Microsoft Entra Bulut Eşitleme önkoşulları

Makale
07/16/2024

Bu makale, kimlik çözümünüz olarak Microsoft Entra Cloud Sync'i kullanma konusunda rehberlik sağlar.

Bulut sağlama aracısı gereksinimleri

Microsoft Entra Cloud Sync'i kullanmak için aşağıdakilere ihtiyacınız vardır:

Aracı hizmetini çalıştırmak için Microsoft Entra Connect bulut eşitleme gMSA'sını (grup yönetilen hizmet hesabı) oluşturmak için Etki Alanı Yöneticisi veya Kuruluş Yöneticisi kimlik bilgileri.
Microsoft Entra kiracınız için konuk kullanıcı olmayan bir Karma Kimlik Yöneticisi hesabı.
Windows 2016 veya sonraki bir sürüme sahip sağlama aracısı için şirket içi sunucu. Bu sunucu, Active Directory yönetim katmanı modelini temel alan bir katman 0 sunucusu olmalıdır. Aracıyı bir etki alanı denetleyicisine yüklemek desteklenir. Daha fazla bilgi için bkz . Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırma
- AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
Yüksek kullanılabilirlik, Microsoft Entra Cloud Sync'in uzun bir süre hata olmadan sürekli çalışma olanağını ifade eder. Birden çok etkin aracı yüklenip çalıştırıldığında, bir aracı başarısız olsa bile Microsoft Entra Cloud Sync çalışmaya devam edebilir. Microsoft, yüksek kullanılabilirlik için 3 etkin aracının yüklü olmasını önerir.
Şirket içi güvenlik duvarı yapılandırmaları.

Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırma

BT ortamınızın bu kritik bileşeni için güvenlik saldırısı yüzeyini azaltmak için Microsoft Entra sağlama aracısı sunucunuzu sağlamlaştırmanızı öneririz. Bu önerilerin takip etmek, kuruluşunuz için bazı güvenlik risklerini azaltmaya yardımcı olur.

Güvenli Ayrıcalıklı Erişim ve Active Directory yönetim katmanı modelinde sağlanan yönergeleri izleyerek Microsoft Entra sağlama aracısı sunucusunu Denetim Düzlemi (eski adıyla Katman 0) varlığı olarak sağlamlaştırmanızı öneririz.
Microsoft Entra sağlama aracısı sunucusuna yönetim erişimini yalnızca etki alanı yöneticileri veya sıkı denetimli diğer güvenlik gruplarıyla kısıtlayın.
Ayrıcalıklı erişimi olan tüm personel için ayrılmış bir hesap oluşturun. Yöneticiler web'e göz atmamalı, e-postalarını denetlememeli ve yüksek ayrıcalıklı hesaplarla günlük üretkenlik görevleri gerçekleştirmemelidir.
Ayrıcalıklı erişimin güvenliğini sağlama bölümünde sağlanan yönergeleri izleyin.
Microsoft Entra sağlama aracısı sunucusuyla NTLM kimlik doğrulaması kullanımını reddedin. Bunu yapmanın bazı yolları şunlardır: Microsoft Entra sağlama aracısı Sunucusunda NTLM'yi kısıtlama ve etki alanında NTLM'yi kısıtlama
Her makinenin benzersiz bir yerel yönetici parolası olduğundan emin olun. Daha fazla bilgi için bkz . Yerel Yönetici Parola Çözümü (Windows LAPS), her iş istasyonunda benzersiz rastgele parolalar yapılandırabilir ve bunları bir ACL ile korunan Active Directory'de depolayabilir. Bu yerel yönetici hesabı parolalarını yalnızca uygun yetkili kullanıcılar okuyabilir veya sıfırlama isteğinde bulunabilir. Windows LAPS ve ayrıcalıklı erişim iş istasyonları (PAW) ile bir ortamı çalıştırmaya yönelik ek yönergeler, temiz kaynak ilkesine dayalı operasyonel standartlarda bulunabilir.
Kuruluşunuzun bilgi sistemlerine ayrıcalıklı erişimi olan tüm personel için ayrılmış ayrıcalıklı erişim iş istasyonları uygulayın.
Active Directory ortamınızın saldırı yüzeyini azaltmak için bu ek yönergeleri izleyin.
Idp ve Microsoft Entra Kimliğiniz arasında kurulan güven değişikliklerini izlemek üzere uyarılar ayarlamak için Federasyon yapılandırmasındaki değişiklikleri izleme'yi izleyin.
Microsoft Entra ID veya AD'de ayrıcalıklı erişimi olan tüm kullanıcılar için Multi Factor Authentication'ı (MFA) etkinleştirin. Microsoft Entra sağlama aracısını kullanmayla ilgili bir güvenlik sorunu, bir saldırganın Microsoft Entra sağlama aracısı sunucusu üzerinde denetim sahibi olması durumunda Microsoft Entra Kimliği'ndeki kullanıcıları yönetebileceğidir. MFA, bir saldırganın Microsoft Entra hesaplarını ele geçirmesi için bu özellikleri kullanmasını önlemek için, bir saldırgan tarafından yönetilirse bile Microsoft Entra sağlama aracısını kullanarak kullanıcının parolasını sıfırlamak gibi ikinci faktörü atlayamayacağı korumalar sunar.

Grup Tarafından Yönetilen Hizmet Hesapları

Grup Yönetilen Hizmet Hesabı, otomatik parola yönetimi, basitleştirilmiş hizmet asıl adı (SPN) yönetimi, yönetimi diğer yöneticilere devretme olanağı sağlayan ve ayrıca bu işlevselliği birden çok sunucuya genişleten yönetilen bir etki alanı hesabıdır. Microsoft Entra Cloud Sync aracıyı çalıştırmak için bir gMSA destekler ve kullanır. Bu hesabı oluşturmak için kurulum sırasında sizden yönetici kimlik bilgileri istenir. Hesap olarak domain\provAgentgMSA$görünür. gMSA hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesapları.

gMSA için önkoşullar

gMSA etki alanının ormanındaki Active Directory şemasının Windows Server 2012 veya sonraki bir sürüme güncelleştirilmesi gerekir.
Bir etki alanı denetleyicisinde PowerShell RSAT modülleri .
Etki alanındaki en az bir etki alanı denetleyicisi Windows Server 2012 veya sonraki bir sürümü çalıştırıyor olmalıdır.
Aracının yüklendiği etki alanına katılmış bir sunucu Windows Server 2016 veya üzeri olmalıdır.

Özel gMSA hesabı

Özel bir gMSA hesabı oluşturuyorsanız, hesabın aşağıdaki izinlere sahip olduğundan emin olmanız gerekir.

Tür	Veri Akışı Adı	Access	Uygulandığı Öğe
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt cihaz nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant InetOrgPerson nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Bilgisayar nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Descendant foreignSecurityPrincipal nesneleri
İzin Ver	gMSA Hesabı	Tam denetim	Alt Grup nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kullanıcı nesneleri
İzin Ver	gMSA Hesabı	Tüm özellikleri okuma	Alt Kişi nesneleri
İzin Ver	gMSA Hesabı	Kullanıcı nesnelerini oluşturma/silme	Bu nesne ve tüm alt nesneler

Mevcut bir aracıyı gMSA hesabı kullanacak şekilde yükseltme adımları için bkz . Grup Yönetilen Hizmet Hesapları.

Active Directory'nizi grup Yönetilen Hizmet Hesabı için hazırlama hakkında daha fazla bilgi için bkz . Grup Yönetilen Hizmet Hesaplarına Genel Bakış ve Yönetilen hizmet hesaplarını bulut eşitleme ile gruplandırma.

Microsoft Entra yönetim merkezinde

Microsoft Entra kiracınızda yalnızca bulutta karma kimlik yöneticisi hesabı oluşturun. Bu şekilde, şirket içi hizmetleriniz başarısız olursa veya kullanılamaz hale gelirse kiracınızın yapılandırmasını yönetebilirsiniz. Yalnızca bulutta karma kimlik yöneticisi hesabı ekleme hakkında bilgi edinin. Bu adımı tamamlamak, kiracınızın kilitlenmediğinden emin olmak için kritik öneme sahiptir.
Microsoft Entra kiracınıza bir veya daha fazla özel etki alanı adı ekleyin. Kullanıcılarınız bu etki alanı adlarından biriyle oturum açabilir.

Active Directory'deki dizininizde

Dizin özniteliklerini eşitlemeye hazırlamak için IdFix aracını çalıştırın.

Şirket içi ortamınızda

En az 4 GB RAM ve .NET 4.7.1+ çalışma zamanı ile Windows Server 2016 veya üzerini çalıştıran etki alanına katılmış bir konak sunucusunu belirleyin.
Yerel sunucudaki PowerShell yürütme ilkesi Undefined veya RemoteSigned olarak ayarlanmalıdır.
Sunucularınız ile Microsoft Entra Id arasında bir güvenlik duvarı varsa bkz . Güvenlik duvarı ve ara sunucu gereksinimleri.

Not

Windows Server Core'a bulut sağlama aracısını yükleme desteklenmez.

Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar

Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Genel gereksinimler

En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
- AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.

Not

Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.

Bu izinler, varsayılan olarak Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri tarafından AdminSDHolder nesnelerine uygulanmaz

Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
- Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect
- Microsoft Entra Connect kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
- AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir

Desteklenen gruplar

Yalnızca aşağıdakiler desteklenir:

Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
Bu grupların atanmış veya dinamik üyelikleri olabilir.
Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
50.000'den büyük üyeler desteklenmez.
İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.

Ek bilgi

Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.

Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
Bu kullanıcıların tümünün hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Connect Sync (2.2.8.0) kullanılarak eşitlenebilir
Kullanıcıları eşitlemek için Microsoft Entra Cloud Sync yerine Microsoft Entra Connect Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.

Diğer gereksinimler

En düşük Microsoft .NET Framework 4.7.1

TLS gereksinimleri

Not

Aktarım Katmanı Güvenliği (TLS), güvenli iletişim sağlayan bir protokoldür. TLS ayarlarının değiştirilmesi tüm ormanı etkiler. Daha fazla bilgi için bkz . Windows'da WinHTTP'de varsayılan güvenli protokoller olarak TLS 1.1 ve TLS 1.2'yi etkinleştirmek için güncelleştirme.

Microsoft Entra Connect bulut sağlama aracısını barındıran Windows sunucusunda yüklemeden önce TLS 1.2'nin etkinleştirilmesi gerekir.

TLS 1.2'yi etkinleştirmek için aşağıdaki adımları izleyin.

İçeriği bir .reg dosyasına kopyalayıp dosyayı çalıştırarak aşağıdaki kayıt defteri anahtarlarını ayarlayın (sağ tıklayıp Birleştir'i seçin):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Sunucuyu yeniden başlatın.

Güvenlik duvarı ve Proxy gereksinimleri

Sunucularınızla Microsoft Entra ID arasında bir güvenlik duvarı varsa aşağıdaki öğeleri yapılandırın:

Aracıların aşağıdaki bağlantı noktaları üzerinden Microsoft Entra Id'ye giden istekler gönderediğinden emin olun:

Bağlantı noktası numarası	Açıklama
80	TLS/SSL sertifikasını doğrularken sertifika iptal listelerini (CRL) indirir.
443	Hizmetle tüm giden iletişimi işler.
8080 (isteğe bağlı)	Aracılar, 443 numaralı bağlantı noktası kullanılamıyorsa 8080 numaralı bağlantı noktası üzerinden her 10 dakikada bir durumlarını bildirir. Bu durum Microsoft Entra yönetim merkezinde gösterilir.

Güvenlik duvarınız kaynak kullanıcılara göre kuralları zorunlu tutuyorsa ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için bu bağlantı noktalarını açın.
Proxy'nizin en az HTTP 1.1 protokollerini desteklediğini ve öbeklenmiş kodlamanın etkinleştirildiğinden emin olun.
Güvenlik duvarınız veya ara sunucunuz güvenli sonekler belirtmenize izin veriyorsa, bağlantılar ekleyin:

Genel Bulut
ABD Kamu Bulutu

URL	Açıklama
`.msappproxy.net` `.servicebus.windows.net`	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
`.microsoftonline.com` `.microsoft.com` `.msappproxy.com` `.windowsazure.com`	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
`mscrl.microsoft.com:80` `crl.microsoft.com:80` `ocsp.msocsp.com:80` `www.microsoft.com:80`	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
`login.windows.net`	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

URL	Açıklama
`.msappproxy.us` `.servicebus.usgovcloudapi.net`	Aracı, Microsoft Entra bulut hizmetiyle iletişim kurmak için bu URL'leri kullanır.
`mscrl.microsoft.us:80` `crl.microsoft.us:80` `ocsp.msocsp.us:80` `www.microsoft.us:80`	Aracı sertifikaları doğrulamak için bu URL'leri kullanır.
`login.windows.us` `secure.aadcdn.microsoftonline-p.com` `.microsoftonline.us` `.microsoftonline-p.us` `.msauth.net` `.msauthimages.net` `.msecnd.net` `.msftauth.net` `.msftauthimages.net` `.phonefactor.net` `enterpriseregistration.windows.net` `management.azure.com` `policykeyservice.dc.ad.msft.net` `ctldl.windowsupdate.us:80` `aadcdn.msftauthimages.us` `*.microsoft.us` `msauthimages.us` `mfstauthimages.us`	Aracı, kayıt işlemi sırasında bu URL'leri kullanır.

Bağlantı ekleyemiyorsanız, haftalık olarak güncelleştirilen Azure veri merkezi IP aralıklarına erişime izin verin.

NTLM gereksinimi

Microsoft Entra sağlama aracısını çalıştıran Windows Server'da NTLM'yi etkinleştirmemelisiniz ve etkinleştirildiyse devre dışı bırakmanız gerekir.

Bilinen sınırlamalar

Bilinen sınırlamalar şunlardır:

Delta Eşitleme

Delta eşitleme için grup kapsamı filtrelemesi 50.000'den fazla üyeyi desteklemez.
Bir grup kapsam filtresinin parçası olarak kullanılan bir grubu sildiğinizde, grubun üyesi olan kullanıcılar silinmez.
Kapsamdaki OU veya grubu yeniden adlandırdığınızda, delta eşitlemesi kullanıcıları kaldırmaz.

Sağlama Günlükleri

Sağlama günlükleri oluşturma ve güncelleştirme işlemleri arasında net bir ayrım yoktur. Bir güncelleştirme için oluşturma işlemi ve oluşturma için bir güncelleştirme işlemi görebilirsiniz.

Grup yeniden adlandırma veya OU yeniden adlandırma

Ad'da belirli bir yapılandırma kapsamındaki bir grubu veya OU'nun adını değiştirirseniz, bulut eşitleme işi AD'deki ad değişikliğini tanıyamaz. İş karantinaya girmez ve sağlıklı kalır.

Kapsam filtresi

OU kapsam filtresi kullanılırken

Belirli bir yapılandırma için en fazla 59 ayrı OU veya Güvenlik Grubu eşitleyebilirsiniz.
İç içe OU'lar desteklenir (yani, 130 iç içe OU'su olan bir OU'yu eşitleyebilirsiniz, ancak aynı yapılandırmada 60 ayrı OU'yu eşitleyemezsiniz).

Parola Karması Eşitleme

InetOrgPerson ile parola karması eşitlemesi kullanılması desteklenmez.

Aracılığıyla paylaş