Active Directory’den Microsoft Entra ID’ye Geçiş Rehberi

Şirketinizin kimlik altyapısı muhtemelen yıllardır Active Directory üzerine kurulu. Etki alanı denetleyicileri, grup politikaları, şirket içi kullanıcı yönetimi… Bunlar onlarca yıldır kurumsal BT’nin temel taşları oldu. Peki neden şimdi değişim zamanı?

Cevap basit: Çalışma biçimi değişti. Ofis dışından bağlanan kullanıcılar, şirkete ait olmayan cihazlar, SaaS uygulamaları ve bulut hizmetleri artık istisnai değil, olağan. Active Directory bu senaryoları yönetmek için tasarlanmamıştı. Microsoft Entra ID ise tam olarak bu ihtiyaç için geliştirildi.

Bu yazıda geçişin neden önemli olduğunu, nasıl planlanması gerektiğini ve süreçte dikkat edilmesi gereken kritik noktaları ele alıyoruz.

Active Directory ile Microsoft Entra ID Arasındaki Temel Fark Nedir?

Active Directory (AD), şirket içi ağlarda kullanıcı kimliklerini ve cihazları yönetmek için tasarlanmış bir dizin hizmetidir. Kullanıcı hesapları, şifreler, grup politikaları ve erişim izinleri AD üzerinden kontrol edilir. Ancak AD’nin doğası gereği şirket ağı içinde çalışması gerekir; VPN olmadan uzaktan erişim bu yapıda ciddi güvenlik açıkları doğurur.

Microsoft Entra ID (eski adıyla Azure Active Directory) ise bulut tabanlı bir kimlik ve erişim yönetimi platformudur. Kullanıcıların konumundan bağımsız olarak kimlik doğrulaması yapabilmesi, cihaz türüne bakılmaksızın güvenli erişim sağlanması ve tüm kimlik olaylarının merkezi olarak izlenmesi bu platformun temel avantajlarıdır.

İkisi birbirinin rakibi değil, farklı ihtiyaçlara cevap veren çözümler. Birçok şirket için geçiş aslında bir hibrit model anlamına geliyor: şirket içi AD ile Entra ID’nin senkronize çalıştığı bir yapı.

İki platform arasındaki farklar özetle şöyle:

  • Altyapı türü: Active Directory şirket içinde (on-premise) çalışır, Microsoft Entra ID ise bulut tabanlıdır.
  • Erişim modeli: AD’de erişim şirket ağı içinden sağlanırken, Entra ID’de konumdan bağımsız olarak her yerden erişim mümkündür.
  • Uzaktan erişim: AD uzaktan erişim için VPN gerektirir, Entra ID’de VPN gerekmez.
  • Kimlik doğrulama: AD Kerberos ve NTLM protokollerini kullanır, Entra ID ise OAuth 2.0 ve SAML gibi modern protokolleri destekler.
  • MFA desteği: AD’de MFA sınırlıdır ve ek çözüm gerektirir, Entra ID’de yerleşik olarak gelir ve merkezi olarak yönetilir.
  • Koşullu Erişim: AD’de bulunmaz, Entra ID’de cihaz, konum ve risk bazlı olarak kullanılabilir.
  • SaaS entegrasyonu: AD’nin SaaS entegrasyonu zayıftır, Entra ID ise Microsoft 365 başta olmak üzere güçlü entegrasyon sunar.
  • İzleme ve loglama: AD’de manuel ve karmaşıktır, Entra ID’de merkezi ve gerçek zamanlıdır.
  • Uygun ortam: AD tam şirket içi yapılar için uygundur, Entra ID ise hibrit ve tam bulut yapıları için tasarlanmıştır.

Geçiş Sürecinde Hangi Adımlar Atılmalı?

1. Mevcut kimlik altyapısını haritalayın

Geçişe başlamadan önce mevcut AD ortamınızı detaylı olarak dokumentasyonu oluşturmanız gerekiyor. Kaç kullanıcı var, hangi gruplar mevcut, hangi uygulamalar AD kimlik doğrulaması kullanıyor? Bu soruların yanıtsız kalması, geçiş sırasında beklenmedik kesintilere yol açar.

Özellikle legacy uygulamalar — Kerberos veya NTLM kimlik doğrulaması kullanan eski yazılımlar — dikkat gerektiriyor. Bu uygulamalar Entra ID ile doğrudan uyumlu olmayabileceğinden hibrit yapı veya uygulama proxy çözümleri devreye girmek zorunda kalıyor.

2. Hibrit yapı mı, tam geçiş mi?

Çoğu kurumsal ortam için doğru yaklaşım anında tam geçiş değil, aşamalı hibrit modeldir. Microsoft Entra Connect aracı, şirket içi AD ile Entra ID’yi senkronize ederek kullanıcıların her iki ortamda da aynı kimlik bilgileriyle çalışmasına olanak tanır.

Şirket içinde hâlâ fiziksel sunuculara, dosya paylaşımlarına veya yazıcı yönetimine ihtiyaç duyan ortamlarda AD’yi tamamen devre dışı bırakmak pratikte mümkün olmayabiliyor. Bu nedenle geçiş planı, mevcut altyapının gerçekçi bir değerlendirmesine dayanmalı.

3. MFA ve Koşullu Erişim politikalarını yapılandırın

Entra ID’ye geçişin en kritik adımlarından biri, kimlik doğrulama politikalarının doğru kurgulanmasıdır. MFA olmadan Entra ID kullanmak, kapısı açık bir binaya güvenlik kamerası takmak gibidir.

Koşullu Erişim politikaları ise kullanıcının konumuna, cihazının uyumluluk durumuna ve erişmeye çalıştığı uygulamaya göre farklı doğrulama gereksinimleri belirlemenizi sağlar. Örneğin şirket ağından gelen bir erişim talebinde tek faktörlü doğrulama yeterli olabilirken, bilinmeyen bir ağdan gelen talepte MFA zorunlu hale getirilebilir.

4. Kullanıcı ve grup yapısını Entra ID’ye göre yeniden düzenleyin

AD’den Entra ID’ye geçiş, sadece teknik bir taşıma işlemi değil, aynı zamanda kimlik yönetimini yeniden yapılandırma fırsatıdır. Yıllarca birikmiş, artık kullanılmayan hesaplar, gereksiz gruplar ve tutarsız yetki yapıları bu geçiş sürecinde temizlenmeli.

Rol tabanlı erişim kontrolü (RBAC) prensipleri doğrultusunda gruplara yeniden bakılması, uzun vadede hem yönetim kolaylığı hem de güvenlik açısından ciddi fayda sağlıyor.

5. Geçiş sonrası izleme ve log yönetimi

Entra ID, tüm kimlik olaylarını kayıt altına alır: başarılı ve başarısız giriş denemeleri, koşullu erişim politikası tetiklemeleri, MFA kullanım istatistikleri. Bu logların düzenli olarak incelenmesi ve anormal aktivitelerin tespit edilmesi için bir izleme altyapısı kurulması gerekiyor.

SIEM çözümleriyle entegrasyon sağlandığında bu loglar gerçek zamanlı güvenlik izlemenin ayrılmaz bir parçası haline geliyor.

Geçişte En Sık Yapılan Hatalar

Planlama yapmadan başlamak en sık karşılaştığımız hata. Kullanıcıları önceden bilgilendirmeden yapılan değişiklikler iş süreçlerini aksatıyor ve IT’e gereksiz yük bindiriyor. Legacy uygulama uyumluluğunu göz ardı etmek de kritik bir risk; bazı iş uygulamaları Entra ID ile çalışmıyor ve bu durum son dakikaya kadar fark edilmiyor. Son olarak lisans planlamasının eksik yapılması, geçiş tamamlandıktan sonra beklenmedik maliyet kalemleriyle karşılaşılmasına yol açıyor.

Synchron Bilişim ile Geçiş Sürecinizi Yönetin

Active Directory’den Microsoft Entra ID’ye geçiş, doğru planlandığında kurumunuzun güvenlik ve yönetilebilirlik düzeyini önemli ölçüde artırır. Ancak yanlış yönetilen bir geçiş, iş sürekliliğini tehdit eden kesintilere ve güvenlik açıklarına neden olabilir.

Synchron Bilişim olarak kimlik altyapısı değerlendirmesinden hibrit yapı tasarımına, MFA yapılandırmasından geçiş sonrası izleme kurulumuna kadar tüm süreci sizin adınıza yönetiyoruz. Microsoft Cloud hizmetlerimizi inceleyin.

Daha Fazla Blog Yazısı