Microsoft Entra Id, bulut tabanlı bir dizin ve kimlik hizmetidir. Bu başvuru mimarisi, bulut tabanlı kimlik doğrulaması sağlamak için şirket içi Active Directory etki alanlarını Microsoft Entra Id ile tümleştirmeye yönelik en iyi yöntemleri gösterir.
Mimari
Microsoft 365 aracılığıyla Visio diyagramına çevrimiçi olarak erişin. Bu diyagrama erişmek için Visio lisansına sahip olmanız gerektiğini unutmayın. Veya bu mimarinin Visio dosyasını indirin (bkz. Visio sekmesi "Microsoft Entra Id").
Not
Kolaylık olması için, bu diyagram yalnızca doğrudan Microsoft Entra Kimliği ile ilgili bağlantıları gösterir ve kimlik doğrulaması ve kimlik federasyonunun bir parçası olarak oluşabilecek protokolle ilgili trafiği göstermez. Örneğin, bir web uygulaması Microsoft Entra Id aracılığıyla isteğin kimliğini doğrulamak için web tarayıcısını yeniden yönlendirebilir. Kimlik doğrulaması yapıldıktan sonra, istek uygun kimlik bilgileriyle birlikte yeniden web uygulamasına geçirilebilir.
Ek konular için, bkz. Şirket içi Active Directory’yi Azure ile tümleştirmek için bir çözüm seçme.
Bileşenler
Mimari aşağıdaki bileşenlere sahiptir.
Microsoft Entra kiracısı. Kuruluşunuz tarafından oluşturulan bir Microsoft Entra Id örneği. Bulut uygulamaları için şirket içi Active Directory'den kopyalanan nesnelerin depolandığı bir dizin hizmeti işlevi görür ve kimlik hizmetleri sağlar.
Web katmanı alt ağı. Bu alt ağ bir web uygulaması çalıştıran sanal makineleri barındırır. Microsoft Entra Id, bu uygulama için kimlik aracısı olarak görev yapabilir.
Şirket içi AD DS sunucusu. Şirket içi dizin ve kimlik hizmeti. AD DS dizini, şirket içi kullanıcıların kimliğini doğrulamasını sağlamak için Microsoft Entra Id ile eşitlenebilir.
Microsoft Entra Connect Sync sunucusu. Microsoft Entra Connect eşitleme hizmetini çalıştıran bir şirket içi bilgisayar. Bu hizmet, şirket içi Active Directory tutulan bilgileri Microsoft Entra Kimliği ile eşitler. Örneğin, şirket içi grupları ve kullanıcıları sağlarsanız veya sağlamasını kaldırdığınızda, bu değişiklikler Microsoft Entra Id'ye yayılır.
Not
Güvenlik nedeniyle, Microsoft Entra Id kullanıcının parolalarını karma olarak depolar. Bir kullanıcı parola sıfırlaması gerektiriyorsa, bunun şirket içinde gerçekleştirilmesi ve yeni karmanın Microsoft Entra Kimliği'ne gönderilmesi gerekir. Microsoft Entra Id P1 veya P2 sürümleri, parola değişikliklerinin bulutta gerçekleşmesini ve ardından şirket içi AD DS'ye geri yazılabilmesini sağlayan özellikler içerir.
N katmanlı uygulama için sanal makineler. Bu kaynaklar hakkında daha fazla bilgi için bkz. [N katmanlı mimari için VM çalıştırma][Azure'da çok katmanlı mimariyi uygulama].
Senaryo ayrıntıları
Olası kullanım örnekleri
Bu başvuru mimarisinin tipik kullanımları şunlardır:
- Azure'da dağıtılan ve kuruluşunuzun uzak kullanıcılarına erişim sağlayan web uygulamaları.
- Son kullanıcılara kendi parolalarını sıfırlama ve grup yönetimi için temsilci seçme gibi self servis özellikleri uygulama. Bunun için Microsoft Entra ID P1 veya P2 sürümü gerekir.
- Şirket içi ağın ve uygulamanın Azure sanal ağının VPN tüneli veya ExpressRoute bağlantı hattı kullanılarak bağlanmadığı mimariler.
Not
Microsoft Entra Id, bir kuruluşun dizininde bulunan kullanıcıların ve uygulamaların kimliğini doğrulayabilir. SQL Server gibi bazı uygulamalar ve hizmetler bilgisayar kimlik doğrulaması gerektirebilir; bu çözüm böyle durumlara uygun değildir.
Öneriler
Aşağıdaki öneriler çoğu senaryo için geçerlidir. Bu önerileri geçersiz kılan belirli bir gereksiniminiz olmadığı sürece izlemeniz önerilir.
Microsoft Entra Connect Eşitleme hizmetini yapılandırma
Microsoft Entra Connect Sync hizmeti, bulutta depolanan kimlik bilgilerinin şirket içinde depolanan kimlik bilgileriyle tutarlı olmasını sağlar. Bu hizmeti Microsoft Entra Connect yazılımını kullanarak yüklersiniz.
Microsoft Entra Connect Sync'i uygulamadan önce kuruluşunuzun eşitleme gereksinimlerini belirleyin. Örneğin nelerin, hangi etki alanlarından ve ne sıklıkta eşitleneceğini belirleyin. Daha fazla bilgi için bkz. Dizin eşitleme gereksinimlerini belirleme.
Microsoft Entra Connect Sync hizmetini bir VM'de veya şirket içinde barındırılan bir bilgisayarda çalıştırabilirsiniz. Active Directory dizininizdeki bilgilerin volatilitesine bağlı olarak, Microsoft Entra Connect Sync hizmetindeki yükün Microsoft Entra ID ile ilk eşitlemeden sonra yüksek olma olasılığı düşüktür. Hizmetin sanal makine üzerinde çalıştırılması gerektiğinde sunucunun ölçeklendirilmesini kolaylaştırır. Ölçeklendirmenin gerekli olup olmadığını saptamak için sanal makinedeki etkinliği İzlemede dikkate alınacak noktalar altında açıklandığı gibi izleyin.
Bir ormanda birden çok şirket içi etki alanınız varsa, tüm ormanın bilgilerini tek bir Microsoft Entra kiracısına depolamanızı ve eşitlemenizi öneririz. Birden fazla etki alanında gerçekleşen kimliklere ilişkin bilgileri filtreleyin, böylece her kimlik yinelenmek yerine Microsoft Entra Id'de yalnızca bir kez görünür. Yinelemeler, veriler eşitlendiğinde tutarsızlıklara yol açabilir. Daha fazla bilgi için aşağıdaki Topoloji bölümüne bakın.
Yalnızca gerekli verilerin Microsoft Entra Id'de depolanması için filtrelemeyi kullanın. Örneğin, kuruluşunuz etkin olmayan hesaplar hakkındaki bilgileri Microsoft Entra Id'de depolamak istemeyebilir. Grup tabanlı, etki alanı tabanlı, kuruluş birimi (OU) tabanlı veya öznitelik tabanlı filtreleme yapılabilir. Filtreleri birleştirerek daha karmaşık kurallar oluşturabilirsiniz. Örneğin, bir etki alanında tutulan ve seçili özniteliğinde belirli bir değer bulunan nesneleri eşitleyebilirsiniz. Ayrıntılı bilgi için bkz . Microsoft Entra Connect Sync: Filtrelemeyi Yapılandırma.
AD Connect eşitleme hizmetinde yüksek kullanılabilirliği uygulamak için ikinci bir hazırlık sunucusu çalıştırın. Daha fazla bilgi için Topoloji önerileri bölümüne bakın.
Not
Microsoft Entra Connect bulut eşitlemesi , Microsoft'un kullanıcıların, grupların ve kişilerin Microsoft Entra Id ile eşitlenmesine yönelik karma kimlik hedeflerinizi karşılamak ve gerçekleştirmek üzere tasarlanmış yeni bir teklifidir. Microsoft Entra Connect bulut eşitlemesi ile AD'den Microsoft Entra Id'ye sağlama, Microsoft Online Services'ta düzenlenmektedir.
Güvenlik yapılandırmasını ve ilkesini doğrulama
Parola yönetimini kullanın. Microsoft Entra Id P1 veya P2 sürümleri parola geri yazmayı destekleyerek şirket içi kullanıcılarınızın Azure portalından self servis parola sıfırlamaları gerçekleştirmesini sağlar. Bu özellik yalnızca kuruluşunuzun parola güvenlik ilkesi gözden geçirildikten sonra etkinleştirilmelidir. Örneğin, hangi kullanıcıların kendi parolalarını değiştirebileceğine ilişkin kısıtlamalar belirleyebilir ve parola yönetim deneyimini uyarlayabilirsiniz. Daha fazla bilgi için bkz. Parola Yönetimini kuruluşunuzun gereksinimlerine uygun olarak özelleştirme.
Harici olarak erişilebilen şirket içi uygulamaları koruyun. Microsoft Entra id aracılığıyla ağınız dışındaki kullanıcılara şirket içi web uygulamalarına denetimli erişim sağlamak için Microsoft Entra uygulama ara sunucusunu kullanın. Yalnızca Azure dizininizde geçerli kimlik bilgileri olan kullanıcılara uygulamayı kullanma izni verilir. Daha fazla bilgi için, Azure Portal'da Uygulama Ara Sunucusunu etkinleştirme makalesine bakın.
Şüpheli etkinlik belirtileri için Microsoft Entra Kimliğini etkin bir şekilde izleyin. Microsoft Entra Kimlik Koruması içeren Microsoft Entra ID P2 sürümünü kullanmayı göz önünde bulundurun. Kimlik koruması, kimliğin gizliliğinin bozulduğunu gösteriyor olabilecek anormallikleri ve risk olaylarını algılamak için uyarlamalı makine öğrenme algoritmaları ve buluşsal yöntemler kullanır. Örneğin, düzensiz oturum açma etkinlikleri, bilinmeyen kaynaklardan veya şüpheli etkinliği olan IP adreslerinden yapılan oturum açma işlemleri veya virüs bulaşmış olabilecek cihazlardan oturum açma işlemleri gibi alışılmışın dışında olabilecek etkinlikleri algılayabilir. Kimlik Koruması bu verileri, bu risk olaylarını araştırmanıza ve uygun eylemleri gerçekleştirmenize olanak tanıyan raporlar ve uyarılar oluşturmak için kullanır. Daha fazla bilgi için bkz. Microsoft Entra Kimlik Koruması.
Sisteminizde gerçekleşen güvenlikle ilgili etkinlikleri izlemek için Azure portalında Microsoft Entra ID raporlama özelliğini kullanabilirsiniz. Bu raporları kullanma hakkında daha fazla bilgi için bkz . Microsoft Entra ID Raporlama Kılavuzu.
Ağ topolojisi doğrulama
Microsoft Entra Connect'i kuruluşunuzun gereksinimlerine en yakın topolojiyi uygulayacak şekilde yapılandırın. Microsoft Entra Connect'in desteklediği topolojiler şunlardır:
Tek orman, tek Microsoft Entra dizini. Bu topolojide, Microsoft Entra Connect tek bir şirket içi ormandaki bir veya daha fazla etki alanından nesneleri ve kimlik bilgilerini tek bir Microsoft Entra kiracısına eşitler. Bu topoloji, Microsoft Entra Connect'in hızlı yüklemesi tarafından varsayılan uygulamadır.
Not
Aşağıda açıklanan hazırlama modunda bir sunucu çalıştırmadığınız sürece, aynı şirket içi ormandaki farklı etki alanlarını aynı Microsoft Entra kiracısına bağlamak için birden çok Microsoft Entra Connect Sync sunucusu kullanmayın.
Birden çok orman, tek bir Microsoft Entra dizini. Bu topolojide, Microsoft Entra Connect birden çok ormandaki nesneleri ve kimlik bilgilerini tek bir Microsoft Entra kiracısına eşitler. Kuruluşunuzun birden çok şirket içi ormanı varsa bu topolojiyi kullanın. Kimlik bilgilerini birleştirerek, kullanıcı birden fazla ormanda olsa bile her benzersiz kullanıcının Microsoft Entra dizininde bir kez gösterilmesini sağlayabilirsiniz. Tüm ormanlar aynı Microsoft Entra Connect Sync sunucusunu kullanır. Microsoft Entra Connect Sync sunucusunun herhangi bir etki alanının parçası olması gerekmez, ancak tüm ormanlardan erişilebilir olması gerekir.
Not
Bu topolojide, her şirket içi ormanı tek bir Microsoft Entra kiracısına bağlamak için ayrı Microsoft Entra Connect Sync sunucuları kullanmayın. Bu, kullanıcılar birden fazla ormanda varsa Microsoft Entra Id'de yinelenen kimlik bilgilerine neden olabilir.
Birden çok orman, ayrı topolojiler. Bu topoloji, ayrı ormanlardan gelen kimlik bilgilerini tek bir Microsoft Entra kiracısı ile birleştirerek tüm ormanları ayrı varlıklar olarak ele alır. Bu topoloji, farklı kuruluşlardaki ormanları birleştiriyorsanız ve her kullanıcının kimlik bilgileri yalnızca bir ormanda tutuluyorsa kullanışlıdır.
Not
Ormanların her birindeki genel adres listeleri (GAL) eşitlenirse, bir ormandaki kullanıcı başka bir ormanda kişi olarak var olabilir. Kuruluşunuz Forefront Identity Manager 2010 veya Microsoft Identity Manager 2016 ile GALSync'i uyguladıysa, bu durum oluşabilir. Bu senaryoda kullanıcıların Mail özniteliklerine göre tanımlanacağını belirtebilirsiniz. Ayrıca kimlikleri eşleştirmek için ObjectSID ve msExchMasterAccountSID özniteliklerini de kullanabilirsiniz. Devre dışı bırakılmış hesapları olan bir veya birden çok kaynak ormanınız varsa, bu kullanışlı olur.
Hazırlama sunucusu. Bu yapılandırmada, Microsoft Entra Connect Sync sunucusunun ikinci bir örneğini ilkiyle paralel olarak çalıştırırsınız. Bu yapı şöyle senaryoları destekler:
Yüksek kullanılabilirlik.
Microsoft Entra Connect Sync sunucusunun yeni bir yapılandırmasını test etme ve dağıtma.
Yeni bir sunucuyu kullanıma alma ve eski yapılandırmanın yetkisini alma.
Bu senaryolarda, ikinci örnek hazırlama modunda çalıştırılır. Sunucu, içeri aktarılan nesneleri ve eşitleme verilerini veritabanında kaydeder, ancak verileri Microsoft Entra Kimliği'ne geçirmez. Hazırlama modunu devre dışı bırakırsanız, sunucu Microsoft Entra Id'ye veri yazmaya başlar ve uygun durumlarda şirket içi dizinlerde parola geri yazma işlemleri gerçekleştirmeye başlar. Daha fazla bilgi için bkz . Microsoft Entra Connect Sync: operasyonel görevler ve dikkat edilmesi gerekenler.
Birden çok Microsoft Entra dizini. Genellikle bir kuruluş için tek bir Microsoft Entra dizini oluşturursunuz, ancak bilgileri ayrı Microsoft Entra dizinleri arasında bölümlemeniz gereken durumlar olabilir. Bu durumda, şirket içi ormandaki her nesnenin yalnızca bir Microsoft Entra dizininde göründüğünden emin olarak eşitleme ve parola geri yazma sorunlarından kaçının. Bu senaryonun uygulanması için, her Microsoft Entra dizini için ayrı Microsoft Entra Connect Sync sunucuları yapılandırın ve her Microsoft Entra Connect Sync sunucusunun birbirini dışlayan bir nesne kümesinde çalışması için filtrelemeyi kullanın.
Bu topolojiler hakkında daha fazla bilgi için bkz . Microsoft Entra Connect için Topolojiler.
Kullanıcı kimlik doğrulama yöntemini yapılandırma
Varsayılan olarak, Microsoft Entra Connect Sync sunucusu şirket içi etki alanı ile Microsoft Entra kimliği arasında parola karması eşitlemesini yapılandırmaktadır. Microsoft Entra hizmeti, kullanıcıların şirket içinde kullandıkları parolayı sağlayarak kimlik doğrulaması yaptıklarını varsayar. Birçok kuruluş için bu strateji uygundur, ancak kuruluşunuzun mevcut ilkelerini ve altyapısını dikkate almanız gerekir. Örneğin:
- Kuruluşunuzun güvenlik ilkesi, parola karmalarının bulutla eşitlenmesini engelleyebilir. Bu durumda, kuruluşunuz doğrudan kimlik doğrulamasını göz önünde bulundurmalıdır.
- Kullanıcıların şirket ağındaki etki alanına katılmış makinelerden bulut kaynaklarına erişirken sorunsuz bir çoklu oturum açma deneyimi (SSO) yaşamaları gerekiyor da olabilir.
- Kuruluşunuzda zaten Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya bir üçüncü taraf federasyon sağlayıcısı dağıtılmış olabilir. Microsoft Entra Id'yi bulutta tutulan parola bilgilerini kullanmak yerine kimlik doğrulaması ve SSO uygulamak için bu altyapıyı kullanacak şekilde yapılandırabilirsiniz.
Daha fazla bilgi için bkz . Microsoft Entra Connect Kullanıcı Oturum Açma seçenekleri.
Microsoft Entra uygulama ara sunucusunu yapılandırma
Şirket içi uygulamalara erişim sağlamak için Microsoft Entra Id kullanın.
Microsoft Entra uygulama ara sunucusu bileşeni tarafından yönetilen uygulama ara sunucu bağlayıcılarını kullanarak şirket içi web uygulamalarınızı kullanıma sunma. Uygulama ara sunucusu bağlayıcısı, Microsoft Entra uygulama ara sunucusuna giden bir ağ bağlantısı açar. Uzak kullanıcıların istekleri, web uygulamalarına yönelik bu ara sunucu bağlantısı aracılığıyla Microsoft Entra ID'den geri yönlendirilir. Bu yapılandırma, şirket içi güvenlik duvarında gelen bağlantı noktalarını açma gereksinimini ortadan kaldırır ve kuruluşunuz tarafından kullanıma sunulan saldırı yüzeyini azaltır.
Daha fazla bilgi için bkz . Microsoft Entra uygulama ara sunucusunu kullanarak uygulama yayımlama.
Microsoft Entra nesne eşitlemesini yapılandırma
Microsoft Entra Connect için varsayılan yapılandırma, Microsoft Entra Connect Sync: Varsayılan yapılandırmayı anlama makalesinde belirtilen kurallara göre yerel Active Directory dizininizdeki nesneleri eşitler. Bu kurallara uyan nesneler eşitlenirken diğer tüm nesneler yoksayılır. Bazı kural örnekleri:
- Kullanıcı nesnelerinin benzersiz bir sourceAnchor özniteliği olmalıdır ve accountEnabled özniteliği doldurulmalıdır.
- Kullanıcı nesnelerinin sAMAccountName özniteliği olmalıdır ve Azure AD_ veya MSOL_ metniyle başlayamaz.
Microsoft Entra Connect User, Contact, Group, ForeignSecurityPrincipal ve Computer nesnelerine çeşitli kurallar uygular. Varsayılan kural kümesini değiştirmeniz gerekiyorsa, Microsoft Entra Connect ile yüklenen Eşitleme Kuralları Düzenleyicisi'ni kullanın. Daha fazla bilgi için bkz . Microsoft Entra Connect Sync: Varsayılan yapılandırmayı anlama).
Ayrıca, ekti alanına veya kuruluş birimine (OU) göre nesnelerin eşitlenmesini sınırlandırmak istiyorsanız kendi filtrelerinizi de tanımlayabilirsiniz. Alternatif olarak, Microsoft Entra Connect Sync: Filtrelemeyi Yapılandırma bölümünde açıklanan gibi daha karmaşık özel filtreleme uygulayabilirsiniz.
İzleme aracılarını yapılandırma
Sistem durumu izlemesi şirket içinde yüklenmiş şu aracılarla gerçekleştirilir:
- Microsoft Entra Connect, eşitleme işlemleri hakkında bilgi yakalayan bir aracı yükler. Sistem durumunu ve performansını izlemek için Azure portalındaki Microsoft Entra Connect Health dikey penceresini kullanın. Daha fazla bilgi için bkz . Eşitleme için Microsoft Entra Connect Health'i kullanma.
- Azure'dan AD DS etki alanlarının ve dizinlerinin durumunu izlemek için AD DS için Microsoft Entra Connect Health aracısını şirket içi etki alanı içindeki bir makineye yükleyin. Sistem durumunu izlemek için Azure portalındaki Microsoft Entra Connect Health dikey penceresini kullanın. Daha fazla bilgi için bkz . Microsoft Entra Connect Health'i AD DS ile kullanma
- Şirket içinde çalışan hizmetlerin durumunu izlemek için AD FS için Microsoft Entra Connect Health aracını yükleyin ve AD FS'yi izlemek için Azure portalındaki Microsoft Entra Connect Health dikey penceresini kullanın. Daha fazla bilgi için bkz . MICROSOFT Entra Connect Health'i AD FS ile kullanma
AD Connect Health aracılarını ve bunların gereksinimlerini yükleme hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Health Aracısı Yüklemesi.
Dikkat edilmesi gereken noktalar
Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.
Güvenilirlik
Güvenilirlik, uygulamanızın müşterilerinize sağladığınız taahhütleri karşılayabilmesini sağlar. Daha fazla bilgi için bkz . Güvenilirlik sütununa genel bakış.
Microsoft Entra hizmeti coğrafi olarak dağıtılmıştır ve otomatik yük devretme ile dünyaya yayılmış birden çok veri merkezinde çalışır. Bir veri merkezi kullanılamaz duruma gelirse, Microsoft Entra Id dizin verilerinizin en az iki daha fazla bölgesel olarak dağınık veri merkezinde erişim için kullanılabilir olmasını sağlar.
Not
Microsoft 365 Uygulamaları AD katmanı ve Premium hizmetler için hizmet düzeyi sözleşmesi (SLA), en az %99,9 kullanılabilirlik garantisi sunar. Microsoft Entra Id'nin Ücretsiz katmanı için SLA yoktur. Daha fazla bilgi için bkz . Microsoft Entra Id için SLA.
Topoloji önerileri bölümünde açıklandığı gibi kullanılabilirliği artırmak için hazırlama modunda Microsoft Entra Connect Sync sunucusunun ikinci bir örneğini sağlamayı göz önünde bulundurun.
Microsoft Entra Connect ile birlikte gelen SQL Server Express LocalDB örneğini kullanmıyorsanız, yüksek kullanılabilirlik elde etmek için SQL kümeleme kullanmayı göz önünde bulundurun. Yansıtma ve Always On gibi çözümler Microsoft Entra Connect tarafından desteklenmez.
Microsoft Entra Connect Sync sunucusunun yüksek kullanılabilirliğini elde etme ve bir hatadan sonra kurtarma hakkında dikkat edilmesi gereken ek noktalar için bkz . Microsoft Entra Connect Sync: İşletimsel görevler ve dikkat edilmesi gerekenler - Olağanüstü Durum Kurtarma.
Güvenlik
Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.
Beklenmeyen kaynaklardan gelen kimlik doğrulama isteklerini reddetmek için koşullu erişim denetimi kullanın:
Kullanıcı güvenilir bir ağ yerine İnternet üzerinden gibi güvenilmeyen bir konumdan bağlanmaya çalışırsa Microsoft Entra çok faktörlü kimlik doğrulamasını (MFA) tetikler.
Uygulamalara ve özelliklere erişim ilkesini belirlemek için kullanıcının cihaz platformu türünü (iOS, Android, Windows Mobile, Windows) kullanın.
Kullanıcı cihazlarının etkin/devre dışı durumunu kaydedin ve bu bilgileri erişim ilkesi denetimleriyle birleştirin. Örneğin kullanıcının telefonu kaybolur veya çalınırsa, erişim elde etmek için kullanılmasını önlemek için bu telefonun devre dışı olarak kaydedilmesi gerekir.
Kaynaklara kullanıcı erişimini grup üyeliği temelinde denetleyin. Grup yönetimini basitleştirmek için Microsoft Entra dinamik üyelik kurallarını kullanın. Bunun nasıl çalıştığını gösteren kısa genel bakış bilgileri için bkz. Gruplarda Dinamik Üyeliğe Giriş.
Olağan dışı oturum açma etkinliklerine veya diğer olaylara göre gelişmiş koruma sağlamak için Microsoft Entra Kimlik Koruması ile koşullu erişim riski ilkelerini kullanın.
Daha fazla bilgi için bkz . Microsoft Entra Koşullu Erişim.
Maliyet iyileştirme
Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.
Maliyetleri tahmin etmek için Azure fiyatlandırma hesaplayıcısını kullanın.
Maliyetle ilgili dikkat edilmesi gerekenler şunlardır:
Microsoft Entra Connect - Microsoft Entra Connect eşitleme özelliği, Microsoft Entra ID'nin tüm sürümlerinde kullanılabilir.
Microsoft Entra Connect'i kullanmak için ek lisans gereksinimi yoktur ve Azure aboneliğinize dahildir.
Microsoft Entra Id sürümleri hakkında fiyatlandırma bilgileri için bkz . Microsoft Entra fiyatlandırması.
N Katmanlı uygulama vm'leri - Bu kaynaklar hakkında maliyet bilgileri için bkz. [N katmanlı mimari için VM çalıştırma][Azure'da çok katmanlı mimariyi uygulama].
Operasyonel mükemmellik
Operasyonel mükemmellik, bir uygulamayı dağıtan ve üretimde çalışır durumda tutan operasyon süreçlerini kapsar. Daha fazla bilgi için bkz . Operasyonel mükemmellik sütununa genel bakış.
Yönetilebilirlik
Microsoft Entra Id'yi yönetmenin iki yönü vardır:
- Bulutta Microsoft Entra Kimliğini yönetme.
- Microsoft Entra Connect Eşitleme sunucularının bakımı.
Microsoft Entra ID, buluttaki etki alanlarını ve dizinleri yönetmek için aşağıdaki seçenekleri sağlar:
- Microsoft Graph PowerShell Modülü - Kullanıcı yönetimi, etki alanı yönetimi ve çoklu oturum açma yapılandırması gibi yaygın Microsoft Entra yönetim görevlerini betik olarak kullanmak için kullanılır.
- Azure portalındaki Microsoft Entra yönetim dikey penceresi, dizinin etkileşimli bir yönetim görünümünü sağlar ve Microsoft Entra Id'nin çoğu yönünü denetlemenize ve yapılandırmanıza olanak tanır.
Microsoft Entra Connect, şirket içi makinelerinizden Microsoft Entra Connect Eşitleme hizmetlerini korumak için aşağıdaki araçları yükler:
- Microsoft Entra Connect konsolu - Azure AD Eşitleme sunucusunun yapılandırmasını değiştirmenize, eşitlemenin nasıl gerçekleştiğini özelleştirmenize, hazırlama modunu etkinleştirmenize veya devre dışı bırakmanıza ve kullanıcı oturum açma modunu değiştirmenize olanak tanır. Şirket içi altyapınızı kullanarak Active Directory FS oturum açmayı etkinleştirebilirsiniz.
- Eşitleme Hizmeti Yöneticisi - Eşitleme işlemini yönetmek ve işlemin herhangi bir bölümünün başarısız olup olmadığını algılamak için bu araçtaki İşlemler sekmesini kullanın. Bu aracı kullanıp eşitlemeleri el ile tetikleyebilirsiniz. Bağlayıcılar sekmesi eşitleme altyapısının bağlandığı etki alanları için bağlantıları denetlemenizi sağlar.
- Eşitleme Kuralları Düzenleyicisi - Nesnelerin şirket içi dizin ile Microsoft Entra Id arasında kopyalandığında dönüştürülmesi şeklini özelleştirmenize olanak tanır. Bu araç, eşitleme için ek öznitelikler ve nesneler belirtmenize olanak tanır, ardından hangi nesnelerin eşitlenmesi gerektiğini veya eşitlenmemesi gerektiğini belirlemek için filtreleri yürütür. Daha fazla bilgi için Microsoft Entra Connect Sync: Varsayılan yapılandırmayı anlama belgesinin Eşitleme Kuralı Düzenleyicisi bölümüne bakın.
Microsoft Entra Connect'i yönetme hakkında daha fazla bilgi ve ipucu için bkz . Microsoft Entra Connect Sync: Varsayılan yapılandırmayı değiştirmek için en iyi yöntemler.
DevOps
DevOps ile ilgili dikkat edilmesi gerekenler için bkz. Active Directory Etki Alanı Hizmetlerini (AD DS) Azure'a genişletme konusunda operasyonel mükemmellik.
Performans verimliliği
Performans verimliliği, kullanıcılar tarafından anlamlı bir şekilde yerleştirilen talepleri karşılamak amacıyla iş yükünüzü ölçeklendirme becerisidir. Daha fazla bilgi için bkz . Performans verimliliği sütununa genel bakış.
Microsoft Entra hizmeti, yazma işlemlerini ve birden çok salt okunur ikincil çoğaltmayı işleyen tek bir birincil çoğaltma ile çoğaltmalara göre ölçeklenebilirliği destekler. Microsoft Entra ID, ikincil çoğaltmalarda yapılan yazma girişimlerini saydam bir şekilde birincil çoğaltmaya yönlendirir ve nihai tutarlılık sağlar. Birincil çoğaltmada yapılan tüm değişiklikler ikincil çoğaltmalara yaygınlaştırılır. Microsoft Entra ID'ye yönelik işlemlerin çoğu yazma yerine okuma olduğundan bu mimari iyi ölçeklendirilir. Daha fazla bilgi için bkz . Microsoft Entra mimarisi nedir?
Microsoft Entra Connect Sync sunucusu için, yerel dizininizden eşitleme olasılığınız olan nesne sayısını belirleyin. 100.000'den az nesneniz varsa, Microsoft Entra Connect ile sağlanan varsayılan SQL Server Express LocalDB yazılımını kullanabilirsiniz. Daha fazla sayıda nesneniz varsa, SQL Server'ın üretim sürümünü yüklemeniz ve sql server'ın var olan bir örneğini kullanması gerektiğini belirterek Microsoft Entra Connect'in özel bir yüklemesini gerçekleştirmeniz gerekir.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazar:
- Eric Woodruff | Ürün Teknik Uzmanı
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
- Karma kimlikle ilgili kararlar alma hakkında daha fazla bilgi içeren Microsoft Entra Karma Kimlik Tasarımı Konuları'nı gözden geçirin.
- Microsoft Entra Connect için karma topolojinin desteklenen bir yapılandırmada dağıtıldığından emin olmak için Microsoft Entra Connect topolojilerini gözden geçirin.
- Koşullu Erişim dağıtımı planlama ile uygulamalarınıza erişimi korumak için koşullu erişim kullanma hakkında bilgi edinin.
- Azure'da altyapı olarak AD DS sağlama hakkında daha fazla bilgi için bkz . Şirket içi AD'yi Azure ile tümleştirme.
- Şirket içi veya bulut IaaS uygulamalarıyla Microsoft Entra tümleştirmeleri sağlamak istiyorsanız Microsoft Entra uygulama ara sunucusunu gözden geçirin.
- Kimlik, güvenlik için yeni denetim düzlemi olduğundan Kimlik Yönetimi En İyi Yöntemleri'ni gözden geçirin.
- Ayrıca, bu çözümün dağıtılması yüksek ayrıcalıklı hesaplar gerektirdiği için ayrıcalıklı hesapların güvenlik denetimlerini anlamak için Ayrıcalıklı erişimin güvenliğini sağlama'yı gözden geçirin.