Bu makalede Office 365 altyapısının lokal Active Directory ile senkronizasyonunu sağlayan DirSync işleminin OU, Domain ve Attribute bazında nasıl filtrelenebileceğini inceleyeceğiz. Bu işlemi yapmamızın amacı Active Directory’ de var olan tüm öğelerin Office 365 üzerine senkronize olması yerine, yalnızca belirttiğimiz öğelerin senkronize olmasını sağlayarak, Office 365 kullanıcı yönetimi açışından kolaylık sağlamak olacaktır.
Office 365 altyapısı ile Active Directory’ nin senkronizasyonunu sağlayan Office 365 Active Directory Synchronization Tool hiçbir filtreleme işlemi yapılmadan çalıştırılırsa, Active Directory üzerinde bulunan tüm kullanıcılar, security ve distribution gruplar Office 365 üzerine eşitlenecektir. Fakat biz yapacağımız bazı işlemler ile yalnızca istediğimiz öğelerin Office 365 üzerine sync olmasını sağlayabilmekteyiz.
Bu işlemi 3 farklı kriterde gerçekleştirebilmekteyiz;
OU Bazında: Yalnızca belirttiğimiz organizational unitler içerisindeki nesnelerin Office 365′ e eşitlenmesini sağlarız.
Domain Bazında: Yalnızca belirttiğimiz domain içerisindeki nesneler Office 365 ile eşitlenir.
Kullanıcı Attribute Bazında: Yalnızca belirlediğimiz attribute e sahip kullanıcılar Office 365′ e eşitlenir.
İlk olarak organizational unit bazında filtreleme işlemi inceleyelim. Bu işlemi yaparken dikkat etmemiz gereken nokta Office 365 üzerine eşitlemek istediğimiz kullanıcı ve grupları Active Directoy Users and Computers sekmesini kullanarak belli organizational unitler içerisinde toplamak olacaktır. DirSync’ in çalıştırıldığı çok kullanıcılı ortamlarda bu işlemi yapmak yönetimsel açıdan mantıklıdır. Eğer siz tüm Active Directory öğelerini olduğu gibi Office 365 ile eşitlerseniz, Office 365 yönetim paneli kısmında kullanıcı üzerinde gerçekleştirmeniz gereken lisans atama vs. gibi işlemleri yaparken sıkıntılar yaşayabilirsiniz. Tüm Directory eşitlendiği için lisans atamak istediğiniz kullanıcıları bulmak konusunda zorlanabilirsiniz. Bunları yaşamamak adına senkronize olacak olan kullanıcıları OU’ lar altında toplamak ve yalnızca bu OU’ ları sync etmek daha mantıklı bir karar olacaktır.
Resim-1
Resim-2
Benim ortamımda şu anda Active Directory üzerindeki Online Users OU’ su Office 365 üzerine sync edilmiş durumda. Bunun üzerine ben “Users” OU sunu da sync etmeye çalışacağım.
Bunun için ilk olarak Active Directory senkronizasyonu işlemini yapan sunucuma gidip şu yolu izliyorum:
C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell
Resim-3
UIShell klasörü içerisinde miisclient uygulamasını çalıştırıyorum. Syncronization Service Manager penceresi açılacaktır.
Resim-4
“Management Agents” sekmesinden “SourceAD” yi seçip sağ taraftan “Properties” diyorum.
Resim-5
Gelen ara yüzden “Configure Directory Partitions” ı seçip “Containers” a tıklıyorum.
Resim-6
Gelen credential ekranında DirSync in Active Directory üzerinde oluşturduğu MSOL_AD_Sync kullanıcısı gelecektir. Fakat bu kullanıcı otomatik olarak oluşturulduğu için ve bir şifresi bulunmadığı için biz bu ekranda DirSync sunucusu üzerinde logon olduğumuz ve aynı zamanda lokal gruplarda MIISAdmins grubunun da üyesi olan
“Administrator” hesabı ile giriş yapıyoruz.
Resim-7
Açılan pencerede Office 365 üzerinde senkronize etmek istediğim OU’ ları seçiyorum. Online Users başta belirttiğim gibi zaten senkronize idi, ben buna “Users” container ını da ekliyorum ve “ok” diyerek işlemleri tamamlıyorum.
Resim-8
Synchronization Service Manager ara yüzünde yine “SourceAD” üzerine gelerek sağ taraftan bu sefer “Run” ile devam ediyorum.
Resim-9
Gelen ara yüzden “Full Import Full Sync” i seçiyorum.
Resim-10
SoruceAD üzerinde senkronizasyon işlemi çalışacaktır. Bu işlem bittikten sonra sol alt kısımdan kaç tane öğenin senkronize edildiğini ve kaçının filtrelendiğini inceleyebiliriz. Bizim Office 365 ortamımıza 40 yeni öğe sync olmuş ve lokal AD’ den 189 öğe filtrelenmiş ve sync edilmemiş.
Resim-11
C:\Program Files\Microsoft Online Directory Sync
yolunu izleyerek DirSync Configuration Shell’ i açıyorum ve Start-OnlineCoexistenceSync komutu ile senkronizasyon işlemini tekrar tetikliyorum.
Resim-12
Kısa bir süre sonra Office 365 kullanıcı panelini incelediğimde “Users” container ında bulunan kullanıcılarında buraya senkronize olduğunu görmekteyim.
Filtreleme işlemini domain bazında gerçekleştirmek istediğimde takrar,
C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell yolunu izleyrek “SourceAD” üzerinden “Properties” e geliyorum ve “Configure Directory Partitions” seçeneğini seçiyorum.
Resim-13
“Select directory partitions” kısmında eğer Office 365′ e senkronize olan birden fazla domain var ise hangisini senkronize etmek istersem onu seçiyorum. Benim ortamımda tek domain olduğu için istersem check i kaldırıp bu domaindeki öğelerin senkronize olmamasını sağlayabilirim.
Resim-14
“SourceAd” üzerinden tekrar “Run” diyerek “Full Import Full Sync” olarak çalıştırdığımda, belirlediğim kriterlere göre Office 365 üzerine senkronizasyon işlemi bir süre sonra tekrar gerçekleşecektir.
Son olarak sadece belirlediğimiz özelliklere sahip kullanıcıların Office 365 ile senkronize olmasını nasıl sağlayabileceğimizi inceleyelim.
Makalenin OU bazlı ve Domain bazlı filtrelemelerde bahsettiğimiz gibi tekrar Synchronization Service Manager’ a bağlanarak “SourceAD” üzerinden “Properties” seçeneğine tıklıyoruz.
Resim-15
Bu defa “Configure Connection Filter” sekmesinden “user” ı seçiyoruz ve “New” diyoruz.
Resim-16
Karşımıza gelen “Filter for user” penceresinde attribute olarak “department”, operator olarak “does not contain” ve value olarak “satis” seçerek aslında ben departman bilgisi satis olan kullanıcılar Office 365′ e sync olsun, departman bilgisi satis olmayanlar sync olmasın diyorum.
Resim-17
İşlemi çalıştırmadan önce Office 365 üzerinde test2 isimli kullanıcımın departman bilgisi “satis” olarak görünmekte.
Resim-18
“Ok” dedikten sonra gidip “SourceAD” üzerinden “Run” diyorum ve yine “Full Import Full Sync” seçeneğini seçiyorum.
Resim-19
Senkronizasyon işlemini DirSync Configuration Shell üzerinden tekrar tetikliyorum.
Resim-20
DirSync işlemini tetikledikten birkaç dakika sonra Office 365 yönetim panelinden kullanıcılar sekmesine gittiğimde, departman bilgisinde “satis” olan test2 kullanıcısı dışında, AD’ den senkronize olan diğer kullanıcılar silinmiş olarak görünmekte.
Ps:
Aynı işlemleri gruplar için de gerçekleştirebiliriz. Yani AD üzerindeki grupları da attribute lerine göre Office 365′ e senkronize edebiliriz.
Office 365 ve DirSync kullanılan ortamlarda OU, Domain ve User Attribute bazlı filtrelemelerin nasıl yapıldığını inceledik. Son olarak önemle belirtmek istediğim Microsoft’ un varsayılan senkronizasyon dışında filtrelemeler yapılmasını, hata yapılma olasılığından ve sistemde oluşabilecek sıkıntılardan dolayı önermediğidir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Çok başarılı bir makale, tebrikler !
guzel ve detaylı bir yazı olmus Olcay, eline saglik,