Kimlik bilgisi yönetimi ile dayanıklılık oluşturma
Belirteç isteğinde Microsoft Entra Id'ye bir kimlik bilgisi sunulduğunda, doğrulama için kullanılabilir olması gereken birden çok bağımlılık vardır. İlk kimlik doğrulama faktörü, Microsoft Entra kimlik doğrulamasına ve bazı durumlarda şirket içi altyapıya dayanır. Karma kimlik doğrulama mimarileri hakkında daha fazla bilgi için bkz . Karma altyapınızda dayanıklılık oluşturma.
İkinci bir faktör uygularsanız, ikinci faktörün bağımlılıkları birincinin bağımlılıklarına eklenir. Örneğin, ilk faktörünüzün PTA, ikinci faktörünüzün ise SMS olması durumunda bağımlılıklarınız aşağıdaki gibidir.
- Microsoft Entra kimlik doğrulama hizmetleri
- Microsoft Entra çok faktörlü kimlik doğrulama hizmeti
- Şirket içi altyapı
- Telefon taşıyıcı
- Kullanıcının cihazı (resimli değil)
Kimlik bilgisi stratejiniz, tek bir hata noktasını önleyen her kimlik doğrulama türünün ve sağlama yöntemlerinin bağımlılıklarını dikkate almalıdır.
Kimlik doğrulama yöntemlerinin farklı bağımlılıkları olduğundan, kullanıcıların mümkün olduğunca çok ikinci faktör seçeneğine kaydolmasını sağlamak iyi bir fikirdir. Mümkünse farklı bağımlılıklara sahip ikinci faktörleri eklemeyi unutmayın. Örneğin, ikinci faktörler olarak sesli arama ve SMS aynı bağımlılıkları paylaştığından, bunların tek seçenek olarak olması riski azaltmaz.
En dayanıklı kimlik bilgisi stratejisi parolasız kimlik doğrulaması kullanmaktır. İş İçin Windows Hello ve FIDO 2.0 güvenlik anahtarları, iki ayrı faktöre sahip güçlü kimlik doğrulamasından daha az bağımlılık içerir. Microsoft Authenticator uygulaması, İş İçin Windows Hello ve FIDO 2.0 güvenlik anahtarları en güvenlidir.
İkinci faktörler için Microsoft Authenticator uygulaması veya zaman tabanlı tek seferlik geçiş kodu (TOTP) veya OAuth donanım belirteçleri kullanan diğer kimlik doğrulayıcı uygulamaları en az bağımlılıklara sahiptir ve bu nedenle daha dayanıklıdır.
Birden çok kimlik bilgisi dayanıklılığı nasıl sağlar?
Birden çok kimlik bilgisi türü sağlamak, kullanıcılara tercihlerine ve ortam kısıtlamalarına uygun seçenekler sunar. Sonuç olarak, kullanıcılardan çok faktörlü kimlik doğrulaması istendiği etkileşimli kimlik doğrulaması, istek sırasında kullanılamayan belirli bağımlılıklara karşı daha dayanıklı olacaktır. Yeniden kimlik doğrulama istemlerini çok faktörlü kimlik doğrulaması için iyileştirebilirsiniz.
Kuruluşlar, yukarıda açıklanan bireysel kullanıcı dayanıklılığına ek olarak, şirket içi federasyon hizmetine (özellikle çok faktörlü kimlik doğrulaması için kullanıldığında) yanlış yapılandırma, doğal afet veya kuruluş genelinde kaynak kesintisi getiren işletimsel hatalar gibi büyük ölçekli kesintilere yönelik olasılıklar planlamalıdır.
Dayanıklı kimlik bilgileri Nasıl yaparım? uygulanır?
- Bağımlılıkları azaltmak için İş İçin Windows Hello, Telefon Kimlik Doğrulaması ve FIDO2 güvenlik anahtarları gibi Parolasız kimlik bilgilerini dağıtın.
- Microsoft Authenticator Uygulamasını ikinci bir faktör olarak dağıtın.
- Windows Server Active Directory'den eşitlenen karma hesaplar için parola karması eşitlemesini açın. Bu seçenek Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi federasyon hizmetleriyle birlikte etkinleştirilebilir ve federasyon hizmetinin başarısız olması durumunda bir geri dönüş sağlar.
- Kullanıcı deneyimini geliştirmek için çok faktörlü kimlik doğrulama yöntemlerinin kullanımını analiz edin.
- Dayanıklı erişim denetimi stratejisi uygulama
Sonraki adımlar
Yöneticiler ve mimarlar için dayanıklılık kaynakları
- Cihaz durumlarıyla dayanıklılık oluşturma
- Sürekli Erişim Değerlendirmesi (CAE) kullanarak dayanıklılık oluşturma
- Dış kullanıcı kimlik doğrulamasında dayanıklılık oluşturma
- Karma kimlik doğrulamanızda dayanıklılık oluşturma
- Uygulama Ara Sunucusu ile uygulama erişiminde dayanıklılık oluşturma