Microsoft Entra Cloud Sync önkoşulları
Bu makale, kimlik çözümünüz olarak Microsoft Entra Cloud Sync'i kullanma konusunda rehberlik sağlar.
Bulut sağlama aracısı gereksinimleri
Microsoft Entra Cloud Sync'i kullanmak için aşağıdakilere ihtiyacınız vardır:
- Aracı hizmetini çalıştırmak için Microsoft Entra Connect bulut eşitleme gMSA'sını (grup yönetilen hizmet hesabı) oluşturmak için Etki Alanı Yöneticisi veya Kuruluş Yöneticisi kimlik bilgileri.
- Microsoft Entra kiracınız için konuk kullanıcı olmayan bir Karma Kimlik Yöneticisi hesabı.
- Windows 2016 veya sonraki bir sürüme sahip sağlama aracısı için şirket içi sunucu. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır. Aracıyı bir etki alanı denetleyicisine yüklemek desteklenir. Daha fazla bilgi için bkz . Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırma
- AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
- Yüksek kullanılabilirlik, Microsoft Entra Cloud Sync'in uzun bir süre hata olmadan sürekli çalışma olanağını ifade eder. Birden çok etkin aracı yüklenip çalıştırıldığında, bir aracı başarısız olsa bile Microsoft Entra Cloud Sync çalışmaya devam edebilir. Microsoft, yüksek kullanılabilirlik için 3 etkin aracının yüklü olmasını önerir.
- Şirket içi güvenlik duvarı yapılandırmaları.
Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırma
BT ortamınızın bu kritik bileşeni için güvenlik saldırısı yüzeyini azaltmak için Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırmanızı öneririz. Bu önerilerin takip etmek, kuruluşunuz için bazı güvenlik risklerini azaltmaya yardımcı olur.
- Güvenli Ayrıcalıklı Erişim ve Active Directory yönetim katmanı modelinde sağlanan yönergeleri izleyerek Microsoft Entra sağlama aracısı sunucusunu Denetim Düzlemi (eski adıyla Katman 0) varlığı olarak sağlamlaştırmanızı öneririz.
- Microsoft Entra sağlama aracısı sunucusuna yönetim erişimini yalnızca etki alanı yöneticileri veya sıkı denetimli diğer güvenlik gruplarıyla kısıtlayın.
- Ayrıcalıklı erişimi olan tüm personel için ayrılmış bir hesap oluşturun. Yöneticiler web'e göz atmamalı, e-postalarını denetlememeli ve yüksek ayrıcalıklı hesaplarla günlük üretkenlik görevleri gerçekleştirmemelidir.
- Ayrıcalıklı erişimin güvenliğini sağlama bölümünde sağlanan yönergeleri izleyin.
- Microsoft Entra sağlama aracısı sunucusuyla NTLM kimlik doğrulaması kullanımını reddedin. Bunu yapmanın bazı yolları şunlardır: Microsoft Entra sağlama aracısı Sunucusunda NTLM'yi kısıtlama ve etki alanında NTLM'yi kısıtlama
- Her makinenin benzersiz bir yerel yönetici parolası olduğundan emin olun. Daha fazla bilgi için bkz . Yerel Yönetici Parola Çözümü (Windows LAPS), her iş istasyonunda benzersiz rastgele parolalar yapılandırabilir ve bunları bir ACL ile korunan Active Directory'de depolayabilir. Bu yerel yönetici hesabı parolalarını yalnızca uygun yetkili kullanıcılar okuyabilir veya sıfırlama isteğinde bulunabilir. Windows LAPS ve ayrıcalıklı erişim iş istasyonları (PAW) ile bir ortamı çalıştırmaya yönelik ek yönergeler, temiz kaynak ilkesine dayalı operasyonel standartlarda bulunabilir.
- Kuruluşunuzun bilgi sistemlerine ayrıcalıklı erişimi olan tüm personel için ayrılmış ayrıcalıklı erişim iş istasyonları uygulayın.
- Active Directory ortamınızın saldırı yüzeyini azaltmak için bu ek yönergeleri izleyin.
- Idp ve Microsoft Entra Kimliğiniz arasında kurulan güven değişikliklerini izlemek üzere uyarılar ayarlamak için Federasyon yapılandırmasındaki değişiklikleri izleme'yi izleyin.
- Microsoft Entra ID veya AD'de ayrıcalıklı erişimi olan tüm kullanıcılar için Multi Factor Authentication'ı (MFA) etkinleştirin. Microsoft Entra sağlama aracısını kullanmayla ilgili bir güvenlik sorunu, bir saldırganın Microsoft Entra sağlama aracısı sunucusu üzerinde denetim sahibi olması durumunda Microsoft Entra Kimliği'ndeki kullanıcıları yönetebileceğidir. MFA, bir saldırganın Microsoft Entra hesaplarını ele geçirmesi için bu özellikleri kullanmasını önlemek için, bir saldırgan tarafından yönetilirse bile Microsoft Entra sağlama aracısını kullanarak kullanıcının parolasını sıfırlamak gibi ikinci faktörü atlayamayacağı korumalar sunar.
Grup Yönetilen Hizmet Hesapları
Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Bu hesabı oluşturmak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Hesap olarak domain\provAgentgMSA$
görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.
gMSA için önkoşullar
- gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
- Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .
- Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
- Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.
Özel gMSA hesabı
Özel bir gMSA hesabı oluşturuyorsanız, hesabın aşağıdaki izinlere sahip olduğundan emin olmanız gerekir.
Tür | Ad | Erişim | Şunun için geçerlidir: |
---|---|---|---|
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Alt cihaz nesneleri |
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Descendant InetOrgPerson nesneleri |
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Alt Bilgisayar nesneleri |
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Descendant foreignSecurityPrincipal nesneleri |
İzin vermek | gMSA Hesabı | Tam denetim | Alt Grup nesneleri |
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Alt Kullanıcı nesneleri |
İzin vermek | gMSA Hesabı | Tüm özellikleri okuma | Alt Kişi nesneleri |
İzin vermek | gMSA Hesabı | Kullanıcı nesnelerini oluşturma/silme | Bu nesne ve tüm alt nesneler |
Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları.
Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış ve Yönetilen hizmet hesaplarını bulut eşitleme ile gruplandırma.
Microsoft Entra yönetim merkezinde
- Microsoft Entra kiracınızda yalnızca bulutta karma kimlik yöneticisi hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz hale gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik yöneticisi hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmediğinden emin olmak için kritik öneme sahiptir.
- Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.
Active Directory'deki dizininizde
Dizin özniteliklerini eşitlemeye hazırlamak için IdFix aracını çalıştırın.
Şirket içi ortamınızda
- En az 4 GB RAM ve .NET 4.7.1+ çalışma zamanı ile Windows Server 2016 veya üzerini çalıştıran etki alanına katılmış bir konak sunucusunu belirleyin.
- Yerel sunucudaki PowerShell yürütme ilkesi Undefined veya RemoteSigned olarak ayarlanmalıdır.
- Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa bkz . Güvenlik duvarı ve ara sunucu gereksinimleri.
Not
Windows Server Core'a bulut sağlama aracısını yükleme desteklenmez.
Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar
Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.
Lisans gereksinimleri
Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.
Genel gereksinimler
- En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
- Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
- AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
- Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.
Not
Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.
Bu izinler, varsayılan olarak Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri tarafından AdminSDHolder nesnelerine uygulanmaz
- Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
- Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
- Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
- AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir
Desteklenen gruplar ve ölçek sınırları
Aşağıdakiler desteklenir:
- Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
- Bu grupların atanmış veya dinamik üyelik grupları olabilir.
- Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
- Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
- Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
- 50.000'den büyük üyeler desteklenmez.
- 150.000'den fazla nesnesi olan kiracılar desteklenmez. Başka bir deyişle, kiracının 150.000'i aşan kullanıcı ve grupların birleşimi varsa, kiracı desteklenmez.
- İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
- Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.
Ek bilgiler
Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.
- Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
- Bu kullanıcıların hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
- onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
- Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Connect Sync (2.2.8.0) kullanılarak eşitlenebilir
- Kullanıcıları eşitlemek için Microsoft Entra Cloud Sync yerine Microsoft Entra Connect Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
- Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
- Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.
Diğer gereksinimler
- En düşük Microsoft .NET Framework 4.7.1
TLS gereksinimleri
Not
Aktarım Katmanı Güvenliği (TLS), güvenli iletişim sağlayan bir protokoldür. TLS ayarlarının değiştirilmesi tüm ormanı etkiler. Daha fazla bilgi için bkz . Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.
Microsoft Entra Connect bulut sağlama aracısını barındıran Windows sunucusunda yüklemeden önce TLS 1.2'nin etkinleştirilmesi gerekir.
TLS 1.2'yi etkinleştirmek için aşağıdaki adımları izleyin.
İçeriği bir .reg dosyasına kopyalayıp dosyayı çalıştırarak aşağıdaki kayıt defteri anahtarlarını ayarlayın (sağ tıklayıp Birleştir'i seçin):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Sunucuyu yeniden başlatın.
Güvenlik duvarı ve Proxy gereksinimleri
Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:
Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:
Bağlantı noktası numarası Açıklama 80 TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir. 443 Hizmetle tüm giden iletişimi işler. 8080 (isteğe bağlı) Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde görüntülenir. Güvenlik duvarınız kuralları kaynak kullanıcılara göre zorlarsa, ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.
Proxy'nizin en az HTTP 1.1 protokollerini desteklediğini ve öbeklenmiş kodlamanın etkinleştirildiğinden emin olun.
Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa, bağlantılar ekleyin:
URL | Açıklama |
---|---|
*.msappproxy.net *.servicebus.windows.net |
Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Aracı sertifikaları doğrulamak için bu URL'leri kullanır. |
login.windows.net |
Aracı, kayıt işlemi sırasında bu URL'leri kullanır. |
NTLM gereksinimi
Microsoft Entra sağlama aracısını çalıştıran Windows Server'da NTLM'yi etkinleştirmemelisiniz ve etkinleştirildiyse devre dışı bırakmanız gerekir.
Bilinen sınırlamalar
Bilinen sınırlamalar şunlardır:
Delta Eşitleme
- Delta eşitleme için grup kapsamı filtrelemesi 50.000'den fazla üyeyi desteklemez.
- Bir grup kapsam filtresinin parçası olarak kullanılan bir grubu sildiğinizde, grubun üyesi olan kullanıcılar silinmez.
- Kapsamdaki OU veya grubu yeniden adlandırdığınızda, delta eşitlemesi kullanıcıları kaldırmaz.
Sağlama Günlükleri
- Sağlama günlükleri oluşturma ve güncelleştirme işlemleri arasında net bir ayrım yoktur. Bir güncelleştirme için oluşturma işlemi ve oluşturma için bir güncelleştirme işlemi görebilirsiniz.
Grup yeniden adlandırma veya OU yeniden adlandırma
- Ad'da belirli bir yapılandırma kapsamındaki bir grubu veya OU'nun adını değiştirirseniz, bulut eşitleme işi AD'deki ad değişikliğini tanıyamaz. İş karantinaya girmez ve sağlıklı kalır.
Kapsam filtresi
OU kapsam filtresi kullanılırken
Kapsam yapılandırmasının karakter uzunluğu 4 MB sınırlaması vardır. Standart olarak test edilmiş bir ortamda bu, belirli bir yapılandırma için gerekli meta veriler de dahil olmak üzere yaklaşık 50 ayrı Kuruluş Birimine (OU) veya Güvenlik Grubuna çevrilir.
İç içe OU'lar desteklenir (yani, 130 iç içe OU'su olan bir OU'yu eşitleyebilirsiniz, ancak aynı yapılandırmada 60 ayrı OU'yu eşitleyemezsiniz).
Parola Karması Eşitleme
- InetOrgPerson ile parola karması eşitlemesi kullanılması desteklenmez.