Kullanıcı-parola temelli Directory Synchronization Account (DSA) devri kapandı. Microsoft Entra Connect Sync artık OAuth 2.0 client credentials akışıyla çalışan sertifika korumalı bir uygulama kimliği (Application-Based Authentication – ABA) sunuyor.
Neden ABA?
- Entegre güvenlik: Sertifika + uygulama bağlamı sayesinde parolalar, servis hesabı sızıntıları ve MFA devre dışı bırakma senaryoları ortadan kalkar.
- Otomatik anahtar döngüsü: Yönetimi Microsoft’a bırakırsanız sertifika vadesine 150 gün kala uyarı (Event 1011) vade dolduğunda hata (1012) düşer ve Connect kendi kendine yeni anahtarı üretip eskisini siler learn.microsoft.com.
- Modern denetim: Tüm kimlik doğrulama olayları Entra oturum açma günlüklerinde “Application” türü olarak görünür.
Sertifika & Uygulama Yönetim Modelleri
| Model | Kim Yönetecek? | Sertifika Konumu | Otomatik Rotasyon | Tipik Kullanım |
|---|---|---|---|---|
| Managed (Önerilen) | Entra Connect | CURRENT_USER (TPM varsa donanım korumalı) | ✔ | Hızlı ve risksiz kurulum |
| BYOA | Kuruluş | LOCAL_MACHINE | ❌ (manuel) | Sertifika/i̇zin politikalarını zaten otomatik yöneten büyük şirketler |
| BYOC | Kuruluş | LOCAL_MACHINE | ❌ (manuel) | HSM/TPM’de tutulan anahtarlar; sıkı regülasyon |
İpucu: TPM veya HSM kullanmayan BYOC senaryolarında Event 1014 uyarısını alırsınız bağımsız anahtarı donanımda saklamanız önerilir.
Önkoşullar
- Connect sürümü: ≥ 2.5.3.0 (yalnızca Entra admin center’dan indirilebilir)
- Rol: Hybrid Identity Administrator (veya üzeri) hesabı
- OS: Windows Server 2016+ (on-prem AD)
- Opsiyonel güvenlik: TPM 2.0 hazır durumda – BYOC için şart gibidir
- Ek BYOC gereksinimleri: RSA 2048 / SHA-256, non-exportable; sertifika HSM-TPM’de üretilip
LOCAL_MACHINEdeposuna konur
Kurulum & Yükseltme
Sıfırdan Kurulum (Managed)
- Entra admin center → Identity → Hybrid Management → Microsoft Entra Connect
- Get Started → Manage → Download Connect Sync Agent
- Kurulum sihirbazında “Configure application-based authentication” onay kutusunu işaretleyin.
- Kurulum bittiğinde
Get-ADSyncEntraConnectorCredentialçıktısındaConnectorIdentityType : Applicationgörünür.
Mevcut Sunucuyu Yükseltme
- Yükseltme sonrası sihirbaz “Configure application-based authentication to Microsoft Entra ID (Preview)” görevini önerir. Atladıysanız Tasks menüsünden tekrar çalıştırabilirsiniz
PowerShell ile Ayrıntılı Onboarding (BYOC / BYOA Senaryoları)
# 1) Mevcut kimlik türünü kontrol et
Get-ADSyncEntraConnectorCredential
# 2) Senkronizasyonu durdur
Set-ADSyncScheduler -SyncCycleEnabled $false
# 3) Uygulamayı kaydet (Managed model için)
Add-EntraApplicationRegistration
# BYOC: Add-EntraApplicationRegistration -CertificateSHA256Hash <hash>
# BYOA: <Önce portalda uygulamayı oluşturun>
# 4) Uygulamayı Connect’le ilişkilendir
Add-ADSyncApplicationRegistration
# BYOC: Add-ADSyncApplicationRegistration -CertificateSHA256Hash <hash>
# BYOA: Add-EntraApplicationRegistration -CertificateSHA256Hash <hash> -ApplicationAppId <AppID>
# 5) Doğrula
Get-ADSyncEntraConnectorCredential
# 6) Scheduler’ı yeniden başlat
Set-ADSyncScheduler -SyncCycleEnabled $true
# 7) Önerilen: Eski DSA hesabını kaldır
Remove-ADSyncAADServiceAccount
Sertifikayı Görüntüleme & Özellikler
Tasks → View or export current configuration yolundan: Thumbprint, SHA-256 hash, Not valid before/after, “Automatic rotation enabled” gibi alanları görebilirsiniz
Rotasyon Mekanizması
| Senaryo | Ne Olur? | Yapmanız Gereken | İlgili Event |
|---|---|---|---|
| Managed – süresi ≤ 150 gün | Uyarı logu | İzle | 1011 |
| Managed – süresi doldu | Connect yeni sertifika üretir; eskisini siler | Scheduler devrede kalmalı | 1012 |
| BYOC/BYOA – uyarı | Connect log yazar | Yeni sertifika + Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash | 1011 |
| BYOC/BYOA – manuel döngü | Her zaman tetiklenebilir | Yukarıdaki cmdlet | – |
SHA-256 hash’i hızlı üretmek için:
$sha256 = [Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($cert.GetRawCertData())
[Convert]::ToHexString($hashBytes)
Geri Dönüş
Set-ADSyncScheduler -SyncCycleEnabled $false
Add-ADSyncAADServiceAccount # Eski servis hesabını geri ekle
Get-ADSyncEntraConnectorCredential # Tür: ServiceAccount
Set-ADSyncScheduler -SyncCycleEnabled $true
En İyi Güvenlik Uygulamaları
- TPM/HSM kullanın: Anahtarlar donanım sınırında kalsın.
- Uygulama izinlerini en aza indirin: ADSynchronization.ReadWrite.All harici izin eklemeyin; BYOA ise gerçekten gereken Graph izinlerini tek tek verin.
- RBAC: Entra tarafında Hybrid Identity Administrator rolünü birden fazla kişiye vermeyin.
- Log denetimi: Sign-in ve Audit loglarında beklenmedik IP/headers var mı kontrol edin.
- Döngü tarihini izleyin: Event 1011/1012 dışındaki hatalar (ör. Application permission değişikliği) Connect sunucusu olay günlüklerinde çıkar.
