Microsoft Entra ID ile Windows 10 ve 11 cihazlarında FIDO2 güvenlik anahtarıyla oturum açmayı etkinleştirme

  • Makale

Bu belge, Windows 10 ve 11 cihazlarıyla FIDO2 güvenlik anahtarı tabanlı parolasız kimlik doğrulamasını etkinleştirmeye odaklanır. Bu makaledeki adımları tamamladıktan sonra, FIDO2 güvenlik anahtarı kullanarak Microsoft Entra hesabınızla hem Microsoft Entra Id hem de Microsoft Entra karma katılmış Windows cihazlarınızda oturum açabilirsiniz.

Gereksinimler

Cihaz Türü Microsoft Entra ortamına katılan Microsoft Entra ortamına katılan hibrit
Microsoft Entra çok faktörlü kimlik doğrulaması X X
Birleşik güvenlik bilgileri kaydı X X
Uyumlu FIDO2 güvenlik anahtarları X X
WebAuthN için Windows 10 sürüm 1903 veya üzeri gerekir X X
Microsoft Entra'ya katılmış cihazlar Için Windows 10 sürüm 1909 veya üzeri gerekir X
Microsoft Entra hibrite katılmış cihazlar Için Windows 10 sürüm 2004 veya üzeri gerekir X
Windows Server 2016/2019 Etki Alanı Denetleyicilerine tam düzeltme eki uygulama. X
Microsoft Entra Karma Kimlik Doğrulama Yönetimi modülü X
Microsoft Intune (İsteğe bağlı) X X
Sağlama paketi (İsteğe bağlı) X X
Grup İlkesi (İsteğe bağlı) X

Desteklenmeyen senaryolar

Aşağıdaki senaryolar desteklenmez:

  • Microsoft Authenticator'da geçiş anahtarıyla bir Windows cihazında oturum açma veya kilidini açma.
  • Windows Server Active Directory Etki Alanı Services (AD DS) etki alanına katılmış (yalnızca şirket içi cihazlar) dağıtımı.
  • Webauthn yeniden yönlendirmesi dışında bir güvenlik anahtarı kullanan RDP, VDI ve Citrix gibi senaryolar.
  • Güvenlik anahtarı kullanan S/MIME.
  • Güvenlik anahtarı kullanarak farklı çalıştırın.
  • Güvenlik anahtarı kullanarak bir sunucuda oturum açma.
  • Çevrimiçiyken cihazınızda oturum açmak için bir güvenlik anahtarı kullanmıyorsanız, oturum açmak veya çevrimdışı olarak kilidini açmak için bu anahtarı kullanamazsınız.
  • Birden çok Microsoft Entra hesabı içeren bir güvenlik anahtarıyla Windows cihazında oturum açma veya kilidini açma. Bu senaryo, güvenlik anahtarına eklenen son hesabı kullanır. WebAuthN, kullanıcıların kullanmak istedikleri hesabı seçmesine olanak tanır.
  • Windows 10 sürüm 1809 çalıştıran bir cihazın kilidini açma. En iyi deneyim için Windows 10 sürüm 1903 veya üzerini kullanın.

Cihazları hazırlama

Microsoft Entra'ya katılmış cihazların Windows 10 sürüm 1909 veya üzerini çalıştırması gerekir.

Microsoft Entra karma katılmış cihazların Windows 10 sürüm 2004 veya üzerini çalıştırması gerekir.

Windows oturum açma için güvenlik anahtarlarını etkinleştirme

Kuruluşlar, kuruluşlarının gereksinimlerine göre Windows oturum açma için güvenlik anahtarlarının kullanımını etkinleştirmek için aşağıdaki yöntemlerden birini veya daha fazlasını kullanmayı seçebilir:

Önemli

Microsoft Entra karma katılmış cihazları olan kuruluşların, Windows 10 FIDO2 güvenlik anahtarı kimlik doğrulaması çalışmadan önce şirket içi kaynaklarda FIDO2 kimlik doğrulamasını etkinleştirme makalesindeki adımları da tamamlamaları gerekir.

Microsoft Entra'ya katılmış cihazları olan kuruluşların, cihazlarının FIDO2 güvenlik anahtarlarıyla şirket içi kaynaklarda kimlik doğrulaması yapılabilmesi için bunu yapması gerekir.

Microsoft Intune ile etkinleştirme

Intune kullanarak güvenlik anahtarlarının kullanımını etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Intune yönetim merkezinde oturum açın.
  2. Cihazları>Kaydet>Windows kaydı> İş İçin Windows Hello'na göz atın.
  3. Oturum açmak için güvenlik anahtarlarını kullan seçeneğini Etkin olarak ayarlayın.

Oturum açma için güvenlik anahtarlarının yapılandırılması İş İçin Windows Hello yapılandırmaya bağımlı değildir.

Not

Bu, önceden sağlanan cihazlarda güvenlik anahtarlarını etkinleştirmez. Bu durumda sonraki yöntemi kullanın (Hedeflenen Intune dağıtımı)

Hedeflenen Intune dağıtımı

Kimlik bilgisi sağlayıcısını etkinleştirmek üzere belirli cihaz gruplarını hedeflemek için Intune aracılığıyla aşağıdaki özel ayarları kullanın:

  1. Microsoft Intune yönetim merkezinde oturum açın.
  2. Cihazlar>Windows>Yapılandırma profilleri>Profil oluştur'a göz atın.
  3. Yeni profili aşağıdaki ayarlarla yapılandırın:
    • Platform: Windows 10 ve üzeri
    • Profil türü: Şablonlar > Özel
    • Ad: Windows Oturum Açma için Güvenlik Anahtarları
    • Açıklama: Windows Oturum Açma sırasında FIDO Güvenlik Anahtarlarının kullanılmasını sağlar
  4. Sonraki>Ekle'yi seçin ve Satır Ekle'ye aşağıdaki Özel OMA-URI ayarlarını ekleyin:
    • Ad: Windows Oturum Açma için FIDO Güvenlik Anahtarlarını açma
    • Açıklama: (İsteğe Bağlı)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Veri Türü: Tamsayı
    • Değer: 1
  5. Belirli kullanıcılar, cihazlar veya gruplar dahil olmak üzere ilke ayarlarının geri kalanını atayın. Daha fazla bilgi için bkz . Microsoft Intune'da kullanıcı ve cihaz profilleri atama.

Sağlama paketiyle etkinleştirme

Microsoft Intune tarafından yönetilmeyen cihazlar için, işlevselliği etkinleştirmek için bir sağlama paketi yüklenebilir. Windows Yapılandırma Tasarım Aracı uygulaması Microsoft Store'dan yüklenebilir. Sağlama paketi oluşturmak için aşağıdaki adımları tamamlayın:

  1. Windows Yapılandırma Tasarım Aracı başlatın.
  2. Dosya>Yeni proje'yi seçin.
  3. Projenize bir ad verin ve projenizin oluşturulduğu yolu not alın ve İleri'yi seçin.
  4. Sağlama paketini Seçili proje iş akışı olarak seçili bırakın ve İleri'yi seçin.
  5. Hangi ayarların görüntülenip yapılandırileceğini seçin altında Tüm Windows masaüstü sürümleri'ni ve ardından İleri'yi seçin.
  6. Bitir'i seçin.
  7. Yeni oluşturduğunuz projede WindowsHelloForBusiness SecurityKeys>UseSecurityKeyForSignIn çalışma zamanı ayarlarına>göz atın.>
  8. UseSecurityKeyForSignIn seçeneğini Etkin olarak ayarlayın.
  9. Sağlama paketini dışarı aktar'ı>seçin
  10. Oluşturma penceresinde sağlama paketini açıkla'nın altındaki varsayılan değerleri bırakın ve İleri'yi seçin.
  11. Derleme penceresinde, sağlama paketi için güvenlik ayrıntılarını seçin altında varsayılan değerleri bırakın ve İleri'yi seçin.
  12. Oluşturma pencerelerinde Sağlama paketinin kaydedileceği yeri seçin altındaki yolu not alın veya değiştirin ve İleri'yi seçin.
  13. Sağlama paketini derle sayfasında Derle'yi seçin.
  14. Oluşturulan iki dosyayı (ppkg ve kedi) daha sonra makinelere uygulayabileceğiniz bir konuma kaydedin.
  15. Oluşturduğunuz sağlama paketini uygulamak için bkz . Sağlama paketi uygulama.

Not

Windows 10 Sürüm 1903 çalıştıran cihazların da paylaşılan bilgisayar modunu (EnableSharedPCMode) etkinleştirmesi gerekir. Bu işlevi etkinleştirme hakkında daha fazla bilgi için bkz . Windows 10 ile paylaşılan veya konuk bilgisayar ayarlama.

Grup İlkesi ile etkinleştirme

Microsoft Entra karma katılmış cihazlarda kuruluşlar FIDO güvenlik anahtarı oturum açma özelliğini etkinleştirmek için aşağıdaki Grup İlkesi ayarını yapılandırabilir. Bu ayar Bilgisayar Yapılandırması> Yönetici istrative Templates>Sistem>Oturum Açma>Güvenlik anahtarı oturum açma özelliğini aç altında bulunabilir:

  • Bu ilkenin Etkin olarak ayarlanması, kullanıcıların güvenlik anahtarlarıyla oturum açmasına olanak tanır.
  • Bu ilkenin Devre Dışı veya Yapılandırılmadı olarak ayarlanması, kullanıcıların güvenlik anahtarlarıyla oturum açmasını engeller.

Bu Grup İlkesi ayarı, Grup İlkesi şablonunun CredentialProviders.admx güncelleştirilmiş bir sürümünü gerektirir. Bu yeni şablon, Windows Server'ın sonraki sürümüyle ve Windows 10 20H1 ile kullanılabilir. Bu ayar, bu yeni Windows sürümlerinden birini çalıştıran bir cihazla veya buradaki yönergeleri izleyerek merkezi olarak yönetilebilir: Windows'ta Grup İlkesi Yönetici Istrative Şablonları için Merkezi Mağaza oluşturma ve yönetme.

FIDO2 güvenlik anahtarıyla oturum açma

Bu örnekte Bala Sandhu adlı bir kullanıcı, önceki parolasız güvenlik anahtarı oturumunu etkinleştirme makalesindeki adımları kullanarak FIDO2 güvenlik anahtarını zaten sağlamıştı. Microsoft Entra karma katılmış cihazlar için, şirket içi kaynaklarda parolasız güvenlik anahtarı oturum açma özelliğini de etkinleştirdiğinizden emin olun. Bala, Windows 10 kilit ekranından güvenlik anahtarı kimlik bilgisi sağlayıcısını seçebilir ve Windows'ta oturum açmak için güvenlik anahtarını ekleyebilir.

Windows 10 kilit ekranında güvenlik anahtarıyla oturum açma

Güvenlik anahtarı biyometrik, PIN veya sıfırlama güvenlik anahtarını yönetme

  • Windows 10 sürüm 1903 veya üzeri
    • Kullanıcılar cihaz> Hesapları>Güvenlik Anahtarı'nda Windows Ayarlar açabilir
    • Kullanıcılar PIN'lerini değiştirebilir, biyometriyi güncelleştirebilir veya güvenlik anahtarlarını sıfırlayabilir

Sorun giderme ve geri bildirim

Geri bildirim paylaşmak veya bu özellik hakkında sorunlarla karşılaşmak istiyorsanız, aşağıdaki adımları kullanarak Windows Geri Bildirim Merkezi uygulaması aracılığıyla paylaşın:

  1. Geri Bildirim Merkezi'ne gidin ve oturum açtığınızdan emin olun.
  2. Aşağıdaki kategoriler altında geri bildirim gönderin:
    • Kategori: Güvenlik ve Gizlilik
    • Alt kategori: FIDO
  3. Günlükleri yakalamak için Sorunumu Yeniden Oluştur seçeneğini kullanın.

Sonraki adımlar

Microsoft Entra Id ve Microsoft Entra karma katılmış cihazlar için şirket içi kaynaklara erişimi etkinleştirme

Cihaz kaydı hakkında daha fazla bilgi edinin

Microsoft Entra çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi edinin