Federasyondan Microsoft Entra sertifika tabanlı kimlik doğrulamasına (CBA) geçiş

Bu makalede, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi şirket içinde çalışan federasyon sunucularından Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) kullanarak bulut kimlik doğrulamasına geçirme işlemi açıklanmaktadır.

Aşamalı Dağıtım

Kiracı yöneticisi, Entra ID'de CBA kimlik doğrulama yöntemini etkinleştirerek ve etki alanının tamamını yönetilen kimlik doğrulamasına dönüştürerek, pilot test yapmadan federasyon etki alanını tam olarak Entra ID CBA'ya devredebilir. Ancak müşteri, yönetilen tam etki alanı geçişi öncesinde Entra ID CBA'da küçük bir grup kullanıcının kimliğini doğrulamak isterse aşamalı dağıtım özelliğini kullanabilir.

Sertifika Tabanlı Kimlik Doğrulaması (CBA) için Aşamalı Dağıtım , müşterilerin federasyon IdP'sinde CBA gerçekleştirmekten Microsoft Entra ID'ye geçiş yapmalarına yardımcı olur. Bunun için, küçük kullanıcı kümesini seçerek Entra ID'de CBA'yı kullanacak şekilde (artık federasyon IdP'sine yönlendirilmeyen) ve ardından Entra Id'deki etki alanı yapılandırmasını federasyondan yönetilene dönüştürmeden önce seçili kullanıcı gruplarıyla birlikte kullanabilirsiniz. Aşamalı dağıtım, etki alanının uzun süre veya büyük miktarda kullanıcı için federasyonda kalması için tasarlanmamıştır.

ADFS sertifika tabanlı kimlik doğrulamasından Microsoft Entra CBA'ya geçişi gösteren bu hızlı videoyu izleyin

Dekont

Aşamalı dağıtım bir kullanıcı için etkinleştirildiğinde, kullanıcı yönetilen kullanıcı olarak kabul edilir ve tüm kimlik doğrulaması Microsoft Entra Id'de gerçekleşir. Federasyon Kiracısı için, Aşamalı Dağıtımda CBA etkinse, parola kimlik doğrulaması yalnızca PHS çok etkinleştirilmişse çalışır, aksi takdirde parola kimlik doğrulaması başarısız olur.

Kiracınızda sertifika tabanlı kimlik doğrulaması için Aşamalı Dağıtımı etkinleştirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Aşamalı Dağıtımı yapılandırmak için şu adımları izleyin:

1. Microsoft Entra yönetim merkezinde en azından Kullanıcı Yönetici istratörü olarak oturum açın.
2. Microsoft Entra Bağlan'ı arayın ve seçin.
3. Microsoft Entra Bağlan sayfasında, Aşamalı Bulut Kimlik Doğrulaması Dağıtımı'nın altında Yönetilen kullanıcı oturum açma için Aşamalı Dağıtımı Etkinleştir'e tıklayın.
4. Aşamalı Dağıtımı Etkinleştir özellik sayfasında, Sertifika tabanlı kimlik doğrulaması seçeneği için Açık'a tıklayın
5. Grupları yönet'e tıklayın ve bulut kimlik doğrulamasının parçası olmasını istediğiniz grupları ekleyin. Zaman aşımından kaçınmak için güvenlik gruplarının başlangıçta en fazla 200 üye içerdiğinden emin olun.

Daha fazla bilgi için bkz . Aşamalı Dağıtım.

CertificateUserIds özniteliğini güncelleştirmek için Microsoft Entra Bağlan kullanma

AD FS yöneticisi, AD FS'den Microsoft Entra kullanıcı nesnelerine özniteliklerin değerlerini eşitlemek için kurallar oluşturmak için Eşitleme Kuralları Düzenleyicisi'ni kullanabilir. Daha fazla bilgi için bkz . CertificateUserIds için eşitleme kuralları.

Microsoft Entra Bağlan, gerekli izinleri veren Karma Kimlik Yönetici istrator adlı özel bir rol gerektirir. Yeni bulut özniteliğine yazma izni için bu role ihtiyacınız vardır.

Dekont

Kullanıcı, kullanıcı adı bağlaması için kullanıcı nesnesinde onPremisesUserPrincipalName özniteliği gibi eşitlenmiş öznitelikler kullanıyorsa, Microsoft Entra Bağlan sunucusuna yönetici erişimi olan tüm kullanıcıların eşitlenen öznitelik eşlemesini değiştirebileceğini ve eşitlenen özniteliğin değerini değiştirebileceğini unutmayın. Kullanıcının bulut yöneticisi olması gerekmez. AD FS yöneticisi, Microsoft Entra Bağlan sunucusuna yönetici erişiminin sınırlı ve ayrıcalıklı hesapların yalnızca bulut hesapları olduğundan emin olmalıdır.

AD FS'den Microsoft Entra Id'ye geçiş hakkında sık sorulan sorular

Federasyon AD FS sunucusuna sahip ayrıcalıklı hesaplara sahip olabilir miyiz?

Mümkün olsa da, Microsoft ayrıcalıklı hesapların yalnızca bulut hesapları olmasını önerir. Ayrıcalıklı erişim için yalnızca bulut hesaplarının kullanılması, Microsoft Entra Id'de güvenliği aşılmış bir şirket içi ortamdan etkilenmeyi sınırlar. Daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma.

Bir kuruluş hem AD FS hem de Azure CBA çalıştıran bir karmaysa, AD FS güvenliğinin aşılmasına karşı hala savunmasız mı?

Microsoft ayrıcalıklı hesapların yalnızca bulut hesapları olmasını önerir. Bu uygulama, Microsoft Entra Id'de güvenliği aşılmış bir şirket içi ortamdan etkilenmeyi sınırlayacaktır. Ayrıcalıklı hesapların yalnızca bulutta tutulması bu hedefin temelini oluşturur.

Eşitlenmiş hesaplar için:

• Yönetilen bir etki alanındaysa (federasyon değil), federasyon IdP'sinden risk alınmaz.
• Bunlar bir federasyon etki alanındaysa ancak hesapların bir alt kümesi Aşamalı Dağıtım tarafından Microsoft Entra CBA'ya taşınıyorsa, federasyon etki alanı tamamen bulut kimlik doğrulamasına geçene kadar federasyon Idp'si ile ilgili risklere tabidir.

Kuruluşlar, AD FS'den Azure'a özetleyebilmek için AD FS gibi federasyon sunucularını ortadan kaldırmalı mı?

Federasyon ile saldırgan, Genel Yönetici istrator hesabı gibi yalnızca bulutta yer alan bir rol elde etmese bile CIO gibi herkesin kimliğine bürünebilir.

Bir etki alanı Microsoft Entra Kimliği'nde federasyona alındığında, Federasyon IdP'sine yüksek düzeyde güven yerleştirilir. AD FS bir örnektir, ancak federasyon IdP'leri için bu durum geçerlidir. Birçok kuruluş, sertifika tabanlı kimlik doğrulamasını gerçekleştirmek için AD FS gibi bir federasyon IdP'sini özel olarak dağıtır. Microsoft Entra CBA, bu durumda AD FS bağımlılığını tamamen kaldırır. Microsoft Entra CBA ile müşteriler, IAM altyapılarını modernleştirmek ve artan güvenlikle maliyetleri azaltmak için uygulama varlıklarını Microsoft Entra ID'ye taşıyabilir.

Güvenlik açısından bakıldığında, X.509 sertifikası, CAC'ler, PIV'ler vb. dahil olmak üzere kimlik bilgileri veya kullanılan PKI'da herhangi bir değişiklik yoktur. PKI sahipleri, sertifika verme ve iptal yaşam döngüsü ve ilkesinde tam denetime sahip olur. İptal denetimi ve kimlik doğrulaması federasyon Idp yerine Microsoft Entra Id'de gerçekleşir. Bu denetimler, tüm kullanıcılar için doğrudan Microsoft Entra Id'de parolasız, kimlik avına dayanıklı kimlik doğrulaması sağlar.

Kimlik doğrulaması, Federasyon AD FS ve Windows ile Microsoft Entra bulut kimlik doğrulaması ile nasıl çalışır?

Microsoft Entra CBA, kullanıcının veya uygulamanın oturum açan kullanıcının Microsoft Entra UPN'sini sağlamasını gerektirir.

Tarayıcı örneğinde, kullanıcı en sık Microsoft Entra UPN'sini oluşturur. Microsoft Entra UPN, bölge ve kullanıcı bulma için kullanılır. Daha sonra kullanılan sertifika, ilkede yapılandırılan kullanıcı adı bağlamalarından birini kullanarak bu kullanıcıyla eşleşmelidir.

Windows oturum açmada eşleşme, cihazın karma mı yoksa Microsoft Entra'ya mı katılmış olduğuna bağlıdır. Ancak her iki durumda da kullanıcı adı ipucu sağlanırsa Windows ipucunu Microsoft Entra UPN olarak gönderir. Daha sonra kullanılan sertifika, ilkede yapılandırılan kullanıcı adı bağlamalarından birini kullanarak bu kullanıcıyla eşleşmelidir.

Sonraki adımlar

• Microsoft Entra CBA'ya genel bakış
• Microsoft Entra CBA için teknik ayrıntılı bakış
• Microsoft Entra CBA'yi yapılandırma
• iOS cihazlarda Microsoft Entra CBA
• Android cihazlarda Microsoft Entra CBA
• Microsoft Entra CBA kullanarak Windows akıllı kart oturumu açma
• Sertifika kullanıcı kimlikleri
• SSS