Oturum açma olaylarının güvenliğini sağlamak için kullanıcı başına Azure AD Multi-Factor Authentication'ı etkinleştirme
Azure AD'da kullanıcı oturum açma olaylarının güvenliğini sağlamak için çok faktörlü kimlik doğrulaması (MFA) gerektirebilirsiniz. Koşullu Erişim ilkelerini kullanarak Multi-Factor Authentication Azure AD etkinleştirme, kullanıcıları korumak için önerilen yaklaşımdır. Koşullu Erişim, belirli senaryolarda gerektiğinde MFA gerektiren kurallar uygulamanıza olanak tanıyan bir Azure AD Premium P1 veya P2 özelliğidir. Koşullu Erişimi kullanmaya başlamak için bkz. Öğretici: Azure AD Multi-Factor Authentication ile kullanıcı oturum açma olaylarının güvenliğini sağlama.
Koşullu Erişim içermeyen Azure AD ücretsiz kiracılar için, kullanıcıları korumak için güvenlik varsayılanlarını kullanabilirsiniz. Kullanıcılardan gerektiğinde MFA istenir, ancak davranışı denetlemek için kendi kurallarınızı tanımlayamazsınız.
Gerekirse, her hesabı kullanıcı başına Azure AD Multi-Factor Authentication için etkinleştirebilirsiniz. Kullanıcılar tek tek etkinleştirildiğinde, her oturum açtıklarında çok faktörlü kimlik doğrulaması gerçekleştirirler (güvenilen IP adreslerinden oturum açmaları veya güvenilen cihazlarda MFA'yı anımsama özelliğinin açık olması gibi bazı özel durumlar söz konusudur).
Azure AD lisanslarınız Koşullu Erişim içermiyorsa ve güvenlik varsayılanlarını kullanmak istemiyorsanız kullanıcı durumlarının değiştirilmesi önerilmez. MFA'yı etkinleştirmenin farklı yolları hakkında daha fazla bilgi için bkz. Azure AD Multi-Factor Authentication için özellikler ve lisanslar.
Önemli
Bu makalede, kullanıcı başına Azure AD Multi-Factor Authentication'ın durumunu görüntüleme ve değiştirme işlemi ayrıntılı olarak anlatlanmıştır. Koşullu Erişim veya güvenlik varsayılanlarını kullanıyorsanız, bu adımları kullanarak kullanıcı hesaplarını gözden geçirmez veya etkinleştirmezsiniz.
Koşullu Erişim ilkesi aracılığıyla Multi-Factor Authentication Azure AD etkinleştirildiğinde kullanıcının durumu değişmez. Kullanıcılar devre dışı görünüyorsa alarma geçin. Koşullu Erişim durumu değiştirmez.
Koşullu Erişim ilkeleri kullanıyorsanız Kullanıcı başına Azure AD Multi-Factor Authentication'ı etkinleştirmeyin veya zorunlu kılmayın.
Multi-Factor Authentication kullanıcı durumlarını Azure AD
Kullanıcının durumu, bir yöneticinin bunları kullanıcı başına multi-Factor Authentication Azure AD kaydedip kaydetmediğini yansıtır. Azure AD Multi-Factor Authentication'daki kullanıcı hesaplarının aşağıdaki üç ayrı durumu vardır:
| Durum | Açıklama | Etkilenen eski kimlik doğrulaması | Etkilenen tarayıcı uygulamaları | Etkilenen modern kimlik doğrulaması |
|---|---|---|---|---|
| Devre dışı | Kullanıcı başına Azure AD Multi-Factor Authentication'a kayıtlı olmayan bir kullanıcının varsayılan durumu. | Hayır | Hayır | Hayır |
| Etkin | Kullanıcı, Multi-Factor Authentication Azure AD kullanıcı başına kaydedilir, ancak eski kimlik doğrulaması için parolasını kullanmaya devam edebilir. Kullanıcı henüz MFA kimlik doğrulama yöntemlerini kaydetmediyse, modern kimlik doğrulaması kullanarak (örneğin, bir web tarayıcısı aracılığıyla) bir sonraki oturum açışında kaydolması için bir istem alır. | Hayır. Kayıt işlemi tamamlanana kadar eski kimlik doğrulaması çalışmaya devam eder. | Evet. Oturumun süresi dolduktan sonra Azure AD Multi-Factor Authentication kaydı gerekir. | Evet. Erişim belirtecinin süresi dolduktan sonra Azure AD Multi-Factor Authentication kaydı gerekir. |
| Uygulandı | Kullanıcı Azure AD Multi-Factor Authentication'a kullanıcı başına kaydedilir. Kullanıcı henüz kimlik doğrulama yöntemlerini kaydetmediyse, modern kimlik doğrulaması kullanarak (örneğin, bir web tarayıcısı aracılığıyla) bir sonraki oturum açışında kaydolması için bir istem alır. Etkin durumundayken kaydı tamamlayan kullanıcılar otomatik olarak Zorunlu duruma taşınır. | Evet. Uygulamalar için uygulama parolaları gerekir. | Evet. Azure AD Oturum açma sırasında Multi-Factor Authentication gereklidir. | Evet. Azure AD Oturum açma sırasında Multi-Factor Authentication gereklidir. |
Tüm kullanıcılar Devre Dışı olarak başlar. Kullanıcıları kullanıcı başına Azure AD Multi-Factor Authentication'a kaydettiğinizde, durumları Etkin olarak değişir. Etkinleştirilen kullanıcılar oturum açıp kayıt işlemini tamamladığında, durumları Zorlandı olarak değişir. Yöneticiler, kullanıcıları Zorunlu'danEtkin veya Devre Dışı gibi durumlar arasında taşıyabilir.
Not
Kullanıcı başına MFA bir kullanıcıda yeniden etkinleştirilirse ve kullanıcı yeniden kaydolmazsa, MFA durumu MFA yönetim kullanıcı arabiriminde Etkin'den Zorlanan'a geçiş yapmaz. Yöneticinin kullanıcıyı doğrudan Zorlanan'a taşıması gerekir.
Kullanıcının durumunu görüntüleme
Kullanıcı durumlarını görüntülemek ve yönetmek için Azure portal sayfasına erişmek için aşağıdaki adımları tamamlayın:
- Azure portal Genel yönetici olarak oturum açın.
- Azure Active Directory'yi arayıp seçin, ardından Kullanıcılar>Tüm kullanıcılar'ı seçin.
- Kullanıcı başına MFA'yi seçin.
- Aşağıdaki örnekte gösterildiği gibi kullanıcı durumunu görüntüleyen yeni bir sayfa açılır.
Kullanıcının durumunu değiştirme
Bir kullanıcının kullanıcı başına Azure AD Multi-Factor Authentication durumunu değiştirmek için aşağıdaki adımları tamamlayın:
Kullanıcının Azure AD Multi-Factor Authentication kullanıcıları sayfasına ulaşacak durumunu görüntülemek için önceki adımları kullanın.
Multi-Factor Authentication Azure AD kullanıcı başına etkinleştirmek istediğiniz kullanıcıyı bulun. Üstteki görünümü kullanıcılar olarak değiştirmeniz gerekebilir.
Durumunu değiştirmek için kullanıcı adlarının yanındaki kutuyu işaretleyin.
Sağ taraftaki hızlı adımlar'ın altında Etkinleştir veya Devre Dışı Bırak'ı seçin. Aşağıdaki örnekte, John Smith kullanıcısının adının yanında bir denetim vardır ve kullanım için etkinleştirilmiştir:
İpucu
Etkin kullanıcılar, Azure AD Multi-Factor Authentication'a kaydolduğunda otomatik olarak Zorlandı olarak değiştirilir. Kullanıcı zaten kayıtlı değilse veya kullanıcının eski kimlik doğrulama protokolleriyle bağlantılarda kesinti yaşaması kabul edilebilir değilse, kullanıcı durumunu el ile Zorlandı olarak değiştirmeyin.
Açılan pencerede seçiminizi onaylayın.
Kullanıcıları etkinleştirdikten sonra e-posta ile bilgilendirin. Kullanıcılara, bir sonraki oturum açışında kaydolmalarını istemek için bir istem görüntülendiğini söyleyin. Ayrıca, kuruluşunuz modern kimlik doğrulamasını desteklemeyen tarayıcı dışı uygulamalar kullanıyorsa uygulama parolaları oluşturması gerekir. Daha fazla bilgi için, başlamalarına yardımcı olmak için Azure AD Multi-Factor Authentication son kullanıcı kılavuzuna bakın.
Kullanıcı başına MFA etkin ve zorlanmış kullanıcıları devre dışı olarak dönüştürme
Kullanıcılarınız kullanıcı başına etkinleştirildiyse ve Multi-Factor Authentication Azure AD zorunlu kılındıysa aşağıdaki PowerShell, Koşullu Erişim tabanlı Azure AD Multi-Factor Authentication'a dönüştürme işleminde size yardımcı olabilir.
Bu PowerShell'i bir ISE penceresinde çalıştırın veya yerel olarak çalıştırmak için dosya olarak .PS1 kaydedin. İşlem yalnızca MSOnline modülü kullanılarak gerçekleştirilebilir.
# Connect to tenant
Connect-MsolService
# Sets the MFA requirement state
function Set-MfaState {
[CmdletBinding()]
param(
[Parameter(ValueFromPipelineByPropertyName=$True)]
$ObjectId,
[Parameter(ValueFromPipelineByPropertyName=$True)]
$UserPrincipalName,
[ValidateSet("Disabled","Enabled","Enforced")]
$State
)
Process {
Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
$Requirements = @()
if ($State -ne "Disabled") {
$Requirement =
[Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
$Requirement.RelyingParty = "*"
$Requirement.State = $State
$Requirements += $Requirement
}
Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
-StrongAuthenticationRequirements $Requirements
}
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled
Sonraki adımlar
Azure AD Multi-Factor Authentication ayarlarını yapılandırmak için bkz. Azure AD Multi-Factor Authentication ayarlarını yapılandırma.
Azure AD Multi-Factor Authentication kullanıcı ayarlarını yönetmek için bkz. Azure AD Multi-Factor Authentication ile kullanıcı ayarlarını yönetme.
Bir kullanıcıdan neden MFA gerçekleştirmesi istendiğini veya istenmediğini anlamak için bkz. Multi-Factor Authentication raporlarını Azure AD.