Ana Sayfa Genel Azure AD Conn...

Azure AD Connect ile Kullanıcı E-Mail Bilgisini Azure Active Directory’deki UPN Bilgisiyle Senkronize Etme

YAZAR

TARİH

KATEGORİ

Azure AD Connect ile Kullanıcı E-Mail Bilgisini Azure Active Director’deki UPN Bilgisiyle Senkronize Etme

 

Azure AD Connect, lokal Active Directory’de yer alan kullanıcı, grup gibi nesnelerin Microsoft 365 alt yapısında yer alan Azure Active Directory platformuna senkronizasyonunu sağlar. Senkronizasyon işlemi belirli zamanlarda otomatik olarak gerçekleştirilebilirken, PowerShell komutları ile de tetiklenebilir. Senkronizasyon işlemi gerçekleştirilmeden önce IdFix aracı ile lokal Active Directory’deki çakışma ya da iyileştirmelere dair bilgilerin kontrol edilip uygulanması sağlıklı olacaktır. Böylelikle bulut ortamına sorunsuz senkronizasyon işlemi gerçekleştirilir.

Bilindiği üzere Microsoft 365 platformlarında public domain kullanmalıdır. Haliyle AD Connect ile senkron edilecek kullanıcıların UPN ve mail bilgilerinin Microsoft 365 platformunda tanımlanması gerekir. Lokal Active Directory’de ise kullanıcı UPN bilgileri .local gibi iç network’lerde kullanılan domainler olarak tanımlanmalıdır. Haliyle Azure AD Connect ortamlarında lokal Active Directory’deki kullanıcı UPN bilgileri Microsoft 365 platformunda tanımlanan public domaine göre düzenlenmelidir ya da Azure AD Connect, local Active Directory’deki mail gibi diğer bilgilere göre senkron edilecek şekilde konfigüre edilmelidir. Mail bilgisine göre Azure Active Directory’e senkron edilme işlemi sayesinde lokal Active Directory’deki mail bilgisi ile kullanıcılar Microsoft 365 platformunun sunduğu hizmetlere erişim sağlarlar. BT yöneticileri için kimi zaman bu yöntem senkronizasyon yönetimi için daha sağlıklı olacaktır.

Azure AD kurulumu ve lokaldeki mail bilgisine göre Azure Active Directory’deki UPN bilgisine göre eşleştirmek için öncelikle Azure AD Connect ile ilgili durum bilgisi ve detaylara Azure Active Directory portalından erişim sağlanır. Bunun için Azure Active Directory’ında oturum açılır ve Azure AD Connect başlığına tıklanır. Görüldüğü üzere “Son Eşitleme” bölümünde eşitleme işleminin çalıştırılmadığı bilgisine ulaşılır. Şekildeki arayüzde “Azure AD Connect’i indirin” butonuna tıklandığında en güncel Azure AD kurulum dosyasının indirileceği linke yönlendirilir ve kurulum dosyası indirilir. Bu arayüzde de görüldüğü üzere son senkronizasyon durumu, Parola Karması Eşitleme bilgisi, Federasyon, Sorunsuz çoklu oturum açma ve Geçişli kimlik doğrulama özelliklerine dair bilgilere erişim sağlanır. “Azure AD Connect’i indirin” ile devam edilir.

 

 

Microsoft Azure Active Directory Connect kurulum dosyalarını indirmek için yönlendirilen linkteki “Download” seçeneğine tıklanır ve yönetici olarak çalıştırılır. Azure AD Connect kurulumundan önce gerekli olan önkoşullarına ve gereksinimlerine ilgili linkten erişim sağlanır.

 

 

İndirilen Azure AD Connect kurulum dosyasına tıklandığında “Welcome to Azure AD Connect” arayüzü görüntülenir. Bu arayüz Azure AD Connect ile ilgili bilgilerin yer aldığı ve ilgili lisans sözleşmesinin kabul edildiği bölümdür. İlgili sözleşmenin kabul edilmesinin ardından “Continue” seçeneği ile devam edilir.

 

 

Şekildeki arayüzde Azure AD Connect kurulumu ile ilgili standart ayarların yer aldığı “Express settings” ve BT ekiplerinin kendine göre uçtan uca Azure AD Connect ayarlarını yapabileceği “Customize” yer alır. “Customize” seçeneği ile ilerlenerek Azure Active Directory’deki UPN bilgisinin eşleştirileceği bilgi belirlenecektir.

 

 

 

“Install required components” bölümünde Azure AD Connect senkronizasyonu ile ilgili bileşenlere dair ayarlar listelenir. Kurulum yeri, SQL Server ayarları, servis hesap ayarları, Ad Connec’in grupların bilgileri gibi ayarlar özelleştirilebilir. Bu ayarlar opsiyoneldir. Bileşenlere dair ayarlar sayesinde Azure AD Connect kurulumu farklı lokasyona yapılabilir, varolan SQL sunucu kullanılabilir, daha önce tanımlanan servis hesabı kullanılabilir, Azure AD Connect varsayılan olarak sunucu için 4 tane yerel grup oluşturur, burada grupların kullanıcılar tarafından belirlenmesi sağlanabilir. Burada belirtilecek gruplar yerel gruplar olmalıdır. Böylelikle Azure AD Connect ile spesifik ayarlar yapılandırılabilir. İlgili ayarların yapılmasının ardından “Install” seçeneği ile Azure AD Connect kurulumuna başlanır.

 

 

Bileşenlere dair ayarlar yapıldıktan sonra gerekli bileşenlerin kurulum işlemine başlanır. Kurumum işleminin tamamlanmasının ardından yapılandırma adımları ile devam edilir.

 

 

Bileşenlerin kurulumu tamamlanmasının ardından yapılandırma adımları ile devam edilir. “User sign-in” arayüzünde kullanıcıların oturum açma işlemleri ile ilgili seçenekler yer alır. “Password Hash Synchronization” seçeneği ile kullanıcıların lokal Active Directory’de bulunan kullanıcı şifreleri hashllenir ve Office 365’deki Azure Active Directory ortamına senkronizasyonu sağlanır. Böylelikle kullanıcılar lokal Active Directory’deki kullanıcı bilgileri ve şifreleri ile Office 365 platformunda oturum açabilirler. “Pass-through Authentication” lokal Active Directory’de bulunan kullanıcıların şifreleri buluta senkron olmadan kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolalarıyla oturum açabilir. Kullanıcının parolası, doğrulanmak üzere şirket içi Active Directory etki alanı denetleyicisine geçirilir ve Enable single sign-on seçeneği ile de kullanıldığında herhangi AD FS mimarisine ihtiyaç duymadan kullanıcıların oturum açmalarını destekler. “Federation with AD FS” ile kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Kullanıcılar oturum açmak üzere kendi şirket içi AD FS örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir. “Federation with PingFederate” ile kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Kullanıcılar oturum açmak üzere kendi şirket içi PingFederate örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir. Burada “Password Hash Synchronization“ seçeneği ile devam edilecektir ancak firmalar altyapılarına uygun senaryoları seçmelidir.

 

 

“Connect to Azure AD” bölümünde Azure AD Connect’te bağlanmak için Azure AD global administrator yetkisine sahip kullanıcı bilgisi girilmelidir. Şifre politikaları gereği belirli zamanda şifrede değişiklikler yapılabilir, bu durumda Azure AD Connect yapılandırılması da güncellenmelidir.

 

 

“Connect your directories” bölümünde lokal Active Directory’de yetkili kullanıcının bilgilerinin girilmesi ile ilgili forest’a bağlantı sağlanır. Bunun için “Add Directory” seçeneğine tıklanır ve yetkili kullanıcı hesap bilgisi girilir.

 

 

“AD forest account” bölümünde lokal Active Directory ile bağlantı sağlayacak kullanıcının hesap bilgisi girilir. Varolan bir kullanıcı bilgisi girilebilirken, yeni kullanıcı oluşturularak da devam edilebilir. Burada girilecek hesap bilgisinin yetkileri ilgili daha fazla bilgiye ulaşmak için ilgili linke tıklanır.

 

 

Yetkili kullanıcı bilgilerinin girilmesinin ardından “Add Directory” ile ilgili dizin eklenir. “Next” seçeneği ile devam edilir.

 

 

Şekildeki arayüzde Azure AD’de doğrulanmış olup şirket içi AD DS’de var olan UPN etki alanları görüntülenir. Ayrıca bu sayfa sayesinde userPrincipalName için kullanılacak özellik yapılandırılabilir. Burada dikkat edilmesi gereken nokta Microsoft 365 portalında yani Azure Active Directory’de UPN Suffix bilgilerinin doğrulanmış olması gerekir. UserPrincipalName özelliği, kullanıcıların Azure AD’de ve Office 365’te oturum açarken kullandıkları özniteliktir. Kullanıcılar eşitlenmeden önce, UPN soneki olarak da bilinen kullanılan etki alanlarının Azure AD’de doğrulanması gerekir. Microsoft, userPrincipalName varsayılan özellikte olarak kullanır. Bu öznitelik yönlendirilemeyen bir özellikse ve doğrulanamazsa başka bir özellik seçilebilir. Burada kullanıcıların oturum açma kimliği olarak mail bilgisi seçilebilir. UserPrincipalName dışında başka bir özelliğin kullanılmasına Alternatif kimlik adı verilir. Alternatif kimlik öznitelik değeri, RFC822 standardına uygun olmalıdır. Alternatif bir password hash sync, pass-through authentication ve federation ile kullanılabilir. Burada mail bilgisi ile Azure Active Directory’deki oturum bilgileri eşleştirileceği için mail bilgisi seçilir ve “Next” seçeneği ile devam edilir.

 

 

Varsayılan olarak tüm etki alanları ve OU’lar eşitlenir. Azure AD ile eşitlemek istenilmeyen etki alanları veya OU’lar varsa bu etki alanlarının veya OU’ların işaretini kaldırılabilir. Buradaki ana amaç, etki alanı bazlı ve OU bazlı filtrelemeler yapılmasıdır. Buradaki ayar sonradan da değiştirilebilir. İlgili OU ya da domainin seçilmesinin ardından “Next” seçeneği ile devam edilir.

 

 

Forest’lar arasında eşleştirme özelliği sayesinde, AD DS forest’ındaki kullanıcıların Azure AD’de nasıl temsil edildiği tanımlanabilir. Bir kullanıcı tüm forest’ta yalnızca bir kez temsil edilebilir ya da etkin ve devre dışı hesapların birleşimine sahip olabilir. Ayrıca kullanıcı, bazı forestlarda kişi olarak da temsil edilebilir. Varsayılan özelliklerde “Next” seçeneği ile devam edilir.

 

 

“Filter users and devices” özelliği, belirtilen nesnelerin eşitlenmesine olanak sağlar. Bu özelliği kullanmak için lokal Active Directory’de bu amaca uygun bir grup oluşturulur. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları eklenir. Daha sonra, Azure AD’de mevcut olması gereken nesnelerin listesini korumak için bu gruba kullanıcı ekleyebilir ve gruptan kullanıcı çıkarılabilir. Eşitlemek istenilen tüm nesneler grubun doğrudan üyesi olmalıdır. Tüm kullanıcılar, gruplar, kişiler ve bilgisayarlar/cihazlar doğrudan üye olmalıdır. İçiçe geçmiş grupların üyeleri eklenemez. Senaryoda tüm kullanıcılar ve cihazlar senkron edilecek şekilde varsayılan ayarları ile yapılandırılmaya devam edilir.

 

 

“Optional features” bölümünde Azure Ad Connect kullanımının sunduğu opsiyonel özellikler listelenmektedir. “Exchange Hybrid Deployment”, Exchange mail kutularının hem şirket hem de Office 365’te aynı anda varolduğu hybrid migration senaryolarında kullanılır. Azure AD Connect Azure AD’den belirli özelliklerin lokal Active Directory’e geri eşitlemesini sağlar. “Exchange Mail Public Folders” seçeneği mail özellikli Public Folder nesnelerinin lokal Active Directory’den Azure AD’ye eşitlenmesini sağlar. “Azure AD app and attribute filtering” özelliği ile Azure AD uygulaması ve özellik filtreleme etkinleştirilir, eşitlenecek olan özellikler kümesi uyarlanır. ”Password hash synchronization” kullanıcı parola bilgilerinin Azure AD’ye eşitlenmesine yardımcı olur. “Password writeback” etkinleştirildiğinde Azure AD’de gerçekleştirilen parola değişiklikleri lokal Active Directory’e yazılır. “Group writeback” Office 365 Groups özelliği kullanılıyorsa, bu gruplar lokal Active Directory’de de temsil edilir. Bu özellik lokalde Active Directory ve Exchange varsa kullanılır. “Device writeback” koşullu erişim senaryolarında Azure AD’deki cihaz nesnelerinin lokal Active Directory ortamına yazılmasını sağlar. “Directory extension attribute sync” etkinleştirildiğinde belirtilen özellikler Azure AD ile eşitlenir. Burada varsayılan ayarlar ile ilerlenir, diğer seçenekler lisans durumlarına göre ve ihtiyaca göre seçilebilir.

 

 

“Ready to configure” seçeneğinde ise yapılan ayarlar doğrultusunda senkronizasyon işlemine başlatılır. “Install” seçeneği ile devam edilir. Yapılan ayarlar doğrultusunda senkronizasyon işlemi başlatılılır. Konfigürasyon ile ilgili yapılan işlemlerin tamamlandığı ve Active Directory’deki Recycle Bin özelliğinin açık olmadı ve açılması gerektiği önerilmektedir. Genel olarak yapılan işlemin son durum bilgisi ve öneriler görüntülenir.

 

 

Kurulum ve yapılandırma adımlarının tamamlanmasının ardından senkronizasyon durumunu görüntülemek için kurulum dosyalarının yer aldığı dizindeki miisclient uygulaması çalıştırılır. Şekilde de görüldüğü üzere ilgili lokal Active Directory ile Azure Active Directory üzerinde ilgili konnektörler oluşturulmuş ve senkronizasyon işlemi yapılmıştır.

 

 

Aynı zamanda senkronizasyon işlemi ile ilgili durum bilgisine Azure Active Directory portalında da görüntülenir.

 

 

Mail bilgisinin Azure Active directory’deki UPN bilgisi ile eşleştirildiği kural kurulum dosyalarının yer aldığı dizindeki Syncronization Rules Editor üzerinde görüntülenir. Syncronization Rules Editor üzerinde gerekli filtreler yapıldığında UserPrincipleName ile ilgili 2 kural görüntülenir. Bu kurallara tıklandığında UPN ile mailin eşleneceği ile ilgili ayarların otomatik yapılandırıldığı görüntülenir.

 

 

Syncronization Rules Editor’ki kurallara tıklandığında “Transformations” bölümünde UserprincipleName ile ilgili ayar görüntülenir. Burada userPrincipleName için kullanılacak kaynak bilgi içerisinde aşağıdaki bilgi yer alır:

 

IIF(IsPresent([mail]),[mail], IIF(IsPresent([sAMAccountName]),([sAMAccountName]&”@”&%Domain.FQDN%),Error(“AccountName is not present”)))

 

Burada yer alan kuralları kullanıcılar düzenleyebilir ya da yeni kurallar ekleyebilir. Böylelikle BT yöneticileri yapılan ayarları gereksinimlerine göre özelleştirebilir.

 

 

 

 

Şekilde de görüldüğü üzere test kullanıcısının e-mail bilgisi Microsoft 365 portalına eklenmiş olan domain bilgisini içeren suffix ile yapılandırılmıştır. Ortamda ezgican.net domaini Microsoft 365 ortamına eklenmiştir ve buradaki kullanıcının e-mail adresinin suffix bilgisi ezgican.net olarak tanımlanmıştır. Kullanıcının hesabına ait suffix bilgisi ise Microsoft 365’e tanımlanamayan lokal networkte kullanılan domain bilgi olarak tanımlanmıştır.

 

 

Azure AD Connect ile senkronizasyon yapıldıktan sonra lokalde tanımlanan mail adresinin Microsoft 365 portalında kullanıcı adı olarak senkron edildiği gözlemlenir. Böylelikle kullanıcılar mail adres bilgileri ile Microsoft 365’in sunduğu hizmetlerde oturum açarlar.

 

 

CEVAP VER

Yorumunuzu girin !
İsminizi girin

Ezgi CAN

MVP

Ezgi Can, 1986 yılında Adana’da doğdu. Bilgisayar Mühendisliği ve İşletme Fakültesi tamamlayarak, yüksek lisansını Yönetim Bilişim Sistemlerin üzerine yapmıştır. 10 seneden fazla sektör tecrübesi ile Windows Server Rollerine ve Özelliklerine, Office 365 geçiş mimarilerine, System Center ürün ailesine, Azure ve Amazon altyapılarına ilişkin projeleri yönetmiştir. Kariyerine Peakup Bilişim ve Danışmanlık firmasında Altyapı Takım Lideri olarak devam ettirmektedir. Seminerler, etkinlikler ve söyleşilerde konuşmacı olarak yer alıp, tecrübelerini aktarmaktadır.

Popüler Yazılar