Koşullu Erişim kimlik doğrulaması gücü
Kimlik doğrulama gücü, bir kaynağa erişmek için hangi kimlik doğrulama yöntemlerinin kullanılabileceğini belirten bir Koşullu Erişim denetimidir. Kullanıcılar, izin verilen birleşimlerden herhangi biriyle kimlik doğrulaması yaparak güç gereksinimlerini karşılayabilir.
Örneğin, kimlik doğrulama gücü, hassas bir kaynağa erişmek için yalnızca kimlik avına dayanıklı kimlik doğrulama yöntemlerinin kullanılmasını gerektirebilir. Duyarsız bir kaynağa erişmek için, yöneticiler parola + kısa mesaj gibi daha az güvenli çok faktörlü kimlik doğrulaması (MFA) birleşimlerine izin veren başka bir kimlik doğrulama gücü oluşturabilir.
Kimlik doğrulama gücü, yöneticilerin Microsoft Entra Id federasyon uygulamalarında kullanılacak belirli kullanıcılar ve gruplar için kimlik doğrulama yöntemlerini kapsamlandırabildiği Kimlik doğrulama yöntemleri ilkesini temel alır. Kimlik doğrulama gücü, hassas kaynak erişimi, kullanıcı riski, konum ve daha fazlası gibi belirli senaryolara göre bu yöntemlerin kullanımı üzerinde daha fazla denetime olanak tanır.
Kimlik doğrulaması güçlü yönlerine yönelik senaryolar
Kimlik doğrulaması güçlü yönleri müşterilerin şu senaryoları ele alınmasına yardımcı olabilir:
- Hassas bir kaynağa erişmek için belirli kimlik doğrulama yöntemleri gerektirme.
- Kullanıcı uygulama içinde hassas bir eylem gerçekleştirdiğinde (Koşullu Erişim kimlik doğrulaması bağlamıyla birlikte) belirli bir kimlik doğrulama yöntemi gerektirme.
- Kullanıcıların şirket ağı dışındaki hassas uygulamalara erişirken belirli bir kimlik doğrulama yöntemi kullanmasını zorunlu kılar.
- Yüksek riskli kullanıcılar için daha güvenli kimlik doğrulama yöntemleri gerektirme.
- Bir kaynak kiracıya erişen konuk kullanıcılardan belirli kimlik doğrulama yöntemleri iste (kiracılar arası ayarlarla birlikte).
Kimlik doğrulama güçlü yönleri
Yönetici istrators ile bir Koşullu Erişim ilkesi oluşturarak kaynağa erişmek için bir kimlik doğrulama gücü belirtebilirKimlik doğrulaması gücü denetimi gerektir. Üç yerleşik kimlik doğrulama gücü arasından seçim yapabilir: Çok faktörlü kimlik doğrulaması gücü, Parolasız MFA gücü ve Kimlik avına dayanıklı MFA gücü. Ayrıca, izin vermek istedikleri kimlik doğrulama yöntemi birleşimlerine göre özel bir kimlik doğrulama gücü de oluşturabilirler.
Yerleşik kimlik doğrulama güçlü yönleri
Yerleşik kimlik doğrulama güçlü yanları, Microsoft tarafından önceden tanımlanmış kimlik doğrulama yöntemlerinin birleşimleridir. Yerleşik kimlik doğrulama güçlü yönleri her zaman kullanılabilir ve değiştirilemez. Microsoft, yeni yöntemler kullanılabilir olduğunda yerleşik kimlik doğrulama güçlü yönlerini güncelleştirir.
Örneğin, yerleşik Kimlik Avına dayanıklı MFA gücü aşağıdaki bileşimlere izin verir:
İş İçin Windows Hello
Or
FIDO2 güvenlik anahtarı
Or
Microsoft Entra sertifika tabanlı kimlik doğrulaması (Çok faktörlü)
Her yerleşik kimlik doğrulama gücü için kimlik doğrulama yöntemlerinin birleşimleri aşağıdaki tabloda listelenmiştir. Bu birleşimler, kullanıcılar tarafından kaydedilmesi gereken ve Kimlik doğrulama yöntemleri ilkesinde veya eski MFA ayarları ilkesinde etkinleştirilmesi gereken yöntemleri içerir.
- MFA gücü - Çok faktörlü kimlik doğrulaması gerektir ayarını karşılamak için kullanılabilecek aynı birleşim kümesi.
- Parolasız MFA gücü - MFA'ya uyan ancak parola gerektirmeyen kimlik doğrulama yöntemlerini içerir.
- Kimlik avına dayanıklı MFA gücü : Kimlik doğrulama yöntemiyle oturum açma yüzeyi arasında etkileşim gerektiren yöntemleri içerir.
| Kimlik doğrulama yöntemi bileşimi | MFA gücü | Parolasız MFA gücü | Kimlik avına dayanıklı MFA gücü |
|---|---|---|---|
| FIDO2 güvenlik anahtarı | ✅ | ✅ | ✅ |
| İş İçin Windows Hello | ✅ | ✅ | ✅ |
| Sertifika tabanlı kimlik doğrulaması (Multi-Factor) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (Telefon Oturum Açma) | ✅ | ✅ | |
| Geçici Erişim Geçişi (Tek seferlik kullanım VE Çoklu kullanım) | ✅ | ||
| Parola + sahipolduğunuz bir şey 1 | ✅ | ||
| Federasyon tek faktörlü + sahip olduğunuzbir şey 1 | ✅ | ||
| Federasyon Multi-Factor | ✅ | ||
| Sertifika tabanlı kimlik doğrulaması (tek faktörlü) | |||
| SMS ile oturum açma | |||
| Password | |||
| Federasyon tek faktörlü |
1 Sahip olduğunuz bir şey şu yöntemlerden birine başvurur: kısa mesaj, ses, anında iletme bildirimi, yazılım OATH belirteci veya donanım OATH belirteci.
Aşağıdaki API çağrısı, tüm yerleşik kimlik doğrulama güçlü yanlarının tanımlarını listelemek için kullanılabilir:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Koşullu Erişim Yönetici istrator'lar, erişim gereksinimlerine tam olarak uyacak özel kimlik doğrulama güçlü yanları da oluşturabilir. Daha fazla bilgi için bkz . Özel Koşullu Erişim kimlik doğrulaması güçlü yönleri.
Sınırlamalar
Koşullu Erişim ilkeleri yalnızca ilk kimlik doğrulamasından sonra değerlendirilir - Sonuç olarak, kimlik doğrulama gücü kullanıcının ilk kimlik doğrulamasını kısıtlamaz. Yerleşik kimlik avına dayanıklı MFA gücünü kullandığınızı varsayalım. Kullanıcı yine de parolasını yazabilir, ancak devam etmeden önce FIDO2 güvenlik anahtarı gibi kimlik avına dayanıklı bir yöntemle oturum açması gerekir.
Çok faktörlü kimlik doğrulaması gerektir ve Kimlik doğrulaması gücü gerektir aynı Koşullu Erişim ilkesinde birlikte kullanılamaz - Yerleşik kimlik doğrulama gücü Çok faktörlü kimlik doğrulaması çok faktörlü kimlik doğrulaması gerektir izni denetimine eşdeğer olduğundan bu iki Koşullu Erişim verme denetimi birlikte kullanılamaz.
Şu anda kimlik doğrulama gücü tarafından desteklenmeyen kimlik doğrulama yöntemleri - E-posta tek seferlik geçiş (Konuk) kimlik doğrulama yöntemi kullanılabilir birleşimlere dahil değildir.
İş İçin Windows Hello : Kullanıcı birincil kimlik doğrulama yöntemi olarak İş İçin Windows Hello ile oturum açtıysa, İş İçin Windows Hello içeren bir kimlik doğrulama gücü gereksinimini karşılamak için kullanılabilir. Ancak, kullanıcı birincil kimlik doğrulama yöntemi olarak parola gibi başka bir yöntemle oturum açtıysa ve kimlik doğrulama gücü İş İçin Windows Hello gerektiriyorsa, İş İçin Windows Hello ile oturum açması istenmez. Kullanıcının oturumu yeniden başlatması, Oturum açma seçenekleri'ni ve kimlik doğrulaması gücü için gereken bir yöntemi seçmesi gerekir.
Bilinen sorun
- FIDO2 güvenlik anahtarı Gelişmiş seçenekler - Gelişmiş seçenekler, kaynak kiracısından farklı bir Microsoft bulutunda bulunan ev kiracısı olan dış kullanıcılar için desteklenmez.
SSS
Kimlik doğrulama gücü mü yoksa Kimlik doğrulama yöntemleri ilkesini mi kullanmalıyım?
Kimlik doğrulama gücü, Kimlik doğrulama yöntemleri ilkesini temel alır. Kimlik doğrulama yöntemleri ilkesi, belirli kullanıcılar ve gruplar tarafından Microsoft Entra Id'de kullanılacak kimlik doğrulama yöntemlerinin kapsamının ve yapılandırılmasının yapılmasına yardımcı olur. Kimlik doğrulama gücü, hassas kaynak erişimi, kullanıcı riski, konum ve daha fazlası gibi belirli senaryolar için başka bir yöntem kısıtlamasına olanak tanır.
Örneğin Contoso yöneticisi, kullanıcılarının anında iletme bildirimleri veya parolasız kimlik doğrulama moduyla Microsoft Authenticator kullanmasına izin vermek istiyor. Yönetici, Kimlik doğrulama yöntemleri ilkesinde Microsoft Authenticator ayarlarına gider, ilkenin kapsamını ilgili kullanıcılar için belirler ve Kimlik Doğrulama modunu Herhangi biri olarak ayarlar.
Ardından Contoso'nun en hassas kaynağı için yönetici erişimi yalnızca parolasız kimlik doğrulama yöntemleriyle kısıtlamak istiyor. Yönetici, yerleşik Parolasız MFA gücünü kullanarak yeni bir Koşullu Erişim ilkesi oluşturur.
Sonuç olarak Contoso'daki kullanıcılar, Microsoft Authenticator'dan parola + anında iletme bildirimi kullanarak veya yalnızca Microsoft Authenticator'ı (telefonda oturum açma) kullanarak kiracıdaki kaynakların çoğuna erişebilir. Ancak kiracıdaki kullanıcılar hassas uygulamaya eriştiğinde Microsoft Authenticator (telefonda oturum açma) kullanmalıdır.
Önkoşullar
- Microsoft Entra Id P1 - Koşullu Erişimi kullanmak için kiracınızın Microsoft Entra ID P1 lisansına sahip olması gerekir. Gerekirse ücretsiz denemeyi etkinleştirebilirsiniz.
- Birleşik kaydı etkinleştirme - Birleştirilmiş MFA ve SSPR kaydı kullanılırken kimlik doğrulaması güçlü yönleri desteklenir. Eski kaydın kullanılması, kullanıcı Kimlik Doğrulama yöntemleri ilkesi tarafından gerekli olmayan yöntemleri kaydedebileceği için kötü kullanıcı deneyimine neden olur.