Microsoft Entra Connect önkoşulları

  • Makale

Bu makalede, Microsoft Entra Bağlan için önkoşullar ve donanım gereksinimleri açıklanmaktadır.

Microsoft Entra Bağlan'ı yüklemeden önce

Microsoft Entra Bağlan'ı yüklemeden önce ihtiyacınız olan birkaç şey vardır.

Microsoft Entra Kimlik

  • Microsoft Entra kiracınız olması gerekir. Ücretsiz Azure denemesi ile bir tane alırsınız. Microsoft Entra Bağlan yönetmek için aşağıdaki portallardan birini kullanabilirsiniz:
  • Microsoft Entra Id'de kullanmayı planladığınız etki alanını ekleyin ve doğrulayın. Örneğin, kullanıcılarınız için contoso.com kullanmayı planlıyorsanız, bu etki alanının doğrulanmış olduğundan ve yalnızca contoso.onmicrosoft.com varsayılan etki alanını kullanmadığınızdan emin olun.
  • Microsoft Entra kiracısı varsayılan olarak 50.000 nesneye izin verir. Etki alanınızı doğruladığınızda, sınır 300.000 nesneye artar. Microsoft Entra ID'de daha fazla nesneye ihtiyacınız varsa sınırın daha da artırılması için bir destek olayı açın. 500.000'den fazla nesneye ihtiyacınız varsa Microsoft 365, Microsoft Entra ID P1 veya P2 veya Enterprise Mobility + Security gibi bir lisansa ihtiyacınız vardır.

Şirket içi verilerinizi hazırlama

Şirket içi Active Directory

  • Active Directory şema sürümü ve orman düzeyi Windows Server 2003 veya üzeri olmalıdır. Şema sürümü ve orman düzeyi gereksinimleri karşılandığı sürece etki alanı denetleyicileri herhangi bir sürümü çalıştırabilir. Windows Server 2016 veya daha eski bir sürümünü çalıştıran etki alanı denetleyicileri için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
  • Microsoft Entra ID tarafından kullanılan etki alanı denetleyicisi yazılabilir olmalıdır. Salt okunur etki alanı denetleyicisi (RODC) kullanılması desteklenmez ve Microsoft Entra Bağlan hiçbir yazma yeniden yönlendirmesini izlemez.
  • Şirket içi ormanları veya etki alanlarını "noktalı" kullanarak kullanma (ad bir nokta "içerir.") NetBIOS adları desteklenmez.
  • Active Directory geri dönüşüm kutusunu etkinleştirmenizi öneririz.

PowerShell yürütme ilkesi

Microsoft Entra Bağlan, yüklemenin bir parçası olarak imzalı PowerShell betikleri çalıştırır. PowerShell yürütme ilkesinin betiklerin çalıştırılmasına izin verileceğinden emin olun.

Yükleme sırasında önerilen yürütme ilkesi "RemoteSigned" şeklindedir.

PowerShell yürütme ilkesini ayarlama hakkında daha fazla bilgi için bkz . Set-ExecutionPolicy.

Microsoft Entra Bağlan sunucusu

Microsoft Entra Bağlan sunucusu kritik kimlik verileri içerir. Bu sunucuya yönetici erişiminin düzgün bir şekilde güvenli hale getirilmesi önemlidir. Ayrıcalıklı erişimin güvenliğini sağlama bölümünde yer alan yönergeleri izleyin.

Microsoft Entra Bağlan sunucusu, Active Directory yönetim katmanı modelinde belgelendiği gibi Katman 0 bileşeni olarak kabul edilmelidir. Güvenli Ayrıcalıklı Erişim'de sağlanan yönergeleri izleyerek Microsoft Entra Bağlan sunucusunu Denetim Düzlemi varlığı olarak sağlamlaştırmanızı öneririz

Active Directory ortamınızın güvenliğini sağlama hakkında daha fazla bilgi için bkz . Active Directory'yi güvenli hale getirmek için en iyi yöntemler.

Yükleme önkoşulları

  • Microsoft Entra Bağlan, etki alanına katılmış bir Windows Server 2016 veya sonraki bir sürüme yüklenmelidir. Etki alanına katılmış Windows Server 2022 kullanmanızı öneririz. Windows Server 2016'da Microsoft Entra Bağlan dağıtabilirsiniz, ancak Windows Server 2016 genişletilmiş destekte olduğundan, bu yapılandırma için desteğe ihtiyacınız varsa ücretli bir destek programına ihtiyacınız olabilir.
  • Gereken en düşük .NET Framework sürümü 4.6.2'dir ve daha yeni .NET sürümleri de desteklenir. .NET sürüm 4.8 ve üzeri en iyi erişilebilirlik uyumluluğunu sunar.
  • Microsoft Entra Bağlan 2019'den önce Small Business Server veya Windows Server Essentials'a yüklenemez (Windows Server Essentials 2019 desteklenir). Sunucunun Windows Server standart veya daha iyi bir sürümünü kullanıyor olması gerekir.
  • Microsoft Entra Bağlan sunucusunda tam gui yüklü olmalıdır. Windows Server Core'a Microsoft Entra Bağlan yüklenmesi desteklenmez.
  • Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yapılandırmasını yönetmek için Microsoft Entra Bağlan sihirbazını kullanıyorsanız, Microsoft Entra Bağlan sunucusunda PowerShell Transkripsiyon Grup İlkesi etkinleştirilmemelidir. Eşitleme yapılandırmasını yönetmek için Microsoft Entra Bağlan sihirbazını kullanıyorsanız PowerShell transkripsiyonunu etkinleştirebilirsiniz.
  • AD FS dağıtılıyorsa:
    • AD FS veya Web Uygulama Ara Sunucusu'nin yüklü olduğu sunucular Windows Server 2012 R2 veya üzeri olmalıdır. Uzaktan yükleme için bu sunucularda Windows uzaktan yönetimi etkinleştirilmelidir. Windows Server 2016 ve üzeri için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
    • TLS/SSL sertifikalarını yapılandırmanız gerekir. Daha fazla bilgi için bkz. AD FS için SSL/TLS protokollerini ve şifreleme paketlerini yönetme ve AD FS'de SSL sertifikalarını yönetme.
    • Ad çözümlemeyi yapılandırmanız gerekir.
  • Microsoft Entra Bağlan ile Microsoft Entra Id arasındaki trafiğin bozulması ve analiz edilerek çözümlenmesi desteklenmez. Bunu yapmak hizmeti kesintiye uğratabilir.
  • Karma Kimlik Yönetici istrator'larınızda MFA etkinleştirildiyse, URL'nin https://secure.aadcdn.microsoftonline-p.comgüvenilen siteler listesinde olması gerekir. MFA sınaması istendiğinde ve daha önce eklenmediğinde bu siteyi güvenilen siteler listesine eklemeniz istenir. Internet Explorer'ı kullanarak güvenilen sitelerinize ekleyebilirsiniz.
  • Eşitleme için Microsoft Entra Bağlan Health kullanmayı planlıyorsanız, Microsoft Entra Bağlan Health önkoşullarının da karşılandığından emin olun. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Health aracısı yüklemesi.

Microsoft Entra Bağlan sunucunuzu sağlamlaştırma

BT ortamınızın bu kritik bileşeni için güvenlik saldırısı yüzeyini azaltmak için Microsoft Entra Bağlan sunucunuzu sağlamlaştırmanızı öneririz. Bu önerilerin takip etmek, kuruluşunuz için bazı güvenlik risklerini azaltmaya yardımcı olur.

  • Güvenli Ayrıcalıklı Erişim ve Active Directory yönetim katmanı modelinde sağlanan yönergeleri izleyerek Microsoft Entra Bağlan sunucusunu Denetim Düzlemi (eski adıyla Katman 0) varlığı olarak sağlamlaştırmanızı öneririz.
  • Microsoft Entra Bağlan sunucusuna yönetim erişimini yalnızca etki alanı yöneticileri veya sıkı denetimli diğer güvenlik gruplarıyla kısıtlayın.
  • Ayrıcalıklı erişimi olan tüm personel için ayrılmış bir hesap oluşturun. Yönetici istrator'lar web'e göz atmamalı, e-postalarını denetlememeli ve yüksek ayrıcalıklı hesaplarla günlük üretkenlik görevleri yapmamalıdır.
  • Ayrıcalıklı erişimin güvenliğini sağlama bölümünde sağlanan yönergeleri izleyin.
  • Microsoft Entra Bağlan sunucusuyla NTLM kimlik doğrulaması kullanımını reddedin. Bunu yapmanın bazı yolları şunlardır: Microsoft Entra Bağlan Server'da NTLM'yi kısıtlama ve etki alanında NTLM'yi kısıtlama
  • Her makinenin benzersiz bir yerel yönetici parolası olduğundan emin olun. Daha fazla bilgi için bkz. Yerel Yönetici istrator Parola Çözümü (Windows LAPS), her iş istasyonunda benzersiz rastgele parolalar yapılandırabilir ve sunucu bunları bir ACL ile korunan Active Directory'de depolayabilir. Bu yerel yönetici hesabı parolalarını yalnızca uygun yetkili kullanıcılar okuyabilir veya sıfırlama isteğinde bulunabilir. Windows LAPS ve ayrıcalıklı erişim iş istasyonları (PAW) ile bir ortamı çalıştırmaya yönelik ek yönergeler, temiz kaynak ilkesine dayalı operasyonel standartlarda bulunabilir.
  • Kuruluşunuzun bilgi sistemlerine ayrıcalıklı erişimi olan tüm personel için ayrılmış ayrıcalıklı erişim iş istasyonları uygulayın.
  • Active Directory ortamınızın saldırı yüzeyini azaltmak için bu ek yönergeleri izleyin.
  • Idp ve Microsoft Entra Kimliğiniz arasında kurulan güven değişikliklerini izlemek üzere uyarılar ayarlamak için Federasyon yapılandırmasındaki değişiklikleri izleme'yi izleyin.
  • Microsoft Entra ID veya AD'de ayrıcalıklı erişimi olan tüm kullanıcılar için Multi Factor Authentication'ı (MFA) etkinleştirin. Microsoft Entra Bağlan kullanımıyla ilgili bir güvenlik sorunu, bir saldırganın Microsoft Entra Bağlan sunucusu üzerinde denetim sahibi olması durumunda Microsoft Entra Id'deki kullanıcıları yönetebileceğidir. MFA, bir saldırganın Microsoft Entra hesaplarını ele geçirebilmek için bu özellikleri kullanmasını önlemek için korumalar sunar; böylece bir saldırgan, örneğin Microsoft Entra kullanarak bir kullanıcının parolasını sıfırlasa bile ikinci faktörü atlayamaz Bağlan.
  • Kiracınızda Geçici Eşleştirmeyi devre dışı bırakın. Geçici Eşleştirme, mevcut bulut tarafından yönetilen nesnelerin yetki kaynağının Microsoft Entra Bağlan'a aktarılmasına yardımcı olmak için harika bir özelliktir, ancak belirli güvenlik riskleriyle birlikte gelir. Gerekli değilse, Geçici Eşleştirme'yi devre dışı bırakmanız gerekir.
  • Sabit Eşleşme Devralma özelliğini devre dışı bırakın. Sabit eşleşme devralma, Microsoft Entra Bağlan'ın bulut tarafından yönetilen bir nesnenin denetimini almasını ve nesnenin yetki kaynağını Active Directory olarak değiştirmesini sağlar. Bir nesnenin yetki kaynağı Microsoft Entra Bağlan tarafından devralındıktan sonra, Microsoft Entra nesnesine bağlı Active Directory nesnesinde yapılan değişiklikler, Parola Karması Eşitleme etkinse parola karması da dahil olmak üzere özgün Microsoft Entra verilerinin üzerine yazılır. Bir saldırgan, bulut tarafından yönetilen nesnelerin denetimini ele almak için bu özelliği kullanabilir. Bu riski azaltmak için, sabit eşleşme devralma özelliğini devre dışı bırakın.

Microsoft Entra Bağlan tarafından kullanılan SQL Server

  • Microsoft Entra Connect’e kimlik verilerini depolamak için bir SQL Server veritabanı gerekiyor. Varsayılan olarak, bir SQL Server 2019 Express LocalDB (SQL Server Express'in basit bir sürümü) yüklenir. SQL Server Express,yaklaşık 100.000 nesneyi yönetmenizi sağlayan 10 GB boyut sınırına sahiptir. Daha yüksek bir dizin nesnesi hacmini yönetmeniz gerekiyorsa, yükleme sihirbazını farklı bir SQL Server yüklemesine yöneltin. SQL Server yükleme türü, Microsoft Entra Bağlan performansını etkileyebilir.
  • SQL Server'ın farklı bir yüklemesini kullanıyorsanız, bu gereksinimler geçerlidir:
    • Microsoft Entra Bağlan, Windows üzerinde çalışan SQL Server 2022'ye kadar desteklenen tüm temel SQL Server sürümlerini destekler. SQL Server sürümünüzün destek durumunu doğrulamak için lütfen SQL Server yaşam döngüsü makalesine bakın. SQL Server 2012 artık desteklenmiyor. Azure SQL Veritabanı veritabanı olarak desteklenmez. Buna hem Azure SQL Veritabanı hem de Azure SQL Yönetilen Örneği dahildir.
    • Büyük/küçük harfe duyarlı olmayan bir SQL harmanlaması kullanmanız gerekir. Bu harmanlamalar adında bir _CI_ ile tanımlanır. _CS_ tarafından adında tanımlanan büyük/küçük harfe duyarlı harmanlama kullanılması desteklenmez.
    • SQL örneği başına yalnızca bir eşitleme altyapınız olabilir. MIM Sync, DirSync veya Azure AD Eşitleme ile BIR SQL örneğinin paylaşılması desteklenmez.

Hesaplar

  • Tümleştirmek istediğiniz Microsoft Entra kiracısı için bir Microsoft Entra Global Yönetici istrator hesabınız veya Karma Kimlik Yönetici istrator hesabınız olmalıdır. Bu hesap bir okul veya kuruluş hesabı olmalıdır ve Microsoft hesabı olamaz.
  • DirSync'ten hızlı ayarlar veya yükseltme kullanıyorsanız, şirket içi Active Directory için bir Enterprise Yönetici istrator hesabınız olmalıdır.
  • Özel ayarlar yükleme yolunu kullanırsanız, daha fazla seçeneğiniz vardır. Daha fazla bilgi için bkz . Özel yükleme ayarları.

Bağlantı

  • Microsoft Entra Bağlan sunucusu hem intranet hem de internet için DNS çözümlemesine ihtiyaç duyar. DNS sunucusunun hem şirket içi Active Directory hem de Microsoft Entra uç noktalarınızdaki adları çözümleyebilmesi gerekir.

  • Microsoft Entra Bağlan tüm yapılandırılmış etki alanlarına ağ bağlantısı gerektirir

  • Microsoft Entra Bağlan, yapılandırılmış tüm ormanın kök etki alanına ağ bağlantısı gerektirir

  • İntranetinizde güvenlik duvarları varsa ve Microsoft Entra Bağlan sunucuları ile etki alanı denetleyicileriniz arasındaki bağlantı noktalarını açmanız gerekiyorsa daha fazla bilgi için bkz. Microsoft Entra Bağlan bağlantı noktaları.

  • Ara sunucunuz veya güvenlik duvarınız erişilebilen URL'leri sınırlarsa, Office 365 URL'leri ve IP adresi aralıklarında belgelenen URL'ler açılmalıdır. Ayrıca bkz. Kasa güvenlik duvarınızda veya ara sunucunuzda Microsoft Entra yönetim merkezi URL'lerini listeleme.

  • Microsoft Entra Bağlan (sürüm 1.1.614.0 ve sonrası) varsayılan olarak eşitleme altyapısı ile Microsoft Entra Id arasındaki iletişimi şifrelemek için TLS 1.2 kullanır. TlS 1.2 temel işletim sisteminde kullanılamıyorsa, Microsoft Entra Bağlan artımlı olarak eski protokollere (TLS 1.1 ve TLS 1.0) geri döner. Microsoft Entra Bağlan sürüm 2.0'dan itibaren. TLS 1.0 ve 1.1 artık desteklenmez ve TLS 1.2 etkinleştirilmezse yükleme başarısız olur.

  • 1.1.614.0 sürümünden önce, Microsoft Entra Bağlan varsayılan olarak eşitleme altyapısı ile Microsoft Entra Id arasındaki iletişimi şifrelemek için TLS 1.0 kullanır. TLS 1.2'ye geçmek için Microsoft Entra Bağlan için TLS 1.2'yi etkinleştirme makalesindeki adımları izleyin.

  • İnternet'e bağlanmak için giden ara sunucu kullanıyorsanız, yükleme sihirbazı için C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config dosyasındaki aşağıdaki ayar eklenmelidir ve Microsoft Entra Bağlan Sync'in İnternet'e ve Microsoft Entra Kimliği'ne bağlanabilmesi için eklenmelidir. Bu metin dosyanın en altına girilmelidir. Bu kodda, <PROXYADDRESS> gerçek proxy IP adresini veya ana bilgisayar adını temsil eder.

        <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Proxy sunucunuz kimlik doğrulaması gerektiriyorsa, hizmet hesabının etki alanında bulunması gerekir. Özel bir hizmet hesabı belirtmek için özelleştirilmiş ayarlar yükleme yolunu kullanın. Machine.config dosyasında da farklı bir değişiklik yapmanız gerekir. Machine.config dosyasındaki bu değişiklikle, yükleme sihirbazı ve eşitleme altyapısı ara sunucudan gelen kimlik doğrulama isteklerine yanıt verir. Yapılandır sayfası hariç tüm yükleme sihirbazı sayfalarında oturum açmış kullanıcının kimlik bilgileri kullanılır. Yükleme sihirbazının sonundaki Yapılandır sayfasında bağlam, oluşturduğunuz hizmet hesabına geçirilir. machine.config bölümü şöyle görünmelidir:

        <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Ara sunucu yapılandırması mevcut bir kurulumda yapılıyorsa, Microsoft Entra Bağlan ara sunucu yapılandırmasını okuyabilmesi ve davranışı güncelleştirebilmesi için Microsoft Entra ID Sync hizmetinin bir kez yeniden başlatılması gerekir.

  • Microsoft Entra Bağlan dizin eşitlemesinin bir parçası olarak Microsoft Entra Id'ye bir web isteği gönderdiğinde, Microsoft Entra Id'nin yanıt vermesi 5 dakika kadar sürebilir. Ara sunucuların bağlantı boşta kalma zaman aşımı yapılandırmasına sahip olması yaygındır. Yapılandırmanın en az 6 dakika veya daha fazla olarak ayarlandığından emin olun.

Daha fazla bilgi için bkz. Varsayılan proxy öğesi hakkında MSDN. Bağlantı sorunlarınız olduğunda daha fazla bilgi için bkz . Bağlantı sorunlarını giderme.

Diğer

İsteğe bağlı: Eşitlemeyi doğrulamak için test kullanıcı hesabı kullanın.

Bileşen önkoşulları

PowerShell ve .NET Framework

Microsoft Entra Bağlan, Microsoft PowerShell 5.0 ve .NET Framework 4.5.1'e bağlıdır. Sunucunuzda bu sürümün veya sonraki bir sürümün yüklü olması gerekir.

Microsoft Entra Bağlan için TLS 1.2'yi etkinleştirme

1.1.614.0 sürümünden önce, Microsoft Entra Bağlan varsayılan olarak eşitleme altyapısı sunucusu ile Microsoft Entra Id arasındaki iletişimi şifrelemek için TLS 1.0 kullanır. .NET uygulamalarını varsayılan olarak sunucuda TLS 1.2 kullanacak şekilde yapılandırabilirsiniz. TLS 1.2 hakkında daha fazla bilgi için bkz . Microsoft Güvenlik Önerisi 2960358.

  1. İşletim sisteminiz için .NET 4.5.1 düzeltmesinin yüklü olduğundan emin olun. Daha fazla bilgi için bkz . Microsoft Güvenlik Önerisi 2960358. Bu düzeltmeyi veya daha sonraki bir sürümü sunucunuzda zaten yüklü olabilir.

  2. Tüm işletim sistemleri için bu kayıt defteri anahtarını ayarlayın ve sunucuyu yeniden başlatın.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

  3. Eşitleme altyapısı sunucusu ile uzak SQL Server arasında TLS 1.2'yi de etkinleştirmek istiyorsanız, Microsoft SQL Server için TLS 1.2 desteği için gerekli sürümlerin yüklü olduğundan emin olun.

Eşitleme sunucusunda DCOM önkoşulları

Eşitleme hizmetinin yüklenmesi sırasında, Microsoft Entra Bağlan aşağıdaki kayıt defteri anahtarının olup olduğunu denetler:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Bu kayıt defteri anahtarı altında, Microsoft Entra Bağlan aşağıdaki değerlerin mevcut ve bozuk olup olmadığını denetler:

Federasyon yükleme ve yapılandırma önkoşulları

Windows Uzaktan Yönetimi

AD FS veya Web Uygulama Ara Sunucusu (WAP) dağıtmak için Microsoft Entra Bağlan kullandığınızda şu gereksinimleri denetleyin:

  • Hedef sunucu etki alanına katılmışsa, Windows Uzaktan Yönetilen'in etkinleştirildiğinden emin olun.
    • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
  • Hedef sunucu etki alanına katılmamış bir WAP makinesiyse, birkaç ek gereksinim vardır:
    • Hedef makinede (WAP makinesi):
      • Hizmetler ek bileşeni aracılığıyla Windows Uzaktan Yönetim/WS-Management (WinRM) hizmetinin çalıştığından emin olun.
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
    • Sihirbazın üzerinde çalıştığı makinede (hedef makine etki alanına katılmamışsa veya güvenilmeyen bir etki alanıysa):
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenatekullanın.
      • Sunucu yöneticisinde:
        • Bir makine havuzuna DMZ WAP konağı ekleyin. Sunucu yöneticisinde Sunucu Ekle'yi Yönet'i>seçin ve DNS sekmesini kullanın.
        • Sunucu Yöneticisi Tüm Sunucular sekmesinde WAP sunucusuna sağ tıklayın ve Farklı Yönet'i seçin. WAP makinesi için yerel (etki alanı değil) kimlik bilgilerini girin.
        • Uzak PowerShell bağlantısını doğrulamak için, tüm sunucular Sunucu Yöneticisi sekmesinde WAP sunucusuna sağ tıklayın ve Windows PowerShell'i seçin. Uzak PowerShell oturumlarının kuruladığından emin olmak için bir uzak PowerShell oturumu açılmalıdır.

TLS/SSL sertifika gereksinimleri

  • AD FS grubunuzun tüm düğümlerinde ve tüm Web Uygulama Ara Sunucusu sunucularında aynı TLS/SSL sertifikasını kullanmanızı öneririz.
  • Sertifika bir X509 sertifikası olmalıdır.
  • Test laboratuvarı ortamında federasyon sunucularında otomatik olarak imzalanan bir sertifika kullanabilirsiniz. Bir üretim ortamı için, sertifikayı bir genel sertifika yetkilisinden edinmenizi öneririz.
    • Genel olarak güvenilir olmayan bir sertifika kullanıyorsanız, her Web Uygulama Ara Sunucusu sunucusuna yüklenen sertifikanın hem yerel sunucuda hem de tüm federasyon sunucularında güvenilir olduğundan emin olun.
  • Sertifikanın kimliği federasyon hizmeti adıyla (örneğin, sts.contoso.com) eşleşmelidir.
    • Kimlik, dNSName türünde bir konu alternatif adı (SAN) uzantısıdır veya SAN girdisi yoksa, konu adı ortak ad olarak belirtilir.
    • Sertifikada birden çok SAN girdisi bulunabilir ve bunlardan biri federasyon hizmeti adıyla eşleşir.
    • Workplace Join kullanmayı planlıyorsanız, enterpriseregistration değeriyle ek bir SAN gerekir. Ardından kuruluşunuzun kullanıcı asıl adı (UPN) soneki (örneğin, enterpriseregistration.contoso.com).
  • CryptoAPI yeni nesil (CNG) anahtarlarını ve anahtar depolama sağlayıcılarını (KSP) temel alan sertifikalar desteklenmez. Sonuç olarak, KSP'yi değil şifreleme hizmeti sağlayıcısını (CSP) temel alan bir sertifika kullanmanız gerekir.
  • Joker sertifikalar desteklenir.

Federasyon sunucuları için ad çözümlemesi

  • Hem intranet (iç DNS sunucunuz) hem de extranet (etki alanı kayıt şirketiniz aracılığıyla genel DNS) için AD FS adı (örneğin, sts.contoso.com) için DNS kayıtlarını ayarlayın. İntranet DNS kaydı için CNAME kayıtlarını değil A kayıtlarını kullandığınızdan emin olun. Etki alanına katılmış makinenizden Windows kimlik doğrulamasının düzgün çalışması için A kayıtları kullanmak gerekir.
  • Birden fazla AD FS sunucusu veya Web Uygulama Ara Sunucusu sunucusu dağıtıyorsanız yük dengeleyicinizi yapılandırdığınızdan ve AD FS adı için DNS kayıtlarının (örneğin, sts.contoso.com) yük dengeleyiciye işaret olduğundan emin olun.
  • Windows tümleşik kimlik doğrulamasının intranetinizde Internet Explorer kullanan tarayıcı uygulamalarında çalışması için AD FS adının (örneğin, sts.contoso.com) Internet Explorer'daki intranet bölgesine eklendiğinden emin olun. Bu gereksinim Grup İlkesi aracılığıyla denetlenebilir ve etki alanına katılmış tüm bilgisayarlarınıza dağıtılabilir.

Microsoft Entra Bağlan destekleyici bileşenler

Microsoft Entra Bağlan, Microsoft Entra Bağlan'nin yüklü olduğu sunucuya aşağıdaki bileşenleri yükler. Bu liste, basit bir Hızlı yükleme içindir. Eşitleme hizmetlerini yükle sayfasında farklı bir SQL Server kullanmayı seçerseniz, SQL Express LocalDB yerel olarak yüklenmez.

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 Komut Satırı Yardımcı Programları
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Yerel İstemcisi
  • Microsoft Visual C++ 14 Yeniden Dağıtım Paketi

Microsoft Entra Bağlan için donanım gereksinimleri

Aşağıdaki tabloda, Microsoft Entra Bağlan Sync bilgisayarı için en düşük gereksinimler gösterilmektedir.

Active Directory'deki nesne sayısı CPU Bellek Sabit sürücü boyutu
10.000'den az 1,6 GHz 6 GB 70 GB
10,000–50,000 1,6 GHz 6 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
100.000 veya daha fazla nesne için SQL Server'ın tam sürümü gereklidir. Performans nedenleriyle yerel olarak yükleme tercih edilir. Aşağıdaki değerler yalnızca Microsoft Entra Bağlan yüklemesi için geçerlidir. SQL Server aynı sunucuya yüklenecekse daha fazla bellek, sürücü ve CPU gerekir.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
600.000'den fazla 1,6 GHz 32 GB 500 GB

AD FS veya Web Uygulama Ara Sunucusu sunucuları çalıştıran bilgisayarlar için en düşük gereksinimler şunlardır:

  • CPU: Çift çekirdekli 1,6 GHz veya üzeri
  • Bellek: 2 GB veya üzeri
  • Azure VM: A2 yapılandırması veya üzeri

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.