Azure AD Connect’te Device Writeback Etkinleştirme İşlemleri

Posted on July 11, 2025by Ali Koc

Device Writeback, kayıtlı Azure AD cihazlarının şirket içi Active Directory’nize geri yazılmasına olanak tanıyan bir Azure AD Connect özelliğidir. Bu özellik, AD FS (Windows Server 2012 R2 veya üzeri) tarafından korunan uygulamalar için Koşullu Erişim ilkelerini zorunlu kılmak istediğiniz durumlarda önemlidir .

Device Writeback özelliğini etkinleştirerek hassas uygulamalara erişimin yalnızca güvenilir ve kayıtlı aygıtlara verilmesini sağlayabilir ve ek bir güvenlik katmanı sağlayabilirsiniz.

🔐 Kullanım Örneği:

Kullanıcının uyumlu, kayıtlı bir cihazdan oturum açması durumunda yalnızca AD FS aracılığıyla dahili bir İK uygulamasına erişim izni verilmesi.

Gereksinimler

• ✅ Azure AD Premium Aboneliği: Cihaz Geri Yazma için etkin bir Azure AD Premium lisansı gerekir.

  • 🌲 Single Forest Sınırlaması: Cihazlar ve kullanıcılar aynı Active Directory ormanında bulunmalıdır . Çok ormanlı kullanıcı dağıtımları şu anda desteklenmemektedir .

Active Directory’yi Hazırlayın

Aygıt geri yazma özelliğini kullanmaya hazırlanmak için aşağıdaki adımları izleyin.

  1. Azure AD Connect’in yüklü olduğu makineden PowerShell’i yükseltilmiş modda başlatın.
  2. Active Directory PowerShell modülü KURULU DEĞİLSE, aşağıdaki komutu kullanarak kurun:
  3. Install-WindowsFeature –Name AD-DOMAIN-Services –IncludeManagementTools
  4. Kurumsal yönetici kimlik bilgilerinizle aşağıdaki komutları çalıştırın ve ardından PowerShell’den çıkın.
  5. Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
  6. Initialize-ADSyncDeviceWriteback {Optional:–DomainName [name] Optional:-AdConnectorAccount [account]}

Device Writeback Yapılandırma Ayrıntıları

Device Writeback özelliğini etkinleştirdiğinizde , gerekli bileşenler henüz mevcut değilse Azure AD Connect aşağıdaki eylemleri gerçekleştirir:

• 📁 Gerekli Kapsayıcıları Oluşturur:

• Creates and configures the container CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].

• Creates and configures the container CN=RegisteredDevices,[domain-dn], where device objects will be stored.

• 🔐 Gerekli İzinleri Atamak:

• Azure AD Bağlayıcısı hesabına, Active Directory’deki cihaz nesnelerini yönetmek için gerekli izinleri verir .

Single Forest Gereksinimi:

  • Azure AD Connect birden fazla ormana dağıtılsa bile yapılandırmanın yalnızca tek bir ormanda gerçekleştirilmesi gerekir .

Yapılandırma Parametreleri

• Alan Adı

• Aygıt nesnelerinin oluşturulacağı Active Directory etki alanını belirtir.

• ⚠️ Not: Belirli bir ormana ait tüm cihaz nesneleri tek bir etki alanında saklanır .

• AdConnectorHesabı

• Azure AD Connect tarafından dizindeki nesneleri yönetmek için kullanılan Active Directory hesabı .

• Bu, AD’ye bağlanan senkronizasyon hesabıdır .

• Kurulum sırasında Hızlı Ayarlar’ı kullandıysanız , bu hesap genellikle MSOL_ ile başlar

Bölüm 3: Azure AD Connect’te cihaz geri yazmayı etkinleştirin

  1. Kurulum sihirbazını tekrar çalıştırın. Ek Görevler sayfasından senkronizasyon seçeneklerini özelleştir’i seçin ve İleri’ye tıklayın.

İsteğe Bağlı Özellikler sayfasında, cihaz geri yazma özelliği artık gri renkte görünmeyecek. Azure AD Connect hazırlık adımları tamamlanmazsa, İsteğe Bağlı Özellikler sayfasında cihaz geri yazma özelliğinin gri renkte görüneceğini lütfen unutmayın. Cihaz geri yazma kutusunu işaretleyin ve İleri’ye tıklayın. Onay kutusu hala devre dışıysa, sorun giderme bölümüne bakın.

Geri yazma sayfasında, varsayılan Aygıt geri yazma ormanı olarak verilen etki alanını göreceksiniz.

Sihirbazın kurulumunu herhangi bir ek yapılandırma değişikliği yapmadan tamamlayın. Gerekirse, Azure AD Connect’in Özel Kurulumu bölümüne bakın.

Koşullu erişimi etkinleştir

Bu senaryoyu etkinleştirmeye yönelik ayrıntılı talimatlar, Azure Active Directory Aygıt Kaydı’nı kullanarak Şirket İçi Koşullu Erişimi Ayarlama bölümünde mevcuttur.

Cihazların Active Directory ile senkronize edildiğini doğrulayın

Aygıt Geri Yazma başarıyla yapılandırıldıktan sonra, beklendiği gibi çalışmaya başlamalıdır. Ancak lütfen dikkat edin:

⏳ Yayılma Gecikmesi:

Cihaz Senkronizasyonu Nasıl Doğrulanır

Senkronizasyon kuralları uygulanıp tamamlandıktan sonra:

Active Directory Yönetim Merkezi’ni (ADAC) açın .

Şuraya gidin:

Federasyon yapılan etki alanının altındaki RegisteredDevices konteyneri.

Beklenen cihaz nesnelerinin bu kapsayıcıda göründüğünü kontrol edin .

Şu anda kayıtlı olan cihazlar orada listelenecektir.

Sorun giderme

İlk yapılandırma adımları tamamlandıktan sonra bile Aygıt Geri Yazma onay kutusu devre dışı kalıyorsa , sorun karşılanmamış ön koşullardan veya yanlış yapılandırmadan kaynaklanıyor olabilir. Aşağıdaki kontrol listesi, Azure AD Connect kurulum sihirbazının onay kutusunu etkinleştirmeden önce neleri doğruladığını özetlemektedir. Bağlayıcılar sekmesini açın.

✅ Ön Kontroller

1. İşletim Sistemi Gereksinimi:

En az bir ormanın Windows Server 2012 R2 veya sonraki sürümünü çalıştırdığından emin olun .

Aygıt Geri Yazma , yalnızca Windows Server 2012 R2’den itibaren kullanılabilen aygıt nesne türü için destek gerektirir .

2. Sihirbaz Zaten Çalışıyorsa Yeniden Başlatın:

Ortamınızda değişiklikler yapılırken (örneğin izinler, şema, işletim sistemi sürümü) Azure AD Connect sihirbazı açıksa , bu değişiklikler tanınmaz.

➤ Mevcut sihirbaz oturumunu tamamlayın ve yeni bir doğrulamayı tetiklemek için yeniden başlatın .

🔐 Hesap Doğrulama Adımları

Başlatma betiğinde doğru Active Directory Bağlayıcı hesabının kullanıldığından emin olun. Doğrulamak için:

1. Başlat menüsünden Eşitleme Hizmetini açın.

2. Bağlayıcılar sekmesine gidin .

3. Type = Active Directory Domain Services olan bağlayıcıyı bulun ve seçin.

4. Eylemler bölmesinin altında Özellikler’e tıklayın .

5. Active Directory Ormanına Bağlan bölümüne gidin .

6. Listelenen etki alanı ve kullanıcı adının, başlatma betiğinizde kullanılan hesapla eşleştiğini onaylayın .

Active Directory’deki yapılandırmayı doğrulayın:

  • Verify that the Device Registration Service is located in the location below (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under configuration naming context.
  • Yapılandırma ad alanında arama yaparak yalnızca bir yapılandırma nesnesi olduğunu doğrulayın. Birden fazla varsa, yineleneni silin.
  • Aygıt Kayıt Hizmeti nesnesinde msDS-DeviceLocation özniteliğinin mevcut olduğundan ve bir değere sahip olduğundan emin olun. Bu konumu arayın ve nesne türü msDS-DeviceContainer ile mevcut olduğundan emin olun.
  • Active Directory Connector tarafından kullanılan hesabın, önceki adımda bulunan Kayıtlı Cihazlar kapsayıcısında gerekli izinlere sahip olduğunu doğrulayın. Bu kapsayıcıda beklenen izinler şunlardır:
  • Active Directory hesabının CN=Device Registration Configuration,CN=Services,CN=Configuration nesnesi üzerinde izinlere sahip olduğunu doğrulayın.

Kaynak:

Microsoft Learn

https://github.com/Huachao

You might also like

Intune ile Cihaz Kontrolü
December 3, 2023
Microsoft ile OAuth-Based Attacks’e Karşı Gerçek Zamanlı Koruma !
March 20, 2025
Tehdit Aktörü Adlandırmasında Yeni Bir Dönem: Microsoft ve CrowdStrike’tan Standartlaşma ve Şeffaflık İçin Stratejik İş Birliği
June 3, 2025
Language »