Aracılığıyla paylaş

Microsoft Entra çok faktörlü kimlik doğrulaması için yeniden kimlik doğrulama istemleri ve oturum ömrü

Microsoft Entra Id,kullanıcıların ne sıklıkta yeniden kimlik doğrulaması gerektiğini belirleyen birden çok ayara sahiptir. Bu yeniden kimlik doğrulaması yalnızca parola, Hızlı Kimlik Doğrulama Çevrimiçi (FIDO) veya parolasız Microsoft Authenticator gibi ilk bir öğeyi içerebilir. Veya çok faktörlü kimlik doğrulaması (MFA) gerektirebilir. Bu yeniden kimlik doğrulama ayarlarını kendi ortamınız ve istediğiniz kullanıcı deneyimi için gerektiği gibi yapılandırabilirsiniz.

Kullanıcı oturum açma sıklığı için Microsoft Entra ID varsayılan yapılandırması 90 günlük bir zaman aralığıdır. Kullanıcılardan kimlik bilgilerini istemek genellikle mantıklı bir işlem gibi görünür, ancak geri tepebilir. Kullanıcılar, kimlik bilgilerini düşünmeden girmek için eğitildiyse, istemeden kötü amaçlı bir kimlik bilgisi istemine sağlayabilirler.

Kullanıcının yeniden oturum açmasını istememek endişe verici gelebilir. Ancak, BT ilkelerinin ihlali oturumu iptal eder. Bazı örnekler arasında parola değişikliği, uyumsuz bir cihaz veya hesabı devre dışı bırakma işlemi yer alır. Ayrıca Microsoft Graph PowerShell kullanarak kullanıcıların oturumlarını açıkça iptal edebilirsiniz.

Bu makalede, önerilen yapılandırmalar ve çeşitli ayarların nasıl çalıştığı ve birbirleriyle etkileşim kurması ayrıntılı olarak anlatılır.

Kullanıcılarınıza doğru sıklıkta oturum açmalarını isteyerek doğru güvenlik ve kullanım kolaylığı dengesini sağlamak için aşağıdaki yapılandırmaları öneririz:

  • Microsoft Entra Id P1 veya P2'niz varsa:
    • Yönetilen cihazları veya sorunsuz SSO'ları kullanarak uygulamalar arasında çoklu oturum açmayı (SSO) etkinleştirin.
    • Yeniden kimlik doğrulaması gerekiyorsa, Microsoft Entra Koşullu Erişim Oturum açma sıklığı ilkesini kullanın.
    • Yönetilmeyen cihazlardan veya mobil cihaz senaryolarında oturum açan kullanıcılar için kalıcı tarayıcı oturumları tercih edilmeyebilir. Veya Oturum açma sıklığı ilkesiyle kalıcı tarayıcı oturumlarını etkinleştirmek için Koşullu Erişim'i kullanabilirsiniz. Daha az riskli bir kullanıcının oturum süresinin daha uzun olduğu oturum açma riskine göre süreyi uygun bir süreyle sınırlayın.
  • Microsoft 365 Uygulamaları lisansınız veya Microsoft Entra ID Ücretsiz lisansınız varsa:
    • Yönetilen cihazları veya sorunsuz SSO'ları kullanarak uygulamalar arasında SSO'nun etkinleştirilmesini sağlayın.
    • Oturum açmış durumda kalmak için göster seçeneğini etkin tutun ve kullanıcılarınızın oturum açma sırasında Oturum açık kalsın mı? seçeneğini kabul etmelerine yol gösterin.
  • Mobil cihaz senaryoları için kullanıcılarınızın Microsoft Authenticator uygulamasını kullandığından emin olun. Bu uygulama, diğer Microsoft Entra Id federasyon uygulamaları için bir aracıdır ve cihazdaki kimlik doğrulama istemlerini azaltır.

Araştırmalarımız bu ayarların çoğu kiracı için uygun olduğunu gösteriyor. Çok faktörlü kimlik doğrulamasını anımsa ve Oturum açma seçeneğini göster gibi bu ayarların bazı bileşimleri, kullanıcılarınızın çok sık kimlik doğrulaması yapma istemlerine neden olabilir. Düzenli yeniden kimlik doğrulama istemleri kullanıcı üretkenliği açısından kötü olur ve kullanıcıları saldırılara karşı daha savunmasız hale getirir.

Microsoft Entra oturum ömrü ayarlarını yapılandırma

Kullanıcılarınız için kimlik doğrulama istemlerinin sıklığını iyileştirmek için Microsoft Entra oturum ömrü ayarlarını yapılandırabilirsiniz. İşletmenizin ve kullanıcılarınızın gereksinimlerini anlayın ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırın.

Oturum ömrü ilkeleri

Herhangi bir oturum ömrü ayarı olmadan tarayıcı oturumunda kalıcı tanımlama bilgileri yoktur. Kullanıcılar tarayıcıyı her kapatıp açtığında, yeniden kimlik doğrulaması istemi alır. Office istemcilerinde varsayılan zaman aralığı 90 günlük sıralı bir zaman aralığıdır. Bu varsayılan Office yapılandırmasında, kullanıcı parolayı sıfırlarsa veya oturum 90 günden uzun süre etkin değilse, kullanıcının gerekli birinci ve ikinci faktörlerle yeniden kimlik doğrulaması yapması gerekir.

Kullanıcı, Microsoft Entra Id'de kimliği olmayan bir cihazda birden çok MFA istemi görebilir. Her bir uygulamanın diğer istemci uygulamalar ile paylaşılmamış kendi OAuth Yenileme Belirteci olduğunda birden çok istem oluşur. Bu senaryoda, her uygulama MFA ile doğrulanması için bir OAuth Yenileme Belirteci istediğinde MFA birden çok kez istemde bulunur.

Microsoft Entra Id'de oturum ömrü için en kısıtlayıcı ilke, kullanıcının ne zaman yeniden kimlik doğrulaması yapması gerektiğini belirler. Bu ayarların ikisini de etkinleştirdiğiniz bir senaryo düşünün:

  • Kalıcı tarayıcı tanımlama bilgisi kullanan oturum açma seçeneğini göster
  • 14 günlük değerle çok faktörlü kimlik doğrulamasını anımsama

Bu örnekte, kullanıcının 14 günde bir yeniden kimlik doğrulaması yapması gerekir. Bu davranış, Oturum açık kalsın seçeneğinin gösterilmesi tarayıcıda kullanıcıdan yeniden kimlik doğrulaması istemese bile en kısıtlayıcı politikayı izler.

Yönetilen cihazlar

Microsoft Entra join veya Microsoft Entra karma katılımı aracılığıyla Microsoft Entra Id'ye katılan cihazlar, uygulamalar arasında SSO kullanmak için bir Birincil Yenileme Belirteci (PRT) alır.

Bu PRT, kullanıcının cihazda bir kez oturum açmasına olanak tanır ve BT personelinin cihazın güvenlik ve uyumluluk standartlarına uygun olduğundan emin olmasını sağlar. Bir kullanıcıdan bazı uygulamalar veya senaryolar için katılmış bir cihazda daha sık oturum açmasını istemeniz gerekiyorsa Koşullu Erişim Oturum açma sıklığı ilkesini kullanabilirsiniz.

Oturum açık tutma seçeneği

Bir kullanıcı oturum açma sırasında Oturum açık kalsın mı? istemi seçeneğinde Evet'i seçtiğinde, seçim tarayıcıda kalıcı bir tanımlama bilgisi ayarlar. Bu kalıcı tanımlama bilgisi hem birinci hem de ikinci faktörleri hatırlar ve yalnızca tarayıcıdaki kimlik doğrulama istekleri için geçerlidir.

Oturumunuz açık kalmaya devam etmek için örnek bir istem ekran görüntüsü

Microsoft Entra ID P1 veya P2 lisansınız varsa, Kalıcı tarayıcı oturumu için Koşullu Erişim ilkesi kullanmanızı öneririz. Bu ilke, oturumun açık kalma seçeneğini göster ayarını geçersiz kılar ve daha iyi bir kullanıcı deneyimi sağlar. Microsoft Entra ID P1 veya P2 lisansınız yoksa, kullanıcılarınızın oturumunun açık kalması için Göster seçeneğini etkinleştirmenizi öneririz.

Kullanıcıların oturum açmasına izin verme seçeneğini yapılandırma hakkında daha fazla bilgi için bkz . 'Oturum açık kalsın mı?' istemini yönetme.

Çok faktörlü kimlik doğrulamasını anımsama seçeneği

Çok faktörlü kimlik doğrulamasını anımsa ayarı, 1 ile 365 günlük bir değer yapılandırmanıza olanak tanır. Kullanıcı oturum açma sırasında X gün daha sorma seçeneğini belirlediğinde tarayıcıda kalıcı bir tanımlama bilgisi ayarlar.

Oturum açma isteğini onaylamaya yönelik örnek istemin ekran görüntüsü

Bu ayar web uygulamalarındaki kimlik doğrulamalarının sayısını azaltsa da, Office istemcileri gibi modern kimlik doğrulama istemcileri için kimlik doğrulamalarının sayısını artırır. Bu istemciler normalde yalnızca parola sıfırlama sonrasında veya 90 gün boyunca etkin olunmadığında uyarı gösterir. Ancak, bu değerin 90 günden kısa olarak ayarlanması, Office istemcileri için varsayılan MFA istemlerini kısaltır ve yeniden kimlik doğrulama sıklığını artırır. Bu ayarı Oturum açık kalmak için Göster seçeneğiyle veya Koşullu Erişim ilkeleriyle birlikte kullandığınızda, kimlik doğrulama isteklerinin sayısı artabilir.

Çok faktörlü kimlik doğrulamasını anımsa özelliğini kullanıyorsanız ve Microsoft Entra ID P1 veya P2 lisansınız varsa, bu ayarları Koşullu Erişim Oturum Açma sıklığına geçirmeyi göz önünde bulundurun. Aksi takdirde, Oturum açmış durumda kalmak için Göster seçeneğini kullanmayı düşünün.

Daha fazla bilgi için bkz . Çok faktörlü kimlik doğrulamasını anımsama.

Koşullu Erişim ile kimlik doğrulama oturumu yönetimi

Yönetici, hem istemci hem de tarayıcıdaki hem birinci hem de ikinci faktör için geçerli olan bir oturum açma sıklığı seçmek için Oturum açma sıklığı ilkesini kullanabilir. Kimlik doğrulama oturumlarını kısıtlamanız gereken senaryolarda bu ayarları ve yönetilen cihazları kullanmanızı öneririz. Örneğin, kritik iş uygulamaları için kimlik doğrulama oturumlarını kısıtlamanız gerekebilir.

Kalıcı tarayıcı oturumu , kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturum açmış durumda kalmasına olanak tanır. Oturum açmış olarak kalma seçeneğini gösterme ayarı gibi, tarayıcıda kalıcı bir tanımlama bilgisi ayarlar. Ancak yönetici tarafından yapılandırıldığından, kullanıcının Oturum açık kalsın mı? seçeneğinde Evet'i seçmesi gerekmez. Bu şekilde daha iyi bir kullanıcı deneyimi sağlar. tr-TR: Oturumunuzu açık tutmak için Göster seçeneğini kullanırsanız, bunun yerine Kalıcı tarayıcı oturum politikasını etkinleştirmenizi öneririz.

Daha fazla bilgi için bkz . Uyarlamalı oturum ömrü ilkelerini yapılandırma.

Yapılandırılabilir belirteç ömrü

Yapılandırılabilir belirteç yaşam süreleri ayarı, Microsoft Entra ID'nin yayınladığı bir belirtecin yaşam süresini yapılandırmaya olanak tanır. Koşullu Erişim ile kimlik doğrulama oturumu yönetimi bu ilkenin yerini alır. Yapılandırılabilir belirteç yaşam süreleri kullanıyorsanız Koşullu Erişim ilkelerine geçişi başlatmanızı öneririz.

Kiracı yapılandırmanızı gözden geçirin

Çeşitli ayarların nasıl çalıştığını ve önerilen yapılandırmayı anladığınıza göre artık kiracılarınızı denetlemenin zamanı geldi. Oturum açma sırasında hangi oturum ömrü ilkelerinin uygulandığını anlamak için oturum açma günlüklerine bakarak başlayabilirsiniz.

Her oturum açma günlüğünün altında, Kimlik Doğrulama Ayrıntıları sekmesine gidin ve Uygulanan Oturum Ömrü İlkeleri'ni keşfedin. Daha fazla bilgi için bkz. Oturum açma günlüğü etkinlik ayrıntıları hakkında bilgi edinin.

Kimlik doğrulama ayrıntılarının ekran görüntüsü.

Oturum açık kalma seçeneğini göster olarak yapılandırmak veya gözden geçirmek için:

Önemli

Microsoft, rolleri en az izinle kullanmanızı önerir. Bu uygulama, kuruluşunuzun güvenliğini artırmaya yardımcı olur. Genel Yönetici, acil durum senaryolarıyla veya mevcut bir rolü kullanamıyorsanız sınırlı olması gereken yüksek ayrıcalıklı bir roldür.

  1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
  2. Entra ID>Özel Markalama'ya göz atın. Ardından, her yerel ayar için Oturum açık kalmak seçeneğini göster seçeneğini seçin.
  3. Evet'i ve ardından Kaydet'i seçin.

Güvenilen cihazlarda çok faktörlü kimlik doğrulama ayarlarını anımsamak için:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
  2. Entra ID>Çok Faktörlü kimlik doğrulaması'na göz atın.
  3. Yapılandır'ın altında Ek bulut tabanlı MFA ayarları'nı seçin.
  4. Çok faktörlü kimlik doğrulama hizmeti ayarları bölmesinde, ekranı kaydırarak Çok faktörlü kimlik doğrulama ayarlarını anımsa'ya gelin ve onay kutusunu seçin.

Oturum açma sıklığı ve kalıcı tarayıcı oturumları için Koşullu Erişim ilkelerini yapılandırmak için:

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Entra Id>Koşullu Erişim'e göz atın.
  3. Bu makalede önerilen oturum yönetimi seçeneklerini kullanarak bir ilke yapılandırın.

Belirteç yaşamlarını gözden geçirmek için Microsoft Graph PowerShell'i kullanarak tüm Microsoft Entra ilkelerini sorgulayın. Sahip olduğunuz tüm ilkeleri devre dışı bırakın.

Kiracınızda birden fazla ayar etkinleştirildiyse, ayarlarınızı sizin için sağlanan lisanslamaya göre güncelleştirmenizi öneririz. Örneğin, Microsoft Entra ID P1 veya P2 lisansınız varsa, yalnızca Oturum açma sıklığı ve Kalıcı tarayıcı oturumu Koşullu Erişim ilkelerini kullanmanız gerekir. Microsoft 365 Uygulamaları lisansınız veya Microsoft Entra ID Ücretsiz lisansınız varsa, yapılandırmada oturum açmış durumda kalmak için Göster seçeneğini kullanmalısınız.

Yapılandırılabilir belirteç yaşam sürelerini etkinleştirdiyseniz, bu özelliğin yakında kaldırılacağını unutmayın. Koşullu Erişim ilkesine geçiş planlama.

Aşağıdaki tabloda, lisanslara göre öneriler özetlemektedir:

Kategori Microsoft 365 Uygulamaları veya Microsoft Entra ID Ücretsiz Microsoft Entra ID P1 veya P2
Tek oturum açma (SSO) Microsoft Entra join veya Microsoft Entra hybrid join ya da yönetilmeyen cihazlar için sorunsuz SSO Microsoft Entra birleşimi veya Microsoft Entra hibrit birleşimi
Yeniden kimlik doğrulama ayarları Oturumun açık kalması seçeneğini göster Oturum açma sıklığı ve kalıcı tarayıcı oturumları için Koşullu Erişim ilkeleri

İlgili içerik