Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kimlik doğrulama gücü, kaynağa erişim için kimlik doğrulama yöntemlerinin bileşimlerini belirten bir Microsoft Entra Koşullu Erişim denetimidir. Yönetici olarak, gereksinimlerinize tam olarak uyacak şekilde en fazla 15 özel kimlik doğrulaması gücü oluşturabilirsiniz.
Önkoşullar
- Koşullu Erişim'i kullanmak için kiracınızın Microsoft Entra ID P1 lisansına sahip olması gerekir. Bu lisansa sahip değilseniz ücretsiz deneme sürümü başlatabilirsiniz.
Özel kimlik doğrulama gücü oluşturma
Microsoft Entra yönetim merkezine en az bir Güvenlik Yöneticisi olarak giriş yapın.
Entra ID>Kimlik Doğrulama Yöntemleri>Kimlik Doğrulama Güçleri'ne göz atın.
Yeni kimlik doğrulama gücü'ne tıklayın.
Yeni kimlik doğrulama gücünüz için, Ad kısmına açıklayıcı bir ad sağlayın.
Açıklama için isteğe bağlı bir açıklama sağlayabilirsiniz.
Kimlik avına dayanıklı MFA, Parolasız MFA ve Geçici Erişim Geçişi altındakiler gibi izin vermek istediğiniz kullanılabilir yöntemleri seçin.
İleri'yi seçin ve ilke yapılandırmasını gözden geçirin.
Özel kimlik doğrulama güçlü yönlerini güncelleştirme ve silme
Özel kimlik doğrulama gücünü düzenleyebilirsiniz. Koşullu Erişim ilkesi bu kimlik doğrulama gücüne başvuruda bulunursa, bu ilkeyi silemezsiniz ve herhangi bir düzenlemeyi onaylamanız gerekir.
Koşullu Erişim ilkesinin kimlik doğrulama gücüne başvurup başvurmadiğini denetlemek için Koşullu Erişim ilkeleri sütununa gidin.
Geçiş anahtarları için gelişmiş seçenekleri yapılandırma (FIDO2)
Kimlik Doğrulayıcı Kanıt GUID'lerine (AAGUID) göre şifre anahtarları (FIDO2) kullanımını kısıtlayabilirsiniz. Bir kaynağa erişim için belirli bir üreticiden FIDO2 güvenlik anahtarı istemek için bu özelliği kullanabilirsiniz:
Özel kimlik doğrulama gücü oluşturduktan sonra Geçiş Anahtarları (FIDO2)>Gelişmiş seçenekler'i seçin.
AAGUID Ekle'nin yanında artı işaretini ()+ seçin, AAGUID değerini kopyalayın ve kaydet'i seçin.
Sertifika tabanlı kimlik doğrulaması için gelişmiş seçenekleri yapılandırma
Kimlik doğrulama bağlama ilkesinde, sertifika verene veya ilke nesnesi tanımlayıcısına (OID) göre, sertifikaların sistemde tek faktörlü veya çok faktörlü kimlik doğrulama koruma düzeylerine bağlı olup olmadığını yapılandırabilirsiniz. Koşullu Erişim kimlik doğrulama gücü ilkesine dayalı olarak belirli kaynaklar için tek faktörlü veya çok faktörlü kimlik doğrulama sertifikaları da gerektirebilirsiniz.
Kimlik doğrulama gücü için gelişmiş seçenekleri kullanarak, bir uygulamayla oturum açma işlemlerini daha fazla kısıtlamak için belirli bir sertifika verene veya ilke OID'sine ihtiyacınız olabilir.
Örneğin Contoso adlı bir kuruluşun üç farklı türde çok faktörlü sertifikaya sahip çalışanlara akıllı kartlar verdiği varsayılır. Bir sertifika gizli izin için, diğeri gizli izin için, üçüncüsü ise çok gizli izin için. Her biri sertifikanın veren veya ilke OID'i gibi özellikleriyle ayırt edilir. Contoso, yalnızca uygun çok faktörlü sertifikaya sahip kullanıcıların her sınıflandırma için verilere erişebildiğinden emin olmak istiyor.
Sonraki bölümlerde, Microsoft Entra yönetim merkezini ve Microsoft Graph'ı kullanarak sertifika tabanlı kimlik doğrulaması (CBA) için gelişmiş seçenekleri yapılandırma gösterilmektedir.
Microsoft Entra yönetim merkezi
Microsoft Entra yönetim merkezinde yönetici olarak oturum açın.
Entra ID>Kimlik Doğrulama Yöntemleri>Kimlik Doğrulama Güçleri'ne göz atın.
Yeni kimlik doğrulama gücü'ne tıklayın.
Ad için, yeni kimlik doğrulama güçlüğüze açıklayıcı bir isim belirleyin.
Açıklama için isteğe bağlı bir açıklama sağlayabilirsiniz.
Sertifika tabanlı kimlik doğrulaması (tek faktörlü veya çok faktörlü) seçeneğinin altında Gelişmiş seçenekler'i seçin.
Sertifika verenleri seçin veya girin ve izin verilen ilke OID'lerini girin.
Sertifika sağlayıcılarını, kiracınızdaki sertifika yetkilileri arasından sertifika sağlayıcıları açılan listesinden seçerek yapılandırabilirsiniz. Açılan liste, kiracıdaki tek faktörlü veya çok faktörlü tüm sertifika yetkililerini gösterir.
Kullanmak istediğiniz sertifikanın kiracınızdaki sertifika yetkililerine yüklenmediği senaryolar için, Sertifika verenleri Diğer Sertifika Verenler by SubjectkeyIdentifier kutusuna girebilirsiniz. Böyle bir örnek, kullanıcının ev sahibi kiracıda kimlik doğrulaması yaptığı ve kimlik doğrulama gücünün kaynak kiracıda dayatıldığı dış kullanıcı senaryolarıdır.
Bu koşullar geçerlidir:
- Her iki özniteliği de yapılandırıyorsanız (sertifika verenler ve ilke OID'leri), kullanıcının kimlik doğrulama gücünü karşılamak için en az bir verene ve listeden ilke OID'lerinden birine sahip bir sertifika kullanması gerekir.
- Yalnızca sertifika verenler özniteliğini yapılandırdıysanız, kullanıcının kimlik doğrulama gücünü karşılamak için verenlerden en az birine sahip bir sertifika kullanması gerekir.
- Yalnızca ilke OIDs özniteliğini yapılandırıyorsanız, kullanıcının kimlik doğrulama gücünü karşılamak için ilke OID'lerinden en az birine sahip bir sertifika kullanması gerekir.
Not
Kimlik doğrulama gücü için en fazla beş sertifika sağlayıcı ve beş OID yapılandırabilirsiniz.
Yapılandırmayı gözden geçirmek için İleri'yi ve ardından Oluştur'u seçin.
Microsoft Grafiği
Bir sertifika için kullanarak combinationConfigurations yeni bir Koşullu Erişim kimlik doğrulama gücü ilkesi oluşturmak için şu kodu kullanın:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Mevcut ilkeye yeni combinationConfiguration bilgiler eklemek için şu kodu kullanın:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Sınırlamaları anlama
Geçiş tuşları için gelişmiş seçenekler (FIDO2)
Farklı Microsoft bulutlarında ev kiracısı ve kaynak kiracı bulunan dış kullanıcılar için, geçiş anahtarları (FIDO2) konusunda gelişmiş seçeneklere destek verilmez.
Sertifika tabanlı kimlik doğrulaması için gelişmiş seçenekler
Bir kullanıcı her tarayıcı oturumunda yalnızca bir sertifika kullanabilir. Kullanıcı bir sertifikayla oturum açtığında, oturum süresi boyunca tarayıcıda önbelleğe alınır. Kimlik doğrulama gücü gereksinimlerini karşılamayan kullanıcıdan başka bir sertifika seçmesi istenmez. Oturumu yeniden başlatmak için kullanıcının oturumu kapatıp yeniden oturum açması ve ardından ilgili sertifikayı seçmesi gerekir.
Sertifika yetkilileri ve kullanıcı sertifikaları X.509 v3 standardına uygun olmalıdır. Özel olarak, veren konu anahtarı tanımlayıcıları (SKI' ler) için CBA kısıtlamalarını zorunlu kılmak için sertifikaların geçerli yetkili anahtar tanımlayıcılarına (AKI) ihtiyacı vardır.
Not
Sertifika uygun değilse, kullanıcı kimlik doğrulaması başarılı olabilir ancak kimlik doğrulama gücü politikası için sertifika verenin SKI kısıtlamalarını karşılamayabilir.
Oturum açma sırasında Microsoft Entra ID, kullanıcı sertifikasındaki ilk beş ilke OID'sini dikkate alır ve bunları kimlik doğrulama gücü ilkesinde yapılandırılan ilke OID'leriyle karşılaştırır. Kullanıcı sertifikasında beşten fazla ilke OID'si varsa, Microsoft Entra ID, kimlik doğrulama gücü gereksinimlerini karşılayan ve sözcüksel sıralamada yer alan ilk beş ilke OID'sini dikkate alır.
İşletmeler arası kullanıcılar için Contoso'nun başka bir kuruluştan (Fabrikam) kullanıcıları kiracısına davet ettiği bir örnek alalım. Bu durumda Contoso kaynak kiracısı, Fabrikam ise ev kiracısı olur. Erişim, kiracılar arası erişim ayarına bağlıdır:
- Kiracılar arası erişim ayarı Kapalı olduğunda Contoso, ev kiracısının gerçekleştirdiği MFA'yı kabul etmez. Kaynak kiracıda sertifika tabanlı kimlik doğrulaması desteklenmez.
- Kiracılar arası erişim ayarı Açık olduğunda, Fabrikam ve Contoso kiracıları aynı Microsoft bulutundadır (Azure ticari bulut platformu veya ABD Kamu için Azure bulut platformu). Ayrıca Contoso, ev kiracısında gerçekleştirilen MFA'ya güvenir. Bu durumda:
- Yönetici, özel kimlik doğrulama gücü ilkesindeki OID'ler ilkesini veya SubjectkeyIdentifier'a Göre Diğer Sertifika Verenler ayarını kullanarak belirli bir kaynağa erişimi kısıtlayabilir.
- Yönetici, özel kimlik doğrulama gücü ilkesindeki SubjectkeyIdentifier'a Göre Diğer Sertifika Verenler ayarını kullanarak belirli kaynaklara erişimi kısıtlayabilir.
- Kiracılar arası erişim ayarı Açık olduğunda, Fabrikam ve Contoso aynı Microsoft bulutu üzerinde değildir. Örneğin, Fabrikam'ın kiracısı Azure ticari bulut platformunda, Contoso'nun kiracısı ise ABD Kamu için Azure bulut platformundadır. Yönetici, özel kimlik doğrulama gücü ilkesindeki veren kimliğini veya ilke OID'lerini kullanarak belirli kaynaklara erişimi kısıtlayamaz.
Kimlik doğrulaması güçlü yönleri için gelişmiş seçeneklerle ilgili sorunları giderme
Kullanıcılar oturum açmak için geçiş anahtarını (FIDO2) kullanamıyor
Koşullu Erişim yöneticisi erişimi belirli güvenlik anahtarlarıyla kısıtlayabilir. Kullanıcı kullanamadıkları bir anahtarla oturum açmaya çalıştığında "Buradan oraya ulaşamazsınız" iletisi görüntülenir. Kullanıcının oturumu yeniden başlatması ve farklı bir geçiş anahtarıyla (FIDO2) oturum açması gerekir.
Sertifika vereni veya ilke OID'sini denetlemeniz gerekiyor.
Kimlik doğrulaması güçlü yönleri için gelişmiş seçeneklerde kişisel sertifika özelliklerinin yapılandırmayla eşleştiklerini onaylayabilirsiniz:
Kullanıcının cihazında yönetici olarak oturum açın.
Çalıştır'ı seçin, certmgr.msc yazın ve enter tuşunu seçin.
Kişisel>Sertifikalar'ı seçin, sertifikaya sağ tıklayın ve ayrıntılar sekmesine gidin.
