Azure Active Directory Multi-Factor Authentication dağıtımı planlama

Azure Active Directory (Azure AD) Multi-Factor Authentication, veri ve uygulamalara erişimi korumaya yardımcı olarak ikinci bir kimlik doğrulama biçimi kullanarak başka bir güvenlik katmanı sağlar. Kuruluşlar, çözümü kendi ihtiyaçlarına uygun hale getirmek için Koşullu Erişim ile çok faktörlü kimlik doğrulamasını (MFA) etkinleştirebilir.

Bu dağıtım kılavuzunda, Azure AD Multi-Factor Authentication dağıtımı planlama ve uygulama gösterilmektedir.

Azure AD Multi-Factor Authentication'ı dağıtma önkoşulları

Dağıtımınıza başlamadan önce, ilgili senaryolarınız için aşağıdaki önkoşulları karşıladığınızdan emin olun.

Senaryo Önkoşul
Modern kimlik doğrulaması ile yalnızca bulut kimlik ortamı Önkoşul görevi yok
Karma kimlik senaryoları Azure AD Connect'i dağıtın ve şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ile Azure AD arasında kullanıcı kimliklerini eşitleyin.
Bulut erişimi için yayımlanan şirket içi eski uygulamalar Azure AD Uygulama Ara Sunucusu dağıtma

MFA için kimlik doğrulama yöntemlerini seçme

İkinci faktör kimlik doğrulaması için kullanılabilecek birçok yöntem vardır. Güvenlik, kullanılabilirlik ve kullanılabilirlik açısından her birini değerlendirerek kullanılabilir kimlik doğrulama yöntemleri listesinden seçim yapabilirsiniz.

Önemli

Kullanıcıların birincil yöntemlerinin kullanılamaması durumunda bir yedekleme yöntemine sahip olması için birden fazla MFA yöntemini etkinleştirin. Yöntemler şunlardır:

Kiracınızda kullanılacak kimlik doğrulama yöntemlerini seçerken şu yöntemlerin güvenliğini ve kullanılabilirliğini göz önünde bulundurun:

Doğru kimlik doğrulaması yöntemini seçme

Bu yöntemlerin gücü ve güvenliği ve nasıl çalıştıkları hakkında daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Kullanıcıların MFA yapılandırmalarını analiz etmek ve uygun MFA kimlik doğrulama yöntemini önermek için bu PowerShell betiğini kullanabilirsiniz.

En iyi esneklik ve kullanılabilirlik için Microsoft Authenticator uygulamasını kullanın. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyimini ve parolasız, MFA anında iletme bildirimleri ve OATH kodları gibi birden çok modu sağlar. Microsoft Authenticator uygulaması, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Authenticator Güvencesi Düzey 2 gereksinimlerini de karşılar.

Kiracınızda kullanılabilen kimlik doğrulama yöntemlerini denetleyebilirsiniz. Örneğin, SMS gibi en az güvenli yöntemlerden bazılarını engellemek isteyebilirsiniz.

Kimlik doğrulama yöntemi Yönet: Kapsam Belirleme
Microsoft Authenticator (Anında iletme bildirimi ve parolasız telefonla oturum açma) MFA ayarları veya Kimlik doğrulama yöntemleri ilkesi Kimlik doğrulayıcı parolasız telefon oturum açma kapsamını kullanıcılar ve gruplar olarak tanımlayabilirsiniz
FIDO2 güvenlik anahtarı Kimlik doğrulama yöntemleri ilkesi Kapsamı kullanıcılar ve gruplar olarak ayarlanabilir
Yazılım veya Donanım OATH belirteçleri MFA ayarları
SMS doğrulaması MFA ayarları
Kimlik doğrulama ilkesinde birincil kimlik doğrulaması için SMS oturum açma bilgilerini yönetme
SMS oturum açma kapsamı kullanıcılar ve gruplar olarak belirlenebilir.
Sesli aramalar Kimlik doğrulama yöntemleri ilkesi

Koşullu Erişim ilkelerini planlama

Azure AD Multi-Factor Authentication, Koşullu Erişim ilkeleriyle zorunlu kılındı. Bu ilkeler, güvenlik için gerektiğinde kullanıcılardan MFA istemenizi ve gerekmediğinde kullanıcıların yolundan uzak durmanızı sağlar.

Kavramsal Koşullu Erişim işlem akışı

Azure portal, Azure Active Directory>Güvenliği>Koşullu Erişim altında Koşullu Erişim ilkelerini yapılandıracaksınız.

Koşullu Erişim ilkeleri oluşturma hakkında daha fazla bilgi edinmek için bkz. Bir kullanıcı Azure portal oturum açtığında Multi-Factor Authentication Azure AD isteyen Koşullu Erişim ilkesi. Bu, şunları oluşturmanıza yardımcı olur:

  • Kullanıcı arabirimini tanıma
  • Koşullu Erişim'in nasıl çalıştığı hakkında ilk izlenim edinme

Koşullu Erişim dağıtımı Azure AD uçtan uca yönergeler için bkz. Koşullu Erişim dağıtım planı.

Azure AD Multi-Factor Authentication için yaygın ilkeler

Azure AD Multi-Factor Authentication gerektiren yaygın kullanım örnekleri şunlardır:

Adlandırılmış konumlar

Koşullu Erişim ilkelerinizi yönetmek için Koşullu Erişim ilkesinin konum koşulu, erişim denetimleri ayarlarını kullanıcılarınızın ağ konumlarına bağlamanızı sağlar. IP adresi aralıklarının veya ülke ve bölgelerin mantıksal gruplandırmalarını oluşturabilmeniz için Adlandırılmış Konumlar kullanmanızı öneririz. Bu, tüm uygulamalar için söz konusu adlandırılmış konumdan oturum açmayı engelleyen bir ilke oluşturur. Yöneticilerinizi bu ilkeden muaf tutmayı unutmayın.

Risk tabanlı ilkeler

Kuruluşunuz risk sinyallerini algılamak için Azure AD Kimlik Koruması kullanıyorsa, adlandırılmış konumlar yerine risk tabanlı ilkeler kullanmayı göz önünde bulundurun. Güvenliği aşılmış kimlik tehdidi olduğunda parola değişikliklerini zorlamak veya sızdırılan kimlik bilgileri, anonim IP adreslerinden oturum açma işlemleri ve daha fazlası gibi bir oturum açma risk altında kabul edildiğinde MFA gerektiren ilkeler oluşturulabilir.

Risk ilkeleri şunlardır:

Kullanıcıları kullanıcı başına MFA'dan Koşullu Erişim tabanlı MFA'ya dönüştürme

Kullanıcılarınız kullanıcı başına etkin ve zorunlu MFA kullanılarak etkinleştirildiyse, aşağıdaki PowerShell Koşullu Erişim tabanlı MFA'ya dönüştürme işleminde size yardımcı olabilir.

Bu PowerShell'i bir ISE penceresinde çalıştırın veya yerel olarak çalıştırmak için dosya olarak .PS1 kaydedin. İşlem yalnızca MSOnline modülü kullanılarak gerçekleştirilebilir.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Kullanıcı oturum ömrünü planlama

Çok faktörlü kimlik doğrulama dağıtımınızı planlarken, kullanıcılarınıza ne sıklıkta sorulacağını düşünmeniz önemlidir. Kullanıcılardan kimlik bilgilerini istemek genellikle mantıklı bir işlem gibi görünür, ancak geri tepebilir. Kullanıcılar kimlik bilgilerini düşünmeden girmeleri için eğitildiyse, istemeden kötü amaçlı bir kimlik bilgisi istemine sağlayabilirler. Azure AD, ne sıklıkta yeniden kimlik doğrulamanız gerektiğini belirleyen birden çok ayara sahiptir. İşletmenizin ve kullanıcılarınızın gereksinimlerini anlayın ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırın.

Gelişmiş son kullanıcı deneyimi için Birincil Yenileme Belirteçleri (PRT) olan cihazların kullanılmasını ve oturum açma sıklığı ilkesiyle oturum ömrünü yalnızca belirli iş kullanım örneklerinde azaltmanızı öneririz.

Daha fazla bilgi için bkz. Azure AD Multi-Factor Authentication için yeniden kimlik doğrulama istemlerini iyileştirme ve oturum ömrünü anlama.

Kullanıcı kaydını planlama

Her çok faktörlü kimlik doğrulaması dağıtımında önemli bir adım, kullanıcıların Multi-Factor Authentication Azure AD kullanmaya kaydolmasını sağlamaktır. Voice ve SMS gibi kimlik doğrulama yöntemleri ön kayda izin verirken Authenticator Uygulaması gibi diğer yöntemler kullanıcı etkileşimi gerektirir. Yöneticilerin kullanıcıların yöntemlerini nasıl kaydedeceğini belirlemesi gerekir.

SSPR ve Azure AD MFA için birleşik kayıt

Not

15 Ağustos 2020'den itibaren, tüm yeni Azure AD kiracıları birleşik kayıt için otomatik olarak etkinleştirilecektir. Bu tarihten sonra oluşturulan kiracılar eski kayıt iş akışlarını kullanamayacak. 30 Eylül 2022'nin ardından, tüm mevcut Azure AD kiracıları birleşik kayıt için otomatik olarak etkinleştirilir.

Kuruluşların Azure AD Multi-Factor Authentication ve self servis parola sıfırlama (SSPR) için birleşik kayıt deneyimini kullanmasını öneririz. SSPR, kullanıcıların Azure AD Multi-Factor Authentication için kullandıkları yöntemleri kullanarak parolalarını güvenli bir şekilde sıfırlamalarına olanak tanır. Birleşik kayıt, son kullanıcılar için tek bir adımdır. İşlevselliği ve son kullanıcı deneyimini anladığınızdan emin olmak için birleşik güvenlik bilgileri kayıt kavramlarına bakın.

Kullanıcıları yaklaşan değişiklikler, kayıt gereksinimleri ve gerekli kullanıcı eylemleri hakkında bilgilendirmek önemlidir. Kullanıcılarınızı yeni deneyime hazırlamak ve başarılı bir dağıtım sağlamaya yardımcı olmak için iletişim şablonları ve kullanıcı belgeleri sağlıyoruz. Bu sayfadaki Güvenlik Bilgileri bağlantısını seçerek kullanıcıları kaydolmaları için https://myprofile.microsoft.com adresine gönderin.

Kimlik Koruması ile kayıt

Azure AD Kimlik Koruması, Azure AD Multi-Factor Authentication hikayesine hem bir kayıt ilkesi hem de otomatik risk algılama ve düzeltme ilkelerine katkıda bulunur. Güvenliği aşılmış kimlik tehdidi olduğunda parola değişikliklerini zorlamak veya oturum açma riskli kabul edildiğinde MFA gerektirmek için ilkeler oluşturulabilir. Azure AD Kimlik Koruması kullanıyorsanız, kullanıcılarınızdan etkileşimli olarak bir sonraki oturum açışında kaydolmalarını isteyecek Azure AD MFA kayıt ilkesini yapılandırın.

Kimlik Koruması olmadan kayıt

Azure AD Kimlik Koruması'nı etkinleştiren lisanslarınız yoksa, kullanıcılardan bir sonraki oturum açmada MFA gerektiğinde kaydolmaları istenir. Kullanıcıların MFA kullanmasını istemek için Koşullu Erişim ilkelerini kullanabilir ve İk sistemleri gibi sık kullanılan uygulamaları hedefleyebilirsiniz. Bir kullanıcının parolası tehlikeye atılırsa, MFA'ya kaydolmak ve hesabının denetimini almak için kullanılabilir. Bu nedenle, güvenilen cihazlar ve konumlar gerektiren koşullu erişim ilkeleriyle güvenlik kaydı işleminin güvenliğini sağlamanızı öneririz. Geçici Erişim Geçişi de gerektirerek sürecin güvenliğini daha da sağlayabilirsiniz. Yönetici tarafından verilen ve güçlü kimlik doğrulama gereksinimlerini karşılayan ve Parolasız olanlar da dahil olmak üzere diğer kimlik doğrulama yöntemlerini eklemek için kullanılabilen sınırlı süreli geçiş kodu.

Kayıtlı kullanıcıların güvenliğini artırma

SMS veya sesli arama kullanarak MFA'ya kaydolan kullanıcılarınız varsa, bunları Microsoft Authenticator uygulaması gibi daha güvenli yöntemlere taşımak isteyebilirsiniz. Microsoft artık kullanıcılardan oturum açma sırasında Microsoft Authenticator uygulamasını ayarlamalarını istemenizi sağlayan genel bir işlevsellik önizlemesi sunar. Bu istemleri gruba göre ayarlayabilir, kimlerin istendiği denetlenebilir ve kullanıcıları daha güvenli bir yönteme taşımak için hedeflenen kampanyaları etkinleştirebilirsiniz.

Kurtarma senaryolarını planlama

Daha önce belirtildiği gibi, kullanıcıların birden fazla MFA yöntemine kayıtlı olduğundan emin olun, böylece bir MFA yöntemi kullanılamıyorsa yedekleri olur. Kullanıcının kullanılabilir bir yedekleme yöntemi yoksa şunları yapabilirsiniz:

  • Kendi kimlik doğrulama yöntemlerini yönetebilmeleri için onlara Geçici Erişim Geçişi sağlayın. Kaynaklara geçici erişimi etkinleştirmek için Geçici Erişim Geçişi de sağlayabilirsiniz.
  • Yöntemlerini yönetici olarak güncelleştirin. Bunu yapmak için Azure portal kullanıcıyı seçin, ardından Kimlik doğrulama yöntemleri'ni seçin ve yöntemlerini güncelleştirin. Kullanıcı iletişimleri

Şirket içi sistemlerle tümleştirmeyi planlama

doğrudan Azure AD ile kimlik doğrulaması yapabilen ve modern kimlik doğrulamasına (WS-Fed, SAML, OAuth, OpenID Connect) sahip uygulamalar Koşullu Erişim ilkelerini kullanabilir. Bazı eski ve şirket içi uygulamalar doğrudan Azure AD kimlik doğrulaması yapmaz ve Multi-Factor Authentication Azure AD kullanmak için ek adımlar gerektirir. Bunları Azure AD Uygulama ara sunucusu veya Ağ ilkesi hizmetlerini kullanarak tümleştirebilirsiniz.

AD FS kaynaklarıyla tümleştirme

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile güvenliği sağlanan uygulamaların Azure AD geçirilmesini öneririz. Ancak, bunları Azure AD geçirmeye hazır değilseniz, AD FS 2016 veya daha yeni bir sürümle Azure Multi-Factor Authentication bağdaştırıcısını kullanabilirsiniz.

Kuruluşunuz Azure AD ile birleştirilmişse, hem şirket içinde hem de bulutta AD FS kaynaklarıyla kimlik doğrulama sağlayıcısı olarak Azure AD Multi-Factor Authentication'ı yapılandırabilirsiniz.

RADIUS istemcileri ve Azure AD Multi-Factor Authentication

RADIUS kimlik doğrulaması kullanan uygulamalar için, istemci uygulamalarını Azure AD'da SAML, Open ID Connect veya OAuth gibi modern protokollere taşımanızı öneririz. Uygulama güncelleştirilemiyorsa Azure MFA uzantısıyla Ağ İlkesi Sunucusu 'nu (NPS) dağıtabilirsiniz. Ağ ilkesi sunucusu (NPS) uzantısı, ikinci bir kimlik doğrulama faktörü sağlamak için RADIUS tabanlı uygulamalar ile Azure AD MFA arasında bir bağdaştırıcı işlevi görür.

Yaygın tümleştirmeler

Birçok satıcı artık uygulamaları için SAML kimlik doğrulamasını destekliyor. Mümkün olduğunda, bu uygulamaları Azure AD ile birleştirmenizi ve Koşullu Erişim aracılığıyla MFA'yı zorunlu tutmanızı öneririz. Satıcınız modern kimlik doğrulamasını desteklemiyorsa, NPS uzantısını kullanabilirsiniz. Yaygın RADIUS istemci tümleştirmeleri , Uzak Masaüstü Ağ Geçitleri ve VPN sunucuları gibi uygulamaları içerir.

Diğerleri şunlar olabilir:

  • Citrix Gateway

    Citrix Gateway hem RADIUS hem de NPS uzantısı tümleştirmesini ve SAML tümleştirmesini destekler.

  • Cisco VPN

    • Cisco VPN, SSO için hem RADIUS hem de SAML kimlik doğrulamasını destekler.
    • RADIUS kimlik doğrulamasından SAML'ye geçerek, NPS uzantısını dağıtmadan Cisco VPN'i tümleştirebilirsiniz.
  • Tüm VPN'ler

Azure AD Multi-Factor Authentication'ı dağıtma

Azure AD Multi-Factor Authentication dağıtım planınız bir pilot dağıtım ve ardından destek kapasitenizin içindeki dağıtım dalgalarını içermelidir. Koşullu Erişim ilkelerinizi küçük bir pilot kullanıcı grubuna uygulayarak dağıtımınıza başlayın. Pilot kullanıcılar, kullanılan işlem ve kayıt davranışları üzerindeki etkisini değerlendirdikten sonra ilkeye daha fazla grup ekleyebilir veya var olan gruplara daha fazla kullanıcı ekleyebilirsiniz.

Aşağıdaki adımları izleyin:

  1. Gerekli önkoşulları karşılama
  2. Seçilen kimlik doğrulama yöntemlerini yapılandırma
  3. Koşullu Erişim ilkelerinizi yapılandırma
  4. Oturum ömrü ayarlarını yapılandırma
  5. Azure AD MFA kayıt ilkelerini yapılandırma

Azure AD Multi-Factor Authentication'ı yönetme

Bu bölümde, Azure AD Multi-Factor Authentication için raporlama ve sorun giderme bilgileri sağlanır.

Raporlama ve İzleme

Azure AD teknik ve iş içgörüleri sağlayan raporlar vardır, dağıtımınızın ilerleme durumunu izleyin ve kullanıcılarınızın MFA ile oturum açmada başarılı olup olmadığını denetleyin. İş ve teknik uygulama sahiplerinizin, kuruluşunuzun gereksinimlerine göre bu raporların sahipliğini üstlenmesini ve kullanmasını sağlayın.

Kimlik Doğrulama Yöntemleri Etkinliği panosunu kullanarak kuruluşunuz genelinde kimlik doğrulama yöntemi kaydını ve kullanımını izleyebilirsiniz. Bu, hangi yöntemlerin kaydedilmekte olduğunu ve bunların nasıl kullanıldığını anlamanıza yardımcı olur.

MFA olaylarını gözden geçirmek için oturum açma raporu

Azure AD oturum açma raporları, kullanıcıdan MFA istendiğinde ve herhangi bir Koşullu Erişim ilkesi kullanılıyorsa olaylar için kimlik doğrulama ayrıntılarını içerir. PowerShell'i Azure AD Multi-Factor Authentication'a kayıtlı kullanıcılar üzerinde raporlama için de kullanabilirsiniz.

Bulut MFA etkinliği için NPS uzantısı ve AD FS günlükleri artık Oturum açma günlüklerine dahil edilir ve artık Güvenlik>MFA>Etkinliği raporunda yayımlanmaz.

Daha fazla bilgi ve Ek Azure AD Multi-Factor Authentication raporları için bkz. Multi-Factor Authentication olaylarını Azure AD gözden geçirme.

Azure AD Multi-Factor Authentication sorunlarını giderme

Yaygın sorunlar için bkz. Multi-Factor Authentication Azure AD sorunlarını giderme.

Sonraki adımlar

Diğer kimlik özelliklerini dağıtma