Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kuruluşunuz, kullanıcıların uygulama ve tarayıcı oturum açma için Microsoft Entra Id'de kimliği doğrulanmış X.509 sertifikalarını kullanarak doğrudan kimlik doğrulamasına izin vermek veya bu sertifikaları zorunlu kılıp gerektirmek için Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) kullanabilir.
Kimlik avına dayanıklı kimlik doğrulamasını benimsemek ve ortak anahtar altyapınızda (PKI) X.509 sertifikalarını kullanarak kimlik doğrulaması yapmak için bu özelliği kullanın.
Microsoft Entra CBA nedir?
Microsoft Entra ID için bulut tarafından yönetilen CBA desteği sağlanmadan önce, bir kuruluşun kullanıcıların Microsoft Entra ID'ye karşılıklı olarak X.509 sertifikalarını kullanarak kimlik doğrulaması yapabilmesi için federasyon tabanlı CBA uygulaması yapması gerekiyordu. Active Directory Federasyon Hizmetleri'nin (AD FS) dağıtılmasını içermektedir. Microsoft Entra CBA ile doğrudan Microsoft Entra Id'de kimlik doğrulaması yapabilir ve basitleştirilmiş bir ortam ve maliyet azaltma için federasyon AD FS ihtiyacını ortadan kaldırabilirsiniz.
Sonraki rakamlar, Microsoft Entra CBA'nın federasyon AD FS'yi ortadan kaldırarak ortamınızı nasıl basitleştireceğini göstermektedir.
Federasyon AD FS ile CBA
Microsoft Entra CBA
Microsoft Entra CBA kullanmanın temel avantajları
| Fayda | Açıklama |
|---|---|
| Geliştirilmiş kullanıcı deneyimi | - CBA'ya ihtiyacı olan kullanıcılar artık Microsoft Entra Kimliği aracılığıyla doğrudan kimlik doğrulaması yapabilir ve federatif AD FS'ye yatırım yapmak zorunda kalmazlar. - Kiracıdaki kullanıcıyı aramak için sertifika alanlarını kullanıcı nesnesi öznitelikleriyle kolayca eşlemek için yönetim merkezini kullanabilirsiniz (sertifika kullanıcı adı bağlamaları) - Hangi sertifikaların tek faktörlü ve çok faktörlü olduğunu saptamaya yardımcı olmak üzere kimlik doğrulama ilkelerini yapılandırmak için yönetim merkezini kullanın. |
| Dağıtımı ve yönetimi kolay | - Microsoft Entra CBA ücretsiz bir özelliktir. Kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur. - Karmaşık şirket içi dağıtımlara veya ağ yapılandırmasına gerek yoktur. - Microsoft Entra Kimliği'ne göre doğrudan kimlik doğrulaması yapın. |
| Güvenli | - Şirket içi parolaların bulutta herhangi bir biçimde depolanması gerekmez. - Kimlik avına dayanıklı çok faktörlü kimlik doğrulaması (MFA) dahil olmak üzere Microsoft Entra Koşullu Erişim ilkeleriyle sorunsuz bir şekilde çalışarak kullanıcı hesaplarınızı korur. MFA , lisanslı bir sürüm gerektirir ve eski kimlik doğrulamasını engeller. - Güçlü kimlik doğrulama desteği. Yöneticiler, sertifika alanları aracılığıyla, örneğin veren veya ilke nesne tanımlayıcısı (ilke OID) gibi, hangi sertifikaların tek faktörlü ya da çok faktörlü olarak niteleneceğini belirlemek amacıyla kimlik doğrulama ilkelerini tanımlayabilir. - Bu özellik, kullanıcılarınızın güvenliğini sağlamaya yardımcı olmak için MFA'yı zorunlu kılmaya yarayan Koşullu Erişim özellikleri ve kimlik doğrulama gücü özelliğiyle sorunsuz çalışır. |
Desteklenen senaryolar
Aşağıdaki senaryolar desteklenir:
Tüm platformlarda web tarayıcısı tabanlı uygulamalarda kullanıcı oturum açma işlemleri
iOS ve Android platformlarındaki Office mobil uygulamalarında ve Outlook ve OneDrive da dahil olmak üzere Windows'taki Yerel Office uygulamalarında kullanıcı oturum açma işlemleri
Mobil yerel tarayıcılarda kullanıcı oturum açma işlemleri
Sertifika düzenleyici konusunu ve İlke OID'sini kullanarak MFA için ayrıntılı kimlik doğrulama kuralları
Sertifika alanlarından herhangi birini kullanarak sertifikayı kullanıcı hesabına bağlama işlemleri:
-
SubjectAlternativeName(SAN),PrincipalName, veRFC822Name -
SubjectKeyIdentifier(SKI) veSHA1PublicKey -
IssuerAndSubjectveIssuerAndSerialNumber
-
Kullanıcı nesnesi özniteliklerinden herhangi birini kullanarak sertifika ile kullanıcı hesabı eşlemeleri:
userPrincipalNameonPremisesUserPrincipalNamecertificateUserIds
Desteklenmeyen senaryolar
Aşağıdaki senaryolar desteklenmez:
- CBA, Windows oturum açma sırasında (kilit/oturum açma ekranında) Web'de oturum açma seçeneğinde desteklenmez.
- Güvenilen CA için yalnızca bir CRL dağıtım noktası (CDP) desteklenir.
- CDP yalnızca HTTP URL'leri olabilir. Çevrimiçi Sertifika Durum Protokolü (OCSP) veya Basit Dizin Erişim Protokolü (LDAP) URL'lerini desteklemiyoruz.
- Kimlik doğrulama yöntemi olarak parola kapatılamaz. Microsoft Entra CBA yöntemi kullanıcının kullanımına sunulduğunda bile parola kullanarak oturum açma seçeneği görüntülenir.
İş İçin Windows Hello sertifikalarıyla ilgili bilinen sınırlama
İş İçin Windows Hello, Microsoft Entra Id'de MFA için kullanılabilse de, yeni MFA için İş İçin Windows Hello desteklenmez. İş İçin Windows Hello anahtarını/çiftini kullanarak kullanıcılarınız için sertifikaları kaydetmeyi seçebilirsiniz. Düzgün yapılandırıldığında, Microsoft Entra Id'de MFA için İş İçin Windows Hello sertifikaları kullanılabilir.
İş İçin Windows Hello sertifikaları, Microsoft Edge ve Chrome tarayıcılarındaki Microsoft Entra CBA ile uyumludur. Şu anda İş için Windows Hello sertifikaları, Microsoft Entra Sertifika Tabanlı Kimlik Doğrulaması ile tarayıcı dışı senaryolarda, örneğin Office 365 uygulamalarında uyumlu değildir. Bir çözüm, oturum açmak için (kullanılabilir olduğunda ) Windows Hello'da oturum aç veya güvenlik anahtarı seçeneğini kullanmaktır. Bu seçenek kimlik doğrulaması için sertifikaları kullanmaz ve Microsoft Entra CBA ile ilgili sorunu önler. Bu seçenek önceki bazı uygulamalarda kullanılamayabilir.
Kapsam dışı
Aşağıdaki senaryolar Microsoft Entra CBA için kapsam dışındadır:
- İstemci sertifikaları oluşturmak için ortak anahtar altyapısı (PKI) oluşturma veya sağlama. Kendi PKI'nızı yapılandırmanız ve kullanıcılarınıza ve cihazlarınıza sertifikalar sağlamanız gerekir.