Entra ID (Azure AD) Gruplarına Sonunda İsim Geldi: Windows Artık SID’leri Çözüyor!

Microsoft, yıllardır yöneticilerin en çok talep ettiği özelliklerden birini nihayet Windows’a getiriyor. Artık Entra ID (eski adıyla Azure AD) grupları ve Intune rolleri, cihaz üzerinde görünen okunaksız Güvenlik Tanımlayıcıları (SID’ler) yerine, tıpkı kullanıcılar gibi gerçek isimleriyle gösterilecek.

Bu yeni yetenek, Windows Insider yapısı 27881 ile birlikte sunulmaya başlandı ve Windows’un Entra kimliklerini “akıcı bir şekilde konuşmayı” öğrendiği anlamına geliyor.

Sorun Neydi?

Daha önce, bir Entra grubunu veya Cihaz Yöneticileri (Device Administrators) gibi Intune rollerini yerel bir Windows grubuna (örneğin Yerel Yöneticiler) eklediğinizde, bu girdiler sadece S-1-12-1… gibi başlayan bilinmeyen SID’ler olarak görünüyordu. Yöneticiler, bu SID’lerin hangi gruba ait olduğunu öğrenmek için üçüncü taraf araçlara veya manuel sorgulamalara ihtiyaç duyuyordu.

Microsoft, Entra kullanıcılarını her zaman düzgün bir şekilde çevirip (UPN olarak gösterip) yerel olarak önbelleğe alabiliyordu, ancak bu mantık Entra gruplarını ve Intune rollerini kapsamıyordu.

Yeni Özellik: AADSidToNameV2Support

Microsoft, sessiz sedasız AADSidToNameV2Support adlı yeni bir dahili özellikle bu eksik parçayı tamamladı. Bu özellik, kullanıcılar için zaten var olan SID’den İsim Çözümleme mantığını gruplar ve roller için de genişletiyor.

Çözümleme Nasıl Çalışıyor?

  1. Windows, tanımadığı bir Entra grup SID’i ile karşılaştığında, ilk olarak yerel kimlik önbelleğini kontrol ediyor.
  2. Eğer önbellekte yoksa, cihazın Entra sertifikasıyla imzalanmış güvenli bir belirteç (JWT) oluşturuluyor.

3.Bu talep, grubun gerçek adını sorgulamak için Entra uç noktasına gönderiliyor.

4.Entra, yanıtı gönderdikten sonra Windows, grup adını alıyor ve gelecekteki anlık çözümler için bu bilgiyi yerel kayıt defterinde (*HKLMSOFTWAREMicrosoftIdentityStoreCache**) önbelleğe alıyor. Bu sayede, çözümlenen isimler çevrimdışıyken bile anında görüntülenebiliyor.

    Sonuçlar Ne Anlama Geliyor?

    Bu özelliğin etkinleştirilmesiyle birlikte, Yerel Yöneticiler grubundaki okunaksız S-1-12-1 SID’leri artık grup ve rol isimlerine çevriliyor.

    Önce: S-1-12-1-xxxx…

    Sonra: Device Administrators veya apv2_users

    Bu, yöneticilerin Entra gruplarını ve rollerini kolayca görmesini sağlıyor ve Intune politikalarının doğru şekilde uygulanmasına yardımcı oluyor. Ayrıca, eski Windows bileşenlerinin beklediği AzureADGrupAdı formatında uyumlu takma adlar (alias) oluşturularak, modern Entra kimliklerinin eski API’lerle de uyumlu kalması sağlanıyor.

    Bu yetenek şu an için yalnızca Insider Preview yapılarında mevcut olsa da, Windows’un bulut tabanlı kimlik yönetimine tam entegrasyon yolunda önemli bir adımı temsil ediyor.