Kimlik bilgisi yönetimi ile dayanıklılık oluşturma
Belirteç isteğinde Microsoft Entra Id'ye bir kimlik bilgisi sunulduğunda, doğrulama için kullanılabilir olması gereken birden çok bağımlılık olabilir. İlk kimlik doğrulama faktörü, Microsoft Entra kimlik doğrulamasına ve bazı durumlarda şirket içi altyapı gibi dış (Kayıt Dışı Kimlik) bağımlılığına dayanır. Karma kimlik doğrulama mimarileri hakkında daha fazla bilgi için bkz . Karma altyapınızda dayanıklılık oluşturma.
En güvenli ve dayanıklı kimlik bilgisi stratejisi parolasız kimlik doğrulaması kullanmaktır. İş İçin Windows Hello ve Geçiş Anahtarı (FIDO 2.0) güvenlik anahtarları, diğer MFA yöntemlerine göre daha az bağımlılık içerir. macOS kullanıcıları için müşteriler macOS için Platform Kimlik Bilgilerini etkinleştirebilir. Bu yöntemleri uyguladığınızda kullanıcılar güçlü parolasız ve kimlik avına dayanıklı Multi-Factor authentication (MFA) gerçekleştirebilir.
Bahşiş
Bu kimlik doğrulama yöntemlerini dağıtma hakkında ayrıntılı bilgi için bkz . Microsoft Entra Id'de kimlik avına dayanıklı kimlik doğrulaması
İkinci bir faktör uygularsanız, ikinci faktörün bağımlılıkları birincinin bağımlılıklarına eklenir. Örneğin, ilk faktörünüzün Geçiş Kimlik Doğrulaması (PTA) aracılığıyla olması ve ikinci faktörünüzün SMS olması durumunda bağımlılıklarınız aşağıdaki gibidir.
- Microsoft Entra kimlik doğrulama hizmetleri
- Microsoft Entra çok faktörlü kimlik doğrulama hizmeti
- Şirket içi altyapı
- Telefon operatörü
- Kullanıcının cihazı (resimli değil)
Kimlik bilgisi stratejiniz, tek bir hata noktasını önleyen her kimlik doğrulama türünün ve sağlama yöntemlerinin bağımlılıklarını dikkate almalıdır.
Kimlik doğrulama yöntemlerinin farklı bağımlılıkları olduğundan, kullanıcıların mümkün olduğunca çok ikinci faktör seçeneğine kaydolmasını sağlamak iyi bir fikirdir. Mümkünse farklı bağımlılıklara sahip ikinci faktörleri eklemeyi unutmayın. Örneğin, ikinci faktörler olarak sesli arama ve SMS aynı bağımlılıkları paylaştığından, bunların tek seçenek olarak olması riski azaltmaz.
İkinci faktörler için Microsoft Authenticator uygulaması veya zaman tabanlı tek seferlik geçiş kodu (TOTP) veya OAuth donanım belirteçleri kullanan diğer kimlik doğrulayıcı uygulamaları en az bağımlılıklara sahiptir ve bu nedenle daha dayanıklıdır.
Dış (Non-Entra) Bağımlılıkları hakkında Ek Ayrıntı
Kimlik Doğrulama Yöntemi | Dış (Kapanamayan) Bağımlılık | Daha Fazla Bilgi |
---|---|---|
Sertifika Tabanlı Kimlik Doğrulaması (CBA) | Çoğu durumda (yapılandırmaya bağlı olarak) CBA bir iptal denetimi gerektirir. Bu, CRL dağıtım noktasına (CDP) bir dış bağımlılık ekler | Sertifika iptal işlemini anlama |
Geçiş Kimlik Doğrulaması (PTA) | PTA, parola kimlik doğrulamasını işlemek için şirket içi aracıları kullanır. | Microsoft Entra doğrudan kimlik doğrulaması nasıl çalışır? |
Federasyon | Federasyon sunucuları çevrimiçi olmalı ve kimlik doğrulama girişimini işlemek için kullanılabilir olmalıdır | Azure Traffic Manager ile Azure'da yüksek kullanılabilirlikli coğrafi AD FS dağıtımı |
Dış Kimlik Doğrulama Yöntemleri (EAM) | EAM, müşterilerin dış MFA sağlayıcılarını kullanmaları için bir yol sağlar. | Microsoft Entra Id'de dış kimlik doğrulama yöntemini yönetme (Önizleme) |
Birden çok kimlik bilgisi dayanıklılığı nasıl sağlar?
Birden çok kimlik bilgisi türü sağlamak, kullanıcılara tercihlerine ve ortam kısıtlamalarına uygun seçenekler sunar. Sonuç olarak, kullanıcılardan çok faktörlü kimlik doğrulaması istendiği etkileşimli kimlik doğrulaması, istek sırasında kullanılamayan belirli bağımlılıklara karşı daha dayanıklı olacaktır. Yeniden kimlik doğrulama istemlerini çok faktörlü kimlik doğrulaması için iyileştirebilirsiniz.
Kuruluşlar, yukarıda açıklanan bireysel kullanıcı dayanıklılığına ek olarak, şirket içi federasyon hizmetine (özellikle çok faktörlü kimlik doğrulaması için kullanıldığında) yanlış yapılandırma, doğal afet veya kuruluş genelinde kaynak kesintisi getiren işletimsel hatalar gibi büyük ölçekli kesintilere yönelik olasılıklar planlamalıdır.
Dayanıklı kimlik bilgileri Nasıl yaparım? uygulanır?
- Parolasız kimlik bilgilerini dağıtma. Bağımlılıkları azaltırken güvenliği artırmak için İş İçin Windows Hello, Geçiş Anahtarları (Authenticator Passkey Oturum Açma ve FIDO2 güvenlik anahtarları) ve sertifika tabanlı kimlik doğrulaması (CBA) gibi kimlik avına dayanıklı yöntemleri tercih edin.
- Microsoft Authenticator Uygulamasını ikinci bir faktör olarak dağıtın.
- Federasyon kimlik sağlayıcısına olan güveni kaldırmak için federasyondan bulut kimlik doğrulamasına geçiş.
- Windows Server Active Directory'den eşitlenen karma hesaplar için parola karması eşitlemesini açın. Bu seçenek Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi federasyon hizmetleriyle birlikte etkinleştirilebilir ve federasyon hizmetinin başarısız olması durumunda bir geri dönüş sağlar.
- Kullanıcı deneyimini geliştirmek için çok faktörlü kimlik doğrulama yöntemlerinin kullanımını analiz edin.
- Dayanıklı erişim denetimi stratejisi uygulama
Sonraki adımlar
Yöneticiler ve mimarlar için dayanıklılık kaynakları
- Cihaz durumlarıyla dayanıklılık oluşturma
- Sürekli Erişim Değerlendirmesi (CAE) kullanarak dayanıklılık oluşturma
- Dış kullanıcı kimlik doğrulamasında dayanıklılık oluşturma
- Karma kimlik doğrulamanızda dayanıklılık oluşturma
- Uygulama Ara Sunucusu ile uygulama erişiminde dayanıklılık oluşturma