Kuruluşunuz için geçiş anahtarlarını (FIDO2) etkinleştirin

2025-05-21

Günümüzde parola kullanan kuruluşlar için geçiş anahtarları (FIDO2), çalışanların kullanıcı adı veya parola girmeden kimlik doğrulaması için sorunsuz bir yol sağlar. Geçiş anahtarları (FIDO2), çalışanlar için daha iyi üretkenlik sağlar ve daha iyi bir güvenliğe sahiptir.

Bu makalede, kuruluşunuzda geçiş anahtarlarını etkinleştirmeye yönelik gereksinimler ve adımlar listelenir. Bu adımları tamamladıktan sonra, kuruluşunuzdaki kullanıcılar FIDO2 güvenlik anahtarında veya Microsoft Authenticator'da depolanan bir geçiş anahtarını kullanarak Microsoft Entra hesaplarına kaydolabilir ve oturum açabilir.

Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme hakkında daha fazla bilgi için bkz. Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme.

Geçiş anahtarı kimlik doğrulaması hakkında daha fazla bilgi için bkz. Microsoft Entra Id ile FIDO2 kimlik doğrulaması desteği.

Not

Microsoft Entra ID şu anda FIDO2 güvenlik anahtarlarında ve Microsoft Authenticator'da depolanan cihaza bağlı geçiş anahtarlarını destekler. Microsoft, geçiş anahtarlarıyla müşterilerin ve kullanıcıların güvenliğini sağlamaya kararlıdır. İş hesapları için hem senkronize edilen hem de cihaz tabanlı erişim anahtarlarına yatırım yapıyoruz.

Gereksinimler

Kullanıcıların geçiş anahtarını (FIDO2) kaydedebilmesi için son beş dakika içinde çok faktörlü kimlik doğrulamasını (MFA) tamamlaması gerekir.
Kullanıcıların Microsoft Entra Id veya Microsoft Authenticator ile kanıtlama için uygun bir FIDO2 güvenlik anahtarına sahip olması gerekir.
Cihazların geçiş anahtarı (FIDO2) kimlik doğrulamasını desteklemesi gerekir. Microsoft Entra ID'ye katılmış Windows cihazları için en iyi deneyim Windows 10 sürüm 1903 veya üzeridir. Karma katılmış cihazların Windows 10 sürüm 2004 veya üzerini çalıştırması gerekir.

Geçiş anahtarları (FIDO2), Windows, macOS, Android ve iOS'ta önemli senaryolarda desteklenir. Desteklenen senaryolar hakkında daha fazla bilgi için bkz. Microsoft Entra Id'de FIDO2 kimlik doğrulaması desteği.

Not

Android'de Edge'de aynı cihaz kaydı desteği yakında sunulacaktır.

Geçiş Anahtarı (FIDO2) Doğrulayıcı Kanıt Belgesi GUID (AAGUID)

FIDO2 belirtimi, her güvenlik anahtarı satıcısının kayıt sırasında bir Authenticator Kanıtlama GUID'si (AAGUID) sağlamasını gerektirir. AAGUID, make ve model gibi anahtar türünü gösteren 128 bit tanımlayıcıdır. Masaüstü ve mobil cihazlardaki Passkey (FIDO2) sağlayıcılarının da kayıt sırasında bir AAGUID sağlaması beklenir.

Not

Satıcı, AAGUID'nin bu satıcı tarafından yapılan tüm önemli özdeş güvenlik anahtarları veya geçiş anahtarı (FIDO2) sağlayıcıları arasında aynı olduğundan ve diğer tüm güvenlik anahtarı veya geçiş anahtarı (FIDO2) sağlayıcısının AAGUID'lerinden farklı (yüksek olasılıkla) olduğundan emin olmalıdır. Bunu sağlamak için, belirli bir güvenlik anahtarı modeli veya geçiş anahtarı (FIDO2) sağlayıcısı için AAGUID rastgele oluşturulmalıdır. Daha fazla bilgi için bkz . Web Kimlik Doğrulaması: Ortak Anahtar Kimlik Bilgilerine erişmek için bir API - Düzey 2 (w3.org).

Güvenlik anahtarı satıcınızla birlikte çalışarak geçiş anahtarının AAGUID değerini (FIDO2) belirleyebilir veya Microsoft Entra Id ile kanıtlama için uygun FIDO2 güvenlik anahtarlarını görebilirsiniz. Geçiş anahtarı (FIDO2) zaten kayıtlıysa, kullanıcı için geçiş anahtarının (FIDO2) kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek AAGUID'yi bulabilirsiniz.

Geçiş anahtarı için AAGUID'yi görüntüleme işleminin ekran görüntüsü.

Geçiş anahtarı (FIDO2) kimlik doğrulama yöntemini etkinleştirme

Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.
Passkey (FIDO2) yönteminin altında açma/kapama düğmesini Etkinleştir olarak ayarlayın. Belirli grupları seçmek için Tüm kullanıcılar'ı veya Grup ekle'yi seçin. Yalnızca güvenlik grupları desteklenir.
Yapılandır sekmesinde:
- Self servis ayarına izin ver'iEvet olarak ayarlayın. Hayır olarak ayarlanırsa, geçiş anahtarları (FIDO2) Kimlik doğrulama yöntemleri ilkesi tarafından etkinleştirilse bile, kullanıcılar Güvenlik bilgilerini kullanarak geçiş anahtarını kaydedemez.
- Kuruluşunuz bir FIDO2 güvenlik anahtarı modelinin veya geçiş anahtarı sağlayıcısının orijinal olduğundan ve meşru satıcıdan geldiğinden emin olmak istiyorsanız Kanıtlamayı zorla seçeneğini Evet olarak ayarlayın.
  - FIDO2 güvenlik anahtarları için meta verilerin FIDO Alliance Meta Veri Hizmeti ile yayımlanması ve doğrulanması ve ayrıca Microsoft tarafından başka bir doğrulama testi kümesinden geçirilmesi gerekir. Daha fazla bilgi için bkz. Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olma.
  - Microsoft Authenticator'daki geçiş anahtarları kanıtlamayı da destekler. Daha fazla bilgi için bkz. Authenticator ile geçiş anahtarı kanıtlama nasıl çalışır?
  Uyarı
  - Kanıtlamayı zorla seçeneğiniHayır olarak ayarlarsanız, kullanıcılar herhangi bir geçiş anahtarı türünü kaydedebilir. Kullanıcıların yalnızca cihaza bağlı geçiş anahtarlarını kaydedebilmesi için Kanıtlamayı zorlaseçeneğini Evet olarak ayarlayın.
  - Doğrulama zorlaması, bir geçiş anahtarının (FIDO2) yalnızca kayıt sırasında kullanılmasına izin verilip verilmediğini belirler. Kanıtlama olmadan bir geçiş anahtarı (FIDO2) kaydeden kullanıcıların, Kanıtlamayı zorla ayarı daha sonra Evet olarak ayarlanırsa oturum açmaları engellenmez.
Anahtar Kısıtlama İlkesi
- Anahtar kısıtlamalarını zorunlu kılma, yalnızca kuruluşunuz AAGUID tarafından tanımlanan belirli güvenlik anahtarı modellerine veya geçiş anahtarı sağlayıcılarına izin vermek veya izin vermek istemiyorsa Evet olarak ayarlanmalıdır. Geçiş anahtarının AAGUID değerini belirlemek için güvenlik anahtarı satıcınızla birlikte çalışabilirsiniz. Geçiş anahtarı zaten kayıtlıysa, kullanıcı için geçiş anahtarının kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek AAGUID'yi bulabilirsiniz.
Uyarı

Önemli kısıtlamalar, belirli modellerin veya sağlayıcıların hem kayıt hem de kimlik doğrulaması için kullanılabilirliğini ayarlar. Anahtar kısıtlamalarını değiştirir ve daha önce izin verilen bir AAGUID'yi kaldırırsanız, daha önce izin verilen bir yöntemi kaydeden kullanıcılar artık bunu oturum açmak için kullanamaz.
Yapılandırmayı tamamladıktan sonra Kaydet'i seçin.

Not

Kaydetmeyi denediğinizde bir hata görürseniz, birden çok grubu tek bir işlemde tek bir grupla değiştirin ve sonra yeniden Kaydet'e tıklayın.

Microsoft Graph API'sini kullanarak FIDO2 güvenlik anahtarları sağlama (önizleme)

Şu anda önizleme aşamasında olan yöneticiler, kullanıcılar adına FIDO2 güvenlik anahtarları sağlamak için Microsoft Graph'ı ve özel istemcileri kullanabilir. Sağlama için Kimlik Doğrulama Yöneticisi rolü veya UserAuthenticationMethod.ReadWrite.All iznine sahip bir istemci uygulaması gerekir. Sağlama geliştirmeleri şunlardır:

Microsoft Entra Id'den WebAuthn oluşturma Seçenekleri isteme özelliği
Sağlanan güvenlik anahtarını doğrudan Microsoft Entra Id ile kaydetme olanağı

Bu yeni API'lerle kuruluşlar, kullanıcı adına güvenlik anahtarlarında geçiş anahtarı (FIDO2) kimlik bilgileri sağlamak için kendi istemcilerini oluşturabilir. Bu işlemi basitleştirmek için üç ana adım gerekir.

Kullanıcı için istek oluşturmaSeçenekler: Microsoft Entra Id, istemcinizin bir geçiş anahtarı (FIDO2) kimlik bilgisi sağlaması için gerekli verileri döndürür. Buna kullanıcı bilgileri, bağlı olan taraf kimliği, kimlik bilgisi ilkesi gereksinimleri, algoritmalar, kayıt sınaması ve daha fazlası gibi bilgiler dahildir.
Geçiş anahtarı (FIDO2) kimlik bilgilerini oluşturma seçenekleri ile sağlayın: Kimlik bilgilerini sağlamak için İstemciden Kimlik Doğrulayıcı Protokolü (CTAP) desteğine sahip bir istemciyi kullanıncreationOptions. Bu adım sırasında güvenlik anahtarını eklemeniz ve bir PIN ayarlamanız gerekir.
Sağlanan kimlik bilgilerini Microsoft Entra Id ile kaydedin: Microsoft Entra Id'ye hedeflenen kullanıcının geçiş anahtarı (FIDO2) kimlik bilgilerini kaydetmek üzere gerekli verileri sağlamak üzere sağlama işleminden biçimlendirilmiş çıkışı kullanın.

Geçiş anahtarları (FIDO2) sağlamak için gereken adımları gösteren kavramsal diyagram.

Microsoft Graph API'sini kullanarak geçiş anahtarlarını (FIDO2) etkinleştirme

Microsoft Entra yönetim merkezini kullanmanın yanı sıra, Microsoft Graph API'sini kullanarak geçiş anahtarlarını (FIDO2) da etkinleştirebilirsiniz. Geçiş anahtarlarını (FIDO2) etkinleştirmek için, Kimlik Doğrulama yöntemleri ilkesini en azından bir Kimlik Doğrulama İlkesi Yöneticisi olarak güncelleştirmeniz gerekir.

Graph Gezgini'ni kullanarak ilkeyi yapılandırmak için:

Graph Gezgini'nde oturum açın ve Policy.Read.All ve Policy.ReadWrite.AuthenticationMethod izinlerini onaylayın.

Kimlik doğrulama yöntemleri ilkesini alın:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Kanıtlama zorlamasını devre dışı bırakmak ve örneğin yalnızca RSA DS100 için AAGUID'ye izin veren anahtar kısıtlamalarını uygulamak amacıyla, aşağıdaki istek gövdesini kullanarak bir PATCH işlemi gerçekleştirin:

PATCH https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

Geçiş anahtarı (FIDO2) ilkesinin düzgün güncelleştirildiğinden emin olun.

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Geçiş anahtarını silme (FIDO2)

Kullanıcı hesabıyla ilişkilendirilmiş bir geçiş anahtarını (FIDO2) kaldırmak için kullanıcının kimlik doğrulama yönteminden silin.

Microsoft Entra yönetim merkezinde oturum açın ve geçiş anahtarının (FIDO2) kaldırılması gereken kullanıcıyı arayın.
Kimlik doğrulama yöntemleri'ni> seçin, Geçiş anahtarı (cihaza bağlı) öğesine sağ tıklayın ve Sil'i seçin.

Kullanıcıların hassas bir kaynağa erişirken geçiş anahtarıyla (FIDO2) oturum açmasını sağlamak için şunları yapabilirsiniz:

Yerleşik kimlik avına dayanıklı kimlik doğrulama gücü kullanın

Veya
Özel kimlik doğrulama gücü oluşturun

Aşağıdaki adımlarda özel kimlik doğrulama gücünün nasıl oluşturulacağı gösterilmektedir. Yalnızca belirli bir güvenlik anahtarı modeli veya parola anahtarı (FIDO2) sağlayıcısı için parola anahtarı (FIDO2) ile oturum açma izni veren bir Koşullu Erişim ilkesidir. FIDO2 sağlayıcılarının listesi için bkz. Microsoft Entra Id ile kanıtlama için uygun FIDO2 güvenlik anahtarları.

Microsoft Entra yönetim merkezinde en azından Koşullu Erişim Yöneticisi olarak oturum açın.
Entra ID>Kimlik Doğrulama Yöntemleri>Kimlik Doğrulama Güçlülükleri'ne göz atın.
Yeni kimlik doğrulama gücü'ne tıklayın.
Yeni kimlik doğrulama gücünüz için bir Ad belirtin.
İsteğe bağlı olarak bir Açıklama sağlayın.
Geçiş Tuşları (FIDO2)'yi seçin.
İsteğe bağlı olarak, belirli bir AAGUID'yi kısıtlamak istiyorsanız Gelişmiş seçenekler>AAGUID Ekle'yi seçin. AAGUID girin ve Kaydet'i seçin.
İleri'yi seçin ve ilke yapılandırmasını gözden geçirin.

Bilinen sorunlar

Güvenlik anahtarı sağlama

Güvenlik anahtarlarının yönetici tarafından sağlanması önizleme aşamasındadır. Bkz. Microsoft Graph ve özel istemciler kullanarak kullanıcılar adına FIDO2 güvenlik anahtarlarını sağlamak.

Konuk kullanıcılar

Kaynak kiracısında B2B işbirliği kullanıcıları da dahil olmak üzere iç veya dış konuk kullanıcılar için geçiş anahtarı (FIDO2) kimlik bilgilerinin kaydı desteklenmez.

UPN değişiklikleri

Kullanıcının UPN'si değiştiğinde, bu değişikliğe uyum sağlamak için artık geçiş anahtarlarını (FIDO2) değiştiremezsiniz. Kullanıcının bir geçiş anahtarı (FIDO2) varsa Güvenlik bilgileri'nde oturum açması, eski geçiş anahtarını (FIDO2) silmesi ve yenisini eklemesi gerekir.