Özel Azure Active Directory Bağlan yüklemesi
Yükleme için daha fazla Azure Active Directory seçenekleriniz olduğunda Bağlan 'de (Azure AD) özel ayarları kullanın. Örneğin, birden çok ormanız varsa veya isteğe bağlı özellikleri yapılandırmak için bu ayarları kullanın. Hızlı yüklemenin dağıtım veya topoloji ihtiyaçlarına uygun olmayan tüm durumlarda özel ayarları kullanın.
Ön koşullar:
- Azure AD Bağlan.
- Azure AD'de önkoşul adımlarını tamamlayın Bağlan: Donanım ve önkoşullar.
- Azure AD'de açıklanan hesaplara ve izinlere sahip Bağlan emin olun.
Özel yükleme ayarları
Azure AD hizmeti için özel bir yükleme Bağlan, aşağıdaki bölümlerde açıklanmaktadır sihirbaz sayfalarını izleyin.
Hızlı ayarlar
Express Ayarlar özelleştir'i seçerek özelleştirilmiş ayarlar yüklemesini başlatın. Bu makalenin geri kalanı özel yükleme işlemi boyunca size yol sağlar. Belirli bir sayfaya ilişkin bilgilere hızla gitmek için aşağıdaki bağlantıları kullanın:
Gerekli bileşenleri yükleme
Eşitleme hizmetlerini yükleyebilirsiniz. İsteğe bağlı yapılandırma bölümünü seçili bırakmanız gerekir. Azure AD Bağlan her şeyi otomatik olarak ayarlar. 2019 Express LocalDB örneğinde bir SQL Server ayarlar, uygun grupları oluşturur ve izinleri atar. Varsayılanları değiştirmek için uygun kutuları temizleyin. Aşağıdaki tablo bu seçenekleri özetler ve ek bilgilerin bağlantılarını sağlar.
| İsteğe bağlı yapılandırma | Açıklama |
|---|---|
| Özel yükleme konumu belirtme | Azure AD hizmeti için varsayılan yükleme yolunu değiştirmenizi Bağlan. |
| Mevcut bir SQL Server'ı kullanma | Örnek adını ve örnek SQL Server belirtmenize olanak sağlar. Kullanmak istediğiniz bir veritabanı sunucunuz zaten varsa bu seçeneği belirleyin. Örnek Adı alanına örnek adı, virgül ve bağlantı noktası numarasını girin SQL Server örneğinizin gözatma özelliği etkinleştirilmemişse. Ardından Azure AD veritabanı adını Bağlan belirtin. Veritabanı SQL yeni bir veritabanı oluşturulıp oluşturula olmadığını veya SQL yöneticinizin veritabanını önceden oluşturması gerektiğini belirler. Yönetici (SA) SQL Server varsa bkz. Azure AD Bağlan kullanarak yükleme. Temsilci izinlerine (DBO) sahipseniz, bkz. Azure AD Bağlan yönetici izinlerini kullanarak SQL yükleme. |
| Mevcut bir hizmet hesabını kullanma | Varsayılan olarak, Azure AD Bağlan eşitleme hizmetleri için bir sanal hizmet hesabı sağlar. Kimlik doğrulaması gerektiren bir SQL Server veya ara sunucu kullanıyorsanız, etki alanında yönetilen hizmet hesabı veya parola korumalı hizmet hesabı kullanabilirsiniz. Bu gibi durumlarda kullanmak istediğiniz hesabı girin. Yükleme işlemini çalıştırmak için hizmet hesabı için SQL kimlik bilgileri oluşturasınız. Daha fazla bilgi için bkz. Azure AD Bağlan izinleri. Yönetici, en son derlemeyi kullanarak SQL bant dışında veritabanı s sağlamayı da sağlar. Ardından Azure AD Bağlan yöneticisi bunu veritabanı sahibi haklarıyla yükleyebilir. Daha fazla bilgi için bkz. Yönetici temsilcisi izinlerini Bağlan Azure AD SQL yükleme. |
| Özel eşitleme grubu belirtme | Varsayılan olarak, eşitleme hizmetleri yüklenirken, Azure AD Bağlan sunucuda yerel dört grup oluşturur. Bu gruplar Yöneticiler, İşleçler, Gözat ve Parola Sıfırlama'dır. Kendi gruplarınızı burada belirtebilirsiniz. Grupların sunucuda yerel olması gerekir. Bunlar etki alanında yer alamaz. |
| Eşitleme ayarlarını içeri aktarma (önizleme) | Azure AD'nin diğer sürümlerinden ayarları içeri aktarmaya olanak Bağlan. Daha fazla bilgi için bkz. Azure AD'i içeri ve dışarı aktarma Bağlan ayarları. |
Kullanıcı oturumu açma
Gerekli bileşenleri yükledikten sonra kullanıcılarının çoklu oturum açma yöntemini seçin. Aşağıdaki tabloda kullanılabilir seçenekler kısaca açık almaktadır. Oturum açma yöntemleriyle ilgili tam açıklama için bkz. Kullanıcı oturumu açma.
| Çoklu oturum açma seçeneği | Açıklama |
|---|---|
| Parola karması eşitleme | Kullanıcılar şirket içi ağlarında aynı parolayı kullanarak Microsoft 365 Microsoft bulut hizmetlerinde oturum açmalarını sağlar. Kullanıcı parolaları, Parola karması olarak Azure AD ile eşitlenir. Kimlik doğrulaması bulutta gerçekleşir. Daha fazla bilgi için bkz. Parola karması eşitleme. |
| Doğrudan kimlik doğrulama | Kullanıcılar şirket içi ağlarında aynı parolayı kullanarak Microsoft 365 Microsoft bulut hizmetlerinde oturum açmalarını sağlar. Kullanıcı parolaları, etki alanı denetleyicisinin şirket içi Active Directory doğrulanır. |
| AD FS ile Federasyon | Kullanıcılar şirket içi ağlarında aynı parolayı kullanarak Microsoft 365 Microsoft bulut hizmetlerinde oturum açmalarını sağlar. Kullanıcılar oturum açmaları için şirket içi Azure Directory Federasyon Hizmetleri (AD FS) örneğine yeniden yönlendirildi. Kimlik doğrulaması şirket içinde gerçekleşir. |
| PingFederate ile federasyon | Kullanıcılar şirket içi ağlarında aynı parolayı kullanarak Microsoft 365 Microsoft bulut hizmetlerinde oturum açmalarını sağlar. Kullanıcılar, oturum açmaları için şirket içi PingFederate örneklerine yeniden yönlendirildi. Kimlik doğrulaması şirket içinde gerçekleşir. |
| Yapılandırmayın | Hiçbir kullanıcı oturum açma özelliği yüklenmez veya yapılandırılmaz. Zaten bir üçüncü taraf federasyon sunucunuz veya başka bir çözümünüz varsa bu seçeneği belirleyin. |
| Çoklu oturum açma etkinleştir | Bu seçenek hem parola karması eşitleme hem de geçişli kimlik doğrulaması ile kullanılabilir. Şirket ağlarında masaüstü kullanıcıları için çoklu oturum açma deneyimi sağlar. Daha fazla bilgi için bkz. Çoklu oturum açma. Not: Diğer AD FS için bu seçenek kullanılamaz. AD FS aynı çoklu oturum açma düzeyini zaten sunar. |
Azure AD'ye Bağlanma
Azure AD Bağlan ye giriş sayfasında bir genel yönetici hesabı ve parola girin. Önceki sayfada federasyon AD FS'i seçtiysanız, federasyon için etkinleştirmeyi plan seçtiğiniz bir etki alanında olan bir hesap ile oturum açma.
Azure AD kiracınız ile birlikte gelen varsayılan etki onmicrosoft.com hesabı kullanmak iyi olabilir. Bu hesap yalnızca Azure AD'de bir hizmet hesabı oluşturmak için kullanılır. Yükleme tamam olduktan sonra bu kullanılamaz.
Genel yönetici hesabınız çok faktörlü kimlik doğrulamasını etkinleştirdiyse, parolayı oturum açma penceresinde yeniden sağlarsınız ve çok faktörlü kimlik doğrulamasını tamamlamanız gerekir. Bu zorluk doğrulama kodu veya telefon görüşmesi olabilir.
Genel yönetici hesabında ayrıcalıklı kimlik yönetimi de etkinleştirilebilir.
Bir hata görüyorsanız veya bağlantı sorunlarınız varsa bkz. Bağlantı sorunlarını giderme.
Sayfaları eşitleme
Aşağıdaki bölümlerde Eşitleme bölümündeki sayfalar açıklanmaktadır.
Dizinlerinizi bağlama
Azure AD Active Directory Domain Services (Azure AD DS), Azure AD Bağlan yeterli izinlere sahip bir hesabın orman adına ve kimlik bilgilerine ihtiyacı vardır.
Orman adını girdikten ve Dizin Ekle'yi seçdikten sonra bir pencere görüntülenir. Aşağıdaki tabloda seçenekleriniz açık bulunmaktadır.
| Seçenek | Açıklama |
|---|---|
| Yeni hesap oluştur | Dizin eşitlemesi Azure AD DS Active Directory ormanına Bağlan için Azure AD'nin ihtiyaçlara sahip olduğu bir hesap oluşturun. Bu seçeneği kullandıktan sonra kuruluş yöneticisi hesabının kullanıcı adını ve parolasını girin. Azure AD Bağlan, gerekli kurumsal yönetici hesabını oluşturmak için Azure AD DS kullanır. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Başka bir ifadeyle FABRIKAM\administrator veya fabrikam.com\administrator girin. |
| Mevcut hesabı kullan | Dizin eşitlemesi Azure AD DS Active Directory ormanına bağlanmak için Azure AD Bağlan kullanabileceği mevcut bir hesap sağlama. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz. Diğer bir ifadeyle FABRIKAM\syncuser veya fabrikam.com\syncuser girin. Bu hesap normal bir kullanıcı hesabı olabilir çünkü yalnızca varsayılan okuma izinlerine ihtiyaç vardır. Ancak senaryoya bağlı olarak daha fazla izine ihtiyacınız olabilir. Daha fazla bilgi için bkz. Azure AD Bağlan izinleri. |
Not
Derleme 1.4.18.0'dan sonra, bir kurumsal yönetici veya etki alanı yöneticisi hesabını Azure AD DS hesabı olarak kullanasınız. Var olan hesabı kullan'ı seçerek bir kuruluş yönetici hesabı veya etki alanı yöneticisi hesabı girmeye çalışsanız şu hatayı alırsınız: "AD orman hesabınız için bir Enterprise veya Etki alanı yöneticisi hesabı kullanmana izin verilmez. Azure AD'Bağlan hesabı sizin için oluşturmasına veya doğru izinlere sahip bir eşitleme hesabı belirtmesine izin verin."
Azure AD oturum açma yapılandırması
Azure AD oturum açma yapılandırması sayfasında, şirket içi ağ arabiriminde kullanıcı asıl adı (UPN) etki alanlarını Azure AD DS. Bu UPN etki alanları Azure AD'de doğrulanmıştır. Bu sayfada, userPrincipalName için kullanmak üzere özniteliği yapılandırabilirsiniz.
Eklenmedi veya Doğrulanmadı olarak işaretlenmiş her etki alanını gözden geçirebilirsiniz. Kullanmakta olduğu etki alanlarının Azure AD'de doğrulandığından emin olun. Etki alanlarınızı doğruladikten sonra döngüsel yenileme simgesini seçin. Daha fazla bilgi için bkz. Etki alanını ekleme ve doğrulama.
Kullanıcılar, Azure AD'de oturum açilken userPrincipalName özniteliğini kullanır ve Microsoft 365. Azure AD, kullanıcılar eşitlenmeden önce etki alanlarını (UPN soneki olarak da bilinir) doğrulamalı. Microsoft, userPrincipalName varsayılan özniteliğini tutmanız önerilir.
userPrincipalName özniteliği yönlendirilemeyen bir öznitelikse ve doğrulanamıyorsa başka bir öznitelik seçin. Örneğin, oturum açma kimliğini tutan öznitelik olarak e-postayı seçin. userPrincipalName dışında bir öznitelik kullanırken alternatif kimlik olarak bilinir.
Alternatif kimlik öznitelik değeri, RFC 822 standardına uygun olmalıdır. Alternatif kimliği parola karma eşitlemesi, geçiş kimlik doğrulaması ve federasyon ile kullanabilirsiniz. Active Directory’de öznitelik, yalnızca tek bir değere sahip olsa bile çok değerli olarak tanımlanamaz. Alternatif kimlik hakkında daha fazla bilgi için bkz. Geçişli kimlik doğrulaması: Sık sorulan sorular.
Not
Geçişli kimlik doğrulamasını etkinleştirerek özel yükleme işlemiyle devam etmek için en az bir doğrulanmış etki alanınız olmalıdır.
Uyarı
Alternatif kimlikler tüm iş yükleriyle Microsoft 365 değildir. Daha fazla bilgi için bkz. Alternatif oturum açma kimliklerini yapılandırma.
Etki alanı ve OU filtreleme
Varsayılan olarak, tüm etki alanları ve kuruluş birimleri (OU) eşitlenir. Bazı etki alanlarını veya OUS'ları Azure AD ile eşitlemek istemiyorsanız, uygun seçimleri temizebilirsiniz.
Bu sayfa, etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırıyor. Değişiklik yapmayı planlıyorsanız bkz. Etki alanı tabanlı filtreleme ve OU tabanlı filtreleme. Bazı OUS'lar işlevsellik için önemlidir, bu nedenle bunları seçili bırakmalısiniz.
1.1.524.0'dan eski bir Azure AD Bağlan sürümüyle OU tabanlı filtreleme kullanıyorsanız, yeni OU'lar varsayılan olarak eşitlenir. Yeni OU'ların eşitlenmesi istemiyorsanız, OU tabanlı filtreleme adımının ardından varsayılan davranışı ayarlayabilirsiniz. Azure AD Bağlan 1.1.524.0 veya sonraki bir işletim sistemi için, yeni OUS'ların eşitlenmesi isteyip istemediklerini belirtebilirsiniz.
Grup tabanlı filtreleme kullanmayı planlıyorsanız,grubu olan OU'nun dahil olduğundan ve OU filtrelemesi kullanılarak filtrelenmiş olduğundan emin olun. OU filtreleme, grup tabanlı filtreleme değerlendirilmeden önce değerlendirilir.
Güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına erişilememiş de olabilir. Bu etki alanları varsayılan olarak seçili değildir ve bir uyarı görüntüler.
Bu uyarıyı görüyorsanız, bu etki alanlarının gerçekten ulaşılamaz olduğundan ve uyarının beklendiğini emin olun.
Kullanıcılarınızı benzersiz olarak tanımlama
Kullanıcıları tanımlama sayfasında, şirket içi dizinlerinize kullanıcı tanımlamayı ve sourceAnchor özniteliğini kullanarak bunları tanımlamayı seçin.
Şirket içi dizinlerinizde kullanıcıların nasıl tanımlanması gerektiğini seçin
Ormanlar arasında eşleştirme özelliğini kullanarak, etki alanı ormanları Azure AD DS Azure AD'de nasıl temsil edildiklerini tanımlayabilirsiniz. Bir kullanıcı tüm ormanlarda yalnızca bir kez temsil olabilir veya etkin ve devre dışı hesapların birleşimine sahip olabilir. Ayrıca kullanıcı, bazı ormanlarda kişi olarak da temsil edilebilir.
| Ayar | Açıklama |
|---|---|
| Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edildi | Tüm kullanıcılar Azure AD'de bireysel nesne olarak oluşturulur. Nesneler meta veriye katılmaz. |
| Posta özniteliği | Bu seçenek, posta özniteliğinin farklı ormanlarda aynı değere sahip olması halinde kullanıcıları ve kişileri birleştirir. Kişilerinizi GALSync kullanılarak oluşturulduğunda bu seçeneği kullanın. Bu seçeneği kullanırsanız, posta özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD ile eşitlenmez. |
| ObjectSID ve msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID öznitelikleri | Bu seçenek, hesap ormanındaki etkin bir kullanıcıyla kaynak ormandaki devre dışı bırakılmış bir kullanıcıyı birleştirir. Bu yapılandırma, Exchange'de bağlı posta kutusu olarak bilinir. Yalnızca Lync kullanıyorsanız ve kaynak ormanında Exchange bu seçeneği kullanabilirsiniz. |
| SAMAccountName ve MailNickName öznitelikleri | Bu seçenek, kullanıcının oturum açma kimliğinin bulunarak buluna özniteliklere katılır. |
| Belirli bir özniteliği seçme | Bu seçenek, kendi özniteliğinizi seçmenize olanak tanır. Bu seçeneği seçerseniz, (seçili) özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD ile eşitlenmez. Sınırlama: Bu seçenek için yalnızca meta veri verisinde zaten bulunan öznitelikler kullanılabilir. |
Kaynak yer bağlantısı kullanılarak kullanıcıların nasıl tanımlandıklarını seçme
SourceAnchor özniteliği, bir kullanıcı nesnesinin ömrü boyunca sabittir. Şirket içi kullanıcıyla Azure AD'de kullanıcı arasındaki bağlantının birincil anahtarıdır.
| Ayar | Açıklama |
|---|---|
| Kaynak bağlayıcısını Azure 'un yönetmesine izin ver | Azure AD’nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin. bu seçeneği belirlerseniz Azure AD Connect, ms-DS-ımıbu guıd ' i sourcetutturucu olarak kullanmabölümünde açıklanan sourcetutturucu öznitelik seçme mantığını uygular. Özel yükleme tamamlandıktan sonra, hangi özniteliğin Sourcetutturucu özniteliği olarak çekilmiş olduğunu görürsünüz. |
| Belirli bir öznitelik seçin | Var olan bir AD özniteliğini Sourcetutturucu özniteliği olarak belirtmek istiyorsanız bu seçeneği belirleyin. |
Sourcetutturucu özniteliği değiştirilemediğinden uygun bir öznitelik seçmelisiniz. ObjectGUID iyi bir seçenektir. Kullanıcı hesabı ormanlar veya etki alanları arasında taşınmamışsa bu öznitelik değiştirilmez. Bir kişi marrıes veya atamaları değiştirdiğinde değiştirebir şekilde öznitelik seçmeyin.
At işareti (@) içeren öznitelikleri kullanamazsınız, bu nedenle e-posta ve userPrincipalName kullanamazsınız. Özniteliği de büyük/küçük harfe duyarlıdır, bu nedenle bir nesneyi ormanlar arasında taşıdığınızda büyük ve küçük harfleri koruduğunuzdan emin olun. İkili öznitelikler Base64 kodlardır, ancak diğer öznitelik türleri kodlanmamış durumda kalır.
Federasyon senaryolarında ve bazı Azure AD arabirimlerinde, Sourcetutturucu özniteliği de ImmutableID olarak bilinir.
Kaynak Bağlayıcısı hakkında daha fazla bilgi için bkz. tasarım kavramları.
Grup tabanlı eşitleme filtrelemesi
Gruplar arası filtreleme özelliği, bir pilot için yalnızca küçük bir nesne alt kümesini eşitlemenize olanak tanır. Bu özelliği kullanmak için şirket içi Active Directory örneğinde bu amaçla bir grup oluşturun. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları ekleyin. Daha sonra, Azure AD 'de bulunması gereken nesnelerin listesini korumak için kullanıcıları ekleyebilir veya bu gruptan kullanıcıları kaldırabilirsiniz.
Eşitlenmesini istediğiniz tüm nesneler doğrudan grubun üyesi olmalıdır. Kullanıcıların, grupların, kişilerin ve bilgisayarların ya da cihazların hepsi doğrudan üye olmalıdır. İç içe Grup üyeliği çözülmedi. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir. Üyeleri eklenmez.
Uyarı
Bu özellik yalnızca bir pilot dağıtımı desteklemeye yöneliktir. Bunu tam bir üretim dağıtımında kullanmayın.
Tam bir üretim dağıtımında, tek bir grubu ve tüm nesnelerini eşitlenmek üzere sürdürmek zor olabilir. Gruplar arası filtreleme özelliği yerine, filtrelemeyi yapılandırmabölümünde açıklanan yöntemlerden birini kullanın.
İsteğe bağlı özellikler
Bir sonraki sayfada, senaryonuza yönelik isteğe bağlı Özellikler ' i seçebilirsiniz.
Uyarı
Azure AD Connect sürümlerinin 1.0.8641.0 ve önceki sürümleri, parola geri yazma için Azure Access Control Service bağımlıdır. Bu hizmet 7 Kasım 2018 tarihinde kullanımdan kaldırıldı. bu Azure AD Connect sürümlerinden birini kullanıyorsanız ve parola geri yazma özelliğini etkinleştirdiyseniz, kullanıcılar, hizmet devre dışı bırakıldığında parolalarını değiştirme veya sıfırlama olanağını kaybedebilir. Azure AD Connect bu sürümleri parola geri yazmayı desteklemez.
Daha fazla bilgi için bkz. Azure Access Control Service 'Den geçiş.
parola geri yazma özelliğini kullanmak istiyorsanız en son Azure AD Connect sürümünüindirin.
Uyarı
Azure AD Eşitleme veya doğrudan eşitleme (DirSync) etkinse, Azure AD Connect geri yazma özelliklerini etkinleştirmez.
| İsteğe bağlı özellikler | Açıklama |
|---|---|
| karma dağıtım Exchange | karma dağıtım özelliği Exchange, hem şirket içinde hem de Microsoft 365 Exchange posta kutularının birlikte bulunmasını sağlar. Azure AD Connect, belirli bir öznitelik kümesini Azure AD 'den şirket içi dizininize geri eşitler. |
| Exchange posta ortak klasörleri | Exchange mail ortak klasörler özelliği, posta etkin ortak klasör nesnelerini şirket içi Active Directory Azure AD 'ye eşitlemenize olanak tanır. |
| Azure AD uygulaması ve öznitelik filtreleme | Azure AD uygulaması ve öznitelik filtrelemeyi etkinleştirerek, eşitlenmiş özniteliklerin kümesini uyarlayabilirsiniz. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler. Daha fazla bilgi için bkz. Azure AD uygulaması ve öznitelik filtreleme. |
| Parola karması eşitleme | Oturum açma çözümü olarak Federasyon ' yı seçtiyseniz, Parola karması eşitlemesini etkinleştirebilirsiniz. Bu durumda, bunu bir yedekleme seçeneği olarak kullanabilirsiniz. Doğrudan kimlik doğrulaması ' nı seçtiyseniz, eski istemcilere yönelik destek sağlamak ve bir yedekleme sağlamak için bu seçeneği etkinleştirebilirsiniz. Daha fazla bilgi için bkz. Parola karması eşitleme. |
| Parola geri yazma | Azure AD 'deki parola değişikliklerinin şirket içi dizininize geri yazıldığından emin olmak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Parola yönetimine başlarken. |
| Grup geri yazma | Microsoft 365 grupları kullanıyorsanız, Active Directory şirket içi örneğindeki grupları temsil edebilirsiniz. bu seçenek yalnızca şirket içi Active Directory örneğinde Exchange varsa kullanılabilir. daha fazla bilgi için Azure AD Connect grup geri yazmakonusuna bakın. |
| Cihaz geri yazma | Koşullu erişim senaryolarında, Azure AD 'deki cihaz nesnelerini Active Directory Şirket içi örneğine geri yazmak için bu seçeneği kullanın. Daha fazla bilgi için bkz. Azure AD Connect'te cihaz geri yazma özelliğini etkinleştirme. |
| Dizin genişletme öznitelik eşitlemesi | Belirtilen öznitelikleri Azure AD 'ye eşitlemek için bu seçeneği belirleyin. Daha fazla bilgi için bkz. Dizin genişletmeleri. |
Azure AD uygulaması ve öznitelik filtreleme
Hangi özniteliklerin Azure AD ile eşitleneceğini sınırlandırmak istiyorsanız, kullandığınız hizmetleri seçerek başlayın. Bu sayfadaki seçimleri değiştirirseniz, yükleme sihirbazını yeniden çalıştırarak, açıkça yeni bir hizmet seçmeniz gerekir.
Önceki adımda seçtiğiniz hizmetlere bağlı olarak, Bu sayfa eşitlenen tüm öznitelikleri gösterir. Bu liste, eşitlenmekte olan tüm nesne türlerinin bir birleşimidir. Bazı özniteliklerin eşitlenmemiş kalması gerekiyorsa, seçimi bu özniteliklerden temizleyebilirsiniz.
Uyarı
Özniteliklerin kaldırılması işlevselliği etkileyebilir. En iyi uygulamalar ve öneriler için bkz. eşitlenmek üzere öznitelikler.
Dizin Genişletme öznitelik eşitlemesi
Azure AD 'de şemayı, kuruluşunuzun eklediği özel öznitelikleri veya Active Directory diğer özniteliklerini kullanarak genişletebilirsiniz. Bu özelliği kullanmak için, Isteğe bağlı özellikler sayfasında, dizin uzantısı öznitelik eşitleme' yi seçin. Dizin uzantıları sayfasında, eşitlenecek daha fazla öznitelik seçebilirsiniz.
Not
Kullanılabilir öznitelikler alanı büyük/küçük harfe duyarlıdır.
Daha fazla bilgi için bkz. Dizin genişletmeleri.
Çoklu oturum açmayı etkinleştirme
Çoklu oturum açma sayfasında, parola eşitleme veya doğrudan kimlik doğrulama ile kullanmak için çoklu oturum açma 'yı yapılandırırsınız. Bu adımı, Azure AD ile eşitlenen her orman için bir kez yapabilirsiniz. Yapılandırma iki adımdan oluşur:
- Şirket içi Active Directory örneğinde gerekli bilgisayar hesabını oluşturun.
- İstemci makinelerin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırın.
Active Directory'de bilgisayar hesabını oluşturma
Azure AD Connect eklenen her orman için, bilgisayar hesabının her ormanda oluşturulabilmesi için etki alanı yöneticisi kimlik bilgilerini sağlamanız gerekir. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır. Bunlar başka bir işlem için depolanmaz veya kullanılmaz. Aşağıdaki görüntüde gösterildiği gibi Çoklu oturum açma sayfasında kimlik bilgilerini ekleyin.
Not
Çoklu oturum açma kullanmak istemediğiniz ormanları atlayabilirsiniz.
İstemci makineler için Intranet bölgesini yapılandırma
İstemcinin intranet bölgesinde otomatik olarak oturum açtığından emin olmak için URL 'nin intranet bölgesinin bir parçası olduğundan emin olun. Bu adım, etki alanına katılmış bilgisayarın kurumsal ağa bağlıyken Azure AD 'ye otomatik olarak bir Kerberos bileti göndermesi sağlar.
Grup ilkesi yönetim araçları olan bir bilgisayarda:
Grup ilkesi Yönetim Araçları ' nı açın.
Tüm kullanıcılara uygulanacak grup ilkesini düzenleyin. Örneğin, varsayılan etki alanı ilkesi.
kullanıcı yapılandırması > Yönetim Şablonları > Windows bileşenler > ınternet Explorer > ınternet denetim masası > güvenlik sayfasına gidin. Ardından siteden bölgeye atama listesi' ni seçin.
İlkeyi etkinleştirin. Ardından, iletişim kutusunda bir değer adı
https://autologon.microsoftazuread-sso.comve değeri girin1. Kurulumlarınızın aşağıdaki görüntü gibi görünmesi gerekir.
İki kez Tamam 'ı seçin.
AD FS ile federasyonu yapılandırma
yalnızca birkaç tıklamayla Azure AD Connect ile AD FS yapılandırabilirsiniz. Başlamadan önce şunlar gerekir:
- Windows Server 2012 Federasyon sunucusu için R2 veya üzeri. Uzaktan Yönetim etkinleştirilmelidir.
- Windows Server 2012 Web uygulaması ara sunucusu için R2 veya üzeri. Uzaktan Yönetim etkinleştirilmelidir.
- Kullanmayı düşündüğünüz Federasyon Hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).
Not
AD FS grubunuz için bir TLS/SSL sertifikasını, federasyon güveninizi yönetmek için kullanmasanız bile Azure AD Connect kullanarak güncelleştirebilirsiniz.
AD FS yapılandırma önkoşulları
Azure AD Connect kullanarak AD FS grubunuzu yapılandırmak için, uzak sunucularda WinRM 'nin etkinleştirildiğinden emin olun. Federasyon önkoşulları'ndaki diğer görevleri tamamladığınızdan emin olun. ayrıca Azure AD Connect ve federasyon/WAP sunucuları tablosunda listelenen bağlantı noktaları gereksinimlerini izlediğinizden emin olun.
Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubunu kullanma
Mevcut bir AD FS grubunu kullanabilir veya yeni bir grup oluşturabilirsiniz. Yeni bir tane oluşturmayı seçerseniz, TLS/SSL sertifikasını sağlamanız gerekir. TLS/SSL sertifikası bir parolayla korunuyorsa, parolayı girmeniz istenir.
Mevcut bir AD FS grubunu kullanmayı seçerseniz, AD FS ile Azure AD arasındaki güven ilişkisini yapılandırabileceğiniz sayfayı görürsünüz.
Not
yalnızca bir AD FS grubunu yönetmek için Azure AD Connect kullanabilirsiniz. Azure AD 'nin seçili AD FS grubunda yapılandırıldığı mevcut bir federasyon güveniniz varsa, güveni sıfırdan yeniden oluşturur Azure AD Connect.
AD FS sunucularını belirtme
AD FS yüklemek istediğiniz sunucuları belirtin. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. Bu yapılandırmayı ayarlamadan önce, tüm AD FS sunucularına Active Directory ekleyin. Web uygulaması ara sunucuları için bu adım gerekli değildir.
Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir. ilk yapılandırmadan sonra, Azure AD Connect yeniden çalıştırarak ölçekleme gereksinimlerinizi karşılayacak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.
Not
Bu yapılandırmayı ayarlamadan önce, tüm sunucularınızın bir Azure AD etki alanına katılmış olduğundan emin olun.
Web Uygulaması Ara Sunucularını belirtme
Web uygulaması ara sunucularını belirtin. Web uygulaması ara sunucusu, extranet 'e bakan çevre ağınızda dağıtılır. Extranet 'ten gelen kimlik doğrulama isteklerini destekler. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.
Microsoft, test ve pilot dağıtımlar için tek bir Web uygulaması ara sunucusunun yüklenmesini önerir. ilk yapılandırmadan sonra, Azure AD Connect yeniden çalıştırarak ölçekleme gereksinimlerinizi karşılayacak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz. İntranetten kimlik doğrulamasını karşılamak için eşit sayıda proxy sunucunuz olması önerilir.
Not
- Kullandığınız hesap Web uygulaması ara sunucularında yerel yönetici değilse, yönetici kimlik bilgileri istenir.
- web uygulaması ara sunucularını belirlemeden önce, Azure AD Connect sunucusu ile Web uygulaması ara sunucusu arasında HTTP/HTTPS bağlantısının olduğundan emin olun.
- Web uygulaması sunucusu ve AD FS sunucusu arasında, kimlik doğrulama isteklerinin akmasını sağlamak için HTTP/HTTPS bağlantısının olduğundan emin olun.
Web uygulaması sunucusunun AD FS sunucuya güvenli bir bağlantı kurmasını sağlamak için kimlik bilgilerini girmeniz istenir. Bu kimlik bilgileri AD FS sunucusundaki bir yerel yönetici hesabı için olmalıdır.
AD FS hizmetine ilişkin hizmet hesabını belirtme
AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory Kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir. AD FS hizmeti, iki hizmet hesabı türünü destekler:
- Grup tarafından yönetilen hizmet hesabı: Bu hesap türü Windows Server 2012 tarafından AD DS tanıtılmıştır. Bu tür bir hesap, AD FS gibi hizmetler sağlar. Parolayı düzenli olarak güncelleştirmeniz gerekmeyen tek bir hesaptır. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.
- Etki alanı kullanıcı hesabı: Bu hesap türü, bir parola sağlamanızı ve süresi sona erdiğinde düzenli olarak güncelleştirmenizi gerektirir. bu seçeneği yalnızca AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz yoksa kullanın.
Grup tarafından yönetilen hizmet hesabı oluştur ' u seçtiyseniz ve bu özellik Active Directory hiç kullanılmadıysa, kurumsal yönetici kimlik bilgilerinizi girin. Bu kimlik bilgileri, anahtar deposunu başlatmak ve Active Directory'de ilgili özelliği etkinleştirmek için kullanılır.
Not
Azure AD Connect, AD FS hizmetinin etki alanında zaten bir hizmet asıl adı (SPN) olarak kayıtlı olup olmadığını denetler. Azure AD DS, yinelenen SPN 'Lerin aynı anda kaydedilmesine izin vermez. Yinelenen bir SPN bulunursa, SPN kaldırılana kadar devam edemezsiniz.
Federasyona eklemek istediğiniz Azure AD etki alanını seçin
AD FS ile Azure AD arasında federasyon ilişkisi ayarlamak için Azure AD etki alanı sayfasını kullanın. Burada Azure AD 'ye güvenlik belirteçleri sağlamak için AD FS yapılandırırsınız. Ayrıca, Azure AD 'yi bu AD FS örneğinden belirteçlere güvenecek şekilde yapılandırırsınız.
Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz. Daha sonra Azure AD Connect'i tekrar çalıştırarak daha fazla etki alanını yapılandırabilirsiniz.
Federasyon için seçilen Azure AD etki alanını doğrulama
federasyona eklemek istediğiniz etki alanını seçtiğinizde, Azure AD Connect doğrulanmamış bir etki alanını doğrulamak için kullanabileceğiniz bilgiler sağlar. Daha fazla bilgi için bkz. etki alanı ekleme ve doğrulama.
Not
Azure AD Connect, yapılandırma aşamasında etki alanını doğrulamaya çalışır. Gerekli etki alanı adı sistemi (DNS) kayıtlarını eklememeniz durumunda yapılandırma tamamlanamaz.
PingFederate ile federasyonu yapılandırma
pingfederate 'i yalnızca birkaç tıklamayla Azure AD Connect ile yapılandırabilirsiniz. Aşağıdaki Önkoşullar gereklidir:
- PingFederate 8,4 veya sonraki bir sürümü. daha fazla bilgi için bkz. Azure Active Directory ve Microsoft 365 ile pingfederate tümleştirmesi.
- Kullanmayı düşündüğünüz Federasyon Hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).
Etki alanını doğrulama
PingFederate 'i kullanarak Federasyonu ayarlamayı seçtikten sonra, Federasyona eklemek istediğiniz etki alanını doğrulamanız istenir. Açılır menüden etki alanını seçin.
PingFederate ayarlarını dışarı aktarma
Her bir federasyon Azure etki alanı için Federasyon sunucusu olarak PingFederate 'i yapılandırın. bu bilgileri pingfederate yöneticisiyle paylaşmak için dışarı aktar Ayarlar seçin. federasyon sunucusu yöneticisi yapılandırmayı güncelleştirir ve ardından Azure AD Connect meta veri ayarlarını doğrulayabilmesi için pingfederate sunucu URL 'sini ve bağlantı noktası numarasını sağlar.
Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun. Aşağıdaki görüntüde, Azure ile geçerli bir güven ilişkisine sahip olmayan bir PingFederate sunucusuyla ilgili bilgiler gösterilmektedir.
Federasyon bağlantısını doğrulama
Azure AD Connect, önceki adımda yer alan pingfederate meta verilerinden aldığı kimlik doğrulama uç noktalarını doğrulamaya çalışır. Azure AD Connect ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözümlemeye çalışır. Sonra, dış bir DNS sağlayıcısı kullanarak uç noktaları çözümlemeye çalışır. Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.
Federasyon oturum açmayı doğrulama
Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz. Oturum açma işlemi başarılı olursa, PingFederate ile Federasyon başarıyla yapılandırılır.
Yapılandırma ve doğrulama sayfaları
Yapılandırma yapılandırma sayfasında gerçekleşir .
Not
Federasyonu yapılandırdıysanız, yüklemeye devam etmeden önce Federasyon sunucuları Için ad çözümlemesi de yapılandırdığınızdan emin olun.
Hazırlama modunu kullan
Hazırlama moduyla paralel olarak yeni bir eşitleme sunucusu kurmak mümkündür. Bu kurulumu kullanmak istiyorsanız, buluttaki tek bir dizine yalnızca bir eşitleme sunucusu dışarı aktarabilirsiniz. ancak başka bir sunucudan taşımak istiyorsanız (örneğin, DirSync çalıştıran bir sunucu), hazırlama modunda Azure AD Connect etkinleştirebilirsiniz.
Hazırlama kurulumunu etkinleştirdiğinizde, eşitleme altyapısı verileri normal olarak içeri aktarır ve eşitler. Ancak, Azure AD 'ye veya Active Directory hiçbir veri dışa aktarır. Hazırlama modunda parola eşitleme özelliği ve parola geri yazma özelliği devre dışıdır.
Hazırlama modunda, eşitleme altyapısında gerekli değişiklikleri yapabilir ve nelerin aktarılacağını inceleyebilirsiniz. Yapılandırmayla ilgili bir sorun yoksa yükleme sihirbazını tekrar çalıştırın ve hazırlama modunu devre dışı bırakın.
Veriler artık sunucudan Azure AD 'ye aktarılmıştır. Yalnızca bir sunucunun etkin şekilde dışarı aktarma işlemi gerçekleştirmesini sağlamak için, diğer sunucuyu devre dışı bıraktığınızdan emin olun.
Daha fazla bilgi için bkz. Hazırlama modu.
Federasyon yapılandırmanızı doğrulama
Azure AD Connect doğrula düğmesini seçtiğinizde DNS ayarlarını doğrular. Aşağıdaki ayarları denetler:
- Intranet bağlantısı
- federasyon fqdn 'sini çözümle: Azure AD Connect, DNS 'in bağlantı sağlamak için federasyon FQDN 'sini çözümleyip çözemeyeceğini denetler. Azure AD Connect FQDN 'yi çözümleyemezse doğrulama başarısız olur. Doğrulamayı gerçekleştirmek için, Federasyon hizmeti FQDN 'SI için bir DNS kaydı bulunduğundan emin olun.
- DNS A kaydı: federasyon hizmetinizin bir kayıt olup olmadığını denetler Azure AD Connect. Bir kayıt yokluğunda doğrulama başarısız olur. Doğrulamayı gerçekleştirmek için, Federasyon FQDN 'niz için bir kayıt (CNAME kaydı değil) oluşturun.
- Extranet bağlantısı
federasyon fqdn 'sini çözümle: Azure AD Connect, DNS 'in bağlantı sağlamak için federasyon FQDN 'sini çözümleyip çözemeyeceğini denetler.
Uçtan uca kimlik doğrulamayı doğrulamak için aşağıdaki testlerin bir veya daha fazlasını el ile gerçekleştirin:
- eşitleme tamamlandığında, Azure AD Connect ' de, seçtiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulamak için federasyon oturum açmayı doğrula ek görevini kullanın.
- İntranetteki etki alanına katılmış bir makineden, bir tarayıcıdan oturum açabildiğinizden emin olun. Bağlan https://myapps.microsoft.com . Sonra oturum açmayı doğrulamak için oturum açmış hesabınızı kullanın. Yerleşik Azure AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanamazsınız.
- Extranet 'teki bir cihazdan oturum açabildiğinizden emin olun. Bir giriş makinesinde veya bir mobil cihazda ' e bağlanın https://myapps.microsoft.com . Ardından kimlik bilgilerinizi sağlayın.
- Zengin istemci oturumu açma işlemini doğrulayın. Bağlan https://testconnectivity.microsoft.com . Office 365 > Office 365 tek Sign-On Test' i seçin.
Sorun giderme
bu bölüm, Azure AD Connect yüklenirken bir sorununuz varsa kullanabileceğiniz sorun giderme bilgilerini içerir.
bir Azure AD Connect yüklemesini özelleştirdiğinizde, gerekli bileşenleri yükleme sayfasında, var olan bir SQL Server kullan seçeneğini belirleyebilirsiniz. şu hatayla karşılaşabilirsiniz: "AD Eşitleme veritabanı zaten veri içeriyor ve üzerine yazılamaz. Lütfen var olan veritabanını kaldırın ve yeniden deneyin. "
belirttiğiniz SQL Server SQL örneğinde zaten AD Eşitleme adlı bir veritabanı bulunduğundan, bu hatayı görürsünüz.
Azure AD Connect kaldırıldıktan sonra genellikle bu hatayı görürsünüz. veritabanı, Azure AD Connect kaldırdığınızda SQL Server çalıştıran bilgisayardan silinmez.
Bu sorunu gidermek için:
kaldırılmadan önce Azure AD Connect kullanılan AD Eşitleme veritabanını kontrol edin. Veritabanının artık kullanılmadığından emin olun.
Veritabanını yedekleyin.
Veritabanını silin:
- SQL örneğine bağlanmak için Microsoft SQL Server Management Studio kullanın.
- AD Eşitleme veritabanını bulun ve sağ tıklayın.
- Bağlam menüsünde Sil' i seçin.
- Veritabanını silmek için Tamam ' ı seçin.
AD Eşitleme veritabanını sildikten sonra yüklemeyi yeniden denemek için yükleme ' yi seçin.
Sonraki adımlar
Yükleme bittikten sonra Windows oturumunuzu kapatın. Synchronization Service Manager veya eşitleme kuralı düzenleyicisini kullanmadan önce tekrar oturum açın.
Azure AD Connect yükleolduğunuza göre, yükleme ve lisansları atama' yı doğrulayabilirsiniz.
yükleme sırasında etkinleştirdiğiniz özellikler hakkında daha fazla bilgi için bkz. yanlışlıkla silmeleri ve Azure AD Connect Healthönleme.
diğer yaygın konular hakkında daha fazla bilgi için bkz. Azure AD Connect eşitleme: zamanlayıcı ve şirket içi kimliklerinizi Azure AD ile tümleştirme.