Microsoft Entra Connect Tool (eski adıyla Azure AD Connect), On-Premises Active Directory ile Microsoft Entra ID arasında güçlü bir entegrasyon sağlayan, Hybrid Identity yönetimi için kritik bileşenlerden biridir. Şirketlerin On-Premises altyapısını bulut tabanlı kimlik doğrulama sistemleriyle entegre etmesini mümkün kılan bu araç, modern kimlik ve erişim yönetimi süreçlerinde önemli bir rol oynar. Günümüzde organizasyonlar, kullanıcı hesaplarını ve kimlik bilgilerini hem yerel sunucularında hem de bulut tabanlı hizmetlerde güvenli bir şekilde yönetmek zorundadır. Bu noktada Microsoft Entra Connect Tool devreye girer ve On-Premises Active Directory nesnelerini otomatik olarak Microsoft Entra ID ile senkronize eden bir yapı sunar.
Klasik kimlik doğrulama sistemlerinde On-Premises Active Directory, kullanıcı kimliklerinin ve grup üyeliklerinin merkezi olarak yönetildiği bir yapı olarak işlev görür. Ancak modern bulut tabanlı çözümlere geçiş yapan organizasyonlar için bu model tek başına yeterli olmaktan çıkmıştır. Microsoft Entra ID, bulut ortamında kimlik yönetimini üstlenen ve çeşitli Software-as-a-Service (Saas) uygulamalarına güvenli erişim sağlayan bir platform olarak öne çıkar. Fakat On-Premises sistemler ile Microsoft Entra ID'nin birbirinden bağımsız çalışması, yönetimsel karmaşıklıklara ve güvenlik açıklarına yol açar. Microsoft Entra Connect Tool işte tam burada devreye girerek bu iki farklı dünyayı tek bir kimlik altyapısı altında birleştiren bir mekanizma sunar.
Bu aracın temel işlevi, On-Premises Active Directory nesnelerini Microsoft Entra ID'ye senkronize eden bir sistem oluşturmaktır. Bunun anlamı, On-Premises ortamda oluşturulan, değiştirilen veya silinen kullanıcı hesaplarının ve grup üyeliklerinin otomatik olarak Microsoft Entra ID'ye yansıtılmasıdır. Böylece kullanıcılar, Microsoft 365 ve diğer Microsoft bulut hizmetlerine aynı kimlik bilgileriyle erişim sağlar. Organizasyonlar için en büyük avantajlardan biri de Microsoft Entra Connect Tool'un kimlik senkronizasyonu sürecini otomatize etmesi ve merkezi bir kimlik doğrulama modeli oluşturmasıdır. Bu sayede yönetim yükü azaltılır ve kullanıcı deneyimi tutarlı hale gelir.
Kimlik senkronizasyonunun temelinde, Microsoft Entra Connect Tool'un sunduğu farklı senkronizasyon modları bulunur. Kullanıcı hesaplarının sadece Microsoft Entra ID'ye kopyalanmasını sağlayan tek yönlü senkronizasyon, organizasyonların basit bir modelle kimlik yönetimi yapmasını mümkün kılar. Ancak daha gelişmiş senaryolar için Password Hash Synchronization (PHS) ve Pass-through Authentication (PTA) kimlik doğrulama mekanizmaları ile derinlemesine entegrasyon sağlanan bir yapı da oluşturulabilir.
Password Hash Synchronization (PHS), On-Premises Active Directory'de bulunan kullanıcı parolalarının Hash hallerinin Microsoft Entra ID'ye senkronize edilmesini sağlayan bir mekanizmadır. Bu sayede kullanıcılar Microsoft Entra ID üzerinden kimlik doğrulama yaparak bulut tabanlı hizmetlere erişim sağlayabilir. PHS, Microsoft'un bugün çoğu senaryo için önerdiği yöntemdir; çünkü On-Premises altyapıya bağımlılığı en düşük olan modeldir.
Pass-through Authentication (PTA) ise, kullanıcı kimlik doğrulama sürecini Domain Controller üzerinde çalışan hafif bir Agent aracılığıyla On-Premises Active Directory üzerinden yönlendiren ve merkezi yönetimi sürdüren bir modeldir. Parolalar bulutta tutulmaz; Logon Hours gibi On-Premises Policy'lerin geçerli kalması gereken senaryolarda tercih edilir. Active Directory Federation Services (AD FS) entegrasyonu ise, Microsoft Entra ID ile Security Assertion Markup Language (SAML) tabanlı kimlik doğrulama süreçlerini yöneten ve kullanıcıların On-Premises kimlik bilgileriyle Microsoft Entra ID tabanlı servislerde oturum açmasını mümkün kılan bir mekanizma sağlar. Microsoft bugün çoğu senaryoda AD FS yerine PHS + Seamless SSO veya PTA + Seamless SSO kombinasyonunu önerir; çünkü AD FS operasyonel olarak daha karmaşıktır ve ek altyapı yatırımı gerektirir.
Kimlik senkronizasyonunun sağlanması kadar, güvenliğin üst seviyede tutulması da büyük önem taşıyan bir konudur. Microsoft Entra Connect Tool, kimlik bilgilerini ve oturum açma süreçlerini koruyan güvenlik politikalarını uygulayarak, kimlik tabanlı saldırılara karşı koruma sağlayan bir model sunar. Conditional Access, Multi-Factor Authentication (MFA) ve Identity Protection gibi güvenlik mekanizmaları ile birlikte çalışan bir yapı içerisinde, kullanıcıların erişim süreçleri detaylı bir şekilde yönetilebilir. Özellikle Conditional Access politikaları sayesinde, kullanıcıların belirli cihazlardan, belirli konumlardan ve güvenilir olmayan ağlardan erişimini kısıtlayan kurallar belirlenebilir.
Hybrid Identity yönetimi, modern BT altyapılarının temel taşlarından biri haline gelmiştir. Organizasyonlar, hem On-Premises sistemlere bağımlılıklarını sürdürmek zorunda kalmakta hem de bulut tabanlı hizmetlerin sunduğu avantajlardan faydalanmak istemektedir. Microsoft Entra Connect Tool, bu iki ortam arasındaki entegrasyonu sağlayarak, organizasyonların tek bir kimlik yönetim stratejisi oluşturmasını mümkün kılar. Kullanıcı hesaplarının, grup üyeliklerinin, parola bilgilerinin ve diğer kimlik nesnelerinin Microsoft Entra ID ile sürekli olarak senkronize edilmesini sağlayarak, tutarlı ve güvenli bir erişim modeli oluşturur.
Teknolojinin hızla evrildiği günümüzde, kimlik yönetiminin de bu değişime ayak uydurması kaçınılmazdır. Microsoft Entra Connect Tool, sadece bir senkronizasyon aracı olmanın ötesinde, Hybrid Identity yönetimini güvenli ve ölçeklenebilir hale getiren bir çözümdür. Organizasyonlar, bu aracı doğru şekilde konumlandırarak, hem mevcut kimlik altyapılarını güvenli bir şekilde sürdürebilir hem de bulut tabanlı hizmetlere geçiş süreçlerini sorunsuz bir şekilde yönetebilir.
Microsoft, Entra Connect Sync backend servislerinde sıkılaştırma politikasına gittiği için 30 Eylül 2026 itibarıyla v2.5.79.0'dan eski tüm sürümlerde senkronizasyon tamamen duracaktır. Mayıs 2025'te yayımlanan bu sürüme (veya daha yenisine) geçiş yapılmaması durumunda, Tenant ile bağlantı kopar ve dizin güncellemeleri başarısız olur. Mevcut sürüm ADSyncVersion üzerinden kontrol edilmeli ve yükseltme deadline'dan önce tamamlanmalıdır. Kurulum dosyası artık yalnızca Microsoft Entra admin center üzerinden indirilebilir; Microsoft Download Center üzerinden dağıtım sonlandırılmıştır.
Kurulum Ön Gereksinimleri
Microsoft Entra Connect Tool'un sorunsuz çalışabilmesi için, kurulumu yapılacak sunucunun belirli sistem gereksinimlerini karşılaması, gerekli bileşenlerin eksiksiz olarak yüklenmesi ve güvenlik politikalarına uygun şekilde yapılandırılması gerekir. Bu gereksinimleri işletim sistemi, donanım, .NET Framework, güvenlik ayarları ve yetkilendirme gereksinimleri olarak gruplandırabiliriz. TLS, Port, Endpoint ve Firewall yapılandırma gereksinimleri ise, kapsamı geniş olduğu için makalenin ilerleyen ayrı bölümlerinde detaylı şekilde ele alınmıştır.
1. İşletim Sistemi Gereksinimleri
Entra Connect Tool, Sync Engine ve bağlı servislerin sağlıklı çalışabilmesi için belirli Windows Server sürümlerine, Domain üyeliğine ve tam GUI ortamına ihtiyaç duyar. Server Core veya RODC üzerine kurulum gibi desteklenmeyen bir sürüm veya yapılandırma, Installation Wizard (kurulum sihirbazı) tarafından doğrudan reddedilir.
1.1- Desteklenen İşletim Sistemleri
Microsoft Learn dokümantasyonuna göre Entra Connect Tool'un kurulabileceği Windows Server sürümleri ve destek durumları aşağıdaki gibidir.
|
Windows Server Sürümü |
Destek Durumu |
Notlar |
|
Windows Server 2025 |
✅ Önerilen |
20 Ekim 2025 tarihli KB5070773 güncellemesi (veya daha yenisi) yüklenmeli ve sunucu yeniden başlatılmalıdır. |
|
Windows Server 2022 |
✅ Önerilen |
Microsoft'un birincil önerdiği sürümlerden biridir. |
|
Windows Server 2019 |
⚠️ Extended Support |
Kurulum desteklenir; destek gerektiğinde ücretli destek programına dahil olunması gerekebilir. |
|
Windows Server 2016 |
⚠️ Extended Support |
Kurulum desteklenir; destek gerektiğinde ücretli destek programına dahil olunması gerekebilir. |
|
Windows Server Essentials 2019 |
✅ Desteklenir |
Microsoft tarafından açıkça desteklenen Essentials sürümüdür. |
|
Windows Server Essentials (2019 öncesi) |
❌ Desteklenmez |
Eski Essentials sürümlerine kurulum yapılamaz. |
|
Small Business Server (tüm sürümler) |
❌ Desteklenmez |
Hiçbir SBS sürümünde kurulum desteklenmez. |
İşletim sistemi sürümü dışında, aşağıdaki Active Directory altyapı koşullarının da karşılanması gerekir.
✔ Sunucu, kuruluma başlamadan önce Domain'e Join edilmiş olmalıdır.
✔ Entra Connect Tool'un konuştuğu Domain Controller'lardan en az biri Writable olmak zorundadır. RODC (Read-Only Domain Controller) üzerinden Sync alınamaz; Entra Connect, RODC'nin Write Redirect mekanizmasını izlemez.
✔ Forest veya Domain NetBIOS adı nokta (.) içeriyorsa (Dotted NetBIOS) bu yapı desteklenmez.
Microsoft Entra Connect Sync ile Microsoft Entra Cloud Sync aynı ürün değildir ve işletim sistemi desteği farklıdır. Microsoft Learn, Microsoft Entra Cloud Sync Agent'ının Windows Server 2025 üzerinde desteklenmediğini ve KB5070773 yüklü olsa bile bu durumun değişmediğini, Windows Server 2025 desteğinin gelecekteki bir sürümde planlandığını açıkça belirtir. Bu makalede ele alınan Microsoft Entra Connect Sync ise Windows Server 2025 üzerinde KB5070773 yüklendikten sonra desteklenir.
1.2- GUI (Graphical User Interface) Zorunluluğu
✔ Windows Server Core üzerinde kurulum desteklenmez.
✔ Sunucu, tam GUI (Graphical User Interface) ile yüklenmiş olmalıdır.
2. Donanım Gereksinimleri
Microsoft Entra Connect Tool'un performanslı ve stabil çalışabilmesi için belirli donanım gereksinimlerinin sağlanması şarttır. Active Directory ortamındaki nesne sayısı arttıkça, donanım ihtiyacı da doğru orantılı şekilde değişir. Yanlış bir yapılandırma, özellikle büyük organizasyonlarda senkronizasyon gecikmeleri, işlem darboğazları ve yüksek kaynak kullanımı gibi ciddi sorunlara yol açar.
Microsoft Entra Connect Tool'un çalıştığı sunucunun donanım özellikleri, Active Directory'de bulunan nesne sayısına göre ölçeklendirilmelidir. 10.000'den az nesne içeren küçük ölçekli ortamlarda 2 vCPU, 6–8 GB RAM ve ~70 GB Disk alanı yeterli olur. Ancak 100.000'den fazla nesne senkronize edilecekse, SQL Server'ın tam sürümü gereklidir ve donanım kaynakları ciddi şekilde artırılmalıdır. Bu noktada 24-32 GB RAM, 200-300 GB veya daha büyük bir SSD kullanımı kaçınılmaz hale gelir.
Özellikle 600.000'den fazla nesne içeren büyük ölçekli ortamlarda vCPU sayısı 12 ve üzerine çıkarılmalı, RAM miktarı 32 GB'ın altına düşmemeli ve depolama alanı en az 400 GB olarak ayarlanmalıdır. SSD tercih edilmesi, büyük veri transferlerinde gecikmeleri minimize eder ve senkronizasyon işlemlerinin performansını ciddi şekilde artırır. Ayrıca, eğer SQL Server aynı sunucuda çalışıyorsa, ekstra RAM, işlemci çekirdeği ve Disk alanı gerekir.
Donanımın yanı sıra, Network altyapısının da güçlü olması kritik bir gereksinimdir. 1 Gbps veya daha yüksek hızda bağlantılar, Microsoft Entra ID ile kesintisiz iletişim sağlamak için önerilir. Düşük Bandwidth (bant genişliği), senkronizasyon süresini uzatır ve kimlik doğrulama süreçlerinde aksamalara neden olabilir.
Bu gereksinimler, Microsoft Entra Connect Tool'un ölçeklenebilir ve kesintisiz çalışması için dikkat edilmesi gereken kritik noktalardır. Gereksiz donanım yatırımlarını önlemek ve ortamın büyüklüğüne uygun en verimli yapılandırmayı sağlamak için, senkronize edilecek nesne sayısına göre planlama yapmak her zaman en doğru yaklaşımdır.
|
Nesne Sayısı |
vCPU |
RAM (GB) |
Disk (GB) |
Notlar |
|
10.000'den az |
2 |
6–8 |
~70 |
SQL Express uygundur. |
|
10.000 – 50.000 |
2 |
6–8 |
~70 |
SQL Express uygundur. |
|
50.000 – 100.000 |
4 |
12–16 |
~100 |
SQL Express kullanılabilir.
⚠️ 10 GB kritik limit sınırındadır. |
|
100.000 – 300.000 |
8 |
24–32 |
~200–300 |
SQL Standard/Enterprise gereklidir. |
|
300.000 – 600.000 |
8–12 |
32 GB |
~300–450 |
SQL Standard/Enterprise gereklidir. |
|
600.000+ |
12+ |
32–48 GB |
~400–500 |
SQL Standard/Enterprise zorunludur. |
SQL Express en fazla 10 GB veritabanı destekler; 50.000–100.000 nesne aralığında ADSync veritabanı bu sınıra yaklaştığı için kritik sınır olarak kabul edilir.
Yukarıdaki tablo, Microsoft Entra Connect için nesne sayısına göre önerilen donanım ölçeklendirme değerlerini gösterir; ancak bu rakamlar, mutlak bir gereksinim değil başlangıç referansı olarak değerlendirilmelidir. Gerçek kaynak ihtiyacı; senkronizasyon kapsamına alınan Attribute sayısına, özel Sync Rule'lara, Password Hash Sync, Password Writeback, Group Writeback gibi etkin Feature'lara ve toplam Forest sayısına göre değişkenlik gösterir.
Microsoft Entra Connect, varsayılan olarak SQL Server Express LocalDB kullanır ve bu motor küçük-orta ölçekli ortamlar için yeterlidir. Ancak SQL Server Express'in 10 GB veritabanı boyutu sınırı nedeniyle, yaklaşık 100.000'den fazla nesne içeren ortamlarda Microsoft, Express yerine Standard veya Enterprise sürümlerinin kullanılmasını önerir. Bu sınıra yaklaşan kurulumlarda Express üzerinde çalışmaya devam etmek, ileride sessiz Sync Failure'lara ve veritabanı boyut hatalarına yol açar; bu nedenle production öncesi planlamada veritabanı motoru seçimi en kritik mimari kararlardan biridir.
Performans açısından, Entra Connect ile SQL Server'ın aynı fiziksel sunucu veya sanal makine üzerinde çalıştırılması genellikle en iyi uygulamadır; çünkü Sync Engine ile veritabanı arasındaki yoğun veri transferinde lokal erişim, network round-trip gecikmesini ortadan kaldırır. SQL Server'ın ayrı bir sunucuda bulunduğu kurulumlarda ağ gecikmesinden dolayı ek CPU, RAM ve Disk kaynaklarına ihtiyaç duyulur; bu senaryoda Network Latency'sinin 1 ms altında tutulması önerilir.
Güvenlik açısından Entra Connect sunucusu, Control Plane (Tier 0) Asset olarak sıkılaştırılmalı ve Domain Controller ile aynı güvenlik seviyesinde korunmalıdır. Bu sunucu, On-Premises AD'deki tüm kullanıcı kimlik bilgilerinin (NTLM Hash'ler dahil) PBKDF2 dönüşümüyle Entra ID'ye taşınmasından sorumlu olduğu için, ele geçirilmesi durumunda hem On-Premises hem de Cloud kimlik altyapısı için kritik bir tehdit oluşturur. Bu nedenle Entra Connect sunucusuna erişim, yalnızca Tier 0 yetkili yöneticilerle sınırlandırılmalı ve Privileged Access Workstation (PAW) üzerinden gerçekleştirilmelidir.
3. .NET Framework Gereksinimleri
Entra Connect'in Sync Engine, yönetim Wizard'ı ve PowerShell modülleri .NET Framework üzerinde çalışır. Minimum sürümün altındaki bir kurulum, Wizard'ın ön kontrol aşamasında hata üretmesine ve kurulumun ilerlememesine neden olur.
3.1- Minimum Gereksinimler
✔ .NET Framework 4.7.2 veya daha yeni bir sürüm gereklidir. Microsoft Learn dokümantasyonunda 2025 itibarıyla belirtilen minimum sürüm budur; önceki kılavuzlarda yer alan 4.6.2 minimum bilgisi artık geçerli değildir.
✔ Önerilen sürüm, .NET Framework 4.8 veya daha yeni bir sürümdür; erişilebilirlik ve performans açısından en iyi sonucu verir.
4. Güvenlik ve Yetkilendirme Gereksinimleri
Entra Connect Tool, hem On-Premises Active Directory hem de Microsoft Entra ID tarafında belirli yetki seviyelerine ihtiyaç duyar. Yanlış kapsamda atanan bir rol, kurulumun başarısız olmasına ya da Health Agent gibi bileşenlerin sessizce devre dışı kalmasına yol açar.
4.1- On-Premises Active Directory Hesap Yetkileri
✔ Microsoft Entra Connect Tool'un Active Directory nesnelerine erişebilmesi için kullanılan hesabın Enterprise Admin veya Domain Admin yetkisine sahip olması normal şartlarda gerekli değildir. Bu, sadece Entra Connect Tool kurulum aşamasındaki AD Forest Account adımında Create new AD account seçeneği seçilerek, yetkili AD hesabının otomatik oluşturulması sağlanacaksa ihtiyacımız olan bir yöntemdir.
✔ Hiçbir yetkili gruba üye olmayan standart bir hesap tercih edileceği durumda yani Use existing AD account seçeneği seçilerek kuruluma devam edilecekse, Enterprise Admin veya Domain Admin yetkili hesaplarına ihtiyacınız olmayacaktır çünkü yetkili AD hesabının gerekli yetkilerini zaten manuel olarak vereceksiniz. Kurulum için kullanılacak olan bu hiçbir yetkili gruba üye olmayan hesabın en az Read, Replicating Directory Changes ve Replicating Directory Changes All yetkilerine sahip olması gereklidir. Bu konuyla ilgili bilgiyi, makalemin 2. bölümünde detaylıca inceliyor olacağım.
✔ Permission Delegation işlemleri için Microsoft'un resmi ADSyncConfig PowerShell modülü kullanılabilir; bu modül, Microsoft tarafından desteklenen en güvenli ve en standardize yetki atama yöntemidir.
4.2- Microsoft Entra ID Hesap Yetkileri
✔ Microsoft Entra ID kurulumu için Hybrid Identity Administrator yetkili bir hesap kullanılabilir ve bu hesapla kurulum tamamlanabilir.
✔ Ancak, kurulum sırasında kullanılan hesap Hybrid Identity Administrator yetkisine sahipse, Health Agent yüklenir fakat devre dışı kalır. Bu sebeple eğer Health Agent kullanılacaksa, başka bir ifadeyle Health Agent'ın çalışabilmesi için Global Administrator yetkisi ile kurulum yapılmalıdır.
✔ Kurulumdan sonra, Global Administrator yetkisi Privileged Identity Management (PIM) veya direkt rol değişimiyle minimum seviyeye düşürülebilir.
✔ Global Administrator veya Hybrid Identity Administrator rolleri doğrudan kullanıcıya atanmalıdır; grup üyeliği üzerinden verilen roller Entra Connect kurulumunda desteklenmez. Hesap, School or Organization Account (iş/okul hesabı) olmalıdır; Personal Microsoft Account kullanılamaz.
✔ Federation (AD FS veya PingFederate) yapılandırması gerekiyorsa hesabın yetkileri değişir. Bu durumda hesap ya tek başına Global Administrator olmalı ya da hem Hybrid Identity Administrator hem de Domain Name Administrator rollerine aynı anda sahip olmalıdır.
4.3- Tenant ve Dizin Gereksinimleri
✔ AD Schema ve Forest Functional Level en az Windows Server 2003 seviyesinde olmalıdır.
✔ Tenant nesne limitleri varsayılanda 50.000 nesne, Domain Verify sonrası 300.000 nesne olarak tanımlıdır. Microsoft 365, Entra ID P1/P2 veya EMS lisansı ile bu limit 500.000 nesne ve üzerine yükseltilebilir (gerekirse Microsoft'a SupPort Ticket açılarak daha yüksek limitler talep edilebilir).
✔ Kurulum öncesi IdFix Tool çalıştırılarak UPN duplikasyonları, karakter hataları ve format problemleri tespit edilmelidir. Bu adım atlandığında, ilk Sync Cycle'da yüzlerce nesne için Sync Error görmek olağan bir sonuçtur.
4.4- MFA (Multi-Factor Authentication) Gereksinimleri
Microsoft Entra Connect Tool'un MFA doğrulama sürecinin kesintisiz çalışabilmesi için belirli güvenlik önlemlerinin alınması gerekir. Bu süreçte, belirli Endpoint'lere ait FQDN'lerin ve/veya IP aralıklarının Trusted Sites listesine eklenmesi kritik bir adımdır. Ancak, bu işlem yalnızca yüzeyde basit görünen bir yapılandırma gibi algılansa da, arka planda Microsoft'un kimlik doğrulama mekanizmasının nasıl çalıştığını anlamadan yapılan eksik konfigürasyonlar MFA sürecinin başarısız olmasına sebep olabilir.
Bu adresin Trusted Sites listesine eklenmemesi durumunda, Client tarafında aşağıdaki sorunlar yaşanabilir:
- MFA istemleri gecikebilir veya hiç tetiklenmeyebilir.
- Kullanıcı oturum açma ekranında beklenmedik hata mesajları alabilir.
- Entra ID ile Hybrid Identity senaryolarında oturum açma döngüye girebilir.
- Conditional Access Policy kurallarının uygulanmasında tutarsızlıklar yaşanabilir.
Bu sebeple, MFA sürecinin sorunsuz işleyebilmesi için iki ayrı seviyede izin verilmesi gerekir: birincisi, kurumsal Firewall üzerinde Microsoft Endpoint'lerine yönelik Outbound trafiğin Allow List'e eklenmesi; ikincisi, Client tarafında GPO ile bu adreslerin Trusted Sites listesine eklenmesi. Her iki seviyenin teknik detayları, Microsoft Outbound Endpoint Listesi ve Firewall ve Proxy Yapılandırması bölümlerinde ele alınmıştır.
TLS (TransPort Layer Security) Gereksinimi
Microsoft Entra Connect Tool'un sorunsuz bir şekilde çalışabilmesi için, sunucu üzerinde doğru TLS (TransPort Layer Security) ayarlarının yapılandırılması gerekir. Microsoft, güvenlik standartlarını artırmak ve eski, güvensiz protokollerin kullanımını önlemek amacıyla, Microsoft Entra Connect Tool için TLS 1.2'nin zorunlu olmasını şart koşar. Daha eski protokoller olan TLS 1.0 ve TLS 1.1 desteklenmez ve bu protokoller etkin durumdaysa, bağlantı hataları yaşanabilir.
Sunucu tarafında TLS 1.2'nin etkin olması, Microsoft Entra Connect Tool'un Microsoft Entra ID ile şifrelenmiş bir bağlantı kurmasını sağlar. Bu bağlantının güvenli olabilmesi için, TLS 1.2'nin SCHANNEL Registry anahtarlarıyla hem Client hem Server için etkinleştirilmiş olması ve Strong Cipher Suite'lerin kullanıldığından emin olunmalıdır.
TLS 1.3, Entra Connect v2.4.129.0 ile birlikte desteklenmekle birlikte, Microsoft Entra ID servislerinde TLS 1.3 Rollout'u tamamlanana kadar zorla Enforce edilmesi önerilmez.
TLS 1.2'nin etkin olup olmadığını kontrol etmek için GitHub üzerinde paylaştığım Check-TLS-1.2.ps1 Script'inden faydalanacağım. Eğer TLS 1.2 aktif değilse öncelikle aktifleştirilme işlemini gerçekleştireceğiz. Bunun için yine GitHub üzerinde paylaştığım Set-TLS-1.2.ps1 Script'inden faydalanacağım.
Check-TLS-1.2.ps1 Script'ini çalıştırdığımda, Server üzerindeki SChannel ve .NET Framework katmanlarına ait protokol durumlarının raporlandığını görüyorum. İlk çıktıda SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, TLS 1.2 ve TLS 1.3 protokolleri için hem Server hem Client tarafının Not configured (OS default) olarak listelendiğini gözlemliyorum. Bu çıktı, ilgili Registry anahtarlarının aşağıdaki SChannel yolu altında ne Enabled ne de DisabledByDefault olarak açıkça tanımlanmadığını; protokol davranışının tamamen işletim sisteminin varsayılan kararına bırakıldığını gösterir.
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols |
Not configured (OS default) çıktısı, TLS 1.2'nin kapalı olduğu anlamına gelmez; ancak deterministik olarak açık olduğu anlamına da gelmez. Windows Server 2016 ve sonraki sürümlerde TLS 1.2 varsayılan olarak destekleniyor olsa da, Microsoft Entra Connect Tool .NET Framework üzerinde çalışır ve TLS 1.2'yi tutarlı biçimde kullanabilmesi için SystemDefaultTlsVersions ve SchUseStrongCrypto Registry değerlerinin açıkça 1 olarak tanımlanması gerekir. Aksi durumda, GPO Baseline değişiklikleri, sıkılaştırma Script'leri ya da gelecekteki bir Cipher Suite güncellemesi, beklenmedik Sync Failure'lara yol açabilir.
TLS 1.2 protokolünü hem SChannel hem de .NET Framework katmanında Explicitly Enabled duruma getirmek için Set-TLS-1.2.ps1 Script'ini çalıştırıyorum. Bu Script, Microsoft'un Entra Connect sunucuları için önerdiği Registry yapılandırmasını birbirinden bağımsız üç katmanda birden uygular. SChannel tarafında, TLS 1.2 için aşağıdaki Server ve Client yollarına Enabled = 1 ve DisabledByDefault = 0 değerlerini yazar.
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server |
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client |
.NET Framework tarafında ise hem 64-bit hem de 32-bit hive'ları için SystemDefaultTlsVersions ve SchUseStrongCrypto değerlerini 1 olarak tanımlar.
HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 |
HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319 |
WOW6432Node yapılandırması kritiktir; çünkü Entra Connect Wizard ve bağımlı bazı bileşenler, sunucu 64-bit olsa bile 32-bit .NET runtime üzerinden çağrı yapar ve bu çağrılar, 32-bit Registry hive'ından okuma yapar.
Script çıktısında belirtildiği gibi, Registry değişikliklerinin etkili olabilmesi için sunucunun yeniden başlatılması şarttır. SChannel Provider'ı ve LSASS süreci, ilgili Registry anahtarlarını yalnızca Boot aşamasında okur; restart yapılmadan başlatılan herhangi bir TLS bağlantısı eski protokol yığınıyla devam eder ve Entra Connect kurulumu sırasında "Could not connect to Microsoft Entra ID" veya "The underlying connection was closed: An unexpected error occurred on a send" türünde TLS hatalarına yol açabilir.
Sunucu yeniden başlatıldıktan sonra, Check-TLS-1.2.ps1 Script'ini tekrar çalıştırarak yapılandırmanın istenen duruma geldiğini doğruluyorum. Bu sefer çıktıda TLS 1.2, hem Server hem Client tarafında Explicitly Enabled olarak görünüyor; aynı şekilde .NET Framework v4.0.30319 ve WOW6432Node altındaki SystemDefaultTlsVersions ve SchUseStrongCrypto değerleri de 1 (Explicitly Enabled) olarak raporlanıyor. Bu çıktı, Entra Connect Tool kurulumuna başlamadan önce TLS yapılandırmasının deterministik biçimde tamamlandığını gösteren Pre-Flight doğrulamasıdır.
Set-TLS-1.2.ps1 Script'i yalnızca TLS 1.2'yi Enforce eder; TLS 1.0 ve TLS 1.1 protokollerini DisabledByDefault = 1 ile kapatmaz. Eski protokolleri tamamen kapatmak isteyen ortamlarda, kapatma işleminin Entra Connect dışındaki başka bir bileşeni (legacy WSUS, SCCM Client, eski SQL Native Client veya yama uygulanmamış üçüncü parti Agent'lar) etkileyip etkilemediği önce test ortamında doğrulanmalıdır.
Bu bağlantılar kapalı olursa, kimlik senkronizasyonu, kimlik doğrulama ve diğer Active Directory işlemleri başarısız olabilir. Bu nedenle, Microsoft Entra Connect Tool'un düzgün çalışabilmesi için yukarıdaki Port'ların açık olması gerekir. Eksik veya yanlış yapılandırılmış bir bağlantı, senkronizasyon sürecinde hatalara ve kimlik doğrulama sorunlarına neden olabilir. Bu yüzden tüm yapılandırmalar dikkatlice kontrol edilmeli ve kesintisiz bağlantı sağlanmalıdır.
Entra Connect Tool kurulumuna başlamadan önce, sunucudan hedef Domain Controller'lara yönelik tüm Port'ların gerçekten açık olduğunu doğrulamak kritik öneme sahiptir. Bu kontrol genellikle Firewall, Proxy veya Network Segmentation kaynaklı bir blokajın, Sync Cycle başlamadan tespit edilmesini sağlar; aksi durumda hata ADSync kurulumunun ortasında ortaya çıkar ve Connector seviyesinde başarısızlık olarak loglanır.
PowerShell tabanlı bir Pre-Flight Check, bu doğrulamayı toplu ve tekrarlanabilir biçimde gerçekleştirir. Hem sabit TCP Port'lar (53, 88, 135, 389, 445, 636 vb.) hem de RPC Dynamic Range (49152-65535) için aynı Test-NetConnection cmdlet'i kullanılır; tek fark, dinamik aralığın binlerce Port'u kapsaması nedeniyle cmdlet'in bir döngü içinde her bir Port için tekrar tekrar çağrılmasıdır. Bu nedenle iki ayrı Script kullanılır. Biri sabit Port'ları, diğeri dinamik RPC aralığını test eder.
Entra Connect Tool'un kurulacağı sunucu ile On-Premises Active Directory ve diğer yerel bileşenler arasındaki Port erişim Test'lerinin yapılması için GitHub üzerinde paylaştığım Test-NetConnection.ps1 Script'inden faydalanacağım.
Çıktıda her bir Domain Controller'a yönelik 53, 88, 135, 389, 445, 636, 5985, 9389 ve 3268 portlarının tamamı Connection Successful sonucu döndü. Bu sonuç, Entra Connect sunucusu ile her iki Domain Controller (SRVDC01, SRVDC02) arasında Layer 3 ve Layer 4 seviyesinde tam bağlantı kurulabildiğini gösterir; Firewall, Network Segmentation veya Host-Based Firewall kaynaklı bir blokaj yoktur.
Test-NetConnection, hedef Port'un o anda dinlenip dinlenmediğini test eder. Port açık olsa bile, hedefte aktif bir servis dinlemiyorsa Connection Failed hatası alınabilir.
Microsoft Outbound Endpoint Listesi (Firewall Allow List)
Microsoft Entra ID ve Microsoft Bulut servisleriyle yapılan iletişim, TCP 80 (sertifika doğrulama - CRL / OCSP) ve TCP 443 (kimlik, Sync, MFA, Sign-in) üzerinden gerçekleşir. Ancak Firewall yapılandırmasında yalnızca Port açmak yeterli değildir; bu Portlar üzerinden hangi Microsoft Endpoint'lerine erişileceğinin de açıkça tanımlanması gerekir. Aşağıdaki tablolar, Microsoft Entra Connect ve Microsoft Entra ID için Outbound Allow List'e eklenmesi gereken FQDN'leri kapsar.
Microsoft bu listeyi aylık olarak günceller. Production öncesi ve periyodik kontroller için iki resmi Microsoft kaynağı takip edilmelidir. Hybrid Identity required Ports and protocols sayfası, On-Premises bileşenler ile Microsoft Entra ID arasındaki Port ve Protokol gereksinimlerini kapsar. Microsoft 365 URLs and IP address ranges sayfası ise tüm Microsoft 365 servislerinin güncel FQDN ve IP aralıklarını içerir; Microsoft Entra ID Endpoint'leri bu sayfada Identity kategorisi altında yer alır.
Identity & Service Endpoints (TCP 443)
Microsoft Entra ID dizin işlemleri, Sync, MFA, Sign-in, Discovery ve Hybrid Join süreçlerinin çalışabilmesi için zorunludur.
|
URL |
Port |
Açıklama |
|
*.microsoftonline.com |
TCP 443 |
Entra dizin işlemleri, Sync ve temel Microsoft Online servisleri. |
|
*.microsoftonline-p.com |
TCP 443 |
MFA ve Admin Portal kaynakları. |
|
*.auth.microsoft.com |
TCP 443 |
Authentication Endpoint'leri. |
|
*.msauth.net |
TCP 443 |
Authentication CDN ve redirect Endpoint'leri. |
|
*.msauthimages.net |
TCP 443 |
MFA branding ve görsel kaynakları. |
|
*.msftauth.net |
TCP 443 |
Authentication Endpoint'leri. |
|
*.msftauthimages.net |
TCP 443 |
MFA branding ve görsel kaynakları. |
|
*.msftidentity.com |
TCP 443 |
Identity service Endpoint'leri. |
|
*.msidentity.com |
TCP 443 |
Identity service Endpoint'leri. |
|
*.aadcdn.microsoftonline-p.com |
TCP 443 |
Microsoft Entra CDN (wildcard). |
|
secure.aadcdn.microsoftonline-p.com |
TCP 443 |
MFA ve Admin Portal CDN (Sign-in ekranları). |
|
*.msecnd.net |
TCP 443 |
Azure CDN — Microsoft Entra ve MFA varlıkları. |
|
*.phonefactor.net |
TCP 443 |
Azure MFA servisi (eski PhoneFactor Domain'i; hala aktif). |
|
*.hip.live.com |
TCP 443 |
Microsoft Authenticator ve telefon tabanlı kimlik doğrulama servisleri. |
|
login.microsoft.com |
TCP 443 |
Microsoft Entra Sign-in. |
|
login.microsoftonline.com |
TCP 443 |
Microsoft Entra Sign-in. |
|
login.microsoftonline-p.com |
TCP 443 |
Microsoft Entra Sign-in (Federation). |
|
login.windows.net |
TCP 443 |
Entra kayıt sürecinde kullanılan Sign-in Endpoint'i. |
|
login-us.microsoftonline.com |
TCP 443 |
ABD'ye özel Sign-in Endpoint'i. |
|
logincert.microsoftonline.com |
TCP 443 |
Sertifika tabanlı kimlik doğrulama. |
|
loginex.microsoftonline.com |
TCP 443 |
Genişletilmiş Sign-in Endpoint'leri. |
|
ccs.login.microsoftonline.com |
TCP 443 |
Cloud Credential Service. |
|
device.login.microsoftonline.com |
TCP 443 |
Cihaz kimlik doğrulama ve kayıt. |
|
adminwebservice.microsoftonline.com |
TCP 443 |
Discovery Endpoint (Entra Connect Sync). |
|
provisioningapi.microsoftonline.com |
TCP 443 |
Discovery Endpoint (Entra Connect Sync). |
|
clientconfig.microsoftonline-p.net |
TCP 443 |
Client Configuration Service. |
|
companymanager.microsoftonline.com |
TCP 443 |
Tenant yönetimi. |
|
becws.microsoftonline.com |
TCP 443 |
Business Exchange / Compliance Web Service. |
|
nexus.microsoftonline-p.com |
TCP 443 |
Identity Nexus servisleri. |
|
graph.microsoft.com |
TCP 443 |
Microsoft Graph API. |
|
graph.windows.net |
TCP 443 |
Azure AD Graph (Deprecate edilmiş; bazı senaryolar hala ihtiyaç duyar). |
|
account.activedirectory.windowsazure.com |
TCP 443 |
Hesap yönetimi. |
|
accounts.accesscontrol.windows.net |
TCP 443 |
Access Control / Token servisleri. |
|
enterpriseregistration.windows.net |
TCP 443 |
Workplace ve Device Registration (Hybrid Join). |
|
autologon.microsoftazuread-sso.com |
TCP 443 |
Seamless Single Sign-On. |
|
api.passwordreset.microsoftonline.com |
TCP 443 |
Self-Service Password Reset API. |
|
passwordreset.microsoftonline.com |
TCP 443 |
Self-Service Password Reset Portalı. |
|
*.msappproxy.net |
TCP 443 |
Pass-through Authentication (PTA) kullanılıyorsa zorunludur. ⚠️ *.servicebus.windows.net ile birlikte açılmalıdır. |
|
*.servicebus.windows.net |
TCP 443 |
PTA Agent'ın Azure Service Bus üzerinden bağlantısı için zorunludur. |
|
*.aadconnecthealth.azure.com |
TCP 443 |
Microsoft Entra Connect Health telemetrisi (tek başına yeterli değildir; Connect Health etkinse opsiyonel listeye bakınız). |
*.msappproxy.net ve *.servicebus.windows.net URL'leri, PTA kullanılan tüm Entra Connect Sync senaryolarında zorunludur; bu URL'ler yalnızca Application Proxy ürününe özgü değildir.
CRL / OCSP - Sertifika Doğrulama Endpoint'leri (TCP 80)
TLS sertifika iptal kontrolleri (CRL / OCSP) için Microsoft kimlik doğrulama altyapısının kullandığı Endpoint'lerdir. TCP 80 üzerinden taşınan veri imzalı CRL / OCSP doğrulama bilgisidir; parola, Token, dizin nesnesi veya senkronizasyon yükü içermez. Bu Endpoint'lerin engellenmesi, Sign-in, MFA, Device Registration ve Sync süreçlerinde kesintili veya tam başarısızlığa neden olur.
|
URL |
Port |
Açıklama |
|
mscrl.microsoft.com |
TCP 80 |
Sertifika doğrulama sırasında CRL erişimi. |
|
crl.microsoft.com |
TCP 80 |
SSL/TLS sertifika iptal listesi. |
|
oneocsp.microsoft.com |
TCP 80 |
OCSP — Microsoft PKI. |
|
ocsp.msocsp.com |
TCP 80 |
OCSP — Microsoft eski PKI (bazı sertifikalar hala kullanır). |
|
*.verisign.com |
TCP 80 |
CRL — Verisign CA. |
|
*.verisign.net |
TCP 80 |
CRL — Verisign CA. |
|
*.symcb.com |
TCP 80 |
CRL — Symantec CA. |
|
*.symcd.com |
TCP 80 |
OCSP — Symantec CA. |
|
*.entrust.net |
TCP 80 |
CRL — Entrust CA. |
|
*.geotrust.com |
TCP 80 |
CRL — GeoTrust CA. |
|
*.omniroot.com |
TCP 80 |
CRL — Omniroot CA. |
|
*.public-trust.com |
TCP 80 |
CRL — Public Trust CA. |
|
cacerts.digicert.com |
TCP 80 |
DigiCert ara CA dağıtımı. |
|
crl3.digicert.com |
TCP 80 |
CRL — DigiCert. |
|
crl4.digicert.com |
TCP 80 |
CRL — DigiCert. |
|
ocsp.digicert.com |
TCP 80 |
OCSP — DigiCert. |
|
ocspx.digicert.com |
TCP 80 |
OCSP — DigiCert (Extended). |
|
www.digicert.com |
TCP 80 / 443 |
DigiCert public servisleri. |
|
crl.globalsign.com |
TCP 80 |
CRL — GlobalSign. |
|
crl.globalsign.net |
TCP 80 |
CRL — GlobalSign. |
|
ocsp.globalsign.com |
TCP 80 |
OCSP — GlobalSign. |
|
ocsp2.globalsign.com |
TCP 80 |
OCSP — GlobalSign. |
|
secure.globalsign.com |
TCP 80 / 443 |
GlobalSign secure servisleri. |
|
crl.identrust.com |
TCP 80 |
CRL — IdenTrust. |
|
isrg.trustid.ocsp.identrust.com |
TCP 80 |
OCSP — IdenTrust (ISRG). |
|
cert.int-x3.letsencrypt.org |
TCP 80 |
Let's Encrypt ara CA — bazı Microsoft Endpoint'leri tarafından kullanılır. |
|
www.d-trust.net |
TCP 80 |
PTA Agent senaryolarında zorunlu sertifika doğrulama. |
|
root-c3-ca2-2009.ocsp.d-trust.net |
TCP 80 |
PTA Agent senaryolarında zorunlu OCSP doğrulama. |
|
www.microsoft.com |
TCP 80 / 443 |
Microsoft genel servisleri / Certificate Path Validation. |
Connect Health Endpoints - Opsiyonel
Aşağıdaki Endpoint'ler yalnızca Microsoft Entra Connect Health Agent'ı (AD DS, AD FS veya Entra Connect Sync izleme) yüklü ortamlarda gereklidir. Bir kısmı ana Identity tablosuyla örtüşür.
|
URL |
Port |
Açıklama |
|
*.aadconnecthealth.azure.com |
TCP 443 |
Connect Health Agent telemetri Endpoint'leri. |
|
*.adhybridhealth.azure.com |
TCP 443 |
AD Hybrid Health Endpoint'leri (Connect Health Backend). |
|
*.blob.core.windows.net |
TCP 443 |
Azure Blob Storage — Connect Health Agent log ve upload kanalı. |
|
*.servicebus.windows.net |
TCP 443 / 5671 |
Eski Health Agent sürümleri için (5671, 443'e fallback). En güncel Agent için gerekli değildir. |
|
management.azure.com |
TCP 443 |
Azure Resource Manager — Connect Health management API. |
|
autoupdate.msappproxy.net |
TCP 443 |
Connect Health Agent otomatik güncelleme kanalı. |
|
www.office.com |
TCP 443 |
Microsoft 365 Portal yönlendirmesi. |
Microsoft
Identity Allowlist'i aylık olarak günceller. Production öncesi ve düzenli aralıklarla,
Microsoft 365 Endpoint Web Service üzerinden
Identity ID 56 / 59 satırlarını kontrol etmek önerilir.
Microsoft Entra Connect Tool için Firewall ve Proxy Yapılandırması
Önceki bölümlerde, Microsoft Entra Connect için ihtiyaç duyulan Port'lar ve Microsoft Outbound Endpoint listesi detaylandırıldı. Bu bölümde, söz konusu trafiğin kurumsal Firewall ve Proxy üzerinde nasıl yapılandırılması gerektiğini, Inbound/Outbound yön disiplinini ve Client tarafında MFA için yapılması gereken Trusted Sites ayarını ele alıyoruz.
Firewall Yönü Nasıl Olmalı?
Microsoft Entra Connect Tool, Microsoft hizmetlerine yönelik tüm trafiği her zaman kendi tarafından (LAN → WAN yönünde) başlatır. Bu nedenle Firewall yapılandırması yalnızca Outbound yönde tanımlanır; Inbound yönde herhangi bir kural, NAT veya Public Endpoint gerekmez.
1- Outbound (Giden Trafik)
» Microsoft Entra Connect Tool'un Microsoft Endpoint'lerine erişebilmesi için Outbound kuralların açık olması gerekir.
» Firewall'da TCP 80 ve TCP 443 için Outbound kuralları oluşturulmalıdır.
» Bu bağlantılar, Microsoft'un kimlik doğrulama, sertifika doğrulama ve senkronizasyon hizmetlerine erişim sağlar.
» Önceki bölümde paylaşılan Identity & Service ve CRL / OCSP tablolarındaki FQDN'ler Allow List'e eklenmeli; bu trafik SSL Inspection kapsamı dışında tutulmalıdır.
2- Inbound (Gelen Trafik)
» Microsoft Entra Connect Tool, dış dünyaya herhangi bir servis sunmaz ve internetten gelen bir bağlantıyı dinlemez.
» Bu nedenle Inbound yönde herhangi bir Firewall kuralı, NAT, DNAT, Port Forwarding veya Public IP ataması gerekmez ve yapılmamalıdır.
» Entra Connect sunucusu Control Plane (Tier 0) Asset olarak değerlendirildiği için, internetten erişilebilir hale getirilmesi ciddi bir güvenlik riski oluşturur.
Entra Connect sunucusunun Public IP üzerinden erişilebilir olması veya Inbound NAT ile yayımlanması Tier 0 izolasyon prensibini ihlal eder ve desteklenmez.
Firewall / Proxy Seviyesi Yapılandırma Kuralları
» Microsoft Endpoint'lerine ait FQDN'ler, kurumsal Firewall üzerinde yalnızca Outbound yönde Allow List'e eklenmelidir. Eşleştirmenin FQDN bazlı yapılması Microsoft tarafından önerilir; çünkü Microsoft Endpoint'lerinin IP aralıkları sık değişir.
» IP bazlı kısıtlama tercih edilirse, Microsoft 365 Endpoint Web Service üzerinden listeyi otomatik güncelleyen bir mekanizma kurulması zorunludur.
» Bir Proxy kullanılıyorsa, Microsoft Entra ID trafiği üzerinde SSL Inspection (TLS Interception) kesinlikle uygulanmamalıdır. Microsoft, Entra Connect ile Entra ID arasındaki trafiğin araya girip incelenmesini desteklemez; aksi durumda Certificate Pinning nedeniyle bağlantı koparır. İlgili FQDN'ler Bypass edilmelidir.
» Microsoft, Entra Connect trafiğinin Authenticated Proxy üzerinden geçirilmesini de desteklemez. Bu nedenle ilgili FQDN'ler için Proxy kimlik doğrulaması zorunlu kılınmamalıdır.
Firewall Outbound Kuralı Nasıl Olmalı?
Entra Connect sunucusundan Microsoft Bulut Endpoint'lerine giden trafik, Firewall'da net bir Outbound kuralıyla tanımlanmalıdır. Aşağıdaki yapılandırma, hem trafiğin yönünü hem de kaynak ve hedef tanımını net biçimde belirler.
Bir Firewall Outbound kuralı, kaynak ve hedef tarafında aşağıdaki parametrelerle tanımlanmalıdır.
🎯 Source (Kaynak)
|
Parametre |
Değer |
|
Sunucu |
Microsoft Entra Connect Tool'un yüklü olduğu sunucu |
|
Yön |
Outbound (Dışa Giden) |
|
Protokol |
TCP |
|
Eylem |
Allow (İzin Ver) |
🎯 Destination (Hedef)
|
Parametre |
Değer |
|
Endpoint'ler |
Microsoft Identity / Service ve CRL / OCSP Endpoint'leri (FQDN bazlı) |
|
Portlar |
80 (TCP), 443 (TCP) |
Bu ayarlar sağlanmazsa, Microsoft Entra ID ile kimlik senkronizasyonu ve sertifika doğrulama işlemleri başarısız olur.
Client / Browser Seviyesi (GPO ile Trusted Sites Listesine Eklenmesi)
Firewall seviyesindeki Outbound Allow List, Entra Connect sunucusunun Microsoft kimlik altyapısıyla kurduğu Service-to-Service trafiğin geçmesini sağlar. Multi Factor Authentication (MFA) ve Sign-in akışlarının son kullanıcı tarafında her ortamda kararlı şekilde çalışabilmesi için, aynı FQDN'lerin Client tarafında, yani kullanıcının tarayıcısında, Trusted Sites listesinde tanımlı olması da yaygın bir best practice'tir. Bu iki seviye birbirini tamamlar; Firewall sunucu tarafında trafiğin geçmesini sağlar, Trusted Sites ise Client tarafında bu trafiğin tarayıcı güvenlik bölgesinde doğru değerlendirilmesini garanti eder.
Neden Trusted Sites Gereklidir?
Microsoft'un Sign-in ve MFA akışları, kullanıcının tarayıcısında çalışan JavaScript ve CSS bileşenleri üzerinden ilerler. Bu bileşenler login.microsoftonline.com, aadcdn.msftauth.net, secure.aadcdn.microsoftonline-p.com gibi Microsoft CDN ve kimlik Endpoint'lerinden yüklenir. Internet Explorer mode, Edge WebView2 ve Microsoft 365 masaüstü uygulamalarının kullandığı Embedded Browser bileşeni, Windows'un sistem genelindeki Security Zone (güvenlik bölgesi) politikalarına bağlı çalışır.
Eğer ilgili FQDN'ler Trusted Sites Zone'da tanımlı değilse, tarayıcı bu kaynakları varsayılan Internet Zone'da değerlendirir. Internet Zone'un kuralları katıdır; Mixed Content, Cross-Origin ve Cookie kısıtlamaları devreye girebilir ve bu kısıtlamaların etkin olduğu ortamlarda kimlik doğrulama akışı yarıda kesilir.
Trusted Sites yapılandırması güncel Edge Chromium ve modern Microsoft 365 sürümlerinde çoğu zaman gerekmez; ancak Internet Explorer Mode, eski Office sürümleri veya DISA STIG, CIS Benchmark gibi sıkı GPO Baseline'ların uygulandığı ortamlarda eksikliği aşağıdaki belirtilere yol açabilir:
1- Outlook, Teams ve OneDrive masaüstü istemcilerinde tekrar tekrar oturum açma penceresi açılması (Authentication Loop).
2- Modern Authentication akışında AADSTS50058 veya AADSTS500011 hata kodları.
3- Seamless SSO aktif olmasına rağmen kullanıcıdan parola istenmesi.
4- Conditional Access politikalarının cihaz uyumluluk veya konum sinyallerini doğru değerlendirememesi.
Yine de bu yapılandırmayı önleyici bir Hardening adımı olarak Production ortamlarında uygulamak isterseniz, aşağıdaki GPO yapılandırmasını takip edebilirsiniz.
GPO ile Site to Zone Assignment List Yapılandırması
Trusted Sites yapılandırması, Active Directory ortamında merkezi olarak Group Policy üzerinden uygulanmalıdır. Bu sayede her Client üzerinde tek tek manuel ayar yapılmasına gerek kalmaz; Site to Zone Assignment List Policy'si, organizasyondaki tüm bilgisayarların güvenlik bölgesi yapılandırmasını tek bir noktadan kontrol eder.
Yapılandırma yolu aşağıdaki gibidir:
Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Site to Zone Assignment List
Policy Enabled hale getirilir ve aşağıdaki FQDN'ler, Trusted Sites Zone olarak tanımlanır ve Zone değeri 2 olmalıdır.
https://login.microsoftonline.com → 2
https://login.microsoft.com → 2
https://login.windows.net → 2
https://device.login.microsoftonline.com → 2
https://aadcdn.msftauth.net → 2
https://aadcdn.msauth.net → 2
https://secure.aadcdn.microsoftonline-p.com → 2
https://passwordreset.microsoftonline.com → 2
Bu Policy ile listedeki her FQDN, Windows'un Trusted Sites Zone'una dahil edilir ve Cookie, Cross-Origin ve JavaScript izinleri bu Zone'un daha gevşek politikalarıyla değerlendirilir. Edge Chromium ve Edge WebView2 de Internet Explorer'ın güvenlik bölgesi yapılandırmasını miras aldığı için tek bir GPO, organizasyondaki tüm modern Microsoft tarayıcılarını ve Microsoft 365 masaüstü uygulamalarının Embedded Browser bileşenlerini birlikte kapsar.
Eklenmesi gereken minimum FQDN seti, Identity & Service Endpoints tablosundaki Sign-in, CDN ve kimlik domain'lerinden oluşur. Wildcard ifadeleri (*.microsoftonline.com, *.msauth.net gibi) Site to Zone Assignment Policy'sinde her zaman beklendiği gibi davranmaz; bu nedenle FQDN bilgileri tam adlarıyla yazılmalıdır.
Önemli Uyarı: Seamless SSO kullanılan ortamlarda
autologon.microsoftazuread-sso.com ve
aadg.windows.net.nsatc.net URL'leri
Trusted Sites Zone'a değil,
Intranet Zone (Zone değeri
1) olarak tanımlanmalıdır. Yanlışlıkla Trusted Sites Zone'a eklenmesi durumunda Kerberos tabanlı sessiz oturum açma akışı tamamen bloklanır. Bu yapılandırma ayrıntılı olarak
Microsoft Entra ID - Seamless SSO, PHS, PTA Farkı ve Kerberos makalesinde işlenmiştir.
Özetle;
✔ Firewall - Outbound Allow List: Sunucudan Microsoft'a giden Service-to-Service trafiği için zorunludur.
✔ GPO - Trusted Sites: Internet Explorer mode, eski Office sürümleri veya sıkı GPO Baseline'larının uygulandığı ortamlarda kimlik akışının kararlı çalışması için önleyici bir Hardening uygulaması olarak önerilir; modern Edge Chromium ve güncel Microsoft 365 sürümlerinde çoğu zaman gerekmez.
İki seviyenin bir arada uygulanması, MFA ve Sign-in süreçlerinde olası hataları minimuma indirir.
Microsoft Entra Connect Tool'un kurulum öncesi gereksinimlerinin doğru şekilde sağlanması, ilerleyen süreçte oluşabilecek senkronizasyon ve kimlik doğrulama hatalarının önüne geçmek açısından büyük önem taşır. Özellikle Health Agent'ın devre dışı kalmaması için kurulum sırasında kullanılan hesabın yetkileri dikkatle ele alınmalıdır.
Sistemin doğru hazırlanmış olması kadar, kurulumun eksiksiz ve hatasız gerçekleştirilmesi de büyük önem taşır. Kurulum sırasında yapılacak yanlış bir yapılandırma, ilerleyen süreçte entegrasyon hatalarına ve bağlantı problemlerine yol açabilir.
Makalemin 2. bölümünde Microsoft Entra Connect Tool'un kurulum adımları, yapılandırma seçenekleri ve olası hata senaryolarına karşı alınabilecek önlemler detaylı bir şekilde ele alınacak.
Faydalı olması dileğiyle...
Makale ile ilgili düşüncelerinizi ve sorularınızı aşağıdaki yorum kısmında paylaşmaktan çekinmeyin. Her katkı, içeriğin daha fazla kişiye ulaşmasını ve daha faydalı bir tartışma ortamı oluşmasını sağlar.