Aşamalı Dağıtım kullanarak bulut kimlik doğrulamasına geçiş

Aşamalı Dağıtım, etki alanlarınızı kesmeden önce Microsoft Entra çok faktörlü kimlik doğrulaması, Koşullu Erişim, Kimlik Koruması gibi bulut kimlik doğrulaması özelliklerine sahip kullanıcı gruplarını seçerek test etmenizi sağlar. Bu makalede, geçişin nasıl gerçekleştirılacağı açıklanır.

Aşamalı Dağıtıma başlamadan önce, aşağıdaki koşullardan biri veya daha fazlası doğruysa etkilerini göz önünde bulundurmanız gerekir:

• Şu anda bir şirket içi Multi-Factor Authentication Sunucusu kullanıyorsunuz.
• Kimlik doğrulaması için akıllı kartlar kullanıyorsunuz.
• Geçerli sunucunuz belirli yalnızca federasyon özellikleri sunar.
• Üçüncü taraf federasyon çözümünden yönetilen hizmetlere geçiyorsunuz.

Bu özelliği denemeden önce doğru kimlik doğrulama yöntemini seçme kılavuzumuzu gözden geçirmenizi öneririz. Daha fazla bilgi için Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme makalesindeki "Yöntemleri karşılaştırma" tablosuna bakın.

Özelliğe genel bir bakış için şu "Aşamalı Dağıtım nedir?" videosunu görüntüleyin:

Önkoşullar

• Federasyon etki alanlarına sahip bir Microsoft Entra kiracınız var.

• Aşağıdaki seçeneklerden birini taşımaya karar verdiniz:

  • Parola karması eşitleme (eşitleme). Daha fazla bilgi için bkz. Parola karması eşitleme nedir?
  • Doğrudan kimlik doğrulaması. Daha fazla bilgi için bkz . Geçiş kimlik doğrulaması nedir?
  • Microsoft Entra Sertifika tabanlı kimlik doğrulaması (CBA) ayarları. Daha fazla bilgi için bkz . Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış

  Her iki seçenek için de sessiz oturum açma deneyimi elde etmek için çoklu oturum açmayı (SSO) etkinleştirmenizi öneririz. Windows 7 veya 8.1 etki alanına katılmış cihazlar için sorunsuz SSO kullanmanızı öneririz. Daha fazla bilgi için bkz . Sorunsuz SSO nedir? Windows 10, Windows Server 2016 ve sonraki sürümlerde Microsoft Entra'ya katılmış cihazlar, Microsoft Entra karma katılmış cihazlar veya İş veya Okul Hesabı Ekle aracılığıyla kişisel kayıtlı cihazlarla Birincil Yenileme Belirteci (PRT) aracılığıyla SSO kullanılması önerilir.

• Bulut kimlik doğrulamasına geçirilen kullanıcılar için ihtiyacınız olan tüm uygun kiracı markalama ve Koşullu Erişim ilkelerini yapılandırdık.

• Federasyondan bulut kimlik doğrulamasına geçtiyseniz DirSync ayarının SynchronizeUpnForManagedUsers etkinleştirildiğini doğrulamanız gerekir; aksi takdirde Microsoft Entra Id, yönetilen kimlik doğrulaması kullanan lisanslı kullanıcı hesapları için UPN veya alternatif oturum açma kimliğinde eşitleme güncelleştirmelerine izin vermez. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Eşitleme hizmeti özellikleri.

• Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmayı planlıyorsanız, kullanıcılarınızın kimlik doğrulama yöntemlerini bir kez kaydetmesini sağlamak için self servis parola sıfırlama (SSPR) ve çok faktörlü kimlik doğrulaması için birleşik kayıt kullanmanızı öneririz. Not- Aşamalı Dağıtım sırasında MyProfile sayfasını kullanarak parola sıfırlamak veya parolayı değiştirmek için SSPR kullanırken, Microsoft Entra Bağlan'ın sıfırlandıktan sonra 2 dakika kadar sürebilecek yeni parola karması eşitlemesi gerekir.

• Aşamalı Dağıtım özelliğini kullanmak için kiracınızda Karma Kimlik Yönetici istratörü olmanız gerekir.

• Belirli bir Active Directory ormanında sorunsuz SSO'nun etkinleştirilmesi için etki alanı yöneticisi olmanız gerekir.

• Karma Microsoft Entra Id veya Microsoft Entra join dağıtıyorsanız Windows 10 1903 güncelleştirmesine yükseltmeniz gerekir.

Desteklenen senaryolar

Aşamalı Dağıtım için aşağıdaki senaryolar desteklenir. Özellik yalnızca aşağıdakiler için çalışır:

• Microsoft Entra Bağlan kullanılarak Microsoft Entra Id'ye sağlanan kullanıcılar. Yalnızca bulut kullanıcıları için geçerli değildir.

• Tarayıcılarda ve modern kimlik doğrulama istemcilerinde kullanıcı oturum açma trafiği. Eski kimlik doğrulaması kullanan uygulamalar veya bulut hizmetleri, federasyon kimlik doğrulaması akışlarına geri döner. Eski kimlik doğrulamasına örnek olarak, modern kimlik doğrulaması kapalı exchange online veya modern kimlik doğrulamasını desteklemeyen Outlook 2010 olabilir.

• Grup boyutu şu anda 50.000 kullanıcıyla sınırlıdır. 50.000'den büyük kullanıcılarınız varsa, bu grubu Aşamalı Dağıtım için birden çok gruba bölmeniz önerilir.

• Windows 10 Karma Katılımı veya Microsoft Entra, kullanıcının UPN'si yönlendirilebilir olduğunda ve etki alanı soneki Microsoft Entra Id'de doğrulandığında, Windows 10 sürüm 1903 ve üzeri için federasyon sunucusuna görüş hattı olmadan birincil yenileme belirteci alımına katılır.

• Autopilot kaydı, Windows 10 sürüm 1909 veya üzeri ile Aşamalı Dağıtım'da desteklenir.

Desteklenmeyen senaryolar

Aşamalı Dağıtım için aşağıdaki senaryolar desteklenmez:

• POP3 ve SMTP gibi eski kimlik doğrulaması desteklenmez.

• Bazı uygulamalar, kimlik doğrulaması sırasında "domain_hint" sorgu parametresini Microsoft Entra Id'ye gönderir. Bu akışlar devam eder ve Aşamalı Dağıtım için etkinleştirilen kullanıcılar kimlik doğrulaması için federasyon kullanmaya devam eder.

• Yönetici, güvenlik gruplarını kullanarak bulut kimlik doğrulamayı dağıtabilir. şirket içi Active Directory güvenlik gruplarını kullanırken eşitleme gecikmesini önlemek için bulut güvenlik gruplarını kullanmanızı öneririz. Aşağıdaki koşullar geçerlidir:

  • Özellik başına en fazla 10 grup kullanabilirsiniz. Diğer bir ifadeyle, parola karması eşitleme, doğrudan kimlik doğrulaması ve sorunsuz SSO için her biri 10 grup kullanabilirsiniz.
  • İç içe gruplar desteklenmez.
  • Dinamik gruplar Aşamalı Dağıtım için desteklenmez.
  • Grubun içindeki kişi nesneleri, grubun eklenmesini engeller.

• Aşamalı Dağıtım için ilk kez bir güvenlik grubu eklediğinizde, UX zaman aşımını önlemek için 200 kullanıcıyla sınırlı olursunuz. Grubu ekledikten sonra, gerektiğinde doğrudan gruba daha fazla kullanıcı ekleyebilirsiniz.

• Kullanıcılar Parola Karması Eşitlemesi (PHS) ile Aşamalı Dağıtımdayken, varsayılan olarak parola süre sonu uygulanmaz. Parola süre sonu, "CloudPasswordPolicyForPasswordSyncedUsersEnabled" etkinleştirilerek uygulanabilir. "CloudPasswordPolicyForPasswordSyncedUsersEnabled" etkinleştirildiğinde, parola süre sonu ilkesi, parolanın şirket içi olarak ayarlandığı zamandan itibaren 90 gün olarak ayarlanır ve özelleştirme seçeneği yoktur. Program aracılığıyla PasswordPolicies özniteliğinin güncelleştirilmesi, kullanıcılar Aşamalı Dağıtım aşamasındayken desteklenmez. 'CloudPasswordPolicyForPasswordSyncedUsersEnabled' ayarlamayı öğrenmek için bkz . Parola süre sonu ilkesi.

• Windows 10 Karma Katılımı veya Microsoft Entra, 1903'ten eski Windows 10 sürümü için birincil yenileme belirteci alımına katılır. Bu senaryo, oturum açmış kullanıcı Aşamalı Dağıtım kapsamında olsa bile federasyon sunucusunun WS-Trust uç noktasına geri döner.

• Windows 10 Karma Katılımı veya Microsoft Entra, kullanıcının şirket içi UPN'si yönlendirilebilir olmadığında tüm sürümler için birincil yenileme belirteci alımına katılır. Bu senaryo, Aşamalı Dağıtım modundayken WS-Trust uç noktasına geri döner, ancak aşamalı geçiş tamamlandığında ve kullanıcı oturum açma işlemi artık federasyon sunucusuna bağlı olmadığında çalışmayı durdurur.

• Windows 10, sürüm 1903 veya üzeri ile kalıcı olmayan bir VDI kurulumunuz varsa, federasyon etki alanında kalmalısınız. Yönetilen etki alanına geçiş, kalıcı olmayan VDI'da desteklenmez. Daha fazla bilgi için bkz . Cihaz kimliği ve masaüstü sanallaştırma.

• Kayıt Yetkilisi veya akıllı kart kullanıcıları olarak hareket eden federasyon sunucunuz aracılığıyla verilen sertifikalarla İş İçin Windows Hello karma sertifika güveniniz varsa, senaryo Aşamalı Dağıtımda desteklenmez.

  Not

  Yine de Microsoft Entra Bağlan veya PowerShell kullanarak federasyondan bulut kimlik doğrulamasına son tam geçişi yapmanız gerekir. Aşamalı Dağıtım, etki alanlarını federasyondan yönetilene değiştirmez. Etki alanı tam geçişi hakkında daha fazla bilgi için bkz . Federasyondan parola karması eşitlemesine geçiş ve Federasyondan doğrudan kimlik doğrulamasına geçirme.

Aşamalı Dağıtım'ı kullanmaya başlama

Aşamalı Dağıtım'ı kullanarak parola karması eşitleme oturum açma işlemini test etmek için sonraki bölümdeki çalışma öncesi yönergeleri izleyin.

Hangi PowerShell cmdlet'lerinin kullanılacağı hakkında bilgi için bkz . Microsoft Entra ID 2.0 önizlemesi.

Parola karması eşitleme için çalışma öncesi

1. Microsoft Entra Bağlan İsteğe bağlı özellikler sayfasından parola karması eşitlemeyietkinleştirin. 

   

2. Tüm kullanıcıların parola karmalarının Microsoft Entra Id ile eşitlenmesi için tam parola karması eşitleme döngüsünün çalıştığından emin olun. Parola karması eşitleme durumunu denetlemek için Microsoft Entra Bağlan Sync ile parola karması eşitleme sorunlarını giderme başlığındaki PowerShell tanılamasını kullanabilirsiniz.

   

Aşamalı Dağıtım'ı kullanarak geçiş kimlik doğrulaması oturum açma işlemini test etmek istiyorsanız, sonraki bölümde yer alan çalışma öncesi yönergeleri izleyerek bunu etkinleştirin.

Geçişli kimlik doğrulaması için ön çalışma

1. Geçiş kimlik doğrulama aracısının çalışmasını istediğiniz Windows Server 2012 R2 veya üzerini çalıştıran bir sunucuyu belirleyin.

   Microsoft Entra Bağlan sunucusunu seçmeyin. Sunucunun etki alanına katılmış olduğundan, seçilen kullanıcıların kimliğini Active Directory ile doğrulayaabildiğinden ve giden bağlantı noktaları ve URL'ler üzerinde Microsoft Entra Id ile iletişim kuraabildiğinden emin olun. Daha fazla bilgi için Hızlı Başlangıç: Microsoft Entra sorunsuz çoklu oturum açma makalesinin "1. Adım: Önkoşulları denetleme" bölümüne bakın.

2. Microsoft Entra Bağlan kimlik doğrulama aracısını indirin ve sunucuya yükleyin. 

3. Yüksek kullanılabilirliği etkinleştirmek için diğer sunuculara ek kimlik doğrulama aracıları yükleyin.

4. Akıllı Kilitleme ayarlarınızı uygun şekilde yapılandırdığınızdan emin olun. Bunun yapılması, kullanıcılarınızın şirket içi Active Directory hesaplarının kötü aktörler tarafından kilitlenmemesini sağlamaya yardımcı olur.

Aşamalı Dağıtım için seçtiğiniz oturum açma yönteminden (parola karması eşitleme veya geçiş kimlik doğrulaması) bağımsız olarak sorunsuz SSO'nun etkinleştirilmesini öneririz. Sorunsuz SSO'nun etkinleştirilmesi için sonraki bölümde yer alan çalışma öncesi yönergeleri izleyin.

Sorunsuz SSO için ön çalışma

PowerShell kullanarak Active Directory ormanlarında sorunsuz SSO'yı etkinleştirin. Birden fazla Active Directory ormanınız varsa, her orman için tek tek etkinleştirin. Sorunsuz SSO yalnızca Aşamalı Dağıtım için seçilen kullanıcılar için tetiklenir. Bu, mevcut federasyon kurulumunuzu etkilemez.

Aşağıdaki görevleri gerçekleştirerek sorunsuz SSO'nun etkinleştirilmesini sağlayın:

1. Microsoft Entra Bağlan Server'da oturum açın.

2. %programfiles%\Microsoft Entra Bağlan klasörüne gidin.

3. Aşağıdaki komutu çalıştırarak sorunsuz SSO PowerShell modülünü içeri aktarın:

   Import-Module .\AzureADSSO.psd1

4. PowerShell'i yönetici olarak çalıştırın. PowerShell’de New-AzureADSSOAuthenticationContext çağrısı yapın. Bu komut, kiracınızın Karma Kimlik Yönetici istrator kimlik bilgilerini girebileceğiniz bir bölme açar.

5. Get-AzureADSSOStatus | ConvertFrom-Json çağrısı yapın. Bu komut, bu özelliğin etkinleştirildiği Active Directory ormanlarının listesini görüntüler (bu özelliğin etkinleştirildiği "Etki Alanları" listesine bakın). Varsayılan olarak, kiracı düzeyinde false olarak ayarlanır.

   

6. $creds = Get-Credential çağrısı yapın. İstemde, hedeflenen Active Directory ormanı için etki alanı yöneticisi kimlik bilgilerini girin.

7. Enable-AzureADSSOForest -OnPremCredentials $creds çağrısı yapın. Bu komut, sorunsuz SSO için gereken Active Directory ormanının şirket içi etki alanı denetleyicisinden AZUREADSSOACC bilgisayar hesabını oluşturur.

8. Sorunsuz SSO , URL'lerin intranet bölgesinde olmasını gerektirir. Grup ilkelerini kullanarak bu URL'leri dağıtmak için bkz . Hızlı Başlangıç: Microsoft Entra sorunsuz çoklu oturum açma.

9. Eksiksiz bir kılavuz için sorunsuz SSO için dağıtım planlarımızı da indirebilirsiniz.

Aşamalı Dağıtımı Etkinleştir

Belirli bir özelliği (doğrudan kimlik doğrulaması, parola karması eşitleme veya sorunsuz SSO) bir gruptaki belirli bir kullanıcı kümesine dağıtmak için sonraki bölümlerdeki yönergeleri izleyin.

Kiracınızda belirli bir özelliğin Aşamalı Dağıtımını etkinleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Şu seçenekleri dağıtabilirsiniz:

• Parola karması eşitleme + Sorunsuz SSO
• Geçişli kimlik doğrulaması + Sorunsuz SSO
• Desteklenmiyor - Parola karması eşitleme + Geçişli kimlik doğrulaması + Sorunsuz SSO
• Sertifika tabanlı kimlik doğrulama ayarları
• Azure çok faktörlü kimlik doğrulaması

Aşamalı Dağıtımı yapılandırmak için şu adımları izleyin:

1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yönetici istrator olarak oturum açın.

2. Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Bağlan eşitleme'ye göz atın.

3. Microsoft Entra Bağlan sayfasındaki Aşamalı bulut kimlik doğrulaması dağıtımı altında Yönetilen kullanıcı oturum açma için aşamalı dağıtımı etkinleştir bağlantısını seçin.

4. Aşamalı dağıtımı etkinleştir özelliği sayfasında etkinleştirmek istediğiniz seçenekleri belirtin: Parola Karması Eşitleme, Geçişli kimlik doğrulaması, Sorunsuz çoklu oturum açma veya Sertifika Tabanlı Kimlik Doğrulaması. Örneğin, Parola Karması Eşitleme ve Sorunsuz çoklu oturum açmayı etkinleştirmek istiyorsanız, her iki denetimi de Açık olarak kaydırın.

5. Seçtiğiniz özelliklere gruplar ekleyin. Örneğin, doğrudan kimlik doğrulaması ve sorunsuz SSO. Zaman aşımından kaçınmak için güvenlik gruplarının başlangıçta en fazla 200 üye içerdiğinden emin olun.

   Not

   Bir gruptaki üyeler Aşamalı Dağıtım için otomatik olarak etkinleştirilir. Aşamalı Dağıtım için iç içe ve dinamik gruplar desteklenmez. Yeni grup eklerken, gruptaki kullanıcılar (yeni bir grup için en fazla 200 kullanıcı) yönetilen kimlik doğrulamasını hemen kullanacak şekilde güncelleştirilir. Bir grubu düzenleme (kullanıcıları ekleme veya kaldırma), değişikliklerin etkili olması 24 saat kadar sürebilir. Sorunsuz SSO yalnızca kullanıcılar Sorunsuz SSO grubunda ve aynı zamanda bir PTA veya PHS grubundaysa uygulanır.

Denetim

Aşamalı Dağıtım için gerçekleştirdiğimiz çeşitli eylemler için denetim olaylarını etkinleştirdik:

• Parola karması eşitlemesi, doğrudan kimlik doğrulaması veya sorunsuz SSO için Aşamalı Dağıtım'ı etkinleştirdiğinizde olayı denetleyin.

  Not

  Aşamalı Dağıtım kullanılarak sorunsuz SSO açıldığında bir denetim olayı günlüğe kaydedilir.

  

  

• Parola karması eşitlemesine, doğrudan kimlik doğrulamasına veya sorunsuz SSO'ya grup eklendiğinde olayı denetleme.

  Not

  Aşamalı Dağıtım için parola karması eşitlemesine bir grup eklendiğinde bir denetim olayı günlüğe kaydedilir.

  

  

• Gruba eklenen bir kullanıcı Aşamalı Dağıtım için etkinleştirildiğinde denetim olayı.

  

  

Doğrulama

Parola karması eşitleme veya geçiş kimlik doğrulaması (kullanıcı adı ve parola oturum açma) ile oturum açmayı test etmek için aşağıdaki görevleri gerçekleştirin:

1. Extranet'te, özel bir tarayıcı oturumunda Uygulamalar sayfasına gidin ve aşamalı dağıtım için seçilen kullanıcı hesabının UserPrincipalName (UPN) değerini girin.

   Aşamalı Dağıtım için hedeflenen kullanıcılar federasyon oturum açma sayfanıza yönlendirilmiyor. Bunun yerine, Microsoft Entra kiracı markalı oturum açma sayfasında oturum açmaları istenir.

2. UserPrincipalName ile filtreleyerek oturum açma işleminin Microsoft Entra oturum açma etkinliği raporunda başarıyla göründüğünden emin olun.

Sorunsuz SSO ile oturum açmayı test etmek için:

1. İntranet'te, özel bir tarayıcı oturumunda Uygulamalar sayfasına gidin ve ardından Aşamalı Dağıtım için seçilen kullanıcı hesabının UserPrincipalName (UPN) değerini girin.

   Sorunsuz SSO'nun Aşamalı Dağıtımı için hedeflenen kullanıcılara "Oturum açmaya çalışılıyor ..." iletisiyle sessizce oturum açmadan önce.

2. UserPrincipalName ile filtreleyerek oturum açma işleminin Microsoft Entra oturum açma etkinliği raporunda başarıyla göründüğünden emin olun.

   Seçili Aşamalı Dağıtım kullanıcıları için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) üzerinde hala gerçekleşen kullanıcı oturum açmalarını izlemek için AD FS sorun giderme: Olaylar ve günlüğe kaydetme başlığı altındaki yönergeleri izleyin. Üçüncü taraf federasyon sağlayıcılarında bunu denetleme hakkında satıcı belgelerine bakın.

   Not

   Kullanıcılar PHS ile Aşamalı Dağıtım aşamasındayken, eşitleme süresi nedeniyle parolaların değiştirilmesinin geçerlilik kazanması 2 dakika kadar sürebilir. Parolalarını değiştirdikten sonra yardım masası çağrılarından kaçınmak için kullanıcılarınızın beklentilerini ayarladığınızdan emin olun.

İzleme

Microsoft Entra yönetim merkezindeki yeni Karma Kimlik Doğrulama çalışma kitaplarını kullanarak Aşamalı Dağıtım'da kullanıcılar ve kullanıcılar oturum açarken eklenen veya kaldırılan kullanıcıları ve grupları izleyebilirsiniz.

Aşamalı Dağıtımdan kullanıcı kaldırma

Bir kullanıcıyı gruptan kaldırmak, o kullanıcı için Aşamalı Dağıtımı devre dışı bırakır. Aşamalı Dağıtım özelliğini devre dışı bırakmak için denetimi Yeniden Kapalı'ya kaydırın.

Sık sorulan sorular

S: Bu özelliği üretimde kullanabilir miyim?

Y: Evet, bu özelliği üretim kiracınızda kullanabilirsiniz, ancak önce test kiracınızda denemenizi öneririz.

S: Bu özellik, bazı kullanıcıların federasyon kimlik doğrulamasını, bazılarının ise bulut kimlik doğrulamasını kullandığı kalıcı bir "birlikte yaşama" özelliğini korumak için kullanılabilir mi?

Y: Hayır, bu özellik bulut kimlik doğrulamasını test için tasarlanmıştır. Test başarılı olduktan sonra, bulut kimlik doğrulamasına geçmeniz gereken birkaç kullanıcı grubu vardır. Bu yaklaşım beklenmeyen kimlik doğrulama akışlarına neden olabileceği için kalıcı bir karma durum kullanmanızı önermiyoruz.

S: Aşamalı Dağıtım gerçekleştirmek için PowerShell kullanabilir miyim?

Y: Evet. Aşamalı Dağıtım gerçekleştirmek için PowerShell'in nasıl kullanılacağını öğrenmek için bkz . Microsoft Entra ID Preview.

Sonraki adımlar

• Microsoft Entra Id 2.0 önizlemesi
• Oturum açma yöntemini parola karması eşitleme olarak değiştirme
• Oturum açma yöntemini geçiş kimlik doğrulaması olarak değiştirme