Azure Active Directory Seamless Single Sign On Etkinleştirme
Bölüm 5 —EMS’in etkin kullanımı için Azure SSO etkinleştirme işlemi nasıl yapılır?
Bu makalede Microsoft Enterprise Mobility + Security E5'in etkin kullanımı için Azure Seamless Single Sign On teknolojisinin nasıl etkinleştirileceğini anlatacağım.
Adım 1: Microsoft Azure Active Directory Connect aracını açarak başlıyoruz.
Adım 2: Change user sign-in bölümüne tıklayıp kullanıcı doğrulamasını geçiyoruz.
Adım 3: Ayarlar aşağıdaki gibi olacak.
SSO oturum açma metodu sadece Password Hash Synchronization veya Pass-through Authentication metodları ile çalışmaktadır. Bunların dışında bir oturum açma metodundan enable single sign-on seçili olsa bile çalışmaz. Bu özellik ayrıca modern authantication yöntemine de gereksinim duyar, basic authantication’da çalışmaz.
Adım 4
Daha sonra Azure Active Directory paneline giderek, Azure Active Directory > Yönet > Azure AD Connect = Etkin olmalıdır.
Group Policy Ayarları ile SSO Etkinleştirme
Bu adımları teyit ettikten sonra Group Policy üzerinden Internet Explorer için Intranet ayarları yapacağız. Bu ayarlar dilerseniz Firefox dahil başka tarayıcılar için de mevcuttur. Tarayıcıların Azure AD URL’ini intranet bölgesinin bir parçası olarak görmesi, doğru bir şekilde ticket alabilmesi için bu ayarları yapmamız gerekmektedir.
Group Policy Management konsolunda yeni bir GPO oluşturup bir isim veriyoruz.
User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page içerisindeki “Site to Zone Assignment List” eklenecek url: https://autologon.microsoftazuread-sso.com value=1
Linkin şirketlerde fiziki güvenlik duvarına takılmaması için gerekli ayrıcalıkları vermenizi tavsiye ederim.
Ok diyerek kaydediyoruz.
Yeni ayar yapacağımız alan aşağıdaki gibi olmalıdır.
User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Intranet Zone “Allow updates to status bar via script” Enable yapıp onaylıyoruz.
Daha sonra kayıt defterine bazı değerler girmeliyiz. İlk olarak “User Configuration\Preferences\Windows Settings\ “New”> “Registry item” olarak ilerleyip aşağıdaki gibi ayarlıyoruz.
- Key Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
- Value name: https
- Value type: REG_DWORD
- Value data: 00000001
İşlemler bittikten sonra oluşturduğumuz GPO ayarını hangi OU için kullanacaksak ona bağlıyoruz ve gpupdate/force komutu ile hızlı bir dağıtım yapıyoruz.
Tüm adımlar doğru bir şekilde tamamlanıp eşitleme başarılı olduğunda Azure AD lokal Active Directory sunucunuzda vasrayılanda Computers kabının içerisine AZUREADSSOAAC isimli bir bilgisayar hesabı ekliyor. Bu bilgisayar hesabı çok önemlidir, başka bir OU’ya taşımanızda bir sakınca yoktur.
Böylece konfigürasyon işlemleri bitmiş bulunuyor. Artık Microsoft Enterprise Mobility + Security E5 için pratik uygulamaların makalesine serinin devamına mümkün olduğunca ekliyor olacağım. Bölüm 6'da görüşmek üzere…
