Lokal Active Directory (On-Prem) yapınızı Microsoft 365 ile senkronize etmek, IT altyapınız için devasa bir verimlilik sağlasa da, yanlış yapıldığında mükerrer hesaplara, mail kesintilerine ve şifre sorunlarına yol açabilir. Bu detaylı rehberde; sıfır riskle senkronizasyon yapmayı, şifreleri tek merkezden yönetmeyi ve AD bilgilerini e-posta imzalarına otomatik çekmenin farklı yollarını inceleyeceğiz.
Microsoft Entra Connect (Eski adıyla Azure AD Connect), sistemleriniz arasındaki köprüdür. Canlı sistemi bozmamak için "Soft-Match" kurallarına dikkat etmeli ve aracı önce Staging Mode (Test Modu) ile kurmalıyız.
Eğer M365'te zaten var olan bir "ahmet@sirket.com" kullanıcısı varsa ve siz bunu lokal AD'deki "ahmet" ile birleştirmek istiyorsanız; Lokal AD'deki kullanıcının UPN (User Principal Name) ve mail özniteliği M365'teki ana e-posta ile BİREBİR aynı olmalıdır. Bu sayede araç yeni bir hesap açmak (ahmet241@sirket.onmicrosoft.com gibi) yerine hesapları birleştirir.
Entra Connect kurulum sihirbazının en son ekranında "Enable staging mode" (Hazırlama modunu etkinleştir) kutucuğunu İŞARETLEYİN. Bu mod, AD verilerinizi okur ama M365'e hiçbir veriyi YAZMAZ. Kurulum bitince "Synchronization Service Manager" uygulamasını açıp (Metaverse Search kısmından) hangi hesapların silineceğini veya mükerrer oluşacağını risk almadan görebilirsiniz. Her şey güvenliyse, sihirbazı tekrar çalıştırıp Staging Mode'u kapatarak canlıya alabilirsiniz.
Gerçek bir merkezi yönetim için, kullanıcıların şifrelerini (örneğin evden veya mobilden) Microsoft 365 üzerinden "Şifremi Unuttum" diyerek sıfırlayabilmesini ve bu yeni şifrenin anında şirketteki lokal Active Directory sunucusuna da yazılmasını istersiniz.
Birçok sistem yöneticisinin "riskli" bulup tıkandığı yer burasıdır. Kullanıcının AD üzerindeki Unvan, Departman, Telefon gibi bilgilerini otomatik çekip herkes için standart, kurumsal bir imza basmak istiyorsanız önünüzde 3 alternatif var:
| Çözüm Tipi | Nasıl Çalışır / Avantajları | Dezavantajları / Riskleri |
|---|---|---|
| 1. Third-Party Software (Exclaimer, CodeTwo) ★ Recommended |
M365'e bir bağlayıcı (connector) olarak entegre olur. Giden mailleri yolda yakalayıp, AD'den güncel verileri çekerek profesyonel HTML imzayı basar. En kusursuz yöntemdir. Mobil cihazlardan atılan maillere bile imza ekler. | Kullanıcı başı ücretli lisans gerektirir. Bütçe onayına takılabilir. |
| 2. M365 Transport Rules (Native / Free) |
Exchange Admin Center > Mail Flow altından kural yaratılarak HTML kodları içine %%Title%%, %%PhoneNumber%% gibi AD değişkenleri atanır. Tamamen ücretsizdir. |
İmzalar uzun mail yazışmalarında (Reply) en alta yığılır. Kullanıcı 'Gönderilmiş Öğeler' kutusuna baktığında imzasını göremez. Dinamik mantık yoktur (örn: Kişinin AD'de cep telefonu boşsa, imzada "Cep: " yazısı çirkin şekilde boş kalır). |
| 3. PowerShell / VBS Logon Scripts | Kullanıcı bilgisayarına giriş yaptığında (GPO ile) arka planda script çalışır, lokal AD'den veriyi çeker ve bilgisayardaki Outlook (AppData) klasörüne imza dosyası olarak yazar. | Sadece bilgisayardaki masaüstü Outlook uygulamasında çalışır. Telefondan (Mobil) veya Web'den (OWA) atılan maillerde imza KESİNLİKLE çıkmaz. Modern mimariye aykırıdır. |
Eğer bütçeniz varsa hiç düşünmeden CodeTwo veya Exclaimer alıp geçin; IT ekibinin ömrünü uzatır. Bütçe "Sıfır" ise Exchange Transport kuralı (2. Seçenek) ile HTML kodlu temel bir imza oluşturun. Ancak şirket yönetimine "Kendi attığınız maillerde imzanızı göremezsiniz, sistem mail sunucudan çıkarken yolda basıyor" bilgisini mutlaka önceden yazılı olarak verin.