Azure AD Multi-Factor Authentication ayarlarını yapılandırma

  • Makale
  • Okumak için 17 dakika

Azure AD Multi-Factor Authentication için son kullanıcı deneyimini özelleştirmek için hesap kilitleme eşikleri veya sahtekarlık uyarıları ve bildirimleri gibi ayarlar için seçenekleri yapılandırabilirsiniz. Bazı ayarlar doğrudan Azure Active Directory (Azure AD) için Azure portal, bazıları ise ayrı bir Azure AD Multi-Factor Authentication portalında bulunur.

Aşağıdaki Azure AD Multi-Factor Authentication ayarları Azure portal kullanılabilir:

Özellik Açıklama
Hesap kilitleme Bir satırda çok fazla reddedilen kimlik doğrulaması girişimi varsa, hesapların Azure AD Multi-Factor Authentication kullanmasını geçici olarak kilitleyin. Bu özellik yalnızca kimlik doğrulaması için PIN giren kullanıcılar için geçerlidir. (Yalnızca MFA Sunucusu)
Kullanıcıları engelleme/engellemesini kaldırma Belirli kullanıcıların Azure AD Multi-Factor Authentication istekleri alabilmesini engelleyin. Engellenen kullanıcılar için tüm kimlik doğrulaması denemeleri otomatik olarak reddedilir. Kullanıcılar engellendiklerinden itibaren 90 gün boyunca veya engelleri el ile kaldırılana kadar engellenmiş olarak kalır.
Şüpheli etkinliği bildirme Kullanıcıların sahte doğrulama isteklerini bildirmesine olanak sağlayan ayarları yapılandırın.
Bildirimler MFA Sunucusu'ndan olayların bildirimlerini etkinleştirin.
OATH belirteçleri Kullanıcılar için OATH belirteçlerini yönetmek için bulut tabanlı Azure AD Multi-Factor Authentication ortamlarında kullanılır.
Telefon araması ayarları Bulut ve şirket içi ortamlar için telefon aramaları ve karşılamalarla ilgili ayarları yapılandırın.
Sağlayıcılar Bu, hesabınızla ilişkilendirdiğiniz mevcut kimlik doğrulama sağlayıcılarını gösterir. 1 Eylül 2018 itibarıyla yeni sağlayıcı ekleme devre dışı bırakılmıştır.

Azure portal - Multi-Factor Authentication ayarlarını Azure AD

Hesap kilitleme

Bir saldırının parçası olarak yinelenen MFA girişimlerini önlemek için hesap kilitleme ayarları, hesap belirli bir süre için kilitlenmeden önce kaç başarısız girişime izin verileceğini belirtmenize olanak sağlar. Hesap kilitleme ayarları yalnızca MFA istemi için bir PIN kodu girildiğinde uygulanır.

Aşağıdaki ayarlar kullanılabilir:

  • Hesap kilitlenmesini tetikleyen MFA reddi sayısı
  • Hesap kilitleme sayacı sıfırlanıncaya kadar dakika
  • Hesabın engeli otomatik olarak kaldırılana kadar dakika

Hesap kilitleme ayarlarını yapılandırmak için şu adımları tamamlayın:

  1. Azure Portal’da yönetici olarak oturum açın.

  2. Azure Active Directory>Güvenliği>Çok Faktörlü Kimlik Doğrulama>Hesabı kilitleme bölümüne gidin.

  3. Ortamınızın değerlerini girin ve Kaydet'i seçin.

    Azure portal hesap kilitleme ayarlarını gösteren ekran görüntüsü.

Kullanıcıları engelleme ve engelini kaldırma

Kullanıcının cihazı kaybolur veya çalınırsa, ilişkili hesap için Azure AD Multi-Factor Authentication girişimlerini engelleyebilirsiniz. Engellenen kullanıcılar için Azure AD Multi-Factor Authentication girişimleri otomatik olarak reddedilir. Kullanıcılar, engellendiklerinden itibaren 90 gün boyunca engellenmiş durumda kalır. Bunun nasıl yapılacağını açıklayan bir video için bkz. Kiracınızdaki kullanıcıları engelleme ve engellemeyi kaldırma.

Kullanıcıyı engelleme

Bir kullanıcıyı engellemek için aşağıdaki adımları tamamlayın.

Bu işlemi açıklayan kısa bir video izleyin.

  1. Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulamasını>engelle/engelini kaldır'a göz atın.
  2. Kullanıcıyı engellemek için Ekle'yi seçin.
  3. Engellenen kullanıcının kullanıcı adını biçiminde username@domain.comgirin ve ardından Neden kutusuna bir açıklama girin.
  4. Kullanıcıyı engellemek için Tamam'ı seçin.

Kullanıcının engellemesini kaldırma

Kullanıcının engelini kaldırmak için aşağıdaki adımları tamamlayın:

  1. Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulaması>Kullanıcıları engelle/engelini kaldır'a gidin.
  2. Kullanıcının yanındaki Eylem sütununda Engellemeyi Kaldır'ı seçin.
  3. Engellemeyi kaldırma nedeni kutusuna bir açıklama girin.
  4. Kullanıcının engellemesini kaldırmak için Tamam'ı seçin.

Şüpheli etkinliği bildirme

Güncelleştirilmiş MFA Sahtekarlık Uyarısı özelliği olan Şüpheli Etkinliği Bildir özelliğinin önizlemesi kullanıma sunuldu. Bilinmeyen ve şüpheli bir MFA istemi alındığında, kullanıcılar Microsoft Authenticator'ı kullanarak veya telefonlarından dolandırıcılık girişimini bildirebilir. Bu uyarılar, daha kapsamlı bir kapsam ve yetenek için Kimlik Koruması ile tümleştirilmiştir.

MFA istemini şüpheli olarak bildiren kullanıcılar Yüksek Kullanıcı Riski olarak ayarlanır. Yöneticiler, bu kullanıcılara erişimi sınırlamak için risk tabanlı ilkeler kullanabilir veya kullanıcıların sorunları kendi başlarına düzeltmesi için self servis parola sıfırlamayı (SSPR) etkinleştirebilir. Daha önce Sahtekarlık Uyarısı otomatik engelleme özelliğini kullandıysanız ve risk tabanlı ilkeler için Azure AD P2 lisansınız yoksa, etkilenen kullanıcıları belirlemek ve devre dışı bırakmak ve oturum açmalarını otomatik olarak önlemek için risk algılama olaylarını kullanabilirsiniz. Risk tabanlı ilkeleri kullanma hakkında daha fazla bilgi için bkz. Risk tabanlı erişim ilkeleri.

Kimlik Doğrulama Yöntemleri Ayarları'ndan Şüpheli Etkinliği Bildir'i etkinleştirmek için:

  1. Azure portal Azure Active Directory>Güvenlik>Kimlik Doğrulama Yöntemleri>Ayarları'na tıklayın.
  2. Şüpheli Etkinliği Raporlaseçeneğini Etkin olarak ayarlayın.
  3. Tüm kullanıcılar'ı veya belirli bir grubu seçin.

Şüpheli etkinlik olaylarını görüntüleme

Kullanıcı bir MFA istemini şüpheli olarak bildirdiğinde, olay Oturum açmalar raporunda (kullanıcı tarafından reddedilen bir oturum açma olarak), Denetim günlüklerinde ve Risk algılamaları raporunda gösterilir.

  • Risk algılama raporunu görüntülemek için Azure Active Directory>Güvenlik>Kimlik Koruması>Risk algılama'yı seçin. Risk olayı standart Risk Algılamaları raporunun bir parçasıdır ve Algılama Türü Kullanıcı Tarafından Bildirilen Şüpheli Etkinlik, Risk düzeyi Yüksek, Kaynak Son kullanıcı bildirildi olarak görünür.

  • Oturum açma işlemleri raporunda sahtekarlık raporlarını görüntülemek için Azure Active Directory>Oturum açma günlükleri>Kimlik Doğrulama Ayrıntıları'nı seçin. Sahtekarlık raporu, standart Azure AD Oturum Açmalar raporunun bir parçasıdır ve MFA reddedildikçe Sonuç Ayrıntısı'nda görünür, Sahtekarlık Kodu Girildi.

  • Denetim günlüklerinde sahtekarlık raporlarını görüntülemek için Azure Active Directory>Denetim günlükleri'ni seçin. Sahtekarlık raporu, Sahtekarlık bildirildi etkinlik türü altında görünür - kullanıcı MFA için engellendi veya Sahtekarlık bildirildi - sahtekarlık raporu için kiracı düzeyindeki ayarlara göre hiçbir işlem yapılmaz.

Şüpheli etkinlik olaylarını yönetme

Bir kullanıcı şüpheli olarak bir istem bildirdiğinde, risk araştırılmalı ve Kimlik Koruması ile düzeltilmelidir.

Şüpheli etkinliği ve sahtekarlık uyarılarını bildirme

Şüpheli Etkinliği Bildir ve eski Sahtekarlık Uyarısı uygulaması paralel olarak çalışabilir. Hedeflenen bir test grubuyla Şüpheli Etkinlik Bildir özelliğini kullanmaya başlarken kiracı genelindeki Sahtekarlık Uyarısı işlevinizi yerinde tutabilirsiniz.

Sahtekarlık Uyarısı Otomatik Engelleme ile etkinleştirilirse ve Şüpheli Etkinliği Bildir etkinleştirilirse, kullanıcı engellenenler listesine eklenir ve yapılandırılan diğer ilkeler için yüksek riskli ve kapsam içinde olarak ayarlanır. Bu kullanıcıların MFA ile oturum açmalarını sağlamak için blok listesinden kaldırılması ve risklerinin düzeltilmesi gerekir.

Bildirimler

Kullanıcılar dolandırıcılık uyarıları bildirdiğinde e-posta bildirimleri göndermek için Azure AD yapılandırabilirsiniz. Bu bildirimler genellikle kimlik yöneticilerine gönderilir çünkü kullanıcının hesap kimlik bilgileri tehlikeye girer. Aşağıdaki örnekte sahtekarlık uyarısı bildirim e-postasının nasıl göründüğü gösterilmektedir:

Sahtekarlık uyarısı bildirim e-postası gösteren ekran görüntüsü.

Sahtekarlık uyarısı bildirimlerini yapılandırmak için:

  1. Azure Active Directory>Güvenliği>Multi-Factor Authentication>Bildirimleri'ne gidin.
  2. Bildirimin gönderilmesi için e-posta adresini girin.
  3. Mevcut bir e-posta adresini kaldırmak için, e-posta adresinin yanındaki ... öğesini ve ardından Sil'i seçin.
  4. Kaydet’i seçin.

OATH belirteçleri

Azure AD, her 30 veya 60 saniyede bir kodları yenileyen OATH TOTP SHA-1 belirteçlerinin kullanımını destekler. Bu belirteçleri istediğiniz satıcıdan satın alabilirsiniz.

OATH TOTP donanım belirteçleri genellikle belirteçte önceden programlanmış bir gizli anahtar veya çekirdek ile birlikte gelir. Aşağıdaki adımlarda açıklandığı gibi bu anahtarları Azure AD girmeniz gerekir. Gizli anahtarlar 128 karakterle sınırlıdır ve bu da tüm belirteçlerle uyumlu olmayabilir. Gizli anahtar yalnızca a-z veya A-Z karakterlerini ve 1-7 arası basamakları içerebilir. Base32'de kodlanmalıdır.

Yeniden görüntülenebilen programlanabilir OATH TOTP donanım belirteçleri, yazılım belirteci kurulum akışındaki Azure AD ile de ayarlanabilir.

OATH donanım belirteçleri genel önizleme kapsamında desteklenir. Önizlemeler hakkında daha fazla bilgi için bkz . Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

OATH belirteçleri bölümünü gösteren ekran görüntüsü.

Belirteçleri aldıktan sonra, bunları virgülle ayrılmış değerler (CSV) dosya biçiminde karşıya yüklemeniz gerekir. Bu örnekte gösterildiği gibi UPN, seri numarası, gizli anahtar, zaman aralığı, üretici ve modeli ekleyin:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Not

Üst bilgi satırını CSV dosyanıza eklediğinizden emin olun.

Bir yönetici Azure portal oturum açabilir, Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulama>OATH belirteçleri'ne gidebilir ve CSV dosyasını karşıya yükleyebilir.

CSV dosyasının boyutuna bağlı olarak işlenmesi birkaç dakika sürebilir. Durumu almak için Yenile'yi seçin. Dosyada herhangi bir hata varsa, bunları listeleyen bir CSV dosyası indirebilirsiniz. İndirilen CSV dosyasındaki alan adları, karşıya yüklenen sürümdekilerden farklıdır.

Hatalar giderildikten sonra, yönetici belirteç için Etkinleştir'i seçip belirteçte görüntülenen OTP'yi girerek her anahtarı etkinleştirebilir.

Kullanıcılar, istedikleri zaman kullanılmak üzere yapılandırılan Microsoft Authenticator uygulaması gibi beş adede kadar OATH donanım belirtecinin veya kimlik doğrulayıcı uygulamasının bir birleşimine sahip olabilir.

Önemli

Her belirteci yalnızca tek bir kullanıcıya atadığınızdan emin olun. Gelecekte, bir güvenlik riskini önlemek için tek bir belirtecin birden çok kullanıcıya atanması desteği durdurulacaktır.

Telefon araması ayarları

Kullanıcılar MFA istemleri için telefon aramaları alıyorsa, arayan kimliği veya duydukları sesli karşılama gibi deneyimlerini yapılandırabilirsiniz.

Birleşik Devletler MFA arayan kimliğini yapılandırmadıysanız Microsoft'tan gelen sesli aramalar aşağıdaki numaradan gelir. İstenmeyen posta filtreleri olan kullanımlar bu sayıyı dışlamalıdır.

  • +1 (855) 330-8653

Not

Azure AD Multi-Factor Authentication çağrıları genel telefon ağı üzerinden yapıldığında, bazen aramalar arayan kimliğini desteklemeyen bir operatör üzerinden yönlendirilir. Bu nedenle, Azure AD Multi-Factor Authentication her zaman gönderse bile arayan kimliği garanti değildir. Bu, hem telefon aramaları hem de Azure AD Multi-Factor Authentication tarafından sağlanan kısa mesajlar için geçerlidir. Bir kısa mesajın Azure AD Multi-Factor Authentication'dan geldiğini doğrulamanız gerekiyorsa bkz. İleti göndermek için hangi SMS kısa kodları kullanılır?.

Kendi arayan kimlik numaranızı yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulaması>Telefon araması ayarları'na gidin.
  2. MFA arayan kimlik numarasını kullanıcıların telefonlarında görmesini istediğiniz numaraya ayarlayın. Yalnızca ABD tabanlı sayılara izin verilir.
  3. Kaydet’i seçin.

Özel sesli mesajlar

Azure AD Multi-Factor Authentication için kendi kayıtlarınızı veya selamlamalarınızı kullanabilirsiniz. Bu iletiler, varsayılan Microsoft kayıtlarına ek olarak veya bunları değiştirmek için kullanılabilir.

Başlamadan önce aşağıdaki kısıtlamalara dikkat edin:

  • Desteklenen dosya biçimleri .wav ve .mp3.
  • Dosya boyutu sınırı 1 MB'tır.
  • Kimlik doğrulama iletileri 20 saniyeden kısa olmalıdır. 20 saniyeden uzun iletiler doğrulamanın başarısız olmasına neden olabilir. Kullanıcı ileti tamamlanmadan yanıt vermezse doğrulama zaman aşımına uysa.

Özel ileti dili davranışı

Kullanıcıya özel bir sesli mesaj oynatıldığında, iletinin dili aşağıdaki faktörlere bağlıdır:

  • Kullanıcının dili.
    • Kullanıcının tarayıcısı tarafından algılanan dil.
    • Diğer kimlik doğrulama senaryoları farklı davranabilir.
  • Kullanılabilir tüm özel iletilerin dili.
    • Bu dil, özel bir ileti eklendiğinde yönetici tarafından seçilir.

Örneğin, yalnızca bir özel ileti varsa ve bu ileti Almanca ise:

  • Almanca dilinde kimlik doğrulaması yapan bir kullanıcı özel Almanca iletisini duyar.
  • İngilizce kimlik doğrulaması yapan bir kullanıcı standart İngilizce iletisini duyar.

Özel sesli ileti varsayılanları

Kendi özel iletilerinizi oluşturmak için aşağıdaki örnek betikleri kullanabilirsiniz. Kendi özel iletilerinizi yapılandırmazsanız bu ifadeler varsayılan değerlerdir.

İleti adı Komut Dosyası
Kimlik doğrulaması başarılı Oturum açma işleminiz başarıyla doğrulandı. Hoşça kal.
Uzantı istemi Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Devam etmek için lütfen pound tuşuna basın.
Sahtekarlık onayı Bir sahtekarlık uyarısı gönderildi. Hesabınızın engelini kaldırmak için lütfen şirketinizin BT yardım masasına başvurun.
Sahtekarlık karşılaması (standart) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın. Bu doğrulamayı başlatmadıysanız, birisi hesabınıza erişmeye çalışıyor olabilir. Sahtekarlık uyarısı göndermek için lütfen sıfır pound tuşuna basın. Bu, şirketinizin BT ekibini bilgilendirir ve daha fazla doğrulama denemesini engeller.
Sahtekarlık bildirildi Bir sahtekarlık uyarısı gönderildi. Hesabınızın engelini kaldırmak için lütfen şirketinizin BT yardım masasına başvurun.
Etkinleştirme Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Kimlik doğrulaması reddedildi yeniden deneme Doğrulama reddedildi.
Yeniden deneme (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Selamlama (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Selamlama (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound anahtarını girin.
Sahtekarlık karşılaması (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound anahtarını girin. Bu doğrulamayı başlatmadıysanız, birisi hesabınıza erişmeye çalışıyor olabilir. Sahtekarlık uyarısı göndermek için lütfen sıfır pound tuşuna basın. Bu, şirketinizin BT ekibini bilgilendirir ve daha fazla doğrulama denemesini engeller.
Yeniden Deneme (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin.
Basamakların ardından uzantı istemi Bu uzantıda zaten varsa, devam etmek için pound tuşuna basın.
Kimlik doğrulaması reddedildi Üzgünüm, şu anda oturum açamayız. Lütfen daha sonra yeniden deneyin.
Etkinleştirme karşılaması (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Etkinleştirme yeniden denemesi (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Etkinleştirme karşılaması (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin.
Rakamlardan önce uzantı istemi Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Lütfen bu çağrıyı uzantı <uzantısına aktar.>

Özel ileti ayarlama

Kendi özel iletilerinizi kullanmak için aşağıdaki adımları tamamlayın:

  1. Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulaması>Telefon araması ayarları'na gidin.
  2. Karşılama ekle'yi seçin.
  3. Selamlama (standart) veya Kimlik doğrulaması başarılı gibi karşılama türünü seçin.
  4. Dil'i seçin. Özel ileti dili davranışıyla ilgili önceki bölüme bakın.
  5. Karşıya yüklemek için bir .mp3 veya .wav ses dosyasına göz atın ve seçin.
  6. Ekle'yi ve ardından Kaydet'i seçin.

MFA hizmet ayarları

Uygulama parolaları, güvenilen IP'ler, doğrulama seçenekleri ve güvenilen cihazlarda çok faktörlü kimlik doğrulamasını anımsama ayarlarına hizmet ayarlarından ulaşabilirsiniz. Bu eski bir portaldır. Normal Azure portal bir parçası değildir.

Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulaması>Başlarken>>Ek bulut tabanlı MFA ayarları'na giderek hizmet ayarlarına Azure portal erişebilirsiniz. Ek hizmet ayarları seçeneklerini içeren bir pencere veya sekme açılır.

Güvenilen IP'ler

Azure AD Multi-Factor Authentication'ın güvenilen IP'leri özelliği, tanımlı ip adresi aralığından oturum açan kullanıcılar için çok faktörlü kimlik doğrulama istemlerini atlar. Şirket içi ortamlarınız için güvenilen IP aralıkları ayarlayabilirsiniz. Bu konumlardan birindeki kullanıcılar için Azure AD Multi-Factor Authentication istemi yoktur. Güvenilen IP'ler özelliği Azure AD Premium P1 sürümünü gerektirir.

Not

Güvenilen IP'ler yalnızca MFA Sunucusu kullandığınızda özel IP aralıkları içerebilir. Bulut tabanlı Azure AD Multi-Factor Authentication için yalnızca genel IP adresi aralıklarını kullanabilirsiniz.

IPv6 aralıkları yalnızca Adlandırılmış konumlar (önizleme) arabiriminde desteklenir.

Kuruluşunuz şirket içi uygulamalara MFA sağlamak için NPS uzantısını kullanıyorsa, kaynak IP adresi her zaman kimlik doğrulama girişiminin akışında geçen NPS sunucusu gibi görünür.

kiracı türünü Azure AD Güvenilen IP özelliği seçenekleri
Yönetilen Belirli IP adresi aralığı: Yöneticiler, şirket intranetinden oturum açan kullanıcılar için çok faktörlü kimlik doğrulamalarını atlayan bir IP adresi aralığı belirtir. En fazla 50 güvenilen IP aralığı yapılandırılabilir.
Federe Tüm Federasyon Kullanıcıları: Kuruluşun içinden oturum açan tüm federasyon kullanıcıları çok faktörlü kimlik doğrulamalarını atlayabilir. Kullanıcılar, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tarafından verilen bir talebi kullanarak doğrulamaları atlar.
Belirli IP adresi aralığı: Yöneticiler, şirket intranetinden oturum açan kullanıcılar için çok faktörlü kimlik doğrulamasını atlayan bir IP adresi aralığı belirtir.

Güvenilen IP atlama yalnızca şirket intranetinin içinden çalışır. Tüm Federasyon Kullanıcıları seçeneğini seçerseniz ve bir kullanıcı şirket intraneti dışından oturum açarsa, kullanıcının çok faktörlü kimlik doğrulamasını kullanarak kimlik doğrulamasından geçmiş olması gerekir. Kullanıcı bir AD FS talebi sunsa bile işlem aynıdır.

Şirket ağı içindeki kullanıcı deneyimi

Güvenilen IP'ler özelliği devre dışı bırakıldığında, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekir. Eski zengin istemci uygulamaları için uygulama parolaları gereklidir.

Güvenilen IP'ler kullanıldığında, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekmez. Kullanıcı bir uygulama parolası oluşturmadıysa, eski zengin istemci uygulamaları için uygulama parolaları gerekli değildir. Uygulama parolası kullanıldıktan sonra parola gereklidir.

Şirket ağı dışındaki kullanıcı deneyimi

Güvenilen IP'lerin tanımlanıp tanımlanmadığına bakılmaksızın, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekir. Eski zengin istemci uygulamaları için uygulama parolaları gereklidir.

Koşullu Erişim kullanarak adlandırılmış konumları etkinleştirme

Aşağıdaki adımları kullanarak adlandırılmış konumları tanımlamak için Koşullu Erişim kurallarını kullanabilirsiniz:

  1. Azure portal Azure Active Directory'yi arayıp seçin ve ardından Güvenlik>Koşullu Erişim>Adlandırılmış konumları'na gidin.
  2. Yeni konum'a tıklayın.
  3. Konum için bir ad girin.
  4. Güvenilir konum olarak işaretle'yi seçin.
  5. CIDR gösteriminde ortamınız için IP aralığını girin. Örneğin, 40.77.182.32/27.
  6. Oluştur’u seçin.

Koşullu Erişim kullanarak güvenilen IP'ler özelliğini etkinleştirme

Koşullu Erişim ilkelerini kullanarak güvenilen IP'leri etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Azure portal Azure Active Directory'yi arayıp seçin ve ardından Güvenlik>Koşullu Erişim>Adlandırılmış konumları'na gidin.

  2. MFA güvenilen IP'lerini yapılandır'ı seçin.

  3. Hizmet Ayarları sayfasındaki Güvenilen IP'ler'in altında şu seçeneklerden birini belirleyin:

    • İntranetimden kaynaklanan federasyon kullanıcılarından gelen istekler için: Bu seçeneği belirlemek için onay kutusunu seçin. Kurumsal ağdan oturum açan tüm federasyon kullanıcıları, AD FS tarafından verilen bir talebi kullanarak çok faktörlü kimlik doğrulamalarını atlar. AD FS'nin intranet talebi eklemek için uygun trafiğe bir kuralı olduğundan emin olun. Kural yoksa, AD FS'de aşağıdaki kuralı oluşturun:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Belirli bir genel IP aralığından gelen istekler için: Bu seçeneği belirlemek için, CIDR gösterimindeki metin kutusuna IP adreslerini girin.

      • xxx.xxx.xxx.1 ilexxx.xxx.xxx.254 aralığındaki IP adresleri için xxx.xxx.xxx.0/24 gibi bir gösterimi kullanın.
      • Tek bir IP adresi için xxx.xxx.xxx.xxx/32 gibi bir gösterimi kullanın.
      • En fazla 50 IP adresi aralığı girin. Bu IP adreslerinden oturum açan kullanıcılar çok faktörlü kimlik doğrulamalarını atlar.

  4. Kaydet’i seçin.

Hizmet ayarlarını kullanarak güvenilen IP'ler özelliğini etkinleştirme

Güvenilen IP'leri etkinleştirmek için Koşullu Erişim ilkelerini kullanmak istemiyorsanız, aşağıdaki adımları kullanarak Azure AD Multi-Factor Authentication için hizmet ayarlarını yapılandırabilirsiniz:

  1. Azure portal Azure Active Directory'yi arayıp seçin ve ardından Kullanıcılar'ı seçin.

  2. Kullanıcı başına MFA'yi seçin.

  3. Sayfanın üst kısmındaki çok faktörlü kimlik doğrulaması altında hizmet ayarları'nı seçin.

  4. Hizmet ayarları sayfasındaki Güvenilen IP'ler'in altında aşağıdaki seçeneklerden birini veya her ikisini birden seçin:

    • İntranetimdeki federasyon kullanıcılarından gelen istekler için: Bu seçeneği belirlemek için onay kutusunu seçin. Kurumsal ağdan oturum açan tüm federasyon kullanıcıları, AD FS tarafından verilen bir talebi kullanarak çok faktörlü kimlik doğrulamasını atlar. AD FS'nin intranet talebi eklemek için uygun trafiğe bir kuralı olduğundan emin olun. Kural yoksa, AD FS'de aşağıdaki kuralı oluşturun:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Belirtilen IP adresi alt ağ aralığından gelen istekler için: Bu seçeneği belirlemek için, CIDR gösterimindeki metin kutusuna IP adreslerini girin.

      • xxx.xxx.xxx.1 ilexxx.xxx.xxx.254 aralığındaki IP adresleri için xxx.xxx.xxx.0/24 gibi bir gösterimi kullanın.
      • Tek bir IP adresi için xxx.xxx.xxx.xxx/32 gibi bir gösterimi kullanın.
      • En fazla 50 IP adresi aralığı girin. Bu IP adreslerinden oturum açan kullanıcılar çok faktörlü kimlik doğrulamalarını atlar.

  5. Kaydet’i seçin.

Doğrulama yöntemleri

Hizmet ayarları portalında kullanıcılarınız için kullanılabilen doğrulama yöntemlerini seçebilirsiniz. Kullanıcılarınız Azure AD Multi-Factor Authentication için hesaplarını kaydettiklerinde, etkinleştirdiğiniz seçenekler arasından tercih ettikleri doğrulama yöntemini seçer. Kullanıcı kayıt işlemine yönelik yönergeler, Hesabımı çok faktörlü kimlik doğrulaması için ayarlama bölümünde sağlanır.

Aşağıdaki doğrulama yöntemleri kullanılabilir:

Yöntem Açıklama
Telefonla arama Otomatik bir sesli arama yerleştirir. Kullanıcı aramayı yanıtlar ve kimlik doğrulaması için telefonda # tuşuna basar. Telefon numarası şirket içi Active Directory eşitlenmez.
Telefona kısa mesaj Doğrulama kodu içeren bir kısa mesaj gönderir. Kullanıcıdan oturum açma arabirimine doğrulama kodunu girmesi istenir. Bu işleme tek yönlü SMS adı verilir. İki yönlü SMS, kullanıcının belirli bir kodu geri göndermesi gerektiği anlamına gelir. İki yönlü SMS kullanım dışıdır ve 14 Kasım 2018'den sonra desteklenmez. Yöneticiler, daha önce iki yönlü SMS kullanan kullanıcılar için başka bir yöntemi etkinleştirmelidir.
Mobil uygulama aracılığıyla bildirim Kullanıcının telefonuna veya kayıtlı cihazına anında iletme bildirimi gönderir. Kullanıcı bildirimi görüntüler ve doğrulamayı tamamlamak için Doğrula'yı seçer. Microsoft Authenticator uygulaması Windows Phone, Android ve iOS için kullanılabilir.
Mobil uygulamadan veya donanım belirtecinden doğrulama kodu Microsoft Authenticator uygulaması her 30 saniyede bir yeni bir OATH doğrulama kodu oluşturur. Kullanıcı doğrulama kodunu oturum açma arabirimine girer. Microsoft Authenticator uygulaması Windows Phone, Android ve iOS için kullanılabilir.

Daha fazla bilgi için bkz. Azure AD'da hangi kimlik doğrulama ve doğrulama yöntemleri kullanılabilir?.

Doğrulama yöntemlerini etkinleştirme ve devre dışı bırakma

Doğrulama yöntemlerini etkinleştirmek veya devre dışı bırakmak için aşağıdaki adımları tamamlayın:

  1. Azure portal Azure Active Directory'yi arayıp seçin ve ardından Kullanıcılar'ı seçin.
  2. Kullanıcı başına MFA'yi seçin.
  3. Sayfanın üst kısmındaki çok faktörlü kimlik doğrulaması altında hizmet ayarları'nı seçin.
  4. Hizmet ayarları sayfasında, doğrulama seçenekleri'nin altında uygun onay kutularını seçin veya temizleyin.
  5. Kaydet’i seçin.

Çok faktörlü kimlik doğrulamasını anımsama

Çok faktörlü kimlik doğrulamasını anımsa özelliği, kullanıcıların MFA kullanarak bir cihazda başarıyla oturum açtıktan sonra belirtilen sayıda gün boyunca sonraki doğrulamaları atlamasına olanak tanır. Kullanılabilirliği artırmak ve kullanıcının belirli bir cihazda MFA gerçekleştirme sayısını en aza indirmek için 90 gün veya daha uzun bir süre seçin.

Önemli

Bir hesap veya cihazın güvenliği aşılırsa, güvenilen cihazlar için MFA'nın anımsanmış olması güvenliği etkileyebilir. Şirket hesabının gizliliği tehlikeye girerse veya güvenilir bir cihaz kaybolur veya çalınırsa MFA Oturumlarını İptal Etmelisiniz.

İptal etme eylemi tüm cihazlardan güvenilen durumu iptal eder ve kullanıcının çok faktörlü kimlik doğrulamasını yeniden gerçekleştirmesi gerekir. Ayrıca, çok faktörlü kimlik doğrulaması için ayarlarınızı yönetme bölümünde belirtildiği gibi, kullanıcılarınıza kendi cihazlarında özgün MFA durumunu geri yüklemelerini de sağlayabilirsiniz.

Özellik nasıl çalışır?

Çok faktörlü kimlik doğrulamasını anımsa özelliği, bir kullanıcı oturum açarken X gün için bir daha sorma seçeneğini belirlediğinde tarayıcıda kalıcı bir tanımlama bilgisi ayarlar. Tanımlama bilgisinin süresi dolana kadar kullanıcıdan bu tarayıcıdan yeniden MFA istenmez. Kullanıcı aynı cihazda farklı bir tarayıcı açarsa veya tanımlama bilgilerini temizlerse, yeniden doğrulamaları istenir.

Uygulamanın modern kimlik doğrulamasını destekleyip desteklemediğine bakılmaksızın tarayıcı dışı uygulamalarda X gün boyunca bir daha sorma seçeneği gösterilmez. Bu uygulamalar saatte bir yeni erişim belirteçleri sağlayan yenileme belirteçlerini kullanır. Yenileme belirteci doğrulandığında, Azure AD son çok faktörlü kimlik doğrulamasının belirtilen gün sayısı içinde gerçekleştiğini denetler.

Bu özellik, web uygulamalarındaki kimlik doğrulamalarının sayısını azaltır ve normalde her seferinde istenir. Bu özellik, daha düşük bir süre yapılandırılırsa normalde her 180 günde bir isteyen modern kimlik doğrulama istemcilerinin kimlik doğrulama sayısını artırabilir. Koşullu Erişim ilkeleriyle birleştirildiğinde kimlik doğrulamalarının sayısını da artırabilir.

Önemli

Çok faktörlü kimlik doğrulamasını anımsa özelliği, kullanıcılar MFA Sunucusu veya üçüncü taraf çok faktörlü kimlik doğrulama çözümü aracılığıyla AD FS için çok faktörlü kimlik doğrulaması gerçekleştirdiğinde AD FS'nin oturumumu açık tut özelliğiyle uyumlu değildir.

Kullanıcılarınız AD FS'de oturumumu açık tut'u seçerse ve cihazlarını MFA için güvenilir olarak işaretlerse, çok faktörlü kimlik doğrulamasını anımsama gün sayısı sona erdikten sonra kullanıcı otomatik olarak doğrulanır. Azure AD yeni bir çok faktörlü kimlik doğrulaması ister, ancak AD FS, çok faktörlü kimlik doğrulamasını yeniden gerçekleştirmek yerine özgün MFA talebine ve tarihine sahip bir belirteç döndürür. Bu tepki, Azure AD ile AD FS arasında bir doğrulama döngüsü başlatır.

Çok faktörlü kimlik doğrulamasını anımsa özelliği B2B kullanıcıları ile uyumlu değildir ve davet edilen kiracılarda oturum açtıklarında B2B kullanıcıları tarafından görülemez.

Çok faktörlü kimlik doğrulamasını anımsama özelliğini etkinleştirme

Kullanıcıların MFA durumlarını hatırlamasına ve istemleri atlamasına izin verme seçeneğini etkinleştirmek ve yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Azure portal Azure Active Directory'yi arayıp seçin ve ardından Kullanıcılar'ı seçin.
  2. Kullanıcı başına MFA'yi seçin.
  3. Sayfanın üst kısmındaki çok faktörlü kimlik doğrulaması altında hizmet ayarları'nı seçin.
  4. Hizmet ayarları sayfasındaki Çok faktörlü kimlik doğrulamasını anımsa bölümünde Kullanıcıların güvendikleri cihazlarda çok faktörlü kimlik doğrulamasını hatırlamasına izin ver'i seçin.
  5. Güvenilen cihazların çok faktörlü kimlik doğrulamalarını atlamasına izin vermek için gün sayısını ayarlayın. En iyi kullanıcı deneyimi için süreyi 90 veya daha fazla güne uzatın.
  6. Kaydet’i seçin.

Cihazı güvenilir olarak işaretleme

Çok faktörlü kimlik doğrulamasını anımsa özelliğini etkinleştirdikten sonra, kullanıcılar yeniden sorma'yı seçerek oturum açtıklarında bir cihazı güvenilir olarak işaretleyebilir.

Sonraki adımlar

Daha fazla bilgi edinmek için bkz . Azure Active Directory'de hangi kimlik doğrulama ve doğrulama yöntemleri kullanılabilir?