Uygulama parolalarını kullanarak eski uygulamalarla Azure AD Multi-Factor Authentication'ı zorunlu kılma

Office 2010 veya önceki sürümleri ve iOS 11 öncesi Apple Mail gibi tarayıcı dışı bazı eski uygulamalar, kimlik doğrulama işlemindeki duraklamaları veya kesmeleri anlamaz. Bu eski, tarayıcı dışı uygulamalardan birinde oturum açmaya çalışan Azure AD Multi-Factor Authentication (Azure AD MFA) kullanıcısı başarıyla kimlik doğrulaması yapamaz. Bu uygulamaları kullanıcı hesapları için zorunlu Azure AD Multi-Factor Authentication ile güvenli bir şekilde kullanmak için uygulama parolaları kullanabilirsiniz. Bu uygulama parolaları, bir uygulamanın çok faktörlü kimlik doğrulamasını atlayıp düzgün çalışmasını sağlamak için geleneksel parolanızın yerini aldı.

Modern kimlik doğrulaması, Microsoft Office 2013 istemcileri ve üzeri için desteklenir. Outlook da dahil olmak üzere Office 2013 istemcileri modern kimlik doğrulama protokollerini destekler ve iki aşamalı doğrulama ile çalışabilir. Azure AD MFA zorunlu kılındıktan sonra istemci için uygulama parolaları gerekmez.

Bu makalede, çok faktörlü kimlik doğrulama istemlerini desteklemeyen eski uygulamalar için uygulama parolalarının nasıl kullanılacağı gösterilmektedir.

Not

Uygulama parolaları, modern kimlik doğrulaması kullanmak için gereken hesaplarda çalışmaz.

Genel bakış ve dikkat edilmesi gerekenler

Azure AD Multi-Factor Authentication için bir kullanıcı hesabı zorunlu kılındığında, normal oturum açma istemi ek doğrulama isteğiyle kesilir. Bazı eski uygulamalar oturum açma işlemindeki bu kesmeyi anlamadığından kimlik doğrulaması başarısız olur. Kullanıcı hesabı güvenliğini korumak ve Multi-Factor Authentication Azure AD zorunlu tutmak için, kullanıcının normal kullanıcı adı ve parolası yerine uygulama parolaları kullanılabilir. Oturum açma sırasında kullanılan bir uygulama parolası ek doğrulama istemi olmadığından kimlik doğrulaması başarılı olur.

Uygulama parolaları otomatik olarak oluşturulur, kullanıcı tarafından belirtilmez. Bu otomatik olarak oluşturulan parola, bir saldırganın tahmin etmelerini zorlaştırır, bu nedenle daha güvenlidir. Uygulama parolaları uygulama başına yalnızca bir kez girildiğinden, kullanıcıların parolaları izlemeleri veya her seferinde girmeleri gerekmez.

Uygulama parolalarını kullanırken aşağıdaki noktalar geçerlidir:

• Kullanıcı başına 40 uygulama parolası sınırı vardır.
• Parolaları önbelleğe alan ve şirket içi senaryolarda kullanan uygulamalar, uygulama parolası iş veya okul hesabı dışında bilinmediğinden başarısız olabilir. Bu senaryoya örnek olarak şirket içi exchange e-postaları verilmiştir, ancak arşivlenen posta buluttadır. Bu senaryoda aynı parola çalışmaz.
• Azure AD Multi-Factor Authentication bir kullanıcının hesabında zorunlu kılındıktan sonra, uygulama parolaları Outlook ve Microsoft Skype Kurumsal gibi tarayıcı dışı istemcilerin çoğuyla kullanılabilir. Ancak yönetim eylemleri, Windows PowerShell gibi tarayıcı dışı uygulamalar aracılığıyla uygulama parolaları kullanılarak gerçekleştirilemez. Eylemler, kullanıcının bir yönetim hesabı olduğunda bile gerçekleştirilemez.
  • PowerShell betiklerini çalıştırmak için güçlü bir parolayla bir hizmet hesabı oluşturun ve hesabı iki aşamalı doğrulama için zorlamayın.
• Bir kullanıcı hesabının gizliliğinin ihlal edilmiş olduğundan şüpheleniyorsanız ve hesap parolasını iptal edip sıfırlarsanız, uygulama parolaları da güncelleştirilmelidir. Bir kullanıcı hesabı parolası iptal edildiğinde /sıfırlandığında uygulama parolaları otomatik olarak iptal edilir. Kullanıcı mevcut uygulama parolalarını silip yenilerini oluşturmalıdır.
  • Daha fazla bilgi için Ek güvenlik doğrulama sayfasında uygulama parolaları oluşturma ve silme bölümüne bakın.

Uyarı

Uygulama parolaları, istemcilerin hem şirket içi hem de bulut otomatik bulma uç noktalarıyla iletişim kurduğu karma ortamlarda çalışmaz. Şirket içi kimlik doğrulaması için etki alanı parolaları gereklidir. Bulutta kimlik doğrulaması yapmak için uygulama parolaları gereklidir.

Uygulama parola adları

Uygulama parola adları kullanıldıkları cihazı yansıtmalıdır. Outlook, Word ve Excel gibi tarayıcı dışı uygulamaları olan bir dizüstü bilgisayarınız varsa, bu uygulamalar için Laptop adlı bir uygulama parolası oluşturun. Masaüstü bilgisayarınızda çalışan uygulamalar için Desktop adlı başka bir uygulama parolası oluşturun.

Uygulama başına bir uygulama parolası yerine cihaz başına bir uygulama parolası oluşturmanız önerilir.

Federasyon veya çoklu oturum açma uygulaması parolaları

Azure AD, şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ile federasyon veya çoklu oturum açmayı (SSO) destekler. Kuruluşunuz Azure AD ile birleştirilmişse ve Multi-Factor Authentication Azure AD kullanıyorsanız, aşağıdaki uygulama parolası konuları geçerlidir:

Not

Aşağıdaki noktalar yalnızca federasyon (SSO) müşterileri için geçerlidir.

• Uygulama parolaları Azure AD tarafından doğrulanır ve bu nedenle federasyonu atlar. Federasyon yalnızca uygulama parolaları ayarlanırken etkin olarak kullanılır.
• Pasif akışın aksine, federasyon (SSO) kullanıcıları için Kimlik Sağlayıcısı (IdP) ile bağlantı kurulmuyor. Uygulama parolaları iş veya okul hesabında depolanır. Bir kullanıcı şirketten ayrılırsa, kullanıcının bilgileri DirSync'i gerçek zamanlı olarak kullanarak iş veya okul hesabına akar. Hesabın devre dışı bırakılması / silinmesinin eşitlenmesi üç saate kadar sürebilir, bu da uygulama parolasının Azure AD devre dışı bırakılması / silinmesini geciktirebilir.
• Şirket içi istemci Access Control ayarları, uygulama parolaları özelliği tarafından kabul edilmez.
• Uygulama parolaları özelliğiyle şirket içi kimlik doğrulaması günlüğü veya denetim özelliği yoktur.

Bazı gelişmiş mimariler, istemcilerle çok faktörlü kimlik doğrulaması için kimlik bilgilerinin bir bileşimini gerektirir. Bu kimlik bilgileri iş veya okul hesabı kullanıcı adı ve parolaları ile uygulama parolalarını içerebilir. Gereksinimler, kimlik doğrulamasının nasıl gerçekleştirildiğini temel alır. Şirket içi altyapıda kimlik doğrulaması yapılan istemciler için, bir iş veya okul hesabı kullanıcı adı ve parola gereklidir. Azure AD kimlik doğrulaması yapılan istemciler için bir uygulama parolası gereklidir.

Örneğin, aşağıdaki mimariye sahip olduğunuzu varsayalım:

• Şirket içi Active Directory örneğiniz Azure AD ile birleştirilir.
• Exchange online kullanıyorsunuz.
• Şirket içi Skype Kurumsal kullanırsınız.
• Azure AD Multi-Factor Authentication kullanırsınız.

Bu senaryoda aşağıdaki kimlik bilgilerini kullanırsınız:

• Skype Kurumsal oturum açmak için iş veya okul hesabı kullanıcı adınızı ve parolanızı kullanın.
• Exchange Online'a bağlanan bir Outlook istemcisinden adres defterine erişmek için bir uygulama parolası kullanın.

Kullanıcıların uygulama parolaları oluşturmasına izin ver

Varsayılan olarak, kullanıcılar uygulama parolaları oluşturamaz. Kullanıcıların kullanabilmesi için uygulama parolaları özelliğinin etkinleştirilmesi gerekir. Kullanıcılara uygulama parolaları oluşturma olanağı sağlamak için yöneticinin aşağıdaki adımları tamamlaması gerekir:

1. Azure Portal oturum açın.

2. Azure Active Directory'yi arayıp seçin, ardından Güvenlik'i seçin.

3. Sol gezinti dikey penceresinde Koşullu Erişim'i seçin.

4. Sol gezinti dikey penceresinden Adlandırılmış konumu seçin.

5. Koşullu Erişim'in üst kısmındaki çubukta "MFA güvenilen IP'lerini yapılandır" öğesine tıklayın | Adlandırılmış Konumlar penceresi.

6. Çok faktörlü kimlik doğrulaması sayfasında, Kullanıcıların tarayıcı dışı uygulamalarda oturum açmak için uygulama parolaları oluşturmasına izin ver seçeneğini belirleyin.

   

Not

Kullanıcıların uygulama parolaları oluşturma özelliğini devre dışı bırakdığınızda, mevcut uygulama parolaları çalışmaya devam ediyor. Ancak, bu özelliği devre dışı bırakdığınızda kullanıcılar mevcut uygulama parolalarını yönetemez veya silemez.

Uygulama parolaları oluşturma özelliğini devre dışı bıraktığınızda, eski kimlik doğrulamasının kullanımını devre dışı bırakmak için bir Koşullu Erişim ilkesi oluşturmanız da önerilir. Bu yaklaşım, mevcut uygulama parolalarının çalışmasını engeller ve modern kimlik doğrulama yöntemlerinin kullanılmasını zorlar.

Uygulama parolası oluşturma

Kullanıcılar Azure AD Multi-Factor Authentication için ilk kayıtlarını tamamladığında, kayıt işleminin sonunda uygulama parolaları oluşturma seçeneği vardır.

Kullanıcılar ayrıca kayıt sonrasında uygulama parolaları oluşturabilir. Kullanıcılarınız için daha fazla bilgi ve ayrıntılı adımlar için aşağıdaki kaynaklara bakın:

• Azure AD Multi-Factor Authentication'da uygulama parolaları nelerdir?
• Güvenlik bilgileri sayfasından uygulama parolaları oluşturma

Sonraki adımlar

• Kullanıcıların Azure AD Multi-Factor Authentication'a hızlı bir şekilde kaydolmasına izin verme hakkında daha fazla bilgi için bkz. Birleşik güvenlik bilgileri kaydına genel bakış.
• Azure AD MFA için etkinleştirilen ve zorunlu kılınan kullanıcı durumları hakkında daha fazla bilgi için bkz. Oturum açma olaylarının güvenliğini sağlamak için Multi-Factor Authentication Azure AD kullanıcı başına etkinleştirme