Active Directory Senkronizasyonunu Devre Dışı Bırakma

Şirketler Microsoft 365 ve Azure bulut hizmetlerine geçiş yaparken, şirket içi Active Directory ile bulut hizmetleri arasında kimlik senkronizasyonunu sağlamak için genellikle Azure AD Connect (eski adıyla DirSync veya Azure AD Sync) kullanırlar. Ancak belirli durumlarda, bu senkronizasyonu devre dışı bırakmanız veya tamamen kaldırmanız gerekebilir.

Bu rehberde, Active Directory senkronizasyonunun ne olduğunu, neden devre dışı bırakmak isteyebileceğinizi ve bu işlemi güvenli bir şekilde nasıl gerçekleştirebileceğinizi ele alacağız.

İçindekiler

1. Active Directory Senkronizasyonu Nedir?
2. Senkronizasyonu Neden Devre Dışı Bırakmalısınız?
3. Devre Dışı Bırakmadan Önce Dikkat Edilmesi Gerekenler
4. Active Directory Senkronizasyonunu Devre Dışı Bırakma Yöntemleri
   • Yöntem 1: Microsoft 365 Yönetici Merkezini Kullanma
   • Yöntem 2: PowerShell ile Devre Dışı Bırakma
   • Yöntem 3: Azure AD Connect Sunucusundan Kaldırma
5. Senkronizasyon Durumunu Doğrulama
6. Senkronizasyon Kaldırıldıktan Sonra Yapılması Gerekenler
7. Sık Karşılaşılan Sorunlar ve Çözümleri
8. Senkronizasyonu Yeniden Etkinleştirme
9. Sonuç

Active Directory Senkronizasyonu Nedir?

Active Directory senkronizasyonu, şirket içi Active Directory ortamınızdaki kullanıcı hesapları, gruplar ve diğer nesneler ile Microsoft 365 ve Azure Active Directory arasında kimlik bilgilerinin otomatik olarak eşitlenmesini sağlayan bir süreçtir. Bu senkronizasyon, Azure AD Connect aracı tarafından yönetilir.

Bu senkronizasyon sayesinde:

• Kullanıcılar tek bir kimlikle hem şirket içi hem de bulut kaynaklarına erişebilir
• Parolaların tek noktadan yönetimi sağlanır (Parola hash senkronizasyonu veya Pass-through Authentication kullanılıyorsa)
• Kuruluş grupları ve diğer dizin nesneleri otomatik olarak bulut ortamına yansıtılır
• Federasyon hizmetleri için gerekli temel yapı sağlanır

Senkronizasyonu Neden Devre Dışı Bırakmalısınız?

Active Directory senkronizasyonunu devre dışı bırakmak için çeşitli nedenler olabilir:

1. Tamamen Buluta Geçiş: Tüm kimlik yönetimini bulut tabanlı yapmaya karar verdiyseniz ve artık şirket içi Active Directory’ye ihtiyacınız yoksa
2. Senkronizasyon Mimarisini Değiştirme: Azure AD Connect yapılandırmanızı önemli ölçüde değiştirmeniz gerekiyorsa (örneğin, farklı bir filtreleme yaklaşımı kullanmak için)
3. Senkronizasyon Sorunları: Senkronizasyonda sürekli hatalar alıyorsanız ve yeniden yapılandırma yapmak istiyorsanız
4. Şirket Birleşmeleri/Satın Almaları: İki farklı Active Directory ormanını birleştiriyorsanız veya yeni bir kimlik yapısına geçiyorsanız
5. Test Ortamından Üretime Geçiş: Test amaçlı bir senkronizasyon kurulumundan üretim ortamına geçiyorsanız
6. Tekilleştirme Sorunları: Tekrar eden veya çakışan nesnelerle ilgili kalıcı sorunlar yaşıyorsanız

Devre Dışı Bırakmadan Önce Dikkat Edilmesi Gerekenler

Active Directory senkronizasyonunu devre dışı bırakmadan önce aşağıdaki önemli noktaları göz önünde bulundurmalısınız:

1. Veri ve Erişim Değerlendirmesi

• Kullanıcı Erişimi: Senkronizasyon devre dışı bırakıldıktan sonra, senkronize edilmiş kullanıcılar Microsoft 365 hizmetlerine erişemeyecektir (yeni kimlik bilgileri oluşturulana kadar)
• Lisans Durumu: Senkronize kullanıcılara atanan lisansların durumunu kontrol edin
• Hybrid Yapılandırmalar: Exchange Hybrid, SharePoint Hybrid gibi yapılandırmalarınız etkilenecektir

2. Yedekleme ve Dokümantasyon

• Mevcut Azure AD Connect yapılandırmanızı belgelendirin
• Azure AD’deki kullanıcıları ve grupları yedekleyin veya dışa aktarın
• UPN (User Principal Name) değerlerini ve diğer kritik kullanıcı özelliklerini kaydedin

3. İletişim Planı

• Kullanıcıları olası kesintiler hakkında bilgilendirin
• Yönetici ekibine yapılacak değişiklikleri detaylı bir şekilde açıklayın
• Acil durum planı ve geri dönüş stratejisi oluşturun

4. Zamanlama

• Düşük kullanım saatlerinde işlemi gerçekleştirin
• Yeterli test süresi ve kesinti penceresi planlayın
• Hafta sonu veya iş saatleri dışında bu işlemi yapmayı düşünün

Active Directory Senkronizasyonunu Devre Dışı Bırakma Yöntemleri

Yöntem 1: Microsoft 365 Yönetici Merkezini Kullanma

Bu yöntem, Microsoft 365 admin portal üzerinden senkronizasyonu devre dışı bırakmak için kullanılır:

1. Microsoft 365 Yönetici Merkezi‘ne Global Yönetici kimlik bilgileriyle giriş yapın
2. Sol menüden Ayarlar > Org ayarları‘na tıklayın
3. Profil sekmesini seçin
4. Dizin senkronizasyonu bölümünü bulun
5. “Dizin senkronizasyonu etkin” seçeneğini kapatın
6. Açılan pencerede süreci anladığınızı doğrulayın ve Devre dışı bırak‘a tıklayın

Bu işlem tamamlandığında, Microsoft 365 artık şirket içi Active Directory’den güncellemeleri kabul etmeyecektir.

Yöntem 2: PowerShell ile Devre Dışı Bırakma

PowerShell kullanarak senkronizasyonu devre dışı bırakmak daha fazla kontrol sağlar ve daha büyük ortamlar için tercih edilir:

1. Windows PowerShell’i yönetici olarak başlatın
2. MSOnline PowerShell modülünü yükleyin (yüklü değilse):

Install-Module -Name MSOnline

3. Microsoft 365’e Global Yönetici kimlik bilgileriyle bağlanın:

Connect-MsolService

4. Mevcut dizin senkronizasyonu durumunu kontrol edin:

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

5. Senkronizasyonu devre dışı bırakmak için:

Set-MsolDirSyncEnabled -EnableDirSync $false

6. Onay istendiğinde “Y” yazıp Enter tuşuna basın
7. Senkronizasyon durumunu kontrol edin (False olarak görünmelidir):

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

Yöntem 3: Azure AD Connect Sunucusundan Kaldırma

Senkronizasyonu tamamen kaldırmak ve Azure AD Connect’i sunucudan silmek için:

1. Azure AD Connect kurulu sunucuya yerel yönetici olarak giriş yapın
2. Kontrol Paneli > Programlar ve Özellikler‘e gidin
3. Listeden Microsoft Azure AD Connect‘i bulun ve Kaldır‘a tıklayın
4. Azure AD Connect kaldırma sihirbazını takip edin
5. İşlem tamamlandıktan sonra sunucuyu yeniden başlatın

Senkronizasyon Durumunu Doğrulama

Senkronizasyonun başarıyla devre dışı bırakıldığını doğrulamak için:

Microsoft 365 Yönetici Merkezi Üzerinden Doğrulama

1. Microsoft 365 Yönetici Merkezi‘ne giriş yapın
2. Kullanıcılar > Aktif Kullanıcılar‘a gidin
3. Herhangi bir kullanıcı için listede “Şirket içi Eşitleme” sütununu kontrol edin – artık kullanıcılarda “Senkronize” etiketi olmamalıdır

PowerShell ile Doğrulama

1. MSOnline PowerShell modülünü kullanarak bağlanın:

Connect-MsolService

2. Senkronizasyon durumunu kontrol edin:

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

Çıktı aşağıdaki gibi olmalı
DisplayName OnPremisesSyncEnabled
----------- ---------------------
domain


3 numaranın artık blulut şekline dönmesi gerekiyor

3. Kullanıcıların senkronizasyon durumunu kontrol edin:

Get-MsolUser | Where-Object {$_.ImmutableId -ne $null} | Select-Object UserPrincipalName, ImmutableId

Senkronizasyon başarıyla devre dışı bırakıldıysa, yeni oluşturulan kullanıcıların ImmutableId değeri boş olacaktır.

Senkronizasyon Kaldırıldıktan Sonra Yapılması Gerekenler

Senkronizasyon devre dışı bırakıldıktan sonra, ortamınızı yeni duruma göre ayarlamanız gerekir:

1. Kullanıcı Hesaplarını Dönüştürme

Senkronize edilmiş kullanıcılar otomatik olarak bulut kullanıcılarına dönüştürülmez. Kullanıcıların erişimi için:

• Her kullanıcı için yeni bulut parolaları oluşturun
• Convert-MsolDirSyncEnabled PowerShell komutu kullanarak toplu dönüştürme yapın
• Gerekirse kullanıcı özniteliklerini manüel olarak güncelleyin

2. Grupları Yeniden Oluşturma

• Önemli dağıtım grupları ve güvenlik grupları için bulut sürümlerini oluşturun
• Grup üyeliklerini yeniden yapılandırın

3. Uygulama Yapılandırmalarını Güncelleme

• SSO (Tek Oturum Açma) bağımlılıklarını kontrol edin
• Uygulama izinlerini ve atamalarını gözden geçirin
• Gerekirse koşullu erişim politikalarını güncelleyin

4. Lisans Yönetimi

• Lisansların doğru kullanıcılara atandığını doğrulayın
• Grup tabanlı lisanslamaları gözden geçirin

Sık Karşılaşılan Sorunlar ve Çözümleri

Sorun 1: Senkronizasyon Devre Dışı Bırakılamıyor

Belirtiler: Set-MsolDirSyncEnabled komutu çalışmıyor veya portal üzerinden devre dışı bırakma işlemi tamamlanmıyor.

Çözüm:

1. Global Yönetici yetkinizin olduğundan emin olun
2. Son senkronizasyonun tamamlanmasını bekleyin
3. Microsoft destek ile iletişime geçin

Sorun 2: Kullanıcılar Erişim Kaybediyor

Belirtiler: Senkronizasyon kaldırıldıktan sonra kullanıcılar Microsoft 365 hizmetlerine erişemiyor.

Çözüm:

1. Kullanıcı hesaplarını bulut hesaplarına dönüştürün
2. Kullanıcılara yeni parolalar atayın
3. Lisansların doğru atandığından emin olun

Sorun 3: “Eşitleme İşlemi Devam Ediyor” Hatası

Belirtiler: Senkronizasyonu devre dışı bırakmaya çalışırken “Dizin eşitleme işlemi devam ediyor” hatası alınıyor.

Çözüm:

1. 72 saat bekleyin (bazen sistemin senkronizasyon durumunu güncellemesi zaman alabilir)
2. AAD Connect Health durumunu kontrol edin
3. Microsoft Destek ile iletişime geçin

Senkronizasyonu Yeniden Etkinleştirme

Gelecekte senkronizasyonu yeniden etkinleştirmeniz gerekirse:

Azure AD Connect’i Yeniden Yükleme

1. En son Azure AD Connect sürümünü indirin
2. Kurulum sihirbazını çalıştırın
3. “Express settings” veya “Customize” seçeneğini tercih edin
4. Global Yönetici kimlik bilgilerinizi girin ve kurulumu tamamlayın

PowerShell ile Etkinleştirme

Senkronizasyonu PowerShell ile etkinleştirmek mümkün değildir. Azure AD Connect’in yüklenmesi gerekir.

Active Directory senkronizasyonunu devre dışı bırakmak, Microsoft 365 ve Azure AD ortamınızı önemli ölçüde etkileyen bir karardır. Bu işlem, kullanıcıların kimlik doğrulamasını, erişim haklarını ve genel kullanıcı deneyimini değiştirir.

Bu rehberde açıklanan adımları dikkatle uyguladığınızda, senkronizasyonu güvenli bir şekilde devre dışı bırakabilir ve bulut kimlik yönetimine geçişinizi sorunsuz bir şekilde tamamlayabilirsiniz.

Çok büyük veya karmaşık ortamlarda, bu işlemi gerçekleştirmeden önce Microsoft Premier Support veya bir danışmanlık hizmeti ile iletişime geçmeniz önerilir.

Not: Microsoft’un hizmetleri ve özellikleri zaman içinde değişebilir. Bu rehberi takip ederken, Microsoft’un resmi belgelerini de kontrol etmeniz önerilir.