Parolasız güvenlik anahtarıyla oturum açmayı etkinleştirme

Bugün parola kullanan ve paylaşılan bir bilgisayar ortamına sahip olan kuruluşlar için güvenlik anahtarları, çalışanların kullanıcı adı veya parola girmeden kimlik doğrulaması için sorunsuz bir yol sağlar. Güvenlik anahtarları, çalışanlar için daha iyi üretkenlik sağlar ve daha iyi bir güvenliğe sahiptir.

Bu belge, güvenlik anahtarı tabanlı parolasız kimlik doğrulamasını etkinleştirmeye odaklanır. Bu makalenin sonunda, FIDO2 güvenlik anahtarı kullanarak Azure AD hesabınızla web tabanlı uygulamalarda oturum açabileceksiniz.

Gereksinimler

Web uygulamalarında ve hizmetlerinde oturum açmak için güvenlik anahtarlarını kullanmak için WebAuthN protokolunu destekleyen bir tarayıcınız olmalıdır. Bunlar Microsoft Edge, Chrome, Firefox ve Safari'yi içerir.

Cihazları hazırlama

Azure AD'ye katılmış cihazlar için en iyi deneyim Windows 10 sürüm 1903 veya üzeridir.

Hibrit Azure AD'ye katılmış cihazların Windows 10 sürüm 2004 veya üzerini çalıştırması gerekir.

Parolasız kimlik doğrulama yöntemini etkinleştirme

Birleşik kayıt deneyimini etkinleştirme

Parolasız kimlik doğrulama yöntemleri için kayıt özellikleri, birleştirilmiş kayıt özelliğine dayanır. Birleşik kaydı etkinleştirmek için Birleşik güvenlik bilgileri kaydını etkinleştirme makalesindeki adımları izleyin.

FIDO2 güvenlik anahtarı yöntemini etkinleştirme

  1. Azure Portal’ında oturum açın.

  2. Azure Active Directory>Güvenlik>Kimlik Doğrulama yöntemleri>Kimlik doğrulama yöntemi ilkesine göz atın.

  3. FIDO2 Güvenlik Anahtarı yönteminin altında aşağıdaki seçenekleri belirleyin:

    1. Etkinleştir - Evet veya Hayır
    2. Hedef - Tüm kullanıcılar veya Kullanıcıları seç
  4. Yapılandırmayı kaydedin.

    Not

    Kaydetmeye çalıştığınızda bir hata görürseniz, bunun nedeni eklenen kullanıcı veya grup sayısından kaynaklanıyor olabilir. Geçici bir çözüm olarak, eklemeye çalıştığınız kullanıcıları ve grupları aynı işlemde tek bir grupla değiştirin ve kaydet'e yeniden tıklayın.

FIDO Güvenlik Anahtarı isteğe bağlı ayarları

Kiracı başına güvenlik anahtarlarını yönetmek için bazı isteğe bağlı ayarlar vardır.

Screenshot of FIDO2 security key options

Genel

  • Self servis kurulumuna izin ver ayarı Evet olarak kalmalıdır. Hayır olarak ayarlanırsa, Kimlik Doğrulama Yöntemleri ilkesi tarafından etkinleştirilse bile kullanıcılarınız MySecurityInfo portalı aracılığıyla bir FIDO anahtarı kaydedemez.
  • Kanıtlama ayarını Evet olarak zorunlu kılma, FIDO güvenlik anahtarı meta verilerinin FIDO Alliance Meta Veri Hizmeti ile yayımlanmasını ve doğrulanması ve ayrıca Microsoft'un ek doğrulama testi kümesinin geçirilmesini gerektirir. Daha fazla bilgi için bkz. Microsoft ile uyumlu güvenlik anahtarı nedir?

Anahtar Kısıtlama İlkesi

  • Yalnızca kuruluşunuz AAGuid'leri tarafından tanımlanan belirli FIDO güvenlik anahtarlarına izin vermek veya bu anahtarlara izin vermek istemiyorsa, anahtar kısıtlamalarını zorunlu kılma ayarı Evet olarak ayarlanmalıdır. Güvenlik anahtarı sağlayıcınızla birlikte çalışarak cihazlarının AAGuid'lerini belirleyebilirsiniz. Anahtar zaten kayıtlıysa AAGUID, kullanıcı başına anahtarın kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek de bulunabilir.

Anahtarı devre dışı bırakma

Kullanıcı hesabıyla ilişkilendirilmiş bir FIDO2 anahtarını kaldırmak için, anahtarı kullanıcının kimlik doğrulama yönteminden silin.

  1. Azure AD portalında oturum açın ve FIDO anahtarının kaldırılacağı kullanıcı hesabını arayın.

  2. Kimlik doğrulama yöntemleri'ne> sağ tıklayıp FIDO2 güvenlik anahtarına sağ tıklayın ve Sil'e tıklayın.

    View Authentication Method details

Güvenlik anahtarı Kimlik Doğrulayıcı Kanıtlama GUID'si (AAGUID)

FIDO2 belirtimi, her güvenlik anahtarı sağlayıcısının kanıtlama sırasında bir Authenticator Kanıtlama GUID'si (AAGUID) sağlamasını gerektirir. AAGUID, make ve model gibi anahtar türünü gösteren 128 bitlik bir tanımlayıcıdır.

Not

Üretici, AAGUID'nin bu üretici tarafından yapılan tüm önemli ölçüde özdeş anahtarlarda aynı olduğundan ve diğer tüm anahtar türlerinin AAGUID'lerinden (yüksek olasılıkla) farklı olduğundan emin olmalıdır. Emin olmak için, belirli bir güvenlik anahtarı türü için AAGUID rastgele oluşturulmalıdır. Daha fazla bilgi için bkz . Web Kimlik Doğrulaması: Ortak Anahtar Kimlik Bilgilerine erişmek için bir API - Düzey 2 (w3.org).

AAGUID'nizi almanın iki yolu vardır. Güvenlik anahtarı sağlayıcınıza sorabilir veya kullanıcı başına anahtarın kimlik doğrulama yöntemi ayrıntılarını görüntüleyebilirsiniz.

View AAGUID for security key

FIDO2 güvenlik anahtarlarının kullanıcı kaydı ve yönetimi

  1. https://myprofile.microsoft.com adresine gidin.
  2. Henüz oturum açmadıysam oturum açın.
  3. Güvenlik Bilgileri'ne tıklayın.
    1. Kullanıcının kayıtlı en az bir Azure AD Multi-Factor Authentication yöntemi varsa, hemen bir FIDO2 güvenlik anahtarı kaydedebilir.
    2. Kayıtlı en az bir Azure AD Multi-Factor Authentication yöntemi yoksa bir tane eklemeleri gerekir.
    3. Yönetici, kullanıcının Parolasız kimlik doğrulama yöntemini kaydetmesine izin vermek için Geçici Erişim Geçişi verebilir.
  4. Yöntem ekle'ye tıklayıp Güvenlik anahtarı'ı seçerek bir FIDO2 Güvenlik anahtarı ekleyin.
  5. USB cihazı veya NFC cihazı'nı seçin.
  6. Anahtarınızı hazır bulundurun ve İleri'yi seçin.
  7. Bir kutu görünür ve kullanıcıdan güvenlik anahtarınız için bir PIN oluşturmasını/girmesini ister, ardından anahtar için biyometrik veya dokunmatik olarak gerekli hareketi gerçekleştirmesini ister.
  8. Kullanıcı birleşik kayıt deneyimine döndürülür ve anahtar için anlamlı bir ad sağlaması istenir, böylece kullanıcı birden çok kayıt varsa hangisini tanımlayabileceğini belirleyebilir. İleri’ye tıklayın.
  9. İşlemi tamamlamak için Bitti'ye tıklayın.

Parolasız kimlik bilgileriyle oturum açma

Aşağıdaki örnekte bir kullanıcı FIDO2 güvenlik anahtarını zaten sağlamıştır. Kullanıcı, Windows 10 sürüm 1903 veya üzeri sürümlerde desteklenen bir tarayıcının içinde FIDO2 güvenlik anahtarıyla web'de oturum açmayı seçebilir.

Security key sign-in Microsoft Edge

Sorun giderme ve geri bildirim

Geri bildirim paylaşmak veya bu özellikle ilgili sorunlarla karşılaşmak istiyorsanız, aşağıdaki adımları kullanarak Windows Geri Bildirim Merkezi uygulaması aracılığıyla paylaşın:

  1. Geri Bildirim Merkezi'ne gidin ve oturum açtığınızdan emin olun.
  2. Aşağıdaki kategoriler altında geri bildirim gönderin:
    • Kategori: Güvenlik ve Gizlilik
    • Alt Kategori: FIDO
  3. Günlükleri yakalamak için Sorunumu Yeniden Oluştur seçeneğini kullanın.

Bilinen sorunlar

Güvenlik anahtarı sağlama

Güvenlik anahtarlarının yönetici tarafından sağlanması ve sağlanması kaldırılamadı.

UPN değişiklikleri

Kullanıcının UPN'si değişirse, fido2 güvenlik anahtarlarını artık değişikliği hesaba katmanız için değiştiremezsiniz. FIDO2 güvenlik anahtarı olan bir kullanıcının çözümü MySecurityInfo'da oturum açmak, eski anahtarı silmek ve yenisini eklemektir.

Sonraki adımlar

FIDO2 güvenlik anahtarı Windows 10 oturum açma

Şirket içi kaynaklarda FIDO2 kimlik doğrulamasını etkinleştirme

Cihaz kaydı hakkında daha fazla bilgi edinin

Azure AD Multi-Factor Authentication hakkında daha fazla bilgi edinin