Microsoft Entra Kimlik'de kimlik doğrulama yöntemleri - Microsoft Authenticator uygulaması
Microsoft Authenticator, Microsoft Entra iş veya okul hesabınıza ya da Microsoft hesabınıza başka bir güvenlik düzeyi sağlar. Android ve iOS için kullanılabilir. Microsoft Authenticator uygulamasıyla, kullanıcılar oturum açma sırasında parolasız bir şekilde kimlik doğrulaması yapabilir. Self servis parola sıfırlama (SSPR) veya çok faktörlü kimlik doğrulaması (MFA) olayları sırasında doğrulama seçeneği olarak da kullanabilirler.
Microsoft Authenticator, bildirimleri ve doğrulama kodlarını kullanarak geçiş anahtarını, parolasız oturum açmayı ve MFA'yı destekler.
- Kullanıcılar Authenticator uygulamasında bir geçiş anahtarıyla oturum açabilir ve biyometrik oturum açma veya cihaz PIN'i ile kimlik avına dayanıklı kimlik doğrulamasını tamamlayabilir.
- Kullanıcılar Authenticator bildirimlerini ayarlayabilir ve kullanıcı adı ve parolaları yerine Authenticator ile oturum açabilir.
- Kullanıcılar mobil cihazlarından bir MFA isteği alabilir ve telefonlarından oturum açma girişimini onaylayabilir veya reddedebilir.
- Ayrıca Authenticator uygulamasında bir OATH doğrulama kodu kullanabilir ve bunu bir oturum açma arabirimine girebilirler.
Daha fazla bilgi için bkz . Microsoft Authenticator ile parolasız oturum açmayı etkinleştirme.
Not
Kullanıcılar SSPR'yi etkinleştirdiklerinde mobil uygulamalarını kaydetme seçeneğine sahip değildir. Bunun yerine, kullanıcılar mobil uygulamalarını adresinde https://aka.ms/mfasetup veya konumundaki birleşik güvenlik bilgileri kaydının https://aka.ms/setupsecurityinfobir parçası olarak kaydedebilir. Authenticator uygulaması iOS ve Android'in beta sürümlerinde desteklenmeyebilir. Ayrıca, 20 Ekim 2023'den itibaren Android'deki Authenticator uygulaması artık Android Şirket Portalı eski sürümlerini desteklememektedir. 2111'in (5.0.5333.0) altındaki Şirket Portalı sürümlerine sahip Android kullanıcıları, Şirket Portalı uygulamalarını daha yeni bir sürüme güncelleştirene kadar Authenticator'ın yeni örneklerini yeniden kaydedemez veya kaydedemez.
Geçiş anahtarıyla oturum açma (önizleme)
Authenticator, kullanıcıların kendi telefonlarından parolasız kimlik avına dayanıklı kimlik doğrulamaları yapmasını sağlayan ücretsiz bir geçiş anahtarı çözümüdür. Authenticator uygulamasında geçiş anahtarlarını kullanmanın bazı önemli avantajları:
- Geçiş anahtarları büyük ölçekte kolayca dağıtılabilir. Ardından hem mobil cihaz yönetimi (MDM) hem de kendi cihazını getir (KCG) senaryoları için kullanıcının telefonunda geçiş anahtarları kullanılabilir.
- Authenticator'daki passkey'ler artık ücret ödemeden gelir ve kullanıcıyla nereye giderse gitsin birlikte seyahat eder.
- Authenticator'daki geçiş anahtarları, parola anahtarının oluşturulduğu cihazdan ayrılmamasını sağlayan cihaza bağlıdır.
- Kullanıcılar, açık WebAuthn standartlarına göre en son geçiş anahtarı yenilikleri ile güncel kalır.
- Kuruluşlar, Federal Bilgi İşleme Standartları (FIPS) 140 uyumluluğu gibi kimlik doğrulama akışlarının üzerine başka özellikler de ekleyebilir.
Cihaza bağlı geçiş anahtarı
Authenticator uygulamasındaki geçiş anahtarları, oluşturuldukları cihazdan asla ayrılmamalarını sağlamak için cihaza bağlıdır. Bir iOS cihazında Authenticator, geçiş anahtarını oluşturmak için Güvenli Kapanım'ı kullanır. Android'de, onu destekleyen cihazlarda Secure Öğesi'nde geçiş anahtarını oluştururuz veya Güvenilen Yürütme Ortamı'na (TEE) geri döneriz.
Kimlik Doğrulayıcı ile geçiş anahtarı kanıtlama nasıl çalışır?
Geçiş anahtarı (FIDO2) ilkesinde kanıtlama etkinleştirildiğinde, Microsoft Entra ID, geçiş anahtarının oluşturulduğu güvenlik anahtarı modelinin veya geçiş anahtarı sağlayıcısının meşruluğunu doğrulamaya çalışır. Bir kullanıcı Authenticator'da bir geçiş anahtarı kaydettirdiğinde kanıtlama, apple ve Google hizmetlerini kullanarak geçerli Microsoft Authenticator uygulamasının geçiş anahtarını oluşturduğunu doğrular. Her platformda kanıtlamanın nasıl çalıştığına ilişkin ayrıntılar aşağıdadır:
iOS: Authenticator kanıtlama, kimlik doğrulama anahtarını kaydetmeden önce Authenticator uygulamasının meşruluğunu sağlamak için iOS Uygulama Kanıtlama hizmetini kullanır.
Android:
- Play Integrity kanıtlaması için Authenticator kanıtlaması, kimlik doğrulama anahtarını kaydetmeden önce Authenticator uygulamasının meşruluğunu sağlamak için Play Integrity API'sini kullanır.
- Anahtar kanıtlama için Authenticator kanıtlama, android tarafından kaydedilen geçiş anahtarının donanım destekli olduğunu doğrulamak için anahtar kanıtlamasını kullanır.
Not
Authenticator kanıtlama, hem iOS hem de Android için Authenticator uygulamasının orijinalliğini doğrulamak için Apple ve Google hizmetlerine dayanır. Ağır hizmet kullanımı geçiş anahtarı kaydının başarısız olmasına neden olabilir ve kullanıcıların yeniden denemesi gerekebilir. Apple ve Google hizmetleri çalışmıyorsa Authenticator kanıtlama, hizmetler geri yüklenene kadar kanıtlama gerektiren kaydı engeller. Google Play Bütünlük hizmetinin durumunu izlemek için bkz . Google Play Durum Panosu. iOS Uygulama Testi hizmetinin durumunu izlemek için bkz . Sistem Durumu.
Kanıtlamayı yapılandırma hakkında daha fazla bilgi için bkz . Microsoft Entra Id için Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme.
Bildirimler aracılığıyla parolasız oturum açma
Kullanıcı adı girdikten sonra parola istemini görmek yerine Authenticator uygulamasından telefonla oturum açmayı etkinleştiren kullanıcılar, uygulamalarına bir numara girmek için bir ileti görür. Doğru sayı seçildiğinde oturum açma işlemi tamamlanır.
Bu kimlik doğrulama yöntemi yüksek düzeyde güvenlik sağlar ve kullanıcının oturum açma sırasında parola sağlama gereksinimini ortadan kaldırır.
Parolasız oturum açmayı kullanmaya başlamak için bkz . Microsoft Authenticator ile parolasız oturum açmayı etkinleştirme.
Mobil uygulama aracılığıyla bildirimler aracılığıyla MFA
Authenticator uygulaması, akıllı telefonunuza veya tabletinize bildirim göndererek hesaplara yetkisiz erişimi önlemeye ve sahte işlemleri durdurmaya yardımcı olabilir. Kullanıcılar bildirimi görüntüler ve geçerliyse Doğrula'yı seçin. Aksi takdirde Reddet'i seçebilirler.
Not
Ağustos 2023'ten itibaren anormal oturum açma işlemleri, tanıdık olmayan konumlardan gelen oturum açma işlemlerine benzer şekilde bildirim oluşturmaz. Anormal bir oturum açmayı onaylamak için kullanıcılar Microsoft Authenticator'ı veya Authenticator Lite'ı Outlook gibi ilgili bir yardımcı uygulamada açabilir. Ardından yenilemek için aşağı çekebilir veya Yenile'ye dokunup isteği onaylayabilirler.
Çin'de, Google play hizmetleri (anında iletme bildirimleri dahil) bölgede engellendiği için Android cihazlarda mobil uygulama aracılığıyla bildirim yöntemi çalışmaz. Ancak, iOS bildirimleri işe yarar. Android cihazlar için alternatif kimlik doğrulama yöntemleri bu kullanıcılar için kullanılabilir hale getirilmelidir.
Mobil uygulamadan doğrulama kodu
Authenticator uygulaması, OATH doğrulama kodu oluşturmak için yazılım belirteci olarak kullanılabilir. Kullanıcı adınızı ve parolanızı girdikten sonra Authenticator uygulaması tarafından sağlanan kodu oturum açma arabirimine girersiniz. Doğrulama kodu, ikinci bir kimlik doğrulama biçimi sağlar.
Not
Authenticator tarafından oluşturulan OATH doğrulama kodları sertifika tabanlı kimlik doğrulaması için desteklenmez.
Kullanıcılar, istedikleri zaman kullanılmak üzere yapılandırılan Authenticator uygulaması gibi beş adede kadar OATH donanım belirteci veya kimlik doğrulayıcı uygulamasının birleşimine sahip olabilir.
Microsoft Entra kimlik doğrulaması için FIPS 140 uyumlu
NIST Özel Yayın 800-63B'de açıklanan yönergelerle tutarlı olarak, ABD kamu kurumları tarafından kullanılan doğrulayıcıların FIPS 140 onaylı şifrelemeyi kullanması gerekir. Bu kılavuz, ABD kamu kurumlarının Executive Order (EO) 14028 gereksinimlerini karşılamalarına yardımcı olur. Ayrıca bu kılavuz, Denetimli Maddeler için Elektronik Reçeteler (EPCS) ile çalışan sağlık kuruluşları gibi diğer düzenlemeye tabi sektörlerin mevzuat gereksinimlerini karşılamasına yardımcı olur.
FIPS 140, bilgi teknolojisi ürün ve sistemlerinde şifreleme modülleri için minimum güvenlik gereksinimlerini tanımlayan bir ABD kamu standardıdır. Şifreleme Modülü Doğrulama Programı (CMVP), testi FIPS 140 standardına göre korur.
iOS için Microsoft Authenticator
iOS için Microsoft Authenticator, 6.6.8 sürümünden başlayarak Apple iOS FIPS 140 uyumlu cihazlarda FIPS doğrulanmış şifreleme için yerel Apple CoreCrypto modülünü kullanır. Kimlik avına dayanıklı cihaza bağlı geçiş anahtarları, çok faktörlü kimlik doğrulamaları (MFA), parolasız telefon oturum açma (PSI) ve zaman tabanlı tek seferlik geçiş kodları (TOTP) kullanan tüm Microsoft Entra kimlik doğrulamaları FIPS şifrelemesini kullanır.
Kullanılan FIPS 140 doğrulanmış şifreleme modülleri ve uyumlu iOS cihazları hakkında daha fazla bilgi için bkz . Apple iOS güvenlik sertifikaları.
Android için Microsoft Authenticator
Android için Microsoft Authenticator'da 6.2409.6094 sürümünden itibaren, geçiş anahtarları da dahil olmak üzere Microsoft Entra ID'deki tüm kimlik doğrulamaları FIPS uyumlu olarak kabul edilir. Authenticator, Android cihazlarda FIPS 140, Güvenlik Düzeyi 1 uyumluluğu elde etmek için wolfSSL Inc.'in şifreleme modülünü kullanır. Sertifikasyon hakkında daha fazla bilgi için bkz . Şifreleme Modülü Doğrulama Programı.
Güvenlik bilgileri'nde Microsoft Authenticator kayıt türünü belirleme
Kullanıcılar, Microsoft Authenticator kayıtlarını yönetmek ve eklemek için Güvenlik bilgilerine erişebilir (sonraki bölümdeki URL'lere bakın) veya MyAccount'tan Güvenlik bilgileri'ni seçerek erişebilir. Microsoft Authenticator kaydının parolasız telefon oturumu açma veya MFA olup olmadığını ayırt etmek için belirli simgeler kullanılır.
| Kimlik doğrulayıcı kayıt türü | Simge |
|---|---|
| Microsoft Authenticator: Parolasız telefon oturumu açma |  |
| Microsoft Authenticator: (Bildirim/Kod) |  |
SecurityInfo bağlantıları
| Bulut | Güvenlik bilgileri URL'si |
|---|---|
| Azure ticari (Kamu Topluluk Bulutu (GCC) içerir) | https://aka.ms/MySecurityInfo |
| ABD Kamu için Azure (GCC High ve DoD içerir) | https://aka.ms/MySecurityInfo-us |
Authenticator güncelleştirmeleri
Microsoft, Authenticator'ı yüksek düzeyde güvenlik sağlamak için sürekli olarak güncelleştirir. Kullanıcılarınızın mümkün olan en iyi deneyimi elde etmelerini sağlamak için Authenticator Uygulamalarını sürekli olarak güncelleştirmelerini öneririz. Kritik güvenlik güncelleştirmeleri söz konusu olduğunda, güncel olmayan uygulama sürümleri çalışmayabilir ve kullanıcıların kimlik doğrulamasını tamamlamalarını engelleyebilir. Bir kullanıcı uygulamanın desteklenmeyen bir sürümünü kullanıyorsa, oturum açmaya devam etmeden önce en son sürüme yükseltmesi istenir.
Microsoft ayrıca kuruluşunuz için yüksek güvenlik çubuğunu korumak için Authenticator Uygulamasının eski sürümlerini düzenli aralıklarla kullanımdan kaldırmaya devam eder. Kullanıcının cihazı Microsoft Authenticator'ın modern sürümlerini desteklemiyorsa uygulamayla oturum açamaz. MFA'yı tamamlamak için bu kullanıcıların Microsoft Authenticator'da oath doğrulama koduyla oturum açmasını öneririz.
Sonraki adımlar
Geçiş anahtarlarını kullanmaya başlamak için bkz . Microsoft Entra Id için Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme.
Parolasız oturum açma hakkında daha fazla bilgi için bkz . Microsoft Authenticator ile parolasız oturum açmayı etkinleştirme.
Microsoft Graph REST API'sini kullanarak kimlik doğrulama yöntemlerini yapılandırma hakkında daha fazla bilgi edinin.