Bazı senaryolar ’da Office 365 veya Azure üzerindeki servislerde kullandığınız cloud kullanıcı account bilgilerini local Active Directory ile eşleştirmeniz gerekebilir.Office 365 üzerinde yeni oluşturduğunuz bir tenant üzerinde Azure AD Connect tool vasıtasıyla directory synchronization yapısının kurulmasını birkaç adımda basitçe tamamlayabilmekteyiz. Sıfır’dan açılan tenant’larda herhangi bir kullanıcı olmadığı için On-Premise Active Directory üzerindeki kullanıcıların Cloud’a sync olması sırasında her bir user , group ve contact için yeni obje oluşturularak local Active Directory’den attributeler sync olmaktadır.
Peki halihazırda Office 365 üzerinde Exchange Online servisini kullanıyorsam ve kullanıcılarımı cloud user olarak barındırıyorsam local Active Directory’deki kullanıcıları nasıl eşleştireceğim? Bir diğer senaryoda Office 365 üzerinde kullanıcılarım olduğunu ve sadece PowerBI servisini kullandığımı varsayarsak yeni yatırımlar sonucu On-Premise yapımda bulunan Exchange serverımı Exchange Online platformuna hybrid yapısı ile taşıyacağım bunun öncesi local Active Directory objelerimi Azure Active Directory’e PowerBI kullanıcılarına zarar vermeden hangi yöntem ile sync etmem gerekmektedir?
Azure AD Connect kurulumunu tamamlayıp senkronizasyonu başlattığınızda Azure AD sync (Azure AD üzerindeki) servisi her bir yeni kullanıcıyı kontrol eder ve varolan kullanıcıların bulunarak eşleşmesini sağlar. Bu işlemler gerçekleştirilirken temelde 3 attributeden yararlanılır. Bu attributeler userPrincipalName, proxyAddresses ve sourceAnchor/immutableID ‘dir.
userPrincipalName ve proxyAddresses üzerindeki bir eşleşme SOFT match olarak bilinir. SourceAnchor attribute üzerindeki bir eşleşme ise Hard match olarak bilinir.
Azure AD eğer Local’den gelen bir objenin attribute değerleri ile Azure AD üzerindeki objenin değerlerinin aynı olduğunu tespit ederse obje değerlerinin Local’den devralınmasını sağlar.” Cloud-managed” olarak gözüken obje “Synced with Active Directory” olarak işaretlenir. On-premise Active Directory üzerinden gelen attribute değerleri Azure AD üzerindeki objenin attribute değerlerinin üzerine yazılır.
Uyarı ! : On-Premise Active Directory’den gelen değerlerin Azure AD üzerindeki objenin değerlerinin üzerine yazılacağı için On-Premise yapınızdaki Active Directory üzerindeki obje değerlerinin güncel olduğundan muhakkak emin olunuz.
Uyarı ! : Password sync özelliğinin kullanılımının tercih edilmesi durumunda Azure AD’deki şifrenin yerine On-Premise AD’den gelen şifre Azure AD üzerine yazılır. Local Group Policy ile gelen Password Policy’leri Azure AD üzerindeki Password Policy’i ezer.
Objelerinizi Azure Active Directory ile eşleştirmek istiyorsanız bunun için 2 yöntem bulunmaktadır.
· Soft Match (SMTP)
· Hard Match (ImmutableID)
Yeni bir AD Connect kurulumunda aslında Soft Match ve Hard Match arasında pratikte bir fark bulunmamaktadır. Fakat AD Connect kullanılan bir ortamda Disaster recovery durumunda AD Connect sunucusunu kaybettiyseniz, veri kaybetmeden yeni bir AD Connect’i yeniden yükleyebilirsiniz. Burada devreye SourceAnchor ile hard match kavramı devreye girmektedir. SourceAnchor değerine sahip objeler yeniden AD Connect sunucusunun kurulup sync başlatılması ile beraber eşleşir.
Soft Match (SMTP)
Office 365 üzerinde Exchange Online yapısına geçerken IMAP , Cutover yada taşıma yapmadan kullanıcıları Cloud üzerinde oluşturarak geçiş yapmış olabilirsiniz ya da Office 365 üzerinde sadece PowerBI , CRM gibi uygulamaları kullanıyorsunuz bununla beraber ilerleyen zamanlarda kullanıcıların match edilme işleminde en basit uygulanacak yöntemlerden biri olan “SMTP match” işlemi kullanılmaktadır. Burada bir açıklama yaparak konuyu toparlamak istiyorum match etmeden kastım Cloud üzerinde kullanıcılarınız ve şifreleri var aynı şekilde bu kullanıcılar sizin Active Directory üzerinde mevcut fakat aralarında herhangi bir bağlantı yok. Buda demektir ki her 2 platformdaki kullanıcılarda değişiklik yapmak istediğinizde ayrı ayrı uğraşıyorsunuz bu durum sebebiyle bir bakıma IT tarafındaki kullanıcı iş yükünüzüde arttırıyorsunuz demektir. SMTP Soft Match yöntemi , Exchange Online üzerinde SMTP adresi olan her kullanıcı ’da uygulanabilir. Bu yöntemin temel amacı Local’de bulunan Proxy Address attribute’ne girilen değer ile Exchange Online üzerinde bulunan SMTP attributelerinin aynı olması durumunda kullanıcıyı dumplicate etmeden merge etmesidir.
Bunun için yapılması gereken adımların başında Exchange Online üzerindeki her bir kullanıcının SMTP adres bilgisinin On-Premise Active Directory yapısında bulunan ilgili kullanıcının Proxy Address attribute içerisine girilmesi gerekmektedir.
Exchange Online
On-Premise Active Directory
İpucu ! : Büyük SMTP: varsayılan Email adresini küçük smtp: ise ikincil Email adresini temsil eder. Exchange Online üzerinde ikincil Email adresleriniz varsa bunlarıda Active Directory tarafında küçük smtp kullanarak eklemeniz gerekmektedir.
Bir diğer dikkat edilmesi gereken noktaların başında SYNC edilecek kullanıcı objelerinin UPN bilgisinin ’de eşleşmesi gerekmektedir. Bu konuya da özellikle dikkat etmeniz gerekmektedir. Siz SMTP adres bilgisini aynı tutsanız ’da kullanıcı UPN bilgisinin farklı olması durumunda farklı kullanıcı kimlikleri oluşacağı için eşleşme sağlanmayacaktır.
Microsoft 365 Admin Center\Active Users
On-Premise Active Directory
Attribute tanımlamaları yapıldıktan sonra AD Connect kurulumu yapılarak sync işlemi başlatılabilir. Sync işleminden sonra match işleminin başarılı olup olmadığını anlamak adına Office 365 üzerindeki Active Users bölümünü kontrol edebilirsiniz.
“Synced with Active Directory”
User name / Email address bilgisinin Local’den sync edilerek doğru geldiğini doğrulamaktayız.
SMTP match konusunda dikkat edilmesi gereken konular:
-SMTP adresi unique olduğu için bir SMTP adres bilgisini Active Directory üzerinde birden fazla kullanıcı’da kullanmadığınıza emin olunuz. Birden fazla kullanıcı’da aynı SMTP adresinin girili olması durumunda AD Connect sync tool uygulamasında aşağıdaki hatayı alıyor olacaksınız.
Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:hakan.marangoz@hakanmarangoz.com;]. Correct or remove the duplicate values in your local directory.
-SMTP match işleminden sonra Cloud kullanıcılarının SMTP adres bilgisi Cloud üzerinden bir daha değiştirilememektedir. Yönetim işini Local Active Directory devralmaktadır.
-Match işlemi sonrası Cloud üzerindeki kullanıcıların passwordleri geçerliliğini kaybediyor olacak.Local Active Directory’de bulunan kullanıcının şifresi geçerli olacak ve Cloud üzerindeki eşleştiği account’ın üzerine Local GPO’dan gelen policy kurallarını yazıyor olacak.
Makelenin 2.bölümünde ise Hard Match kavramını anlatıyor olacağım.