Microsoft Entra Id için kimlik doğrulama yöntemlerini yönetme
Microsoft Entra Id, çok çeşitli oturum açma senaryolarını desteklemek için bir dizi kimlik doğrulama yönteminin kullanılmasına olanak tanır. Yönetici istrator'lar, kullanıcı deneyimi ve güvenlik hedeflerine ulaşmak için her yöntemi özel olarak yapılandırabilir. Bu konuda, Microsoft Entra ID için kimlik doğrulama yöntemlerinin nasıl yönetileceğini ve yapılandırma seçeneklerinin kullanıcı oturum açma ve parola sıfırlama senaryolarını nasıl etkilediği açıklanmaktadır.
Kimlik doğrulama yöntemleri ilkesi
Kimlik doğrulama yöntemleri ilkesi, parolasız kimlik doğrulaması gibi modern yöntemler de dahil olmak üzere kimlik doğrulama yöntemlerini yönetmenin önerilen yoludur. Kimlik Doğrulama İlkesi Yönetici istrator'lar, tüm kullanıcılar veya belirli gruplar için kimlik doğrulama yöntemlerini etkinleştirmek üzere bu ilkeyi düzenleyebilir.
Kimlik doğrulama yöntemleri ilkesinde etkinleştirilen yöntemler, hem kimlik doğrulaması hem de parola sıfırlama senaryoları için genellikle Microsoft Entra Id'de herhangi bir yerde kullanılabilir. Bunun istisnası, FIDO2 ve İş İçin Windows Hello gibi bazı yöntemlerin kimlik doğrulamasında kullanımı doğal olarak sınırlı olması ve bazılarının güvenlik soruları gibi parola sıfırlamada kullanımla sınırlı olmasıdır. Belirli bir kimlik doğrulama senaryosunda hangi yöntemlerin kullanılabilir olduğu üzerinde daha fazla denetim için Kimlik Doğrulama Güçlü Yanları özelliğini kullanmayı göz önünde bulundurun.
Çoğu yöntem, bu yöntemin nasıl kullanılabileceğini daha hassas bir şekilde denetlemek için yapılandırma parametrelerine de sahiptir. Örneğin, Sesli aramaları etkinleştirirseniz, cep telefonuna ek olarak bir ofis telefonunun kullanılıp kullanılamayacağını da belirtebilirsiniz.
Alternatif olarak, Microsoft Authenticator ile parolasız kimlik doğrulamasını etkinleştirmek istediğinizi varsayalım. Kullanıcı oturum açma konumunu veya oturum açılan uygulamanın adını gösterme gibi ek parametreler ayarlayabilirsiniz. Bu seçenekler, kullanıcılar oturum açtıklarında daha fazla bağlam sağlar ve yanlışlıkla MFA onaylarını önlemeye yardımcı olur.
Kimlik Doğrulama yöntemleri ilkesini yönetmek için, Microsoft Entra yönetim merkezinde en az kimlik doğrulama ilkesi Yönetici istrator olarak oturum açın ve Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.
Kimlik doğrulama yöntemleri ilkesini yalnızca yakınsanmış kayıt deneyimi algılar. Kimlik doğrulama yöntemleri ilkesi kapsamındaki kullanıcılar ancak yakınsanmış kayıt deneyiminde kayıt için doğru yöntemler gösterilmez.
Eski MFA ve SSPR ilkeleri
Çok faktörlü kimlik doğrulama ayarları ve Parola sıfırlama ayarlarında bulunan diğer iki ilke, kiracıdaki tüm kullanıcılar için bazı kimlik doğrulama yöntemlerini yönetmek için eski bir yol sağlar. Etkin bir kimlik doğrulama yöntemini kullanan kişileri veya yöntemin nasıl kullanılabileceğini denetleyemezsiniz. Bu ilkeleri yönetmek için Bir Genel Yönetici istrator gereklidir.
Önemli
Mart 2023'te, eski çok faktörlü kimlik doğrulaması ve self servis parola sıfırlama (SSPR) ilkelerinde kimlik doğrulama yöntemlerinin yönetilmesinin kullanımdan kaldırılıp kaldırılamını duyurduk. 30 Eylül 2025'te kimlik doğrulama yöntemleri bu eski MFA ve SSPR ilkelerinde yönetilemiyor. Müşterilerin kullanımdan kaldırma tarihine kadar Kimlik doğrulama yöntemleri ilkesine geçiş yapmak için el ile geçiş denetimini kullanmalarını öneririz.
Eski MFA ilkesini yönetmek için Güvenlik>Çok Faktörlü kimlik doğrulaması>Ek bulut tabanlı çok faktörlü kimlik doğrulama ayarları'nı seçin.
Self servis parola sıfırlama (SSPR) için kimlik doğrulama yöntemlerini yönetmek için Parola sıfırlama>Kimlik doğrulama yöntemleri'ne tıklayın. Bu ilkedeki Cep telefonu seçeneği, sesli aramaların veya kısa mesajların cep telefonuna gönderilmesine izin verir. Office telefonu seçeneği yalnızca sesli aramalara izin verir.
İlkeler birlikte nasıl çalışır?
Ayarlar, yöneticilere her ilkeyi bağımsız olarak yönetme olanağı tanıyan ilkeler arasında eşitlenmez. Microsoft Entra Id, tüm ilkelerdeki ayarları dikkate alır, böylece herhangi bir ilkede bir kimlik doğrulama yöntemi için etkinleştirilen bir kullanıcı bu yöntemi kaydedebilir ve kullanabilir. Kullanıcıların bir yöntem kullanmasını önlemek için, tüm ilkelerde devre dışı bırakılmalıdır.
Şimdi Muhasebe grubuna ait bir kullanıcının Microsoft Authenticator'ı kaydetmek istediği bir örneği inceleyelim. Kayıt işlemi önce Kimlik doğrulama yöntemleri ilkesini denetler. Microsoft Authenticator için Muhasebe grubu etkinleştirildiyse, kullanıcı bunu kaydedebilir.
Aksi takdirde kayıt işlemi eski MFA ilkesini denetler. Bu ilkede, bu ayarlardan biri MFA için etkinleştirildiyse, tüm kullanıcılar Microsoft Authenticator'ı kaydedebilir:
- Mobil uygulama aracılığıyla bildirim
- Mobil uygulamadan veya donanım belirtecinden doğrulama kodu
Kullanıcı bu ilkelerden herhangi birini temel alarak Microsoft Authenticator'ı kaydedemezse kayıt işlemi eski SSPR ilkesini denetler. Bu ilkede, kullanıcı SSPR için etkinleştirildiyse ve bu ayarlardan herhangi biri etkinleştirildiyse, kullanıcı Microsoft Authenticator'ı kaydedebilir:
- Mobil uygulama bildirimi
- Mobil uygulama kodu
SSPR için Cep telefonu için etkinleştirilen kullanıcılar için, ilkeler arasındaki bağımsız denetim oturum açma davranışını etkileyebilir. Diğer ilkelerin kısa mesaj ve sesli aramalar için ayrı seçenekleri olduğu durumlarda, SSPR için Cep telefonu her iki seçeneği de etkinleştirir. Sonuç olarak, SSPR için Cep telefonu kullanan herkes, diğer ilkeler sesli aramalara izin vermese bile parola sıfırlama için sesli aramaları da kullanabilir.
Benzer şekilde, bir grup için Sesli çağrıları etkinleştirdiğinizden de söz edelim. Etkinleştirdikten sonra, grup üyesi olmayan kullanıcıların bile sesli aramayla oturum açabileceğini fark edersiniz. Bu durumda, bu kullanıcıların eski SSPR ilkesinde Cep telefonu veya eski MFA ilkesindeki Telefona arama için etkinleştirilmesi olasıdır.
İlkeler arasında geçiş
Kimlik doğrulama yöntemleri ilkesi, tüm kimlik doğrulama yöntemlerinin birleşik yönetimine yönelik bir geçiş yolu sağlar. İstenen tüm yöntemler, her Kimlik Doğrulama Yöntemi ilkesi için gerekli kullanıcı gruplarının tanımlandığı varsayılarak Kimlik Doğrulama yöntemleri ilkesinde etkinleştirilebilir (Tüm Kullanıcılar için geçerli olmadığı sürece). Bu kullanıcı yönetim etkinliğini gruplandırdıktan sonra, eski MFA ve SSPR ilkelerindeki yöntemler devre dışı bırakılabilir. Geçiş, kendi hızınızda hareket etmenizi ve geçiş sırasında oturum açma veya SSPR ile ilgili sorunları önlemenizi sağlamak için üç ayara sahiptir. Geçiş tamamlandıktan sonra, hem oturum açma hem de SSPR için kimlik doğrulama yöntemleri üzerindeki denetimi tek bir yerde merkezileştireceksiniz ve eski MFA ve SSPR ilkeleri devre dışı bırakılacaktır.
Not
Güvenlik soruları bugün yalnızca eski SSPR ilkesi kullanılarak etkinleştirilebilir. Gelecekte, Kimlik Doğrulama yöntemleri ilkesinde kullanıma sunulacaktır. Güvenlik soruları kullanıyorsanız ve bunları devre dışı bırakmak istemiyorsanız, gelecekte yeni denetim sağlanana kadar bunları eski SSPR ilkesinde etkin tuttuğunuzdan emin olun. Kimlik doğrulama yöntemlerinizin geri kalanını geçirip eski SSPR ilkesindeki güvenlik sorularını yönetmeye devam edebilirsiniz.
Geçiş seçeneklerini görüntülemek için Kimlik doğrulama yöntemleri ilkesini açın ve Geçişi yönet'e tıklayın.
Aşağıdaki tabloda her bir seçenek açıklanmaktadır.
| Seçenek | Açıklama |
|---|---|
| Geçiş öncesi | Kimlik doğrulama yöntemleri ilkesi yalnızca kimlik doğrulaması için kullanılır. Eski ilke ayarlarına uyuldu. |
| Geçiş Devam Ediyor | Kimlik doğrulama yöntemleri ilkesi, kimlik doğrulaması ve SSPR için kullanılır. Eski ilke ayarlarına uyuldu. |
| Geçiş Tamamlandı | Kimlik doğrulaması ve SSPR için yalnızca Kimlik doğrulama yöntemleri ilkesi kullanılır. Eski ilke ayarları yoksayılır. |
Kiracılar, kiracılarının geçerli durumuna bağlı olarak varsayılan olarak Geçiş Öncesi veya Geçiş Sürüyor olarak ayarlanır. Geçiş öncesi ile başlarsanız, istediğiniz zaman herhangi bir eyalete geçebilirsiniz. Geçiş Devam Ediyor'a başladıysanız, geçiş devam ediyor ile Microsoft Complete arasında istediğiniz zaman geçiş yapabilirsiniz, ancak Geçiş öncesi geçişe geçmenize izin verilmez. Geçiş Tamamlandı'ya geçer ve daha sonra önceki bir duruma geri almayı seçerseniz, ürünün performansını değerlendirebilmemiz için neden olduğunu sorarız.
Not
Tüm kimlik doğrulama yöntemleri tam olarak geçirildikten sonra, eski SSPR ilkesinin aşağıdaki öğeleri etkin kalır:
- Denetimi sıfırlamak için gereken yöntem sayısı: Yöneticiler, bir kullanıcının SSPR'yi gerçekleştirebilmesi için kaç kimlik doğrulama yönteminin doğrulanması gerektiğini değiştirmeye devam edebilir.
- SSPR yönetici ilkesi: yöneticiler, eski SSPR yönetici ilkesi altında listelenen yöntemleri veya Kimlik doğrulama yöntemleri ilkesinde kullanmak üzere etkinleştirdikleri yöntemleri kaydetmeye ve kullanmaya devam edebilir.
Gelecekte bu özelliklerin her ikisi de Kimlik Doğrulama yöntemleri ilkesiyle tümleştirilecektir.
Bilinen sorunlar ve sınırlamalar
- Son güncelleştirmelerde tek tek kullanıcıları hedefleme özelliğini kaldırdık. Daha önce hedeflenen kullanıcılar ilkede kalır, ancak bunları hedeflenen bir gruba taşımanızı öneririz.
- FIDO2 Kimlik Doğrulama yöntemi ilkesi bir grup için hedefleniyorsa ve genel Kimlik Doğrulama yöntemleri ilkesi 20'den fazla grup yapılandırılmışsa, bazı kullanıcılar için FIDO2 güvenlik anahtarlarının kaydı başarısız olabilir. İlke boyutu sınırını artırmaya çalışıyoruz ve ortalama süre içinde grup hedefi sayısını en fazla 20 ile sınırlamanızı öneririz.