MFA Sunucusundan Microsoft Entra çok faktörlü kimlik doğrulamasına geçiş
Çok faktörlü kimlik doğrulaması, altyapınızı ve varlıklarınızı kötü aktörlerden korumak için önemlidir. Azure Multi-Factor Authentication Sunucusu (MFA Sunucusu) yeni dağıtımlarda kullanılamaz ve kullanım dışı bırakılacaktır. MFA Sunucusu kullanan müşterilerin bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmaya geçmeleri gerekir.
Bu makalede, aşağıdaki durumlarda karma bir ortamınız olduğunu varsayarız:
- Çok faktörlü kimlik doğrulaması için MFA Sunucusu kullanıyorsunuz.
- Microsoft Entra Id'de Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya başka bir kimlik sağlayıcısı federasyon ürünü ile federasyon kullanıyorsunuz.
- Bu makalenin kapsamı AD FS olarak belirlenmiş olsa da, benzer adımlar diğer kimlik sağlayıcıları için de geçerlidir.
- MFA Sunucunuz AD FS ile tümleşiktir.
- Kimlik doğrulaması için AD FS kullanan uygulamalarınız olabilir.
Hedefinize bağlı olarak geçişinizde birden çok olası son durum vardır.
| Hedef: YALNIZCA MFA Sunucusunun Yetkisini Alma | Hedef: MFA Sunucusunun yetkisini alma ve Microsoft Entra kimlik doğrulamasına geçme | Hedef: MFA Sunucusu ve AD FS'nin Yetkisini Alma | |
|---|---|---|---|
| MFA sağlayıcısı | MFA sağlayıcısını MFA Sunucusu'ndan Microsoft Entra çok faktörlü kimlik doğrulaması olarak değiştirin. | MFA sağlayıcısını MFA Sunucusu'ndan Microsoft Entra çok faktörlü kimlik doğrulaması olarak değiştirin. | MFA sağlayıcısını MFA Sunucusu'ndan Microsoft Entra çok faktörlü kimlik doğrulaması olarak değiştirin. |
| Kullanıcı kimlik doğrulaması | Microsoft Entra kimlik doğrulaması için federasyon kullanmaya devam edin. | Parola Karması Eşitlemesi (tercih edilen) veya Geçiş Kimlik Doğrulaması ve Sorunsuz çoklu oturum açma (SSO) ile Microsoft Entra Id'ye geçin. | Parola Karması Eşitlemesi (tercih edilen) veya Geçiş Kimlik Doğrulaması ve SSO ile Microsoft Entra Id'ye geçin. |
| Uygulama kimlik doğrulaması | Uygulamalarınız için AD FS kimlik doğrulamasını kullanmaya devam edin. | Uygulamalarınız için AD FS kimlik doğrulamasını kullanmaya devam edin. | Microsoft Entra çok faktörlü kimlik doğrulamasına geçmeden önce uygulamaları Microsoft Entra Id'ye taşıyın. |
Bunu yapabilirseniz hem çok faktörlü kimlik doğrulamanızı hem de kullanıcı kimlik doğrulamanızı Azure'a taşıyın. Adım adım yönergeler için bkz . Microsoft Entra çok faktörlü kimlik doğrulamasına ve Microsoft Entra kullanıcı kimlik doğrulamasına geçme.
Kullanıcı kimlik doğrulamanızı taşıyamıyorsanız federasyon ile Microsoft Entra çok faktörlü kimlik doğrulamasına geçme adım adım kılavuzuna bakın.
Önkoşullar
- AD FS ortamı (MFA Sunucusu'nu geçirmeden önce tüm uygulamalarınızı Microsoft Entra'ya geçirmiyorsanız gereklidir)
- Windows Server 2019, Grup davranış düzeyi (FBL) 4 için AD FS'ye yükseltin. Bu yükseltme, daha sorunsuz bir kullanıcı geçişi için grup üyeliğine göre kimlik doğrulama sağlayıcısı seçmenizi sağlar. Windows Server 2016 FBL 3 için AD FS'de geçiş yapmak mümkün olsa da, kullanıcılar için bu kadar sorunsuz değildir. Geçiş sırasında, geçiş tamamlanana kadar kullanıcılardan bir kimlik doğrulama sağlayıcısı (MFA Sunucusu veya Microsoft Entra çok faktörlü kimlik doğrulaması) seçmeleri istenir.
- Izin
- Microsoft Entra çok faktörlü kimlik doğrulaması için AD FS grubunu yapılandırmak üzere Active Directory'de kuruluş yöneticisi rolü
- PowerShell kullanarak Microsoft Entra Id'yi yapılandırmak için Microsoft Entra Id'de genel yönetici rolü
Tüm geçiş yolları için dikkat edilmesi gerekenler
MFA Sunucusundan Microsoft Entra çok faktörlü kimlik doğrulamasına geçiş, kayıtlı MFA telefon numaralarını taşımaktan fazlasını içerir. Microsoft'un MFA sunucusu birçok sistemle tümleştirilebilir ve Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirmenin en iyi yollarını anlamak için bu sistemlerin MFA Sunucusu'nu nasıl kullandığını değerlendirmeniz gerekir.
MFA kullanıcı bilgilerini geçirme
Kullanıcıları toplu taşıma hakkında düşünmenin yaygın yolları, bunları bölgelere, bölümlere veya yöneticiler gibi rollere göre taşımaktır. Test ve pilot gruplarından başlayarak kullanıcı hesaplarını yinelemeli olarak taşımalı ve bir geri alma planınız olduğundan emin olmalısınız.
Şirket içi Azure MFA Sunucusu'nda depolanan MFA verilerini Microsoft Entra çok faktörlü kimlik doğrulamasıyla eşitlemek ve kullanıcıları Azure MFA'ya yeniden yönlendirmek için Aşamalı Dağıtım'ı kullanmak için MFA Sunucusu Geçiş Yardımcı Programı'nı kullanabilirsiniz. Aşamalı Dağıtım, etki alanı federasyon ayarlarınızda herhangi bir değişiklik yapmadan test etmeye yardımcı olur.
Kullanıcıların yeni eklenen hesabı MFA Sunucusu'na bağlı eski hesaptan ayırt etmesine yardımcı olmak için, MFA Sunucusu'ndaki Mobil Uygulamanın Hesap adının iki hesabı ayırt etmek için adlandırdığından emin olun. Örneğin, MFA Sunucusu'nda Mobil Uygulama altında görünen Hesap adı Şirket İçi MFA Sunucusu olarak yeniden adlandırılmıştır. Microsoft Authenticator'da hesap adı, kullanıcıya bir sonraki anında iletme bildirimiyle birlikte değişir.
Telefon numaralarının geçirilmesi eski numaraların geçirilmesine de yol açabilir ve kullanıcıların parolasız modda Microsoft Authenticator gibi daha güvenli yöntemler ayarlamak yerine telefon tabanlı MFA'da kalma olasılığını artırabilir. Bu nedenle, seçtiğiniz geçiş yolundan bağımsız olarak tüm kullanıcıların birleşik güvenlik bilgilerine kaydolmasını öneririz.
Donanım güvenlik anahtarlarını geçirme
Microsoft Entra ID OATH donanım belirteçleri için destek sağlar. MFA Sunucusu Ile Microsoft Entra çok faktörlü kimlik doğrulaması arasında MFA ayarlarını eşitlemek için MFA Sunucusu Geçiş Yardımcı Programı'nı kullanabilir ve etki alanı federasyon ayarlarını değiştirmeden kullanıcı geçişlerini test etmek için Aşamalı Dağıtım'ı kullanabilirsiniz.
OATH donanım belirteçlerini yalnızca geçirmek istiyorsanız, genellikle "çekirdek dosyası" olarak adlandırılan bir CSV dosyası kullanarak belirteçleri Microsoft Entra ID'ye yüklemeniz gerekir. Çekirdek dosyası gizli dizi anahtarlarını, belirteç seri numaralarını ve belirteçleri Microsoft Entra Id'ye yüklemek için gereken diğer gerekli bilgileri içerir.
Gizli anahtarlara sahip tohum dosyanız artık yoksa, gizli anahtarlar MFA Sunucusu'ndan dışarı aktarılamaz. Gizli anahtarlara artık erişiminiz yoksa destek için donanım satıcınıza başvurun.
MFA Sunucusu Web Hizmeti SDK'sı, belirli bir kullanıcıya atanan OATH belirteçlerinin seri numarasını dışarı aktarmak için kullanılabilir. Belirteçleri Microsoft Entra Id'ye aktarmak ve oath belirtecini belirtilen kullanıcıya seri numarasına göre atamak için bu bilgileri çekirdek dosyasıyla birlikte kullanabilirsiniz. Kaydı tamamlamak için cihazdan OTP bilgilerini sağlamak için içeri aktarma sırasında kullanıcıyla da iletişime geçilmesi gerekir. MFA Sunucunuzdaki Multi-Factor Authentication Sunucusu'nda GetUserInfo>kullanıcısı Ayarlar> OathTokenSerialNumber yardım dosyası konusuna bakın.
Diğer geçişler
MFA Sunucusu'ndan Microsoft Entra çok faktörlü kimlik doğrulamasına geçiş kararı, diğer geçişlerin önünü açar. Daha fazla geçiş tamamlamak, özellikle aşağıdakiler dahil olmak üzere birçok faktöre bağlıdır:
- Kullanıcılar için Microsoft Entra kimlik doğrulamasını kullanma isteğiniz
- Uygulamalarınızı Microsoft Entra Id'ye taşıma isteğiniz
MFA Sunucusu hem uygulama hem de kullanıcı kimlik doğrulaması için tam sayı olduğundan, MFA geçişinizin bir parçası olarak bu işlevlerin ikisini de Azure'a taşımayı ve sonunda AD FS'nin yetkisini almayı göz önünde bulundurun.
Önerilerimiz:
- Daha güçlü güvenlik ve idare sağladığı için kimlik doğrulaması için Microsoft Entra Id kullanın
- Mümkünse uygulamaları Microsoft Entra Id'ye taşıma
Kuruluşunuz için en iyi kullanıcı kimlik doğrulama yöntemini seçmek için bkz . Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçme. Parola Karması Eşitlemesi (PHS) kullanmanızı öneririz.
Parolasız kimlik doğrulaması
Kullanıcıları Microsoft Authenticator'ı ikinci bir faktör olarak kullanacak şekilde kaydetmenin bir parçası olarak, kayıtlarının bir parçası olarak parolasız telefon oturum açma özelliğini etkinleştirmenizi öneririz. FIDO2 güvenlik anahtarları ve İş İçin Windows Hello gibi diğer parolasız yöntemler de dahil olmak üzere daha fazla bilgi için Microsoft Entra ID ile parolasız kimlik doğrulaması dağıtımı planlama makalesini ziyaret edin.
Microsoft Identity Manager self servis parola sıfırlama
Microsoft Identity Manager (MIM) SSPR, parola sıfırlama akışının bir parçası olarak SMS tek seferlik geçiş kodlarını çağırmak için MFA Sunucusu'nu kullanabilir. MIM, Microsoft Entra çok faktörlü kimlik doğrulamasını kullanacak şekilde yapılandırılamaz. SSPR hizmetinizi Microsoft Entra SSPR'ye taşımayı değerlendirmenizi öneririz. Microsoft Entra SSPR'ye kaydolmak üzere birleşik kayıt deneyimini kullanmak için Microsoft Entra çok faktörlü kimlik doğrulamasına kaydolan kullanıcıların fırsatını kullanabilirsiniz.
SSPR hizmetinizi taşıyamıyorsanız veya Privileged Access Management (PAM) senaryoları için MFA isteklerini çağırmak için MFA Sunucusu'nu kullanıyorsanız, alternatif bir 3. taraf MFA seçeneğine güncelleştirmenizi öneririz.
RADIUS istemcileri ve Microsoft Entra çok faktörlü kimlik doğrulaması
MFA Sunucusu, protokolü destekleyen uygulamalar ve ağ cihazları için çok faktörlü kimlik doğrulamasını çağırmak için RADIUS'yi destekler. RADIUS'u MFA Sunucusu ile kullanıyorsanız, istemci uygulamalarını MICROSOFT Entra Id üzerinde SAML, OpenID Bağlan veya OAuth gibi modern protokollere taşımanızı öneririz. Uygulama güncelleştirilemiyorsa, Ağ İlkesi Sunucusu'nu (NPS) Microsoft Entra çok faktörlü kimlik doğrulama uzantısıyla dağıtabilirsiniz. Ağ ilkesi sunucusu (NPS) uzantısı, ikinci bir kimlik doğrulaması faktörü sağlamak için RADIUS tabanlı uygulamalar ile Microsoft Entra çok faktörlü kimlik doğrulaması arasında bir bağdaştırıcı işlevi görür. Bu "bağdaştırıcı", RADIUS istemcilerinizi Microsoft Entra çok faktörlü kimlik doğrulamasına taşımanıza ve MFA Sunucunuzun yetkisini almanıza olanak tanır.
Dikkat edilmesi gereken önemli hususlar
RADIUS istemcileri için NPS kullanırken sınırlamalar vardır ve radius istemcilerini modern kimlik doğrulama protokollerine yükseltip yükseltebileceğinizi belirlemek için değerlendirmenizi öneririz. Desteklenen ürün sürümleri ve bunların özellikleri için hizmet sağlayıcısına başvurun.
- NPS uzantısı Microsoft Entra Koşullu Erişim ilkelerini kullanmaz. RADIUS'da kalır ve NPS uzantısını kullanırsanız, NPS'ye giden tüm kimlik doğrulama istekleri kullanıcının MFA gerçekleştirmesini gerektirir.
- Kullanıcıların NPS uzantısını kullanmadan önce Microsoft Entra çok faktörlü kimlik doğrulamasına kaydolması gerekir. Aksi takdirde, uzantı kullanıcının kimliğini doğrulayamaz ve bu da yardım masası çağrıları oluşturabilir.
- NPS uzantısı MFA'yı çağırdığında, MFA isteği kullanıcının varsayılan MFA yöntemine gönderilir.
- Oturum açma işlemi Microsoft dışı uygulamalarda gerçekleştiğinden, kullanıcı genellikle çok faktörlü kimlik doğrulaması gerektiğini ve cihazına bir istek gönderildiğini görsel olarak göremez.
- Çok faktörlü kimlik doğrulaması gereksinimi sırasında, kullanıcının gereksinimi tamamlamak için varsayılan kimlik doğrulama yöntemine erişimi olmalıdır. Alternatif bir yöntem seçemezler. Kiracı kimlik doğrulama yöntemlerinde ve çok faktörlü kimlik doğrulama ilkelerinde devre dışı bırakılsa bile varsayılan kimlik doğrulama yöntemleri kullanılır.
- Kullanıcılar, Güvenlik Bilgileri sayfasında (aka.ms/mysecurityinfo) varsayılan çok faktörlü kimlik doğrulama yöntemlerini değiştirebilir.
- RADIUS istemcileri için kullanılabilir MFA yöntemleri, RADIUS erişim isteklerini gönderen istemci sistemleri tarafından denetlenmektedir.
- Parola girdikten sonra kullanıcı girişi gerektiren MFA yöntemleri yalnızca RADIUS ile erişim sınaması yanıtlarını destekleyen sistemlerle kullanılabilir. Giriş yöntemleri OTP, donanım OATH belirteçleri veya Microsoft Authenticator olabilir.
- Bazı sistemler, çok faktörlü kimlik doğrulama yöntemlerini Microsoft Authenticator anında iletme bildirimleri ve telefon çağrılarıyla sınırlandırabilir.
Not
RADIUS istemcisi ile NPS sistemi arasında kullanılan parola şifreleme algoritması ve istemcinin kullanabileceği giriş yöntemleri, hangi kimlik doğrulama yöntemlerinin kullanılabilir olduğunu etkiler. Daha fazla bilgi için bkz . Kullanıcılarınızın hangi kimlik doğrulama yöntemlerini kullanabileceğini belirleme.
Yaygın RADIUS istemci tümleştirmeleri Uzak Masaüstü Ağ Geçitleri ve VPN Sunucuları gibi uygulamaları içerir. Diğerleri şunlar olabilir:
- Citrix Gateway
- Citrix Gateway hem RADIUS hem de NPS uzantısı tümleştirmesini ve SAML tümleştirmesini destekler.
- Cisco VPN
- Cisco VPN, SSO için hem RADIUS hem de SAML kimlik doğrulamasını destekler.
- RADIUS kimlik doğrulamasından SAML'ye geçerek, NPS uzantısını dağıtmadan Cisco VPN'yi tümleştirebilirsiniz.
- Tüm VPN'ler
- Mümkünse VPN'nizi SAML uygulaması olarak federasyona eklemenizi öneririz. Bu federasyon Koşullu Erişim'i kullanmanıza izin verir. Daha fazla bilgi için Microsoft Entra ID Uygulama galerisiyle tümleştirilmiş VPN satıcılarının listesine bakın.
NPS dağıtma kaynakları
- Yeni NPS altyapısı ekleme
- NPS dağıtımı için en iyi yöntemler
- Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı sistem durumu denetimi betiği
- Mevcut NPS altyapısını Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirme