Microsoft Azure

Azure AD Connect Sync vs Azure AD Connect Cloud Sync

Merhaba, daha önceki yazılarımızda Azure AD Connect Sync kurulumundan ve 365 için uygulanması gereken bir çok işlemden bahsetmiştik. İlgili makalelere aşağıdaki linklerden ulaşabilirsiniz.

Makale İçeriği

Azure AD Connect Nedir?

Azure Azure AD (Azure Active Directory) Connect, On-Premises Active Directory ortamınızda bulunan nesnelerin Azure AD‘ye eşitlenmesi sağlamaktadır. Aslında AD Connect On-Prem ortamımızla Azure AD arasında bir köprü görevi yapmaktadır. Bir çok firma AD DS nesnelerini Azure AD Connect kullanmaktadır.

Microsoft 365 servislerini (Teams, Exchange Online, SharePoint Online vb.) kullanmak istediğiniz zaman ve ortamınızda bulunan AD DS nesnelerini Azure Active Directory’ye eşitleyerek SSO (Single Sign-On) özelliğinden faydalanmak için tamamlayıcı bir araç olan Azure AD Connect devreye girmektedir.

Azure AD Connect Özellikleri

Klasik Sync yönetmi ile başlayan AD Connect geliştikçe kullanılabilir özelliklerinde de farklılılar meydana geliyor, Azure AD Connect’in başlıca özellikleri aşağıdaki gibidir;

  • En öne çıkan yeteneği Senkronizasyon olarak gözükmektedir, ilgili özellikler ortamınızın yapısına göre şekillendirebilmektedir;
    • Single Forest ve Single Tenant üzerinde Senkronizasyon yapabilmektedir. Azure AD Connect On-Prem ve Azure AD arasında köprü görevi yapar ve AD Connect Sync bileşenlerini kullanarak iki hizmet arasında bağlantı sağlar. Sync edilmesi beklenilen nesneleri tarar daha sonra filtreleme yaparak Senkronizasyon işlemini gerçekleştirir.
    • Multi Forest ve Single Tenant üzerinde Senkronizasyon yapabilmektedir. On-Prem ortamda birden fazla Forest bulunan kuruluşlar tek bir Azure AD tenantına Sync yapabilirler. Şirket birleşmeleri, şubeli yapılarda bu tip senaryolar kullanılmaktadır. Multi Forest yapılarda Azure AD Connect birleştirme ve eşleştirme kuralları kullanmaktadır, bu işlem nesnelerin doğru şekilde Sync edilmesi için zorunludur. Multi-forest, single tenant yapılandırmaları, Azure AD Connect ile ilgili daha fazla ve dikkatli yapılandırma yapılması gerekmektedir.
  • Pass-Through Authentication (PTA) – Kullanıcıların aynı parolaları kullanarak On-Premises ve Cloud servislerinizde kullanmanız olanak tanımaktadır., PTA ile helpdesk tarafındaki iş yoğunluğunu da kısmen azaltabilmektesiniz.Kullanıcı Azure AD üzerinde oturum açtığında, PTA ile birlikte On-Prem AD üzerinde de doğrulama işlemi gerçekleşmektedir. PTA için genel özellikler aşağıdaki gibidir;
    • Üst seviye kullanıcı deneyimi
    • Dağıtım ve yönetim kolaylığı
    • Güvenlik
    • Tüm web tabanlı uygulamalarda Modern Authentication kullanarak oturum açma desteği
  • Password Hash Synchronization (PHS) – Azure AD Connect üzerinde uygulanması en kolay doğrulama seçeneğidir ve default olarak gelmektedir. On-Premises ortamınızda Parola her değiştiğinde, hash bilgisini Azure AD ile eşitlemektedir.
  • Health Monitoring Azure AD Connect Health On-Premises ortammınız izlenmesi ile görevlidir, Health Monitoring sayesinde güvenli bir bağlantı sağlanmaktadır. Anlık olarak izleme yaparak proaktif bir biçimde yöneticilerin harekete geçmesini sağlamaktadır.
    • Performans İzleme
    • Uyarı ve Bildirimler
    • Kapsamlı Raporlama Hizmeti
    • Hızlı Sorun Gidermek için İpuçları

AD Connect için en bilinir özellikler bu şekilde, diğer özellikleri ise aşağıdaki gibidir;

  • Azure AD Connect için SQL Server ihtiyacı bulunmaktadır, Azure AD Connect kurulumu sırasında SQL Server 2019 Express kurulumu da yapılmakta ve 10 GB sınırına kadar kullanabilmektedir.
  • Azure AD Connect, Self Service Password Reset için kullanılması gereken Password Writeback özelliği vardır
  • Hybrid Azure Join desteği bulunmakta
  • Multiple Domains desteği bulunmaktadır
  • Schema Özelleştirme
  • LDAP (LDAPS) DesteğiAzure AD Connect’in LDAPv3 için uyumludur ve LDAPS protokolü ile iletişim kurarak doğrulama ve senkronizasyon işlemlerini daha güvenli hale getirebilmektedir.
  • Özelleştirilebilir Kurallar – On-Premises AD üzerinde bulunan nesnelerin Azure AD’ye nasıl sync edileceğini ve dönüşüm süreci için kural oluşturabilmekteyiz.
  • Nesnelerin Özniteliklerini Filtreme – Azure AD’ye Sync edilen nesnelerin özniteliklerini seçebilir ve filtreleme yapabilmeteyiz.
  • Soft Match / Hard Matc – On-Premises AD üzerinde bulunan nesneleri Öznitelik veya GUID olarak eşleştirebilmekteyiz.
Görsel: Tom Cutting.

Azure AD Connect Cloud Sync Nedir?

Azure AD Connect Cloud Sync, hybrid yapınızda bulunan nesneleri Azure AD‘ye sync etmek için kullanılan Azure AD Connect alternatifi bir uygulamadır. AD Connect uygulamasına göre daha hızlı deploy ediliyor ve daha light bir uygulama olarak görev yapmaktadır.

AD Connect Cloud Sync agent’ini Domain üyesi olan bir sunucu’ya yüklemeniz yeterlidir.

Not: Azure AD Connect Provisioning Agent’ını çalıştıran sunucu üzerinde NTLM devre dışı olması gerekmektedir.

Microsoft, Azure AD Connect Cloud Sync ürünün geliştirmeye devam ediyor ve Cloud Sync agent’ı istenilen özellikleri karşılamaya başladığında Azure AD Connect’i kullanımdan kaldırmayı planlıyor. Bu yüzden Cloud Sync uygulaması tanımamız gerekmektedir zamanı geldiğinde mevcut Ad Connect uygulamasından Cloud Sync’e geçiş yapılacak.

Azure AD Connect Cloud Sync, Azure AD Connectte olduğu gibi veritabanı, kurallar vb. yüklemesine ihtiyaç duymamaktadır. Agent dağıtımı gerçekleştirdikten sonra tüm yapılandırma Azure Active Directory üzerinde saklanmaktadır.

  • Multi Forest bağlantısı kesilmiş bir Active Directory ortamından Azure AD Sync desteği: Ortak senaryolar arasında birleştirme & alımı (satın alınan şirketin AD forestlerinden üst şirketin AD forestlerine yalıtıldığı)
  • Cloud Agent, tüm eşitleme yapılandırması bulutta yönetilerek AD’den Azure AD köprü görevi görür.
  • Yüksek kullanılabilirlik dağıtımlarını basitleştirmek için birden çok sağlama agent kullanılabilir; özellikle AD’den Azure AD parola karması eşitlemesine dayanan kuruluşlar için kritik öneme sahiptir.
  • 50.000’e kadar üyesi olan büyük gruplar için destek.

Cloud Sync, kimlik doğrulama ve yetkilendirme için yalnızca hafif bir aracının yüklenmesi gerekmektedir. Cloud Sync ile Microsoft, ücretsiz olarak yüksek oranda kullanılabilirlik ve güvenilir eşitleme mimarisi sağlamaktadır. Eşitleme hizmetinin çekirdeğinden hareket ederek, Cloud Sync’in Microsoft tarafından sürekli olarak sürdürülmesi ve güncelleştirilme işlemi vardır.

Azure AD Cloud Sync ile güvenlik endişelerini bir kenara bırakabilirsiniz.Senkronizasyon işlemini ve yapılandırmaları Azure Active Directory’de tutulduğu için Azure AD Connect’in güvenlik açıklarından veya Azure AD Connect’i hedef alan saldırılara maruz kalmazsınız. Örnek;

Exchange Hibrit ve Azure Ortamları Saldırı Altında! Önlemlerinizi Alın – ÇözümPark (cozumpark.com)

Azure AD Connect Cloud Sync, Azure AD Connect’ten farklı olarak DC önceliği sunmaktadır. Azure AD Connect bu işlem için DCLocator kullanırken, Cloud Sync arabirim üzerinden önceliklendirme imkanı sunmaktadır.

Azure AD Connect Cloud Sync, Azure AD Connect (AADC) ile paralel olarak çalışmaktadır, bu geçiş işlemi için bazı önemli detaylar bulunuyor, bu konunun yazısı olmadığı için detaya girmiyorum.

Cloud Sync, bazı özellikleri henüz karşılayamadığı için, ortamınızda dahil etmeden önce en ince detaya kadar incelemeniz gerektirmektedir ve geçişi öncelikle Pilot bir operasyon yaparak yapmanız şiddetle tavsiye edilir.

Azure AD Connect ve Azure AD Cloud Sync karşılaştırması

ÖzellikAzure Active Directory Connect eşitlemesiAzure Active Directory Connect bulut eşitlemesi
Tek şirket içi AD ormanına bağlanma
Birden çok şirket içi AD ormanına bağlanma
Bağlantısı kesilmiş birden çok şirket içi AD ormanına bağlanma
Basit aracı yükleme modeli
Yüksek kullanılabilirlik için birden çok etkin aracı
LDAP dizinlerine bağlanma
Kullanıcı nesneleri desteği
Grup nesneleri desteği
Kişi nesneleri desteği
Cihaz nesneleri desteği
Öznitelik akışları için temel özelleştirmeye izin ver
Exchange online özniteliklerini eşitleme
Uzantı özniteliklerini eşitleme 1-15
Müşteri tanımlı AD özniteliklerini eşitleme (dizin uzantıları)
Parola Karması Eşitleme desteği
Pass-Through Kimlik Doğrulaması desteği
Federasyon desteği
Sorunsuz Çoklu Oturum Açma
Etki Alanı Denetleyicisi üzerinde yüklemeyi destekler
Windows Server 2016 desteği
Etki Alanları/OU’lar/gruplara göre filtreleme
Nesnelerin öznitelik değerlerini filtreleme
Minimal öznitelik kümesinin eşitlenmesine izin ver (MinSync)
Öznitelik kaldırma işleminin AD’den Azure AD’ye akışına izin ver
Öznitelik akışları için gelişmiş özelleştirmeye izin ver
Parola geri yazma desteği
Cihaz geri yazma desteğiMüşteriler bu ilerleme için Bulut Kerberos güveni kullanmalıdır
Grup geri yazma desteği
Birden çok etki alanından kullanıcı özniteliklerini birleştirme desteği
Azure AD Domain Services desteği
Exchange karma geri yazma
AD etki alanı başına sınırsız sayıda nesne
AD etki alanı başına en fazla 150.000 nesne desteği
En fazla 50.000 üyesi olan gruplar
En fazla 250.000 üyesi olan büyük gruplar
Etki alanları arası başvurular
İsteğe bağlı sağlama
US Government desteği

Umarım faydalı olmuştur, başka bir makalede görüşmek dileğiyle.

İlgili Makaleler

2 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu