Etki Alanı Hizmetleri tarafından yönetilen bir etki alanında nesneleri Azure Active Directory kimlik bilgileri nasıl eşitlenir?
Azure Active Directory Domain Services (Azure AD DS) tarafından yönetilen bir etki alanındaki nesneler ve kimlik bilgileri, etki alanı içinde yerel olarak oluşturulabilir veya Azure Active Directory (Azure AD) kiracısı ile eşitlenir. Azure AD'Azure AD DS ilk kez dağıtıldığında, otomatik bir tek yol eşitleme yapılandırılır ve nesneleri Azure AD'den çoğaltmaya başlandı. Bu tek yol eşitlemesi, Azure AD'den Azure AD DS etki alanını güncel tutmak için arka planda çalışır. Azure AD'ye Azure AD DS eşitleme olmaz.
Karma bir ortamda, şirket içi bir etki alanındaki nesneler ve AD DS, Azure AD etki alanı kullanılarak Azure AD'ye Bağlan. Bu nesneler Azure AD ile başarıyla eşitlendiktan sonra, otomatik arka plan eşitlemesi bu nesneleri ve kimlik bilgilerini yönetilen etki alanını kullanan uygulamalar için kullanılabilir yapar.
AdFS kullanarak AD DS ve Azure AD, federasyon kimlik doğrulaması için yapılandırılmışsa Azure DS'de kullanılabilir (geçerli/geçerli) parola karması yoktur. Fed kimlik doğrulaması uygulanmadan önce oluşturulan Azure AD kullanıcı hesapları eski bir parola karmasına sahip olabilir ancak bu büyük olasılıkla kendi parolalarının karma değeriyle eşleşmez. Bu Azure AD DS kullanıcıların kimlik bilgilerini doğrulayamayabilirsiniz.
Aşağıdaki diyagramda Azure AD DS, Azure AD ve isteğe bağlı bir şirket içi ortam arasında eşitlemenin nasıl AD DS göstermektedir:
Azure AD'den Azure AD DS
Kullanıcı hesapları, grup üyelikleri ve kimlik bilgisi karmaları, Azure AD'den Azure AD'ye Azure AD DS. Bu eşitleme işlemi otomatiktir. Bu eşitleme işlemini yapılandırmaya, izlemeye veya yönetmeye gerek yok. Azure AD dizinindeki nesne sayısına bağlı olarak ilk eşitleme birkaç saat ile birkaç gün arasında sürebilir. İlk eşitleme tamamlandıktan sonra Azure AD'de yapılan parola veya öznitelik değişiklikleri gibi değişiklikler otomatik olarak azure ad Azure AD DS.
Azure AD'de bir kullanıcı oluşturulduğunda, Azure AD'de Azure AD DS değiştirmeden önce bu kullanıcı ile eşitlenmez. Bu parola değiştirme işlemi, Kerberos ve NTLM kimlik doğrulaması için parola karmaları oluşturularak Azure AD'de depolanıyor. Parola karmaları, bir kullanıcının kimliğini başarıyla doğrulamak için Azure AD DS.
Eşitleme işlemi tasarıma göre tek yönlü / tek yönlü bir işlemdir. Azure AD'ye geri dönmek için Azure AD DS eşitleme yoktur. Yönetilen etki alanı, oluşturabilirsiniz özel OUS'lar dışında büyük ölçüde salt okunur bir etki alanıdır. Yönetilen bir etki alanı içindeki kullanıcı öznitelikleri, kullanıcı parolaları veya grup üyelikleri üzerinde değişiklik yapabilirsiniz.
Öznitelik eşitlemesi ve Azure AD DS
Aşağıdaki tabloda bazı yaygın öznitelikler ve bunların veri sunucusuna nasıl Azure AD DS.
| Azure AD DS'de öznitelik | Kaynak | Notlar |
|---|---|---|
| UPN | Azure AD kiracısı içinde kullanıcının UPN özniteliği | Azure AD kiracısı upn özniteliği, azure ad kiracısı için olduğu Azure AD DS. Yönetilen bir etki alanında oturum açmanın en güvenilir yolu UPN kullanmaktır. |
| Samaccountname | Azure AD kiracısı veya otomatik olarak sınanmış kullanıcının mailNickname özniteliği | SAMAccountName özniteliği, Azure AD kiracısı içinde mailNickname özniteliğinden kaynaklandı. Birden çok kullanıcı hesabı aynı mailNickname özniteliğine sahipse, SAMAccountName otomatik olarak yenisi. Kullanıcının mailNickname veya UPN ön eki 20 karakterden uzunsa SAMAccountName, SAMAccountName özniteliklerinde 20 karakter sınırını karşılayacak şekilde otomatik olarak yenisi. |
| Parolalar | Azure AD kiracısı kullanıcı parolası | NTLM veya Kerberos kimlik doğrulaması için gereken eski parola karmaları Azure AD kiracısı ile eşitlenir. Azure AD kiracısı, Azure AD Bağlan kullanılarak karma eşitleme için yapılandırılmışsa, bu parola karmaları şirket içi ortamdan AD DS gelir. |
| Birincil kullanıcı/grup SID'si | Otomatik | Kullanıcı/grup hesaplarının birincil SID'si, Azure AD DS. Bu öznitelik, şirket içi ortamdaki nesnenin birincil kullanıcı/grup SID'si ile AD DS değil. Bu eşleşmezlik, yönetilen etki alanının şirket içi etki alanındaki sid ad alanına göre farklı AD DS olur. |
| Kullanıcılar ve gruplar için SID geçmişi | Şirket içi birincil kullanıcı ve grup SID'si | Azure AD DS ortamındaki kullanıcılar ve gruplar için SidHistory özniteliği, şirket içi ortamda karşılık gelen birincil kullanıcı veya grup SID'si ile AD DS ayarlanır. Bu özellik, ACL kaynaklarını yeniden kullanmak zorunda olmadığınız için şirket Azure AD DS kaldırma ve kaydırmayı kolaylaştırmanıza yardımcı olur. |
İpucu
UPN biçimini kullanarak yönetilen etki alanında oturum açma gibi SAMAccountName özniteliği, AADDSCONTOSO\driley yönetilen bir etki alanındaki bazı kullanıcı hesapları için otomatik olarak oluşturulmuş olabilir. Kullanıcıların otomatik olarak oluşturulan SAMAccountName'i UPN ön eklerinden farklı olabilir, bu nedenle her zaman oturum açmanın güvenilir bir yolu değildir.
Örneğin, birden çok kullanıcı aynı mailNickname özniteliğine sahipse veya kullanıcılar aşırı uzun UPN ön ekleri varsa, bu kullanıcılar için SAMAccountName otomatik olarak oluşturulmalıdır. Yönetilen bir etki alanında güvenilir bir şekilde oturum açması için GIBI UPN driley@aaddscontoso.com biçimini kullanın.
Kullanıcı hesapları için öznitelik eşlemesi
Aşağıdaki tabloda, Azure AD'de kullanıcı nesneleri için belirli özniteliklerin Azure AD'de ilgili özniteliklerle nasıl eşitlenmiş olduğu Azure AD DS.
| Azure AD'de kullanıcı özniteliği | Azure AD DS'de kullanıcı Azure AD DS |
|---|---|
| accountEnabled | userAccountControl (ACCOUNT_DISABLED biti ayarlar veya temizler) |
| city | l |
| Şirketadı | Şirketadı |
| ülke | co |
| bölüm | bölüm |
| displayName | displayName |
| Employeeıd | Employeeıd |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | başlık |
| posta | posta |
| Mailnickname | msDS-AzureADMailNickname |
| Mailnickname | SAMAccountName (bazen otomatik olarak sızabiliyor) |
| manager | manager |
| mobil | mobil |
| Objectıd | msDS-aadObjectId |
| onPremiseSecurityIdentifier | Sıdhistory |
| passwordPolicies | userAccountControl (DONT_EXPIRE_PASSWORD biti ayarlar veya temizler) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Gruplar için öznitelik eşleme
Aşağıdaki tabloda, Azure AD'de grup nesneleri için belirli özniteliklerin azure ad'de karşılık gelen özniteliklerle nasıl eşitlenmiş Azure AD DS.
| Azure AD'de grup özniteliği | Azure AD DS'de grup özniteliği |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (bazen otomatik olarak sızabiliyor) |
| posta | posta |
| Mailnickname | msDS-AzureADMailNickname |
| Objectıd | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | Sıdhistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
Şirket içi ağdan Azure AD AD DS eşitleme ve Azure AD DS
Azure AD Bağlan, kullanıcı hesaplarını, grup üyeliklerini ve kimlik bilgisi karmalarını şirket içi bir ortamdan Azure AD AD DS eşitlemek için kullanılır. UPN ve şirket içi güvenlik tanımlayıcısı (SID) gibi kullanıcı hesaplarının öznitelikleri eşitlenir. Sanal ağ kullanarak oturum Azure AD DS ntlm ve Kerberos kimlik doğrulaması için gereken eski parola karmaları da Azure AD ile eşitlenir.
Önemli
Azure AD Bağlan yalnızca şirket içi ortamlar ve ortamlarla eşitleme için AD DS gerekir. Nesneleri Azure AD'ye geri eşitlemek için Azure AD Bağlan yönetilen bir etki alanına yüklemek desteklenmez.
Geri yazma yapılandırıyorsanız, Azure AD'den yapılan değişiklikler şirket içi ortamla AD DS eşitlenir. Örneğin, bir kullanıcı Azure AD self servis parola yönetimini kullanarak parolasını değiştirirse, parola şirket içi ortamda AD DS güncelleştirilir.
Not
Tüm bilinen hatalara yönelik düzeltmelere sahip Bağlan için her zaman Azure AD'nin en son sürümünü kullanın.
Çok ormanlı bir şirket içi ortamdan eşitleme
Birçok kuruluş, birden çok orman içeren AD DS karmaşık bir şirket içi ortama sahiptir. Azure AD Bağlan, kullanıcıları, grupları ve kimlik bilgisi karmalarını çok ormanlı ortamlardan Azure AD'ye eşitlemeyi destekler.
Azure AD'nin çok daha basit ve düz bir ad alanı vardır. Kullanıcıların Azure AD tarafından güvenliği sağlanmış uygulamalara güvenilir bir şekilde erişmesini sağlamak için farklı ormanlarda kullanıcı hesapları arasında UPN çakışmalarını çözebilirsiniz. Yönetilen etki alanları, Azure AD'ye benzer şekilde düz bir OU yapısı kullanır. Şirket içinde hiyerarşik bir OU yapısı yapılandırmış olsanız bile, farklı şirket içi etki alanlarından veya ormanlardan eşitlenmesine rağmen tüm kullanıcı hesapları ve grupları AADDC Kullanıcıları kapsayıcısı içinde depolanır. Yönetilen etki alanı hiyerarşik OU yapılarını düzler.
Daha önce de belirtildiği gibi, Azure AD'ye Azure AD DS eşitleme yoktur. Kuruluş birimlerinde özel bir Kuruluş Birimi (OU) Azure AD DS sonra bu özel OU'lar içindeki kullanıcılar, gruplar veya hizmet hesapları oluşturabilirsiniz. Özel OUS'larda oluşturulan nesnelerin hiçbiri Azure AD'ye geri eşitlenmez. Bu nesneler yalnızca yönetilen etki alanı içinde kullanılabilir ve Azure AD PowerShell cmdlet'leri, Microsoft Graph API'si veya Azure AD yönetim kullanıcı arabirimi kullanılarak görünmez.
Azure AD DS ile eşitlenenler
Aşağıdaki nesneler veya öznitelikler şirket içi ortamdan Azure AD'ye AD DS azure ad veya Azure AD DS:
- Dışlanan öznitelikler: Azure AD ortamını kullanarak belirli özniteliklerin Azure AD ile eşitlemeyi şirket içi ortamdan AD DS dışlama Bağlan. Bu dışlanan öznitelikler daha sonra bu özniteliklerde Azure AD DS.
- Grup İlkeleri: Şirket içi ortam ortamında AD DS Grup İlkeleri, Azure AD DS.
- Sysvol klasörü: Şirket içi ortam ortamındaki Sysvol klasörünün AD DS, Azure AD DS.
- Bilgisayar nesneleri: Şirket içi ortamla bir araya AD DS bilgisayarlar için bilgisayar nesneleri, Azure AD DS. Bu bilgisayarlar yönetilen etki alanıyla güven ilişkisine sahip değildir ve yalnızca şirket içi ortamına AD DS aittir. Bu Azure AD DS, yalnızca yönetilen etki alanına açıkça katılmış bilgisayarlar için bilgisayar nesneleri gösterilir.
- Kullanıcılar ve gruplar için SidHistory öznitelikleri: Şirket içi ortamdan birincil kullanıcı ve birincil grup AD DS, şirket içi ortamla Azure AD DS. Ancak, kullanıcılar ve gruplar için mevcut SidHistory öznitelikleri şirket içi ortamdan AD DS için Azure AD DS.
- Kuruluş Birimleri (OU) yapıları: Şirket içi ortam ortamında tanımlanan AD DS Birimleri, şirket içi ortamla Azure AD DS. İki yerleşik OUS vardır Azure AD DS biri kullanıcılar ve biri bilgisayarlar için. Yönetilen etki alanı düz bir OU yapısına sahiptir. Yönetilen etki alanınıza özel bir OU oluşturabilirsiniz.
Parola karması eşitleme ve güvenlik konuları
Yapılandırmayı etkinleştir Azure AD DS NTLM + Kerberos kimlik doğrulaması için eski parola karmaları gerekir. Azure AD, açık metin parolaları depolamaz, bu nedenle mevcut kullanıcı hesapları için bu karmalar otomatik olarak oluşturulamaz. Oluşturulan ve depolanan NTLM ve Kerberos uyumlu parola karmaları her zaman Azure AD'de şifrelenmiş bir şekilde depolanır.
Şifreleme anahtarları her Azure AD kiracısı için benzersizdir. Bu karmalar, şifre çözme anahtarlarına yalnızca Azure AD DS erişebilecek şekilde şifrelenir. Azure AD'de şifre çözme anahtarlarına erişen başka bir hizmet veya bileşen yoktur.
Daha sonra eski parola karmaları Azure AD'den yönetilen bir etki alanının etki alanı denetleyicilerine eşitlenir. Bu yönetilen etki alanı denetleyicilerinin diskleri Azure AD DS olarak şifrelenir. Bu parola karmaları, parolaların şirket içi ortamda depolandığı ve güvenliğinin sağlandığı gibi bu etki alanı denetleyicilerinde depolanır ve AD DS sağlar.
Yalnızca bulutta yer alan Azure AD ortamlarında, gerekli parola karmalarının Azure AD'de oluşturularak depolanacak olması için kullanıcıların parolalarını sıfırlaması/değiştirmesi gerekir. Parola karmaları, Azure AD'de Azure AD Domain Services tüm bulut kullanıcı hesapları için NTLM ve Kerberos uyumlu biçimlerde oluşturulur ve depolanır. Tüm bulut kullanıcı hesaplarının parolaları, kullanıcı hesabıyla eşitlenmeden önce Azure AD DS.
Azure AD Bağlan kullanılarak şirket içi AD DS ortamından eşitlenen karma kullanıcı hesapları için, NTLM ve Kerberos uyumlu biçimlerde parola karmalarını eşitlemek için Azure AD Bağlan'yi yapılandırmanız gerekir.
Sonraki adımlar
Parola eşitlemenin özellikleri hakkında daha fazla bilgi için bkz. Azure AD ile parola karması eşitleme nasıl Bağlan.
Etki alanı ile çalışmaya Azure AD DS bir yönetilen etki alanı oluşturun.