Öğretici: Tek bir ormanı tek bir Microsoft Entra kiracısıyla tümleştirme

  • Makale

Bu öğretici, Microsoft Entra Cloud Sync kullanarak karma kimlik ortamı oluşturma konusunda size yol gösterir.

Microsoft Entra Cloud Sync akışını gösteren diyagram.

Bu öğreticide oluşturduğunuz ortamı test etmek veya bulut eşitleme hakkında daha fazla bilgi edinmek için kullanabilirsiniz.

Önkoşullar

Microsoft Entra yönetim merkezinde

  1. Microsoft Entra kiracınızda yalnızca bulutta bir Genel Yönetici istrator hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz duruma gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta genel Yönetici istrator hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmemesini sağlamak için kritik öneme sahiptir.
  2. Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Şirket içi ortamınızda

  1. Windows Server 2016 veya üzerini en az 4 GB RAM ve .NET 4.7.1+ çalışma zamanıyla çalıştıran etki alanına katılmış bir konak sunucusunu tanımlama

  2. Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

    • Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:

      Bağlantı noktası numarası Nasıl kullanılır?
      80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir
      443 Hizmetle tüm giden iletişimi işler
      8080 (isteğe bağlı) Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum portalda görüntülenir.

      Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.

    • Güvenlik duvarınız veya proxy'niz güvenli sonekler belirtmenize izin veriyorsa, *.msappproxy.net ve *.servicebus.windows.net bağlantı ekleyin. Aksi takdirde, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

    • Aracılarınızın ilk kayıt için login.windows.net ve login.microsoftonline.com erişimi olmalıdır. Bu URL'ler için güvenlik duvarınızı da açın.

    • Sertifika doğrulaması için şu URL'lerin engelini kaldırın: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 ve www.microsoft.com:80. Bu URL'ler diğer Microsoft ürünleriyle sertifika doğrulaması için kullanıldığından, bu URL'lerin engeli kaldırılmış olabilir.

Microsoft Entra sağlama aracısını yükleme

Temel AD ve Azure ortamı öğreticisini kullanıyorsanız dc1 olacaktır. Aracıyı yüklemek için şu adımları izleyin:

  1. Azure portalında Microsoft Entra ID'yi seçin.
  2. Sol tarafta Microsoft Entra Bağlan'ı seçin.
  3. Sol tarafta Bulut eşitleme'yi seçin.

Yeni UX ekranının ekran görüntüsü.

  1. Sol tarafta Aracı'yı seçin.
  2. Şirket içi aracıyı indir'i ve koşulları kabul et ve indir'i seçin.

İndirme aracısının ekran görüntüsü.

  1. Microsoft Entra Bağlan Sağlama Aracısı Paketi'nin indirilmesi tamamlandıktan sonra, indirilenler klasörünüzden AAD Bağlan ProvisioningAgentSetup.exe yükleme dosyasını çalıştırın.

Not

ABD Kamu Bulutu için yükleme yaparken:
AAD Bağlan ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Daha fazla bilgi için bkz. "ABD kamu bulutunda aracı yükleme".

  1. Giriş ekranında Lisans ve koşulları kabul ediyorum'u ve ardından Yükle'yi seçin.

Microsoft Entra Bağlan Sağlama Aracısı Paketi giriş ekranını gösteren ekran görüntüsü.

  1. Yükleme işlemi tamamlandıktan sonra yapılandırma sihirbazı başlatılır. Yapılandırmayı başlatmak için İleri'yi seçin. Hoş geldiniz ekranının ekran görüntüsü.
  2. Uzantı Seç ekranında İk temelli sağlama (Workday ve SuccessFactors) / Microsoft Entra Bağlan bulut eşitlemesi'ni seçin ve İleri'ye tıklayın. Uzantı seçme ekranının ekran görüntüsü.

Not

Şirket içi uygulama sağlama ile kullanmak üzere sağlama aracısını yüklüyorsanız Şirket içi uygulama sağlama (Microsoft Uygulama için Entra Id) seçeneğini belirleyin.

  1. Microsoft Entra Global Yönetici istrator veya Karma Kimlik Yönetici istrator hesabınızla oturum açın. Internet Explorer gelişmiş güvenliği etkinleştirdiyseniz oturum açma engellenir. Bu durumda yüklemeyi kapatın, Internet Explorer artırılmış güvenliğini devre dışı bırakın ve Microsoft Entra Bağlan Sağlama Aracısı Paketi yüklemesini yeniden başlatın.

Bağlan Microsoft Entra Id ekranının ekran görüntüsü.

  1. Hizmet Hesabını Yapılandır ekranında bir grup Yönetilen Hizmet Hesabı (gMSA) seçin. Bu hesap aracı hizmetini çalıştırmak için kullanılır. Yönetilen hizmet hesabı etki alanınızda başka bir aracı tarafından zaten yapılandırılmışsa ve ikinci bir aracı yüklüyorsanız, sistem mevcut hesabı algıladığı ve yeni aracı için gMSA hesabını kullanması için gerekli izinleri ekleyeceği için gMSA oluştur'u seçin. İstendiğinde aşağıdakilerden birini seçin:
  • Aracının sizin için provAgentgMSA$ yönetilen hizmet hesabını oluşturmasına olanak tanıyan gMSA oluşturun. Grup tarafından yönetilen hizmet hesabı (örneğin, CONTOSO\provAgentgMSA$) konak sunucusunun katıldığı Aynı Active Directory etki alanında oluşturulur. Bu seçeneği kullanmak için Active Directory etki alanı yöneticisi kimlik bilgilerini girin (önerilir).
  • Özel gMSA kullanın ve bu görev için el ile oluşturduğunuz yönetilen hizmet hesabının adını belirtin.

Devam etmek için İleri’yi seçin.

Hizmet Hesabını Yapılandır ekranının ekran görüntüsü.

  1. Bağlan Active Directory ekranında, etki alanı adınız Yapılandırılan etki alanları altında görünüyorsa sonraki adıma geçin. Aksi takdirde, Active Directory etki alanı adınızı yazın ve Dizin ekle'yi seçin.

  2. Active Directory etki alanı yönetici hesabınızla oturum açın. Etki alanı yöneticisi hesabının süresi dolmuş bir parola olmamalıdır. Parolanın süresinin dolması veya aracı yüklemesi sırasında değişmesi durumunda aracıyı yeni kimlik bilgileriyle yeniden yapılandırmanız gerekir. Bu işlem şirket içi dizininizi ekler. Devam etmek için Tamam'ı ve ardından İleri'yi seçin.

Etki alanı yöneticisi kimlik bilgilerinin nasıl girildiğini gösteren ekran görüntüsü.

  1. Aşağıdaki ekran görüntüsünde yapılandırılmış contoso.com etki alanı örneği gösterilmektedir. Devam etmek için İleri'yi seçin.

Bağlan Active Directory ekranının ekran görüntüsü.

  1. Yapılandırma tamamlandı ekranında Onayla'yı seçin. Bu işlem aracıyı kaydeder ve yeniden başlatır.

  2. Bu işlem tamamlandıktan sonra Aracı yapılandırmanızın başarıyla doğrulandığı size bildirilmelidir. Çıkış'ı seçebilirsiniz.

Bitiş ekranını gösteren ekran görüntüsü.

  1. İlk giriş ekranını almaya devam ediyorsanız Kapat'ı seçin.

Aracı yüklemesini doğrulama

Aracı doğrulaması Azure portalında ve aracıyı çalıştıran yerel sunucuda gerçekleşir.

Azure portal aracısı doğrulaması

Aracının Microsoft Entra Id tarafından kaydedildiğini doğrulamak için şu adımları izleyin:

  1. Azure Portal’ında oturum açın.
  2. Microsoft Entra ID'yi seçin.
  3. Microsoft Entra Bağlan'ı ve ardından Bulut eşitleme'yi seçin.Yeni UX ekranının ekran görüntüsü.
  4. Bulut eşitleme sayfasında yüklediğiniz aracıları görürsünüz. Aracının görüntülendiğini ve durumunun iyi durumda olduğunu doğrulayın.

Yerel sunucuda

Aracının çalıştığını doğrulamak için şu adımları izleyin:

  1. Sunucuda yönetici hesabıyla oturum açın.
  2. Hizmetler'e giderek veya Başlat/Çalıştır/Services.msc adresine giderek Hizmetleri açın.
  3. Hizmetler altında, Microsoft Entra Bağlan Agent Updater ve Microsoft Entra Bağlan Sağlama Aracısı'nın mevcut olduğundan ve durumun Çalışıyor olduğundan emin olun. Windows hizmetlerini gösteren ekran görüntüsü.

Sağlama aracısı sürümünü doğrulama

Aracının sürümünün çalıştığını doğrulamak için şu adımları izleyin:

  1. 'C:\Program Files\Microsoft Azure AD Bağlan Sağlama Aracısı' öğesine gidin
  2. 'AAD Bağlan ProvisioningAgent.exe' öğesine sağ tıklayın ve özellikleri seçin.
  3. Ayrıntılar sekmesine tıklar ve sürüm numarası Ürün sürümü'nin yanında görüntülenir.

Microsoft Entra Cloud Sync'i yapılandırma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Sağlamayı yapılandırmak ve başlatmak için aşağıdaki adımları kullanın:

  1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
  2. Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.Bulut eşitleme giriş sayfasının ekran görüntüsü.
  1. Yeni Yapılandırma'ya tıklayın
  2. Yapılandırma ekranında bir Bildirim e-postası girin, seçiciyi Etkinleştir'e taşıyın ve Kaydet'i seçin.
  3. Yapılandırma durumu artık Sağlıklı olmalıdır.

Kullanıcıların oluşturulduğunu ve eşitlemenin gerçekleştiğini doğrulayın

Şimdi şirket içi dizininizde bulunan ve eşitleme kapsamında olan kullanıcıların eşitlendiğini ve artık Microsoft Entra kiracınızda mevcut olduğunu doğrulayacaksınız. Eşitleme işleminin tamamlanması birkaç saat sürebilir. Kullanıcıların eşitlendiğini doğrulamak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yönetici istrator olarak oturum açın.
  2. Kimlik>Kullanıcıları'na göz atın.
  3. Kiracımızda yeni kullanıcıları gördüğünüzden emin olun

Kullanıcılarınızdan biriyle oturum açmayı test edin

  1. https://myapps.microsoft.com adresine gidin

  2. Kiracınızda oluşturulmuş bir kullanıcı hesabıyla oturum açın. Şu biçimi kullanarak oturum açmanız gerekir: (user@domain.onmicrosoft.com). Kullanıcının şirket içinde oturum açmak için kullandığı parolayı kullanın.

Oturum açmış kullanıcılarla uygulamalarım portalını gösteren ekran görüntüsü.

Artık Microsoft Entra Cloud Sync kullanarak bir karma kimlik ortamını başarıyla yapılandırdıysanız.

Sonraki adımlar