Entra Connect Kurulum ve Ayarları

Kurumların dijital dönüşüm süreçlerinde en kritik adımlardan biri, yerel (on-premises) kaynaklar ile bulut teknolojileri arasındaki köprüyü kurmaktır. Microsoft’un bulut kimlik ve erişim yönetimi vizyonunun merkezinde yer alan Microsoft Entra ID (eski adıyla Azure AD), bu köprünün temel taşıdır. Ancak, halihazırda Active Directory kullanan yapılar için kullanıcı kimliklerini buluta taşımak ve yönetmek biraz yorucu ve karmaşık gözükebilir.

Hibrit kimlik hedeflerinizi gerçekleştirmek ve on-prem dizininizi Entra ID ile sorunsuz bir şekilde entegre etmek için tasarlanan bu araç; tek bir kimlik ile hem bulut hem de yerel kaynaklara erişim (SSO) imkânı sunar. Bu makalemizde, Microsoft Entra Connect’in kurulum aşamalarını, temel özelliklerini ve konfigürasyon sırasında dikkat etmeniz gereken ‘best-practice’ yöntemlerini adım adım ele alacağız.

Microsoft Entra Connect Nedir ve Neler Sunar?

Microsoft Entra Connect, hibrit bir IT altyapısında kimlik verilerinizi senkronize etmek için kullanılan kapsamlı bir araçtır. Temel özellikleri şunlardır:

• Parola Hash Senkronizasyonu (Password Hash Synchronization – PHS): Kullanıcıların yerel Active Directory (AD) parolalarının bir hash özetini buluta senkronize eder. Bu sayede kullanıcılar, şirket içi ağda kullandıkları parolanın aynısı ile Microsoft 365, Intune veya diğer SaaS uygulamalarına giriş yapabilirler.
• Doğrudan Kimlik Doğrulama (Pass-through Authentication – PTA): Parolaların bulutta saklanmasını istemeyen kurumlar için idealdir. Kullanıcı giriş yaptığında, doğrulama işlemi bulut yerine doğrudan yerel AD sunucularınızdaki ajanlar (agent) üzerinden gerçekleştirilir.
• Federasyon Entegrasyonu (Federation Integration): AD FS (Active Directory Federation Services) veya üçüncü parti federasyon çözümleri kullanarak hibrit bir ortam yapılandırmanıza olanak tanır. Bu, özellikle akıllı kartla oturum açma veya karmaşık MFA senaryoları için gereklidir.
• Senkronizasyon Filtreleme (Filtering): Tüm Active Directory yapınızı buluta taşımak zorunda değilsiniz. Entra Connect; Organizasyonel Birim (OU), etki alanı (domain) veya nitelik (attribute) bazlı filtreleme yaparak sadece istediğiniz nesnelerin buluta gitmesini sağlar.
• Geri Yazma Özellikleri (Writeback Capabilities): Bulutta yapılan değişikliklerin yerel AD’ye geri yazılmasını sağlar. Örneğin, “Self-Service Password Reset” (SSPR) ile bir kullanıcı bulutta şifresini değiştirdiğinde, bu değişikliğin yerel sunucuda da anında güncellenmesini mümkün kılar.
• Health Monitoring (Sağlık İzleme): Microsoft Entra Connect Health ajanı sayesinde, senkronizasyon hatalarını, performans sorunlarını ve kimlik doğrulama istatistiklerini Entra portal üzerinden izleyebilirsiniz.

Microsoft Entra Connect Kurulumu İçin Sistem ve Donanım Gereksinimleri

Başarılı bir senkronizasyon süreci, doğru yapılandırılmış bir temel ile başlar. Microsoft Entra Connect V2 sürümü, güvenlik standartlarının yükseltilmesi nedeniyle eski işletim sistemlerini ve protokolleri artık desteklememektedir. Kuruluma başlamadan önce aşağıdaki kontrol listesini tamamladığınızdan emin olun.

1. İşletim Sistemi Gereksinimleri (OS Requirements)

Microsoft Entra Connect sunucusu, yerel Active Directory yapınızın kritik bir parçası olacağı için (Tier 0 varlığı olarak kabul edilmelidir) işletim sistemi seçimi önemlidir.

• Desteklenen Sürümler: Windows Server 2016, Windows Server 2019 ve Windows Server 2022.
• Önemli Uyarı: Windows Server 2012 ve 2012 R2 desteği sona ermiştir. Bu sürümlere Entra Connect V2 kurulamaz.
• Sürüm Tipi: Sunucunun “Desktop Experience” (GUI) ile kurulmuş Standart veya Datacenter sürümü olması önerilir. (Server Core desteği olsa da yönetim kolaylığı açısından GUI tercih edilir).
• Domain Üyeliği: Sunucunun, senkronize edilecek Active Directory domainine üye (domain joined) olması gerekmektedir.
• PowerShell: PowerShell 5.0 veya daha yeni bir sürüm yüklü olmalıdır.

2. Donanım Gereksinimleri (Hardware)

Donanım ihtiyacı, Active Directory yapınızdaki nesne sayısına (kullanıcılar, gruplar, bilgisayarlar) göre değişkenlik gösterir. Yetersiz kaynak, senkronizasyon döngülerinin uzamasına neden olabilir.

Nesne Sayısı (AD Objects)	CPU	RAM	Disk Alanı
10.000’den az	1.6 GHz	4 GB	70 GB
10.000 – 50.000	1.6 GHz	4 GB	70 GB
50.000 – 100.000	1.6 GHz	16 GB	100 GB
100.000+	Özel Planlama	32 GB+	SQL Server Std/Ent

Uzman Notu: Eğer yapınızda 100.000’den fazla nesne (object) varsa, Entra Connect ile gelen ücretsiz SQL Server 2019 Express (LocalDB) limiti (10GB) yetersiz kalacaktır. Bu durumda harici bir SQL Server Standard veya Enterprise sürümü kullanmanız zorunludur.

3. Ağ ve Protokol Gereksinimleri (Network & Protocols)

Güvenlik duvarı (Firewall) tarafında, Entra Connect sunucusunun Azure veri merkezlerine erişebilmesi gerekir.

• TLS 1.2 Zorunluluğu: Sunucuda TLS 1.2 protokolü varsayılan olarak etkinleştirilmelidir. SSL 2.0, SSL 3.0 ve TLS 1.0/1.1 devre dışı bırakılmalıdır.
• Portlar:
  • Outbound (Dışa Yönelim): TCP 80 ve 443 portlarının *.msappproxy.net ve *.servicebus.windows.net gibi Microsoft URL’lerine erişimi açık olmalıdır.
  • Intranet (İç Ağ): Entra Connect sunucusu, Domain Controller sunucularıyla haberleşebilmek için standart RPC, Kerberos ve LDAP portlarını kullanabilmelidir.

4. Hesap Yetkileri (Permissions)

Kurulumu yapacak olan hesabın şu yetkilere sahip olması gerekir:

• Sunucu üzerinde Local Administrator.
• Active Directory üzerinde Enterprise Admin (İlk kurulum ve konfigürasyon için gereklidir, daha sonra yetki düşürülebilir veya custom bir servis hesabı oluşturulabilir).
• Tenant Hybrid Identity Administrator veya Global Administrator rolü

Bu kadar teknik bilgi yeterlidir diye düşünüyorum. Hızlıca kurulum adımlarına geçebiliriz.

Entra.microsoft.com adresine global admin hesabı ile giriş yapıyoruz.

Sırası ile sol menüden Entra Connect>Get started>Manage>Download Connect Sync Agent tıklayıp download ediyoruz.

Uygulamanı kurulumunu anlatmayacağım. Çünkü klasik “Forever Next” şeklinde kurulmaktadır.

Kurulum işleminden sonra “Sign İn” Metodumuzu sormaktadır. Bu kısımda sadece “Password Has Synchronization” kısımını seçip devam ediyorum. Sonraki makalelerde diğer konularada detaylıca gireceğiz.

Bu kısımda ise Global Admin kullanıcısı ile oturum açıyoruz. Önemli bir not olarak şunu iletebilirim. Burada sürekli olarak kullandığınız admin kullanıcısı yerine sadece bu işlem için açılmış bir admin kullanıcı kullanmak sağlıklı olacaktır.

Bu kısımda ise Domain adresimizi seçip “Add Directory” diyoruz.

Bu kısımda ise uygulamanın servis için kullanacağı kullanıcıyı sormaktadır. Burada benim yaptığım gibi yeni kullanıcı seçerseniz sizden domain admin kullanıcısı isteyecektir ve kullanıcıyı kendisi yetkilendirip oluşturacaktır. Eğer çok kompleks bir yapılandırmanız yoksa bu şekilde ilerlemenizi tavsiye ederim.

Artık AD bağlantımız tamamlandı. “Next” ile devam ediyoruz.

Evet şimdi buluttaki alan adımız ile Localdeki kullanıcıları buluşturma vaktimiz geldi. Bu ekranda gördüğünüz üzere kullanıcıları nasıl eşleştireceğimizi soruyor. Biz Principal Name ile bu işlemi yapacağımız için buluttaki alan adımızı da localdeki sunucuya eklememiz gerekecek. Bu işlem için aşağıdaki adımları uygulayacağız.

Adminisrative Tool içerisinden “Active Directory Domains and Trust” uygulamasını açıyoruz.

Açılan ekranda “Active Directory Domains and Trust” kısmına sağ klik yapıyoruz. Sonrasında “properties” seçiyoruz.

Açılan ekranda alan adımızı yazıp “Add” diyoruz. Sonrasında “Apply” ve “OK” ile kapatıyoruz

Tekrardan Entra Connect uygulamasını açıp yukarıdaki adımları sırası ile yapıyoruz.

Bu ekrandaki ayarlarımız ise kritiktir. Çünkü buluta senkron edeceğimiz kullanıcı ve bilgisayarları buradan seçiyoruz. Burada tavsiyem Tüm OU yapınızı buluta senkron etmemenizdir. Olası bir durumda servis hesaplarınız da senkron olması çok istenilen bir durum değildir. Benim yaptığım gibi belirli OU’ları seçip Next ile devam edebilirsiniz.

NOT: Bilgisayarları domaine aldığınızda otomatik olarak “Computers” altına atmaktadır. Eğer hybirt yapı kuracaksanız buna dikkat etmeniz gerekecektir. Yoksa benim ürüne başladığım ilk zamanları başıma geldiği gibi buluta hybrit olarak gelmesini çok beklersiniz 😊

Bu kısımda farklı bir makalenin konusu olduğu için herhangi bir değişiklik yapmadan devam ediyorum.

Bu kısımda OU’nun altındaki farklı bir Grubu isterseniz senkron edebilirsiniz. Biz öyle bir işlem yapmayacağız. Devam ediyoruz.

Bu kısımdada yine herhangi bir değişiklik yapmadan devam ediyorum. Diğer ayalar farklı bir makalenin konusu olduğu için sonra değineceğiz.

İşlemler tamamlanmıştır. Kuruluma başlayabiliriz.

Kurulumdan sonra Windows menüsünde 3 farklı uygulama gelmektedir. Kullanıcıların senkronizasyonunu kontrol etmek için “Synchronization Service Manager” uygulamasını kullanabilirsiniz.

Bir makalemizin daha sonuna geldik. Faydalı olması dileğiyle

Makalenin Videosunu izlemek isterseniz

Youtube Linki: https://youtu.be/IcBno1nFHF0