Microsoft Entra ID'de mevcut olan kimlik doğrulaması ve doğrulama yöntemleri nelerdir?
Microsoft, en güvenli oturum açma deneyimini sağladığından Windows Hello, Passkeys (FIDO2) ve Microsoft Authenticator uygulaması gibi parolasız kimlik doğrulama yöntemlerini önerir. Kullanıcı kullanıcı adı ve parola gibi diğer yaygın yöntemleri kullanarak oturum açabiliyor olsa da parolalar daha güvenli kimlik doğrulama yöntemleriyle değiştirilmelidir.
Microsoft Entra çok faktörlü kimlik doğrulaması, yalnızca kullanıcı oturum açtığında parola kullanmak yerine ek güvenlik ekler. Kullanıcıdan bir anlık bildirime yanıt vermesi, bir yazılım veya donanım belirtecinden bir kod girmesi veya bir kısa mesaja veya telefon çağrısına yanıt vermesi gibi ek kimlik doğrulama biçimleri istenebilir.
Kullanıcı ekleme deneyimini basitleştirmek ve hem MFA hem de self servis parola sıfırlama (SSPR) için kaydolmak için birleşik güvenlik bilgileri kaydını etkinleştirmenizi öneririz. Dayanıklılık için, kullanıcıların birden çok kimlik doğrulama yöntemini kaydetmesini öneririz. Oturum açma veya SSPR sırasında bir kullanıcı için bir yöntem kullanılamadığında, başka bir yöntemle kimlik doğrulamayı seçebilir. Daha fazla bilgi için bkz . Microsoft Entra Id'de dayanıklı erişim denetimi yönetimi stratejisi oluşturma.
Kuruluşunuzu güvende tutmak için en iyi kimlik doğrulama yöntemini seçmenize yardımcı olmak için oluşturduğumuz bir video aşağıdadır.
Kimlik doğrulama yöntemi gücü ve güvenliği
Kuruluşunuzda Microsoft Entra çok faktörlü kimlik doğrulaması gibi özellikleri dağıttığınızda, kullanılabilir kimlik doğrulama yöntemlerini gözden geçirin. Güvenlik, kullanılabilirlik ve kullanılabilirlik açısından gereksinimlerinizi karşılayan veya aşan yöntemleri seçin. Mümkün olduğunda, en yüksek güvenlik düzeyine sahip kimlik doğrulama yöntemlerini kullanın.
Aşağıdaki tabloda, kullanılabilir kimlik doğrulama yöntemleri için güvenlikle ilgili dikkat edilmesi gerekenler özetlenmiştir. Kullanılabilirlik, kullanıcının Microsoft Entra Id'deki hizmet kullanılabilirliğini değil, kimlik doğrulama yöntemini kullanabileceğinin bir göstergesidir:
| Kimlik doğrulama yöntemi | Güvenlik | Kullanılabilirlik | Kullanılabilirlik |
|---|---|---|---|
| İş İçin Windows Hello | Yüksek | Yüksek | Yüksek |
| Microsoft Authenticator | Yüksek | Yüksek | Yüksek |
| Authenticator Lite | Yüksek | Yüksek | Yüksek |
| Geçiş Anahtarı (FIDO2) | Yüksek | Yüksek | Yüksek |
| Sertifika tabanlı kimlik doğrulaması | Yüksek | Yüksek | Yüksek |
| OATH donanım belirteçleri (önizleme) | Orta | Orta | Yüksek |
| OATH yazılım belirteçleri | Orta | Orta | Yüksek |
| Geçici Erişim Geçişi (TAP) | Orta | Yüksek | Yüksek |
| SMS | Orta | Yüksek | Orta |
| Ses | Orta | Orta | Orta |
| Parola | Düşük | Yüksek | Yüksek |
Güvenlikle ilgili en son bilgiler için blog gönderilerimize göz atın:
- Kimlik doğrulaması için telefon aktarımlarını kapatmanın zamanı geldi
- Kimlik doğrulama güvenlik açıkları ve saldırı vektörleri
İpucu
Esneklik ve kullanılabilirlik için Microsoft Authenticator uygulamasını kullanmanızı öneririz. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyimini ve parolasız, MFA anında iletme bildirimleri ve OATH kodları gibi birden çok modu sağlar.
Her kimlik doğrulama yöntemi nasıl çalışır?
FiDO2 güvenlik anahtarı veya parola kullanma gibi bir uygulamada veya cihazda oturum açtığınızda birincil faktör olarak bazı kimlik doğrulama yöntemleri kullanılabilir. Diğer kimlik doğrulama yöntemleri yalnızca Microsoft Entra çok faktörlü kimlik doğrulamasını veya SSPR'yi kullandığınızda ikincil faktör olarak kullanılabilir.
Aşağıdaki tabloda, bir kimlik doğrulama yönteminin bir oturum açma olayı sırasında ne zaman kullanılabileceğinin özetleri yer alır:
| Metot | Birincil kimlik doğrulama | İkincil kimlik doğrulaması |
|---|---|---|
| İş İçin Windows Hello | Yes | MFA* |
| Microsoft Authenticator (Anında İletme) | Hayır | MFA ve SSPR |
| Microsoft Authenticator (Parolasız) | Yes | No* |
| Authenticator Lite | Hayır | Çok faktörlü kimlik doğrulaması |
| Geçiş Anahtarı (FIDO2) | Yes | Çok faktörlü kimlik doğrulaması |
| Sertifika tabanlı kimlik doğrulaması | Yes | Çok faktörlü kimlik doğrulaması |
| OATH donanım belirteçleri (önizleme) | Hayır | MFA ve SSPR |
| OATH yazılım belirteçleri | Hayır | MFA ve SSPR |
| Geçici Erişim Geçişi (TAP) | Yes | Çok faktörlü kimlik doğrulaması |
| SMS | Yes | MFA ve SSPR |
| Sesli arama | Hayır | MFA ve SSPR |
| Password | Yes | Hayır |
* İş İçin Windows Hello, tek başına, bir adım yukarı MFA kimlik bilgisi olarak hizmet vermez. Örneğin, forceAuthn=true içeren Oturum Açma Sıklığı veya SAML İsteğinden MFA Sınaması. İş İçin Windows Hello, FIDO2 kimlik doğrulamasında kullanılabilecek bir adım adım MFA kimlik bilgisi olarak görev yapabilir. Bu, kullanıcıların FIDO2 kimlik doğrulamasının başarıyla çalışması için kaydedilmesini gerektirir.
* Parolasız oturum açma yalnızca sertifika tabanlı kimlik doğrulaması (CBA) birincil kimlik doğrulaması için kullanılıyorsa ikincil kimlik doğrulaması için kullanılabilir. Daha fazla bilgi için bkz . Microsoft Entra sertifika tabanlı kimlik doğrulaması teknik ayrıntılı bilgi.
Bu kimlik doğrulama yöntemlerinin tümü Microsoft Entra yönetim merkezinde yapılandırılabilir ve giderek Microsoft Graph REST API'sini kullanabilir.
Her kimlik doğrulama yönteminin nasıl çalıştığı hakkında daha fazla bilgi edinmek için aşağıdaki ayrı kavramsal makalelere bakın:
- İş İçin Windows Hello
- Microsoft Authenticator uygulaması
- Geçiş Anahtarı (FIDO2)
- Sertifika tabanlı kimlik doğrulaması
- OATH donanım belirteçleri (önizleme)
- OATH yazılım belirteçleri
- Geçici Erişim Geçişi (TAP)
- SMS oturum açma ve doğrulama
- Sesli arama doğrulaması
- Parola
Not
Microsoft Entra Id'de parola genellikle birincil kimlik doğrulama yöntemlerinden biridir. Parola kimlik doğrulama yöntemini devre dışı bırakamazsınız. Birincil kimlik doğrulama faktörü olarak parola kullanıyorsanız, Microsoft Entra çok faktörlü kimlik doğrulamasını kullanarak oturum açma olaylarının güvenliğini artırın.
Aşağıdaki ek doğrulama yöntemleri belirli senaryolarda kullanılabilir:
- Uygulama parolaları - Modern kimlik doğrulamasını desteklemeyen eski uygulamalar için kullanılır ve kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulaması için yapılandırılabilir.
- Güvenlik soruları - yalnızca SSPR için kullanılır
- E-posta adresi - yalnızca SSPR için kullanılır
Kullanılabilir ve kullanılamayan yöntemler
Yönetici istrator'lar Microsoft Entra yönetim merkezinde kullanıcı kimlik doğrulama yöntemlerini görüntüleyebilir. Önce kullanılabilir yöntemler, ardından kullanılamayan yöntemler listelenir.
Her kimlik doğrulama yöntemi farklı nedenlerle kullanılamaz hale gelebilir. Örneğin, Geçici Erişim Geçişi'nin süresi dolabilir veya FIDO2 güvenlik anahtarı kanıtlama başarısız olabilir. Portal, yöntemin neden kullanılamayacağının nedenini sağlayacak şekilde güncelleştirilir.
"Çok faktörlü kimlik doğrulamasını yeniden kaydetmeyi gerektir" nedeniyle artık kullanılabilir olmayan kimlik doğrulama yöntemleri de burada görüntülenir.
Sonraki adımlar
Başlamak için self servis parola sıfırlama (SSPR) ve Microsoft Entra çok faktörlü kimlik doğrulaması öğreticisine bakın.
SSPR kavramları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra self servis parola sıfırlama nasıl çalışır?
MFA kavramları hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması nasıl çalışır?
Microsoft Graph REST API'sini kullanarak kimlik doğrulama yöntemlerini yapılandırma hakkında daha fazla bilgi edinin.
Hangi kimlik doğrulama yöntemlerinin kullanıldığını gözden geçirmek için bkz . PowerShell ile Microsoft Entra çok faktörlü kimlik doğrulama yöntemi analizi.