Azure AD Connect Kurulumu ve Yapılandırılması

yazar

Merhaba, daha önceki makalelerimizde Kullanıcılarımıza ait UPN değiştirme,IdFix aracından bahsetmiştik.

Makale İçeriği gizle
1 Azure AD Connect (Entra ID Connect) Nedir?
2 Azure AD Connect Kurulumu Bilgilendirmeleri
3 Microsoft Azure AD Connect Kurulumu ve Yapılandırılması
4 Azure AD Connect Senkronizasyon Kontrolü
5 Azure AD Connect Powershell ile Senkronizasyon

Azure AD Connect (Entra ID Connect) Nedir?

Azure AD Connect, yerel kullanıcı altyapılarını Microsoft Azure AD ile eşitlemek için kullanılan bir araçtır. Bu araç, önceki araçlar olan DirSync ve AAD Sync’in yerini almıştır ve Microsoft artık bu araçlar için ayrı ayrı güncellemeler yayınlamamaktadır; tüm geliştirmeler Azure AD Connect üzerinden sağlanmaktadır. Azure AD Connect, eşitleme işlemleri ve oturum açma yöntemleri için gereken tüm koşulları ve bileşenleri otomatik olarak dağıtır.

Azure AD Connect Kurulumu Bilgilendirmeleri

  • Azure AD Connect’in ayrı bir sunucuda yüklenmesi önerilir. Domain Controller üzerine kurulum yapılması önerilmez ve Windows Server Core sürümleri desteklenmemektedir.
  • Azure AD Connect yüklenecek olan sunucu, Windows Server 2012 veya daha yeni bir işletim sistemine sahip olmalıdır. Sunucuda .NET Framework 4.5 ve PowerShell 3.0 veya üzeri yüklü olmalıdır.
  • Azure AD Connect sunucusunda, PowerShell Transcription ile ilgili Group Policy özelliği etkinleştirilmemelidir.
  • Azure AD Connect ile Federasyon Hizmetlerinin (ADFS) kullanılması gerektiğinde, ADFS ve Web Application Proxy (WAP) sunucuları Windows Server 2012 R2 veya daha yeni sürümler üzerinde çalışmalıdır. Ayrıca, Windows Remote Management (WinRM) etkinleştirilmelidir. ADFS kurulumu için geçerli bir SSL sertifikası gerekmekte ve ADFS için kullanılacak ismin çözümlenebilir olması şarttır.

Microsoft Azure AD Connect Kurulumu ve Yapılandırılması

Azure AD Connect, On-Premises Active Directory ortamınızı Microsoft Azure AD ile eşitlemek için kullanılır. Eşitleme süreci başlatmadan önce, Azure Active Directory portalından Azure AD Connect’i indirebilirsiniz. Sol menüde yer alan “Azure AD Connect (Entra ID Connect)” seçeneğini kullanarak veya sağladığım bağlantıdan doğrudan indirebilirsiniz:

  • İndirilen uygulamayı çalıştırın. “Welcome to Azure AD Connect” ekranı sizi karşılayacak, burada lisans sözleşmesini kabul edin ve ‘Continue‘ butonu ile devam edin.
  • Express Settings” ekranında, hızlı kurulum için ‘Express Settings‘ seçeneği veya daha detaylı bir yapılandırma için ‘Customize‘ seçeneğini tercih edebilirsiniz. Hybrid bir yapı kurmayı planlıyorsanız, ‘Customize‘ seçeneği ile devam edin.
  • Install required components‘ ekranında aşağıdaki seçenekler sunulur:
    • Specify a custom installation location: Kurulum dizinini değiştirmenize olanak tanır.
    • Use an existing SQL Server: Mevcut bir SQL Server üzerinde yeni bir instance oluşturabilir ve bu sunucuyu veritabanı olarak kullanabilirsiniz.
    • Use an existing service account: Azure AD Connect servisi için özel bir kullanıcı hesabı kullanabilirsiniz.
    • Specify custom sync groups: Özel senkronizasyon gruplarını tanımlayabilirsiniz. Bu, varsayılan dört grup yerine kullanıcı tarafından belirlenen grupları kullanmanızı sağlar.
    • Import Synchronization Setting: Eski yapılandırmanız için bir dışa aktarma dosyanız varsa, bu seçenek ile içe aktarabilirsiniz.
  • Install butonu ile kurulumu başlatabilirsiniz.
  • User Sign-in‘ ekranında, kullanıcıların oturum açma işlemleri için çeşitli seçenekler sunulur:
    • Password Hash Synchronization: Bu yöntem, yerel Active Directory’deki kullanıcıların şifrelerinin hash değerlerinin Office 365 ve Azure ortamlarına senkronize edilmesini sağlar. Bu sayede kullanıcılar, yerel AD’deki şifreleriyle doğrudan Office 365 ve Azure hizmetlerine oturum açabilirler.
    • Pass-through Authentication ve Seamless Single Sign-On: Bu yöntem, yerel AD’deki kullanıcıların, Azure Active Directory’ye şifreleri senkronize edilmeden, Office 365 servislerinde kendi lokal şifre bilgileriyle oturum açmalarına imkan tanır. Kullanıcıların parolaları, yerel AD denetleyicileri tarafından doğrulanır ve Seamless Single Sign-On (SSO) seçeneği aktif edildiğinde, ADFS mimarisine gerek kalmadan doğrudan oturum açmaları mümkündür.
    • Federation with AD FS veya PingFederate: Bu yöntem, kullanıcıların Active Directory Federasyon Hizmetleri (AD FS) kullanarak, yerel Active Directory üzerinde kullandıkları parolalarla Office 365’e oturum açmalarını sağlar. Oturum açma işlemi, kuruluşunuzdaki AD FS sunucuları üzerinden gerçekleştirilir.
    • Federation with PingFederate: Bu yöntem, kullanıcıların yerel ortamlarında kullandıkları kimlik bilgileriyle Office 365 ve Azure servislerine oturum açmalarını sağlar. Kullanıcılar, oturum açmak için yerel olarak kurulu PingFederate örneklerine yönlendirilir ve kimlik doğrulama işlemi bu sistem üzerinden gerçekleştirilir.
  • Connect to Azure AD‘ ekranında, Azure AD’ye bağlanmak için global administrator yetkisine sahip bir kullanıcı bilgisi girilir.
  • “Connect your directories” adlı yapılandırma ekranında, Active Directory için gereken yetkili kullanıcı bilgilerini girerek seçilen forest ile bağlantı kurulur. Kullanıcı bilgisi girmek için iki seçeneğiniz var:
  • Create new AD account” butonunu kullanarak yeni bir Enterprise Admin kullanıcısı oluşturabilirsiniz. Bu, özellikle kurulum sırasında önerilen bir yöntemdir çünkü güvenlik ve yönetim kolaylığı sağlar.
  • Use existing AD Account” seçeneği ile daha önceden var olan bir kullanıcı hesabını kullanabilirsiniz. Bu seçenek, mevcut kullanıcıları ve izin yapılarını korumanıza olanak tanır.

Bağlantı kurulduktan sonra, eğer kendi domain adınızı önceden Azure AD’de doğruladıysanız “Verified” olarak işaretlenecektir. Eğer yeni bir domain kullanacaksanız, bu domainin Azure AD tarafında da doğrulanması gerekecektir.

Benim UPN olarak eklediğim domain, O365 tarafında ekli ve doğrulanmış olduğu için “Verified” olarak geldi. Eğer “cozumpark.com.tr” olarak devam etseydim bu domaini O365 tarafına eklememiz gerekecekti. Hybrid bir yapı için yapılması gerekenleri tekrar sıralamak gerekirse sıralama şu şekilde;

UPN Değişikliği
IdFix Aracı ile Test işlemi
Outlook Conenctivity ve Outlook Autodiscover servislerinin test işlemi
O365 tarafında Domain ekleme ve doğrulama işlemi
Azure AD Connect Kurulumu ve Yapılandırması
Biz AD Connect kurulumundan önce UPN Değişikliği ve IdFix aracını kurulumu yapmıştık.
  • Azure AD sign-in configuration bölümünde Azure AD Connect, Local Active Directory’de bulunan tüm User Principal Names (UPN’ler) listeler. Bu sayfada userPrincipalName özniteliği ile kullanıcıların Azure AD ve Office 365 servislerinde oturum açarken kullandıkları kimlikler görüntülenir. Önemli bir not: Yönlendirilemeyen UPN’ler (örneğin .local gibi) Office 365 tarafında “onmicrosoft.com” olarak kaydedilir.
  • Domain and OU filtering bölümünde, Organizational Units (OU) ve etki alanları Azure AD Connect tarafından eşitlenmeye hazır hale getirilir. Ancak, “Sync selected domains and OUs” seçeneği ile yalnızca belirli OU’ları ve etki alanlarını seçebilirsiniz. Bu yapılandırmayı istediğiniz zaman değiştirebilirsiniz.
  • Uniquely identifying your users bölümünde,AD DS forestinde kullanıcıların Azure AD’de nasıl görüneceğini belirleyeceğiz. Her kullanıcı, ormanda yalnızca bir kez temsil edilebilir veya etkin ve devre dışı hesapların bir kombinasyonunu içerebilir. Ben, varsayılan ayarlarla devam ediyorum.
  • Filter users and devices” penceresinde, belirli nesnelerin eşitlenmesine izin verebilirsiniz. Grup tabanlı bir eşitleme imkanı sağlar; on-premises Active Directory’de bir grup oluşturup bu gruba Azure AD ile eşitlenecek kullanıcı ve grupları ekleyebilirsiniz. İç içe geçmiş grup üyelerini ekleyemezsiniz.
  • Optional Features bölümünde Azure AD Connect, çeşitli senaryolara uygun olarak çeşitli opsiyonel özellikler sunar:
  • Exchange Hybrid Deployment: Eşzamanlı olarak aktif olan on-premises Exchange sunucusu ile Office 365 arasında geçiş senaryolarında kullanılır.
  • Exchange Mail Public Folders: Public folder objelerinin on-premises AD’den Azure AD’ye senkronizasyonunu sağlar.
  • Azure AD App and Attribute Filtering: Özellik filtrelemesini aktifleştirir.
  • Password Hash Synchronization: Kullanıcıların parola bilgilerini Azure AD’ye senkronize eder, senaryoya göre değişiklik gösterebilir.
  • Password WriteBack: Azure AD üzerinde yapılan parola değişikliklerinin yerel AD’ye geri yazılmasını sağlar.
  • Group Writeback: Eğer Office 365 Grupları kullanılıyorsa, ilgili grupları yerel AD’de de aktifleştirir.
  • Device Writeback: Azure AD’de kayıtlı cihazların yerel AD’ye geri yazılmasını sağlar.
  • Directory Extension Attribute Sync: Belirli özelliklerin Azure AD’ye senkronizasyonunu sağlar.

Seçtiğimiz “Exchange Hybrid Deployment” ile ilerliyoruz ve ‘Next‘ butonuna tıkladığınızda, araç gerekli bileşenleri hazırlamaya başlar. “Start the synchronization process when configuration completes” seçeneğini işaretlerseniz, kurulum tamamlandığında senkronizasyon işlemi otomatik olarak başlar.

Enable staging mode: When selected, synchronization will not export any data to AD or Azure AD için aşağıdaki makaleyi inceleyebilirsiniz.

Tüm ayarlar yapıldıktan sonra, ‘Install‘ butonu ile kurulum ve yapılandırma işlemleri başlatılır. Kurulum tamamlandığında, Azure AD Connect’in başarıyla kurulduğuna dair bilgiler sunulur ve eşitleme işlemi başlatılır.

Azure AD Connect Senkronizasyon Kontrolü

Kurulum ve yapılandırma işlemleri tamamlandıktan sonra, Synchronization Service Manager uygulamasını açabiliriz. Bu uygulama, kurulum dizininiz içerisindeki miisclient isimli dosya aracılığıyla erişilebilir.

  • Kurulumun ardından, on-premises Active Directory (AD) ve Azure AD arasında gerekli bağlayıcılar (connectors) oluşturulmuştur ve senkronizasyon işlemi başarıyla tamamlanmıştır.
  • Şimdi, Azure Active Directory konsolunu açarak en son senkronizasyon bilgilerini gözden geçirebiliriz. Azure AD konsolunda, senkronizasyon işleminin aktif olup olmadığını kontrol edebiliriz.
  • Azure Active Directory konsolunda kullanıcılar bölümüne giderek, senkronize edilmiş kullanıcıları inceleyebiliriz. Bu bölümde, on-premises AD’de bulunan kullanıcıların, Azure AD üzerinde nasıl göründüğünü gözlemleyebiliriz. 
Azure AD Connect uygulaması ile nesneler sync işlemi 30 dakikada bir gerçekleşmektedir.

İsterseniz Sync işlemini Powershell ile manuel tetikleyebilirsiniz yada kurulum öncesi “Start the synchronization process when configuration completes” seçeneği seçmeseydik Sync işlemini manuel tetiklemek zorunda kalacaktık.

Azure AD Connect Powershell ile Senkronizasyon

Azure Active Directory senkronizasyon işlemlerini yönetmek için öncelikle ADSync modülünü sistemimize dahil etmemiz gerekmektedir:

Import-Module ADSync
  • Senkronizasyon sürecimizin mevcut yapılandırmasını ve zamanlamasını kontrol etmek için aşağıdaki PowerShell komutunu kullanabiliriz. Bu komut, senkronizasyon süresi ve bir sonraki senkronizasyonun başlama zamanını görüntüler:
Get-ADSyncScheduler
  • Eğer tam bir senkronizasyon işlemi başlatmak istiyorsak, yani tüm objelerin Azure AD ile ilk defa veya yeniden senkronize edilmesini sağlamak istiyorsak, aşağıdaki komutu kullanabiliriz:
Start-ADSyncSyncCycle -PolicyType Initial
  • Delta senkronizasyon işlemi, sadece değişiklik yapılan veya yeni eklenen objeleri senkronize eder. Bu, verimliliği artırır ve gereksiz veri transferini önler. Delta senkronizasyon işlemini başlatmak için aşağıdaki komutu kullanabiliriz:
Start-ADSyncSyncCycle -PolicyType Delta

Bir sonraki makalemizde, Hybrid Wizard kurulumunu ele alacağız.

Yorum yapın

© 2024 Cengiz YILMAZ • Microsoft MVP
DMCA.com Protection Status
Privacy Policy Terms Contact