Azure Active Directory'de mevcut olan kimlik doğrulaması ve doğrulama yöntemleri

Microsoft, en güvenli oturum açma deneyimini sağladığından Windows Hello, FIDO2 güvenlik anahtarları ve Microsoft Authenticator uygulaması gibi parolasız kimlik doğrulama yöntemleri önerir. Kullanıcı kullanıcı adı ve parola gibi diğer yaygın yöntemleri kullanarak oturum açabiliyor olsa da, parolalar daha güvenli kimlik doğrulama yöntemleriyle değiştirilmelidir.

Azure AD'da güçlü yönleri ve tercih edilen kimlik doğrulama yöntemlerinin çizimi.

Azure AD Multi-Factor Authentication (MFA), yalnızca kullanıcı oturum açtığında parola kullanmak yerine ek güvenlik ekler. Kullanıcıdan bir anında iletme bildirimine yanıt verme, yazılım veya donanım belirtecinden kod girme ya da SMS ya da telefon aramasına yanıt verme gibi ek kimlik doğrulama biçimleri istenebilir.

Kullanıcı ekleme deneyimini basitleştirmek ve hem MFA hem de self servis parola sıfırlama (SSPR) için kaydolmak için birleşik güvenlik bilgileri kaydını etkinleştirmenizi öneririz. Dayanıklılık için, kullanıcıların birden çok kimlik doğrulama yöntemini kaydetmesini gerektirmenizi öneririz. Oturum açma veya SSPR sırasında bir kullanıcı için bir yöntem kullanılamadığında, başka bir yöntemle kimlik doğrulamayı seçebilir. Daha fazla bilgi için bkz. Azure AD'de dayanıklı erişim denetimi yönetimi stratejisi oluşturma.

Kuruluşunuzun güvenliğini sağlamak için en iyi kimlik doğrulama yöntemini seçmenize yardımcı olmak için oluşturduğumuz bir video aşağıdadır.

Kimlik doğrulama yöntemi gücü ve güvenliği

Kuruluşunuzda Azure AD Multi-Factor Authentication gibi özellikleri dağıttığınızda, kullanılabilir kimlik doğrulama yöntemlerini gözden geçirin. Güvenlik, kullanılabilirlik ve kullanılabilirlik açısından gereksinimlerinizi karşılayan veya aşan yöntemleri seçin. Mümkün olduğunda, en yüksek güvenlik düzeyine sahip kimlik doğrulama yöntemlerini kullanın.

Aşağıdaki tabloda, kullanılabilir kimlik doğrulama yöntemleriyle ilgili güvenlik konuları özetlenmiştir. Kullanılabilirlik, kullanıcının Azure AD hizmet kullanılabilirliğini değil kimlik doğrulama yöntemini kullanabileceğinin bir göstergesidir:

Kimlik doğrulama yöntemi Güvenlik Kullanılabilirlik Kullanılabilirlik
İş İçin Windows Hello Yüksek Yüksek Yüksek
Microsoft Authenticator uygulaması Yüksek Yüksek Yüksek
FIDO2 güvenlik anahtarı Yüksek Yüksek Yüksek
Sertifika tabanlı kimlik doğrulaması (önizleme) Yüksek Yüksek Yüksek
OATH donanım belirteçleri (önizleme) Orta Orta Yüksek
OATH yazılım belirteçleri Orta Orta Yüksek
SMS Orta Yüksek Orta
Ses Orta Orta Orta
Parola Düşük Yüksek Yüksek

Güvenlikle ilgili en son bilgiler için blog gönderilerimize göz atın:

İpucu

Esneklik ve kullanılabilirlik için Microsoft Authenticator uygulamasını kullanmanızı öneririz. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyimini ve parolasız, MFA anında iletme bildirimleri ve OATH kodları gibi birden çok modu sağlar.

Her kimlik doğrulama yöntemi nasıl çalışır?

FiDO2 güvenlik anahtarı veya parola kullanma gibi bir uygulamada veya cihazda oturum açtığınızda birincil faktör olarak bazı kimlik doğrulama yöntemleri kullanılabilir. Diğer kimlik doğrulama yöntemleri yalnızca Azure AD Multi-Factor Authentication veya SSPR kullandığınızda ikincil faktör olarak kullanılabilir.

Aşağıdaki tabloda, oturum açma olayı sırasında bir kimlik doğrulama yönteminin ne zaman kullanılabileceğinin ana hatları yer alır:

Yöntem Birincil kimlik doğrulama İkincil kimlik doğrulaması
İş İçin Windows Hello Evet MFA*
Microsoft Authenticator uygulaması Evet MFA ve SSPR
FIDO2 güvenlik anahtarı Evet Çok faktörlü kimlik doğrulaması
Sertifika tabanlı kimlik doğrulaması (önizleme) Evet Hayır
OATH donanım belirteçleri (önizleme) Hayır MFA ve SSPR
OATH yazılım belirteçleri Hayır MFA ve SSPR
SMS Evet MFA ve SSPR
Sesli arama Hayır MFA ve SSPR
Parola Evet

* İş İçin Windows Hello, tek başına, bir adım yukarı MFA kimlik bilgisi olarak hizmet vermez. Örneğin, forceAuthn=true içeren Oturum Açma Sıklığı veya SAML İsteğinden MFA Sınaması. İş İçin Windows Hello, FIDO2 kimlik doğrulamasında kullanılarak bir adım adım MFA kimlik bilgisi olarak kullanılabilir. Bunun için kullanıcıların FIDO2 kimlik doğrulamasının başarıyla çalışması için etkinleştirilmesi gerekir.

Bu kimlik doğrulama yöntemlerinin tümü Azure portal yapılandırılabilir ve giderek Microsoft Graph REST API'sini kullanabilir.

Her kimlik doğrulama yönteminin nasıl çalıştığı hakkında daha fazla bilgi edinmek için aşağıdaki ayrı kavramsal makalelere bakın:

Not

Azure AD'da parola genellikle birincil kimlik doğrulama yöntemlerinden biridir. Parola kimlik doğrulama yöntemini devre dışı bırakamazsınız. Birincil kimlik doğrulama faktörü olarak parola kullanıyorsanız, Azure AD Multi-Factor Authentication kullanarak oturum açma olaylarının güvenliğini artırın.

Belirli senaryolarda aşağıdaki ek doğrulama yöntemleri kullanılabilir:

  • Uygulama parolaları - Modern kimlik doğrulamasını desteklemeyen eski uygulamalar için kullanılır ve kullanıcı başına multi-Factor Authentication Azure AD yapılandırılabilir.
  • Güvenlik soruları - yalnızca SSPR için kullanılır
  • Email adresi - yalnızca SSPR için kullanılır

Sonraki adımlar

Başlamak için bkz. Self servis parola sıfırlama (SSPR) ve Azure AD Multi-Factor Authentication öğreticisi.

SSPR kavramları hakkında daha fazla bilgi edinmek için bkz. Azure AD self servis parola sıfırlama nasıl çalışır?

MFA kavramları hakkında daha fazla bilgi edinmek için bkz. Azure AD Multi-Factor Authentication nasıl çalışır?

Microsoft Graph REST API'sini kullanarak kimlik doğrulama yöntemlerini yapılandırma hakkında daha fazla bilgi edinin.

Hangi kimlik doğrulama yöntemlerinin kullanıldığını gözden geçirmek için bkz. PowerShell ile Multi-Factor Authentication kimlik doğrulama yöntemi analizini Azure AD.