Azure AD Connect özel yüklemesiCustom installation of Azure AD Connect

Yükleme için daha fazla seçenek istediğinizde Azure AD Connect Özel ayarları kullanılır.Azure AD Connect Custom settings is used when you want more options for the installation. Birden fazla ormanınız varsa veya hızlı yükleme kapsamında yer almayan isteğe bağlı özellikleri yapılandırmak istiyorsanız kullanılır.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Hızlı yükleme seçeneğinin dağıtımınız veya topolojiniz için uygun olmadığı tüm durumlarda kullanılır.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Azure AD Connect'i yüklemeye başlamadan önce emin olun Azure AD Connect'i indirdiğinizden ve adımları tamamlayın önkoşul Azure AD Connect: Donanım ve Önkoşullar.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Ayrıca Azure AD Connect hesapları ve izinleri bölümünde açıklandığı üzere, gerekli hesaplara sahip olduğunuzdan olduğundan emin olun .Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Özelleştirilmiş ayarları Örneğin, Dirsync'i yükseltmek topolojinizi eşleşmiyorsa diğer senaryolar için ilgili belgelere bakın.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Azure AD Connect özel ayarlarını yüklemeCustom settings installation of Azure AD Connect

Hızlı AyarlarExpress Settings

Özelleştirilmiş ayarlar yüklemeyi başlatmak için bu sayfada Özelleştir'e tıklayın.On this page, click Customize to start a customized settings installation.

Gerekli bileşenleri yüklemeInstall required components

Eşitleme hizmetlerini yüklerken isteğe bağlı yapılandırma bölümünü işaretlenmemiş olarak bırakabilirsiniz. Bu durumda, Azure AD Connect her şeyi otomatik olarak ayarlar.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. SQL Server 2012 Express LocalDB örneğini ayarlar, uygun gruplar oluşturur ve izinleri atar.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Varsayılanları değiştirmek isterseniz var olan isteğe bağlı yapılandırma seçeneklerini anlamak üzere aşağıdaki tabloya bakabilirsiniz.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Gerekli Bileşenler

İsteğe Bağlı YapılandırmaOptional Configuration AçıklamaDescription
Mevcut bir SQL Server'ı kullanmaUse an existing SQL Server SQL Server adını ve örnek adını belirtebilirsiniz.Allows you to specify the SQL Server name and the instance name. Kullanmak istediğiniz bir veritabanı sunucusu zaten varsa bu seçeneği belirleyin.Choose this option if you already have a database server that you would like to use. SQL Server'ınızda gözatma özelliği etkin değilse Örnek Adı alanına örnek adını girin, virgül ekleyin ve bağlantı noktası numarasını girin.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Ardından Azure AD Connect veritabanının adını belirtin.Then specify the name of the Azure AD Connect database. Yeni bir veritabanı oluşturulacak ya da SQL yöneticinize veritabanını önceden oluşturmak gerekir, SQL ayrıcalıklarına belirleyin.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Bkz. SQL SA izinlere sahipseniz varolan bir veritabanını kullanarak yükleme.If you have SQL SA permissions see How to install using an existing database. Temsilci izinleri (DBO) atanmış olup Azure AD Connect'i yükleme SQL yönetici temsilcisi izinlerini ile.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Mevcut bir hizmet hesabını kullanmaUse an existing service account Varsayılan olarak Azure AD Connect, eşitleme hizmetleri tarafından kullanılmak üzere sanal bir hizmet hesabı kullanır.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Kimlik doğrulaması gerektiren bir ara sunucu veya uzak bir SQL sunucusu kullanıyorsanız yönetilen bir hizmet hesabı kullanmanız veya etki alanında bir hizmet kullanıp parolayı biliyor olmanız gerekir.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. Bu gibi durumlarda kullanılacak olan hesabı girin.In those cases, enter the account to use. Hizmet hesabı için oturum açma seçeneğinin oluşturulabilmesi için, yüklemeyi çalıştıran kullanıcının SQL'de bir Sistem Yöneticisi olduğundan emin olun.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Bkz. Azure AD Connect hesapları ve izinleri.See Azure AD Connect accounts and permissions.
En son sürümle, veritabanını sağlama, artık SQL yöneticisi tarafından bant dışında gerçekleştirilebilir ve ardından veritabanı sahibi haklarıyla Azure AD Connect yöneticisi tarafından yüklenebilir.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Daha fazla bilgi için bkz. SQL yönetici temsilcisi izinlerini kullanarak Azure AD Connect'i yükleme.For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Özel eşitleme grubu belirtmeSpecify custom sync groups Eşitleme hizmetleri yüklendiğinde Azure AD Connect varsayılan olarak sunucu için dört yerel grup oluşturur.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Bu gruplar şunlardır: Yöneticiler grubu, işleçler grubu, gözatma grubu ve parola sıfırlama grubudur.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Kendi gruplarınızı burada belirtebilirsiniz.You can specify your own groups here. Gruplar sunucuda yerel olmalıdır ve etki alanında bulunamazlar.The groups must be local on the server and cannot be located in the domain.

Kullanıcı oturumu açmaUser sign-in

Gerekli bileşenleri yükledikten sonra kullanıcı çoklu oturumu açma yönteminizi seçmeniz istenir.After installing the required components, you are asked to select your users single sign-on method. Aşağıdaki tabloda mevcut seçeneklerle ilgili kısa bir açıklama bulunmaktadır.The following table provides a brief description of the available options. Oturum açma yöntemleriyle ilgili tam açıklama için bkz. Kullanıcı oturumu açma.For a full description of the sign-in methods, see User sign-in.

Kullanıcı Oturumu açma

Çoklu Oturum Açma SeçeneğiSingle Sign On option AçıklamaDescription
Parola Karması EşitlemePassword Hash Sync Kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Kullanıcı parolaları, parola karması olarak Azure AD ile eşitlenir ve bulutta bir kimlik doğrulaması gerçekleşir.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Daha fazla bilgi için bkz. Parola karması eşitleme.See Password hash synchronization for more information.
Doğrudan Kimlik DoğrulamaPass-through Authentication Kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Kullanıcının parolası, doğrulanmak üzere şirket içi Active Directory etki alanı denetleyicisine geçirilir.The users password is passed through to the on-premises Active Directory domain controller to be validated.
AD FS ile FederasyonFederation with AD FS Kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Kullanıcılar oturum açmak üzere kendi şirket içi AD FS örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
PingFederate ile federasyonFederation with PingFederate Kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Kullanıcılar oturum açmak üzere kendi şirket içi PingFederate örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
YapılandırmayınDo not configure Kullanıcı oturum açma özelliği yüklenmez ve yapılandırılmaz.No user sign-in feature is installed and configured. Zaten 3. taraf bir federasyon sunucunuz varsa veya başka bir çözümden faydalanıyorsanız bu seçeneği belirleyin.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Çoklu Oturum Açmayı EtkinleştirEnable Single Sign on Bu seçenek hem parola karması eşitleme hem de doğrudan kimlik doğrulaması ile kullanılabilir ve masaüstü kullanıcılarına kurumsal ağda çoklu oturum açma deneyimi sağlar.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Daha fazla bilgi için bkz. Çoklu oturum açma.See Single sign-on for more information.
AD FS zaten aynı düzeyde çoklu oturum açma olanağı sağladığından, AD FS müşterilerinin bu seçeneği kullanamayacağı unutulmamalıdır.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Azure AD'ye BağlanmaConnect to Azure AD

Azure AD'ye Bağlanma ekranında, genel yönetici hesabı ve parolasını girin.On the Connect to Azure AD screen, enter a global admin account and password. Önceki sayfada AD FS ile Federasyon seçeneğini belirlediyseniz etki alanında federasyon için etkinleştirmeyi düşündüğünüz bir hesap ile oturum açmayın.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Azure AD kiracınızla sunulan, varsayılan onmicrosoft.com etki alanındaki bir hesabı kullanmanız önerilir.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Bu hesap yalnızca Azure AD'de hizmet hesabı oluşturmak için kullanılır ve sihirbaz tamamlandıktan sonra kullanılmaz.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Kullanıcı Oturumu açma

Genel yönetici hesabınızda MFA etkinse açılır oturum açma penceresine parolayı tekrar girmeniz ve MFA testini tamamlamanız gerekir.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Test için bir doğrulama kodu sağlanır veya telefon görüşmesi yapılır.The challenge could be a providing a verification code or a phone call.
MFA’da kullanıcı Oturumu açma

Genel yönetici hesabında Privileged Identity Management seçeneği de etkin olabilir.The global admin account can also have Privileged Identity Management enabled.

Bir hatayla karşılaştıysanız ve bağlantı sorunlarınız varsa bkz. Bağlantı sorunlarını giderme.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Eşitleme bölümünde yer alan sayfalarPages under the Sync section

Dizinlerinizi bağlamaConnect your directories

Azure AD Connect'in, Active Directory Etki Alanı Hizmetinize bağlanabilmesi için yeterli izinlere sahip bir hesabın orman adı ve kimlik bilgilerine sahip olması gerekir.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Connect Dizini

Orman adını girip Dizin Ekle’ye tıkladıktan sonra, bir iletişim kutusu açılır ve aşağıdaki seçenekler sunulur:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

SeçenekOption AçıklamaDescription
Yeni hesap oluşturCreate new account Dizin eşitlemesi sırasında Azure AD Connect’in AD ormanına bağlanması için gereken AD DS hesabını Azure AD Connect sihirbazının oluşturmasını istiyorsanız bu seçeneği belirleyin.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Bu seçenek belirlendiğinde, bir kuruluş yöneticisi hesabının kullanıcı adını ve parolasını girmeniz gerekir.When this option is selected, enter the username and password for an enterprise admin account. Sağlanan kuruluş yöneticisi hesabı, Azure AD Connect sihirbazı tarafından gerekli AD DS hesabını oluşturmak için kullanılır.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Etki alanı bölümünü NetBIOS veya FQDN biçiminde (örneğin, FABRIKAM\yönetici veya fabrikam.com\yönetici) girebilirsiniz.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Mevcut hesabı kullanUse existing account Dizin eşitlemesi sırasında Azure AD Connect tarafından AD ormanına bağlanmak için kullanılmak üzere mevcut bir AD DS hesabı sağlamak istiyorsanız bu seçeneği belirleyin.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Etki alanı bölümünü NetBIOS veya FQDN biçiminde (ör. FABRIKAM\eşitlemekullanıcısı veya fabrikam.com\eşitlemekullanıcısı) girebilirsiniz.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Yalnızca varsayılan okuma izinleri gerekli olduğundan, bu hesap normal bir kullanıcı hesabı olabilir.This account can be a regular user account because it only needs the default read permissions. Ancak senaryonuza bağlı olarak daha fazla izin gerekebilir.However, depending on your scenario, you may need more permissions. Daha fazla bilgi için bkz. Azure AD Connect Hesapları ve izinleri.For more information, see Azure AD Connect Accounts and permissions.

Connect Dizini

Azure AD oturum açma yapılandırmasıAzure AD sign-in configuration

Bu sayfa, Azure AD'de doğrulanmış olup şirket içi AD DS'de var olan UPN etki alanlarını gözden geçirmenize olanak sağlar.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Ayrıca bu sayfa sayesinde userPrincipalName için kullanılacak özniteliği yapılandırabilirsiniz.This page also allows you to configure the attribute to use for the userPrincipalName.

Doğrulanmamış etki alanlarıUnverified domains
Eklenmedi ve Doğrulanmadı olarak işaretlenen tüm etki alanlarını gözden geçirin.Review every domain marked Not Added and Not Verified. Kullandığınız etki alanlarının Azure AD'de doğrulanmış olduğundan emin olun.Make sure those domains you use have been verified in Azure AD. Etki alanlarınızı doğruladıktan sonra Yenile simgesine tıklayın.Click the Refresh symbol when you have verified your domains. Daha fazla bilgi için bkz. etki alanı ekleme ve doğrulamaFor more information, see add and verify the domain

UserPrincipalName - userPrincipalName özniteliği, kullanıcıların Azure AD'de ve Office 365'te oturum açarken kullandıkları özniteliktir.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Kullanıcılar eşitlenmeden önce, UPN soneki olarak da bilinen kullanılan etki alanlarının Azure AD'de doğrulanması gerekir.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Microsoft, userPrincipalName varsayılan özniteliğinin tutulmasını önerir.Microsoft recommends to keep the default attribute userPrincipalName. Bu öznitelik yönlendirilemeyen bir öznitelikse ve doğrulanamazsa başka bir öznitelik seçebilirsiniz.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Örneğin, oturum açma kimliğinin bulunduğu öznitelik olarak e-postayı seçin.You can for example select email as the attribute holding the sign-in ID. userPrincipalName dışında başka bir özniteliğin kullanılmasına Alternatif kimlik adı verilir.Using another attribute than userPrincipalName is known as Alternate ID. Alternatif kimlik öznitelik değeri, RFC822 standardına uygun olmalıdır.The Alternate ID attribute value must follow the RFC822 standard. Alternatif bir kimlik parola karma eşitlemesi, doğrudan kimlik doğrulaması ve federasyon ile kullanılabilir.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Öznitelik, tek bir değere sahip olsa bile, Active Directory'de birden çok değerli olarak tanımlanmamalıdır.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value.

Not

Doğrudan Kimlik Doğrulama’yı etkinleştirdiğinizde, sihirbazda devam edebilmeniz için en az bir doğrulanmış etki alanına sahip olmanız gerekir.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Uyarı

Alternatif kimlik kullanımı, hiçbir Office 365 iş yükü ile uyumlu değildir.Using an Alternate ID is not compatible with all Office 365 workloads. Daha fazla bilgi için Alternatif Oturum Açma Kimliğini Yapılandırma bölümüne bakın.For more information, refer to Configuring Alternate Login ID.

Etki alanı ve OU filtrelemeDomain and OU filtering

Varsayılan olarak tüm etki alanları ve OU'lar eşitlenir.By default all domains and OUs are synchronized. Azure AD ile eşitlemek istemediğiniz etki alanları veya OU'lar varsa bu etki alanlarının veya OU'ların işaretini kaldırabilirsiniz.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
DomainOU filtrelemeDomainOU filtering
Sihirbazın bu sayfası, etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırmaya yöneliktir.This page in the wizard is configuring domain-based and OU-based filtering. Değişiklik yapmayı planlıyorsanız, yapmadan önce etki alanı tabanlı filtreleme ve OU tabanlı filtreleme konularını inceleyin.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Bazı OU’lar işlevsellik açısından gereklidir ve bunların seçimi kaldırılmamalıdır.Some OUs are essential for the functionality and should not be unselected.

Azure AD Connect’in 1.1.524.0’dan önceki bir sürümü ile OU tabanlı filtreleme kullanıyorsanız, daha sonra eklenen yeni OU’lar varsayılan olarak eşitlenir.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Yeni OU'ların eşitlenmesini istemezseniz, sihirbazın ou tabanlı filtreleme yapılandırması tamamlandıktan sonra gerekli ayarları yapabilirsiniz.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Azure AD Connect sürüm 1.1.524.0 ve üzeri sürümlerde, yeni OU’ların eşitlenmesini isteyip istemediğinizi belirtebilirsiniz.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Grup tabanlı filtreleme kullanmayı planlıyorsanız, gruba sahip OU'nun dahil olduğundan ve OU filtreleme ile filtrelenmediğinden emin olun.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. OU filtreleme, grup tabanlı filtrelemeden önce değerlendirilir.OU filtering is evaluated before group-based filtering.

Güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına erişilemeyebilir.It is also possible that some domains are not reachable due to firewall restrictions. Bu etki alanları varsayılan olarak seçili değildir ve uyarı içerir.These domains are unselected by default and have a warning.
Erişilemeyen etki alanları
Bu uyarıyı görürseniz bu etki alanlarına gerçekten erişilemediğinden ve bir uyarının beklendiğinden emin olun.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Kullanıcılarınızı benzersiz olarak tanımlamaUniquely identifying your users

Şirket içi dizinlerinizde kullanıcıların nasıl tanımlanması gerektiğini seçinSelect how users should be identified in your on-premises directories

Ormanlar arasında eşleştirme özelliği sayesinde, AD DS ormanlarındaki kullanıcıların Azure AD'de nasıl temsil edildiğini tanımlayabilirsiniz.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Bir kullanıcı ya tüm ormanlarda yalnızca bir kez temsil edilebilir ya da etkin ve devre dışı hesapların birleşimine sahip olabilir.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. Ayrıca kullanıcı, bazı ormanlarda kişi olarak da temsil edilebilir.The user might also be represented as a contact in some forests.

Benzersiz

AyarSetting AçıklamaDescription
Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edilirUsers are only represented once across all forests Tüm kullanıcılar Azure AD'de bireysel nesne olarak oluşturulur.All users are created as individual objects in Azure AD. Nesneler meta veri deposunda birleştirilmez.The objects are not joined in the metaverse.
Posta özniteliğiMail attribute Bu seçenek, posta özniteliğinin farklı ormanlarda aynı değere sahip olması halinde kullanıcıları ve kişileri birleştirir.This option joins users and contacts if the mail attribute has the same value in different forests. Kişileriniz GALSync kullanılarak oluşturulduysa bu seçeneği kullanın.Use this option when your contacts have been created using GALSync. Bu seçenek belirtildiyse, Posta özniteliği doldurulmamış olan Kullanıcı nesneleri Azure AD'ye eşitlenmez.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID ve msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Bu seçenek, hesap ormanındaki etkin bir kullanıcıyla kaynak ormandaki devre dışı bırakılmış bir kullanıcıyı birleştirir.This option joins an enabled user in an account forest with a disabled user in a resource forest. Bu yapılandırma, Exchange'de bağlı posta kutusu olarak bilinir.In Exchange, this configuration is known as a linked mailbox. Yalnızca Lync'i kullanıyor olmanız ve kaynak ormanda Exchange olmaması halinde de bu seçeneği kullanabilirsiniz.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName ve MailNickNamesAMAccountName and MailNickName Bu seçenek, kullanıcı için oturum açma kimliğinin bulunması beklenen öznitelikleri birleştirir.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Belirli bir öznitelikA specific attribute Bu seçenek, kendi özniteliğinizi seçmenize olanak tanır.This option allows you to select your own attribute. Bu seçenek belirtildiyse, (seçili) özniteliği doldurulmamış olan Kullanıcı nesneleri Azure AD'ye eşitlenmez.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Sınırlama: Meta veri deposunda bulunabilecek bir özniteliği seçtiğinizden emin olun.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Özel bir öznitelik (meta veri deposunda olmayan) seçerseniz sihirbaz tamamlanamaz.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Azure AD - Kaynak Bağlantısı ile kullanıcıların nasıl tanımlanması gerektiğini seçinSelect how users should be identified with Azure AD - Source Anchor

SourceAnchor özniteliği, kullanıcı nesnesinin yaşam süresi boyunca sabit olan bir özniteliktir.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Şirket içi kullanıcıyı Azure AD'deki kullanıcıya bağlayan birincil anahtardır.It is the primary key linking the on-premises user with the user in Azure AD.

AyarSetting AçıklamaDescription
Kaynak bağlantısını benim için Azure yönetsinLet Azure manage the source anchor for me Azure AD’nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin.Select this option if you want Azure AD to pick the attribute for you. Bu seçeneği belirlerseniz Azure AD Connect Sihirbazı makale bölümünde açıklanan sourceAnchor özniteliği seçim mantığını uygular Azure AD Connect: Tasarım kavramları - ms-DS-Consistencyguid'i sourceAnchor olarak kullanma.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. Özel yükleme tamamlandıktan sonra sihirbaz, Kaynak Bağlantısı özniteliği olarak hangi özniteliğin seçildiğini size bildirir.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Belirli bir öznitelikA specific attribute SourceAnchor özniteliği olarak mevcut bir AD özniteliğini belirtmek istiyorsanız bu seçeneği belirleyin.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Öznitelik değiştirilemeyeceği için kullanmak üzere iyi bir öznitelik seçmeniz gerekir.Since the attribute cannot be changed, you must plan for a good attribute to use. ObjectGUID iyi bir seçenektir.A good candidate is objectGUID. Kullanıcı hesabı ormanlar/etki alanları arasında taşınmadığı sürece bu öznitelik değiştirilemez.This attribute is not changed, unless the user account is moved between forests/domains. Bir kişi evlendiğinde değişecek olan veya atamaları değiştirecek olan öznitelikleri kullanmaktan kaçının.Avoid attributes that would change when a person marries or change assignments. @-sign içeren nitelikleri kullanamazsınız. Bu nedenle e-posta ve userPrincipalName seçeneği kullanılamaz.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. Ayrıca öznitelikler büyük küçük harfe duyarlıdır. Bu nedenle bir nesneyi ormanlar arasında taşıdığınızda, büyük/küçük harfleri doğru yazdığınızdan emin olun.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. İkili öznitelikler base64 kodludur ancak diğer öznitelik türleri kodlanmamış durumda kalır.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. Federasyon senaryolarında ve bazı Azure AD arabirimlerinde, bu öznitelik immutableID özniteliği olarak da bilinir.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Kaynak bağlantısı hakkında daha fazla bilgi için bkz. tasarım kavramları.More information about the source anchor can be found in the design concepts.

Grup tabanlı eşitleme filtrelemesiSync filtering based on groups

Grup filtreleme özelliği, pilot için yalnızca küçük bir nesne alt kümesini eşitlemenize olanak sağlar.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Bu özelliği kullanmak için şirket içi Active Directory'nizde bu amaca uygun bir grup oluşturun.To use this feature, create a group for this purpose in your on-premises Active Directory. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları ekleyin.Then add users and groups that should be synchronized to Azure AD as direct members. Daha sonra, Azure AD'de mevcut olması gereken nesnelerin listesini korumak için bu gruba kullanıcı ekleyebilir ve gruptan kullanıcı çıkarabilirsiniz.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Eşitlemek istediğiniz tüm nesneler grubun doğrudan üyesi olmalıdır.All objects you want to synchronize must be a direct member of the group. Tüm kullanıcılar, gruplar, kişiler ve bilgisayarlar/cihazlar doğrudan üye olmalıdır.Users, groups, contacts, and computers/devices must all be direct members. İç içe geçmiş grup üyelikleri çözümlenmez.Nested group membership is not resolved. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir; üyeleri eklenmez.When you add a group as a member, only the group itself is added and not its members.

Eşitleme Filtreleme

Uyarı

Bu özellik yalnızca pilot dağıtımı desteklemek üzere tasarlanmıştır.This feature is only intended to support a pilot deployment. Bu özelliği tam gelişmiş üretim dağıtımında kullanmayın.Do not use it in a full-blown production deployment.

Tam gelişmiş üretim dağıtımında, tüm nesneleri eşitlenecek olan tek bir grubu kullanmak zordur.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Bunun yerine, Filtreleme yapılandırma bölümünde belirtilen yöntemlerden birini kullanın.Instead you should use one of the methods in Configure filtering.

İsteğe Bağlı ÖzelliklerOptional Features

Bu ekran, belirli senaryolarınız için isteğe bağlı özellikler seçmenizi sağlar.This screen allows you to select the optional features for your specific scenarios.

Uyarı

Azure AD Connect sürüm 1.0.8641.0 ve öncesi, parola geri yazma özelliği için Azure Access Control Service kullanır.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Bu hizmet, 7 Kasım 2018 tarihinde kullanımdan kaldırılacaktır.This service will be retired on November 7th 2018. Bu Azure AD Connect sürümlerinden birini kullanıyorsanız ve parola geri yazma özelliğini etkinleştirdiyseniz, hizmet kullanımdan kaldırıldıktan sonra kullanıcılar parolalarını değiştirme veya sıfırlama olanağını kaybedebilir.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. Bu Azure AD Connect sürümleriyle parola geri yazma özelliği desteklenmeyecektir.Password writeback with these versions of Azure AD Connect will not be supported.

Hakkında daha fazla bilgi için Azure erişim denetimi hizmet bkz nasıl yapılır: Azure erişim denetimi Hizmeti'nden geçişFor more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Azure AD Connect'in en son sürümünü indirmek için buraya tıklayın.To download the latest version of Azure AD Connect click here.

İsteğe bağlı özellikler

Uyarı

Şu anda DirSync veya Azure AD Eşitleme etkinse Azure AD Connect'te geri yazma özelliklerinden herhangi birini etkinleştirmeyin.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

İsteğe Bağlı ÖzelliklerOptional Features AçıklamaDescription
Exchange Karma DağıtımıExchange Hybrid Deployment Exchange Karma Dağıtımı özelliği, Exchange posta kutularının hem şirket içinde hem de Office 365'te aynı anda var olmalarına olanak sağlar.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect, Azure AD'den belirli bir öznitelikler kümesini şirket içi dizininize geri eşitler.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Exchange Posta Ortak KlasörleriExchange Mail Public Folders Exchange Posta Ortak Klasörleri özelliğini kullanarak, posta özellikli Ortak Klasör nesnelerini şirket içi Active Directory’den Azure AD’ye eşitleyebilirsiniz.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Azure AD uygulaması ve öznitelik filtrelemeAzure AD app and attribute filtering Azure AD uygulaması ve öznitelik filtreleme etkinleştirilerek, eşitlenen öznitelikler kümesi uyarlanabilir.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler.This option adds two more configuration pages to the wizard. Daha fazla bilgi için bkz. Azure AD uygulaması ve öznitelik filtreleme.For more information, see Azure AD app and attribute filtering.
Parola karması eşitlemePassword hash synchronization Oturum açma çözümü olarak federasyonu seçtiyseniz bu seçeneği etkinleştirebilirsiniz.If you selected federation as the sign-in solution, then you can enable this option. Bu durumda parola karması eşitleme, bir yedekleme seçeneği olarak kullanılabilir.Password hash synchronization can then be used as a backup option. Ek bilgi için bkz. Parola karması eşitleme.For additional information, see Password hash synchronization.
Doğrudan Kimlik Doğrulama’yı seçtiyseniz bu seçenek, eski istemcilere yönelik destek sağlanması ve yedek bir seçenek olarak kullanılması için etkinleştirilebilir.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Ek bilgi için bkz. Parola karması eşitleme.For additional information, see Password hash synchronization.
Parola geri yazmaPassword writeback Parola geri yazma etkinleştirildiğinde Azure AD'de gerçekleşen parola değişiklikleri şirket içi dizininize geri yazılır.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Daha fazla bilgi için bkz. Parola yönetimine başlarken.For more information, see Getting started with password management.
Grup geri yazmaGroup writeback Office 365 Grupları özelliğini kullanıyorsanız bu gruplar şirket içi Active Directory'nizde de temsil edilir.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Bu seçenek yalnızca şirket içi Active Directory'nizde Exchange varsa kullanılır.This option is only available if you have Exchange present in your on-premises Active Directory. Daha fazla bilgi için bkz. Grup geri yazma.For more information, see Group writeback.
Cihaz geri yazmaDevice writeback Cihaz nesneleri geri yazma için şirket içi Active Directory'nizi Azure AD koşullu erişim senaryoları için sağlar.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Daha fazla bilgi için bkz. Azure AD Connect'te cihaz geri yazma özelliğini etkinleştirme.For more information, see Enabling device writeback in Azure AD Connect.
Dizin genişletme öznitelik eşitlemesiDirectory extension attribute sync Dizin genişletme öznitelik eşitlemesi etkinleştirildiğinde, belirtilen öznitelikler Azure AD ile eşitlenir.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Daha fazla bilgi için bkz. Dizin genişletmeleri.For more information, see Directory extensions.

Azure AD uygulaması ve öznitelik filtrelemeAzure AD app and attribute filtering

Hangi özniteliklerin Azure AD ile eşitleneceğini sınırlamak istiyorsanız kullanmakta olduğunuz hizmetleri seçerek başlatın.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Bu sayfada yapılandırma değişikliği yaparsanız yükleme sihirbazını yeniden çalıştırarak doğrudan yeni bir hizmet seçmeniz gerekir.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

İsteğe bağlı özellikler Uygulamalar

Bu sayfa, önceki adımda seçtiğiniz hizmetlere bağlı olarak eşitlenen tüm öznitelikleri gösterir.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Bu liste, eşitlenmekte olan tüm nesne türlerinin birleşimidir.This list is a combination of all object types being synchronized. Eşitlememeniz gereken bazı öznitelikler varsa bunların seçimlerini kaldırın.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

İsteğe bağlı özellikler Öznitelikler

Uyarı

Özniteliklerin kaldırılması, işlevselliği etkileyebilir.Removing attributes can impact functionality. En iyi yöntemler ve öneriler için bkz. eşitlenen öznitelikler.For best practices and recommendations, see attributes synchronized.

Dizin Genişletme öznitelik eşitlemesiDirectory Extension attribute sync

Kuruluşunuz tarafından eklenen özel öznitelikler veya Active Directory'deki diğer özniteliklerle Azure AD'deki şemayı genişletebilirsiniz.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Bu özelliği kullanmak için İsteğe Bağlı Özellikler sayfasındaki Dizin Genişletme öznitelik eşitlemesi öğesini seçin.To use this feature, select Directory Extension attribute sync on the Optional Features page. Bu sayfada eşitlemek için daha fazla öznitelik seçebilirsiniz.You can select more attributes to sync on this page.

Not

Kullanılabilir öznitelikler kutusu büyük/küçük harfe duyarlıdır.The Available attributes box is case sensitive.

Dizin genişletmeleri

Daha fazla bilgi için bkz. Dizin genişletmeleri.For more information, see Directory extensions.

Çoklu oturum açmayı (SSO) etkinleştirmeEnabling Single sign on (SSO)

Parola Eşitleme veya Doğrudan kimlik doğrulama ile birlikte kullanılmak üzere çoklu oturum açma özelliğinin yapılandırılması, Azure AD ile eşitlenen her ormanda bir kere tamamlamanız gereken basit bir işlemdir.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. Yapılandırma aşağıdaki iki adımdan oluşur:Configuration involves two steps as follows:

  1. Şirket içi Active Directory'nizde gerekli bilgisayar hesabını oluşturma.Create the necessary computer account in your on-premises Active Directory.
  2. İstemci makinelerin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırma.Configure the intranet zone of the client machines to support single sign on.

Active Directory'de bilgisayar hesabını oluşturmaCreate the computer account in Active Directory

Azure AD Connect'e bağlanan tüm ormanlarda bilgisayar hesabının oluşturulabilmesi için, her bir ormanda Etki Alanı Yöneticisi kimlik bilgilerini sağlamanız gerekir.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır ve depolanmaz ya da başka bir işlem için kullanılmaz.The credentials are only used to create the account and are not stored or used for any other operation. Kimlik bilgisini Azure AD Connect sihirbazının Çoklu oturum açmayı etkinleştirme sayfasına eklemeniz gereklidir:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Çoklu oturum açmayı etkinleştirme

Not

Belirli bir ormanda Çoklu oturum açma kullanmak istemiyorsanız o ormanı atlayabilirsiniz.You can skip a particular forest if you do not wish to use Single sign on with that forest.

İstemci makineler için Intranet Bölgesini yapılandırmaConfigure the Intranet Zone for client machines

İntranet bölgesinde otomatik olarak istemci oturum açma işlemleri emin olmak için URL'yi intranet bölgesinin bir parçası olduğundan emin olmak gerekir.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Bunun yapılması, etki alanına katılan bilgisayarın kurumsal ağa bağlandığında Azure AD'ye otomatik olarak bir Kerberos anahtarı göndermesini sağlar.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Grup İlkesi yönetim araçlarına sahip bir bilgisayarda.On a computer that has the Group Policy management tools.

  1. Grup İlkesi Yönetimi araçlarını açınOpen the Group Policy Management tools

  2. Tüm kullanıcılara uygulanacak Grup ilkesini düzenleyin.Edit the Group policy that will be applied to all users. Örneğin, Varsayılan Etki Alanı İlkesi.For example, the Default Domain Policy.

  3. User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page bölümüne gidin ve aşağıdaki şekilde gösterildiği gibi Siteden Bölgeye Atama Listesi'ni seçin.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. İlkeyi etkinleştirin ve iletişim kutusuna aşağıdaki öğeyi girin.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Şunun gibi görünmelidir:It should look similar to the following:
    Intranet Bölgeleri

  6. İki kez Tamam'a tıklayın.Click Ok twice.

AD FS ile federasyonu yapılandırmaConfiguring federation with AD FS

Azure AD Connect ile AD FS'yi yalnızca birkaç tıklama ile kolayca yapılandırabilirsiniz.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Yapılandırma için aşağıdakiler gereklidir.The following is required before the configuration.

  • Federasyon sunucusu için uzaktan yönetimi etkinleştirilmiş bir Windows Server 2012 R2 veya üzeri sunucuA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Web Uygulaması Ara Sunucusu için uzaktan yönetimi etkinleştirilmiş bir Windows Server 2012 R2 veya üzeri sunucuA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Kullanmayı düşündüğünüz federasyon hizmeti adı (örneğin, sts.contoso.com) için bir SSL sertifikasıAn SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Not

Azure AD Connect bileşenini federasyon güveninizi yönetmek için kullanmıyor olsanız dahi AD FS grubunuzun SSL sertifikasını güncelleştirmek için kullanabilirsiniz.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

AD FS yapılandırması önkoşullarıAD FS configuration pre-requisites

Azure AD Connect'i kullanarak AD FS grubunuzu yapılandırmak için uzak sunucularda WinRM'nin etkinleştirildiğinden emin olun.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Federasyon önkoşulları bölümündeki diğer görevleri tamamladığınızdan emin olun.Make sure you have completed the other tasks in federation prerequisites. Ayrıca, Tablo 3 - Azure AD Connect ve Federasyon Sunucuları/WAP bölümünde listelenen bağlantı noktaları gereksinimlerini inceleyin.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubunu kullanmaCreate a new AD FS farm or use an existing AD FS farm

Var olan bir AD FS grubunu kullanabilir veya yeni bir AD FS grubu oluşturmayı seçebilirsiniz.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Yeni bir grup oluşturmayı seçerseniz SSL sertifikası sağlamanız gerekir.If you choose to create a new one, you are required to provide the SSL certificate. SSL sertifikası bir parolayla korunuyorsa parolayı girmeniz istenir.If the SSL certificate is protected by a password, you are prompted for the password.

AD FS Grubu

Var olan bir AD FS grubunu kullanmayı seçerseniz doğrudan AD FS ile Azure AD arasındaki güven ilişkisini yapılandırma ekranına gidersiniz.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Not

Azure AD Connect tek bir AD FS grubunu yönetmek için kullanılabilir.Azure AD Connect can be used to manage only one AD FS farm. Seçilen AD FS grubunda yapılandırılmış Azure AD federasyon güveni varsa bu güven Azure AD Connect tarafından sıfırdan yeniden oluşturulur.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

AD FS sunucularını belirtmeSpecify the AD FS servers

AD FS'yi yüklemek istediğiniz sunucuları girin.Enter the servers that you want to install AD FS on. Kapasite planlama gereksinimlerinize göre bir veya daha fazla sunucu ekleyebilirsiniz.You can add one or more servers based on your capacity planning needs. Bu yapılandırmayı gerçekleştirmeden önce tüm AD FS sunucularının (WAP sunucuları için gerekli değildir) Active Directory'ye katılmasını sağlayın.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir.Microsoft recommends installing a single AD FS server for test and pilot deployments. Ardından, ölçeklendirme gereksinimlerinizi karşılamak için ilk yapılandırmadan sonra Azure AD Connect'i tekrar çalıştırarak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Not

Bu yapılandırmayı geçekleştirmeden önce tüm sunucularınızın bir AD etki alanına katıldığından emin olun.Ensure that all your servers are joined to an AD domain before you do this configuration.

AD FS Sunucuları

Web Uygulaması Ara Sunucularını belirtmeSpecify the Web Application Proxy servers

Web Uygulaması ara sunucusu olarak kullanmak istediğiniz sunucuları girin.Enter the servers that you want as your Web Application proxy servers. Web uygulaması ara sunucusu, çevre ağınızda (extranete yönelik) dağıtılır ve extranetten gelen kimlik doğrulama isteklerini destekler.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Kapasite planlama gereksinimlerinize göre bir veya daha fazla sunucu ekleyebilirsiniz.You can add one or more servers based on your capacity planning needs. Microsoft, test ve pilot dağıtımlar için tek bir Web uygulaması ara sunucusunun yüklenmesini önerir.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Ardından, ölçeklendirme gereksinimlerinizi karşılamak için ilk yapılandırmadan sonra Azure AD Connect'i tekrar çalıştırarak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. İntranetten gelen kimlik doğrulamalarını gerçekleştirebilmek için, aynı sayıda ara sunucuya sahip olmanızı öneririz.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Not

  • Kullandığınız hesap WAP sunucularında yerel yönetici değilse yönetici kimlik bilgileri girmeniz istenir.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Bu adımı gerçekleştirmeden önce Azure AD Connect sunucusu ve Web Uygulaması Ara Sunucusu arasında HTTP/HTTPS bağlantısının olduğundan emin olun.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Doğrulama isteklerinin akışına izin vermek için, Web Uygulaması Sunucusu ve AD FS sunucusu arasında HTTP/HTTPS bağlantısının olduğundan emin olun.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Web Uygulaması

    Web uygulama sunucusunun AD FS sunucusu ile güvenli bir bağlantı kurması için kimlik bilgileri girmeniz istenir.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Bu kimlik bilgilerinin AD FS sunucusunda yerel bir yöneticiye ait olması gerekir.These credentials need to be a local administrator on the AD FS server.

    Ara sunucu

    AD FS hizmetine ilişkin hizmet hesabını belirtmeSpecify the service account for the AD FS service

    AD FS hizmetinin kullanıcıların kimliklerini doğrulayabilmesi ve Active Directory'de kullanıcı bilgilerini arayabilmesi için bir etki alanı hizmet hesabı gerekir.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. AD FS hizmeti, iki hizmet hesabı türünü destekler:It can support two types of service accounts:

    • Grup Tarafından Yönetilen Hizmet Hesabı - Windows Server 2012'de Active Directory Etki Alanı Hizmetleri ile birlikte kullanıma sunuldu.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Bu hesap türü, AD FS (hesap parolasının düzenli olarak güncelleştirilmesi gerekmeyen tek bir hesap) gibi hizmetler sağlarThis type of account provides services, such as AD FS, a single account without needing to update the account password regularly. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Etki Alanı Kullanıcı Hesabı - Bu hesap türü için bir parola sağlamanız ve parola değiştiğinde veya süresi dolduğunda parolayı düzenli olarak güncelleştirmeniz gerekir.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz yoksa bu seçeneği kullanın.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Grup Tarafından Yönetilen Hizmet Hesabı'nı seçtiyseniz ve bu özellik Active Directory'de hiç kullanılmadıysa Kuruluş Yöneticisi kimlik bilgilerini girmeniz istenir.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Bu kimlik bilgileri, anahtar deposunu başlatmak ve Active Directory'de ilgili özelliği etkinleştirmek için kullanılır.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Not

    Azure AD Connect, AD FS hizmetinin etki alanındaki zaten bir SPN olarak kayıtlı olup olmadığını algılamak için bir denetim gerçekleştirir.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. AD DS, yinelenen SPN’lerin aynı anda kaydedilmesine izin vermez.AD DS will not allow duplicate SPN’s to be registered at once. Yinelenen SPN bulunursa, SPN kaldırılana kadar devam etmek mümkün olmaz.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    AD FS Hizmet Hesabı

    Birleştirmek istediğiniz Azure AD etki alanını seçinSelect the Azure AD domain that you wish to federate

    Bu yapılandırma, AD FS ile Azure AD arasındaki federasyon ilişkisini ayarlamak için kullanılır.This configuration is used to setup the federation relationship between AD FS and Azure AD. AD FS'yi, Azure AD'ye güvenlik belirteçleri sağlamak üzere yapılandırır. Ayrıca Azure AD'yi bu belirli AD FS örneğinden gelen belirteçlere güvenecek şekilde yapılandırır.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Bu sayfa, ilk yüklemede yalnızca bir etki alanını yapılandırmanıza izin verir.This page only allows you to configure a single domain in the initial installation. Daha sonra Azure AD Connect'i tekrar çalıştırarak daha fazla etki alanını yapılandırabilirsiniz.You can configure more domains later by running Azure AD Connect again.

    Azure AD Etki Alanı

    Federasyon için seçilen Azure AD etki alanını doğrulamaVerify the Azure AD domain selected for federation

    Birleştirilecek etki alanını seçtiğinizde Azure AD Connect, size doğrulanmamış bir etki alanını doğrulamak için gerekli olan bilgileri sağlar.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Bu bilgileri nasıl kullanacağınız hakkında bilgi edinmek için bkz. Etki alanı ekleme ve doğrulama.See Add and verify the domain for how to use this information.

    Azure AD Etki Alanı

    Not

    AD Connect, etki alanını yapılandırma aşamasında doğrulamaya çalışır.AD Connect tries to verify the domain during the configure stage. Gerekli DNS kayıtlarını eklemeden yapılandırmaya devam ederseniz sihirbaz, yapılandırmayı tamamlayamaz.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    PingFederate ile federasyonu yapılandırmaConfiguring federation with PingFederate

    Azure AD Connect ile PingFederate’i yalnızca birkaç tıklama ile kolayca yapılandırabilirsiniz.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Ancak aşağıdaki önkoşullar gereklidir.However, the following prerequisites are required.

    Etki alanını doğrulamaVerify the domain

    PingFederate ile Federasyonu seçtikten sonra birleştirmek istediğiniz etki alanını doğrulamanız istenir.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Açılan kutudan etki alanını seçin.Select the domain from the drop-down box.

    Etki Alanını Doğrulama

    PingFederate ayarlarını dışarı aktarmaExport the PingFederate settings

    PingFederate, her federasyon Azure etki alanı için federasyon sunucusu olarak yapılandırılmalıdır.PingFederate must be configured as the federation server for each federated Azure domain. Ayarları Dışarı Aktar düğmesine tıklayıp bu bilgileri PingFederate yöneticinizle paylaşın.Click the Export Settings button and share this information with your PingFederate administrator. Federasyon sunucusu yöneticisi, yapılandırmayı güncelleştirir ve ardından Azure AD Connect’in meta veri ayarlarını doğrulaması için PingFederate sunucusu URL’si ile bağlantı noktası numarasını sağlar.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Etki Alanını Doğrulama

    Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.Contact your PingFederate administrator to resolve any validation issues. Aşağıda, Azure ile geçerli bir güven ilişkisi olmayan PingFederate sunucusu örneği verilmiştir:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Güven

    Federasyon bağlantısını doğrulamaVerify federation connectivity

    Azure AD Connect, önceki adımda PingFederate meta verilerinden alınan kimlik doğrulama uç noktalarını doğrulamayı dener.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Azure AD Connect, ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözmeyi dener.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Ardından, harici bir DNS sağlayıcısı kullanarak uç noktaları çözmeyi dener.Next it will attempt to resolve the endpoints using an external DNS provider. Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.Contact your PingFederate administrator to resolve any validation issues.

    Bağlantıyı Doğrulama

    Federasyon oturum açma işlemini doğrulamaVerify federation login

    Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Bu işlem başarılı olduğunda, PingFederate’e sahip federasyon başarıyla yapılandırılır.When this succeeds, the federation with PingFederate is successfully configured. Oturum açma işlemini doğrulayınVerify login

    Yapılandırma ve doğrulama sayfalarıConfigure and verify pages

    Yapılandırma bu sayfada gerçekleşir.The configuration happens on this page.

    Not

    Federasyonu yapılandırdıysanız ve yüklemeye devam etmek istiyorsanız Federasyon sunucuları için ad çözümlemesi yapılandırmasını tamamladığınızdan emin olun.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Yapılandırma için hazır

    Hazırlama moduStaging mode

    Hazırlama modu ile paralel olarak yeni bir eşitleme sunucusu ayarlanabilir.It is possible to setup a new sync server in parallel with staging mode. Bir eşitleme sunucusunun buluttaki yalnızca bir dizine aktarım gerçekleştirmesi desteklenir.It is only supported to have one sync server exporting to one directory in the cloud. Ancak başka bir sunucudan öğe taşımak istiyorsanız (örneğin, çalışan bir DirSync'ten) Azure AD Connect'i hazırlama modunda etkinleştirebilirsiniz.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Eşitleme altyapısı, etkinleştirildiğinde verileri normal olarak içeri aktarır ve eşitler ancak Azure AD'ye veya AD'ye aktarım gerçekleştirmez.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. Parola eşitleme ve parola geri yazma özellikleri hazırlama modunda devre dışı bırakılır.The features password sync and password writeback are disabled while in staging mode.

    Hazırlama modu

    Hazırlama modundayken, eşitleme altyapısında gerekli değişiklikleri yapabilir ve dışarı aktarılacak öğeleri gözden geçirebilirsiniz.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Yapılandırmayla ilgili bir sorun yoksa yükleme sihirbazını tekrar çalıştırın ve hazırlama modunu devre dışı bırakın.When the configuration looks good, run the installation wizard again and disable staging mode. Veriler artık Azure AD'ye bu sunucudan aktarılır.Data is now exported to Azure AD from this server. Yalnızca bir sunucunun etkin şekilde dışarı aktarma işlemi gerçekleştirmesini sağlamak için, diğer sunucuyu devre dışı bıraktığınızdan emin olun.Make sure to disable the other server at the same time so only one server is actively exporting.

    Daha fazla bilgi için bkz. Hazırlama modu.For more information, see Staging mode.

    Federasyon yapılandırmanızı doğrulamaVerify your federation configuration

    Doğrula düğmesine tıkladığınızda Azure AD Connect sizin için DNS ayarlarını doğrular.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    İntranet bağlantısı denetimleriIntranet connectivity checks

    • Federasyon FQDN'sini çözümleme: Azure AD Connect, Federasyon FQDN'SİNİN bağlantı sağlamak için DNS ile çözümlenip denetler.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Azure AD Connect’in FQDN'yi çözümleyememesi durumunda doğrulama başarısız olur.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Doğrulamayı başarıyla tamamlamak için federasyon hizmeti FQDN’si için bir DNS kaydının mevcut olduğundan emin olun.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • DNS A kaydı: Azure AD Connect, Federasyon hizmetiniz için bir A kaydı olup olmadığını denetler.DNS A record: Azure AD Connect checks if there is an A record for your federation service. Bir A kaydı olmaması durumunda doğrulama başarısız olur.In the absence of an A record, the verification will fail. Doğrulamayı başarıyla tamamlamak için federasyon FQDN’nize ait CNAME kaydı değil, bir A kaydı oluşturun.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Extranet bağlantısı denetimleriExtranet connectivity checks

    • Federasyon FQDN'sini çözümleme: Azure AD Connect, Federasyon FQDN'SİNİN bağlantı sağlamak için DNS ile çözümlenip denetler.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Tamamlama

    Doğrulama

    Uçtan uca kimlik doğrulamasının başarılı olduğunu doğrulamak için aşağıdaki testlerden en az birini el ile gerçekleştirmelisiniz:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Eşitleme işlemi tamamlandığında, Azure AD Connect’te Federasyon oturum açma işlemini doğrula ek görevini kullanarak tercih ettiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulayın.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • İntranetteki etki alanına katılmış bir makinedeki tarayıcıdan oturum açabildiğinizi doğrulayın: Bağlanma https://myapps.microsoft.com ve oturum açmış hesabınızla doğrulayın.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Yerleşik AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanılamaz.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Extranet üzerinde bir cihazdan oturum açabildiğinizi doğrulayın.Validate that you can sign in from a device from the extranet. Ana makineden veya bir mobil cihazdan https://myapps.microsoft.com adresine bağlanın ve kimlik bilgilerinizi girin.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Zengin istemci oturumu açma işlemini doğrulayın.Validate rich client sign-in. https://testconnectivity.microsoft.com adresine bağlanın, Office 365 sekmesini ve ardından Office 365 Çoklu Oturum Açma Testi seçeneğini belirleyin.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Sorun gidermeTroubleshooting

    Aşağıdaki bölümde Azure AD Connect yüklemesi sırasında karşılaşabileceğiniz sorunlarla ilgili sorun giderme adımları ve bilgiler bulunmaktadır.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    “ADSync veritabanı veri içeriyor ve üzerine yazılamaz”“The ADSync database already contains data and cannot be overwritten”

    Azure AD Connect'i özel ayarlarla yüklerken Gerekli bileşenleri yükleme sayfasının Mevcut bir SQL Server'ı kullanma bölümünde ADSync veritabanı veri içeriyor ve üzerine yazılamaz. Lütfen var olan veritabanını kaldırıp yeniden deneyin.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Hata

    Bunun nedeni yukarıdaki metin kutularında belirttiğiniz SQL Server örneğinde ADSync adlı bir veritabanının mevcut olmasıdır.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Bu durum genellikle Azure AD Connect'i kaldırdıktan sonra ortaya çıkar.This typically occurs after you have uninstalled Azure AD Connect. Uygulamayı kaldırdığınızda veritabanı SQL Server'dan silinmez.The database will not be deleted from the SQL Server when you uninstall.

    Bu sorunu gidermek için kaldırma işlemi öncesinde Azure AD Connect tarafından kullanılan ADSync veritabanının kullanılmadığından emin olun.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Veritabanını silmeden önce yedeklemeniz önerilir.Next, it is recommended that you backup the database prior to deleting it.

    Son olarak veritabanını silmeniz gerekir.Finally, you need to delete the database. Bunun için Microsoft SQL Server Management Studio'yu kullanarak SQL örneğine bağlanabilirsiniz.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. ADSync veritabanını bulun, sağ tıklayın ve bağlam menüsünden Sil'i seçin.Find the ADSync database, right click on it, and select Delete from the context menu. Silmek için Tamam düğmesine tıklayın.Then click OK button to delete it.

    Hata

    ADSync veritabanını sildikten sonra yükle düğmesine tıklayarak yüklemeyi yeniden deneyebilirsiniz.After you delete the ADSync database, you can click the install button, to retry installation.

    Sonraki adımlarNext steps

    Yükleme tamamlandıktan sonra Synchronization Service Manager'ı veya Synchronization Rule Editor'ı kullanmadan önce Windows oturumunuzu kapatıp tekrar açın.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Azure AD Connect'i yüklediniz, artık yüklemeyi doğrulayabilir ve lisans atayabilirsiniz.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Yüklemeyle etkinleştirilen özellikler hakkında daha fazla bilgi edinin: Yanlışlıkla silmeleri engelleme ve Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Şu genel konu başlıkları hakkında daha fazla bilgi edinin: Zamanlayıcı ve eşitleme tetikleme.Learn more about these common topics: scheduler and how to trigger sync.

    Şirket içi kimliklerinizi Azure Active Directory ile tümleştirme hakkında daha fazla bilgi edinin.Learn more about Integrating your on-premises identities with Azure Active Directory.