Microsoft Entra Kimliği için parolasız kimlik doğrulaması seçenekleri

  • Makale

Çok faktörlü kimlik doğrulaması (MFA) gibi özellikler kuruluşunuzun güvenliğini sağlamanın harika bir yoludur, ancak kullanıcılar genellikle parolalarını hatırlamak zorunda kalmadan ek güvenlik katmanından rahatsız olur. Parolasız kimlik doğrulama yöntemleri daha kullanışlıdır çünkü parola kaldırılır ve yerine sahip olduğunuz veya bildiğiniz bir şey kullanılır.

Kimlik Doğrulaması Sahip olduğunuz bir şey Bildiğiniz veya bildiğiniz bir şey
Parolasız Windows 10 Cihaz, telefon veya güvenlik anahtarı Biyometrik veya PIN

Kimlik doğrulaması söz konusu olduğunda her kuruluşun farklı gereksinimleri vardır. Microsoft Azure ve Azure Kamu, Microsoft Entra Id ile tümleşen aşağıdaki dört parolasız kimlik doğrulama seçeneğini sunar:

  • İş İçin Windows Hello
  • Microsoft Authenticator
  • Geçiş Tuşları (FIDO2)
  • Sertifika tabanlı kimlik doğrulaması

Kimlik doğrulaması: Güvenlik ve kolaylık karşılaştırması

İş İçin Windows Hello

İş İçin Windows Hello, kendi belirlenmiş Windows bilgisayarlarına sahip bilgi çalışanları için idealdir. Biyometrik ve PIN kimlik bilgileri doğrudan kullanıcının bilgisayarına bağlıdır ve bu da sahibin dışında herhangi birinin erişimini engeller. Ortak anahtar altyapısı (PKI) tümleştirmesi ve çoklu oturum açma (SSO) için yerleşik destek ile İş İçin Windows Hello, şirket içi ve buluttaki kurumsal kaynaklara sorunsuz bir şekilde erişmek için kullanışlı bir yöntem sağlar.

İş İçin Windows Hello ile kullanıcı oturum açma örneği.

Aşağıdaki adımlarda oturum açma işleminin Microsoft Entra Id ile nasıl çalıştığı gösterilmektedir:

İş İçin Windows Hello ile kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı biyometrik veya PIN hareketi kullanarak Windows'ta oturum açar. Bu hareket, İş İçin Windows Hello özel anahtarının kilidini açar ve Cloud AP sağlayıcısı olarak adlandırılan Bulut Kimlik Doğrulaması güvenlik destek sağlayıcısına gönderilir.
  2. Cloud AP sağlayıcısı, Microsoft Entra Id'den bir nonce (bir kez kullanılabilen rastgele bir sayı) ister.
  3. Microsoft Entra Id, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. Cloud AP sağlayıcısı, kullanıcının özel anahtarını kullanarak nonce'ı imzalar ve imzalı nonce değerini Microsoft Entra Kimliği'ne döndürür.
  5. Microsoft Entra Id, kullanıcının güvenli bir şekilde kaydedilmiş ortak anahtarını kullanarak imzalanan nonce'i nonce imzasına göre doğrular. Microsoft Entra Id imzayı doğrular ve sonra döndürülen imzalı nonce'ı doğrular. Nonce doğrulandığında Microsoft Entra ID, cihazın aktarım anahtarıyla şifrelenmiş oturum anahtarına sahip bir birincil yenileme belirteci (PRT) oluşturur ve bunu Cloud AP sağlayıcısına döndürür.
  6. Cloud AP sağlayıcısı, oturum anahtarıyla şifrelenmiş PRT'yi alır. Cloud AP sağlayıcısı, oturum anahtarının şifresini çözmek için cihazın özel aktarım anahtarını kullanır ve cihazın Güvenilen Platform Modülü'ünü (TPM) kullanarak oturum anahtarını korur.
  7. Cloud AP sağlayıcısı Windows'a başarılı bir kimlik doğrulaması yanıtı döndürür. Kullanıcı daha sonra yeniden kimlik doğrulaması (SSO) gerekmeden Windows ve bulut ve şirket içi uygulamalara erişebilir.

İş İçin Windows Hello planlama kılavuzu, İş İçin Windows Hello dağıtımının türü ve dikkate almanız gereken seçenekler hakkında karar vermenize yardımcı olmak için kullanılabilir.

Microsoft Authenticator

Ayrıca, çalışanınızın telefonunun parolasız bir kimlik doğrulama yöntemi olmasına da izin vekleyebilirsiniz. Authenticator uygulamasını parolaya ek olarak kullanışlı bir çok faktörlü kimlik doğrulama seçeneği olarak zaten kullanıyor olabilirsiniz. Kimlik Doğrulayıcı Uygulamasını parolasız seçenek olarak da kullanabilirsiniz.

Microsoft Authenticator ile Microsoft Edge'de oturum açın

Authenticator Uygulaması, tüm iOS veya Android telefonları güçlü, parolasız bir kimlik bilgilerine dönüştürür. Kullanıcılar, telefonlarına bir bildirim alarak, ekranda görüntülenen bir numarayı telefonlarındaki numarayla eşleştirerek herhangi bir platformda veya tarayıcıda oturum açabilir. Daha sonra onaylamak için biyometrik (dokunma veya yüz) veya PIN'lerini kullanabilirler. Yükleme ayrıntıları için Bkz. Microsoft Authenticator'ı indirme ve yükleme.

Authenticator uygulamasını kullanarak parolasız kimlik doğrulaması, İş İçin Windows Hello ile aynı temel deseni izler. Microsoft Entra ID'nin kullanılan Authenticator uygulama sürümünü bulabilmesi için kullanıcının tanımlanması gerektiğinden bu biraz daha karmaşıktır:

Microsoft Authenticator Uygulaması ile kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı kullanıcı adını girer.
  2. Microsoft Entra Id, kullanıcının güçlü bir kimlik bilgisi olduğunu algılar ve Güçlü Kimlik Bilgisi akışını başlatır.
  3. iOS cihazlarında Apple Anında İletme Bildirimi Hizmeti (APNS) veya Android cihazlarda Firebase Cloud Messaging (FCM) aracılığıyla uygulamaya bir bildirim gönderilir.
  4. Kullanıcı anında iletme bildirimini alır ve uygulamayı açar.
  5. Uygulama, Microsoft Entra Id'yi çağırır ve bir iletişim durumu kanıtı sınaması ve nonce alır.
  6. Kullanıcı, özel anahtarın kilidini açmak için biyometrik veya PIN bilgilerini girerek sınamayı tamamlar.
  7. Nonce özel anahtarla imzalanır ve Microsoft Entra Kimliği'ne geri gönderilir.
  8. Microsoft Entra Id, genel/özel anahtar doğrulaması gerçekleştirir ve bir belirteç döndürür.

Parolasız oturum açmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

Authenticator uygulamasını kullanarak parolasız imzayı etkinleştirme

Geçiş Tuşları (FIDO2)

FIDO (Fast IDentity Online) Alliance, açık kimlik doğrulama standartlarını yükseltmeye ve parolaların bir kimlik doğrulama biçimi olarak kullanımını azaltmaya yardımcı olur. FIDO2, web kimlik doğrulaması (WebAuthn) standardını içeren en son standarttır.

FIDO2 güvenlik anahtarları, herhangi bir form faktöründe gelebilen, tanımlanamaz standartlara dayalı parolasız bir kimlik doğrulama yöntemidir. Hızlı Kimlik Çevrimiçi (FIDO), parolasız kimlik doğrulaması için açık bir standarttır. FIDO, kullanıcıların ve kuruluşların dış güvenlik anahtarı veya cihazda yerleşik bir platform anahtarı kullanarak kullanıcı adı veya parola olmadan kaynaklarında oturum açmak için standart uygulamayı sağlar.

Kullanıcılar, ana kimlik doğrulama araçları olarak oturum açma arabiriminde bir FIDO2 güvenlik anahtarı kaydedebilir ve seçebilir. Bu FIDO2 güvenlik anahtarları genellikle USB cihazlarıdır, ancak Bluetooth veya NFC de kullanabilir. Kimlik doğrulamasını işleyen bir donanım cihazıyla, kullanıma sunulacak veya tahmin edilebilecek bir parola olmadığından hesabın güvenliği artar.

FIDO2 güvenlik anahtarları, Microsoft Entra Id veya Microsoft Entra karmasına katılmış Windows 10 cihazlarında oturum açmak ve bulut ve şirket içi kaynaklarında çoklu oturum açmak için kullanılabilir. Kullanıcılar desteklenen tarayıcılarda da oturum açabilir. FIDO2 güvenlik anahtarları, güvenliğe çok duyarlı olan veya senaryoları olan veya ikinci bir faktör olarak telefonlarını kullanmaya istekli olmayan veya kullanamayan çalışanlar için harika bir seçenektir.

Başvuru belgesine buradan bakın: Microsoft Entra Id ile FIDO2 kimlik doğrulaması desteği. Geliştiricinin en iyi uygulamaları için bkz . Geliştirdikleri uygulamalarda FIDO2 kimlik doğrulamasını destekleme.

Microsoft Edge'de güvenlik anahtarıyla oturum açın

Kullanıcı bir FIDO2 güvenlik anahtarıyla oturum açtığında aşağıdaki işlem kullanılır:

FIDO2 güvenlik anahtarıyla kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı, FIDO2 güvenlik anahtarını bilgisayarına yükler.
  2. Windows, FIDO2 güvenlik anahtarını algılar.
  3. Windows bir kimlik doğrulama isteği gönderir.
  4. Microsoft Entra Id bir nonce gönderir.
  5. Kullanıcı, FIDO2 güvenlik anahtarının güvenli kapanımında depolanan özel anahtarın kilidini açma hareketini tamamlar.
  6. FIDO2 güvenlik anahtarı, nonce'i özel anahtarla imzalar.
  7. İmzalı nonce içeren birincil yenileme belirteci (PRT) belirteci isteği Microsoft Entra Id'ye gönderilir.
  8. Microsoft Entra Id, FIDO2 ortak anahtarını kullanarak imzalı nonce'i doğrular.
  9. Microsoft Entra ID, şirket içi kaynaklara erişimi etkinleştirmek için PRT'yi döndürür.

FIDO2 güvenlik anahtarı sağlayıcıları

Aşağıdaki sağlayıcılar, parolasız deneyimle uyumlu olduğu bilinen farklı biçim faktörlerinin FIDO2 güvenlik anahtarlarını sunar. Satıcı ve FIDO Alliance ile iletişime geçerek bu anahtarların güvenlik özelliklerini değerlendirmenizi öneririz.

Provider Biyometrik USB NFC BLE
AuthenTrend y y y y
ACS n y y n
ATOS n y y n
Ciright n n y n
Composecure n n y n
Crayonic y n y y
Cryptnox n y y n
Güvence y y n n
Excelsecu y y y y
Feitian dili y y y y
Fortinet n y n n
Giesecke + Devrient (G+D) y y y y
Google n y y n
GoTrustID Inc. n y y y
SAKLADI n y y n
HIDEEZ n y y y
Hypersecu n y n n
Kısa Çizgi y y n y
Identiv n y y n
IDmelon Technologies Inc. y y y y
Kensington y y n n
KONA I y n y y
NeoWave n y y n
Nymi y n y n
Octatco y y n n
OneSpan Inc. n y n y
PONE Biyometrisi y n n y
Hassas Biyometrik n y n n
RSA n y n n
Nöbetçi n n y n
SmartDisplayer y y y y
Swissbit n y y n
Thales Grubu y y y n
Thetis y y y y
Token2 İsviçre y y y n
Belirteç Halkası y n y n
TrustKey Çözümleri y y n n
VinCSS n y n n
WiSECURE Teknolojileri n y n n
Yubico y y y n

Not

NFC tabanlı güvenlik anahtarlarını satın alıp kullanmayı planlıyorsanız, güvenlik anahtarı için desteklenen bir NFC okuyucuya ihtiyacınız vardır. NFC okuyucu bir Azure gereksinimi veya sınırlaması değildir. Desteklenen NFC okuyucularının listesi için NFC tabanlı güvenlik anahtarınız için satıcıya başvurun.

Satıcıysanız ve cihazınızı bu desteklenen cihazlar listesine almak istiyorsanız Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olma yönergelerimize göz atın.

FIDO2 güvenlik anahtarlarını kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

FIDO2 güvenlik anahtarlarını kullanarak parolasız imzayı etkinleştirme

Sertifika tabanlı kimlik doğrulaması

Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA), müşterilerin uygulamalar ve tarayıcı oturum açma işlemleri için Microsoft Entra kimlikleri ile doğrudan X.509 sertifikalarıyla kimlik doğrulamasına izin vermesine veya bu sertifikalara sahip olmasını gerektirmesine olanak tanır. CBA, müşterilerin kimlik avına dayanıklı kimlik doğrulamasını benimsemesine ve Ortak Anahtar Altyapısına (PKI) karşı X.509 sertifikasıyla oturum açmasına olanak tanır.

Microsoft Entra sertifika tabanlı kimlik doğrulaması diyagramı.

Microsoft Entra CBA kullanmanın temel avantajları

Sosyal haklar Açıklama
Harika kullanıcı deneyimi - Sertifika tabanlı kimlik doğrulamasına ihtiyaç duyan kullanıcılar artık doğrudan Microsoft Entra Kimliği'nde kimlik doğrulaması yapabilir ve federasyon AD FS'ye yatırım yapmak zorunda değildir.
- Portal kullanıcı arabirimi, kullanıcıların kiracıdaki kullanıcıyı aramak için sertifika alanlarını bir kullanıcı nesnesi özniteliğine eşlemeyi kolayca yapılandırmasına olanak tanır (sertifika kullanıcı adı bağlamaları)
- Hangi sertifikaların tek faktörlü ve çok faktörlü olduğunu saptamaya yardımcı olmak için kimlik doğrulama ilkelerini yapılandırmak için portal kullanıcı arabirimi.
Dağıtımı ve yönetimi kolay - Microsoft Entra CBA ücretsiz bir özelliktir ve bunu kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur.
- Karmaşık şirket içi dağıtımlara veya ağ yapılandırmasına gerek yoktur.
- Microsoft Entra Kimliği'ne göre doğrudan kimlik doğrulaması yapın.
Güvenli - Şirket içi parolaların bulutta herhangi bir biçimde depolanması gerekmez.
- Kimlik Avına Dayanıklı çok faktörlü kimlik doğrulaması (MFA lisanslı sürüm gerektirir) ve eski kimlik doğrulamasını engelleme dahil olmak üzere Microsoft Entra Koşullu Erişim ilkeleriyle sorunsuz bir şekilde çalışarak kullanıcı hesaplarınızı korur.
- Kullanıcıların, hangi sertifikaların tek faktörlü ve çok faktörlü olarak niteleneceğini belirlemek için sertifika alanları (örneğin, veren veya ilke OID'leri (nesne tanımlayıcıları) aracılığıyla kimlik doğrulama ilkeleri tanımlayabildiği güçlü kimlik doğrulama desteği.
- Bu özellik, kullanıcılarınızın güvenliğini sağlamaya yardımcı olmak için MFA'yı zorunlu kılmaya yarayan Koşullu Erişim özellikleri ve kimlik doğrulama gücü özelliğiyle sorunsuz çalışır.

Desteklenen senaryolar

Aşağıdaki senaryolar desteklenir:

  • Tüm platformlarda web tarayıcısı tabanlı uygulamalarda kullanıcı oturum açma işlemleri.
  • iOS/Android platformlarındaki Office mobil uygulamalarında ve Outlook, OneDrive gibi Windows'taki Yerel Office uygulamalarında kullanıcı oturum açma işlemleri.
  • Mobil yerel tarayıcılarda kullanıcı oturum açma işlemleri.
  • Sertifika veren Konu ve ilke OID'lerini kullanarak çok faktörlü kimlik doğrulaması için ayrıntılı kimlik doğrulama kuralları desteği.
  • Sertifika alanlarından herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
    • Konu Diğer Adı (SAN) PrincipalName ve SAN RFC822Nare
    • Konu Anahtarı Tanımlayıcısı (SKI) ve SHA1PublicKey
  • Kullanıcı nesnesi özniteliklerinden herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
    • Kullanıcı Asıl Adı
    • onPremisesUserPrincipalName
    • CertificateUserIds

Desteklenen senaryolar

Aşağıdaki noktalara dikkat edilmelidir:

  • Yönetici istrator'lar kiracıları için parolasız kimlik doğrulama yöntemlerini etkinleştirebilir.
  • Yönetici istrator'lar tüm kullanıcıları hedefleyebilir veya her yöntem için kiracılarındaki kullanıcıları/Güvenlik gruplarını seçebilir.
  • Kullanıcılar bu parolasız kimlik doğrulama yöntemlerini hesap portalına kaydedebilir ve yönetebilir.
  • Kullanıcılar şu parolasız kimlik doğrulama yöntemleriyle oturum açabilir:
    • Authenticator uygulaması: Tüm tarayıcılar, Windows 10 kurulumu sırasında ve tüm işletim sistemlerindeki tümleşik mobil uygulamalar dahil olmak üzere Microsoft Entra kimlik doğrulamasının kullanıldığı senaryolarda çalışır.
    • Güvenlik anahtarları: Microsoft Edge (eski ve yeni Edge) gibi desteklenen tarayıcılarda Windows 10 ve web için kilit ekranında çalışın.
  • Kullanıcılar, konuk oldukları kiracılardaki kaynaklara erişmek için parolasız kimlik bilgilerini kullanabilir, ancak yine de bu kaynak kiracısında MFA gerçekleştirmeleri gerekebilir. Daha fazla bilgi için bkz . Olası çift faktörlü kimlik doğrulaması.
  • Kullanıcılar, konuk oldukları bir kiracıda parolasız kimlik bilgilerini, bu kiracıda yönetilen parolaları olmadığı gibi kaydedemez.

Desteklenmeyen senaryolar

Herhangi bir kullanıcı hesabı için her parolasız yöntem için en fazla 20 anahtar kümesi kullanmanızı öneririz. Daha fazla anahtar eklendikçe, kullanıcı nesne boyutu artar ve bazı işlemler için düşüş fark edebilirsiniz. Bu durumda, gereksiz anahtarları kaldırmanız gerekir. Anahtarları sorgulamak ve kaldırmak için daha fazla bilgi ve PowerShell cmdlet'leri için bkz. Yalnız bırakılmış İş İçin Windows Hello Anahtarlarını temizlemek için WHfBTools PowerShell modülünü kullanma. Yalnızca belirli bir kullanıcının anahtarlarını sorgulamak için /UserPrincipalName isteğe bağlı parametresini kullanın. Gerekli izinler yönetici veya belirtilen kullanıcı olarak çalışmaktır.

PowerShell kullanarak tüm mevcut anahtarları içeren bir CSV dosyası oluşturduğunuzda, tutmanız gereken anahtarları dikkatlice belirleyin ve bu satırları CSV'den kaldırın. Ardından, hesap anahtarı sayısını sınırın altına getirmek için powershell ile değiştirilen CSV'yi kullanarak kalan anahtarları silin.

CSV'de "Yalnız Bırakılmış"="True" olarak bildirilen tüm anahtarları silmek güvenlidir. Yalnız bırakılmış anahtar, artık Microsoft Entra Id'de kayıtlı olmayan bir cihaz için bir anahtardır. Tüm Yalnız Bırakılmışları kaldırmak yine de Kullanıcı hesabını sınırın altına getirmiyorsa, silinmek üzere hedeflenen anahtarları belirlemek için DeviceId ve CreationTime sütunlarına bakmak gerekir. Saklamak istediğiniz anahtarlar için CSV'deki herhangi bir satırı kaldırmaya dikkat edin. Kullanıcının etkin olarak kullandığı cihazlara karşılık gelen tüm DeviceID anahtarları, silme adımından önce CSV'den kaldırılmalıdır.

Parolasız yöntem seçme

Bu üç parolasız seçenek arasındaki seçim şirketinizin güvenlik, platform ve uygulama gereksinimlerine bağlıdır.

Microsoft parolasız teknolojisini seçerken göz önünde bulundurmanız gereken bazı faktörler şunlardır:

İş İçin Windows Hello Authenticator uygulamasıyla parolasız oturum açma FIDO2 güvenlik anahtarları
Ön koşul Windows 10, sürüm 1809 veya üzeri
Microsoft Entra Kimlik		 Doğrulayıcı uygulama
Telefon (iOS ve Android cihazlar)		 Windows 10, sürüm 1903 veya üzeri
Microsoft Entra Kimlik
Modu Platform Yazılım Donanım
Sistemler ve cihazlar Yerleşik Güvenilir Platform Modülüne (TPM) sahip bilgisayar
PIN ve biyometri tanıma		 Telefonda PIN ve biyometri tanıma Microsoft uyumlu FIDO2 güvenlik cihazları
Kullanıcı deneyimi Windows cihazlarıyla PIN veya biyometrik tanıma (yüz, iris veya parmak izi) kullanarak oturum açın.
Windows Hello kimlik doğrulaması cihaza bağlıdır; kullanıcının kurumsal kaynaklara erişmek için hem cihaza hem de PIN veya biyometrik faktör gibi bir oturum açma bileşenine ihtiyacı vardır.		 Parmak izi taraması, yüz veya iris tanıma veya PIN ile bir cep telefonu kullanarak oturum açın.
Kullanıcılar, bilgisayarlarından veya cep telefonlarından iş veya kişisel hesaplarında oturum açar.		 FIDO2 güvenlik cihazını (biyometri, PIN ve NFC) kullanarak oturum açma
Kullanıcı kuruluş denetimlerine göre cihaza erişebilir ve USB güvenlik anahtarları ve NFC özellikli akıllı kart, anahtar veya giyilebilir cihazlar gibi cihazları kullanarak PIN, biyometri temelinde kimlik doğrulaması yapabilir.
Etkin senaryolar Windows cihazıyla parolasız deneyim.
Cihazda ve uygulamalarda çoklu oturum açma özelliğine sahip ayrılmış iş bilgisayarı için geçerlidir.		 Cep telefonu kullanan her yerde parolasız çözüm.
Web'de iş veya kişisel uygulamalara herhangi bir cihazdan erişmek için geçerlidir.		 Biyometri, PIN ve NFC kullanan çalışanlar için parolasız deneyim.
Paylaşılan bilgisayarlar ve cep telefonunun uygun bir seçenek olmadığı (yardım masası personeli, genel bilgi noktası veya hastane ekibi gibi) için geçerlidir

Gereksinimlerinizi ve kullanıcılarınızı hangi yöntemin desteklediğini seçmek için aşağıdaki tabloyu kullanın.

Kişilik Senaryo Ortam Parolasız teknoloji
Yönetici Yönetim görevleri için cihaza güvenli erişim Atanan Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Yönetici Windows olmayan cihazlarda yönetim görevleri Mobil veya Windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Bilgi çalışanı Üretkenlik çalışması Atanan Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Bilgi çalışanı Üretkenlik çalışması Mobil veya Windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Ön hat çalışanı Fabrika, tesis, perakende veya veri girişindeki bilgi noktaları Paylaşılan Windows 10 cihazları FIDO2 Güvenlik anahtarları

Sonraki adımlar

Microsoft Entra ID'de parolasız kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarından birini tamamlayın: