Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi şirket içinde çalışan federasyon sunucularından Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) kullanarak bulut kimlik doğrulamasına geçirme işlemi açıklanmaktadır.
Aşamalı Dağıtım
Kiracı yöneticisi, pilot test yapmadan federatif etki alanını tamamen Microsoft Entra CBA'ya geçirebilir. Bu işlem, Microsoft Entra ID'de CBA kimlik doğrulaması yöntemini etkinleştirerek ve tüm etki alanını yönetilen kimlik doğrulamasına dönüştürerek yapılır. Ancak müşteri, yönetilen tüm etki alanı geçişi öncesinde Microsoft Entra CBA ile küçük bir kullanıcı grubunun kimliğini doğrulamak isterse, aşamalı geçiş özelliğinden faydalanabilir.
Sertifika Tabanlı Kimlik Doğrulaması için Aşamalı Dağıtım (CBA), Microsoft Entra ID'deki etki alanı yapılandırmasını federasyondan yönetilene dönüştürmeden önce seçilen kullanıcı gruplarıyla küçük bir kullanıcı kitlesini Microsoft Entra ID'de CBA kullanmaya geçirip (artık federasyon IdP'sine yönlendirilmeyen), müşterilerin federasyon IdP'de CBA yapmaktan Microsoft Entra ID'ye geçmesine yardımcı olur. Aşamalı dağıtım, etki alanının uzun süreler veya büyük miktarda kullanıcı için federasyonda kalması için tasarlanmamıştır.
ADFS sertifika tabanlı kimlik doğrulamasından Microsoft Entra CBA'ya geçişi gösteren bu hızlı videoyu izleyin
Not
Aşamalı dağıtım bir kullanıcı için etkinleştirildiğinde, kullanıcı yönetilen kullanıcı olarak kabul edilir ve tüm kimlik doğrulaması Microsoft Entra Id'de gerçekleşir. Birleştirilmiş Kiracı için, Aşamalı Dağıtımda CBA etkinleştirildiyse, parola kimlik doğrulaması yalnızca PHS de etkinleştirildiyse çalışır. Aksi takdirde parola kimlik doğrulaması başarısız olur.
Kiracınızda sertifika tabanlı kimlik doğrulaması için Aşamalı Dağıtımı etkinleştirme
Aşamalı Dağıtımı yapılandırmak için şu adımları izleyin:
- Microsoft Entra yönetim merkezinde en az Bir Kullanıcı Yöneticisi olarak oturum açın.
- Microsoft Entra Connect'i arayın ve seçin.
- Microsoft Entra Connect sayfasında, Bulut kimlik doğrulamasının Aşamalı Dağıtımı'nın altında, yönetilen kullanıcı oturum açma için Aşamalı Dağıtımı Etkinleştirseçin.
- Aşamalı Dağıtımı Etkinleştir özellik sayfasında, Sertifika tabanlı kimlik doğrulaması seçeneğinde Açık'ı seçin
- Grupları yönet
seçin ve bulut kimlik doğrulamasının parçası olmasını istediğiniz grupları ekleyin. Zaman aşımından kaçınmak için güvenlik gruplarının başlangıçta en fazla 200 üye içerdiğinden emin olun.
Not
Microsoft, Entra sertifika tabanlı kimlik doğrulaması ve sertifika tabanlı kimlik doğrulama yöntemi ilkesi için aşamalı dağıtımı yönetmek için ayrı gruplar kullanılmasını önerir
Daha fazla bilgi için bkz . Aşamalı Dağıtım.
CertificateUserIds özniteliğini güncelleştirmek için Microsoft Entra Connect kullanma
AD FS yöneticisi, AD FS'den Microsoft Entra kullanıcı nesnelerine özniteliklerin değerlerini eşitlemek için kurallar oluşturmak için Eşitleme Kuralları Düzenleyicisi'ni kullanabilir. Daha fazla bilgi için bkz . CertificateUserIds için eşitleme kuralları.
Microsoft Entra Connect, gerekli izinleri veren Karma Kimlik Yöneticisi adlı özel bir rol gerektirir. Yeni bulut özniteliğine yazma izni için bu role ihtiyacınız vardır.
Not
Kullanıcı, kullanıcı adı bağlaması için kullanıcı nesnesinde onPremisesUserPrincipalName özniteliği gibi eşitlenmiş öznitelikler kullanıyorsa, Microsoft Entra Connect sunucusuna yönetici erişimi olan tüm kullanıcılar eşitlenmiş öznitelik eşlemesini ve eşitlenen özniteliğin değerini değiştirebilir. Kullanıcının bulut yöneticisi olması gerekmez. AD FS yöneticisi, Microsoft Entra Connect sunucusuna yönetici erişiminin sınırlı ve ayrıcalıklı hesapların yalnızca bulut hesapları olduğundan emin olmalıdır.
AD FS'den Microsoft Entra Id'ye geçiş hakkında sık sorulan sorular
Federasyon AD FS sunucusuna sahip ayrıcalıklı hesaplara sahip olabilir miyiz?
Mümkün olsa da, Microsoft ayrıcalıklı hesapların yalnızca bulut hesapları olmasını önerir. Ayrıcalıklı erişim için yalnızca bulut hesaplarının kullanılması, Microsoft Entra Id'de güvenliği aşılmış bir şirket içi ortamdan etkilenmeyi sınırlar. Daha fazla bilgi için bkz . Microsoft 365'i şirket içi saldırılara karşı koruma.
Bir kuruluş hem AD FS hem de Azure CBA çalıştıran bir karmaysa, AD FS güvenliğinin aşılmasına karşı hala savunmasız mı?
Microsoft ayrıcalıklı hesapların yalnızca bulut hesapları olmasını önerir. Bu uygulama, Microsoft Entra Id'de güvenliği aşılmış bir şirket içi ortamdan etkilenmeyi sınırlar. Ayrıcalıklı hesapların yalnızca bulutta tutulması bu hedefin temelini oluşturur.
Eşitlenmiş hesaplar için:
- Yönetilen bir etki alanındalarsa (federe değil), federe Kimlik Sağlayıcıdan (IdP) kaynaklanan bir risk yoktur.
- Bunlar bir federasyon etki alanındaysa ancak hesapların bir alt kümesi Aşamalı Dağıtım tarafından Microsoft Entra CBA'ya taşınıyorsa, federasyon etki alanı tamamen bulut kimlik doğrulamasına geçene kadar federasyon Idp'si ile ilgili risklere tabidir.
Kuruluşlar, AD FS'den Azure'a geçişi önlemek için AD FS gibi federasyon sunucularını ortadan kaldırmalı mı?
Federasyon ile, bir saldırgan yüksek ayrıcalıklı yönetici hesabı gibi yalnızca bulut üzerinde yer alan bir role sahip olmasa bile, CIO gibi herhangi birinin kimliğine bürünebilir.
Bir etki alanı Microsoft Entra Kimliği'nde federasyona alındığında, Federasyon Kimlik Sağlayıcısına yüksek düzeyde güven duyulur. AD FS bir örnektir, ancak federasyon IdP'leri için bu durum geçerlidir. Birçok kuruluş, sertifika tabanlı kimlik doğrulamasını gerçekleştirmek için AD FS gibi bir federasyon IdP'sini özel olarak dağıtır. Microsoft Entra CBA, bu durumda AD FS bağımlılığını tamamen kaldırır. Microsoft Entra CBA ile müşteriler, IAM altyapılarını modernleştirmek ve artan güvenlikle maliyetleri azaltmak için uygulama varlıklarını Microsoft Entra ID'ye taşıyabilir.
Güvenlik açısından bakıldığında, X.509 sertifikası, CAC'ler, PIV'ler vb. dahil olmak üzere kimlik bilgileri veya kullanılan PKI'da herhangi bir değişiklik yoktur. PKI sahipleri, sertifika verme ve iptal yaşam döngüsü ve ilkesinde tam denetime sahip olur. İptal denetimi ve kimlik doğrulaması federasyon Idp yerine Microsoft Entra Id'de gerçekleşir. Bu denetimler, tüm kullanıcılar için doğrudan Microsoft Entra Id'de parolasız, kimlik avına dayanıklı kimlik doğrulaması sağlar.
Windows ile Federated AD FS ve Microsoft Entra bulut kimlik doğrulaması nasıl çalışır?
Microsoft Entra CBA, kullanıcının veya uygulamanın oturum açan kullanıcının Microsoft Entra UPN'sini sağlamasını gerektirir.
Tarayıcı örneğinde, kullanıcı en sık Microsoft Entra UPN'sini yazar. Microsoft Entra UPN, bölge ve kullanıcı bulma için kullanılır. Daha sonra kullanılan sertifika, ilkede yapılandırılan kullanıcı adı bağlamalarından birini kullanarak bu kullanıcıyla eşleşmelidir.
Windows oturum açmada eşleşme, cihazın karma mı yoksa Microsoft Entra'ya mı katılmış olduğuna bağlıdır. Ancak her iki durumda da kullanıcı adı ipucu sağlanırsa, Windows ipucunu Microsoft Entra UPN olarak gönderir. Daha sonra kullanılan sertifika, ilkede yapılandırılan kullanıcı adı bağlamalarından birini kullanarak bu kullanıcıyla eşleşmelidir.
Sonraki adımlar
- Microsoft Entra CBA'ya genel bakış
- Microsoft Entra CBA için teknik ayrıntılı bakış
- Microsoft Entra CBA'yi yapılandırma
- Microsoft Entra CBA Sertifika İptal Listesi
- iOS cihazlarda Microsoft Entra CBA
- Android cihazlarda Microsoft Entra CBA
- Microsoft Entra CBA kullanarak Windows akıllı kart oturum açma
- Sertifika kullanıcı kimlikleri
- SSS