Microsoft Entra ID Connect Tool Kurulum Bölüm-2

Öncelikle, Makalemin 1. bölümünde Microsoft Entra ID Connect Tool’un detaylı bir şekilde ne olduğunu ve hangi senaryolarda kullanıldığını detaylıca anlatmıştım. On-Premises Active Directory (AD) ile Entra ID arasında Synchronization işlemlerini sağlamak için kullanılan bu aracın, Single Sign-On (SSO), Password Hash Synchronization (PHS) ve Pass-Through Authentication (PTA) gibi yeteneklerinden bahsetmiştim.

Devamında, Microsoft Entra ID Connect Tool’un çalışabilmesi için sistemde hangi gereksinimlerin karşılanması gerektiğini ele almıştım. Windows Server sürümü, .NET Framework, PowerShell modülleri ve SQL Server gereksinimleri gibi teknik detayları paylaşmıştım. Ayrıca, synchronization işleminin sorunsuz ilerleyebilmesi için UPN Suffix ayarlarının doğru yapılandırılması gerektiğini vurgulamıştım.

Bunlara ek olarak, Active Directory (AD) ve Entra ID yapısının senkronizasyon için uygun olup olmadığını değerlendirmek adına yapılması gereken ön kontrolleri açıklamıştım. 

Son olarak, kurulum öncesi dikkate alınması gereken noktaları listelemiş ve olası hataları en aza indirmek için hangi adımların uygulanması gerektiğini anlatmıştım.

Şimdi, ikinci bölümdeki bu makalemde Microsoft Entra ID Connect Tool’un kurulumuna geçeceğim.

Microsoft Entra Connect Tool Download Etme  

1- Microsoft Entra ID Connect Tool kurulumu için öncelikle https://entra.microsoft.com URL'i üzerinden Hybrid management altındaki Microsoft Entra Connect sekmesi altında bulunan Connect Sync içindeki Download Microsoft Entra Connect URL'ine tıklıyorum.



2- İlgili sayfada Download butonuna tıklıyor, Microsoft Entra Connect Tool'u indiriyorum.

Microsoft Entra Connect Sync Kurulumu  

3- Microsoft Entra Connect Sync kurulumu için lisans sözleşmesini kabul ediyor, Continue butonuna tıklayarak devam ediyorum.

Express Settings

4- Express Settings, Microsoft Entra Connect Sync kurulum sürecinde kullanıcıya iki farklı yapılandırma seçeneği sunan bir başlıktır. Burada amaç, senkronizasyon işlemini varsayılan ayarlarla hızla tamamlamak veya özelleştirilmiş bir yapılandırma ile ilerlemek arasında seçim yapabilmektir.

Bu başlık altında sunulan Use Express Settings ve Customize seçenekleri, senkronizasyonun nasıl yönetileceğini belirler. Use Express Settings, varsayılan yapılandırma ayarlarını kullanarak, minimum kullanıcı müdahalesiyle Entra ID ile On-Premises Active Directory (AD) arasında temel senkronizasyonun tamamlanmasını sağlar. Customize ise daha esnek ve detaylı ayarlar yapmayı mümkün kılar.

Bu adımda karşıma, Customize ve Use Express settings olmak üzere iki seçenek çıkıyor.

1- Use Express Settings  

Bu seçenek, Entra ID (eski adıyla Azure AD) ile Active Directory (AD) senkronizasyonunu hızlı ve standart ayarlarla yapılandırıyor. Express ayarları seçersen, şunlar otomatik olarak yapılandırılır:

» Mevcut Active Directory Forest için kimlik senkronizasyonu etkinleştirilir.

» Password Hash Synchronization devreye alınır. Bu, AD’deki parolaların karma (Hash) olarak Entra ID’ye senkronize edilmesini sağlar.

» Başlangıç Senkronizasyonu yapılır. Yani AD’den kullanıcılar, gruplar ve diğer nesneler hemen Entra ID’ye gönderilir.

» Tüm Attribute'ler senkronize edilir.

» Auto Upgrade aktif edilir. Bu, Entra Connect'in gelecekte otomatik olarak güncellenmesini sağlar.

Express ayarları, tek bir AD Forest için temel senkronizasyon ihtiyacı olan standart kurulumlar için ideal. Eğer herhangi bir özelleştirme yapmaya gerek yoksa, Use Express Settings seçeneği ile ilerleyebilirsin.

2- Customize  

Eğer daha fazla kontrol istiyorsan ve ileri seviye ayarlar yapmak gerekiyorsa Customize seçeneğini seçmelisin. Bu seçeneği seçtiğinde:

» Birden Fazla AD Forest Senkronizasyonu yapabilirsin. Eğer ortamında birden fazla AD varsa, hepsini tek bir Entra ID Tenant’ına bağlamak için özelleştirme yapman gerekecek.

» Filtreleme Kuralları belirleyebilirsin. Hangi kullanıcıların, grupların veya Organizational Unit’lerin (OU) senkronize edileceğini seçebilirsin.

» Authentication Yöntemini belirleyebilirsin. Örneğin, Password Hash Sync (PHS), Pass-through Authentication (PTA) veya Federation (AD FS) gibi farklı seçenekleri kullanabilirsin.

» Additional Features (Ekstra Özellikler) arasında Group Writeback, Device Writeback, Hybrid Exchange, Exchange Mailbox Migration gibi Entra ID ve On-Prem ortamı arasındaki entegrasyonları özelleştirebilirsin.

» Bağlı bir önceki sunucudan ayarları içe aktarma imkânı sunar. Eğer eski bir Entra Connect yapılandırması varsa, bunu yeni sunucuya taşımak için Import Configuration seçeneğini kullanabilirsin.

Kısacası Customize seçeneği, daha kompleks senaryolar ve ileri düzey yapılandırmalar için tercih edilmesi gereken seçenektir. Eğer kurulumun sadece tek bir AD Forest’ı kapsıyorsa ve ekstra ayarlara ihtiyacın yoksa Use Express Settings işini görecektir. Ama farklı bir Authentication metodu, belirli kullanıcıları filtreleme veya Hybrid Exchange gibi gelişmiş konfigürasyonlara ihtiyacın varsa, Customize seçeneği ile devam etmelisin.

Install required components

5- Install required components adımında, Microsoft Entra Connect Sync kurulumu sırasında bazı isteğe bağlı (optional) yapılandırma seçenekleri sunuluyor. Eğer bu kutuların hiçbirini işaretlemezsen, kurulum varsayılan ayarlarla devam eder. Peki, bu seçenekler ne anlama geliyor?

✅ Specify a custom installation location

Varsayılan olarak, Entra Connect Sync C:\Program Files\Microsoft Entra Connect Sync dizinine yüklenir. Eğer farklı bir dizine kurulum yapmak istiyorsan, bu kutuyu işaretleyerek özel bir kurulum yolu belirleyebilirsin.

✅ Use an existing SQL Server

Normalde, Entra Connect kendi içinde bir SQL Express Instance kurarulumu yapar ve bunu kullanır. Eğer zaten bir mevcut SQL Server varsa ve bu veritabanını kullanmak istiyorsan, bu kutuyu seçebilirsin. Büyük ölçekli ortamlarda, performans ve yönetilebilirlik açısından mevcut bir SQL Server kullanmak daha mantıklı olabilir.

✅ Use an existing service account

Varsayılan olarak, Entra Connect Sync işlemlerini yönetmek için Local System Account kullanır. Eğer bir Domain Account kullanmak istiyorsan, bu seçeneği işaretleyerek kendi belirlediğin bir servis hesabını atayabilirsin. Özellikle Least Privilege Principle (En Az Yetki İlkesi) gereği, büyük şirketlerde özel servis hesapları kullanmak daha güvenlidir.

✅ Specify custom sync groups

Entra Connect, varsayılan olarak MSEntraConnectAdmins, MSEntraConnectOperators, MSEntraConnectBrowse, MSEntraConnectReporters gibi Local Security gruplar oluşturur. Eğer bu grupları özel bir adlandırma ile değiştirmek istiyorsan, bu kutuyu işaretleyerek özel grup isimleri belirleyebilirsin.

✅ Import synchronization settings

Eğer daha önce başka bir sunucuda yapılandırılmış bir Entra Connect Sync konfigürasyonun varsa, bu seçeneği kullanarak o ayarları içe aktarabilirsin. Özellikle yeniden kurulum veya Migration işlemlerinde, mevcut ayarları içe aktarmak büyük kolaylık sağlar.

Ne Yapmalısın?

Eğer standart bir kurulum yapıyorsan, hiçbirini seçmeden Install butonuna basabilirsin. Eğer SQL Server kullanımı, özel bir servis hesabı veya önceden belirlenmiş senkronizasyon ayarları gibi özel gereksinimlerin varsa, ilgili kutuları işaretleyerek kurulum sürecini özelleştirebilirsin.

Ben, bu adımda Microsoft Entra Connect Sync kurulumu sırasında bazı isteğe bağlı (optional) yapılandırma seçeneklerini seçmeden Install butonuna basarak, kurulum adımına geçiyorum.

User sign-in

6- User sign-in ekranında, Microsoft Entra Connect Sync aracında User Sign-In yöntemi ve kimlik doğrulama sürecinin nasıl yönetileceği belirleniyor. Seçilen yönteme bağlı olarak, kullanıcıların Entra ID’ye nasıl oturum açacağı, kimlik bilgilerinin nerede ve nasıl doğrulanacağı ve kimlik doğrulamanın On-Prem AD’de mi yoksa bulutta mı yönetileceği gibi kritik kararlar alınıyor.

Bu süreçte kullanılan farklı kimlik doğrulama yöntemleri, şirketin altyapısına, güvenlik gereksinimlerine ve kullanıcı deneyimine göre şekilleniyor. Eğer kimlik doğrulamanın tamamen On-Prem AD üzerinden yönetilmesi isteniyorsa Pass-through Authentication ya da Federation seçenekleri öne çıkıyor. Bulut tabanlı bir doğrulama yöntemi düşünülüyorsa Password Hash Synchronization tercih edilebiliyor. Kullanıcıların ekstra kimlik doğrulaması yapmadan Entra ID’ye erişebilmesi için Enable Single Sign-On gibi seçenekler de bu aşamada yapılandırılıyor.

Bu ekran, yalnızca hangi yöntemin kullanılacağını seçmekle kalmayıp, aynı zamanda kimlik doğrulamanın işleyiş biçimini ve kullanıcı deneyimini nasıl etkileyeceğini de belirleyen en önemli yapılandırma adımlarından biridir.



Seçeneklerin Açıklamaları

✅ Password Hash Synchronization

Bu yöntemde, Active Directory'deki parolalar Hashlenmiş şekilde Entra ID'ye senkronize edilir. Kullanıcılar bulut üzerinden giriş yaptığında, parolalarının Hash değeri doğrulanarak oturum açılır. Avantajı, kullanıcıların parola doğrulaması için sürekli On-Prem AD'ye bağımlı olmamasıdır. Ancak, parola değişikliği yapıldığında senkronizasyon süreci tamamlanana kadar bulut tarafında eski parola geçerli olur.

✅ Pass-through Authentication

Bu yöntem, parolaların doğrudan On-Prem AD'de doğrulanmasını sağlar. Kullanıcı giriş yaptığında, kimlik bilgileri Entra ID tarafından alınır ancak On-Prem AD tarafından doğrulanır. Burada bir Authentication Agent kullanılarak, gerçek zamanlı parola doğrulaması gerçekleştirilir.

Avantajları:

» Parolalar buluta taşınmaz, bu da güvenlik açısından avantaj sağlar.

» Gerçek zamanlı kimlik doğrulama sağlanır, parola değişikliği anında geçerli olur.

» On-Prem AD'de yetkilendirme süreçleri aynen devam eder, ek yapılandırmalara gerek kalmaz.

» Hybrid yapılar için uygundur, On-Prem AD'nin ana otorite olduğu ortamlarda sorunsuz çalışır.

Kurulum işlemimde kimlik doğrulamanın öncelikli olarak On-Prem AD üzerinden yapılmasını ancak aynı zamanda yedekleme mekanizması olarak Password Hash Synchronization’ın da kullanılmasını istiyorum. Bu sayede güvenliği elden bırakmadan hem yönetim kolaylığı hem de kesintisiz erişim amaçlanmaktadır.

Bu sayede Pass-through Authentication’ın çalışamaz hale gelmesi durumunda Password Hash Synchronization sayesinde kullanıcıların Entra ID üzerinden oturum açabilmesini garanti altına alınır.

Bu adımda Pass-through Authentication seçilmiş olmasına rağmen, ilerleyen adımlarda Password Hash Synchronization da aktif edeceğim. Bunun nedeni, Pass-through Authentication’ın ana kimlik doğrulama yöntemi olması ancak yedekleme amaçlı Password Hash Synchronization’ın da etkinleştirilecek olmasıdır.

Eğer Pass-through Authentication kullanılırken On-Prem AD erişilemez hale gelirse, Password Hash Synchronization sayesinde kullanıcılar Entra ID üzerinden oturum açmaya devam edebilir. Bu kombinasyon, kesintisiz erişim sağlamak için hibrit bir yaklaşım sunar.

✅ Federation with AD FS

Bu yöntemde, kimlik doğrulama tamamen Active Directory Federation Services (AD FS) tarafından yönetilir. Ancak şunu da hatırlatmakta fayda var ki Microsoft, AD FS için Multi-Factor Authentication (MFA) desteğini kaldırdı.

✅ Federation with PingFederate

Kimlik doğrulama işleminin PingFederate servisi üzerinden yapılmasını sağlar. AD FS'ye benzer bir yapı sunar ama Ping Identity altyapısını kullanmak isteyen şirketler için uygundur.

✅ Do not configure

Kimlik doğrulama için herhangi bir yapılandırma yapılmaz. Eğer Entra ID'ye kimlik doğrulama yönlendirilmeden sadece senkronizasyon yapılacaksa, bu seçenek kullanılabilir.

✅ Enable single sign-on

Enable Single Sign-On, On-Prem AD’ye bağlı cihazlardan oturum açan kullanıcıların, Entra ID hizmetlerine tekrar kimlik doğrulaması yapmadan erişmesini sağlar.

Bu özellik etkinleştirildiğinde:

» Kullanıcılar On-Prem AD kimlik bilgileriyle oturum açtıktan sonra, Entra ID ile entegre olan uygulamalara parola girmeden erişebilir.

» Giriş süreci sessizce gerçekleşir, kullanıcılar fark etmeden Entra ID oturumlarını başlatmış olur.

» Domain-Joined veya Hybrid Azure AD-Joined cihazlar bu özelliği destekler.

» Kimlik doğrulama süreci On-Prem AD tarafından yönetilmeye devam eder, ancak kullanıcı deneyimi iyileştirilir.

Ben, Pass-through Authentication (PTA) seçimimde kimlik doğrulamanın gerçek zamanlı olarak AD'den yönetilmesini sağlarken, Enable Single Sign-On ile kullanıcı deneyimini iyileştirmeyi hedefliyorum.

Bu nedenle bu seçenek, Pass-through Authentication veya Password Hash Synchronization gibi yöntemlerle birlikte kullanılarak daha sorunsuz bir oturum açma deneyimi sağlar. Ayrıca Pass-through Authentication ve Enable Single Sign-On birlikte seçildiğinde, kimlik doğrulama süreci On-Prem AD üzerinden yönetilir, ancak kullanıcıların tekrar oturum açmasına gerek kalmadan Entra ID hizmetlerine erişmesi sağlanır.

Connec to Microsoft Entra ID

7- Connect to Microsoft Entra ID adımında, Microsoft Entra Connect Sync, Entra ID ile bağlantı kurulması için yetkili bir hesapla oturum açılmasını istiyor. Hybrid Identity Administrator veya Global Administrator yetkilerine sahip bir hesap gereklidir.

Bu Adımda Neler Oluyor?  

» Entra ID tenant'ına bağlanabilmek için bir yönetici hesabı girilmesi gerekiyor.

» Kullanıcı adı kısmına, Entra ID üzerinde yönetici yetkisine sahip bir hesap yazılmalı.

» Bu hesap, Entra Connect'in Entra ID ile entegrasyonunu tamamlayabilmesi için gerekli izinlere sahip olmalı.

Neden Hybrid Identity Administrator veya Global Administrator?  

» Hybrid Identity Administrator, Entra ID ile On-Prem AD arasındaki senkronizasyonu yönetmeye özel bir role sahiptir.

» Global Administrator, Entra ID ortamında en yüksek yetkiye sahip olduğu için tüm konfigürasyon değişikliklerini yapabilir.

Eğer bu ekranda yanlış bir hesap kullanılırsa, Entra Connect gerekli izinleri alamaz ve senkronizasyon yapılandırılamaz. Doğru hesap girildikten sonra Next butonuna basarak bir sonraki adıma geçebiliriz.

Connect your directories

8- Connect your directories adımında, Microsoft Entra Connect Sync, On-Prem Active Directory ile Entra ID arasındaki bağlantıyı yapılandırmak için bir Directory (dizin) eklenmesi gerekiyor. Add Directory butonuna basarak dizin ekleme işlemine geçiyorum.

Bu Adımda Neler Yapılıyor?  

» Directory Type olarak Active Directory seçilmiş durumda. Bu, On-Prem AD'nin Entra ID ile eşitleneceğini gösteriyor.

» Forest kısmında firatboyan.local yazıyor. Bu, senkronize edilecek AD Forest'ının ismini ifade eder. Add Directory butonuna basarak belirtilen AD Forest eklenmeli.

Bu Adımın Önemi Nedir?  

» Entra Connect'in hangi AD Forest ile bağlantı kuracağını belirler.

» Birden fazla AD Forest varsa, burada eklenerek yönetilebilir.

» Add Directory butonuna basıldıktan sonra, Entra Connect On-Prem AD ile bağlantıyı doğrular ve bir sonraki adıma geçmek mümkün hale gelir.

Eğer burada herhangi bir hata olursa, AD Forest erişim izinleri veya ağ bağlantısı ile ilgili sorunlar olabilir. Bu yüzden doğru AD Forest'ının seçildiğinden ve gerekli yetkilere sahip bir hesapla oturum açıldığından emin olmak gerekir.

AD forest account

9- AD forest account adımında, makalemin 1. bölümünde de kısaca değindiğim gibi, Microsoft Entra Connect Sync, On-Prem Active Directory ile senkronizasyonu yönetmek için gerekli izinlere sahip bir hesap belirlenmesi gerekiyor.

Bu Adımda Neler Yapılıyor?  

» Microsoft Entra Connect Sync’in On-Prem AD ile senkronizasyon işlemlerini gerçekleştirebilmesi için uygun yetkilere sahip bir hesap tanımlanıyor.

İki seçenek bulunuyor:

1. Create new AD account: Entra Connect, senkronizasyon için yeni bir hizmet hesabı oluşturur ve gerekli izinleri otomatik olarak atar. Bu önerilen yöntemdir.

Enterprise Admin Hesabı Neden Gerekli?  

» Yeni bir AD hesabı oluşturulması veya var olan bir hesabın uygun yetkilere sahip olup olmadığının doğrulanması için Enterprise Admin yetkisine sahip bir kullanıcı gereklidir.

» Bu hesap sadece yapılandırma aşamasında kullanılır, senkronizasyon işlemleri için ayrı bir hizmet hesabı atanır.




2. Use existing AD account: Eğer daha önce bu iş için tanımlanmış özel bir hizmet hesabı varsa, onu kullanma seçeneği sunulur.




9.1- Aşağıda, firatboyan.local Domain seviyesinde Properties penceresini açtığımda, oluşturmuş olduğum hesap için tanımladığım gerekli izinleri görüntülüyorum.




Aşağıdaki tablo, Access Control List (ACL) içindeki tüm izinlerin listesini göstermektedir. Bu adımda Read, Replicating Directory Changes ve Replicating Directory Changes All izinleri temel olarak yeterli olmaktadır. Diğer gerekli izinler, Entra Connect Sync ile kurulum yapılırken, ihtiyaca göre otomatik olarak atanacaktır.

9.2- Use existing AD account seçeneğini seçerek, önceden oluşturmuş ve gerekli izinlerini manuel olarak vermiş olduğum hesapla dizin ekleme işlemimi tamamlıyorum.

Microsoft Entra sign-in configuration

10- Microsoft Entra sign-in configuration adımında, Microsoft Entra Connect Sync, On-Prem AD kullanıcılarının Microsoft Entra ID’de kimlik doğrulama işlemlerini gerçekleştirebilmesi için User Principal Name (UPN) Attribute’unun doğrulanmış bir Microsoft Entra ID Domain’i ile eşleşip eşleşmediğini kontrol ediyor. UPN Suffix’i, kullanıcıların Microsoft Entra ID’ye oturum açarken kullanacakları kimlik doğrulama mekanizmasını belirlediği için, bu adım senkronizasyon sürecinde kritik bir yapılandırma bileşenidir.

Active Directory UPN Suffix bölümünde, AD'de kullanılan firatboyan.local ve firatboyan.com olarak iki UPN görülebiliyor. On-Prem AD kullanıcılarının Microsoft Entra ID’de oturum açabilmesi için, UPN Suffix’in doğrulanmış bir Domain ile eşleşmesi gerekiyor ve Microsoft Entra ID Domain bölümünde, yalnızca firatboyan.com Verify edilmiş (doğrulanmış) durumdadır. userPrincipalName seçeneği, varsayılan olarak seçili durumdadır. Bu, kullanıcıların AD’de UserPrincipalName (UPN) özelliğini kullanarak Entra ID’ye oturum açmasını sağlar.

Eğer bir kullanıcının UPN Suffix’i firatboyan.local ise, bu kullanıcılar Microsoft Entra ID’ye oturum açamaz. UPN Suffix'i yalnızca firatboyan.com Suffix’i gibi Entra ID'de doğrulanmış bir Domain'i olan kullanıcılar Entra ID ile giriş yapabilir.

Eğer firatboyan.com Domain'i, Entra ID'de doğrulanmamış olsaydı ve firatboyan.local gibi Entra ID'de doğrulanmamış bir Domain'le Continue without matching all UPN Suffixes to verified Domains seçeneği işaretlenerek kuruluma devam edilirse kullanıcılar, eşleşmeyen UPN'lerle senkronize edilir, ancak oturum açamazlar.



Eğer Kullanıcılarınızı UPN (User Principal Name) Attribute'ü ile Sync. ettirme gibi bir düşünceniz varsa ve mevcut AD hesaplarınızda, doğrulanmış Domain'e ait UPN bilgisi yoksa, PowerShell İle Active Directory Kullanıcılarının UPN Bilgilerini Değiştirme makalemden faydalanabilirsiniz.



Microsoft Entra Connect Sync, varsayılan olarak UserPrincipalName Attribute’unu kullanarak On-Prem AD kullanıcılarını Microsoft Entra ID’ye senkronize eder. Ancak, bazı senaryolarda UPN yerine mail Attribute’unu kullanarak senkronizasyon yapmak gerekebilir.

Mail Attribute ile Senkronizasyon Neden Tercih Edilir?

» UPN ve e-posta adresleri farklıysa, kullanıcıların Microsoft Entra ID’ye giriş yaparken UPN yerine e-posta adreslerini kullanmalarını sağlamak için.

» Hybrid Exchange kullanan ortamlarda, kullanıcıların e-posta adreslerini (Mail Attribute) Microsoft Entra ID ile eşleştirerek tutarlı bir oturum açma deneyimi sağlamak için.

» UPN’in doğrulanmamış bir Domain ile yapılandırıldığı senaryolarda, Microsoft Entra ID’ye oturum açılmasını mümkün kılmak için.

Eğer mevcut kullanıcıların mail Attribute’unda uygun bir değer olup olmadığını kontrol etmek istiyorsan, aşağıdaki PowerShell komutunu çalıştırabilirsin:

Mail Attribute ile Senkronizasyon Yapıldığında Dikkat Edilmesi Gerekenler

» mail Attribute’unda mutlaka bir e-posta adresi olmalı ve bu adres, doğrulanmış bir Entra ID Domain’ine sahip olmalıdır.

» Mevcut kullanıcıların e-posta adresleri ile Microsoft Entra ID’de kullanılan kimlik doğrulama mekanizmasının uyumlu olması gerekir.

» Hybrid Exchange ortamlarında bu yöntem genellikle en doğru senaryodur çünkü e-posta adresleri zaten kullanıcının asıl kimlik doğrulama mekanizması olarak kullanılır.

Bu yapılandırma tamamlandığında, On-Prem AD kullanıcıları Microsoft Entra ID’ye e-posta adresleriyle giriş yapabilir ve senkronizasyon işlemleri sorunsuz şekilde çalışır.




Ben, Microsoft Entra sign-in configuration adımında mail Attribute değerini seçerek devam edeceğim.

Domain and OU filtering

11- Domain and OU filtering adımında, Microsoft Entra Connect Sync, hangi Domain’lerin altındaki hangi Organizational Unit'lerin (OU) Microsoft Entra ID ile senkronize edileceğini belirlemek için bir yapılandırma sunar.

11.1- Varsayılan olarak Sync all Domains and OUs seçeneği işaretlenmiş durumdadır. Bu seçenek seçildiğinde, AD'deki tüm Domain ve OU’lar Microsoft Entra ID’ye senkronize edilir. Buna bağlı olarak da tüm kullanıcılar, gruplar ve diğer AD nesneleri Entra ID’ye aktarılır. Genellikle küçük ölçekli ortamlarda veya belirli bir filtreleme ihtiyacı olmayan senaryolarda kullanılır.



11.2- Sync selected Domains and OUs seçeneği işaretlendiğinde tüm Domain ve OU’lar yerine sadece belirlenen OU’lar senkronize edilir. Bu yöntem, sadece belirli kullanıcı gruplarını veya nesneleri senkronize etmek isteyen büyük ölçekli organizasyonlar için daha verimli bir çözümdür.

Bu yapılandırma, gereksiz kullanıcıları veya nesneleri senkronizasyon dışı bırakarak Entra ID’ye yalnızca belirli kullanıcıların aktarılmasını sağlar.



11.3- Bu adımda tüm seçimleri kaldırmak için Domain (firatboyan.local) seviyesindeki seçimi kaldırarak, sadece istediğimiz OU'ların seçilmesini sağlayabiliriz.






12- Uniquely idenfity your users adımında, Microsoft Entra Connect Sync, On-Prem AD'deki kullanıcıların Microsoft Entra ID ile nasıl eşleştirileceğini belirlemek için bir yapılandırma sunmaktadır.

Uniquely identifiying your users

✅ Users are represented only once across all directories

13- Microsoft Entra Connect Sync, On-Prem AD ortamında bulunan her kullanıcıyı Microsoft Entra ID içinde benzersiz bir nesne olarak eşlemek için belirli yöntemler kullanır. Bu senkronizasyon sürecinde, kullanıcıların AD içinde tek bir dizinde mi, yoksa birden fazla dizinde mi bulunduğu dikkate alınmalıdır.

Eğer kullanıcılar yalnızca tek bir AD Forest içinde bulunuyorsa ve her kullanıcının yalnızca tek bir hesabı varsa, senkronizasyon sürecinde herhangi bir Attribute eşleme gerektirmeden doğrudan eşlenebilirler. Bu durumda, Microsoft Entra Connect Sync kullanıcının ObjectGUID veya mS-DS-ConsistencyGuid Attribute’unu temel alarak On-Prem AD ile Microsoft Entra ID arasında birebir eşleme yapar.

Bu yöntem, Hybrid Identity Management (hibrit kimlik yönetimi) yapılandırmalarında en sık kullanılan modeldir ve en az yönetim gerektiren senaryodur. Çünkü:

» Kullanıcı hesapları birden fazla AD Forest veya Domain içinde çoğaltılmamıştır.

» Tek bir dizin kaynağından yönetildiği için Attribute çakışmaları veya kimlik doğrulama sorunları oluşmaz.

» Entra ID üzerinde Duplicate hesap oluşma riskini minimize eder.

✅ User identities exist only once across all diretories

14- Eğer birden fazla AD Forest veya Domain yapısında kullanıcı hesapları birden fazla dizinde tekrar ediyorsa, senkronizasyon sürecinde hangi eşleşme yönteminin kullanılacağı manuel olarak belirlenmelidir. Bu durumda, kullanıcılar arasındaki bağlantıyı kurmak için aşağıdaki yöntemlerden biri seçilmelidir.

✔ Mail attribute

Active Directory'de Mail Attribute’u, kullanıcının e-posta adresini tanımlayan ve genellikle UserPrincipalName yerine kimlik doğrulama senaryolarında kullanılan bir değerdir. Özellikle Exchange Hybrid ortamlarında, Mail Attribute’u, hem On-Prem hem de Entra ID üzerindeki hesapları eşleştirmek için kullanılır. Kullanıcıların kimlik doğrulama işlemleri sırasında On-Prem Active Directory'deki Mail Attribute’u ile Entra ID üzerindeki Mail bilgisi karşılaştırılarak senkronizasyon sağlanır. Bu yöntem, UPN Suffix'lerinin farklı olduğu ya da UserPrincipalName yerine Mail Attribute’unun tek ve tutarlı olduğu sistemlerde tercih edilir.

Mail Attribute’u, kullanıcının e-posta adresinin birincil tanımlayıcı olarak kabul edildiği sistemlerde, Entra ID senkronizasyon sürecinde eşleşme sağlamak için kullanılır. Ancak, Mail Attribute’unun ProxyAddresses Attribute’u ile karıştırılmaması gerekir. Mail Attribute’u, kullanıcının Primary SMTP Address değerini içerirken, ProxyAddresses Attribute'u, farklı e-posta adreslerini saklar ve çoklu SMTP adreslerini barındırır. Entra ID senkronizasyonu sırasında Mail Attribute’unun On-Prem ortamda benzersiz olması gereklidir, aksi takdirde hesap çakışmaları yaşanır.

Bu yöntem, özellikle Exchange Hybrid senaryolarında, kullanıcıların hem On-Prem Exchange hem de Entra ID üzerinde doğru hesapla eşleşmesini sağlamak için yaygın olarak kullanılır. Eğer Mail Attribute’u eksikse veya yanlış yapılandırılmışsa, Entra ID üzerindeki kimlik doğrulama işlemleri sırasında hatalar oluşabilir ve kullanıcılar doğru hesap ile eşleşmeyebilir.

✔ ObjectSID ve msExchMasterAccountSID/msRTCSIP-OriginatorSID attributes

Active Directory içinde her nesneye sistem tarafından atanan ObjectSID, kullanıcı hesaplarının kimlik doğrulama ve yetkilendirme süreçlerinde kullanılan benzersiz bir kimlik değeridir. Domain içindeki her nesneye atanan bu değer, kullanıcı veya grup oluşturulduğunda otomatik olarak üretilir ve nesne silinip yeniden oluşturulmadığı sürece değişmez. Ancak, bir hesap farklı bir Domain'e taşındığında, ObjectSID değişir. Bu noktada, sIDHistory Attribute’u devreye girerek, önceki Domain’e ait ObjectSID bilgisini saklar ve hesap taşıma işlemlerinde eski erişim izinlerinin korunmasını sağlar.

Exchange Server ortamında, msExchMasterAccountSID Attribute’u, posta kutusunun hangi hesap tarafından yönetildiğini belirlemek için kullanılır. Özellikle Resource Forest modelinde, kullanıcı kimlik doğrulama işlemleri bir Account Forest içinde gerçekleşirken, posta kutuları farklı bir Exchange Forest içinde barındırılıyorsa, bu Attribute kullanıcının ilişkili olduğu hesabı tanımlar. Kullanıcı, kendi hesap bilgileriyle kimlik doğrulaması gerçekleştirdiğinde, Exchange Server, msExchMasterAccountSID Attribute’unu kullanarak posta kutusunun yönlendirilmesi gereken asıl hesapla eşleştirir. Bu sayede, hesapların farklı Forest'lar arasında çalışmasına rağmen, posta kutularına erişim sağlanır.

Skype for Business ve Lync Server gibi Unified Communications platformlarında, msRTCSIP-OriginatorSID Attribute’u, kullanıcı hesaplarının kimlik doğrulama ve oturum yönetimi süreçlerinde kullanılır. Bu Attribute, özellikle birden fazla Domain veya Forest içeren yapılarda, kullanıcının orijinal SID bilgisini saklar ve kimlik doğrulama işlemlerinde doğru hesap eşleşmesini sağlar. Kullanıcıların hesap taşımaları veya Hybrid geçişlerde kimlik doğrulama kesintisi yaşamaması için, msRTCSIP-OriginatorSID Attribute’u, hesapların doğru şekilde eşleştirilmesine yardımcı olur. Özellikle Cross-Forest geçişlerinde ve birleşik iletişim senaryolarında, kullanıcıların oturum açma süreçlerinde hata almadan devam edebilmesi için kritik bir rol oynar.

✔ SAMAccountName ve MailNickName attributes

Active Directory'de SAMAccountName Attribute’u, NTLM kimlik doğrulaması gibi eski sistemlerde kullanılan, 20 karakterle sınırlı, kullanıcıların benzersiz oturum açma adıdır. MailNickName Attribute’u ise Exchange ortamında Alias olarak kullanılan, posta kutusu eşleşmelerinde rol oynayan bir değerdir. Entra ID senkronizasyonunda, UserPrincipalName değerlerinin tutarsız olduğu veya Mail Attribute’unun güvenilir olmadığı durumlarda, SAMAccountName ve MailNickName Attribute’ları eşleşme için alternatif olarak kullanılabilir.

Bu eşleşme yöntemi, özellikle UPN Suffix'leri farklı olan veya farklı Domain'lerden gelen kullanıcıları tek bir hesapla senkronize etmek gerektiğinde devreye girer. SAMAccountName, On-Prem ortamda genellikle Domain\kullanici.adi formatında olduğu için doğrudan Entra ID ile eşleşmesi zor olabilir. Ancak, aynı ortamda benzersiz olması gerekliliği nedeniyle manuel eşleme süreçlerinde güvenilir bir referans noktasıdır.

MailNickName Attribute’u ise, Exchange Online ve On-Prem Exchange arasında senkronizasyon sağlamak için kullanılır ve Primary SMTP Address’ten bağımsız olarak her kullanıcı için benzersiz olmalıdır.

Bu yöntem, genellikle Hybrid geçişler, kullanıcı taşıma senaryoları veya UPN Rewriting ihtiyacı olan ortamlarda kullanılır. Ancak, manuel eşleme gerektirdiği için yapılandırmanın dikkatlice kontrol edilmesi gerekir. Kullanıcıların SAMAccountName veya MailNickName değerlerinde herhangi bir çakışma olmaması şarttır, aksi takdirde yanlış eşleşmeler oluşabilir ve kimlik doğrulama sorunlarına yol açabilir.

✔ A specified attribute

Active Directory senkronizasyon süreçlerinde, varsayılan eşleşme mekanizmalarının yetersiz kaldığı senaryolarda, organizasyonun belirlediği özel bir Attribute kullanılabilir. Bu yöntem, özellikle Multi-Forest yapılarında veya Hybrid ortamda kimlik yönetimi için özelleştirilmiş eşleşme mantığı gerektiren durumlarda tercih edilir. EmployeeID, CustomID veya organizasyona özel bir HR Identifier gibi benzersiz bir değer, Active Directory ve Entra ID arasındaki hesapların doğru eşleşmesini sağlamak için kullanılabilir.

Bu yaklaşım, özellikle birden fazla Forest içeren ortamlarda, kullanıcıların farklı dizinlerde farklı UserPrincipalName, Mail veya SAMAccountName değerlerine sahip olabildiği durumlarda devreye girer. Örneğin, bir kullanıcı bir Resource Forest içinde Exchange Online ile ilişkilendirilirken, kimlik doğrulama işlemi Account Forest içinde gerçekleşebilir. Böyle bir yapıda, kullanıcıları yanlış eşleşmelerden korumak için, sistemin her kullanıcıyı eşleştirmek için organizasyonun belirlediği özel bir Attribute'u baz alması gerekir.

Bu yöntemin uygulanabilmesi için, seçilen Attribute'un hem On-Prem Active Directory hem de Entra ID üzerinde tutarlı ve benzersiz olması gerekir. Ayrıca, Active Directory senkronizasyon politikalarında özel Attribute Mapping yapılandırması gerektirir. Yanlış yapılandırıldığında, aynı Attribute değerine sahip birden fazla kullanıcı olması durumunda çakışmalar yaşanabilir ve beklenmeyen kimlik eşleşmeleri ortaya çıkabilir.

✅ Select how users should ve identified with Microsoft Entra ID

15- Son olarak Select how users should ve identified with Microsoft Entra ID. altındaki seçekleri de inceleyecek olursak, bölümü, On-Prem Active Directory'deki kullanıcı hesaplarının Entra ID üzerinde nasıl eşleştirileceğini belirler. Bu seçim, Source Anchor adı verilen, her kullanıcının benzersiz ve değişmez bir kimlik tanımlayıcısının nasıl belirleneceğini yönetir. Source Anchor, Entra ID ile senkronize edilen her kullanıcı için Immutable ID görevi görür ve ileride yapılacak yeniden senkronizasyon, geri yükleme veya hesap taşıma işlemlerinde aynı kullanıcıyı yeniden tanımlamak için kullanılır.

Burada iki seçenek sunuluyor:

✔ Let Azure manage the source anchor

Bu seçenek, On-Prem Active Directory ile Entra ID arasındaki kimlik eşlemesini yönetmek için mS-DS-ConsistencyGuid Attribute’unu Source Anchor olarak kullanır. Eğer bu Attribute zaten doluysa, Entra Connect bunu değişmeden kullanır. Ancak boşsa, ObjectGUID değerini alır ve bu değeri mS-DS-ConsistencyGuid olarak Active Directory'ye geri yazar. Böylece, kimliklerin tutarlılığı korunur ve kullanıcının Active Directory üzerindeki hesabı silinip yeniden oluşturulsa bile, Entra ID'deki kimliğiyle eşleşmesi sağlanır.

Eğer bu Attribute zaten doluysa Entra Connect, bunu değişmeden kullanır. cümlesinin anlamı şudur:

» mS-DS-ConsistencyGuid Attribute’u zaten geçerli ve GUID formatında bir değer içeriyorsa, Entra Connect bu değeri olduğu gibi kullanır.

» Yani, ObjectGUID değerini alıp buraya yazmaz çünkü zaten bir değer vardır.

» Source Anchor olarak mevcut değeri kabul eder ve değiştirme yapmaz.

Ancak, mS-DS-ConsistencyGuid içindeki değer GUID formatında değilse veya bozulmuşsa Entra Connect, bunu otomatik olarak düzeltmez. Hata verir ve manuel müdahale ister.

Bu yöntem, özellikle Hybrid Identity senaryolarında Source Anchor olarak ObjectGUID yerine mS-DS-ConsistencyGuid kullanarak, kullanıcı hesaplarının değişmez ve kalıcı bir kimlik ile yönetilmesini sağlar. ObjectGUID, bir hesap silindiğinde veya yeniden oluşturulduğunda değiştiğinden, doğrudan Source Anchor olarak kullanılması halinde kimlik tutarsızlıklarına neden olabilir. Ancak mS-DS-ConsistencyGuid, bu riski ortadan kaldırarak aynı kullanıcının her senkronizasyonda tutarlı bir şekilde tanınmasını sağlar.

Microsoft’un önerdiği varsayılan yöntem budur çünkü mS-DS-ConsistencyGuid, Entra ID ile Active Directory arasında değişmez bir köprü kurarak senkronizasyon süreçlerini daha güvenilir hale getirir. Bu yöntem, kullanıcı taşıma, replikasyon ve geri yükleme işlemlerinde herhangi bir kesinti yaşanmadan kimlik yönetimini sürdürülebilir hale getirir.

✔ Choose a specific attribute

Bu seçenek işaretlendiğinde ise, organizasyonun belirlediği farklı bir Attribute'ün Source Anchor olarak kullanılmasını sağlar. Örneğin, bazı şirketler objectGUID, EmployeeID veya CustomID gibi farklı Attribute’leri kullanmayı tercih edebilir. Ancak, objectGUID gibi değişken Attribute'lerin kullanılması, kullanıcı hesabı silinip yeniden oluşturulduğunda kimlik değişikliğine yol açabileceği için önerilmez.

Bu ayar, On-Prem Active Directory ile Entra ID arasında kimlik sürekliliğini sağlamak için kritik bir yapılandırmadır. mS-DS-ConsistencyGuid kullanımı, özellikle Hybrid Identity senaryolarında kullanıcıların yeniden oluşturulmadan veya tekrar atanmasına gerek kalmadan kesintisiz şekilde senkronize edilmesini sağlar.

Filter users and devices

16- Filter users and devices adımında, Microsoft Entra Connect Sync, On-Prem Active Directory nesnelerinin Entra ID ile senkronizasyon sürecinde hangi kullanıcıların ve cihazların dahil edileceğini belirlemek için bir kapsam filtresi uygular. Senkronizasyon işlemi, belirlenen politikalar ve gereksinimlere bağlı olarak ya tüm dizindeki nesneleri içerecek şekilde geniş çaplı bir kapsama sahip olabilir ya da belirli bir kullanıcı veya cihaz grubuyla sınırlandırılabilir.

Bu aşamada yapılan seçim, senkronizasyon işleminin kapsamını belirleyerek yalnızca belirlenen grup veya OU içindeki kullanıcı ve cihaz nesnelerinin Entra ID'ye aktarılmasını sağlar. Böylece, gereksiz tüm dizin nesnelerinin taşınması yerine sadece belirlenen kullanıcıların ve cihazların bulut kimlik yönetimi süreçlerine dahil edilmesi sağlanır. Özellikle büyük ve kompleks dizin yapılarında, tüm kullanıcı ve cihaz hesaplarını senkronize etmek hem yönetimsel yükü artırabilir hem de gereksiz lisans tüketimine yol açabilir. Filtreleme işlemi, yalnızca belirli bölümler, ekipler veya test kullanıcıları gibi spesifik grupların Entra ID ile eşitlenmesini sağlayarak daha kontrollü bir geçiş süreci oluşturur.

Senkronizasyon sürecinde hangi kullanıcıların dahil edilip edilmeyeceği, organizasyonel yapı, güvenlik gereksinimleri ve mevcut altyapıdaki dizin organizasyonuna göre belirlenmelidir. Rastgele bir senkronizasyon yerine belirli nesneleri filtreleyerek, gereksiz veri transferini en aza indirerek Entra ID üzerinde daha verimli bir kimlik yönetimi sağlanabilir. Özellikle hibrit senaryolar, pilot projeler veya belirli iş birimleri ile sınırlı test ortamları gibi kademeli geçişlerde, kapsam belirleme seçeneği daha da kritik hale gelir.

Bu yapılandırma, On-Prem Active Directory ve Entra ID arasındaki veri bütünlüğünü sağlarken, yalnızca gerekli olan kullanıcıların, cihazların veya diğer dizin nesnelerinin buluta taşınmasına izin verir. Böylece, senkronizasyon işlemi optimize edilerek, gereksiz hesapların Entra ID üzerine aktarılmasının ve yönetilmesinin önüne geçilmiş olur.

✅ Synchronize all users and devices

Bu seçenek, On-Prem Active Directory ortamındaki tüm kullanıcı ve cihaz nesnelerinin Microsoft Entra ID ile senkronize edilmesini sağlar. Herhangi bir filtreleme uygulanmaz, yani dizindeki tüm kullanıcı hesapları, güvenlik grupları, dağıtım listeleri ve cihaz nesneleri doğrudan Entra ID'ye taşınır.

Hybrid Identity mimarisinde, On-Prem Active Directory ile Entra ID arasındaki uyumluluğun korunması için varsayılan olarak kullanılan senkronizasyon modelidir. Dizin bütünlüğünün korunmasını ve tüm kullanıcıların merkezi bir kimlik yönetimi altında toplanmasını sağlar. Özellikle büyük ölçekli organizasyonlarda, tüm kullanıcıların ve cihazların Entra ID ortamına eksiksiz şekilde dahil edilmesi gerekiyorsa bu yöntem tercih edilir.

Pilot geçişler, belirli kullanıcı grupları veya aşamalı senkronizasyon gibi özel durumlar gerekmiyorsa, kurumsal ortamın tamamını bulut kimlik yönetimi süreçlerine dahil etmek için en uygun senaryodur. Senaryoya göre, gereksiz nesnelerin taşınmasını önlemek amacıyla ek filtreleme yapılması önerilir.

✅ Synchronize selected

Bu seçenek, yalnızca belirli bir Security Group içindeki kullanıcıları ve cihazları eşitlemek için kullanılır. Yalnızca bu grup içinde doğrudan bulunan nesneler Entra ID'ye aktarılır, Nested Groups desteklenmez. Yani, belirtilen grup başka bir grup içinde bulunuyorsa veya grup üyeleri farklı bir grup üzerinden eklenmişse, bu nesneler senkronizasyona dahil edilmez. Group alanına doğrudan grup adı girildiğinde Resolve butonu ile sistemdeki karşılığı doğrulanır ve otomatik olarak Distinguished Name (DN) formatına dönüştürülür. Eğer belirtilen isim yanlışsa veya böyle bir grup yoksa, çözümleme başarısız olur ve senkronizasyon gerçekleşmez.

Bu yöntem, özellikle pilot dağıtımlarda, test ortamlarında veya aşamalı geçiş senaryolarında belirli kullanıcı gruplarını eşitlemek için tercih edilir. Böylece yalnızca tanımlı kullanıcılar ve cihazlar Entra ID ile senkronize edilirken, geri kalan nesneler kapsam dışında tutulur.

Optional features

Optional Features, Entra Connect yapılandırmasını özelleştirmek ve belirli senaryolara uygun şekilde geliştirilmiş fonksiyonları etkinleştirmek için kullanılan ek özellikler kümesidir. Varsayılan senkronizasyon, temel kullanıcı ve grup nesnelerini On-Prem Active Directory'den Entra ID'ye taşırken, bu özellikler belirli ihtiyaçları karşılamak için ekstra işlevsellik ekler. Seçilen her özellik, arka planda belirli replikasyon mekanizmalarını, veri dönüşümlerini veya yazma senaryolarını tetikler. Bu yüzden her seçeneğin, ortamın mimarisi ve güvenlik politikalarıyla uyumlu olması gerekir.

Herhangi bir Optional Feature etkinleştirildiğinde, Entra Connect belirlenen politikalar doğrultusunda ek veri senkronizasyonları yapar. Bazı özellikler, Entra ID'ye tek yönlü veri aktarımı sağlarken, bazıları çift yönlü replikasyon içerir. Örneğin, Password Hash Synchronization kullanıldığında, kullanıcıların On-Prem Active Directory'deki şifre Hash’leri belirli bir dönüşüm işleminden geçirilerek Entra ID'ye taşınır. Ancak, Password Writeback aktif hale getirilirse, Entra ID üzerinden değiştirilen şifreler geri yazılarak On-Prem Active Directory ile senkronize edilir. Yani bazı seçenekler salt okunur (Read-Only) bir mekanizma sunarken, bazıları yazma yetkisi ile geri döngü senaryolarını destekler.

Bunun yanında, Exchange Hybrid Deployment, Device Writeback ve Group Writeback gibi seçenekler, özellikle Hybrid senaryolarda veya On-Prem ve bulut ortamının paralel çalıştığı yapılarda büyük avantaj sağlar. Örneğin, Exchange Hybrid Deployment, On-Prem Exchange ile Entra ID arasında doğrudan entegrasyon sağlayarak Mailbox yönetimi, Free/Busy durumu gibi özellikleri bulut ve yerel ortam arasında senkronize eder. Device Writeback, Entra ID'de oluşturulan cihaz kayıtlarının On-Prem Active Directory'ye geri yazılmasını sağlayarak Hybrid Join yapılandırmalarında cihaz yönetimini kolaylaştırır.

Bu ek özellikler arasından seçim yapılırken, yalnızca mevcut ortamda gerçekten ihtiyaç duyulan fonksiyonların etkinleştirilmesi gerekir. Gereksiz seçeneklerin açılması, gereksiz replikasyon trafiği oluşturabilir, güvenlik risklerini artırabilir veya senkronizasyon süreçlerini karmaşık hale getirebilir. Bu yüzden her bir opsiyonun ne yaptığı ve nasıl çalıştığı iyi anlaşılmalıdır.

✅ Exchange Hybrid Deployment

Exchange Hybrid Deployment, On-Prem Exchange ile Exchange Online arasında senkronize bir yapı kurarak, her iki ortamın da uyum içinde çalışmasını sağlar. Mailbox yönetimi, Free/Busy bilgisi, Mail Flow ve Hybrid Modern Authentication gibi bileşenler bu entegrasyon sayesinde ortak bir mimari altında çalışabilir. Kullanıcıların On-Prem Exchange’deki Mailbox'larını Exchange Online’a taşımadan bulut servislerini kullanabilmesini sağlayarak, posta kutularının farklı ortamlarda sorunsuz çalışmasına olanak tanır.

Bu yapılandırma aktif hale getirildiğinde, Entra Connect kullanıcı nesnelerinin senkronizasyonunu gerçekleştirirken, On-Prem Exchange ile ilgili belirli Attribute’leri de Entra ID'ye taşır. Bunlar arasında mail, proxyAddresses, msExchRecipientTypeDetails gibi birçok önemli veri bulunur. Bu senkronizasyon, ortamın tamamen buluta taşınmasına gerek kalmadan Office 365 servislerinden yararlanmayı mümkün kılar. Ayrıca, Hybrid Configuration Wizard (HCW) aracılığıyla On-Prem Exchange ile Exchange Online arasında güvenli bir Mail Flow sağlanır ve yönlendirme kuralları belirlenir.

Hibrit model, On-Prem Exchange’in yeteneklerini koruyarak yönetim ve denetim süreçlerini yerel altyapıda tutmaya devam etmek isteyen yapılar için idealdir. Aynı zamanda, Posta Kutusu Migration işlemleri için gerekli bağlantıları kurarak kesintisiz geçişler yapılmasını sağlar. DirSync ve OAuth tabanlı Hybrid Modern Authentication, güvenli erişimi sağlarken, Hybrid Agent gibi bileşenler iç Network üzerinde ilave yapılandırmalar gerektirmeden hibrit entegrasyonun kurulmasını kolaylaştırır.

Bu özellik etkinleştirildiğinde, Active Directory üzerindeki kullanıcı nesneleri Exchange Online ile entegre olacak şekilde hazırlanır ve Mailbox taşıma işlemleri için gereken Remote Routing Address (RRA) gibi eklemeler otomatik olarak gerçekleştirilir. Entegrasyon sayesinde, kurum içi kullanıcılar On-Prem Exchange veya Exchange Online'da barınan posta kutularına erişirken herhangi bir fark hissetmeden iletişimi sürdürebilir.

✅ Exchange Mail Public Folders

Exchange Mail Public Folders, On-Prem Exchange üzerindeki Public Folder nesnelerinin Entra ID ile senkronize edilmesini sağlayarak, hibrit bir yapıda her iki ortamın da tutarlı kalmasını mümkün kılar. Özellikle Hybrid Deployment senaryolarında, On-Prem Exchange ve Exchange Online kullanıcılarının ortak bir Public Folder yapısını kullanabilmesini sağlamak için gereklidir.

Bu seçenek etkinleştirildiğinde, Public Folder nesneleri Active Directory üzerinden Entra ID'ye taşınır ve Exchange Online ortamında On-Prem Exchange'de barındırılan Public Folder’lara erişimi yönetmek için gerekli yapılandırmalar gerçekleştirilir. Mail-Enabled Public Folder nesneleri Entra ID üzerinde tanımlandığında, kullanıcılar Exchange Online veya On-Prem Exchange'de olmalarına bakılmaksızın bu klasörleri kullanmaya devam edebilir.

Hybrid yapıdaki en büyük avantajlardan biri, geçiş sırasında On-Prem Exchange üzerinde barınan Public Folder’ların Exchange Online tarafına taşınmadan senkronize edilerek kullanıcılara kesintisiz erişim sağlamasıdır. Bu süreçte proxyAddresses, mailNickname, legacyExchangeDN gibi Public Folder'larla ilgili kritik Attribute’ler Entra ID ile eşleştirilir. Ayrıca, Mail Flow ve Permission Mapping süreçleri sayesinde, Public Folder’lar Exchange Online kullanıcıları için erişilebilir hale gelirken, mevcut izinler korunur ve yeniden yapılandırma gereksinimi en aza indirilir.

Bu özellik, özellikle On-Prem Exchange'den tam bir geçiş yapmayı planlamayan ancak Public Folder’ların entegrasyonunu sağlamak isteyen ortamlar için kullanışlıdır. Senkronizasyon tamamlandıktan sonra, kullanıcılar Outlook veya OWA (Outlook on the Web) üzerinden herhangi bir fark hissetmeden Public Folder'lara erişebilir.

✅ Microsoft Entra ID App and Attribute Filtering

Microsoft Entra ID App and Attribute Filtering, belirli uygulamalar için hangi Attribute’lerin Entra ID ile senkronize edileceğini kontrol etmeye yarar. Varsayılan yapılandırmada, On-Prem Active Directory’den Entra ID’ye taşınan nesnelerin tüm desteklenen Attribute’leri senkronize edilir. Ancak her uygulamanın tüm bu verilere ihtiyacı olmayabilir veya güvenlik gereksinimlerine bağlı olarak belirli Attribute’lerin dışarıya çıkmaması istenebilir.

Bu seçenek etkinleştirildiğinde, belirli uygulamalar için yalnızca gerekli olan Attribute’ler senkronize edilir ve gereksiz olanlar dışarıda bırakılır. Örneğin, belirli bir SaaS uygulaması sadece UserPrincipalName, mail ve displayName gibi temel Attribute’lere ihtiyaç duyuyorsa, yalnızca bu veriler senkronize edilir ve gereksiz olan extensionAttribute, telephoneNumber, streetAddress gibi bilgilerin bulut tarafına taşınması engellenebilir.

En önemli avantajlarından biri, gereksiz veri senkronizasyonunu önleyerek Entra ID üzerindeki veri hacmini optimize etmesidir. Bu durum hem senkronizasyon süreçlerini hızlandırır hem de gereksiz veri işlenmesini engelleyerek performans iyileştirmesi sağlar. Aynı zamanda, hassas verilerin gereksiz yere buluta taşınmasını önleyerek veri güvenliği açısından da ek bir kontrol mekanizması sunar.

Uygulama bazlı Attribute filtrelemesi, özellikle HR sistemleri, finansal uygulamalar veya belirli SaaS platformları gibi hassas kullanıcı verileri içeren servisler için oldukça kullanışlıdır. Gereksiz veri senkronizasyonunu önlemek, aynı zamanda API çağrıları sırasında gereksiz yük oluşturmadan hedef uygulamaların sadece ihtiyaç duyduğu verileri işlemesini sağlayarak entegrasyon süreçlerini de kolaylaştırır.

✅ Password Hash Synchronization

Password Hash Synchronization, On-Prem Active Directory'de bulunan kullanıcıların şifrelerinin Hash’lenmiş versiyonunu Entra ID'ye senkronize ederek, bulut tabanlı kimlik doğrulama süreçlerinde kullanılmasını sağlar. Ancak bu işlem doğrudan kullanıcı şifrelerini değil, tek yönlü bir Hash değerini Entra ID'ye gönderir. Hash değeri, ekstra bir güvenlik katmanı olarak ek bir dönüşüm sürecinden geçirilir ve bu sayede orijinal şifreyi doğrudan elde etmek mümkün olmaz.

Salt okunur bir yöntem olduğu için, Entra ID tarafında bir parola değişikliği yapılırsa, bu değişiklik On-Prem Active Directory'ye geri yazılmaz. Kullanıcı şifresinin değişmesi gerekiyorsa, bu işlem On-Prem Active Directory’de yapılmalı ve değişiklik yeniden senkronize edilmelidir. Bununla birlikte, Password Hash Synchronization’ın temel avantajı, ek bir altyapı gerektirmeden Entra ID’ye oturum açmayı mümkün kılmasıdır. Kullanıcı, On-Prem Active Directory kimlik bilgilerini kullanarak doğrudan bulut tabanlı servislerde kimlik doğrulama yapabilir.

Pass-Through Authentication seçilmiş olmasına rağmen Password Hash Synchronization seçeneğinin hala listelenmesi, bu özelliğin tamamen devre dışı kalmadığını gösterir. Password Hash Synchronization, Pass-Through Authentication ile birlikte opsiyonel bir yedekleme mekanizması olarak yapılandırılabilir. Normalde, Pass-Through Authentication etkin olduğunda kimlik doğrulama talepleri doğrudan On-Prem Active Directory üzerinden geçer. Ancak, On-Prem ortamında bir erişim sorunu yaşanırsa ve Pass-Through Authentication yanıt veremez hale gelirse, Password Hash Synchronization etkinleştirilmişse Entra ID devreye girerek oturum açma işlemini Hash’lenmiş şifreler üzerinden gerçekleştirir. Bu sayede, On-Prem altyapısındaki geçici kesintiler, kullanıcı oturum açma deneyimini tamamen engellemez.

✅ Password Writeback

Password Writeback, Entra ID üzerinde gerçekleştirilen şifre değişikliklerinin On-Prem Active Directory'ye geri yazılmasını sağlayarak çift yönlü senkronizasyon oluşturur. Kullanıcılar, Entra ID Self-Service Password Reset (SSPR) veya diğer bulut tabanlı mekanizmalar aracılığıyla şifrelerini güncellediğinde, bu değişiklik anında On-Prem Active Directory'ye iletilir. Böylece, bulut ortamında yapılan şifre değişiklikleri, On-Prem kaynaklara erişimi kesintiye uğratmadan güncellenmiş olur.

Bu özellik etkinleştirildiğinde, Entra Connect yazılımı şifre değişikliklerini yakalar ve güvenli bir kanal üzerinden On-Prem Active Directory’ye iletir. Şifre değişiklikleri, On-Prem ortamındaki mevcut Group Policy veya Fine-Grained Password Policy kurallarına uygunluk açısından denetlenir. Eğer politika ihlali söz konusuysa, yazma işlemi başarısız olur ve kullanıcı bilgilendirilir.

Özellikle Hybrid senaryolarda, kullanıcının hem On-Prem hem de Entra ID üzerinde tutarlı bir kimlik yönetimi deneyimi yaşamasını sağlar. Böylece, Entra ID tarafında şifre değiştirildiğinde, VPN bağlantısına ihtiyaç duymadan veya bir IT ekibine başvurmadan On-Prem oturum açma işlemleri için aynı kimlik bilgileri kullanılabilir.

✅ Group Writeback

Group Writeback, Entra ID içinde oluşturulan veya güncellenen grupların On-Prem Active Directory’ye geri yazılmasını sağlayarak hibrit yapılar için çift yönlü bir senkronizasyon mekanizması oluşturur. Özellikle Microsoft 365 Group’larının On-Prem Active Directory ortamında da yönetilebilir hale gelmesi için kullanılır. Bu özellik etkinleştirildiğinde, Entra ID üzerinde oluşturulan gruplar belirlenen Organizational Unit (OU) içine otomatik olarak yazılır ve On-Prem uygulamalar tarafından erişilebilir hale gelir.

Standart güvenlik grupları, dağıtım listeleri ve dinamik gruplar gibi nesneler de desteklenirken, en büyük avantajlarından biri Microsoft 365 Group’larının On-Prem Active Directory’ye yazılmasını mümkün kılmasıdır. Böylece, On-Prem Exchange veya SharePoint gibi kaynaklara erişimi yönetmek için Entra ID'de oluşturulan grupların kullanılması sağlanır.

Grup üyelikleri sürekli olarak senkronize edilir ve değişiklikler anlık olarak On-Prem Active Directory’ye yansıtılır. Ancak, On-Prem ortamda yapılan değişikliklerin Entra ID'ye geri yazılması mümkün değildir, yani süreç tek yönlü çalışır. Group Writeback etkinleştirildiğinde, senkronize edilen grupların On-Prem Active Directory’de nasıl adlandırılacağı ve hangi OU içine yerleştirileceği gibi ayarlar yapılandırılmalıdır.

✅ Device Writeback

Device Writeback, Entra ID üzerinde kaydedilen cihaz nesnelerinin On-Prem Active Directory'ye geri yazılmasını sağlayarak hibrit ortamda cihaz yönetimini tek bir noktadan yürütmeyi mümkün hale getirir. Özellikle Hybrid Join yapılandırmalarında kullanılır ve Entra ID’ye kaydedilen cihazların On-Prem ortamda kimlik doğrulama süreçlerine dahil edilmesine olanak tanır.

Bu özellik aktif hale getirildiğinde, Entra ID tarafından yönetilen cihazlar belirlenen Organizational Unit (OU) içine yazılır ve On-Prem Group Policy veya diğer yönetim araçları ile entegre edilebilir hale gelir. Özellikle Windows Hello for Business, Conditional Access ve Hybrid Device Management gibi çözümlerle birlikte kullanıldığında, On-Prem kimlik doğrulama mekanizmaları ile bulut tabanlı güvenlik politikalarının kesintisiz bir şekilde uygulanmasına yardımcı olur.

Cihaz yazma işlemi yalnızca Entra ID’ye kaydedilen ve Hybrid Join destekleyen makineleri kapsar. Yani, Entra-Registered (Azure AD Join olmadan sadece Entra ID’ye kaydedilmiş) cihazlar bu sürecin bir parçası değildir. Bununla birlikte, yazılan cihaz nesneleri sadece On-Prem Active Directory’ye kayıt edilir, ancak On-Prem ortamda değiştirilmeleri veya silinmeleri Entra ID üzerinde bir senkronizasyon oluşturmaz. Tek yönlü çalışan bir mekanizma olduğu için, On-Prem Active Directory’den kaldırılan cihazların Entra ID’den otomatik olarak silinmesi gibi bir senaryo desteklenmez.

✅ Directory Extension Attribute Sync

Directory Extension Attribute Sync, varsayılan senkronizasyon kapsamına dahil edilmeyen özel Active Directory Attribute’lerinin Entra ID ile eşitlenmesini sağlayarak organizasyonların özel gereksinimlerine uyum sağlamasına imkan tanır. On-Prem Active Directory üzerinde yer alan, ancak standart senkronizasyon sürecinde Entra ID’ye aktarılamayan ek bilgilerin bulut ortamına taşınmasına yardımcı olur.

Bu özellik, genellikle organizasyon içinde özel olarak kullanılan kimlik yönetimi çözümleri, özel uygulamalar veya entegrasyon gereksinimleri için tercih edilir. Örneğin, bir şirket çalışanlarının sistemlerde farklı erişim seviyelerini belirlemek için özel olarak tanımladığı bir Attribute, bu mekanizma sayesinde Entra ID’ye senkronize edilerek bulut tabanlı hizmetlerde kullanılabilir hale gelir.

Aktif hale getirildiğinde, senkronize edilecek özel Attribute’ler manuel olarak belirlenir ve yalnızca ihtiyaç duyulan nesneler Entra ID’ye aktarılır. Bu, gereksiz veri senkronizasyonunun önüne geçerek hem veri bütünlüğünü korur hem de gereksiz kaynak tüketimini engeller. Ancak bu Attribute’ler Entra ID’ye yazıldıktan sonra yalnızca bulut uygulamaları tarafından kullanılabilir; geri yazma veya değiştirme gibi bir senaryo desteklenmez.

Ben aşağıdaki Exchange Hybrid Deployment, Password Hash Synchronization ve Password Writeback seçeneklerini etkinleştirerek kuruluma devam ediyorum çünkü ortamda hem Exchange Hybrid entegrasyonu, hem de güvenilir bir kimlik doğrulama mekanizması sağlamak gerekiyor.

✔ Exchange Hybrid Deployment, On-Prem Exchange ile Exchange Online arasında entegrasyon sağlamak ve geçiş sürecini sorunsuz bir şekilde yönetebilmek için gerekli. Bunları etkinleştirmek, hem yönetim sürecini kolaylaştıracak hem de sistemin işleyişinde kopmaların önüne geçecek.

✔ Password Hash Synchronization, On-Prem Active Directory erişilemez hale gelse bile kullanıcıların Entra ID üzerinden oturum açabilmesini garanti altına almak için devrede olacak.

✔ Password Writeback ise, Entra ID'de yapılan şifre değişikliklerinin On-Prem Active Directory’ye geri yazılmasını sağlayarak tutarsızlıkların önüne geçecek ve tek yönlü bir yönetim yerine çift yönlü senkronizasyonu mümkün kılacak.

Enable sigle sign-on

Enable Single Sign-On (SSO) adımı, kullanıcıların On-Prem Active Directory kimlik bilgilerini kullanarak Entra ID'ye oturum açmasını sağlar. Bu yapılandırma, kullanıcı deneyimini iyileştirmek ve parola tekrar girişlerini ortadan kaldırmak için kullanılır. Süreç birkaç adımdan oluşur:

İlk ekranda, SSO için yapılandırılacak olan Active Directory Forest bilgisi görüntülenir. Burada firatboyan.local ormanında SSO etkinleştirilmek isteniyor. Enter Credentials butonu, süreci başlatmak için kullanılır. Bu aşamada, Entra Connect'in gerekli değişiklikleri yapabilmesi için bir Domain Administrator yetkisine sahip bir hesap gereklidir.



Enter Credentials butonuna tıklandığında, ikinci ekran belirir ve Active Directory Forest için Administrator Credentials girilmesi istenir. Ben burada FIRATBOYAN\Administrator kullanıcısı ile giriş yapıyorum. Gerekli bilgiler girildikten sonra OK butonuna basarak doğrulama işlemini başlatıyorum.



Son ekranda, kimlik doğrulama başarılı şekilde tamamlanmış ve SSO etkinleştirme işlemi onaylanmıştır. Enter Credentials butonunun yanında yeşil bir onay işareti görünerek yapılandırmanın doğru şekilde gerçekleştirildiği belirtilir. Next butonu artık aktif hale gelmiştir ve kurulum bir sonraki adıma geçmeye hazırdır.

Ready to configure

Ready to configure adımında, kurulum sihirbazı mevcut bileşenleri kontrol ediyor ve yapılandırmanın tamamlanması için gerekli olan işlemleri listelemeye hazırlanıyor.

Bu adımdaki süreç, şu şekilde ilerliyor:

» Sistem, kurulum sırasında belirlenen bağlantılar, eşitleme yöntemleri ve Single Sign-On (SSO) gibi ayarların uygulanabilir olup olmadığını test ediyor.

» Mevcut bileşenleri kontrol ediyor ve eksik veya hatalı bir yapılandırma olup olmadığını anlamaya çalışıyor.

» Arka planda Entra ID ile On-Prem Active Directory arasındaki bağlantıları doğruluyor.

» Hata tespiti yapılıyor, eğer kritik bir eksiklik varsa kullanıcıya bildirilecek.

Bu aşamada herhangi bir hata oluşmazsa, yapılandırmanın bir sonraki adımına geçilebilir ve Install butonu aktif hale gelir. Kurulum ilerledikçe, eşitleme ve kimlik doğrulama için gerekli hizmetler sunucuya yüklenerek çalıştırılacaktır.



Entra Connect kurulumunun son yapılandırma adımlarına geldik. Bir önceki aşamada sistem, yüklenen bileşenleri kontrol ederken, bu ekranda kurulumu tamamlamak için yapılacak işlemler listelenmiş durumda.

Burada yapılacak işlemler arasında:

» Senkronizasyon servislerinin yapılandırılması.
» Pass-Through Authentication için Authentication Agent’ın kurulması.
» Pass-Through Authentication’ın etkinleştirilmesi.
» Single Sign-On’un aktif hale getirilmesi.
» Source Anchor Attribute’un yapılandırılması
» On-Prem Active Directory ve Entra ID arasında bağlantının yapılandırılması.
» Password Hash Synchronization ve Password Writeback özelliklerinin etkinleştirilmesi.
» Entra ID Export Deletion Threshold’un (500) ayarlanması

Ayrıca, Start the synchronization process when configuration completes kutucuğu işaretlenmiş durumda. Bu, yapılandırma tamamlandıktan sonra senkronizasyonun otomatik olarak başlatılacağı anlamına geliyor. Eğer bu seçenek kaldırılırsa, ilk senkronizasyon manuel olarak başlatılmalıdır.

Ekranın sağ alt köşesinde Install butonu artık aktif hale gelmiş durumda. Bu butona basıldığında yukarıdaki yapılandırmalar uygulanarak Entra Connect kurulumu tamamlanacak.

Configuring

Kurulum sürecinde Configuring aşamaları, Microsoft Entra Connect Sync aracının ortamda entegrasyonu sağlamak için gerçekleştirdiği kritik yapılandırma adımlarını içerir. Her aşamada farklı bileşenler devreye alınarak, On-Premises Active Directory (AD) ile Microsoft Entra ID arasında kimlik senkronizasyonu ve kimlik doğrulama işlemleri yapılandırılır.

📌 Verifying Synchronization Service Connectivity to Microsoft Entra ID

Bu aşamada Microsoft Entra Connect Sync’in Microsoft Entra ID ile bağlantısı test ediliyor. Bağlantı başarılıysa bir sonraki adıma geçiliyor. Eğer bağlantı sağlanamazsa, Retry butonu ile tekrar deneme yapılabilir.

📌 Creating the Microsoft Entra ID Synchronization Account

Bu aşamada, senkronizasyon işlemlerini yönetmek için Microsoft Entra ID üzerinde On-Premises Directory Synchronization Service Account oluşturuluyor.

📌 Enabling Single Sign-On (SSO)

Eğer Seamless Single Sign-On (SSO) aktif edilmişse, bu aşamada SSO yapılandırması yapılıyor. SSO etkinleştirildiğinde:

» Kullanıcılar tekrar tekrar parola girmeden sistemlere giriş yapabiliyor.
» Kerberos tabanlı kimlik doğrulama kullanılıyor.
» GPO ile SSO yapılandırması otomatik olarak istemcilere dağıtılıyor.

Bu aşama tamamlandıktan sonra, sistem On-Premises AD ile Entra ID arasında kesintisiz kimlik doğrulama sağlayabilecek hale gelir.

📌 Installing Microsoft Entra Connect Sync Authentication Agent for Pass-Through Authentication

Eğer Pass-Through Authentication (PTA) etkinleştirilmişse, Authentication Agent yükleniyor. Bu ajan, On-Premises AD kullanıcılarının kimlik doğrulamasını şifreler buluta taşınmadan doğrudan Entra ID ile yapmasını sağlar.

📌 Configuring Microsoft Entra Connect Sync Authentication Agent for Pass-Through Authentication

Yüklenen PTA Agent, Microsoft Entra ID ile haberleşecek şekilde konfigüre ediliyor. Bu aşamada, Entra ID’ye bağlantı sağlanamazsa Retry seçeneği ile tekrar denenebilir.

📌 Checking for Installed Components

Kurulum başladığında, gerekli bileşenlerin eksiksiz olup olmadığı tekrar doğrulanıyor. Eğer herhangi bir eksiklik varsa, kurulum hata vererek ilerlemeyecektir.

📌 Configuring Microsoft Entra Connect Sync

Bu aşamada Microsoft Entra Connect Sync yapılandırılıyor. Synchronization Service Manager (miisclient.exe) üzerinden gerekli servisler başlatılıyor ve eşleşme kuralları uygulanıyor.

📌 Configuring (M365x03533948.onmicrosoft.com - AAD)

Bu aşamada, AAD Connector ve AD Connector’ın konfigürasyonu tamamlanıyor. Bu işlem, On-Premises AD ve Microsoft Entra ID arasındaki veri senkronizasyonunu sağlayan bağlantının oluşturulmasını sağlar.

📌 Updating Synchronization Rules (M365x03533948.onmicrosoft.com - AAD)

Bu aşamada Synchronization Rules Editor kullanılarak senkronizasyon kuralları güncelleniyor. Bu kurallar:

» Hangi kullanıcıların ve grupların senkronize edileceği.
» Hangi attribute'ların eşleştirileceği.
» Hangi organizasyon birimlerinin (OU) senkronize edileceği.

Bu yapılandırma, On-Premises AD ile Microsoft Entra ID arasındaki veri akışını yönetmek için kritik bir adımdır.

📌 Configuring (firatboyan.local)

Bu aşamada, On-Premises Active Directory (AD) yapısında bulunan firatboyan.local domain’i için senkronizasyon yapılandırması gerçekleştiriliyor. Bu işlem sırasında:

» Domain Controller’lar ile bağlantı kuruluyor.
» Organizational Unit (OU) ve kullanıcı filtreleme ayarları uygulanıyor.
» User Principal Name (UPN) ve Source Anchor (mS-DS-ConsistencyGuid) gibi attribute eşleşmeleri yapılıyor.
» Gruplar ve diğer dizin nesneleri için senkronizasyon kuralları işleniyor.

Bu adım, On-Premises AD ile Microsoft Entra ID arasındaki temel bağlantıyı oluşturur. Eğer burada bir hata oluşursa, sistem Retry seçeneğini sunarak tekrar deneme yapılmasına izin verebilir. Bu aşamanın başarıyla tamamlanması, On-Premises AD kullanıcılarının ve gruplarının Entra ID üzerinde senkronize edilmesini sağlar.

Configuration complete

Kurulum tamamlandı ve Entra Connect başarıyla yapılandırıldı. Artık On-Prem Active Directory ile Entra ID arasındaki senkronizasyon aktif hale getirildi ve ilk senkronizasyon süreci başlatıldı. Bu noktadan itibaren, kullanıcı hesapları, gruplar ve diğer dizin nesneleri belirlenen eşitleme politikalarına uygun şekilde bulut ortamına aktarılacak.

Bu yapılandırma sürecinde, mS-DS-ConsistencyGuid Source Anchor olarak tanımlandı. Bu, On-Prem Active Directory’deki her bir nesneyi Entra ID’de benzersiz bir şekilde tanımlamak için kullanılan bir Attribute’dür. Böylece, özellikle hibrit ortamlarda yaşanabilecek Identity Matching (kimlik eşleşme) problemleri ortadan kaldırılmış oldu. Eğer On-Prem Active Directory’de bir nesne silinip yeniden oluşturulursa, aynı Source Anchor değerine sahip olduğu sürece bu nesne Entra ID’de aynı hesap olarak kabul edilecek ve yeni bir hesap olarak algılanmayacak.

Ayrıca Single Sign-On (SSO) aktif hale getirildi. Bu, domain’e katılmış ve oturum açmış olan cihazların Entra ID kimlik doğrulaması sırasında ek bir giriş yapmasına gerek kalmadan oturum açabilmesini sağlıyor. Bu özelliğin tam anlamıyla çalışabilmesi için, Group Policy aracılığıyla ek yapılandırmaların yapılması gerekiyor. Entra ID tarafından desteklenen Seamless SSO konfigürasyonu tamamlandığında, kullanıcılar herhangi bir parola girişi yapmadan Entra ID tabanlı servislere erişebilecek.

Kurulum sırasında ayrıca Pass-Through Authentication etkinleştirildi. Bu sayede, On-Prem Active Directory kimlik doğrulama sürecinin doğrudan kullanılmasına olanak tanındı. Kullanıcıların kimlik doğrulama istekleri, Entra ID yerine On-Prem Active Directory’ye yönlendirilerek burada doğrulandıktan sonra oturum açmaları sağlanacak. Böylece, kullanıcıların parolaları bulutta tutulmaz, ancak On-Prem Active Directory erişilebilir olduğu sürece kimlik doğrulama devam eder. Eğer On-Prem Active Directory erişilemez hale gelirse, bu noktada Password Hash Synchronization devreye girerek kullanıcıların Entra ID üzerinde oturum açmasına olanak tanıyabilir.

Password Writeback özelliği de etkinleştirildi. Kullanıcılar, Entra ID üzerinden şifrelerini değiştirdiklerinde, bu değişiklik On-Prem Active Directory’ye geri yazılacak. Böylece hem bulut hem de On-Prem Active Directory ortamında tek bir şifre ile giriş yapılabilecek ve şifre yönetimi merkezi hale getirilecek.

Tüm bu ayarlar, senkronizasyonun tamamlanmasıyla birlikte aktif hale gelmiş durumda. Bundan sonra, On-Prem Active Directory ile Entra ID arasında belirlenen aralıklarla senkronizasyon işlemi otomatik olarak gerçekleştirilecek. Bu aşamada, Azure Portal veya Office 365 portalına giriş yapılarak, senkronize edilen hesapların doğrulaması yapılabilir ve herhangi bir hata olup olmadığı kontrol edilebilir.

Bu yapılandırma ile Hybrid Identity Management (hibrit kimlik yönetimi) sağlıklı bir şekilde devreye alınmış oldu.

Microsoft Entra ID Connect Sync İle İlk Synchronization

Kurulum tamamlandı ve On-Premises Active Directory (AD) ile Microsoft Entra ID arasındaki kullanıcı senkronizasyonu başarıyla gerçekleştirildi. Synchronization Service Manager ekranında görülen detaylar, 264 kullanıcının On-Premises AD’den Entra ID’ye başarıyla senkronize edildiğini doğruluyor.

Özellikle Users OU altında yer alan Ayşe Yıldız, Mehmet Aksoy, Zeynep Kaya, Ali Demir, Fatma Şahin gibi kullanıcı hesaplarının Entra ID’ye aktarıldığı görülüyor. Bu da artık bu kullanıcıların Microsoft 365 ve diğer Entra ID tabanlı servislerde oturum açabileceğini gösteriyor.

Bundan sonra bu kullanıcıların kimlik yönetimi Entra ID üzerinden yapılacak ve parolalar, On-Premises AD ile senkronize olmaya devam edecek. Entra ID üzerindeki kullanıcı hesaplarının sağlıklı bir şekilde senkronize edildiğini doğrulamak için Azure AD Connect Sync Health gibi izleme araçları kullanılabilir.




On-Premises Active Directory (AD) ile Microsoft Entra ID arasındaki entegrasyon tamamlandı ve dizin nesneleri sorunsuz şekilde senkronize edildi. Microsoft Entra ID Connect Tool, AD ortamındaki kullanıcı ve grup bilgilerini belirlenen senkronizasyon kurallarına göre Microsoft Entra ID’ye aktardı. Synchronization Service Manager üzerinden senkronizasyon süreci izlendiğinde, Full Import ve Full Synchronization işlemlerinin başarılı olduğu ve toplam 264 nesnenin Entra ID’ye taşındığı görüldü. Kullanıcı hesapları Users OU üzerinden aktarılırken, dizin içindeki Organizational Unit (OU) yapısına sadık kalındı.

Entra ID Admin Center üzerinde, senkronize edilen hesaplarla birlikte On-Premises Directory Synchronization Service Account da otomatik olarak oluşturuldu. Bu hesap, Microsoft Entra Connect Sync bileşeninin senkronizasyon işlemlerini yürütmesi için sistem tarafından tanımlandı. Eğer Pass-Through Authentication (PTA) veya Password Hash Synchronization (PHS) etkinleştirildiyse, bu hesap parola doğrulama veya yönlendirme süreçlerinde kullanılarak On-Premises AD ile Entra ID arasında kimlik yönetimini sağlayacaktır.

Kurulum tamamlandıktan sonra senkronizasyon sürecinin stabil çalıştığını doğrulamak için Synchronization Service Manager üzerinden senkronizasyon günlükleri kontrol edilebilir. Azure AD Connect Sync Health aracıyla replikasyon durumu ve olası hatalar izlenebilir. Entra ID’ye aktarılan kullanıcıların başarılı şekilde oturum açtığını doğrulamak için test hesaplarıyla Microsoft 365 servislerine giriş yapılabilir. Eğer Seamless Single Sign-On (SSO) yapılandırıldıysa, kullanıcıların ek kimlik doğrulama gerektirmeden oturum açıp açmadığı test edilmelidir.

Bu aşamadan sonra, senkronizasyonun sürekli ve kesintisiz çalışmasını sağlamak için Azure AD Connect Sync Scheduler’ın uygun aralıklarla çalıştığını doğrulamak, gerekli durumlarda manuel delta sync işlemleri gerçekleştirmek ve replikasyon hataları için Event Viewer Log'larını düzenli kontrol etmek kritik olacaktır.

Faydalı olması dileğiyle...