Aracılığıyla paylaş

Parolasız kimlik doğrulama yöntemlerini kaydetmek için Geçici Erişim Kodunu yapılandırma

Geçiş anahtarı (FIDO2) gibi parolasız kimlik doğrulama yöntemleri, kullanıcıların parola olmadan güvenli bir şekilde oturum açmasına olanak sağlar. Kullanıcılar parolasız yöntemleri iki yoldan biriyle önyükleyebilir:

  • Mevcut Microsoft Entra çok faktörlü kimlik doğrulama yöntemlerini kullanma
  • Geçici Erişim Geçişi Kullanma

Geçici Erişim Geçişi (TAP), tek kullanım veya birden çok oturum açma için yapılandırılabilir zaman sınırlı bir geçiş kodudur. Kullanıcılar, diğer parolasız kimlik doğrulama yöntemlerini eklemek için BIR TAP ile oturum açabilir. TAP ayrıca kullanıcı güçlü bir kimlik doğrulama yöntemini kaybettiğinde veya unuttuğunda kurtarmayı kolaylaştırır.

Bu makalede , Microsoft Entra yönetim merkezini kullanarak BIR TAP'yi etkinleştirme ve kullanma hakkında bilgi verilmektedir. Bu eylemleri REST API'lerini kullanarak da gerçekleştirebilirsiniz.

Geçici Erişim Geçişi ilkesini etkinleştirme

TAP politikası, kiracıda oluşturulan geçişlerin ömrü ile TAP kullanarak oturum açabilecek kullanıcılar ve gruplar gibi ayarları tanımlar.

Kullanıcıların TAP ile oturum açabilmesi için önce Kimlik doğrulama yöntemleri ilkesinde bu yöntemi etkinleştirmeniz ve TAP kullanarak hangi kullanıcıların ve grupların oturum açabileceğini seçmeniz gerekir.

Herhangi bir kullanıcı için BİR TAP oluşturabilirsiniz, ancak yalnızca ilkeye dahil olan kullanıcılar TAP ile oturum açabilir. TAP Kimlik Doğrulama yöntemleri ilkesini güncelleştirmek için Kimlik Doğrulama İlkesi Yöneticisi rolüne ihtiyacınız vardır.

Kimlik doğrulama yöntemleri ilkesinde TAP'yi yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.

  2. Entra ID>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.

  3. Kullanılabilir kimlik doğrulama yöntemleri listesinde Geçici Erişim Geçişi'ni seçin.

    Kimlik doğrulama yöntemleri ilke deneyiminde Geçici Erişim Geçişi'nin nasıl yönetileceğini gösteren ekran görüntüsü.

  4. etkinleştir'i seçin ve ardından ilkeye eklenecek veya ilkenin dışında tutulacak kullanıcıları seçin.

    Kimlik doğrulama yöntemleri ilkesinde Geçici Erişim Geçişi'nin nasıl etkinleştirileceğine ilişkin ekran görüntüsü.

  5. (İsteğe bağlı) Maksimum yaşam süresini veya uzunluğu ayarlama gibi varsayılan Geçici Erişim Geçişi ayarlarını değiştirmek için Yapılandır'ı seçin ve Güncelleştir'i seçin.

    Geçici Erişim Geçişi ayarlarını özelleştirme işleminin ekran görüntüsü.

  6. İlkeyi uygulamak için Kaydet'i seçin.

    Varsayılan değer ve izin verilen değer aralığı aşağıdaki tabloda açıklanmıştır.

    Ayarlar Varsayılan değerler İzin verilen değerler Açıklamalar
    Minimum yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en az dakika sayısı.
    Maksimum yaşam süresi 8 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en fazla dakika sayısı.
    Varsayılan yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) İlke tarafından yapılandırılan minimum ve maksimum yaşam süresi içinde tek tek geçişler varsayılan değeri geçersiz kılabilir.
    Tek seferlik kullanım Yanlış Doğru/Yanlış İlke false olarak ayarlandığında, kiracıdaki geçiş hakları, maksimum geçerlilik süresinde bir veya birden fazla kez kullanılabilir. TAP ilkesinde tek seferlik kullanım zorunluluğuyla, kiracıda oluşturulan tüm geçişler tek seferlik kullanımdır.
    Uzunluk 8 8-48 karakter Geçiş kodunun uzunluğunu tanımlar.

Geçici Erişim Geçişi Oluşturma

Tap ilkesini etkinleştirdikten sonra, Microsoft Entra Id'de kullanıcılar için bir TAP ilkesi oluşturabilirsiniz. Aşağıdaki roller bir TAP ile ilgili çeşitli eylemler gerçekleştirebilir.

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.

  2. Entra ID>Users konumuna gidin.

  3. TAP oluşturmak istediğiniz kullanıcıyı seçin.

  4. Kimlik doğrulama yöntemleri'ne tıklayın ve Kimlik doğrulama yöntemi ekle'yi seçin.

    Geçici Erişim Geçişi oluşturma ekran görüntüsü.

  5. Geçici Erişim Geçişi'ni seçin.

  6. Özel bir etkinleştirme süresi veya süresi tanımlayın ve Ekle'yi seçin.

    Yöntem ekleme - Geçici Erişim Geçişi'nin ekran görüntüsü.

  7. Eklendikten sonra, TAP'nin ayrıntıları gösterilir.

    Önemli

    Bu değeri kullanıcıya sağladığınız için gerçek TAP değerini not edin. Tamam'ı seçtikten sonra bu değeri görüntüleyemezsiniz.

    Geçici Erişim Geçişi ayrıntılarının ekran görüntüsü.

  8. İşiniz bittiğinde Tamam'ı seçin.

Aşağıdaki komutlar PowerShell kullanarak TAP oluşturma ve alma işlemini gösterir.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Daha fazla bilgi için bkz. New-MgUserAuthenticationTemporaryAccessPassMethod ve Get-MgUserAuthenticationTemporaryAccessPassMethod.

Geçici Erişim Geçişi Kullanma

TAP için en yaygın kullanım, kullanıcının ek güvenlik istemlerini tamamlamaya gerek kalmadan ilk oturum açma veya cihaz kurulumu sırasında kimlik doğrulama ayrıntılarını kaydetmesidir. Kimlik doğrulama yöntemleri adresinde https://aka.ms/mysecurityinfokaydedilir. Kullanıcılar burada mevcut kimlik doğrulama yöntemlerini de güncelleştirebilir.

  1. Bir web tarayıcısı açın ve https://aka.ms/mysecurityinfo adresine gidin.

  2. TAP'yi oluşturduğunuz hesabın UPN'sini girin, örneğin tapuser@contoso.com.

  3. Kullanıcı TAP ilkesine dahil edilirse, TAP'sini girmek için bir ekran görür.

  4. Microsoft Entra yönetim merkezinde görüntülenen TAP'yi girin.

    Geçici Erişim Geçişi'nin nasıl girilir ekran görüntüsü.

Not

Federasyon etki alanlarına sahip durumlarda, federasyon yerine TAP tercih edilir. TAP'ye sahip bir kullanıcı Microsoft Entra Id'de kimlik doğrulamasını tamamlar ve federasyon Kimlik Sağlayıcısı'na (IdP) yeniden yönlendirilmiyor.

Kullanıcı artık oturum açtı ve FIDO2 güvenlik anahtarı gibi bir yöntemi güncelleştirebilir veya kaydedebilir. Kimlik bilgilerini veya cihazlarını kaybettiği için kimlik doğrulama yöntemlerini güncelleştiren kullanıcılar, eski kimlik doğrulama yöntemlerini kaldırdığından emin olmalıdır. Kullanıcılar ayrıca parolalarını kullanarak oturum açmaya devam edebilir; TAP, kullanıcının parolasını değiştirmez.

Geçici Erişim Yetkisi kullanıcı yönetimi

Kullanıcılar https://aka.ms/mysecurityinfo üzerinde güvenlik bilgilerini yönettiklerinde Geçici Erişim Belgesi için bir giriş görürler. Bir kullanıcının başka kayıtlı yöntemi yoksa, ekranın üst kısmında yeni bir oturum açma yöntemi ekleme yazan bir başlık alır. Kullanıcılar ayrıca TAP sona erme süresini görebilir ve artık gerekli değilse TAP'i silebilir.

Kullanıcıların Güvenlik Bilgilerim'de Geçici Erişim Geçişi'ni nasıl yönetebileceğini gösteren ekran görüntüsü..

Windows cihaz kurulumu

TAP kullanan kullanıcılar, cihaz birleştirme işlemlerini gerçekleştirmek ve İş İçin Windows Hello yapılandırmak için Windows 10 ve 11'de kurulum işleminde gezinebilir. İş İçin Windows Hello ayarlamaya yönelik TAP kullanımı, cihazların katılmış durumuna göre değişir.

Microsoft Entra Id'ye katılmış cihazlar için:

  • Etki alanına katılma kurulum işlemi sırasında, kullanıcılar cihaza katılmak ve İş İçin Windows Hello kaydetmek için bir TAP (parola gerekmez) ile kimlik doğrulaması yapabilir.
  • Zaten katılmış cihazlarda, kullanıcıların İş İçin Windows Hello'yu ayarlamak için TAP'yi kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
  • Windows'da Web'de oturum açma özelliği de etkinleştirildiyse, kullanıcı cihazda oturum açmak için TAP kullanabilir. Bu yalnızca ilk cihaz kurulumunu tamamlamaya veya kullanıcı parola bilmediğinde veya parolaya sahip olmadığında kurtarma işlemine yöneliktir.

Karma birleştirilmiş cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.

Not

Federasyon etki alanları için, FederatedIdpMfaBehavior, MFA gerektiğinde davranışı değiştirir. enforceMfaByFederatedIdp için ayarlanırsa, kullanıcı federasyon IDP'sine yönlendirilir ve TAP'i kullanma fırsatına sahip olmaz. Ancak acceptIfMfaDoneByFederatedIdp olarak ayarlanırsa, kullanıcı Windows Hello for Business sağlama sırasında Entra ID içinde bir TAP istemi görür.

Not

federatedIdpMfaBehavior'ın MfaByFederatedIdp'i zorunlu kılacak şekilde ayarlandığı federasyon etki alanlarında, kullanıcılardan İş için Windows Hello'yu ayarlamak üzere çok faktörlü kimlik doğrulamasını (MFA) karşılamak için TAP istemeleri istenmez. Bunun yerine, çok faktörlü kimlik doğrulaması (MFA) için federasyon Kimlik Sağlayıcısı'na (IdP) yönlendirilirler.

Windows'un kurulumu sırasında Geçici Erişim Geçişi'nin nasıl girilir ekran görüntüsü.

TAP'i Microsoft Authenticator ile kullanma

Kullanıcılar, Microsoft Authenticator'ı hesaplarına kaydetmek için TAP'lerini de kullanabilir. İş veya okul hesabı ekleyerek ve TAP ile oturum açarak kullanıcılar doğrudan Authenticator uygulamasından hem geçiş tuşlarını hem de parolasız telefon oturum açma bilgilerini kaydedebilir.

Daha fazla bilgi için bkz. İş veya okul hesabınızı Microsoft Authenticator uygulamasına ekleme.

İş veya okul hesabı kullanarak Geçici Erişim Geçişi girme adımlarının ekran görüntüsü.

Konuk erişimi

Bir TAP'yi dahili bir konuk için oturum açma yöntemi olarak ekleyebilirsiniz, ancak diğer konuk türlerine ekleyemezsiniz. İç konuk, UserType kullanıcı nesnesini Konuk olarak ayarlamıştır. Microsoft Entra Id'de kayıtlı kimlik doğrulama yöntemleri vardır. İç konuklar ve diğer konuk hesapları hakkında daha fazla bilgi için bkz.B2B konuk kullanıcı özellikleri.

Microsoft Entra yönetim merkezinde veya Microsoft Graph'te bir dış konuk hesabına TAP eklemeye çalışırsanız, Geçici Erişim Geçişi'nin dış konuk kullanıcıya eklenemeyeceğini belirten bir hata alırsınız.

Dış konuk kullanıcılar, ev kiracıları kimlik doğrulama gereksinimlerini karşılayan bir TAP ile bir kaynak kiracısına giriş yapabilirler ve Kiracılar Arası Erişim ilkeleri, kullanıcıların ev kiracısından gelen MFA'ya güvenecek şekilde yapılandırılmışsa, bkz. B2B işbirliği için kiracılar arası erişim ayarlarını yönetme .

Süre Sonu

Süresi dolmuş veya silinmiş bir TAP, etkileşimli veya etkileşimli olmayan kimlik doğrulaması için kullanılamaz.

TAP süresi dolduktan veya silindikten sonra kullanıcıların farklı kimlik doğrulama yöntemleriyle yeniden kimlik doğrulamasına sahip olması gerekir.

TAP oturum açma kullanılarak elde edilen belirteç ömrü (oturum belirteci, yenileme belirteci, erişim belirteci vb.) TAP ömrüyle sınırlıdır. TAP süresi dolduğunda ilgili jetonun süresi de dolmuş olur.

Süresi dolan Geçici Erişim Geçişini silme

Bir kullanıcının kimlik doğrulama yöntemleri altında , Ayrıntı sütunu TAP'nin süresinin ne zaman dolduğunda gösterilir. Süresi dolmuş bir TAP'i aşağıdaki adımları kullanarak silebilirsiniz:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
  2. Entra ID>Users'a gidin, Kullanıcı'ya dokunun gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.
  3. Listede gösterilen Geçici Erişim Geçişi kimlik doğrulama yönteminin sağ tarafında Sil'i seçin.

PowerShell'i de kullanabilirsiniz:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Daha fazla bilgi için bkz. Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Geçici Erişim Geçişini Değiştirme

  • Her kullanıcının yalnızca bir TAP'i olabilir. Geçiş kodu, TAP'nin başlangıç ve bitiş zamanında kullanılabilir.
  • Bir kullanıcı yeni bir TAP gerektiriyorsa:
    • Mevcut TAP geçerliyse, yönetici mevcut geçerli TAP'ı geçersiz kılmak için yeni bir TAP oluşturabilir.
    • Mevcut TAP'in süresi dolduysa, yeni bir TAP mevcut TAP'i geçersiz kılar.

Sisteme dahil etme ve kurtarma için NIST standartları hakkında daha fazla bilgi için bkz. NIST Özel Yayını 800-63A.

Sınırlamalar

Şu sınırlamaları göz önünde bulundurun:

  • FIDO2 güvenlik anahtarı veya telefon oturumu açma gibi parolasız bir yöntemi kaydetmek için tek seferlik TAP kullanırken, kullanıcının kaydı tek seferlik TAP ile oturum açma işleminden sonra 10 dakika içinde tamamlaması gerekir. Bu sınırlama, birden çok kez kullanılabilen bir TAP için geçerli değildir.
  • Self servis parola sıfırlama (SSPR) kayıt ilkesi veya Microsoft Entra ID Protection çok faktörlü kimlik doğrulama kayıt ilkesi kapsamındaki kullanıcıların, bir tarayıcı kullanarak TAP ile oturum açtıktan sonra kimlik doğrulama yöntemlerini kaydetmeleri gerekmektedir. Bu ilkelerin kapsamındaki kullanıcılar, birleşik kaydın Kesme moduna yönlendirilir. Bu deneyim şu anda FIDO2 ve telefon oturum açma kaydını desteklememektedir.
  • TAP, Ağ İlkesi Sunucusu (NPS) uzantısı ve Active Directory Federasyon Hizmetleri (AD FS) bağdaştırıcısı ile kullanılamaz.
  • Değişikliklerin yansıtılması birkaç dakika sürebilir. Bu nedenle, bir hesaba bir TAP eklendikten sonra, uyarının görünmesi biraz zaman alabilir. Aynı nedenle, bir TAP'in süresi dolduktan sonra kullanıcılar yine de TAP uyarısı görebilir.

Sorun giderme

  • Oturum açma sırasında bir TAP kullanıcıya sunulmazsa:
    • Kullanıcının Kimlik doğrulama yöntemleri ilkesinde TAP kullanımı kapsamında olduğundan emin olun.
    • Kullanıcının geçerli bir TAP'si olduğundan ve eğer bu bir kerelik bir kullanım içinse henüz kullanılmadığından emin olun.
  • Tap ile oturum açma sırasında Kullanıcı Kimlik Bilgileri İlkesi göründüğü için Geçici Erişim Geçişi oturum açma engellendiyse:
    • Kullanıcının TAP ilkesi kapsamında olup olmadığını denetleyin
    • Kimlik doğrulama yöntemleri ilkesi, tek seferlik TAP gerektirirken, kullanıcının birden fazla kullanım için TAP'e sahip olmadığından emin olun.
    • Bir kerelik TAP'in zaten kullanılıp kullanılmadığını kontrol edin.
  • Bir hesaba kimlik doğrulama yöntemi olarak TAP eklemeyi denediğinizde Geçici Erişim Parolası bir dış konuk kullanıcıya eklenemiyorsa bu, hesabın bir dış konuk olduğunu gösterir. Hem iç hem de dış konuk hesapları, Microsoft Entra yönetim merkezinde ve Microsoft Graph API'lerinde oturum açmak için BIR TAP ekleme seçeneğine sahiptir. Ancak, yalnızca iç konuk hesaplarına TAP verilebilir.

Sonraki adımlar

  • Last updated on