Microsoft Entra geçiş kimlik doğrulaması: Sık sorulan sorular

Çeşitli Microsoft Entra oturum açma yöntemlerinin ve kuruluşunuz için doğru oturum açma yönteminin nasıl seçileceğinin karşılaştırması için bu kılavuzu gözden geçirin.

Doğrudan Kimlik Doğrulaması ücretsiz bir özelliktir. Kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur.

Evet. Microsoft Entra çok faktörlü kimlik doğrulaması dahil olmak üzere tüm Koşullu Erişim özellikleri Doğrudan Kimlik Doğrulaması ile çalışır.

Evet, hem doğrudan kimlik doğrulaması (PTA) hem de parola karması eşitlemesi (PHS), alternatif e-posta gibi UPN olmayan bir değer kullanarak oturum açmayı destekler. Alternatif Oturum Açma Kimliği hakkında daha fazla bilgi için.

Hayır Geçiş Kimlik Doğrulaması , parola karması eşitlemesine otomatik olarak yük devretme yapmaz . Kullanıcı oturum açma hatalarını önlemek için, Geçiş Kimlik Doğrulamasını yüksek kullanılabilirlik için yapılandırmanız gerekir.

Oturum açma yöntemini parola karması eşitlemeden Geçişli Kimlik Doğrulamasına geçirmek için Microsoft Entra Bağlan kullandığınızda, Doğrudan Kimlik Doğrulaması yönetilen etki alanlarındaki kullanıcılarınız için birincil oturum açma yöntemi olur. Daha önce parola karması eşitlemesi ile eşitlenen tüm kullanıcıların parola karmaları Microsoft Entra Id'de depolanır.

Evet. Geçiş Kimlik Doğrulama Aracısı sürüm 1.5.193.0 veya üzerinin yeniden markalanmış sürümleri bu yapılandırmayı destekler.

Bu özelliğin çalışması için Microsoft Entra Bağlan için 1.1.750.0 veya sonraki bir sürüme ve Doğrudan Kimlik Doğrulama Aracısı için 1.5.193.0 veya sonraki bir sürüme ihtiyacınız vardır. Tüm yazılımları Windows Server 2012 R2 veya sonraki bir sürümü olan sunuculara yükleyin.

Bunun nedeni, güncelleştirici hizmetinin düzgün çalışmaması veya hizmetin yükleyebileceği yeni güncelleştirmelerin mevcut olmaması olabilir. Güncelleştirici hizmeti çalışıyorsa ve olay günlüğüne kaydedilmiş hata yoksa (Uygulamalar ve Hizmetler günlükleri - Microsoft ->> AzureAD Bağlan-Agent - Güncelleştirici ->> Yönetici).

Otomatik yükseltme için yalnızca ana sürümler yayınlanıyor. Aracınızı yalnızca gerekliyse el ile güncelleştirmenizi öneririz. Örneğin, bilinen bir sorunu düzeltmeniz veya yeni bir özellik kullanmak istemeniz gerektiğinden önemli bir sürümü bekleyemeyiz. Yeni sürümler, sürümün türü (indirme, otomatik yükseltme), hata düzeltmeleri ve yeni özellikler hakkında daha fazla bilgi için bkz . Microsoft Entra doğrudan kimlik doğrulama aracısı: Sürüm yayın geçmişi.

Bağlayıcıyı el ile yükseltmek için:

• Aracı'nın en son sürümünü indirin. (Bunu Microsoft Entra yönetim merkezinde Microsoft Entra Bağlan Geçiş Kimlik Doğrulaması altında bulabilirsiniz. Bağlantıyı Microsoft Entra doğrudan kimlik doğrulaması: Sürüm sürüm geçmişi bölümünde de bulabilirsiniz.
• Yükleyici, Microsoft Entra Bağlan Authentication Agent hizmetlerini yeniden başlatır. Bazı durumlarda, yükleyici tüm dosyaları değiştiremiyorsa sunucu yeniden başlatması gerekir. Bu nedenle, yükseltmeyi başlatmadan önce Olay Görüntüleyicisi tüm uygulamaları kapatmanızı öneririz.
• Yükleyiciyi çalıştırın. Yükseltme işlemi hızlıdır ve herhangi bir kimlik bilgisi sağlamayı gerektirmez ve Aracı yeniden kaydedilmez.

Belirli bir kullanıcı için parola geri yazma yapılandırdıysanız ve kullanıcı Doğrudan Kimlik Doğrulaması kullanarak oturum açarsa parolalarını değiştirebilir veya sıfırlayabilir. Parolalar beklendiği gibi şirket içi Active Directory geri yazılır.

Belirli bir kullanıcı için parola geri yazma yapılandırmadıysanız veya kullanıcının atanmış geçerli bir Microsoft Entra ID lisansı yoksa, kullanıcı parolasını bulutta güncelleştiremez. Parolalarının süresi dolmuş olsa bile parolalarını güncelleştiremezler. Kullanıcı bunun yerine şu iletiyi görür: "Kuruluşunuz bu sitede parolanızı güncelleştirmenize izin vermiyor. Kuruluşunuz tarafından önerilen yönteme göre güncelleştirin veya yöneticinize yardıma ihtiyacınız olup olmadığını sorun." Kullanıcının veya yöneticinin şirket içi Active Directory parolasını sıfırlaması gerekir.

Parola süre sonu, kimlik doğrulama belirteçlerinin veya tanımlama bilgilerinin iptalini tetiklemez. Belirteçler veya tanımlama bilgileri geçerli olana kadar kullanıcı bunları kullanabilir. Bu, kimlik doğrulama türünden (PTA, PHS ve federasyon senaryoları) bağımsız olarak geçerlidir.

Daha fazla bilgi için lütfen aşağıdaki belgelere bakın:

erişim belirteçlerini Microsoft kimlik platformu - Microsoft kimlik platformu | Microsoft Docs

Akıllı Kilitleme hakkındaki bilgileri okuyun.

• Kimlik Doğrulama Aracıları tüm özellik işlemleri için 443 numaralı bağlantı noktası üzerinden HTTPS isteklerinde bulunur.

• Kimlik Doğrulama Aracıları, TLS/SSL sertifika iptal listelerini (CRL) indirmek için bağlantı noktası 80 üzerinden HTTP isteklerinde bulunur.

  Not

  Son güncelleştirmeler özelliğin gerektirdiği bağlantı noktası sayısını azaltmıştı. Microsoft Entra Bağlan veya Kimlik Doğrulama Aracısı'nın eski sürümlerine sahipseniz şu bağlantı noktalarını da açık tutun: 5671, 8080, 9090, 9091, 9350, 9352 ve 10100-10120.

Evet. Şirket içi ortamınızda Web Proxy Otomatik Bulma (WPAD) etkinleştirildiyse, Kimlik Doğrulama Aracıları otomatik olarak ağdaki bir web proxy sunucusunu bulmayı ve kullanmayı dener. Giden proxy sunucusunu kullanma hakkında daha fazla bilgi için bkz . Var olan şirket içi ara sunucularla çalışma.

Ortamınızda WPAD yoksa, Doğrudan Kimlik Doğrulama Aracısı'nın Microsoft Entra Kimliği ile iletişim kurmasına izin vermek için ara sunucu bilgileri ekleyebilirsiniz (aşağıda gösterildiği gibi):

• Sunucuya Doğrudan Kimlik Doğrulama Aracısı'nı yüklemeden önce Internet Explorer'da ara sunucu bilgilerini yapılandırın. Bu, Kimlik Doğrulama Aracısı yüklemesini tamamlamanıza olanak tanır, ancak Yönetici portalında Etkin Değil olarak görünmeye devam eder.
• Sunucuda "C:\Program Files\Microsoft Azure AD Bağlan Authentication Agent" konumuna gidin.
• "AzureAD Bağlan AuthenticationAgentService" yapılandırma dosyasını düzenleyin ve aşağıdaki satırları ekleyin ("http://contosoproxy.com:8080" gerçek ara sunucu adresinizle:

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Hayır, tek bir sunucuya yalnızca bir Doğrudan Kimlik Doğrulama Aracısı yükleyebilirsiniz. Geçiş Kimlik Doğrulaması'nı yüksek kullanılabilirlik için yapılandırmak istiyorsanız buradaki yönergeleri izleyin.

Her Geçiş Kimlik Doğrulama Aracısı ile Microsoft Entra Kimliği arasındaki iletişim, sertifika tabanlı kimlik doğrulaması kullanılarak güvenli hale getirilir. Bu sertifikalar, Microsoft Entra Id tarafından birkaç ayda bir otomatik olarak yenilenir. Bu sertifikaları el ile yenilemeniz gerekmez. Süresi dolan eski sertifikaları gerektiği gibi temizleyebilirsiniz.

Geçiş Kimlik Doğrulama Aracısı çalıştığı sürece etkin kalır ve kullanıcı oturum açma isteklerini sürekli işler. Kimlik Doğrulama Aracısı'nı kaldırmak istiyorsanız Denetim Masası - Programlar ->> Programlar ve Özellikler'egidin ve hem Microsoft Entra Bağlan Authentication Agent'ı hem de Microsoft Entra Bağlan Agent Updater programlarını kaldırın.

Microsoft Entra yönetim merkezindeki Doğrudan Kimlik Doğrulaması dikey penceresini en az Karma Kimlik Yönetici istrator olarak denetlerseniz. önceki adımı tamamladıktan sonra, Kimlik Doğrulama Aracısı'nın Etkin Değil olarak gösterildiğini görürsünüz. Bu beklenen bir durumdur. Kimlik Doğrulama Aracısı 10 gün sonra listeden otomatik olarak kaldırılır.

AD FS'den (veya diğer federasyon teknolojilerinden) Doğrudan Kimlik Doğrulaması'na geçiyorsanız, hızlı başlangıç kılavuzumuzu izlemenizi kesinlikle öneririz.

Evet. Active Directory ormanlarınız arasında orman güvenleri (iki yönlü) varsa ve ad soneki yönlendirmesi doğru yapılandırıldıysa, çok ormanlı ortamlar desteklenir.

Hayır, birden çok Doğrudan Kimlik Doğrulama Aracısını yüklemek yalnızca yüksek kullanılabilirlik sağlar. Kimlik Doğrulama Aracıları arasında belirleyici yük dengeleme sağlamaz. Herhangi bir Kimlik Doğrulama Aracısı (rastgele) belirli bir kullanıcı oturum açma isteğini işleyebilir.

Birden çok Doğrudan Kimlik Doğrulama Aracısını yüklemek yüksek kullanılabilirlik sağlar. Ancak, Kimlik Doğrulama Aracıları arasında belirleyici yük dengeleme sağlamaz.

Kiracınızda görmeyi beklediğiniz oturum açma isteklerinin en yoğun ve ortalama yükünü göz önünde bulundurun. Karşılaştırmalı olarak, tek bir Kimlik Doğrulama Aracısı standart 4 çekirdekli CPU, 16 GB RAM sunucusunda saniyede 300 ila 400 kimlik doğrulamasını işleyebilir.

Ağ trafiğini tahmin etmek için aşağıdaki boyutlandırma kılavuzunu kullanın:

• Her isteğin yük boyutu (0,5K + 1K * num_of_agents) bayttır; yani, Microsoft Entra Id'den Kimlik Doğrulama Aracısı'na veriler. Burada "num_of_agents", kiracınızda kayıtlı Kimlik Doğrulama Aracılarının sayısını gösterir.
• Her yanıtın yük boyutu 1K bayttır; yani, Kimlik Doğrulama Aracısı'ndan Microsoft Entra Id'ye veriler.

Çoğu müşteri için, yüksek kullanılabilirlik ve kapasite için toplamda iki veya üç Kimlik Doğrulama Aracısı yeterlidir. Ancak üretim ortamlarında, kiracınızda en az 3 Kimlik Doğrulama Aracısı çalıştırmanızı öneririz. Oturum açma gecikme süresini geliştirmek için etki alanı denetleyicilerinizin yakınlarına Kimlik Doğrulama Aracıları yüklemeniz gerekir.

Yalnızca bulutta genel Yönetici istrator hesabı kullanarak Doğrudan Kimlik Doğrulamasını etkinleştirmeniz veya devre dışı bırakmanız önerilir. Yalnızca bulutta genel Yönetici istrator hesabı ekleme hakkında bilgi edinin. Bu şekilde yapmak, kiracınızın kilitlenmemesini sağlar.

Microsoft Entra Bağlan sihirbazını yeniden çalıştırın ve kullanıcı oturum açma yöntemini Doğrudan Kimlik Doğrulaması'ndan başka bir yönteme değiştirin. Bu değişiklik kiracıda Doğrudan Kimlik Doğrulamasını devre dışı bırakır ve Kimlik Doğrulama Aracısı'nı sunucudan kaldırır. Kimlik Doğrulama Aracılarını diğer sunuculardan el ile kaldırmanız gerekir.

Bir sunucudan Doğrudan Kimlik Doğrulama Aracısı'nı kaldırırsanız, bu, sunucunun oturum açma isteklerini kabul etmeyi durdurmasına neden olur. Kiracınızda kullanıcı oturum açma özelliğinin kesintiye uğramasını önlemek için, Geçiş Kimlik Doğrulama Aracısı'nı kaldırmadan önce çalışan başka bir Kimlik Doğrulama Aracısı olduğundan emin olun.

Aşağıdaki koşullarda şirket içi UPN değişiklikleriniz şu durumlarda eşitlenmeyebilir:

• Microsoft Entra kiracınız 15 Haziran 2015 tarihinden önce oluşturulmuştur.
• Başlangıçta kimlik doğrulaması için AD FS kullanılarak Microsoft Entra kiracınızla federasyona alındınız.
• PTA'yı kimlik doğrulaması olarak kullanan yönetilen kullanıcılara geçtiniz.

Bunun nedeni, 15 Haziran 2015'e kadar oluşturulan kiracıların varsayılan davranışının UPN değişikliklerini engellemek olmasıdır. UPN değişikliklerini engellemeyi kaldırmanız gerekiyorsa aşağıdaki PowerShell cmdlet'ini çalıştırmanız gerekir. Get-MgDirectoryOnPremiseSynchronization cmdlet'ini kullanarak kimliği alın.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

15 Haziran 2015’ten sonra oluşturulan kiracılar, UPN değişikliklerini eşitleme varsayılan davranışına sahiptir.

Belirli bir oturum açma olayı için hangi yerel sunucunun veya kimlik doğrulama aracısının kullanıldığını doğrulamak için:

1. Microsoft Entra yönetim merkezinde oturum açma etkinliğine gidin.

2. Kimlik Doğrulama Ayrıntıları'nı seçin. Kimlik Doğrulama Yöntemi Ayrıntısı sütununda Aracı Kimliği ayrıntıları "Doğrudan Kimlik Doğrulaması; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXXXXXXXXX"

3. Yerel sunucunuzda yüklü olan aracının Aracı Kimliği ayrıntılarını almak için yerel sunucunuzda oturum açın ve aşağıdaki cmdlet'i çalıştırın:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Döndürülen GUID değeri, söz konusu sunucuya yüklenen kimlik doğrulama aracısının Aracı Kimliğidir. Ortamınızda birden çok aracı varsa, bu cmdlet'i her aracı sunucusunda çalıştırabilir ve Aracı Kimliği ayrıntılarını yakalayabilirsiniz.

4. Hangi aracının veya sunucunun oturum açma isteğini kabul ettiğini doğrulamak için yerel sunucudan ve Microsoft Entra oturum açma günlüklerinden edindiğiniz Aracı Kimliğini bağıntılayın.

Sonraki adımlar

• Geçerli sınırlamalar: Desteklenen senaryoları ve desteklenmeyenleri öğrenin.
• Hızlı başlangıç: Microsoft Entra geçiş kimlik doğrulamasıyla çalışmaya başlayın.
• Uygulamalarınızı Microsoft Entra Id'ye geçirme: Uygulama erişimini ve kimlik doğrulamasını Microsoft Entra Id'ye geçirmenize yardımcı olacak kaynaklar.
• Akıllı Kilitleme: Kullanıcı hesaplarını korumak için kiracınızda Akıllı Kilitleme özelliğini yapılandırmayı öğrenin.
• Teknik ayrıntılı bakış: Doğrudan Kimlik Doğrulama özelliğinin nasıl çalıştığını anlayın.
• Sorun giderme: Geçişli Kimlik Doğrulaması özelliğiyle ilgili yaygın sorunları çözmeyi öğrenin.
• Güvenlikle ilgili ayrıntılı bilgi: Geçişli Kimlik Doğrulaması özelliği hakkında ayrıntılı teknik bilgiler alın.
• Microsoft Entra karma katılımı: Bulut ve şirket içi kaynaklarınızda SSO için kiracınızda Microsoft Entra karma birleştirme özelliğini yapılandırın.
• Microsoft Entra sorunsuz SSO: Bu tamamlayıcı özellik hakkında daha fazla bilgi edinin.
• UserVoice: Yeni özellik istekleri göndermek için Microsoft Entra forumunu kullanın.