Aracılığıyla paylaş

Microsoft Entra hibrit katılım uygulamanızı planlayın

  • Makale

Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamınız varsa ve AD DS etki alanına katılmış bilgisayarlarınızı Microsoft Entra Id'ye eklemek istiyorsanız, Microsoft Entra karma katılımını yaparak bu görevi gerçekleştirebilirsiniz.

Bahşiş

Şirket içi kaynaklara çoklu oturum açma (SSO) erişimi, Microsoft Entra'ya katılmış cihazlar için de kullanılabilir. Daha fazla bilgi için bkz. Şirket içi kaynaklara yönelik SSO, Microsoft Entra'ya katılmış cihazlarda nasıl çalışır.

Önkoşullar

Bu makalede, Microsoft Entra IDcihaz kimliği yönetimine giriş hakkında bilgi sahibi olduğunuz kabul edilmektedir.

Not

Windows 10 veya daha yeni bir Microsoft Entra karma birleşimi için gereken en düşük etki alanı denetleyicisi (DC) sürümü Windows Server 2008 R2'dir.

Microsoft Entra karma katılmış cihazlar, etki alanı denetleyicilerinize düzenli aralıklarla ağ görüş hattı gerektirir. Bu bağlantı olmadan cihazlar kullanılamaz hale gelir.

Görüş hattı olmadığı durumlarda etki alanı denetleyicilerinizin kesinti yaşayacağı senaryolar şunlardır:

  • Cihaz parolası değişikliği
  • Kullanıcı parolası değişikliği (Önbelleğe alınan kimlik bilgileri)
  • Güvenilen Platform Modülü (TPM) sıfırlaması

Uygulamanızı planlama

Hibrit Microsoft Entra uygulamanızı planlamak için şunları hakkında bilgi sahibi olun:

  • Desteklenen cihazları gözden geçirme
  • Bilmeniz gerekenleri gözden geçirin
  • Microsoft Entra karma katılımının hedeflenen dağıtımını gözden geçirin
  • Kimlik altyapınıza göre senaryonuzu seçin
  • Microsoft Entra karma katılımı için şirket içi Microsoft Windows Server Active Directory kullanıcı asıl adı (UPN) desteğini gözden geçirin

Desteklenen cihazları gözden geçirme

Microsoft Entra karma birleştirme, çok çeşitli Windows cihazlarını destekler.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Not: Azure Ulusal bulut müşterileri sürüm 1803 gerektirir
  • Windows Server 2019

En iyi uygulama olarak Microsoft, Windows'un en son sürümüne yükseltmenizi önerir.

Bilmeniz gerekenleri gözden geçirin

Desteklenmeyen senaryolar

  • Windows Server'ın Etki Alanı Denetleyicisi (DC) rolü çalıştırdığı durumlarda Microsoft Entra hibrid katılımı desteklenmez.
  • Sunucu Çekirdeği işletim sistemi herhangi bir cihaz kaydını desteklemez.
  • Kullanıcı Durumu Geçiş Aracı (USMT), cihaz kaydıyla çalışmaz.

İşletim sistemi görüntülemeyle ilgili dikkat edilmesi gerekenler

  • Sistem Hazırlama Aracı'na (Sysprep) güveniyorsanız ve yükleme için Windows 10 1809 öncesi bir görüntü kullanıyorsanız, görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılımı olarak kaydedilmiş bir cihazdan olmadığından emin olun.

  • Daha fazla VM oluşturmak için bir Sanal Makine (VM) anlık görüntüsü kullanıyorsanız, anlık görüntünün Microsoft Entra ID'ye Microsoft Entra karma katılmış olarak kaydedilmiş bir VM'den olmadığından emin olun.

  • Birleşik Yazma Filtresi ve benzeri, yeniden başlatma sırasında diskteki değişiklikleri temizleyen teknolojileri kullanıyorsanız, bunlar cihaz Microsoft Entra hibrit katılımı tamamlandıktan sonra uygulanmalıdır. Microsoft Entra hibrid birleştirme işlemi tamamlanmadan önce bu tür teknolojilerin etkinleştirilmesi, cihazın her yeniden başlatıldığında bağlantısının kesilmesine neden olur.

Microsoft Entra'ya kayıtlı durumda olan cihazları yönetme

Windows 10 veya daha yeni, etki alanına katılmış cihazlarınız kiracınıza Microsoft Entra kayıtlı ise, Microsoft Entra hibrit katılımlı ve Microsoft Entra kayıtlı cihazın çift durumuna neden olabilir. Bu senaryoya otomatik olarak çözüm getirmek için Windows 10 1803'e (KB4489894 uygulanmış) veya daha yeni bir sürüme yükseltmenizi öneririz. 1803 öncesi sürümlerde, Microsoft Entra hibrit bağlanmayı etkinleştirmeden önce Microsoft Entra kayıt durumu manuel olarak kaldırılmalıdır. 1803 ve üzeri sürümlerde, bu ikili durumu önlemek için aşağıdaki değişiklikler yapıldı:

  • Bir kullanıcının mevcut Microsoft Entra kayıtlı durumları, cihaz Microsoft Entra karmaya katıldıktan ve aynı kullanıcı günlüklerine katıldıktan sonraotomatik olarak kaldırılır. Örneğin, Kullanıcı A'nın cihazında Microsoft Entra kayıtlı bir durumu varsa, Kullanıcı A'nın ikili durumu ancak Kullanıcı A cihazda oturum açtığında temizlenir. Aynı cihazda birden çok kullanıcı varsa, bu kullanıcılar oturum açtığınızda çift durum tek tek temizlenir. Bir yönetici Microsoft Entra kayıtlı durumunu kaldırdıktan sonra, Microsoft Entra kaydı otomatik kayıt yoluyla başladıysa, Windows 10 cihazı Intune'dan veya diğer mobil cihaz yönetim (MDM) hizmetlerinden çıkarılır.
  • Cihazdaki herhangi bir yerel hesapta Microsoft Entra kayıt durumu bu değişiklikten etkilenmez. Yalnızca etki alanı hesapları için geçerlidir. Kullanıcı, alan kullanıcı olmadığı için yerel hesaplarda Microsoft Entra'nın kayıtlı durumu, kullanıcı oturum açtıktan sonra bile otomatik olarak kaldırılmaz.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin:"BlockAADWorkplaceJoin"=dword:00000001 öğesine aşağıdaki kayıt defteri değerini ekleyerek etki alanına katılmış cihazınızın Microsoft Entra kayıtlı olmasını engelleyebilirsiniz.
  • Windows 10 1803'te İş İçin Windows Hello yapılandırılmışsa, kullanıcının çift durumlu temizlemeden sonra İş İçin Windows Hello'yu yeniden yapılandırması gerekir. Bu sorun KB4512509 ile giderildi.

Not

Windows 10 ve Windows 11, Microsoft Entra kayıtlı durumunu yerel olarak otomatik olarak kaldırsa da, Intune tarafından yönetiliyorsa Microsoft Entra Id'deki cihaz nesnesi hemen silinmez. dsregcmd /statuskomutunu çalıştırarak Microsoft Entra kayıtlı durumunun kaldırılmasını doğrulayabilirsiniz.

Tek orman, birden çok kiracı için Microsoft Entra karma bağlantısı

Cihazları ilgili kiracılara Microsoft Entra karma katılımı olarak kaydetmek için kuruluşların Hizmet Bağlantı Noktası (SCP) yapılandırmasının Microsoft Windows Server Active Directory'de değil cihazlarda yapıldığından emin olması gerekir. Bu görevin nasıl yerine getirileceğine dair daha fazla bilgi, Microsoft Entra karma birleştirme hedefli dağıtım makalesi 'de bulunabilir. Kuruluşların belirli Microsoft Entra özelliklerinin tek bir ormanda, birden çok Microsoft Entra kiracı yapılandırmasında çalışmadığını anlaması önemlidir.

  • Cihaz geri yazım çalışmıyor. Bu yapılandırma, AD FS kullanılarak federasyona konulan şirket içi uygulamalar içinCihaz Tabanlı Koşullu Erişimi etkiler. Bu yapılandırma, Karma Sertifika Güveni modeli kullanılırkenİş İçin Windows Hello dağıtımını da etkiler.
  • Grupları geri yazma çalışmıyor. Bu yapılandırma, Office 365 Gruplarının Exchange'in yüklü olduğu bir ormana geri yazmayı etkiler.
  • Sorunsuz SSO çalışmıyor. Bu yapılandırma, Windows 10 uzantısı olmadan Firefox, Safari veya Chrome ile iOS veya Linux gibi tarayıcı platformlarını kullanan kuruluşlarda SSO senaryolarını etkiler.
  • Şirket İçi Microsoft Entra Parola Koruması çalışmıyor. Bu yapılandırma, Microsoft Entra ID'de depolanan aynı genel ve özel yasaklanmış parola listelerini kullanarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanı denetleyicilerine karşı parola değişiklikleri ve parola sıfırlama olayları yapma becerisini etkiler.

Dikkat edilmesi gereken diğer noktalar

  • Ortamınızda sanal masaüstü altyapısı (VDI) kullanılıyorsa bkz. Cihaz kimliği ve masaüstü sanallaştırma.

  • Microsoft Entra hibrit katılımı Federal Bilgi İşleme Standardı (FIPS) uyumlu TPM 2.0 için desteklenir ve TPM 1.2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1.2 varsa, Microsoft Entra karma katılımına devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan TPM'ler için FIPS modunu devre dışı bırakmak için herhangi bir araç sağlamaz. Destek için donanım OEM'inize başvurun.

  • Windows 10 1903 sürümünden itibaren, TPM sürüm 1.2, Microsoft Entra hibrit birleşimi ile kullanılmaz ve bu TPM'lere sahip cihazlar, TPM'leri yokmuş gibi değerlendirilir.

  • UPN değişiklikleri yalnızca Windows 10 2004 güncelleştirmesi başlatılırken desteklenir. Windows 10 2004 güncelleştirmesi öncesinde cihazlar için, kullanıcıların cihazlarında SSO ve Koşullu Erişim sorunları olabilir. Bu sorunu çözmek için Microsoft Entra ID'den cihaza katılmayı kaldırmanız (yükseltilmiş ayrıcalıklarla "dsregcmd /leave" komutunu çalıştırmanız) ve yeniden katılmanız (otomatik olarak gerçekleşir) gerekir. Ancak İş İçin Windows Hello ile oturum açmış olan kullanıcılar bu sorunla karşılaşmaz.

Hedeflenen Microsoft Entra karma katılımını gözden geçirin

Kuruluşlar, tüm kuruluş genelinde etkinleştirmeden önce Microsoft Entra'nın karma katılımının hedefli bir dağıtımını yapmak isteyebilir. Nasıl başaracağını anlamak için Microsoft Entra karma birleştirme hedefli dağıtım makalesini gözden geçirin.

Uyarı

Kuruluşlar, pilot gruplarındaki farklı rollerden ve profillerden bir kullanıcı örneği içermelidir. Hedeflenen ön dağıtım, tüm kuruluş için etkinleştirmeden önce planınızın çözmekte yetersiz kalabileceği sorunları belirlemenize yardımcı olur.

Kimlik altyapınıza göre senaryonuzu seçin

Microsoft Entra hibrit birleştirme, UPN'nin yönlendirilebilir veya yönlendirilemez olmasına bağlı olarak, hem yönetilen hem de federasyon ortamlarıyla çalışır. Desteklenen senaryolar hakkında tablo için sayfanın en altına bakın.

Yönetilen ortam

Yönetilen ortam, ya Parola Karması Eşitleme (PHS) ya da Geçiş Kimlik Doğrulaması (PTA) ile Sorunsuz Tek Oturum Açmayoluyla dağıtılabilir.

Bu senaryolar, kimlik doğrulaması (AuthN) için bir federasyon sunucusu yapılandırmanızı gerektirmez.

Not

Aşamalı dağıtım kullanılarak Bulut kimlik doğrulaması yalnızca Windows 10 1903 güncelleştirmesinde başlayarak desteklenir.

Federasyon ortamı

Federasyon ortamı, aşağıdaki gereksinimleri destekleyen bir kimlik sağlayıcısına sahip olmalıdır. Active Directory Federasyon Hizmetleri 'ni (AD FS) kullanan bir federasyon ortamınız varsa, aşağıdaki gereksinimler zaten desteklenir.

WS-Trust protokolü: Bu protokol, Microsoft Entra karma katılmış Windows cihazlarının kimliğini Microsoft Entra Kimliği ile doğrulamak için gereklidir. AD FS kullanırken aşağıdaki WS-Trust uç noktalarını etkinleştirmeniz gerekir:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Uyarı

adfs/services/trust/2005/windowstransport veya adfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulaması Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır. WS-Trust Windows uç noktalarını devre dışı bırakma hakkında daha fazla bilgi edinmek için, ara sunucuda Windows uç noktalarını devre dışı bırakma WS-Trust konusunabakınız. Hangi uç noktaların etkinleştirildiğini AD FS yönetim konsolu aracılığıyla Service>Endpointsaltında görebilirsiniz.

1.1.819.0 sürümünden itibaren Microsoft Entra Connect, Microsoft Entra karma birleşimini yapılandırmanıza yönelik bir sihirbaz sağlar. Sihirbaz, yapılandırma işlemini önemli ölçüde basitleştirmenizi sağlar. Microsoft Entra Connect'in gerekli sürümünü yüklemek sizin için bir seçenek değilse bkz. cihaz kaydını el ile yapılandırma . contoso.com onaylanmış bir özel etki alanı olarak kayıtlıysa, senkronize edilmiş şirket içi AD DS UPN son eki test.contoso.com gibi bir alt etki alanında bile olsa, kullanıcılar PRT alabilir.

Microsoft Entra hibrit katılımı için şirket içi Microsoft Windows Server Active Directory kullanıcılarının UPN desteğini gözden geçirin.

  • Yönlendirilebilir kullanıcı UPN'leri: Yönlendirilebilir bir UPN, bir alan adı kayıt kuruluşuna kayıtlı ve doğrulanmış geçerli bir alan adına sahiptir. Örneğin, contoso.com Microsoft Entra Id'deki birincil etki alanıysa, contoso.org Contoso'ya ait şirket içi AD'deki birincil etki alanıdır ve Microsoft Entra IDile doğrulanır.
  • Yönlendirilemez kullanıcılar UPN'leri: Yönlendirilemeyen UPN'nin doğrulanmış bir etki alanı yoktur ve yalnızca kuruluşunuzun özel ağı içinde geçerlidir. Örneğin, contoso.com, Microsoft Entra ID'deki birincil etki alanıysa ve contoso.local, şirket içi AD'deki birincil etki alanıysa ancak internette doğrulanabilir bir etki alanı değilse ve yalnızca Contoso'nun ağında kullanılıyorsa.

Not

Bu bölümdeki bilgiler yalnızca şirket içi kullanıcıların UPN'leri için geçerlidir. Şirket içi bilgisayar etki alanı soneki için geçerli değildir (örnek: bilgisayar1.contoso.local).

Aşağıdaki tabloda, Windows 10 Microsoft Entra karma birleştirmesi içindeki bu şirket içi Microsoft Windows Server Active Directory kullanıcı asıl adları (UPN'ler) için destekle ilgili ayrıntılar sağlanır:

Şirket içi Microsoft Windows Server Active Directory UPN türü Etki alanı türü Windows 10 sürümü Açıklama
Yönlendirilebilir Federe 1703 sürümünden itibaren Genel kullanıma sunuldu
Yönlendirilemez Federe 1803 sürümünden itibaren Genel kullanıma sunuldu
Yönlendirilebilir Yönetilen 1803 sürümünden itibaren Genel kullanıma sunulan Windows kilit ekranındaki Microsoft Entra SSPR, şirket içi UPN'nin Microsoft Entra UPN'den farklı olduğu ortamlarda desteklenmez. Şirket içi UPN, Microsoft Entra Id'deki onPremisesUserPrincipalName özniteliğiyle eşitlenmelidir
Yönlendirilemez Yönetilen Desteklenmiyor

Sonraki adımlar