Parolasız kimlik doğrulama yöntemlerini kaydetmek için Geçici Erişim Geçişi'ni yapılandırma

  • Makale

Microsoft Authenticator uygulaması aracılığıyla FIDO2 ve parolasız telefon oturumu açma gibi parolasız kimlik doğrulama yöntemleri, kullanıcıların parola olmadan güvenli bir şekilde oturum açmasını sağlar.

Kullanıcılar Parolasız yöntemleri iki yoldan biriyle önyükleyebilir:

  • Mevcut Microsoft Entra çok faktörlü kimlik doğrulama yöntemlerini kullanma
  • Geçici Erişim Geçişi Kullanma

Geçici Erişim Geçişi (TAP), tek kullanım veya birden çok kullanım için yapılandırılabilir zaman sınırlı bir geçiş kodudur. Kullanıcılar Microsoft Authenticator, FIDO2 ve İş İçin Windows Hello gibi diğer parolasız kimlik doğrulama yöntemlerini eklemek için TAP ile oturum açabilir.

TAP ayrıca, bir kullanıcı FIDO2 güvenlik anahtarı veya Microsoft Authenticator uygulaması gibi güçlü kimlik doğrulama faktörünü kaybettiğinde veya unuttuğunda kurtarmayı kolaylaştırır, ancak yeni güçlü kimlik doğrulama yöntemlerini kaydetmek için oturum açması gerekir.

Bu makalede, Microsoft Entra yönetim merkezini kullanarak BIR TAP'yi etkinleştirme ve kullanma hakkında bilgi verilmektedir. Bu eylemleri REST API'lerini kullanarak da gerçekleştirebilirsiniz.

Geçici Erişim Geçişi ilkesini etkinleştirme

TAP ilkesi, kiracıda oluşturulan geçişlerin ömrü veya oturum açmak için TAP kullanabilen kullanıcılar ve gruplar gibi ayarları tanımlar.

Kullanıcıların TAP ile oturum açabilmesi için önce kimlik doğrulama yöntemi ilkesinde bu yöntemi etkinleştirmeniz ve TAP kullanarak hangi kullanıcıların ve grupların oturum açabileceğini seçmeniz gerekir.

Herhangi bir kullanıcı için BIR TAP oluşturabilirsiniz, ancak yalnızca ilkeye dahil olan kullanıcılar bu kullanıcıyla oturum açabilir. TAP kimlik doğrulama yöntemi ilkesini yalnızca Genel Yönetici ve Kimlik Doğrulama İlkesi Yönetici rolleri güncelleştirebilir.

TAP kimlik doğrulama yöntemi ilkesini yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.

  3. Kullanılabilir kimlik doğrulama yöntemleri listesinde Geçici Erişim Geçişi'ni seçin.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Etkinleştir'e tıklayın ve ilkeye dahil etmek veya ilkenin dışında tutmak için kullanıcıları seçin.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (İsteğe bağlı) Yapılandır'ı seçerek maksimum yaşam süresini veya uzunluğu ayarlama gibi varsayılan Geçici Erişim Geçişi ayarlarını değiştirin ve Güncelleştir'e tıklayın.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. İlkeyi uygulamak için Kaydet'i seçin.

    Varsayılan değer ve izin verilen değer aralığı aşağıdaki tabloda açıklanmıştır.

    Ayar Varsayılan değerler İzin verilen değerler Açıklamalar
    Minimum yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en az dakika sayısı.
    Maksimum yaşam süresi 8 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en fazla dakika sayısı.
    Varsayılan yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) İlke tarafından yapılandırılan minimum ve maksimum yaşam süresi içinde tek tek geçişler varsayılan değeri geçersiz kılabilir.
    Tek seferlik kullanım False Doğru/Yanlış İlke false olarak ayarlandığında, kiracıdaki geçişler geçerlilik süresi (maksimum yaşam süresi) sırasında bir veya birden çok kez kullanılabilir. TAP ilkesinde tek seferlik kullanım zorunluluğuyla, kiracıda oluşturulan tüm geçişler tek seferlik kullanımdır.
    Length 8 8-48 karakter Geçiş kodunun uzunluğunu tanımlar.

Geçici Erişim Geçişi Oluşturma

Tap ilkesini etkinleştirdikten sonra, Microsoft Entra Id'de kullanıcılar için TP'ler oluşturabilirsiniz. Aşağıdaki roller bir TAP ile ilgili çeşitli eylemler gerçekleştirebilir.

  • Genel Yönetici istrator'lar herhangi bir kullanıcı için (kendileri hariç) TAP oluşturabilir, silebilir ve görüntüleyebilir.
  • Ayrıcalıklı Kimlik Doğrulaması Yönetici istrator'lar yöneticiler ve üyeler için (kendileri dışında) bir TAP oluşturabilir, silebilir ve görüntüleyebilir.
  • Kimlik doğrulaması Yönetici istrator'lar üyeler için (kendileri dışında) bir TAP oluşturabilir, silebilir ve görüntüleyebilir.
  • Genel Okuyucular kullanıcının TAP ayrıntılarını görüntüleyebilir (kodun kendisini okumadan).

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Kimlik>Kullanıcıları'na göz atın.

  3. TAP oluşturmak istediğiniz kullanıcıyı seçin.

  4. Kimlik doğrulama yöntemleri'ne tıklayın ve Kimlik doğrulama yöntemi ekle'ye tıklayın.

    Screenshot of how to create a Temporary Access Pass.

  5. Geçici Erişim Geçişi'ni seçin.

  6. Özel bir etkinleştirme süresi veya süresi tanımlayın ve Ekle'yi seçin.

    Screenshot of adding a method - Temporary Access Pass.

  7. Eklendikten sonra, TAP'nin ayrıntıları gösterilir.

    Önemli

    Kullanıcıya bu değeri sağlayacağınız için gerçek TAP değerini not edin. Tamam'ı seçtikten sonra bu değeri görüntüleyemezsiniz.

    Screenshot of Temporary Access Pass details.

  8. İşiniz bittiğinde Tamam'ı seçin.

Aşağıdaki komutlar PowerShell kullanarak TAP oluşturma ve alma işlemini gösterir.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Daha fazla bilgi için bkz . New-MgUserAuthenticationTemporaryAccessPassMethod ve Get-MgUserAuthenticationTemporaryAccessPassMethod.

Geçici Erişim Geçişi Kullanma

TAP için en yaygın kullanım, kullanıcının ek güvenlik istemlerini tamamlamaya gerek kalmadan ilk oturum açma veya cihaz kurulumu sırasında kimlik doğrulama ayrıntılarını kaydetmesidir. Kimlik doğrulama yöntemleri adresinde https://aka.ms/mysecurityinfokaydedilir. Kullanıcılar burada mevcut kimlik doğrulama yöntemlerini de güncelleştirebilir.

  1. için bir web tarayıcısı https://aka.ms/mysecurityinfoaçın.

  2. TAP'yi oluşturduğunuz hesabın UPN'sini girin, örneğin tapuser@contoso.com.

  3. Kullanıcı TAP ilkesine dahil edilirse, TAP'sini girmek için bir ekran görür.

  4. Microsoft Entra yönetim merkezinde görüntülenen TAP'yi girin.

    Screenshot of how to enter a Temporary Access Pass.

Not

Federasyon etki alanları için, federasyon yerine TAP tercih edilir. TAP'ye sahip bir kullanıcı Microsoft Entra Id'de kimlik doğrulamasını tamamlar ve federasyon Kimlik Sağlayıcısı'na (IdP) yeniden yönlendirilmiyor.

Kullanıcı artık oturum açtı ve FIDO2 güvenlik anahtarı gibi bir yöntemi güncelleştirebilir veya kaydedebilir.

Kimlik bilgilerini veya cihazlarını kaybettiği için kimlik doğrulama yöntemlerini güncelleştiren kullanıcılar, eski kimlik doğrulama yöntemlerini kaldırdığından emin olmalıdır.

Kullanıcılar ayrıca parolalarını kullanarak oturum açmaya devam edebilir; TAP, kullanıcının parolasını değiştirmez.

Geçici Erişim Geçişi kullanıcı yönetimi

Güvenlik bilgilerini https://aka.ms/mysecurityinfo yöneten kullanıcılar Geçici Erişim Geçişi için bir giriş görür. Kullanıcının başka kayıtlı yöntemi yoksa, ekranın üst kısmında yeni bir oturum açma yöntemi ekleme yazan bir başlık alır. Kullanıcılar ayrıca TAP sona erme süresini görebilir ve artık gerekli değilse TAP'i silebilir.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Windows cihaz kurulumu

TAP kullanan kullanıcılar, cihaz birleştirme işlemlerini gerçekleştirmek ve İş İçin Windows Hello yapılandırmak için Windows 10 ve 11'de kurulum işleminde gezinebilir. İş İçin Windows Hello ayarlamaya yönelik TAP kullanımı, cihazların katılmış durumuna göre değişir.

Microsoft Entra Id'ye katılmış cihazlar için:

  • Etki alanına katılma kurulum işlemi sırasında, kullanıcılar cihaza katılmak ve İş İçin Windows Hello kaydetmek için bir TAP (parola gerekmez) ile kimlik doğrulaması yapabilir.
  • Zaten katılmış cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
  • Windows'da Web'de oturum açma özelliği de etkinleştirildiyse, kullanıcı cihazda oturum açmak için TAP kullanabilir. Bu yalnızca ilk cihaz kurulumunu tamamlamaya veya kullanıcı parola bilmediğinde veya parolaya sahip olmadığında kurtarma işlemine yöneliktir.

Karma birleştirilmiş cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Parolasız telefonla oturum açma

Kullanıcılar, DOĞRUDAN Authenticator uygulamasından Parolasız telefonla oturum açmaya kaydolmak için TAP'lerini de kullanabilir.

Daha fazla bilgi için bkz . İş veya okul hesabınızı Microsoft Authenticator uygulamasına ekleme.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Konuk erişimi

Konuk kullanıcılar, TAP ev kiracısı kimlik doğrulaması gereksinimini karşılıyorsa, ev kiracısı tarafından verilen bir TAP ile bir kaynak kiracısında oturum açabilir.

Kaynak kiracısı için çok faktörlü kimlik doğrulaması (MFA) gerekiyorsa, konuk kullanıcının kaynağa erişim kazanmak için MFA gerçekleştirmesi gerekir.

Süre Sonu

Süresi dolmuş veya silinmiş bir TAP, etkileşimli veya etkileşimli olmayan kimlik doğrulaması için kullanılamaz.

TAP süresi dolduktan veya silindikten sonra kullanıcıların farklı kimlik doğrulama yöntemleriyle yeniden kimlik doğrulamasına sahip olması gerekir.

TAP oturum açma bilgileri kullanılarak elde edilen belirteç ömrü (oturum belirteci, yenileme belirteci, erişim belirteci vb.) TAP ömrüyle sınırlıdır. TAP'nin süresi dolduğunda ilişkili belirtecin süresinin dolmasına yol açar.

Süresi dolan Geçici Erişim Geçişini silme

Bir kullanıcının kimlik doğrulama yöntemleri altında, Ayrıntı sütunu TAP'nin süresinin ne zaman dolduğunda gösterilir. Süresi dolmuş bir TAP'i aşağıdaki adımları kullanarak silebilirsiniz:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Kimlik>Kullanıcıları'na göz atın, Kullanıcı'ya dokunun gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.
  3. Listede gösterilen Geçici Erişim Geçişi kimlik doğrulama yönteminin sağ tarafında Sil'i seçin.

PowerShell'i de kullanabilirsiniz:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Daha fazla bilgi için bkz . Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Geçici Erişim Geçişini Değiştirme

  • Her kullanıcının yalnızca bir TAP'i olabilir. Geçiş kodu, TAP'nin başlangıç ve bitiş zamanında kullanılabilir.
  • Bir kullanıcı yeni bir TAP gerektiriyorsa:
    • Mevcut TAP geçerliyse, yönetici mevcut geçerli TAP'ı geçersiz kılmak için yeni bir TAP oluşturabilir.
    • Mevcut TAP'in süresi dolduysa, yeni bir TAP mevcut TAP'i geçersiz kılar.

Ekleme ve kurtarma için NIST standartları hakkında daha fazla bilgi için bkz . NIST Özel Yayını 800-63A.

Sınırlamalar

Şu sınırlamaları göz önünde bulundurun:

  • FIDO2 veya Telefon oturum açma gibi parolasız bir yöntemi kaydetmek için tek seferlik TAP kullanırken, kullanıcının kaydı tek seferlik TAP ile oturum açmadan sonra 10 dakika içinde tamamlaması gerekir. Bu sınırlama, birden çok kez kullanılabilen bir TAP için geçerli değildir.
  • Self servis parola sıfırlama (SSPR) kayıt ilkesi veyaKimlik Koruması çok faktörlü kimlik doğrulama kayıt ilkesi kapsamındaki kullanıcılar, tarayıcı kullanarak TAP ile oturum açtıktan sonra kimlik doğrulama yöntemlerini kaydetmek için gereklidir. Bu ilkelerin kapsamındaki kullanıcılar, birleşik kaydın Kesme moduna yönlendirilir. Bu deneyim şu anda FIDO2 ve Telefon Oturum açma kaydını desteklememektedir.
  • TAP, Ağ İlkesi Sunucusu (NPS) uzantısı ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) bağdaştırıcısı ile kullanılamaz.
  • Değişikliklerin çoğaltılması birkaç dakika sürebilir. Bu nedenle, bir hesaba BIR TAP eklendikten sonra istem gösterilmesi biraz zaman alabilir. Aynı nedenle, bir TAP'in süresi dolduktan sonra kullanıcılar yine de TAP istemi görebilir.

Sorun giderme

  • Oturum açma sırasında bir TAP kullanıcıya sunulmazsa:
    • Kullanıcının TAP kimlik doğrulama yöntemi ilkesi kapsamında olduğundan emin olun.
    • Kullanıcının geçerli bir TAP'sine sahip olduğundan ve bir kerelik kullanımdaysa henüz kullanılmadığından emin olun.
  • Tap ile oturum açma sırasında Kullanıcı Kimlik Bilgileri İlkesi göründüğü için Geçici Erişim Geçişi oturum açma engellendiyse:
    • Kimlik doğrulama yöntemi ilkesi için tek seferlik TAP gerekirken kullanıcının çok kullanımlı BIR TAP'i olmadığından emin olun.
    • Bir kerelik TAP'in zaten kullanılıp kullanılmadığını denetleyin.
  • TAP oturum açma işlemi Kullanıcı Kimlik Bilgisi İlkesi nedeniyle engellendiyse, kullanıcının TAP ilkesi kapsamında olup olmadığını denetleyin.

Sonraki adımlar