Azure AD Connect Health ile Hibrit Kimliklerin Güvenliğini Sağlama

Azure AD Connect Health ile Hibrit Kimliklerin Güvenliğini Sağlama

06/01/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, hibrit kimlikleri izlemek ve güvence altına almak için Microsoft Entra Connect Health'i (eski adıyla Azure AD Connect Health) kullanma konusunda rehberlik etmeyi amaçlamaktadır. Azure AD Connect Health, Azure AD Connect, Active Directory Federasyon Hizmetleri (AD FS) ve Active Directory etki alanı denetleyicileri dahil olmak üzere şirket içi kimlik altyapınızın birleştirilmiş bir görünümünü sağlayan, kimlik senkronizasyonunun ve kimlik doğrulamanın güvenilir ve güvenli bir şekilde çalışmasını sağlamaya yardımcı olan bir izleme hizmetidir [1].

Giriş

Pek çok kuruluş için kimlik yönetimi, özellikle kimliklerin hem şirket içi Active Directory'de hem de buluttaki Microsoft Entra ID'de mevcut olduğu hibrit ortamlarda karmaşık bir zorluktur. Bu kimliklerin senkronize edilmesi ve doğrulanması, kaynaklara ve hizmetlere erişim açısından kritik öneme sahiptir. Senkronizasyon hataları veya performans sorunları, hizmet kesintilerine, güvenlik sorunlarına ve kullanıcının hayal kırıklığına uğramasına neden olabilir. Azure AD Connect Health, hibrit kimlik sorunlarını proaktif olarak tanımlamanıza ve çözmenize olanak tanıyan izleme ve raporlama araçları sağlayarak ortamınızın sağlığını ve güvenliğini sağlar [2].

Bu pratik kılavuz, Azure AD Connect Health aracılarının yüklenmesini, izlemeyi yapılandırmayı, eşitleme raporlarını analiz etmeyi, yaygın hataları tanımlamayı ve sorun gidermeyi ve sağlıklı ve güvenli bir hibrit kimlik ortamını korumaya yönelik en iyi uygulamaları kapsayacaktır. Okuyucuların Azure AD Connect Health'i etkili bir şekilde uygulayabilmesi ve yönetebilmesi, hibrit kimliklerini koruyabilmesi ve iş sürekliliğini sağlayabilmesi için adım adım talimatlar, arayüz kullanım örnekleri ve doğrulama yöntemleri sağlanacak.

Azure AD Connect Health neden önemlidir?

  • Proaktif İzleme: Senkronizasyon, performans ve kullanılabilirlik sorunları kullanıcıları etkilemeden önce uyarı ve bildirimler sağlar.
  • Merkezi Görünürlük: Hibrit kimlik altyapınızın tüm bileşenlerinin durumunu izlemek için tek bir ekran sağlar.
  • Ayrıntılı Raporlama: Eşitleme hataları, kimlik doğrulama etkinlikleri ve AD FS kullanımı hakkında raporlar oluşturarak denetimi ve uyumluluğu kolaylaştırır.
  • Basitleştirilmiş Sorun Giderme: Senkronizasyon ve kimlik doğrulama sorunlarını hızla teşhis edip çözmeye yardımcı olarak kesinti süresini azaltır.
  • Gelişmiş Güvenlik: Güvenlik risklerine işaret edebilecek yanlış yapılandırmaları ve şüpheli kullanım kalıplarını tanımlar.

Önkoşullar

Azure AD Connect Health'i kullanmak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Entra ID Ücretsiz, Premium P1 veya Premium P2 lisansı. Azure AD Connect Health, bu lisansların tümüne dahildir [3].
  2. Yönetim Erişimi: Hizmeti yapılandırmak için Microsoft Enter ID'de "Genel Yönetici" rolüne sahip bir hesap.
  3. Azure AD Connect: Şirket içi Active Directory ile Microsoft Entra ID arasındaki kimlikleri senkronize etmek için bir Azure AD Connect örneği yüklenmeli ve yapılandırılmalıdır.
  4. Ağ Bağlantısı: Azure AD Connect sunucusu ve/veya AD FS sunucularının, Azure AD Connect Health uç noktalarına (TCP bağlantı noktaları 443) giden bağlantıya sahip olması gerekir.

Adım Adım: Azure AD Connect Health'i Yapılandırma ve Kullanma

Aracıların kurulumunu ve kimlik senkronizasyonunun izlenmesini ele alacağız.

1. Microsoft Portal'a erişim Yönetici merkezine girin

  1. Tarayıcınızı açın ve https://entra.microsoft.com adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Sol gezinme bölmesinde Koruma > Azure AD Connect'i seçin.

2. Azure AD Connect Health Agent'ları Yükleme

Aracılar, Azure AD Connect kurulumu sırasında otomatik olarak yüklenir. Ancak bunları yeniden yüklemeniz veya AD FS sunucularına veya Etki Alanı Denetleyicilerine yüklemeniz gerekiyorsa şu adımları izleyin:

  1. Azure AD Connect sayfasında Azure AD Connect Health'e tıklayın.
  2. Azure AD Connect Health sol gezinti bölmesinde Bağlantı Eşitleme'yi seçin.

  3. Aracı kurulmamışsa veya güncel değilse bir uyarı göreceksiniz. Yükle'ye tıklayınr aracısı veya Aracıyı indir.

  4. Azure AD Connect'in yüklü olduğu sunucuda (veya AD FS/Etki Alanı Denetleyicisi sunucusunda) aracı yükleyicisini ("AdHealthAgentSetup.exe") çalıştırın.

  5. Sihirbazın talimatlarını izleyin. Kurulum sırasında aracıyı kaydetmek için Microsoft Entra ID 'Global Yönetici' hesabıyla oturum açmanız istenecektir.

  6. Başarılı kurulumun ardından aracı, verileri toplamaya ve Azure AD Connect Health hizmetine göndermeye başlayacaktır.

3. Kimlik Senkronizasyonunu İzleme

Azure AD Connect Health panosu, senkronizasyon durumunuzun ayrıntılı bir görünümünü sağlar.

  1. Azure AD Connect Health panosunda Bağlantı Eşitleme'yi seçin.
  2. Senkronizasyon hizmetlerinin bir listesini göreceksiniz. Eşitleme hizmetinize tıklayın (genellikle Azure AD Connect sunucunuzun adı).
  3. Genel bakış panelinde aşağıdakiler görüntülenir:
    • Senkronizasyon Durumu: Senkronizasyonun doğru şekilde çalışıp çalışmadığını gösterir.
    • Senkronizasyon Hataları: Çözülmesi gereken senkronizasyon hatalarının tablosu ve listesi.
    • Senkronizasyon Gecikmesi: Değişikliklerin senkronize edilmesi için gereken süre.
    • Dışa Aktarılan Değişiklikler: Microsoft Entra ID'ye aktarılan nesnelerin sayısı.

4. Senkronizasyon Hatalarını Analiz Etme

Azure AD Connect Health, eşitleme hatalarını tanımlamanıza ve tanılamanıza yardımcı olur.

  1. Senkronizasyon hizmetine genel bakışta Senkronizasyon Hataları bölümünü tıklayın.
  2. Türe göre kategorize edilmiş hataların bir listesini göreceksiniz (örneğin, 'AttributeConflict', 'DuplicateValue').
  3. Aşağıdakiler de dahil olmak üzere ayrıntıları görüntülemek için belirli bir hataya tıklayın:
    • Etkilenen Nesneler: Hataya neden olan nesnelerin listesi.
    • Hata Ayrıntıları: Hatanın açıklaması ve önerilen çözüm.
    • Çakışan Nitelikler: Bir öznitelik çakışmasıysa, soruna hangi özniteliklerin neden olduğu.

5. AD FS'yi İzleme (varsa)

Federasyon için AD FS kullanıyorsanız Azure AD Connect Health, AD FS sunucularınızın durumunu ve performansını izleyebilir.

  1. Azure AD Connect Health panosunda Federasyon Hizmetleri'ni seçin.
  2. Aşağıdakileri içeren AD FS ortamınıza genel bir bakış göreceksiniz:
    • Sunucu Durumu: AD FS ve Web Uygulama Proxy sunucularının durumu.
    • Kimlik Doğrulama Hataları: Başarısız kimlik doğrulama girişimlerine ilişkin raporlar.
    • Performans: Kimlik doğrulama isteklerine ilişkin performans ölçümleri.

6. Etki Alanı Denetleyicilerini İzleme (varsa)

Azure AD Connect Health, şirket içi etki alanı denetleyicilerinizin durumunu da izleyebilir.

  1. Azure AD Connect Health panosunda Active Directory Etki Alanı Hizmetleri'ni seçin.
  2. Aşağıdakiler de dahil olmak üzere etki alanı denetleyicilerinize ilişkin bir genel bakış göreceksiniz:
    • Sunucu Durumu: Etki alanı denetleyicilerinin durumu.
    • Uyarılar: Çoğaltma, performans veya diğer sorunlarla ilgili uyarılar.

Doğrulama ve Test Etme

Azure AD Connect Health uygulamanızı doğrulamak, uygulamanın doğru şekilde izlenmesini ve doğru bilgi sağlanmasını sağlamak açısından çok önemlidir.

1. Temsilci Durumunu Kontrol Etme

  1. Azure AD Connect Health portalında, ilgili tüm sunucular (Azure AD Connect, AD FS, Etki Alanı Denetleyicileri) için aracı durumunun 'Etkin' olduğunu doğrulayın.

2. Senkronizasyon Hatasını Simüle Etme

  1. Bir test ortamında, yerel Active Directory'de senkronizasyon çakışmasına neden olabilecek bir özniteliğe sahip bir kullanıcı oluşturun (örneğin: Microsoft Entra ID'de mevcut bir kullanıcıyla kopyalanan 'proxyAddresses').
  2. Azure AD Connect eşitleme döngüsünü zorunlu kılın: ```powershell İçe Aktarma Modülü ADSync Start-ADSyncSyncCycle -PolicyType Delta ''''
  3. Birkaç dakika bekleyin ve eşitleme hatasının algılanıp raporlanmadığını görmek için Azure AD Connect Health panosunu kontrol edin.

3. Uyarıları ve Bildirimleri Kontrol Etme

  1. Azure AD Connect Health'te kritik uyarılar için e-posta bildirimlerinin yapılandırıldığından emin olun.
  2. Simüle edilmiş senkronizasyon hatasıyla ilgili uyarı alıp almadığınızı görmek için gelen kutunuzu kontrol edin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Kapsamlı Kurulum: Altyapınızın eksiksiz bir görünümünü elde etmek için Azure AD Connect Health aracılarını ilgili tüm sunuculara (Azure AD Connect, AD FS, Etki Alanı Denetleyicileri) yükleyin.kimlik yapısı.
  • Uyarı Yapılandırması: Sorunlar hakkında proaktif olarak bilgilendirilmek üzere kritik senkronizasyon, performans ve kullanılabilirlik olaylarına yönelik uyarıları yapılandırın.
  • Düzenli Hata İncelemesi: Kimlik verilerinin bütünlüğünü korumak ve erişim sorunlarını önlemek için senkronizasyon hatalarını düzenli olarak izleyin ve çözün.
  • Azure AD Connect bakımı: En son özelliklere ve güvenlik düzeltmelerine sahip olduğunuzdan emin olmak için Azure AD Connect yazılımınızı güncel tutun.
  • Yedekleme ve Kurtarma: Azure AD Connect sunucunuz ve şirket içi Active Directory veritabanınız için bir yedekleme ve kurtarma planınız olsun.
  • En Az Ayrıcalık İlkesi: Azure AD Connect hizmet hesabının ve Connect Health aracıları tarafından kullanılan hesapların yalnızca gerekli izinlere sahip olduğundan emin olun.
  • Sunucu Güvenliği: Kimlik altyapınızın kritik bileşenleri olduğundan Azure AD Connect sunucunuzu ve AD FS sunucularınızı en iyi güvenlik uygulamalarıyla (yama, antivirüs, güvenlik duvarı vb.) koruyun.

Genel Sorun Giderme

  • Aracı bağlanmıyor: Sunucudan Azure AD Connect Health uç noktalarına olan ağ bağlantısını kontrol edin. Güvenlik duvarının 443 numaralı bağlantı noktasında giden trafiğe izin verdiğini doğrulayın. Aracıyla ilgili hatalar için sunucudaki olay günlüklerini kontrol edin.
  • Kontrol panelindeki veriler güncel değil: Temsilci verilerinin hizmetle senkronize edilmesinde gecikme olabilir. Aracının sunucuda çalıştığını doğrulayın. Gerekirse aracı hizmetini yeniden başlatın.
  • Kalıcı senkronizasyon hataları: Azure AD Connect Health panosundaki hata ayrıntılarını inceleyin. Temel nedeni araştırmak için Azure AD Connect sorun giderme araçlarını (örneğin, 'Senkronizasyon Hizmet Yöneticisi') kullanın. Öznitelik çakışmaları yaygındır ve genellikle şirket içi Active Directory'de veri düzeltmesi gerektirir.
  • Yanlış uyarılar: Uyarı ayarlarını ve eşiklerini inceleyin. Çok fazla alakasız uyarı üretiyorlarsa bunları ayarlayın.
  • AD FS performans sorunları: AD FS performans ölçümlerini izlemek ve performans sorunlarını belirlemek için Azure AD Connect Health'i kullanın. AD FS sunucularındaki olay günlüklerini kontrol edin.

Sonuç

Azure AD Connect Health, hibrit kimlik ortamları işleten kuruluşlar için vazgeçilmez bir araçtır. Proaktif izleme, merkezi görünürlük ve sorun giderme yetenekleri sağlayarak, BT ve güvenlik ekiplerine kimlik altyapılarının sağlığını, performansını ve güvenliğini koruma gücü verir. Azure AD Connect Health'in etkili bir şekilde uygulanması ve yönetimi, kimlik senkronizasyonunun ve kimlik doğrulamanın güvenilir bir şekilde çalışmasını sağlayarak kesintileri en aza indirir ve güvenlik tehditlerine karşı koruma sağlar. Bu pratik kılavuzla güvenlik uzmanları, hibrit kimliklerin korunmasını güçlendirerek kuruluşun kaynaklarına sürekli ve güvenli erişim sağlayabilecek.

Referanslar:

[1] Microsoft Learn. Microsoft Entra Connect Health nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect [2] Microsoft Learn. Microsoft Entra Connect Health'i senkronizasyonla kullanma. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/how-to-connect-health-sync [3] Microsoft Learn. Microsoft Entra Connect Health lisanslama gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/hybrid/connect/whatis-azure-ad-connect#license-requirements