Azure AD Connect Kurulumu ve Yapılandırma Bölüm-1
#AzureADConnect Version:2.0.3.0 ile artık #WindowsServer 2016 ve 2019 desteklemektedir. Eski sürümler desteklenmiyor. 🙁 pic.twitter.com/n7kMjH8nO0
— Mehmet PARLAKYİĞİT (@mparlakyigit) July 27, 2021
Kimlik yönetimi IT standartlarında neredeyse en önemli konulardan birisidir. Eğer Office 365’e geçtiyseniz localde bulunan kullanıcılarınızın ve 365 kullanıcılarınızın bir birinden bağımsız kimlik yönetimi olmasını istemiyorsanız Azure AD Connect kurulumu yaparak kimlik yönetiminizi tek bir yerden yapabilirsiniz. Böylelikle kullanıcılarınız benim Office 365 parolam neydi bilgisayarımın parolası neydi gibi iş yükleriyle uğraşmamış olacaksınız. Active Directory üzerinden her hangi bir kullanıcının parolasını resetlediğinizde neredeyse eş zamanlı olarak kullanıcınızın bulut üzerinde ki parolası değişmiş olacaktır. Şimdi isterseniz Azure AD Connect kurulumuna ufaktan başlayalım.
Local Active Directory Ortamı için Ön Hazırlık
Azure AD Connect kurulumu için Active Directory ortamımızda birkaç düzenleme yapmamız gerekecek bunların ilki Active Directory Domains and Trusts domain adreslerimizi UPN suffixes olarak eklemek olacaktır.
Active Directory Domains and Trusts konsolumuzu açarak ilk satır üzerinde sağ tıklayalım açılan menüden Properties seçelim.
UPN suffixes üzerine eklemek istediğimiz domain adreslerimizi ekleyelim. Bazı firmalar birden çok domain adresi kullanabiliyorlar. Bu durumda tüm kullanılan domain adreslerini ekleyelim. Tabii burada eklediğiniz domain adresleri en azından Office 365 üzerine eklenmiş ve doğrulanmış olması gerekmektedir. Aksi taktirde kullanıcı isimlerimiz user@firma_adi.onmicrosoft.com şeklinde gidecektir.
Herhangi bir kullanıcıyı açarak UPN suffixes ismini değiştirelim. Yukarıda ki görselde görüldüğü gibi Active Directory Domains and Trusts üzerine eklediğimiz UPN suffixes olarak eklediğimiz domain adresleri gelmektedir. Burada kullanıcı hangi domaini kullanacaksa seçmemiz gerekmektedir.
Şimdi kullanıcıya ait Attributeleri düzenlemeye geldik. Yine ilgili kullanıcıda Attribute Editoru açarak kullanıcının proxyAddresses Attribute çift tıklayalım. Kullanıcı birden fazla mail adresi kullanıyorsa smtp olarak tüm mail adreslerini eklememiz gerekecektir. Yukarıda ki görselde smtp adresi eklerken dikkat ederseniz birisi büyük diğeri küçük harflerle yazılmıştır. Burada büyük harflerle yazılan SMTP adresi kullanıcının varsayılan adresi olacaktır. Kullanıcı bu adres üzerinden mail alacak ve mail atacaktır. Küçük harflerle yazılan smtp adresine ise sadece mail gelecektir. Bu bilgilerinde girişini yaptıktan sonra başka bir attribute geçebiliriz.
UserPrincipalName adresini kontrol edelim. Eğer herhangi bir girdi yoksa kullanıcının ana mail adresini yazalım.
Son olarak General sekmesine geçerek kullanıcının E-mail adresini kontrol edelim. Yoksa yazalım. Bu yaptığımız tüm değişiklikler kullanıcının Cloud üzerine gönderilirken sorunsuz bir şekilde gönderilmesini sağlayacaktır. Bazı firmalar kullanıcılarını ilk önce Office 365 üzerinde oluşturuyor daha sonradan Azure AD Connect kurmaya karar verebiliyorlar. Böyle durumlarda bazı kullanıcılar yukarıya sync olurken ikinci bir kullanıcı olarak oluşabiliyor. O yüzden yaptığımız bu değişiklikler çok önemlidir.
Azure AD Connect Kurulumu
Artık Azure AD Connect kurulumuna geçebiliriz. Microsoft Azure Active Directory Connect aracını buradan indirebilirsiniz.
Benim tavsiyem Microsoft Azure Active Directory Connect aracını dedicate bir sunucu üzerine kurmaktır. Bunun için farklı bir makineniz yoksa Active Directory makinesi üzerine kurabilirsiniz. Tabii burada ilerleyen zamanlarda herhangi bir problem olması durumda Active Directory makinenizi risk altına sokmuş olacaksınız.
İndirdiğimiz Microsoft Azure Active Directory Connect aracını çift tıklayarak çalıştıralım. Yukarıda görsel bizi karşılayacaktır. Lisans sözleşmesini kabul ederek Continue butonuna basalım.
Express Settings ekranına geldiğimizde genellikle yapılan kurulumlar use express settings olarak yani hızlı ayarlar seçilerek devam edilebilir. Ama ben birkaç değişiklik yapacağım için Customize seçerek devam ediyorum. Diğer seçenekte Active Direcory üzerinde bulunan tüm kullanıcıları,tüm grupları yukarıya basacağını unutmayınız.
Yukarıda ki SQL Server dizin değiştirme gibi bir düşünceniz yoksa bu ekranı geçebilirsiniz.
Gerekli bileşenlerin yüklemesi yapılmaktadır.
User sing-in ekranına geldiğimizde bizim amacımız sadece Cloud üzerine kullanıcı parola hash senkranizasyonu olduğu için Password Hash Synchronization seçeneğini seçerek ilerlemek olacaktır.
Connect to Azure AD ekranına geldiğimizde bizden Office 365 üzerinde Global admin yetkisine sahip bir kullanıcısı burada ben kullanıcı adı olarak kendi kullanıcımı verdim ama siz hiç kullanılmayan bir kullanıcı adıyla ilerlerseniz iyi olur.
Connect your directories ekranına geldiğimizde mevcut bir directory eklememiz ve buna bağlı admin yetkisine sahip bir bir kullanıcı bağlamamız gerekmektedir. Add Directory diyerek devam edelim.
Active Directory üzerinde var olan bir admin hesabını ekliyorum. Ardından Ok butonuna basıyoruz.
Yukarıda ki görselde görüldüğü gibi dizinimi ekledim ilerlemeye devam edelim.
Yukarıda ki görsele baktığımızda Office 365 üzerinde doğrulanan domain adreslerimizi görebiliriz. Ayrıca local de bulunan kullanıcıların hangi attribute göre gönderileceğini seçebiliriz. Ben userPrincipalName ismine göre göndereceğiz. Hatırlarsanız hazırlık aşamasında kullanıcılarımızda serPrincipalName kısmını düzenlemiştik. İlerlemeye devam ediyoruz.
Domain and OU filtering ekranına geldiğimizde ise Active Directory ortamımızda bulunan tüm kullanıcılarımı gönderebileceğimiz gibi sadece Organizational Unit (OU) içerisinde ki öğeleride gönderebiliriz. Ben Tek bir OU içerisinde bulunan öğeleri göndereceğim için Sync selected domains and OUs seçeneğini seçerek ilgili OU seçerek ilerliyorum.
Uniquely Identifying your users ekranına geldiğimizde bir değişiklik yapmadan ilerliyorum.
Özellikle filitrelemek istemediğim bir user olamadığı için devam ediyorum.
Optional Features ekranına geldiğimizde sadece Password hash synchronization seçeneğini daha önceden seçiğim için seçili olarak gelmekte eğer ortamda hybrid bir yapı kullanmayacaksam veya Password whiteback özelliğini kullanmayacaksam ilerleyebilirim. Password whiteback özelliği Azure Active Directory Premium özelliklerinden birisi olup ayrıca alınamsı gereken online bir hizmettir. Kullanıcı şifresi hem claud üzerinden hem local üzerinden resetlenebilir. İlerlemeye devam ediyoruz.
Install diyerek kurulum işlemini başlatıyoruz.
Kurulum işlemimiz tamamlanmış durumdadır.
Artık Office 365 Yönetim panelimize giderek Local kullanıcılarımızın sorunsuz bir şekilde yukarıya çıktığını görebiliriz.
Hatırlarsanız Active Directory ortamımızı hazırlarken localde bulunan bir kullanıcıya iki farklı şekilde smtp adresi tanımlamıştık. Şimdi bunu Office 365 tarafında bir kontrol edelim.
Exchange Admin Center geçtiğimizde öncelikle kullanıcının geldiğini görüyorum ve ilgili kullanıcıya çift tıklayarak e-posta adresi kısmına geçiyoruz. Yukarıda ki görselde görüldüğü gibi kullanıcının iki farklı mail adresi bulunmaktadır.
Not: Eğer kullanıcıyı Exchange Admin Center üzerinde görünmüyorsa muhtemelen kullanıcıya lisans atanmamış demektir. Office 365 yönetim paneline geçerek kullanıcıya lisans atamanız gerekmektedir.
Eğer bu bölümde her hangi bir sıkıntı yaşamadan tamamladıysanız basic olarak Azure AD Connect doğru bir şekilde yapılandırmışınız demektir. Bölüm-2 de daha çok Azure AD connect yönetiminden bahsedeceğiz.
Başka yazılarda görüşmek üzere…
Daha önceden kurulum yaparken Domain Admin ve Enterprise eadmin yetkisine sahip bir kullanıcı isteniyordu. Buda güvenlik riskini arttıracağı için sadece localde bulunan kullanıcının administrator yetkisine sahip olması yeterli. Aksi taktirde forest ekleyemiyorsunuz.