Microsoft Entra Id'yi inceleme

  • 7 dakika

Öğrenciler Active Directory Etki Alanı Hizmetleri (AD DS veya geleneksel olarak yalnızca "Active Directory" olarak adlandırılır) hakkında bilgi sahibi olmalıdır. AD DS, kullanıcı hesapları ve parolalar gibi dizin verilerini depolama yöntemlerini sağlayan ve bu verileri ağ kullanıcıları, yöneticiler ve diğer cihazlar ve hizmetler için kullanılabilir hale getiren bir dizin hizmetidir. Windows Server'da etki alanı denetleyicisi olarak adlandırılan bir hizmet olarak çalışır.

Microsoft Entra Id, hizmet olarak platform (PaaS) teklifinin bir parçasıdır ve bulutta Microsoft tarafından yönetilen bir dizin hizmeti olarak çalışır. Bu, müşterilerin sahip olduğu ve yönettiği temel altyapının bir parçası değildir ve hizmet olarak altyapı teklifi değildir. Bu, uygulama üzerinde daha az denetim sahibi olduğunuz anlamına gelir, ancak aynı zamanda kaynakları dağıtımına veya bakımına ayırmak zorunda olmadığınız anlamına da gelir.

Microsoft Entra Id ile, çok faktörlü kimlik doğrulaması, kimlik koruması ve self servis parola sıfırlama desteği gibi AD DS'de yerel olarak bulunmayan bir dizi özelliğe de erişebilirsiniz.

Microsoft Entra Id'yi kullanarak kuruluşlar ve bireyler için bulut tabanlı kaynaklara daha güvenli erişim sağlamak için aşağıdaki işlemleri yapabilirsiniz:

  • Uygulamalara erişimi yapılandırma
  • Bulut tabanlı SaaS uygulamalarında çoklu oturum açmayı (SSO) yapılandırma
  • Kullanıcıları ve grupları yönetme
  • Kullanıcıları sağlama
  • Kuruluşlar arasında federasyonu etkinleştirme
  • Kimlik yönetimi çözümü sağlama
  • Düzensiz oturum açma etkinliğini belirleme
  • Çok faktörlü kimlik doğrulamasını yapılandırma
  • Mevcut şirket içi Active Directory uygulamalarını Microsoft Entra ID'ye genişletme
  • Bulut ve yerel uygulamalar için Uygulama Ara Sunucusu yapılandırma
  • Kullanıcılar ve cihazlar için Koşullu Erişimi yapılandırma

Diagram that shows the Microsoft Entra Connect Stack.

Microsoft Entra ayrı bir Azure hizmeti oluşturur. Herhangi bir yeni Azure aboneliğinin otomatik olarak içerdiği en temel biçimi, ek ücret ödemez ve Ücretsiz katman olarak adlandırılır. Herhangi bir Microsoft Online iş hizmetlerine (örneğin, Microsoft 365 veya Microsoft Intune) aboneyseniz, tüm Ücretsiz özelliklere erişimi olan Microsoft Entra Id'yi otomatik olarak alırsınız.

Dekont

Varsayılan olarak, bir Microsoft hesabı kullanarak yeni bir Azure aboneliği oluşturduğunuzda, abonelik otomatik olarak Default Directory adlı yeni bir Microsoft Entra kiracısı içerir.

Daha gelişmiş kimlik yönetimi özelliklerinden bazıları, Temel ve Premium katmanlar biçiminde sunulan ücretli Microsoft Entra Id sürümlerini gerektirir. Bu özelliklerden bazıları, Microsoft 365 aboneliklerinin bir parçası olarak oluşturulan Microsoft Entra örneklerine de otomatik olarak eklenir. Microsoft Entra sürümleri arasındaki farklar bu modülün ilerleyen bölümlerinde ele alınacaktır.

Microsoft Entra Id'yi uygulamak, Azure'da sanal makineleri dağıtmak, AD DS eklemek ve ardından yeni bir orman ve etki alanı için bazı etki alanı denetleyicileri dağıtmakla aynı değildir. Microsoft Entra ID, daha çok şirket içi uygulamalara odaklanan AD DS'den farklı olarak web tabanlı uygulamalara kimlik yönetimi hizmetleri sağlamaya odaklanan farklı bir hizmettir.

Microsoft Entra kiracıları

AD DS'nin aksine, Microsoft Entra Id tasarım gereği çok kiracılı bir kimliktir ve özel olarak kendi dizin örnekleri arasında yalıtım sağlamak için uygulanır. Haftada milyarlarca kimlik doğrulama isteğiyle bir milyondan fazla dizin hizmeti örneğini barındıran, dünyanın en büyük çok kiracılı dizinidir. Bu bağlamda kiracı terimi genellikle microsoft 365, Intune veya Azure gibi microsoft bulut tabanlı bir hizmete abone olan ve her biri Microsoft Entra Id kullanan bir şirketi veya kuruluşu temsil eder. Ancak, teknik açıdan kiracı terimi tek bir Microsoft Entra örneğini temsil eder. Azure aboneliğinde birden çok Microsoft Entra kiracısı oluşturabilirsiniz. Microsoft Entra işlevselliğini diğer kiracıları etkilemeden bir kiracıda test etmek istiyorsanız, birden çok Microsoft Entra kiracısına sahip olmak kullanışlı olabilir.

Herhangi bir zamanda, bir Azure aboneliğinin bir ve yalnızca bir Microsoft Entra kiracısıyla ilişkilendirilmesi gerekir. Bu ilişkilendirme, Azure aboneliğindeki kaynaklara (RBAC aracılığıyla) ilgili Microsoft Entra kiracısında bulunan kullanıcılara, gruplara ve uygulamalara izin vermenizi sağlar.

Dekont

Aynı Microsoft Entra kiracısını birden çok Azure aboneliğiyle ilişkilendirebilirsiniz. Bu, birden çok Azure aboneliğindeki kaynakları yönetmek için aynı kullanıcıları, grupları ve uygulamaları kullanmanıza olanak tanır.

Her Microsoft Entra kiracısı, benzersiz bir ön ek içeren varsayılan Etki Alanı Adı Sistemi (DNS) etki alanı adı atanır. Azure aboneliği oluşturmak için kullandığınız Microsoft hesabının adından türetilen veya Microsoft Entra kiracısı oluştururken açıkça sağlanan ön ek, ardından onmicrosoft.com soneki gelir. Aynı Microsoft Entra kiracısına en az bir özel etki alanı adı eklemek mümkündür ve yaygın bir durumdur. Bu ad, ilgili şirket veya kuruluşun sahip olduğu DNS etki alanı ad alanını kullanır. Microsoft Entra kiracısı, güvenlik sınırı ve kullanıcılar, gruplar ve uygulamalar gibi Microsoft Entra nesneleri için bir kapsayıcı görevi görür. Tek bir Microsoft Entra kiracısı birden çok Azure aboneliğini destekleyebilir.

Microsoft Entra şeması

Microsoft Entra şeması, AD DS'den daha az nesne türü içerir. En önemlisi, cihaz sınıfını içermesine rağmen bilgisayar sınıfının tanımını içermez. Cihazları Microsoft Entra'ya ekleme işlemi, bilgisayarları AD DS'ye ekleme işleminden önemli ölçüde farklıdır. Microsoft Entra şeması da kolayca genişletilebilir ve uzantıları tamamen geri alınamaz.

Geleneksel bilgisayar etki alanı üyeliği için destek olmaması, Grup İlkesi Nesneleri (GPO' lar) gibi geleneksel yönetim tekniklerini kullanarak bilgisayarları veya kullanıcı ayarlarını yönetmek için Microsoft Entra Id'yi kullanamamanızı sağlar. Bunun yerine, Microsoft Entra Id ve hizmetleri modern yönetim kavramını tanımlar. Microsoft Entra ID'nin birincil gücü, dizin hizmetlerinin sağlanmasındadır; kullanıcı, cihaz ve uygulama verilerini depolama ve yayımlama; ve kullanıcıların, cihazların ve uygulamaların kimlik doğrulamasını ve yetkilendirmesini işleme. Bu özelliklerin etkinliği ve verimliliği, kimlik sağlayıcısı olarak Microsoft Entra Id kullanan ve milyonlarca kullanıcıyı destekleyen Microsoft 365 gibi bulut hizmetlerinin mevcut dağıtımlarına göre belirgindir.

Microsoft Entra Id, kuruluş birimi (OU) sınıfını içermez. Bu, nesnelerini şirket içi AD DS dağıtımlarında sıklıkla kullanılan özel kapsayıcı hiyerarşisinde düzenleyememenizi sağlar. Ancak, AD DS'deki OU'lar öncelikli olarak Grup İlkesi kapsam belirleme ve temsilci seçme için kullanıldığından bu önemli bir eksiklik değildir. Nesneleri grup üyeliklerine göre düzenleyerek eşdeğer düzenlemeleri gerçekleştirebilirsiniz.

Application ve servicePrincipal sınıflarının nesneleri, Microsoft Entra Id'deki uygulamaları temsil eder. Application sınıfındaki bir nesne bir uygulama tanımı içerir ve servicePrincipal sınıfındaki bir nesne, geçerli Microsoft Entra kiracısında örneğini oluşturur. Bu iki özellik kümesini ayırmak, bir kiracıda uygulama tanımlamanıza ve her kiracıda bu uygulama için bir hizmet sorumlusu nesnesi oluşturarak birden çok kiracıda kullanmanıza olanak tanır. İlgili uygulamayı bu Microsoft Entra kiracısında kaydettiğinizde Microsoft Entra Id hizmet sorumlusu nesnesini oluşturur.