Microsoft Entra Id'de dış çok faktörlü kimlik doğrulama yöntemini yönetme

Daha önce dış kimlik doğrulama yöntemleri olarak bilinen dış çok faktörlü kimlik doğrulaması (MFA), kullanıcıların iş veya okul hesabıyla oturum açtıklarında MFA gereksinimlerini karşılamak için bir dış sağlayıcı seçmesine olanak tanır. Microsoft Entra Id, kimlik denetim düzlemi olarak tam ilke değerlendirme ve erişim kararlarını işlemeye devam eder.

Dış MFA'yi yapılandırmak için gerekli meta veriler

Dış MFA'yı yapılandırmak için dış kimlik doğrulama sağlayıcınızdan aşağıdaki bilgilere ihtiyacınız vardır:

  • Uygulama Kimliği genellikle sağlayıcınızın çok kiracılı bir uygulamasıdır ve tümleştirmenin bir parçası olarak kullanılır. Kiracınızda bu uygulama için yönetici onayı sağlamanız gerekir.

  • İstemci Kimliği, kimlik doğrulaması isteyen Microsoft Entra Id'yi tanımlamak için kimlik doğrulaması tümleştirmesinin bir parçası olarak kullanılan sağlayıcınızın tanımlayıcısıdır.

  • Bulma URL'si, dış kimlik doğrulama sağlayıcısı için OpenID Connect (OIDC) bulma uç noktasıdır.

    Uygulama kaydını ayarlama hakkında daha fazla bilgi için bkz. Microsoft Entra Id ile yeni bir dış kimlik doğrulama sağlayıcısı yapılandırma.

    Önemli

    kid (Anahtar Kimliği) özelliğinin hem id_token'ın JSON Web Belirteci (JWT) üst bilgisinde hem de sağlayıcının jwks_uri'den getirilen JSON Web Anahtarı Kümesi'nde (JWKS) base64 ile kodlandığından emin olun. Bu kodlama hizalaması, kimlik doğrulama işlemleri sırasında belirteç imzalarının sorunsuz doğrulanması için gereklidir. Yanlış hizalama, anahtar eşleştirme veya imza doğrulamasıyla ilgili sorunlara neden olabilir.

Microsoft Entra yönetim merkezinde dış MFA'yi yönetme

Dış MTA'lar, yerleşik yöntemler gibi Microsoft Entra ID Kimlik Doğrulama yöntemleri ilkesiyle yönetilir.

Yönetim merkezinde dış MFA yapılandırma

Yönetim merkezinde dış MFA'yı yapılandırmadan önce, dış MFA'yı yapılandırmak için meta veriye sahip olduğunuzdan emin olun.

  1. Microsoft Entra yönetim merkezinde en az Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.

  2. Entra ID>Kimlik doğrulama yöntemleri>Dış MFA ekleme öğesine göz atın.

    Microsoft Entra yönetim merkezinde dış MFA ekleme işleminin ekran görüntüsü.

    Sağlayıcınızdan gelen yapılandırma bilgilerine göre yöntem özellikleri ekleyin. Örneğin:

    • Ad: Adatum
    • İstemci Kimliği: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Bulma Uç Noktası: https://adatum.com/.well-known/openid-configuration
    • Uygulama Kimliği: 11112222-bbbb-3333-cccc-4444dddd5555

    Önemli

    Kullanıcı yöntem seçim aracında görünen adı görür. Yöntemini oluşturduktan sonra adı değiştiremezsiniz. Görünen ad benzersiz olmalıdır.

    Dış MFA özelliklerinin nasıl ekleneceğini gösteren ekran görüntüsü.

    Sağlayıcının uygulaması için yönetici onayı vermek için en azından Ayrıcalıklı Rol Yöneticisi rolüne ihtiyacınız vardır. Onay vermek için gereken role sahip değilseniz kimlik doğrulama yönteminizi yine de kaydedebilirsiniz, ancak onay verilene kadar etkinleştiremezsiniz.

    Sağlayıcınızdan değerleri girdikten sonra, kullanıcının doğru kimlik doğrulaması için gerekli bilgileri okuyabilmesi için uygulamaya yönetici onayı verilmesini istemek için düğmeye basın. Yönetici izinlerine sahip bir hesapla oturum açmanız ve sağlayıcının uygulamasına gerekli izinleri vermeniz istenir.

    Oturum açtığınızda, yönetici onayı vermek için Kabul Et'i seçin:

    Yönetici onayı verme ekran görüntüsü.

    Onay vermeden önce sağlayıcı uygulamasının istediği izinleri görebilirsiniz. Yönetici onayı verdikten ve değişiklik yinelendikten sonra sayfa, yönetici onayı verildiğini gösterecek şekilde yenilenir.

    Onay verildikten sonra Kimlik doğrulama yöntemleri ilkesinin ekran görüntüsü.

Uygulamanın izinleri varsa, kaydetmeden önce yöntemini de etkinleştirebilirsiniz. Aksi takdirde, yöntemi devre dışı durumda kaydetmeniz ve uygulamaya onay verildikten sonra etkinleştirmeniz gerekir.

Yöntem etkinleştirildikten sonra kapsamdaki tüm kullanıcılar MFA istemleri için yöntemi seçebilir. Sağlayıcıdan gelen uygulamanın onayı onaylanmamışsa yöntemiyle oturum açma işlemi başarısız olur.

Uygulama silinirse veya artık izni yoksa, kullanıcılar bir hata görür ve oturum açma başarısız olur. yöntemi kullanılamaz.

Yönetim merkezinde dış MFA'yi yönetme

Microsoft Entra yönetim merkezinde dış MFA'nızı yönetmek için Kimlik doğrulama yöntemleri ilkesini açın. Yapılandırma seçeneklerini açmak için yöntem adını seçin. Bu yöntemi kullanarak dahil edilen ve dışlanan kullanıcıları seçebilirsiniz.

Belirli kullanıcılar için dış MFA'nın kullanımının kapsamının nasıl hesaplı olduğunu gösteren ekran görüntüsü.

Yönetim merkezinde dış MFA'yi silme

Kullanıcılarınızın artık dış MFA'yı kullanabilmesini istemiyorsanız şunları yapabilirsiniz:

  • Yöntem yapılandırmasını kaydetmek için Etkinleştir'iKapalı olarak ayarlayın
  • Yöntemi kaldırmak için Sil'i seçin

Dış MFA'nın nasıl silineceği ekran görüntüsü.

Microsoft Graph kullanarak dış MFA'ları yönetme

Microsoft Graph kullanarak Kimlik Doğrulama yöntemleri ilkesini yönetmek için izin gereklidir Policy.ReadWrite.AuthenticationMethod . Daha fazla bilgi için AuthenticationMethodsPolicy'yi güncelleştirme bölümüne bakın.

Kullanıcı deneyimi

Dış MFA için etkinleştirilen kullanıcılar oturum açtıklarında ve çok faktörlü kimlik doğrulaması gerektiğinde bunu kullanabilir.

Kullanıcının oturum açmanın başka yolları varsa ve sistem tarafından tercih edilen kimlik doğrulaması etkinleştirilirse, bu diğer yöntemler varsayılan olarak sırasıyla görüntülenir. Kullanıcı farklı bir yöntem kullanmayı ve ardından dış MFA'yı seçebilir. Örneğin, kullanıcı başka bir yöntem olarak Authenticator'ı etkinleştirmişse, kullanıcıdan numara eşleştirmesi istenir.

Sistem tarafından tercih edilen kimlik doğrulaması etkinleştirildiğinde dış MFA'nın nasıl seçileceğini gösteren ekran görüntüsü.

Kullanıcının etkinleştirilmiş başka bir yöntemi yoksa, yalnızca dış MFA'yı seçebilir. Kimlik doğrulamasını tamamlamak için dış kimlik doğrulama sağlayıcısına yönlendirilirler.

Dış MFA ile oturum açma ekran görüntüsü.

Dış MFA için kimlik doğrulama yöntemi kaydı

Dış MFA için etkinleştirilen grupların üyesi olan kullanıcılar, MFA'yi karşılamak için bir dış MFA kullanabilir. Bu kullanıcılar kimlik doğrulama yöntemi kaydıyla ilgili raporlara dahil değildir.

Kullanıcılar güvenlik bilgilerine dış MFA'larını nasıl kaydeder?

Kullanıcılar, Güvenlik bilgileri'nde dış MFA'yı kaydetmek için şu adımları izleyebilir:

  1. Güvenlik bilgisinde oturum açın.
  2. + Oturum açma yöntemi ekle'yi seçin.
  3. Kullanılabilir seçenekler listesinden bir oturum açma yöntemi seçmeniz istendiğinde Dış Kimlik Doğrulama yöntemleri'ni seçin.
  4. Onay ekranında İleri'yi seçin.
  5. Dış sağlayıcı ile ikinci faktör sınamasını tamamlayın. Başarılı olursa, kullanıcılar oturum açma yöntemlerinde listelenen dış MFA'yı görebilir.

Kullanıcılar kayıt sihirbazını kullanarak dış MFA'larını nasıl kaydeder?

Kullanıcı oturum açtığında kayıt sihirbazı, kullanmak üzere etkinleştirildiği dış MFA yöntemlerini kaydetmesine yardımcı olur. Diğer kimlik doğrulama yöntemleri için etkinleştirildiyse, devam etmek için Farklı bir yöntem> ayarlamak istiyorumDış Kimlik Doğrulama yöntemlerini seçmeleri gerekebilir. Dış MFA'nın Microsoft Entra Id'ye kaydedilmesi için dış MFA sağlayıcılarıyla kimlik doğrulamasına sahip olmaları gerekir.

Kimlik doğrulaması başarılı olursa, bir ileti kaydın tamamlandığını ve dış MFA'nın kaydedildiğini onaylar. Kullanıcı erişmek istediği kaynağa yönlendirilir. 

Kimlik doğrulaması başarısız olursa, kullanıcı kayıt sihirbazına geri yönlendirilir ve kayıt sayfasında bir hata iletisi gösterilir. Kullanıcı yeniden deneyebilir veya diğer yöntemler için etkinleştirildiyse başka bir oturum açma yöntemi seçebilir. 

Yöneticiler bir kullanıcı için dış MFA'yi nasıl kaydeder?

Yöneticiler bir kullanıcıyı dış MFA'ya kaydedebilir. Bir kullanıcıyı dış MFA'ya kaydederse, kullanıcının dış MFA'sını Güvenlik bilgilerine veya kayıt sihirbazını kullanarak kaydetmesi gerekmez.

Yöneticiler kaydı bir kullanıcı adına da silebilir. Sonraki imzaları yeni bir kaydı tetiklediğinden, kurtarma senaryolarında kullanıcılara yardımcı olmak için bir kaydı silebilirler. Dış MFA kaydını Microsoft Entra yönetim merkezinden veya Microsoft Graph ile silebilir. Yöneticiler, aynı anda birden çok kullanıcının kayıt durumunu güncelleştirmek için bir PowerShell betiği oluşturabilir.

Microsoft Entra yönetim merkezinde:

  1. Kullanıcılar>Tüm kullanıcılar seçin.
  2. Dış MFA için kaydedilmesi gereken kullanıcıyı seçin.
  3. Kullanıcı menüsünde Kimlik Doğrulama Yöntemleri'ni ve + Kimlik Doğrulama Yöntemi Ekle'yi seçin.
  4. Dış kimlik doğrulama yöntemi'ne tıklayın.
  5. Bir veya daha fazla dış MFA yöntemi seçin ve Kaydet'i seçin.
  6. Başarılı iletisi görüntülenir ve daha önce seçtiğiniz yöntemler Kullanılabilir kimlik doğrulama yöntemleri bölümünde listelenir.

Dış MFA ve Koşullu Erişim kullanmak için en iyi yöntemler

Dış MFA ve Koşullu Erişim kullanırken dikkate alınması gereken bazı önemli faktörler vardır.

Dış MFA ve Koşullu Erişim özel denetimlerini paralel olarak kullanma

Dış MFA ve özel denetimler paralel olarak çalışabilir. Microsoft, yöneticilerin iki Koşullu Erişim ilkesi yapılandırmalarını önerir:

  • Özel denetimi zorunlu kılmaya ilişkin bir ilke
  • MFA kapsamında gerekli olan başka bir ilke

Her ilke için bir kullanıcı test grubu ekleyin, ancak ikisini birden dahil etmeyin. Bir kullanıcı her iki ilkeye veya her iki koşula sahip herhangi bir ilkeye dahil edilirse, kullanıcının oturum açma sırasında MFA'yı karşılaması gerekir. Ayrıca, dış sağlayıcıya ikinci kez yönlendirilmeleri için özel denetimi karşılamaları gerekir.

Koşullu Erişim'de oturum açma sıklığı ilkeleri ile dış MFA kullanma

Araştırmalarımız, MFA istemlerini kullanıcı amacı ile uyumlu hale getirmenin önemini pekiştirdi. Dış MFA ile kullanıcılar, Koşullu Erişim oturum açma sıklığı ilkeleri aracılığıyla yapılandırılan MFA yenileme gereksinimlerine göre MFA sağlayıcılarına yönlendirilir. Kullanıcı deneyimini olumsuz etkileyebileceği, üretkenliği azaltabileceği ve kimlik avı riskini artırabileceği için kullanıcıların kimlik bilgilerini incelemeden girmelerini sağlayarak aşırı sık yeniden kimlik doğrulaması önerilmez. Oturum açma sıklığı ilkelerini yapılandırırken yeniden kimlik doğrulama kılavuzumuzu izlemenizi öneririz.

FAQ

Soru: Cihaz kurulumu sırasında dış MFA neden Windows 10'da çalışmıyor?

Yanıt:Windows 10 çalıştıran bir cihazı yalnızca MFA'nın dışında bir kimlik kullanarak ayarlarsanız, İlk Çalıştırma (OOB) kurulum deneyiminin başarısız olduğu ve oturum açma işlemine devam etmenizi engellediği bir sorunla karşılaşabilirsiniz.

Bu davranış, Windows 10'un OOBE (Kullanıma Yönelik Deneyim) sırasında dış MFA'yı yerel olarak desteklememesi nedeniyle oluşur.
Microsoft artık Windows 10' u (https://www.microsoft.com/windows/end-of-support?msockid=26a3312b6b246f501ec624846a4f6e11 ) desteklememektedir ve dış MFA desteğini buna genişletmeye dair bir plan yoktur .

Oturum açmak için dış MFA kullanmak için Windows 11'e yükseltin.

Sonraki adımlar

Kimlik doğrulama yöntemlerini yönetme hakkında daha fazla bilgi için bkz . Microsoft Entra Id için kimlik doğrulama yöntemlerini yönetme.

Dış MFA sağlayıcısı başvurusu için bkz. Microsoft Entra çok faktörlü kimlik doğrulaması dış yöntem sağlayıcısı başvurusu.

  • Last updated on