Azure Active Directory için parolasız kimlik doğrulama seçenekleri

Çok faktörlü kimlik doğrulaması (MFA) gibi özellikler kuruluşunuzun güvenliğini sağlamak için harika bir yoldur, ancak kullanıcılar genellikle parolalarını hatırlamak zorunda kalmadan ek güvenlik katmanından rahatsız olur. Parolasız kimlik doğrulama yöntemleri daha kullanışlıdır çünkü parola kaldırılır ve yerine sahip olduğunuz bir şey, ayrıca sizin olduğunuz veya bildiğiniz bir şey eklenir.

Kimlik Doğrulaması Sahip olduğunuz bir şey Bildiğiniz veya bildiğiniz bir şey
Parolasız cihaz, telefon veya güvenlik anahtarını Windows 10 Biyometrik veya PIN

Kimlik doğrulaması söz konusu olduğunda her kuruluşun farklı gereksinimleri vardır. Microsoft genel Azure ve Azure Kamu, Azure Active Directory (Azure AD) ile tümleşen aşağıdaki üç parolasız kimlik doğrulama seçeneğini sunar:

  • İş İçin Windows Hello
  • Microsoft Authenticator
  • FIDO2 güvenlik anahtarları

Kimlik doğrulaması: Güvenlik ve kolaylık

İş İçin Windows Hello

İş İçin Windows Hello, kendi windows bilgisayarlarına sahip bilgi çalışanları için idealdir. Biyometrik ve PIN kimlik bilgileri doğrudan kullanıcının bilgisayarına bağlıdır ve bu da sahibin dışında herhangi birinin erişimini engeller. Ortak anahtar altyapısı (PKI) tümleştirmesi ve çoklu oturum açma (SSO) için yerleşik destek ile İş İçin Windows Hello şirket içi ve buluttaki kurumsal kaynaklara sorunsuz bir şekilde erişmek için kullanışlı bir yöntem sağlar.

İş İçin Windows Hello ile kullanıcı oturum açma örneği

Aşağıdaki adımlar, oturum açma işleminin Azure AD ile nasıl çalıştığını gösterir:

İş İçin Windows Hello ile kullanıcı oturum açma adımları özetlenen diyagram

  1. Kullanıcı biyometrik veya PIN hareketi kullanarak Windows'ta oturum açar. Bu hareket, İş İçin Windows Hello özel anahtarının kilidini açar ve Bulut Kimlik Doğrulaması güvenlik destek sağlayıcısına gönderilir ve bu sağlayıcı Bulut AP sağlayıcısı olarak adlandırılır.
  2. Bulut AP sağlayıcısı, Azure AD'den bir nonce (yalnızca bir kez kullanılabilen rastgele rastgele bir sayı) ister.
  3. Azure AD, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. Cloud AP sağlayıcısı, kullanıcının özel anahtarını kullanarak nonce'ı imzalar ve imzalı nonce değerini Azure AD döndürür.
  5. Azure AD, kullanıcının güvenli bir şekilde kaydedilmiş ortak anahtarını kullanarak imzalanan nonce imzasını doğrular. Azure AD imzayı doğrular ve sonra döndürülen imzalı kimlik doğrulamasını doğrular. Nonce doğrulandığında, Azure AD cihazın aktarım anahtarıyla şifrelenmiş oturum anahtarıyla bir birincil yenileme belirteci (PRT) oluşturur ve bunu Cloud AP sağlayıcısına döndürür.
  6. Cloud AP sağlayıcısı, oturum anahtarıyla şifrelenmiş PRT'yi alır. Cloud AP sağlayıcısı, oturum anahtarının şifresini çözmek için cihazın özel aktarım anahtarını kullanır ve cihazın Güvenilir Platform Modülü'ünü (TPM) kullanarak oturum anahtarını korur.
  7. Cloud AP sağlayıcısı, Windows'a başarılı bir kimlik doğrulaması yanıtı döndürür. Kullanıcı daha sonra yeniden kimlik doğrulaması (SSO) gerekmeden Hem Windows'a hem de bulut ve şirket içi uygulamalara erişebilir.

İş İçin Windows Hello planlama kılavuzu, İş İçin Windows Hello dağıtımının türü ve dikkate almanız gereken seçenekler hakkında karar vermenize yardımcı olmak için kullanılabilir.

Microsoft Authenticator

Ayrıca, çalışanınızın telefonunun parolasız kimlik doğrulama yöntemi olmasına da izin vekleyebilirsiniz. Authenticator uygulamasını parolaya ek olarak kullanışlı bir çok faktörlü kimlik doğrulama seçeneği olarak zaten kullanıyor olabilirsiniz. Authenticator Uygulamasını parolasız seçenek olarak da kullanabilirsiniz.

Microsoft Authenticator ile Microsoft Edge'de oturum açın

Authenticator Uygulaması, herhangi bir iOS veya Android telefonu güçlü, parolasız bir kimlik bilgilerine dönüştürür. Kullanıcılar, telefonlarına bir bildirim alarak, ekranda görüntülenen bir numarayı telefonlarındaki numarayla eşleştirerek ve ardından onaylamak için biyometrik (dokunmatik veya yüz) veya PIN'lerini kullanarak herhangi bir platformda veya tarayıcıda oturum açabilir. Yükleme ayrıntıları için bkz. Microsoft Authenticator'ı indirme ve yükleme.

Authenticator uygulamasını kullanarak parolasız kimlik doğrulaması, İş İçin Windows Hello ile aynı temel deseni izler. Azure AD kullanılan Authenticator uygulama sürümünü bulabilmesi için kullanıcının tanımlanması gerektiğinden bu biraz daha karmaşıktır:

Microsoft Authenticator Uygulaması ile kullanıcı oturum açma adımları özetlenen diyagram

  1. Kullanıcı kullanıcı adını girer.
  2. Azure AD kullanıcının güçlü bir kimlik bilgisi olduğunu algılar ve Güçlü Kimlik Bilgisi akışını başlatır.
  3. iOS cihazlarında Apple Anında İletme Bildirimi Hizmeti (APNS) veya Android cihazlarda Firebase Cloud Messaging (FCM) aracılığıyla uygulamaya bir bildirim gönderilir.
  4. Kullanıcı anında iletme bildirimini alır ve uygulamayı açar.
  5. Uygulama Azure AD çağırır ve bir iletişim durumu kanıtı sınaması ve nonce alır.
  6. Kullanıcı, özel anahtarın kilidini açmak için biyometrik veya PIN bilgilerini girerek sınamayı tamamlar.
  7. Nonce özel anahtarla imzalanır ve Azure AD geri gönderilir.
  8. Azure AD ortak/özel anahtar doğrulaması gerçekleştirir ve bir belirteç döndürür.

Parolasız oturum açmayı kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

FIDO2 güvenlik anahtarları

FIDO (Fast IDentity Online) Alliance, açık kimlik doğrulama standartlarının yükseltilmesine ve parolaların bir kimlik doğrulaması biçimi olarak kullanımını azaltmaya yardımcı olur. FIDO2, web kimlik doğrulaması (WebAuthn) standardını içeren en son standarttır.

FIDO2 güvenlik anahtarları, herhangi bir form faktöründe gelebilen, tanımlanamaz standartlara dayalı parolasız bir kimlik doğrulama yöntemidir. Fast Identity Online (FIDO), parolasız kimlik doğrulaması için açık bir standarttır. FIDO, kullanıcıların ve kuruluşların dış güvenlik anahtarı veya cihazda yerleşik olarak bulunan bir platform anahtarı kullanarak kullanıcı adı veya parola olmadan kaynaklarında oturum açmak için standart kullanımdan yararlanmasına olanak tanır.

Kullanıcılar oturum açma arabiriminde ana kimlik doğrulama araçları olarak kaydolup bir FIDO2 güvenlik anahtarı seçebilir. Bu FIDO2 güvenlik anahtarları genellikle USB cihazlarıdır, ancak Bluetooth veya NFC de kullanabilir. Kimlik doğrulamasını işleyen bir donanım cihazıyla, bir hesabın güvenliği artırılır çünkü ortaya çıkarılacak veya tahmin edilebilecek bir parola yoktur.

FIDO2 güvenlik anahtarları, Azure AD veya karma Azure AD katılmış Windows 10 cihazlarında oturum açmak ve bulut ve şirket içi kaynaklarında çoklu oturum açmak için kullanılabilir. Kullanıcılar desteklenen tarayıcılarda da oturum açabilir. FIDO2 güvenlik anahtarları, güvenlik açısından çok hassas olan veya senaryoları olan ya da telefonlarını ikinci bir faktör olarak kullanmaya istekli olmayan veya kullanamayan çalışanlar için harika bir seçenektir.

Tarayıcıların Azure AD ile FIDO2 kimlik doğrulamasını desteklediği bir başvuru belgemiz ve geliştirdikleri uygulamalarda FIDO2 kimlik doğrulamasını desteklemek isteyen geliştiriciler için en iyi yöntemler var.

Microsoft Edge'de güvenlik anahtarıyla oturum açın

Kullanıcı bir FIDO2 güvenlik anahtarıyla oturum açtığında aşağıdaki işlem kullanılır:

FIDO2 güvenlik anahtarıyla kullanıcı oturum açma adımları özetlenen diyagram

  1. Kullanıcı, FIDO2 güvenlik anahtarını bilgisayarına yükler.
  2. Windows, FIDO2 güvenlik anahtarını algılar.
  3. Windows bir kimlik doğrulama isteği gönderir.
  4. Azure AD bir nonce gönderir.
  5. Kullanıcı, FIDO2 güvenlik anahtarının güvenli kapanımında depolanan özel anahtarın kilidini açma hareketini tamamlar.
  6. FIDO2 güvenlik anahtarı, özel anahtarla nonce'i imzalar.
  7. İmzalı nonce içeren birincil yenileme belirteci (PRT) belirteci isteği Azure AD gönderilir.
  8. Azure AD, FIDO2 ortak anahtarını kullanarak imzalı nonce'i doğrular.
  9. Azure AD, şirket içi kaynaklara erişimi etkinleştirmek için PRT döndürür.

FIDO2 güvenlik anahtarı sağlayıcıları

Aşağıdaki sağlayıcılar, parolasız deneyimle uyumlu olduğu bilinen farklı form faktörlerine sahip FIDO2 güvenlik anahtarları sunar. Satıcıya ve FIDO Alliance'a başvurarak bu anahtarların güvenlik özelliklerini değerlendirmenizi öneririz.

Sağlayıcı Biyometrik USB NFC Ble FIPS Sertifikalı İletişim
AuthenTrend Y Y Y Y n https://authentrend.com/about-us/#pg-35-3
Ciright n n Y n n https://www.cyberonecard.com/
Güvence Y Y n n n https://www.ensurity.com/contact
Excelsecu Y Y Y Y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitan dili Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet n Y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n Y Y Y n https://www.gotrustid.com/idem-key
Sakladı n Y Y n n https://www.hidglobal.com/contact-us
Hypersecu n Y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y n https://www.idmelon.com/#idmelon
Kensington Y Y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y n Y Y n https://konai.com/business/security/fido
NeoWave n Y Y n n https://neowave.fr/en/products/fido-range/
Nymi Y n Y n n https://www.nymi.com/nymi-band
Octatco Y Y n n n https://octatco.com/
OneSpan Inc. n Y n Y n https://www.onespan.com/products/fido
Swissbit n Y Y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales Grubu n Y Y n Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y n https://thetis.io/collections/fido2
Token2 İsviçre Y Y Y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Çözümleri Y Y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n Y n n n https://passwordless.vincss.net
Yubico Y Y Y n Y https://www.yubico.com/solutions/passwordless/

Not

NFC tabanlı güvenlik anahtarları satın alıp kullanmayı planlıyorsanız, güvenlik anahtarı için desteklenen bir NFC okuyucuya ihtiyacınız vardır. NFC okuyucu bir Azure gereksinimi veya sınırlaması değildir. Desteklenen NFC okuyucularının listesi için NFC tabanlı güvenlik anahtarınızın satıcısına başvurun.

Satıcıysanız ve cihazınızı bu desteklenen cihazlar listesine almak istiyorsanız, Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olma kılavuzumuzu gözden geçirin.

FIDO2 güvenlik anahtarlarını kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

Desteklenen senaryolar

Aşağıdaki noktalara dikkat edilmelidir:

  • Yöneticiler kiracıları için parolasız kimlik doğrulama yöntemlerini etkinleştirebilir.

  • Yöneticiler her yöntem için tüm kullanıcıları hedefleyebilir veya kiracılarındaki kullanıcıları/grupları seçebilir.

  • Kullanıcılar hesap portallarında bu parolasız kimlik doğrulama yöntemlerini kaydedebilir ve yönetebilir.

  • Kullanıcılar şu parolasız kimlik doğrulama yöntemleriyle oturum açabilir:

    • Authenticator uygulaması: Tüm tarayıcılar, Windows 10 kurulumu sırasında ve tüm işletim sistemlerindeki tümleşik mobil uygulamalar dahil olmak üzere Azure AD kimlik doğrulamasının kullanıldığı senaryolarda çalışır.
    • Güvenlik anahtarları: Microsoft Edge (eski ve yeni Edge) gibi desteklenen tarayıcılarda Windows 10 ve web için kilit ekranında çalışın.
  • Kullanıcılar konuk oldukları kiracılardaki kaynaklara erişmek için parolasız kimlik bilgilerini kullanabilir, ancak yine de bu kaynak kiracısında MFA gerçekleştirmeleri gerekebilir. Daha fazla bilgi için bkz . Olası çift çok faktörlü kimlik doğrulaması.

  • Kullanıcılar, konuk oldukları bir kiracıda parolasız kimlik bilgilerini, bu kiracıda yönetilen parolaları olmadığı gibi kaydedemeyebilir.

Parolasız yöntem seçme

Bu üç parolasız seçenek arasındaki seçim, şirketinizin güvenlik, platform ve uygulama gereksinimlerine bağlıdır.

Parolasız teknoloji Microsoft seçerken göz önünde bulundurmanız gereken bazı faktörler şunlardır:

İş İçin Windows Hello Authenticator uygulamasıyla parolasız oturum açma FIDO2 güvenlik anahtarları
Ön koşul Windows 10, sürüm 1809 veya üzeri
Azure Active Directory
Authenticator uygulaması
Telefon (iOS ve Android cihazlar)
Windows 10, sürüm 1903 veya üzeri
Azure Active Directory
Modu Platform Yazılım Donanım
Sistemler ve cihazlar Yerleşik Güvenilir Platform Modülüne (TPM) sahip bilgisayar
PIN ve biyometri tanıma
Telefonda PIN ve biyometri tanıma Microsoft uyumlu FIDO2 güvenlik cihazları
Kullanıcı deneyimi Windows cihazlarıyla PIN veya biyometrik tanıma (yüz, iris veya parmak izi) kullanarak oturum açın.
Windows Hello kimlik doğrulaması cihaza bağlıdır; kullanıcının şirket kaynaklarına erişmek için hem cihaza hem de PIN veya biyometrik faktör gibi bir oturum açma bileşenine ihtiyacı vardır.
Parmak izi taraması, yüz veya iris tanıma ya da PIN ile bir cep telefonu kullanarak oturum açın.
Kullanıcılar, bilgisayarlarından veya cep telefonlarından iş veya kişisel hesaplarında oturum açar.
FIDO2 güvenlik cihazını (biyometri, PIN ve NFC) kullanarak oturum açma
Kullanıcı kuruluş denetimlerine göre cihaza erişebilir ve USB güvenlik anahtarları ve NFC özellikli akıllı kart, anahtar veya giyilebilir cihazlar gibi cihazları kullanarak PIN, biyometri temelinde kimlik doğrulaması yapabilir.
Etkin senaryolar Windows cihazıyla parolasız deneyim.
Cihazda ve uygulamalarda çoklu oturum açma özelliğine sahip ayrılmış iş pc'leri için geçerlidir.
Cep telefonu kullanan her yerde parolasız çözüm.
Web'de iş veya kişisel uygulamalara herhangi bir cihazdan erişmek için geçerlidir.
Biyometri, PIN ve NFC kullanan çalışanlar için parolasız deneyim.
Paylaşılan bilgisayarlar ve cep telefonunun uygun bir seçenek olmadığı (yardım masası personeli, kamu bilgi noktası veya hastane ekibi için) için geçerlidir

Gereksinimlerinizi ve kullanıcılarınızı destekleyecek yöntemi seçmek için aşağıdaki tabloyu kullanın.

Persona Senaryo Ortam Parolasız teknoloji
Yönetici Yönetim görevleri için cihaza güvenli erişim Atanmış Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Yönetici Windows olmayan cihazlarda yönetim görevleri Mobil veya windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Bilgi çalışanı Üretkenlik çalışması Atanmış Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Bilgi çalışanı Üretkenlik çalışması Mobil veya windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Ön hat çalışanı Fabrika, tesis, perakende veya veri girişindeki bilgi noktaları Paylaşılan Windows 10 cihazları FIDO2 Güvenlik anahtarları

Sonraki adımlar

Azure AD'da parolasız kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarından birini tamamlayın: