Merhaba, daha önceki yazılarımızda Azure AD Connect Sync kurulumundan ve 365 için uygulanması gereken bir çok işlemden bahsetmiştik. İlgili makalelere aşağıdaki linklerden ulaşabilirsiniz.
- Azure AD Connect Kurulum ve Yapılandırma – ÇözümPark (cozumpark.com)
- Exchange Server Hybrid Deployment İçin Ön Gereksinimler ve Avantajları – ÇözümPark (cozumpark.com)
- O365 IDFix Aracı Nedir? – ÇözümPark (cozumpark.com)
- PowerShell ile Kullanıcıların UPN’ini Değiştirme – ÇözümPark (cozumpark.com)
Makale İçeriği
Azure AD Connect Nedir?
Azure Azure AD (Azure Active Directory) Connect, On-Premises Active Directory ortamınızda bulunan nesnelerin Azure AD‘ye eşitlenmesi sağlamaktadır. Aslında AD Connect On-Prem ortamımızla Azure AD arasında bir köprü görevi yapmaktadır. Bir çok firma AD DS nesnelerini Azure AD Connect kullanmaktadır.
Microsoft 365 servislerini (Teams, Exchange Online, SharePoint Online vb.) kullanmak istediğiniz zaman ve ortamınızda bulunan AD DS nesnelerini Azure Active Directory’ye eşitleyerek SSO (Single Sign-On) özelliğinden faydalanmak için tamamlayıcı bir araç olan Azure AD Connect devreye girmektedir.
Azure AD Connect Özellikleri
Klasik Sync yönetmi ile başlayan AD Connect geliştikçe kullanılabilir özelliklerinde de farklılılar meydana geliyor, Azure AD Connect’in başlıca özellikleri aşağıdaki gibidir;
- En öne çıkan yeteneği Senkronizasyon olarak gözükmektedir, ilgili özellikler ortamınızın yapısına göre şekillendirebilmektedir;
- Single Forest ve Single Tenant üzerinde Senkronizasyon yapabilmektedir. Azure AD Connect On-Prem ve Azure AD arasında köprü görevi yapar ve AD Connect Sync bileşenlerini kullanarak iki hizmet arasında bağlantı sağlar. Sync edilmesi beklenilen nesneleri tarar daha sonra filtreleme yaparak Senkronizasyon işlemini gerçekleştirir.
- Multi Forest ve Single Tenant üzerinde Senkronizasyon yapabilmektedir. On-Prem ortamda birden fazla Forest bulunan kuruluşlar tek bir Azure AD tenantına Sync yapabilirler. Şirket birleşmeleri, şubeli yapılarda bu tip senaryolar kullanılmaktadır. Multi Forest yapılarda Azure AD Connect birleştirme ve eşleştirme kuralları kullanmaktadır, bu işlem nesnelerin doğru şekilde Sync edilmesi için zorunludur. Multi-forest, single tenant yapılandırmaları, Azure AD Connect ile ilgili daha fazla ve dikkatli yapılandırma yapılması gerekmektedir.
- Pass-Through Authentication (PTA) – Kullanıcıların aynı parolaları kullanarak On-Premises ve Cloud servislerinizde kullanmanız olanak tanımaktadır., PTA ile helpdesk tarafındaki iş yoğunluğunu da kısmen azaltabilmektesiniz.Kullanıcı Azure AD üzerinde oturum açtığında, PTA ile birlikte On-Prem AD üzerinde de doğrulama işlemi gerçekleşmektedir. PTA için genel özellikler aşağıdaki gibidir;
- Üst seviye kullanıcı deneyimi
- Dağıtım ve yönetim kolaylığı
- Güvenlik
- Tüm web tabanlı uygulamalarda Modern Authentication kullanarak oturum açma desteği
- Password Hash Synchronization (PHS) – Azure AD Connect üzerinde uygulanması en kolay doğrulama seçeneğidir ve default olarak gelmektedir. On-Premises ortamınızda Parola her değiştiğinde, hash bilgisini Azure AD ile eşitlemektedir.
- Health Monitoring – Azure AD Connect Health On-Premises ortammınız izlenmesi ile görevlidir, Health Monitoring sayesinde güvenli bir bağlantı sağlanmaktadır. Anlık olarak izleme yaparak proaktif bir biçimde yöneticilerin harekete geçmesini sağlamaktadır.
- Performans İzleme
- Uyarı ve Bildirimler
- Kapsamlı Raporlama Hizmeti
- Hızlı Sorun Gidermek için İpuçları
AD Connect için en bilinir özellikler bu şekilde, diğer özellikleri ise aşağıdaki gibidir;
- Azure AD Connect için SQL Server ihtiyacı bulunmaktadır, Azure AD Connect kurulumu sırasında SQL Server 2019 Express kurulumu da yapılmakta ve 10 GB sınırına kadar kullanabilmektedir.
- Azure AD Connect, Self Service Password Reset için kullanılması gereken Password Writeback özelliği vardır
- Hybrid Azure Join desteği bulunmakta
- Multiple Domains desteği bulunmaktadır
- Schema Özelleştirme
- LDAP (LDAPS) Desteği – Azure AD Connect’in LDAPv3 için uyumludur ve LDAPS protokolü ile iletişim kurarak doğrulama ve senkronizasyon işlemlerini daha güvenli hale getirebilmektedir.
- Özelleştirilebilir Kurallar – On-Premises AD üzerinde bulunan nesnelerin Azure AD’ye nasıl sync edileceğini ve dönüşüm süreci için kural oluşturabilmekteyiz.
- Nesnelerin Özniteliklerini Filtreme – Azure AD’ye Sync edilen nesnelerin özniteliklerini seçebilir ve filtreleme yapabilmeteyiz.
- Soft Match / Hard Matc – On-Premises AD üzerinde bulunan nesneleri Öznitelik veya GUID olarak eşleştirebilmekteyiz.
Azure AD Connect Cloud Sync Nedir?
Azure AD Connect Cloud Sync, hybrid yapınızda bulunan nesneleri Azure AD‘ye sync etmek için kullanılan Azure AD Connect alternatifi bir uygulamadır. AD Connect uygulamasına göre daha hızlı deploy ediliyor ve daha light bir uygulama olarak görev yapmaktadır.
AD Connect Cloud Sync agent’ini Domain üyesi olan bir sunucu’ya yüklemeniz yeterlidir.
Not: Azure AD Connect Provisioning Agent’ını çalıştıran sunucu üzerinde NTLM devre dışı olması gerekmektedir.
Microsoft, Azure AD Connect Cloud Sync ürünün geliştirmeye devam ediyor ve Cloud Sync agent’ı istenilen özellikleri karşılamaya başladığında Azure AD Connect’i kullanımdan kaldırmayı planlıyor. Bu yüzden Cloud Sync uygulaması tanımamız gerekmektedir zamanı geldiğinde mevcut Ad Connect uygulamasından Cloud Sync’e geçiş yapılacak.
Azure AD Connect Cloud Sync, Azure AD Connectte olduğu gibi veritabanı, kurallar vb. yüklemesine ihtiyaç duymamaktadır. Agent dağıtımı gerçekleştirdikten sonra tüm yapılandırma Azure Active Directory üzerinde saklanmaktadır.
- Multi Forest bağlantısı kesilmiş bir Active Directory ortamından Azure AD Sync desteği: Ortak senaryolar arasında birleştirme & alımı (satın alınan şirketin AD forestlerinden üst şirketin AD forestlerine yalıtıldığı)
- Cloud Agent, tüm eşitleme yapılandırması bulutta yönetilerek AD’den Azure AD köprü görevi görür.
- Yüksek kullanılabilirlik dağıtımlarını basitleştirmek için birden çok sağlama agent kullanılabilir; özellikle AD’den Azure AD parola karması eşitlemesine dayanan kuruluşlar için kritik öneme sahiptir.
- 50.000’e kadar üyesi olan büyük gruplar için destek.
Cloud Sync, kimlik doğrulama ve yetkilendirme için yalnızca hafif bir aracının yüklenmesi gerekmektedir. Cloud Sync ile Microsoft, ücretsiz olarak yüksek oranda kullanılabilirlik ve güvenilir eşitleme mimarisi sağlamaktadır. Eşitleme hizmetinin çekirdeğinden hareket ederek, Cloud Sync’in Microsoft tarafından sürekli olarak sürdürülmesi ve güncelleştirilme işlemi vardır.
Azure AD Cloud Sync ile güvenlik endişelerini bir kenara bırakabilirsiniz.Senkronizasyon işlemini ve yapılandırmaları Azure Active Directory’de tutulduğu için Azure AD Connect’in güvenlik açıklarından veya Azure AD Connect’i hedef alan saldırılara maruz kalmazsınız. Örnek;
Exchange Hibrit ve Azure Ortamları Saldırı Altında! Önlemlerinizi Alın – ÇözümPark (cozumpark.com)
Azure AD Connect Cloud Sync, Azure AD Connect’ten farklı olarak DC önceliği sunmaktadır. Azure AD Connect bu işlem için DCLocator kullanırken, Cloud Sync arabirim üzerinden önceliklendirme imkanı sunmaktadır.
Azure AD Connect Cloud Sync, Azure AD Connect (AADC) ile paralel olarak çalışmaktadır, bu geçiş işlemi için bazı önemli detaylar bulunuyor, bu konunun yazısı olmadığı için detaya girmiyorum.
Cloud Sync, bazı özellikleri henüz karşılayamadığı için, ortamınızda dahil etmeden önce en ince detaya kadar incelemeniz gerektirmektedir ve geçişi öncelikle Pilot bir operasyon yaparak yapmanız şiddetle tavsiye edilir.
Azure AD Connect ve Azure AD Cloud Sync karşılaştırması
| Özellik | Azure Active Directory Connect eşitlemesi | Azure Active Directory Connect bulut eşitlemesi |
|---|---|---|
| Tek şirket içi AD ormanına bağlanma | ● | ● |
| Birden çok şirket içi AD ormanına bağlanma | ● | ● |
| Bağlantısı kesilmiş birden çok şirket içi AD ormanına bağlanma | ● | |
| Basit aracı yükleme modeli | ● | |
| Yüksek kullanılabilirlik için birden çok etkin aracı | ● | |
| LDAP dizinlerine bağlanma | ● | |
| Kullanıcı nesneleri desteği | ● | ● |
| Grup nesneleri desteği | ● | ● |
| Kişi nesneleri desteği | ● | ● |
| Cihaz nesneleri desteği | ● | |
| Öznitelik akışları için temel özelleştirmeye izin ver | ● | ● |
| Exchange online özniteliklerini eşitleme | ● | ● |
| Uzantı özniteliklerini eşitleme 1-15 | ● | ● |
| Müşteri tanımlı AD özniteliklerini eşitleme (dizin uzantıları) | ● | ● |
| Parola Karması Eşitleme desteği | ● | ● |
| Pass-Through Kimlik Doğrulaması desteği | ● | |
| Federasyon desteği | ● | ● |
| Sorunsuz Çoklu Oturum Açma | ● | ● |
| Etki Alanı Denetleyicisi üzerinde yüklemeyi destekler | ● | ● |
| Windows Server 2016 desteği | ● | ● |
| Etki Alanları/OU’lar/gruplara göre filtreleme | ● | ● |
| Nesnelerin öznitelik değerlerini filtreleme | ● | |
| Minimal öznitelik kümesinin eşitlenmesine izin ver (MinSync) | ● | ● |
| Öznitelik kaldırma işleminin AD’den Azure AD’ye akışına izin ver | ● | ● |
| Öznitelik akışları için gelişmiş özelleştirmeye izin ver | ● | |
| Parola geri yazma desteği | ● | ● |
| Cihaz geri yazma desteği | ● | Müşteriler bu ilerleme için Bulut Kerberos güveni kullanmalıdır |
| Grup geri yazma desteği | ● | |
| Birden çok etki alanından kullanıcı özniteliklerini birleştirme desteği | ● | |
| Azure AD Domain Services desteği | ● | |
| Exchange karma geri yazma | ● | |
| AD etki alanı başına sınırsız sayıda nesne | ● | |
| AD etki alanı başına en fazla 150.000 nesne desteği | ● | ● |
| En fazla 50.000 üyesi olan gruplar | ● | ● |
| En fazla 250.000 üyesi olan büyük gruplar | ● | |
| Etki alanları arası başvurular | ● | ● |
| İsteğe bağlı sağlama | ● | |
| US Government desteği | ● | ● |
Umarım faydalı olmuştur, başka bir makalede görüşmek dileğiyle.