Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme

Önemli

Microsoft Entra Connect Sync'te Grup Geri Yazma v2'nin genel önizlemesi 30 Haziran 2024'te kullanıma sunulmayacaktır. Bu özellik bu tarihte sona erecek ve artık Active Directory'ye bulut güvenlik grupları sağlamak için Connect Sync'te desteklenmeyecektir. Özellik, kullanımdan kaldırma tarihinden sonra çalışmaya devam edecektir ancak bu tarihten sonra artık destek almayacaktır ve herhangi bir bildirimde bulunmadan herhangi bir zamanda çalışmayı durdurabilecektir.

Microsoft Entra Cloud Sync'te, Active Directory'ye Grup Sağlama adı verilen ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Grup Geri Yazma v2 yerine kullanabileceğiniz benzer işlevler sunuyoruz. Cloud Sync'te geliştirdiğimiz diğer yeni özelliklerle birlikte Cloud Sync'te bu işlevselliği geliştirmek için çalışıyoruz.

Connect Sync'te bu önizleme özelliğini kullanan müşteriler, yapılandırmalarını Connect Sync'ten Cloud Sync'e geçirmelidir. (Gereksinimlerinizi destekliyorsa) tüm karma eşitlemenizi Cloud Sync'e taşımayı seçebilirsiniz. Ayrıca Cloud Sync'i yan yana çalıştırabilir ve yalnızca bulut güvenlik grubu sağlamayı Active Directory'de Cloud Sync'e taşıyabilirsiniz.

Active Directory'ye Microsoft 365 grupları sağlayan müşteriler için bu özellik için Grup Geri Yazma v1'i kullanmaya devam edebilirsiniz.

Kullanıcı eşitleme sihirbazını kullanarak yalnızca Cloud Sync'e geçişi değerlendirebilirsiniz.

Senaryo: Bulutta sağlanan ve yönetilen Active Directory gruplarıyla şirket içi uygulamaları yönetin. Microsoft Entra Cloud Sync, AD'deki uygulama atamalarını tam olarak yönetmenize olanak tanırken, erişimle ilgili istekleri denetlemek ve düzeltmek için Microsoft Entra Kimlik Yönetimi özelliklerden yararlanır.

Sağlama aracısı 1.1.1370.0 sürümüyle bulut eşitleme artık grupları doğrudan şirket içi Active Directory ortamınıza sağlama özelliğine sahiptir. Ad tabanlı uygulamalara erişimi yönetmek için kimlik idaresi özelliklerini kullanabilirsiniz. Örneğin, yetkilendirme yönetimi erişim paketine bir grup ekleyebilirsiniz.

Microsoft Entra Cloud Sync'in AD'ye Grup Sağlama'sının kavramsal çizimi.

Grup geri yazma videosunu izleyin

Active Directory'ye bulut eşitleme grubu sağlamaya ve sizin için yapabileceklerine genel bakış için aşağıdaki videoya göz atın.

Önkoşullar

Bu senaryoyu uygulamak için aşağıdaki önkoşullar gereklidir.

  • En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
  • Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
    • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId.
  • Derleme sürümü 1.1.1367.0 veya üzeri olan sağlama aracısı.

Not

Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.

Bu izinler varsayılan olarak AdminSDHolder nesnelerine uygulanmaz

Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri

  • Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
    • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir.
  • Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect.
    • Microsoft Entra Connect kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir.
    • AD:user:objectGUID öğesini Microsoft Entra ID:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir.

Desteklenen gruplar

Bu senaryo için yalnızca aşağıdaki gruplar desteklenir:

  • Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
  • Atanan veya dinamik üyelik grupları
  • Yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan güvenlik gruplarını içerir
  • Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir
  • EVRENSEL AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir
  • 50.000 üyeden büyük değil
  • İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır

Desteklenen senaryolar

Aşağıdaki bölümlerde, bulut eşitleme grubu sağlama ile desteklenen senaryolar açıklanmıştır.

Desteklenen senaryoları yapılandırma

Bir kullanıcının Windows kimlik doğrulaması kullanan bir Active Directory uygulamasına bağlanıp bağlanamayacağını denetlemek istiyorsanız, uygulama ara sunucusunu ve Microsoft Entra güvenlik grubunu kullanabilirsiniz. Bir uygulama Kerberos veya LDAP aracılığıyla kullanıcının AD grubu üyeliklerini denetlerse, ad kullanıcısının uygulamalara erişmeden önce bu grup üyeliklerine sahip olduğundan emin olmak için bulut eşitleme grubu sağlamayı kullanabilirsiniz.

Aşağıdaki bölümlerde, bulut eşitleme grubu sağlama ile desteklenen iki senaryo seçeneği açıklanmıştır. Senaryo seçenekleri, uygulamaya atanan kullanıcıların uygulamada kimlik doğrulaması yaparken grup üyeliklerine sahip olduğundan emin olmak içindir.

  • Yeni bir grup oluşturun ve zaten varsa uygulamayı güncelleştirerek yeni grubu denetleyin veya
  • Yeni bir grup oluşturun ve uygulamanın denetlediği mevcut grupları yeni grubu üye olarak içerecek şekilde güncelleştirin

Başlamadan önce, uygulamanın yüklü olduğu etki alanında etki alanı yöneticisi olduğunuzdan emin olun. Windows bilgisayarınızda bir etki alanı denetleyicisinde oturum açabildiğinizden veya Active Directory Etki Alanı Hizmetleri (AD DS) yönetimi için Uzak Sunucu Yönetimi araçlarının yüklü olduğundan emin olun.

Yeni gruplar seçeneğini yapılandırma

Bu senaryo seçeneğinde, bulut eşitleme grubu sağlama tarafından oluşturulan yeni grupların SID, ad veya ayırt edici adını denetlemek için uygulamayı güncelleştirirsiniz. Bu senaryo aşağıdakiler için geçerlidir:

  • AD DS'ye ilk kez bağlanan yeni uygulamalar için dağıtımlar.
  • Uygulamaya erişen yeni kullanıcı kohortları.
  • Uygulama modernleştirmesi için mevcut AD DS gruplarına bağımlılığı azaltma. Şu anda grubun üyeliğini Domain Admins denetleyen uygulamaların, yeni oluşturulan bir AD grubunu da denetlemek için güncelleştirilmiş olması gerekir.

Uygulamaların yeni grupları kullanması için aşağıdaki adımları kullanın.

Uygulama ve grup oluşturma

  1. Microsoft Entra yönetim merkezini kullanarak, AD tabanlı uygulamayı temsil eden Microsoft Entra ID'de bir uygulama oluşturun ve uygulamayı kullanıcı ataması gerektirecek şekilde yapılandırın.
  2. Kullanıcıların uygulamaya bağlanmasını sağlamak için uygulama ara sunucusu kullanıyorsanız, uygulama ara sunucusunu yapılandırın.
  3. Microsoft Entra Id'de yeni bir güvenlik grubu oluşturun.
  4. Bu grubu AD'ye sağlamak için AD'ye Grup Sağlama'yi kullanın.
  5. Active Directory Kullanıcıları ve Bilgisayarları başlatın ve sonuçta elde edilen yeni AD grubunun AD etki alanında oluşturulmasını bekleyin. Mevcut olduğunda, yeni AD grubunun ayırt edici adını, etki alanını, hesap adını ve SID'sini kaydedin.

Uygulamayı yeni grup kullanacak şekilde yapılandırma

  1. Uygulama LDAP aracılığıyla AD kullanıyorsa, uygulamayı yeni AD grubunun ayırt edici adıyla yapılandırın. Uygulama Kerberos aracılığıyla AD kullanıyorsa, uygulamayı yeni AD grubunun SID veya etki alanı ve hesap adıyla yapılandırın.
  2. Erişim paketi oluşturun. Uygulamayı #3'teki güvenlik grubu olan #1'den Erişim Paketi'ne kaynak olarak ekleyin. Erişim paketinde bir doğrudan atama ilkesi yapılandırın.
  3. Yetkilendirme Yönetimi'nde, AD tabanlı uygulamaya erişmesi gereken eşitlenmiş kullanıcıları erişim paketine atayın.
  4. Yeni AD grubunun yeni üyelerle güncelleştirilmesini bekleyin. Active Directory Kullanıcıları ve Bilgisayarları kullanarak doğru kullanıcıların grubun üyesi olduğunu onaylayın.
  5. AD etki alanı izlemenizde, yalnızca sağlama aracısını çalıştıran gMSA hesabına izin verin, yeni AD grubundaki üyeliği değiştirmek için yetkilendirme yapın.

Artık bu yeni erişim paketi aracılığıyla AD uygulamasına erişimi yönetebilirsiniz.

Mevcut grupları yapılandırma seçeneği

Bu senaryo seçeneğinde, var olan bir grubun iç içe grup üyesi olarak yeni bir AD güvenlik grubu eklersiniz. Bu senaryo, belirli bir grup hesabı adına, SID'ye veya ayırt edici ada sabit kodlanmış bağımlılığı olan uygulamalar için dağıtımlar için geçerlidir.

Bu grubu mevcut AD grubundaki uygulamalara iç içe yerleştirme şunları sağlar:

  • Bir idare özelliği tarafından atanan Microsoft Entra kullanıcıları ve ardından uygun Kerberos biletine sahip olmak için uygulamaya erişin. Bu bilet, var olan grupların SID'sini içerir. ad grubu iç içe yerleştirme kuralları tarafından iç içe yerleştirmeye izin verilir.

Uygulama LDAP kullanıyorsa ve iç içe grup üyeliğini izlerse, uygulama Microsoft Entra kullanıcılarını üyeliklerinden biri olarak mevcut gruba sahip olarak görür.

Mevcut grubun uygunluğunu belirleme

  1. Active Directory Kullanıcıları ve Bilgisayarları başlatın ve uygulama tarafından kullanılan mevcut AD grubunun ayırt edici adını, türünü ve kapsamını kaydedin.
  2. Mevcut grup Domain Admins, , Domain UsersDomain Guests, , Enterprise Admins, Enterprise Key Admins, , Group Policy Creation Owners, Key Admins, Protected Usersveya Schema Adminsise, bu gruplar bulut eşitlemesi tarafından kullanılamayacağı için uygulamayı yukarıda açıklandığı gibi yeni bir grup kullanacak şekilde değiştirmeniz gerekir.
  3. Grubun Genel kapsamı varsa, grubu Evrensel kapsama sahip olacak şekilde değiştirin. Genel grup, üye olarak evrensel gruplara sahip olamaz.

Uygulama ve grup oluşturma

  1. Microsoft Entra yönetim merkezinde, AD tabanlı uygulamayı temsil eden Microsoft Entra ID'de bir uygulama oluşturun ve uygulamayı kullanıcı ataması gerektirecek şekilde yapılandırın.
  2. Kullanıcıların uygulamaya bağlanmasını sağlamak için uygulama ara sunucusu kullanılıyorsa, uygulama ara sunucusunu yapılandırın.
  3. Microsoft Entra Id'de yeni bir güvenlik grubu oluşturun.
  4. Bu grubu AD'ye sağlamak için AD'ye Grup Sağlama'yi kullanın.
  5. Active Directory Kullanıcıları ve Bilgisayarları başlatın ve sonuçta elde edilen yeni AD grubunun AD etki alanında oluşturulmasını bekleyin. Mevcut olduğunda, yeni AD grubunun ayırt edici adını, etki alanını, hesap adını ve SID'sini kaydedin.

Uygulamayı yeni grup kullanacak şekilde yapılandırma

  1. Active Directory Kullanıcıları ve Bilgisayarları kullanarak yeni AD grubunu mevcut AD grubunun bir üyesi olarak ekleyin.
  2. Erişim paketi oluşturun. Uygulamayı #3'teki güvenlik grubu olan #1'den Erişim Paketi'ne kaynak olarak ekleyin. Erişim paketinde bir doğrudan atama ilkesi yapılandırın.
  3. Yetkilendirme Yönetimi'nde, AD tabanlı uygulamaya erişmesi gereken eşitlenmiş kullanıcıları, mevcut AD grubunun hala erişmesi gereken tüm kullanıcı üyeleri de dahil olmak üzere erişim paketine atayın.
  4. Yeni AD grubunun yeni üyelerle güncelleştirilmesini bekleyin. Active Directory Kullanıcıları ve Bilgisayarları kullanarak doğru kullanıcıların grubun üyesi olduğunu onaylayın.
  5. Active Directory Kullanıcıları ve Bilgisayarları kullanarak, mevcut AD grubunun yeni AD grubu dışındaki mevcut üyeleri kaldırın.
  6. AD etki alanı izlemenizde, yalnızca sağlama aracısını çalıştıran gMSA hesabına izin verin, yeni AD grubundaki üyeliği değiştirmek için yetkilendirme yapın.

Daha sonra bu yeni erişim paketi aracılığıyla AD uygulamasına erişimi yönetebileceksiniz.

Sorun giderme

Yeni AD grubunun üyesi olan ve zaten bir AD etki alanında oturum açmış bir Windows bilgisayarında bulunan bir kullanıcının, yeni AD grubu üyeliğini içermeyen bir AD etki alanı denetleyicisi tarafından verilmiş mevcut bir bileti olabilir. Bunun nedeni, biletin bulut eşitleme grubu sağlamadan önce verilmiş olması ve bunları yeni AD grubuna eklemesi olabilir. Kullanıcı, uygulamaya erişim için bileti sunamaz ve bu nedenle biletin süresinin dolmasını ve verilen yeni bir bileti beklemesi veya biletlerini temizlemesi, oturumu kapatıp etki alanında yeniden oturum açması gerekir. Daha fazla ayrıntı için klist komutuna bakın.

Mevcut Microsoft Entra Connect grubu geri yazma v2 müşterileri

Microsoft Entra Connect grup geri yazma v2 kullanıyorsanız, bulut eşitleme grubu sağlamadan yararlanabilmeniz için önce bulut eşitleme sağlamayı AD'ye taşımanız gerekir. Bkz . Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme

Sonraki Adımlar