Azure AD Connect Yapılandırılması
Etki alanının eklenme işleminin tamamlanmasının ardından Hybrid Deployment ön gereksinimi olan lokal Active Directory ile Office 365 alt yapısında yer alan Azure Active Directory arasındaki senkronizasyonun sağlanması için Azure AD Connect kurulumu ve konfigürasyonu yapılmalıdır. Active Directory senkronizasyonu ile Unified Global Address List (GAL) ve Active Directory’deki tüm kullanıcı hesapları on-premise ortamdan yönetilecektir. Bu senkronizasyon varsayılanda belirli zaman aralıklarında otomatik sağlanabileceği gibi elle tetikleyerek de senkronizasyon işlemi gerçekleştirilir. Bu işlemi gerçekleştirmeden önce IdFix aracı ile lokal Active Directory’deki çakışmalar ya da iyileştirmelere dair işlemlerin yapılması sağlıklı olacaktır. Böylelikle bulut ortamına sorunsuz senkronizasyon işlemi gerçekleştirilir.
Azure AD Connect ile ilgili durum bilgisi ve detaylara Azure Active Directory üzerinden erişim sağlanır. Bunun için Azure Active Directory’ında oturum açılır ve Azure AD Connect başlığına tıklanır. Görüldüğü üzere “Sync Status” bölümünde herhangi senkronizasyona dair bilgilere ulaşılır. Şekildeki arayüzde “Download Azure AD Connect” butonuna tıklandığında en güncel Azure AD kurulum dosyasının indirileceği linke yönlendirilir ve kurulum dosyası indirilir. Bu arayüzde de görüldüğü üzere son senkronizasyon durumu, Password Hash Sync bilgisi, Federation, Seamless single sign-on ve Pass-through authentication özellikleri ile bilgilere erişim sağlanır. Azure AD Connect indirmek için Azure Active Directory kullanılabileceği gibi ilgili linke de tıklanabilir.
Azure AD Connect kurulumu için ayrı bir sunucu kurulumu gerekir. Donanımsal gereksinimleri aşağıdaki gibidir:
| Number of objects in Active Directory | CPU | Memory | Hard drive size |
| Fewer than 10,000 | 1.6 GHz | 4 GB | 70 GB |
| 10,000–50,000 | 1.6 GHz | 4 GB | 70 GB |
| 50,000–100,000 | 1.6 GHz | 16 GB | 100 GB |
| For 100,000 or more objects the full version of SQL Server is required | |||
| 100,000–300,000 | 1.6 GHz | 32 GB | 300 GB |
| 300,000–600,000 | 1.6 GHz | 32 GB | 450 GB |
| More than 600,000 | 1.6 GHz | 32 GB | 500 GB |
Azure AD Connect sunucusunun isletim sisteminde GUI olmalıdır. Server core desteklenmemektedir. Azure AD Connect, Windows Server 2008 R2 ve daha sonraki sürümlere yüklenebilir. Windows Server 2008 R2 işletim sistemine yüklenmesi durumunda en son güncellemeyi almış olması gerekir. Password Synchronization aktif edilecekse Windows Server 2008 R2 SP1 veya sonraki sürümler olmalıdır. Group Managed Service Account özelliği kullanılacaksa Windows Server 2012 veya sonraki sürümler olmalıdır. Azure AD Connect kurulumu yapılacak sunucuda .NET Framework 4.5.1 veya sonraki sürümleri ile Microsoft PowerShell 3.0 ve sonraki sürümleri olmalıdır. Azure AD Connect sunucusunda PowerShell Transcription Group Policy özelliği etkinleştirilmemelidir. Azure AD Connect ile Federation Services’in kullanılması gerektiği durumlarda ise ADFS ve WAP sunucularının Windows Server 2012 R2 veya sonraki sürümlerinin olması ve Windows Remote Management etkileştirilmelidir. ADFS için SSL sertifikasına ve ADFS için kullanılacak ismin çözümlenmesi gerekir. Eğer global administrators kullanıcılarında MFA etkinleştirilmiş ise https://secure.aadcdn.microsoftonline-p.com trusted sites listesine eklenmelidir.
Azure AD Connect ile ilgili gereksinimlerin tamamlanmasının ardından ilgili linke gidilerek kurulum dosyası indirilir ve yönetici olarak çalıştırılır.
“Welcome to Azure AD Connect” arayüzünde Azure AD Connect ile ilgili bilgilerin yer aldığı ve ilgili lisans sözleşmesinin kabul edildiği bölümdür. İlgili sözleşmenin kabul edilmesinin ardından “Continue” seçeneği ile devam edilir.
Şekildeki arayüzde Azure AD Connect kurulumu ile ilgili standard “Express settings” ayarlarının kullanılacağı yoksa “Customize” seçeneği ile uçtan uca ayarlamaların BT ekipleri tarafından yapılandırılması seçenekleri yer alır. Burada Customize seçeneği ile ilerlenerek daha detaylı ayarların yapılması sağlanır.
“Install required components” bölümünde Azure AD Connect senkronizasyonu ile ilgili opsiyonel bileşenler listelenir. Böylelikle kurulumlar farklı lokasyona yapılabilir, varolan SQL sunucu kullanılabilir, daha önce tanımlanan servis hesabı kullanılabilir, Azure AD Connect varsayılan olarak sunucu için 4 tane yerel grup oluşturur, burada grupların kullanıcılar tarafından belirlenmesi sağlanabilir. Burada belirtilecek gruplar yerel gruplar olmalıdır. Böylelikle Azure AD Connect ile spesifik ayarlar yapılandırılabilir. İlgili ayarların yapılmasının ardından “Install” seçeneği ile Azure AD Connect kurulumuna başlanır.
İlgili kurulum işlemine başlanır. Kurumum işleminin tamamlanmasının ardından yapılandırma adımları ile devam edilir.
Kurulumun tamamlanmasının ardından yapılandırma ile devam edilir. “User sign-in” arayüzünde kullanıcıların oturum açma işlemleri ile ilgili seçenekler yer alır. “Password Hash Synchronization” seçeneği ile kullanıcıların lokal Active Directory’de bulunan kullanıcı şifreleri ile beraber Office 365^deki Azure Active Directory ortamına senkronizasyonu sağlanır. Böylelikle kullanıcılar lokal Active Directory’deki kullanıcı bilgileri ve şifreleri ile Office 365 platformunda oturum açabilirler. “Pass-through Authentication” lokal Active Directory’de bulunan kullanıcıların şifreleri buluta senkron olmadan, kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Kullanıcının parolası, doğrulanmak üzere şirket içi Active Directory etki alanı denetleyicisine geçirilir ve Seamless Single Sign-On seçeneği ile de kullanıldığında herhangi ADFS mimarisine ihtiyaç duymadan kullanıcıların oturum açmalarını destekler. “Federation with ADFS” ile kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Kullanıcılar oturum açmak üzere kendi şirket içi AD FS örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir. “Federation with PingFederate” ile kullanıcılar, Office 365 gibi Microsoft bulut hizmetlerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Kullanıcılar oturum açmak üzere kendi şirket içi PingFederate örneklerine yönlendirilir ve şirket içi kimlik doğrulaması gerçekleşir. Burada firmaların altyapısına uygun senaryolar şeçilebilir. Burada “Password Hash Synchronization“ seçeneği ile devam edilecektir. Ancak Hybrid deployment öncesinde kullanıcı oturum açma seçenekleri düşünülerek en uygun senaryo ile ilerlenmelidir.
“Connect to Azure AD” bölümünde Azure AD Connect’te bağlanmak için Azure AD global administrator yetkisine sahip kullanıcı bilgisi girilmelidir. Azure AD Connect için ayrıca bir global administrator yetkisine sahip onmicrosoft.com etki alanında kullanıcının belirlenmesi sağlıklı olacaktır. Şifre politikaları gereği belirli zamanda şifrede değişiklikler yapılabilir, bu durumda Azure AD Connect yapılandırılması da güncellenmelidir.
“Connect your directories” bölümünde lokal Active Directory’de yetkili kullanıcının bilgilerinin girilmesi ile ilgili forest’a bağlantı sağlanır. Burada varolan bir kullanıcı bilgisi girilebilirken, yeni kullanıcı oluşturularak da devam edilebilir. Burada girilecek hesap bilgisinin Active Directory’de yazma ve okuma yetkisinin olması gerekir. Yetkilerle ilgili daha fazla bilgiye ulaşmak için ilgili linke tıklanır.
Yetkili kullanıcı bilgilerinin girilmesinin ardından “Add Directory” ile ilgili dizin eklenir. “Next” seçeneği ile devam edilir.
Şekildeki arayüzde Azure AD’de doğrulanmış olup şirket içi AD DS’de var olan UPN etki alanları görüntülenir. Ayrıca bu sayfa sayesinde userPrincipalName için kullanılacak özellik yapılandırılabilir. UPN Suffix bilgilerinin doğrulanmış olması gerekir. UserPrincipalName özelliği, kullanıcıların Azure AD’de ve Office 365’te oturum açarken kullandıkları özniteliktir. Kullanıcılar eşitlenmeden önce, UPN soneki olarak da bilinen kullanılan etki alanlarının Azure AD’de doğrulanması gerekir. Microsoft, userPrincipalName varsayılan özellikte tutulmasını önerir. Bu öznitelik yönlendirilemeyen bir özellikse ve doğrulanamazsa başka bir özellik seçilebilir. Örneğin, oturum açma kimliğinin bulunduğu özellik olarak e-mail bilgisi seçilebilir. UserPrincipalName dışında başka bir özelliğin kullanılmasına Alternatif kimlik adı verilir. Alternatif kimlik öznitelik değeri, RFC822 standardına uygun olmalıdır. Alternatif bir password hash sync, pass-through authentication ve federation ile kullanılabilir. Burada varsayılan ayarları kullanarak ve hybrid için kullanılacak UPN Suffix değerinin doğrulanması ile devam edilir.
Varsayılan olarak tüm etki alanları ve OU’lar eşitlenir. Azure AD ile eşitlemek istenilmeyen etki alanları veya OU’lar varsa bu etki alanlarının veya OU’ların işaretini kaldırılabilir. Buradaki ana amaç, etki alanı bazlı ve OU bazlı filtrelemeler yapılmasıdır. Buradaki ayar sonradan da değiştirilebilir. İlgili OU ya da domainin seçilmesinin ardından “Next” seçeneği ile devam edilir.
Forest’lar arasında eşleştirme özelliği sayesinde, AD DS forest’ındaki kullanıcıların Azure AD’de nasıl temsil edildiği tanımlanabilir. Bir kullanıcı ya tüm forest yalnızca bir kez temsil edilebilir ya da etkin ve devre dışı hesapların birleşimine sahip olabilir. Ayrıca kullanıcı, bazı forestlarda kişi olarak da temsil edilebilir. Varsayılan özelliklerde “Next” seçeneği ile devam edilir.
“Filter users and devices” özelliği, belirtilen nesnelerin eşitlenmesine olanak sağlar. Bu özelliği kullanmak için lokal Active Directory’de bu amaca uygun bir grup oluşturulur. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları eklenir. Daha sonra, Azure AD’de mevcut olması gereken nesnelerin listesini korumak için bu gruba kullanıcı ekleyebilir ve gruptan kullanıcı çıkarılabilir. Eşitlemek istenilen tüm nesneler grubun doğrudan üyesi olmalıdır. Tüm kullanıcılar, gruplar, kişiler ve bilgisayarlar/cihazlar doğrudan üye olmalıdır. İçiçe geçmiş grupların üyeleri eklenemez. Senaryoda tüm kullanıcılar ve cihazlar senkron edilecek şekilde varsayılan ayarları ile yapılandırılmaya devam edilir.
“Optional features” bölümünde Azure Ad Connect kullanımının sunduğu opsiyonel özellikler listelenmektedir. “Exchange Hybrid Deployment”, Exchange mail kutularının hem şirket hem de Office 365’te aynı anda varolduğu hybrid migration senaryolarında kullanılır. Azure AD Connect Azure AD’den belirli özelliklerin lokal Active Directory’e geri eşitlemesini sağlar. “Exchange Mail Public Folders” seçeneğimail özellikli Public Folder nesnelerinin lokal Active Directory’den Azure AD’ye eşitlenmesini sağlar. “Azure AD app and attribute filtering” özelliği ile Azure AD uygulaması ve özellik filtreleme etkinleştirilir, eşitlenecek olan özellikler kümesi uyarlanır. ”Password hash synchronization” kullanıcı parola bilgilerinin Azure AD’ye eşitlenmesine yardımcı olur. Federasyon işlemlerinde etkinleştirilerek yedekleme seçeneği olarak da kullanılabilir. “Password writeback” etkinleştirildiğinde Azure AD’de gerçekleştirilen parola değişiklikleri lokal Active Directory’e yazılır. “Group writeback” Office 365 Groups özelliği kullanılıyorsa, bu gruplar lokal Active Directory’de de temsil edilir. Bu özellik lokalde Active Directory ve Exchange varsa kullanılır. “Device writeback” koşullu erişim senaryolarında Azure AD’deki cihaz nesnelerinin lokal Active Directory ortamına yazılmasını sağlar. “Directory extension attribute sync” etkinleştirildiğinde belirtilen özellikler Azure AD ile eşitlenir. Burada hybrid deployment işlemi için “Exchange hybrid deployment” seçeneği işaretlenmelidir, diğer seçenekler lisans durumlarına göre ve ihtiyaca göre seçilebilir.
“Ready to configure” seçeneğinde ise yapılan ayarlar doğrultusunda senkronizasyon işlemine başlatılır. “Install” seçeneği ile devam edilir.
Yapılan ayarlar doğrultusunda senkronizasyon işlemi başlatılmıştır. İlgili ayarlar yapılandırılmıştır. Şekilde de görüldüğü üzere konfigürasyon ile ilgili yapılan işlemlerin tamamlandığı ve Active Directory’deki Recycle Bin özelliğinin açık olmadı ve açılması gerektiği önerilmektedir. Genel olarak yapılan işlemin son durum bilgisi ve öneriler bu arayüzde yer alır. Gerekli kurulum ve yapılandırma işlemlerinin tamamlanmasının ardından “Exit” seçeneği ile devam edilir.
Kurulum ve yapılandırma adımlarının tamamlanmasının ardından senkronizasyon durumunu görüntülemek için kurulum dosyalarının yer aldığı dizindeki miisclient uygulaması çalıştırılır. Şekilde de görüldüğü üzere ilgili lokal Active Directory ile Azure Active Directory üzerinde ilgili konnektörler oluşturulmuş ve senkronizasyon işlemi yapılmıştır.
“Connectors” bölümünde Azure Active Directory ve lokal Active Directory konnektörleri görüntülenir. Konnektörlere tıklandığında ilgili konnektörler ilgili ayarlar yer alır. Lokal Active Directory konnektörüne tıklandığında bağlandığı Active Directory sunucusu ve hangi OU’ların senkron edildiği bilgisine ulaşılabilir. İstenirse buradaki değerler değiştirilebilir.
Yapılandırmanın tamamlanmasının ardından Azure Active Directory ortamında da eşitlenme durum bilgisine erişim sağlanır. Azure Active Directory arayüzünde senkronizasyonun etkin olup, olmadığı, en son eşitleme, Password Hash Sync özelliğinin aktif olup olmadığı gibi Azure AD Connect yapılandırmasına ve de senkronizasyona dair bilgilere erişilir.
Azure AD Connect senkronizasyonunun tamamlanmasının ardından Office 365 yönetim panelindeki “Kullanıcılar” bölümünden senkron edilen kullanıcı bilgileri görüntülenir.
Azure AD Connect senkronizasyon işlemini varsayılanda 3 saate bir gerçekleştirir. Ancak kullanıcılar isterlerse PowerShell komutları ile senkronizasyonu tetikleyebilir. Bunun için aşağıdaki komutlar kullanılmalıdır:
AAD Connect Module:
Import-Module ADSync
Konfigürasyon Kontrolü:
Get-ADSyncScheduler
Full Senkronizasyon İşlemi:
Start-ADSyncSyncCycle -PolicyType Initial
Delta Senkronizasyon İşlemi (Son Senkronizasyondan sonraki yeni ve değişen nesneler için)
Start-ADSyncSyncCycle -PolicyType Delta
