoft 365'teki yeni kullanıcı hesapları için konumlar ve lisanslar atamanız gerekir.

1. Aşama: Azure sanal ağını oluşturma ve yapılandırma

Azure sanal ağını oluşturmak ve yapılandırmak için 1. Aşama: Şirket içi ağınızı hazırlama ve 2. Aşama: Şirket içi ağı Microsoft Azure sanal ağına bağlama dağıtım yol haritasında Azure'da şirket içi sanal ağınızı oluşturma işlemini tamamlayın.

Bu, sonuçta elde edilen yapılandırmanızdır.

Azure'da barındırılan Microsoft 365 için dizin eşitleme sunucusunun 1. aşaması.

Bu şekilde, siteden siteye VPN veya ExpressRoute bağlantısı üzerinden Azure sanal ağına bağlı bir şirket içi ağ gösterilmektedir.

2. Aşama: Azure sanal makinesini oluşturma ve yapılandırma

Azure portal ilk Windows sanal makinenizi oluşturma yönergelerini kullanarak Azure'da sanal makineyi oluşturun. Aşağıdaki ayarları kullanın:

  1. Temel Bilgiler bölmesinde sanal ağınızla aynı aboneliği, konumu ve kaynak grubunu seçin. Kullanıcı adını ve parolayı güvenli bir konuma kaydedin. Sanal makineye bağlanmak için bunlara daha sonra ihtiyacınız olacaktır.

  2. Boyut seçin bölmesinde A2 Standart boyutunu seçin.

  3. Ayarlar bölmesindeki Depolama bölümünde Standart depolama türünü seçin. bölümünde, sanal ağınızın adını ve dizin eşitleme sunucusunu barındırmak için alt ağı seçin (GatewaySubnet'i değil). Diğer tüm ayarları varsayılan değerlerinde bırakın.

Ip adresiyle sanal makine için bir Adres (A) kaydı eklendiğinden emin olmak için iç DNS'nizi denetleyerek dizin eşitleme sunucunuzun DNS'yi doğru kullandığını doğrulayın.

Uzak Masaüstü Bağlantısı ile dizin eşitleme sunucusuna bağlanmak için Sanal makineye bağlanma ve oturum açma başlığındaki yönergeleri kullanın. Oturum açtıktan sonra sanal makineyi şirket içi AD DS etki alanına ekleyin.

Microsoft Entra Connect'in İnternet kaynaklarına erişim elde etmesi için, dizin eşitleme sunucusunu şirket içi ağın proxy sunucusunu kullanacak şekilde yapılandırmanız gerekir. Gerçekleştirilecek ek yapılandırma adımları için ağ yöneticinize başvurmanız gerekir.

Bu, sonuçta elde edilen yapılandırmanızdır.

Azure'da barındırılan Microsoft 365 için dizin eşitleme sunucusunun 2. aşaması.

Bu şekilde, şirket içi Azure sanal ağındaki dizin eşitleme sunucusu sanal makinesi gösterilmektedir.

3. Aşama: Microsoft Entra Connect'i yükleme ve yapılandırma

Aşağıdaki yordamı tamamlayın:

  1. Yerel yönetici ayrıcalıklarına sahip bir AD DS etki alanı hesabıyla Uzak Masaüstü Bağlantısı kullanarak dizin eşitleme sunucusuna bağlanın. Bkz . Sanal makineye bağlanma ve oturum açma.

  2. Dizin eşitleme sunucusundan Microsoft 365 için dizin eşitlemesini ayarlama makalesini açın ve parola karması eşitlemesi ile dizin eşitleme yönergelerini izleyin.

Dikkat

Kurulum , yerel kullanıcılar kuruluş biriminde (OU) AAD_xxxxxxxxxxxx hesabı oluşturur. Bu hesabı taşımayın veya kaldırmayın; eşitleme başarısız olur.

Bu, sonuçta elde edilen yapılandırmanızdır.

Azure'da barındırılan Microsoft 365 için dizin eşitleme sunucusunun 3. aşaması.

Bu şekilde, şirket içi Azure sanal ağında Microsoft Entra Connect ile dizin eşitleme sunucusu gösterilmektedir.

Microsoft 365'te kullanıcılara konum ve lisans atama

Microsoft Entra Connect, şirket içi AD DS'den Microsoft 365 aboneliğinize hesaplar ekler, ancak kullanıcıların Microsoft 365'te oturum açabilmesi ve hizmetlerini kullanabilmesi için hesapların bir konum ve lisansla yapılandırılması gerekir. Konumu eklemek ve uygun kullanıcı hesapları için lisansları etkinleştirmek için şu adımları kullanın:

  1. Microsoft 365 yönetim merkezi oturum açın ve Yönetici'e tıklayın.

  2. Sol gezinti bölmesinde Kullanıcılar>Etkin kullanıcılar'a tıklayın.

  3. Kullanıcı hesapları listesinde, etkinleştirmek istediğiniz kullanıcının yanındaki onay kutusunu seçin.

  4. Kullanıcının sayfasında Ürün lisansları için Düzenle'ye tıklayın.

  5. Ürün lisansları sayfasında, Konum için kullanıcı için bir konum seçin ve ardından kullanıcı için uygun lisansları etkinleştirin.

  6. Tamamlandığında Kaydet'e ve ardından iki kez Kapat'a tıklayın.

  7. Ek kullanıcılar için 3. adıma Geri dön.

Ayrıca bkz.

Microsoft 365 çözüm ve mimari merkezi

Şirket içi ağı Microsoft Azure sanal ağına bağlama

Microsoft Entra Connect'i indirin

Microsoft 365 için dizin eşitlemesini ayarlama