Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Kimlik doğrulama gücü, kullanıcıların bir kaynağa erişmek için hangi kimlik doğrulama yöntemlerini kullanabileceğini belirten bir Microsoft Entra Koşullu Erişim denetimidir. Kullanıcılar, izin verilen birleşimlerden herhangi biriyle kimlik doğrulaması yaparak güç gereksinimlerini karşılayabilir.
Örneğin, kimlik doğrulama gücü kullanıcıların hassas bir kaynağa erişmek için yalnızca kimlik avına dayanıklı kimlik doğrulama yöntemlerini kullanmasını gerektirebilir. Duyarsız bir kaynağa erişmek için, yöneticiler parola ve kısa mesaj gibi daha az güvenli çok faktörlü kimlik doğrulaması (MFA) birleşimlerine izin veren başka bir kimlik doğrulama gücü oluşturabilir.
Kimlik doğrulama gücü, kimlik doğrulama yöntemlerine yönelik ilkeyi temel alır. Diğer bir ifadeyle, yöneticiler Microsoft Entra Id federasyon uygulamalarında kullanılacak belirli kullanıcılar ve gruplar için kimlik doğrulama yöntemlerini kapsamlandırabilir. Kimlik doğrulama gücü, hassas kaynak erişimi, kullanıcı riski ve konum gibi belirli senaryolara göre bu yöntemlerin kullanımı üzerinde daha fazla denetime olanak tanır.
Önkoşullar
- Koşullu Erişim'i kullanmak için kiracınızın Microsoft Entra ID P1 lisansına sahip olması gerekir. Bu lisansa sahip değilseniz ücretsiz deneme sürümü başlatabilirsiniz.
Kimlik doğrulaması güçlü yönlerine yönelik senaryolar
Kimlik doğrulama güçlü yönleri, müşterilerin şu senaryoları ele almasına yardımcı olabilir:
- Hassas bir kaynağa erişmek için belirli kimlik doğrulama yöntemleri gerektirme.
- Kullanıcı uygulama içinde hassas bir eylem gerçekleştirdiğinde (Koşullu Erişim kimlik doğrulaması bağlamıyla birlikte) belirli bir kimlik doğrulama yöntemi gerektirme.
- Kullanıcıların şirket ağı dışındaki hassas uygulamalara erişirken belirli bir kimlik doğrulama yöntemi kullanmasını zorunlu kılar.
- Yüksek riskli kullanıcılar için daha güvenli kimlik doğrulama yöntemleri gerektirme.
- Bir kaynak kiracıya erişen konuk kullanıcılardan belirli kimlik doğrulama yöntemleri iste (kiracılar arası ayarlarla birlikte).
Yerleşik ve özel kimlik doğrulama güçlü yönleri
Yöneticiler, Kimlik doğrulaması gücü gerektir kontrolü ile bir Koşullu Erişim ilkesi oluşturarak kaynaklara erişim için bir kimlik doğrulama gücü belirtebilir. Üç yerleşik kimlik doğrulama gücü arasından seçim yapabilir: Çok faktörlü kimlik doğrulaması gücü, Parolasız MFA gücü ve Kimlik avına dayanıklı MFA gücü. Ayrıca, izin vermek istedikleri kimlik doğrulama yöntemi birleşimlerini temel alan özel bir kimlik doğrulama gücü de oluşturabilirler.
Yerleşik kimlik doğrulama gücü
Yerleşik kimlik doğrulama güçlü yanları, Microsoft'un önceden tanımladığını kimlik doğrulama yöntemlerinin birleşimleridir. Yerleşik kimlik doğrulama güçlü yönleri her zaman kullanılabilir ve değiştirilemez. Microsoft, yeni yöntemler kullanılabilir olduğunda yerleşik kimlik doğrulama güçlü yönlerini güncelleştirir.
Örneğin, yerleşik kimlik avına dayanıklı çok faktörlü kimlik doğrulama gücü aşağıdaki kombinasyonlara izin verir:
- İş için Windows Hello veya platform kimlik bilgileri
- FIDO2 güvenlik anahtarı
- Microsoft Entra sertifika tabanlı kimlik doğrulaması (çok faktörlü)
Aşağıdaki tabloda, her yerleşik kimlik doğrulama gücü için kimlik doğrulama yöntemlerinin birleşimleri listelenir. Bu birleşimler, kullanıcıların kaydetmesi gereken ve yöneticilerin kimlik doğrulama yöntemleri için ilkede veya eski MFA ayarlarına yönelik ilkede etkinleştirmesi gereken yöntemleri içerir:
- MFA gücü: Çok faktörlü kimlik doğrulaması gerektir ayarını karşılamak için kullanılabilecek aynı birleşim kümesi.
- Parolasız MFA gücü: MFA'ya uyan ancak parola gerektirmeyen kimlik doğrulama yöntemlerini içerir.
- Kimlik avına dayanıklı MFA gücü: Kimlik doğrulama yöntemiyle giriş ekranı arasında etkileşim gerektiren yöntemleri içerir.
| Kimlik doğrulama yöntemi bileşimi | MFA gücü | Parolasız MFA gücü | Kimlik avına dayanıklı MFA güvenliği |
|---|---|---|---|
| FIDO2 güvenlik anahtarı | ✅ | ✅ | ✅ |
| İş için Windows Hello veya platform kimlik bilgileri | ✅ | ✅ | ✅ |
| Sertifika tabanlı kimlik doğrulaması (çok faktörlü) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (telefonda oturum açma) | ✅ | ✅ | |
| Geçici Erişim Geçişi (tek seferlik kullanım ve birden çok kullanım) | ✅ | ||
| Parola ve kullanıcınınsahip olduğu bir şey 1 | ✅ | ||
| Tek faktörlü kimlik doğrulama artı kullanıcının sahip olduğu bir şey1 | ✅ | ||
| Federe çok faktörlü | ✅ | ||
| Sertifika tabanlı kimlik doğrulaması (tek faktörlü) | |||
| SMS ile oturum açma | |||
| Parola | |||
| Tek faktörlü federasyon |
1 Kullanıcının sahip olduğu bir şey şu yöntemlerden biri olabilir: kısa mesaj, ses, anlık bildirim, yazılım OATH belirteci veya donanım OATH belirteci.
Tüm yerleşik kimlik doğrulama güçlü yanlarının tanımlarını listelemek için aşağıdaki API çağrısını kullanabilirsiniz:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Özel kimlik doğrulama güçlü yönleri
Koşullu Erişim yöneticileri, erişim gereksinimlerine tam olarak uyacak özel kimlik doğrulama güçlü yanları da oluşturabilir. Daha fazla bilgi için bkz. Özel Koşullu Erişim kimlik doğrulaması güçlü yanlarını oluşturma ve yönetme.
Sınırlamalar
Kimlik doğrulama gücünün kimlik doğrulaması üzerindeki etkisi: Koşullu Erişim ilkeleri yalnızca ilk kimlik doğrulamasından sonra değerlendirilir. Sonuç olarak, kimlik doğrulama gücü kullanıcının ilk kimlik doğrulamasını kısıtlamaz.
Yerleşik Kimlik Avına dayanıklı MFA gücü kimlik doğrulama gücünü kullandığınızı varsayalım. Kullanıcı yine de parola girebilir, ancak devam etmeden önce FIDO2 güvenlik anahtarı gibi kimlik avına dayanıklı bir yöntem kullanarak oturum açması gerekir.
Verme denetimlerinin desteklenmeyen birleşimi: Aynı Koşullu Erişim ilkesinde Çok faktörlü kimlik doğrulaması gerektir ve Kimlik doğrulaması gücü gerektir izin denetimlerini birlikte kullanamazsınız. Bunun nedeni, yerleşik Çok faktörlü kimlik doğrulaması gücünün Çok faktörlü kimlik doğrulaması gerektir izni denetimine eşdeğer olmasıdır.
Desteklenmeyen kimlik doğrulama yöntemi: E-posta tek seferlik geçiş (Konuk) kimlik doğrulama yöntemi şu anda kullanılabilir birleşimlerde desteklenmemektedir.
İş İçin Windows Hello: Kullanıcı birincil kimlik doğrulama yöntemi olarak İş İçin Windows Hello ile oturum açarsa, İş İçin Windows Hello'yu içeren bir kimlik doğrulama gücü gereksinimini karşılamak için kullanılabilir. Ancak kullanıcı birincil kimlik doğrulama yöntemi olarak başka bir yöntemle (parola gibi) oturum açarsa ve kimlik doğrulama gücü için İş İçin Windows Hello gerekiyorsa, kullanıcıdan İş İçin Windows Hello ile oturum açması istenmez. Kullanıcının oturumu yeniden başlatması, Oturum açma seçenekleri'ni ve kimlik doğrulama gücünün gerektirdiği bir yöntemi seçmesi gerekir.
Bilinen sorunlar
Kimlik doğrulama gücü ve oturum açma sıklığı: Bir kaynak için kimlik doğrulama gücü ve oturum açma sıklığı gerektiğinde, kullanıcılar iki farklı zamanda her iki gereksinimi de karşılayabilir.
Örneğin, bir kaynağın kimlik doğrulama gücü için bir geçiş anahtarı (FIDO2) ve 1 saatlik oturum açma sıklığı gerektirdiğini düşünelim. 24 saat önce kaynağa erişmek için geçiş anahtarıyla (FIDO2) oturum açan bir kullanıcı.
Kullanıcı İş İçin Windows Hello'yu kullanarak Windows cihazının kilidini açtıktan sonra kaynağa yeniden erişebilir. Dünkü oturum açma, kimlik doğrulama gücü gereksinimini karşılar ve bugünün cihaz kilidi açma, oturum açma sıklığı gereksinimini karşılar.
SSS
Kimlik doğrulama yöntemleri için kimlik doğrulama gücü mü yoksa ilke mi kullanmalıyım?
Kimlik doğrulama gücü, Kimlik doğrulama yöntemleri ilkesini temel alır. Kimlik doğrulama yöntemleri ilkesi, kullanıcıların ve grupların Microsoft Entra Id genelinde kullanabileceği kimlik doğrulama yöntemlerinin kapsamının ve yapılandırılmasının kullanılmasına yardımcı olur. Kimlik doğrulama gücü, hassas kaynak erişimi, kullanıcı riski ve konum gibi belirli senaryolar için başka bir yöntem kısıtlamasına olanak tanır.
Örneğin Contoso adlı bir kuruluşun yöneticisinin kullanıcıların Microsoft Authenticator'ı anında iletme bildirimleriyle veya parolasız kimlik doğrulama moduyla kullanmasına izin vermek istediğini varsayalım. Yönetici, Kimlik doğrulama yöntemleri ilkesindeki Authenticator ayarlarına gider, ilkenin kapsamını ilgili kullanıcılar için belirler ve Kimlik Doğrulama modunuHerhangi biri olarak ayarlar.
Contoso'nun en hassas kaynağı için yönetici erişimi yalnızca parolasız kimlik doğrulama yöntemleriyle kısıtlamak istiyor. Yönetici, yerleşik Parolasız MFA gücü kimlik doğrulaması gücünü kullanarak yeni bir Koşullu Erişim ilkesi oluşturur.
Sonuç olarak, Contoso'daki kullanıcılar kiracıdaki kaynakların çoğuna bir parola ve Authenticator'dan bir anında iletme bildirimi kullanarak veya yalnızca Authenticator (telefonda oturum açma) kullanarak erişebilir. Ancak kiracıdaki kullanıcılar hassas uygulamaya eriştiğinde Authenticator (telefonda oturum açma) kullanmalıdır.