Microsoft Azure

Microsoft Azure Active Directory Connect nasıl kurulur ve ilk ayalar nasıl yapılır?

By
21 Temmuz 2020

Merhabalar,

Makalelerimde öncelikle uçtan uca bir şirketin Office 365 ve Teams kullanımı için yapması gerekenlerden bahsedeceğim. Bu makale konu üzerine ilk makalem olacaktır. Bundan sonraki makalelerde şirketleriniz için yapılması gereken işlemlerden ve çözümlerden bahsediyor olacağım ve ayrıntılı bir makale serisi paylaşmayı umuyorum.

Makaleye başlarken şirketinizde Office 365 ortamınız varsa ve ilk olarak ne yapacağınız düşünüyorsanız bu işlem kullanıcılarınızı senkronize etmeniz olacaktır. Kullanıcılarınızı office 365’e senkronize etmeniz size tek bir yerden kullanıcılarınızı yönetmeniz ve tek bir şifre kullanmalarını sağlayacaksınız. İsterseniz lokal active directorynizde kullanıcılarınızın şifrelerinizi belirleyip sıfırlayabilirsiniz, isterseniz office 365 Admin portalden kullanıcılarınızın şifrelerini sıfırlayabilir ve yönetebilirsiniz. Password writeback özelliğini açarsanız her iki taraftan da yapacağınız işlemde kullanıcının şifresi lokal active directoryde değişecektir.

Kullanıcıları senkronize etmek için kullanacağımız araç ise Microft’un Ad Connect uygulamasıdır. Bu uygulama genellikle ayrı bir sunucuya kurulur ve ayrı olarak yönetilir. Kuracağınız sunucu domain ortamınıza login olması gerekmektedir. Ad Connect uygulamasını nasıl bir sunucuya kurmam gerekiyor veya nasıl bir gereksinimi var diyecek olursanız aşağıda bu bilgileri paylaşıyorum.

https://docs.microsoft.com/tr-tr/azure/active-directory/hybrid/how-to-connect-install-prerequisites

Sunucumuzu hazırladıktan sonra Ad Connect uygulamasını sunucumuza indirmemiz gerekiyor. Aşağıdaki linkten sunucumuza indirelim.

https://www.microsoft.com/en-us/download/details.aspx?id=47594

  1. Kurulum işlemlerine başlamadan önce hem Office tarafında hem de lokal active directory tarafında senkronizasyonu sağlayacağımız kullanıcıların oluşturulması gerekmektedir. Office 365 tarafında kullanıcıların senkronizasyonu için global admin yetkili bir kullanıcı oluşturmamız gerekiyor. Hali hazırda bir global admin yetkili bir kullanıcınız varsa Ad Connect kurulumunda kullanabilirsiniz fakat benim önerim bu kullanıcının haricinde sadece Adconnect için bir kullanıcı oluşturmalısınız. Bu kullanıcının şifresi değişmemesi gerekmektedir. Kullanıcının şifresi değişirse Adconnect sunucuda senkronizasyonunda problem yaşayabilirsiniz.

    Aynı şekilde lokal Active Directory tarafında da senkronizasyon için kullanacağımız bir domain user oluşturmalısınız. Bu kullanıcıya herhangi bir yetki vermenize gerek yoktur zaten aşağıda anlatacağım işlemlerde olacağı gibi hangi ou’ları senkronize edecekseniz sadece o ou’ları okuma yetkisi vereceğiz. Bu kullanıcınında şifresi değişmemesi gerekmekte siz oluştururken never expire olarak ayarlayın.

    Kullanıcı işlemlerinizi tamamladıktan sonra office 365 ortamında hangi domainleri kullanacaksanız Dc sunucunuzdaki Active Directory Domain and Trust’a giderek sağ klik properties yaparak domainlerinizi eklemelisiniz. Bu işlem senkronizasyon yaptıktan sonra kullanıcı adlarının onmicrosoft değil de eklediğiniz domain uzantılı olarak kullanıcılarınızın senkronize olmasını sağlayacaktır.

  2. Sunucumuza indirdiğimiz Ad Connect uygulamasını install etmemiz gerekiyor. Çalıştıralım ve aşağıdaki adımları izleyelim.

  • Kullanım şartlarını kabul ederek devam edelim.

Burada yapılandırmamızı hızlı ayarlar olarak seçebiliriz ve kurulum yapabilirsiniz. Ben burada Customize seçerek ilerliyorum.

  • Kurulum sırasında bazı bilgileri değiştirmek isterseniz aşağıdaki şekilde değiştirebilirsiniz. Bunları detaylandıracak olursak;

Specify a custom installation location bu seçenek kurulumu istediğiniz farklı bir yola yapabilmemizi sağlıyor.
Use an existing SQL Server eğer yapımızda bir SQL Server var ise onun üzerinde yeni bir Database olarak orayı kullanmasını sağlayabiliriz.
Use an existing service account Ad Connect servisinin çalışması için farklı bir account bilgileri girebilirsiniz.
Specify custom sync groups Ad Connect varsayılan olarak sunucu için dört yerel grup oluşturur. Bunlar ADSyncAdmins, ADSyncBrowse, ADSyncOperators ve ADSyncPasswordSet Grubudur. Kendi gruplarınızı burada kullanabilirsiniz. Gruplar sunucuda yerel olmalıdır ve etki alanında bulunamazlar.

Ben burada herhangi bir değişiklik yapmayacağımdan değiştirmeden devam ediyorum ve Install butonuna basarak kurulumu başlatıyorum.

  • Kurulumumuz başladı ve kısa bir süre sonra bitecek. Bitmesinin ardından yapılandırma işlemine geçeceğiz.

  • Kurulum işlemi bittikten sonra senkronize edilecek kullanıcıların nasıl bir doğrulama yöntemi giriş yapacağını seçmemiz gerekiyor.

Password Hash Synchronization Bu seçenek Local Active Directory üzerinde bulunan kullanıcıların şifrelerini Office 365 ortamına senkronize eder ve senkronize edilen parolalarla oturum açabilmelerini sağlar.

Pass-through authentication Bu seçenek seçildiğinde Local Active Directory üzerinde bulunan kullanıcıların Office 365 üzerinde oturum açmak istediklerinde Pass-throught ajanı ile doğrulama yaparak oturum açabileceklerdir. Bu seçenekte kullanıcıların parolaları buluta çıkmaz ve ad ortamınıza kurduğunuz ajanlar sayesinde doğrulama yapabilecektir.

Fedaration with AD FS Şirketinizde hali hazırda kullandığınız bir Adfs sunucunuz varsa bu özelliği kullanabilirsiniz. Kullanıcılar oturum açma işlemini ADFS sunucu üzerinden yapabilirler.

Federation with PingFederate Bu seçenek Adfs sunucu ile birlikte kullanılır. Kullanıcı adı ve şifresini kullanarak ADFS PingFederate ile oturum açma işlemi gerçekleşir.

Do not configure Bu seçenekte hiçbir şekilde yapılandırma yapmadan farklı bir doğrulama yönteminiz var ise onu kullanabilirsiniz.

Enable Single Sign-On Bu seçenek hem parola eşitleme hem de doğrudan kimlik doğrulaması ile kullanılabilir ve masaüstü kullanıcılarına kurumsal ağda çoklu oturum açma deneyimi sağlar.

Ben burada Password Hash Synchronization seçeneğini seçerek devam edeceğim.

  • Office 365 tarafında oluşturduğumuz global admin yetkili kullanıcının bilgilerini burada girmemiz gerekmektedir. Bu kullanıcının şifresinin değişmemesi gerektiğini yukarıdaki yazımda belirtmiştim. Eğer şirket genelinde kullandığınız bir Office 365 password policy var ise aşağıdaki linkten bu kullanıcı için password never expire olarak ayarlayın.

  • Connect Directories kısmında Active Directory’mizi eklememiz gerekmektedir. Daha önce oluşturduğumuz kullanıcın bilgilerini girerek işlemleri tamamlayalım.

  • Kullanıcı adı şifre bilgilerini girdiğimizde aşağıdaki gibi Active Directory’nin eklendiğini görebiliyoruz.

  • Azure AD sign-in configuration bölümünde daha önce upn suffix olarak eklediğimiz domainimizi doğrulanmış olarak görebiliyoruz. Aşağıda user principal name kısmında neye göre senkronize edeceksek kullanıcıları onun bilgisini girmemiz gerekiyor. Ben burada mail olarak seçtim. Kullanıcının mail attribute bir değer varsa kullanıcı senkronize olacaktır. Eğer mail kısmında herhangi bir değer olmazsa seçilen ou içerisinde olsa da kullanıcı senkronize olmayacaktır.

    Continue without matching all upn suffixes to verified domains seçerek işaretleyelim ve devam edelim.

  • Hangi ou altındaki kullanıcıların senkronize olacağını seçerek devam edelim.

  • Herhangi bir değişiklik yapmadan bu kısımdan devam edelim.

  • Pilot grup seçerek demo ortam için senkronizasyon yapacaksanız burada bir grup altındaki kullanıcıların senkronizasyonunu yapabilirsiniz. Canlı ortam için kurulum yapıyorsanız burada bir değişiklik yapmadan devam edelim.

  • Tüm attribute’leri senkronize etmek isterseniz kurulumu burada tamamlayabilirsiniz fakat sadece belirlediğiniz attribute’lerin senkronize olmasını isterseniz aşağıdaki resimdeki gibi Attribute Filtering’i seçerek devam edelim. Ek olarak Password writeback özelliğini açarsanız Office 365 Admin Center’dan parola sıfırlamalarında local active directory’e şifreyi geri yazacaktır.

  • Uygulama bazlı attributelerin gelmesini isterseniz burada seçebilirsiniz fakat ben burada herhangi bir değişiklik yapmadan devam ediyorum çünkü tüm attribute’lerin gelmesini ve seçtiklerimin senkronize olmasını istiyorum.

  • Senkronize olmasını istediğim attribute’ler haricindeki hepsinin işaretini kaldırdım. Bu sayede belirlediğim dışındaki attribute’ler haricinde buluta bilgi gitmemiş olacak.

Varsayılan olarak Start the synchronization seçili olarak gelecektir. Bu şekilde senkronizasyon başlar fakat domain user olarak belirlediğimiz kullanıcının herhangi bir yetkisi olmadığı için kuvvetle muhtemel hata verecektir. Ben bu işareti kaldırdım işlemleri yaptıktan sonra senkronizasyonu manuel olarak başlatacağım. Install’a basarak konfigürasyonu tamamlayalım.

  • Kurulum işlemleri biraz sürecek bitene kadar bekleyelim.

  • Kurulum işlemleri tamamlandı şimdi son olarak sıra domain user kullanıcımıza ou üzerinde yetkiler vermeye geldi.

  • Son işlem olarak Active Directory User And Conputers’a giderek yukarıda hangi ou’ları senkronize etmek için seçtiysek aşağıdaki resimdeki gibi yetki vermemiz gerekmekte. Bu yetkiyi verdikten sonra belirlediğimiz kullanıcı ou altındaki kullanıcıların attribute bilgilerini okuyabilecek ve senkronizasyon yapılabilecektir.

  • Yetki işlemlerini tamamladıktan sonra artık senkronizasyonu artık başlatabiliriz. Adconnect sunucusunda powershell’I administrator olarak çalıştıralım ve aşağıdaki komutları çalıştıralım.

    Adsync powershell modülünü yüklemek için aşağıdaki komutu çalıştıralım.
    Import-Module –Name “C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync” -Verbose
    Full senkronizasyon başlatmak için aşağıdaki komutu çalıştıralım.
    Start-ADSyncSyncCycle -PolicyType Initial

    Full çalıştırdıktan sonra sadece değişkenleri senkronize etmek istiyorsanız aşağıdaki komutu kullanabilirsiniz.
    Start-ADSyncSyncCycle -PolicyType Delta

  • Success olarak cevap dönüyorsa senkronizasyonumuz başarılı bir şekilde başlamıştır demektir. Bu senkronizasyon işlemlerini Synchronization service manager uygulamasından takip edebilir veya senkronize edilen kullanıcıları görebilirsiniz. Bu uygulama Ad Connect kurulumundan sonra C:\Program Files\Microsoft Azure AD Sync\UIShell altından ulaşabilirsiniz.

  • Senkronizasyon işlemini export edilen bölümden görebilirsiniz. Burada bize eklenen 4 kullanıcı olduğunu zaten söylüyor benim senkronize ettiğim ou altında da 4 kullanıcım vardı. Adds kusmına baktığımda ise Senkronize edilen kullanıcıların bilgilerine ve senkronize edilen attribute’leri de görebiliyorum.

Office 365 admin center’dan control ettiğimde kullanıcılarımın senkronize olduğunu görebildim. Sync status kısmına geldiğinizde bu kullanıcıların on-prem’den senkronize edildiğini de görebilirsiniz.

İşlemlerimizi tamamladık.

Konu ile ilgili sorularınızı aşağıdaki yorumlar bölümünden bana iletebilirsiniz.

1
2298
Share:
Related posts
Microsoft Azure

Azure Bastion nedir ?

By
27 Haziran 2019
Güvenlik TeknolojileriMicrosoft Azure

Azure Sentinel'e genel bakış ve yorum

By
26 Nisan 2019
Microsoft Azure

Azure Regulatory Compliance nedir?

By
24 Ocak 2019
Microsoft Azure

Azure Migrate ve ASR üzerine bir kaç not..

By
10 Ocak 2019
Portal güncellemelerinden haberdar olun!

 

1 Comment

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir