Aracılığıyla paylaş


Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama

Microsoft Entra çok faktörlü kimlik doğrulaması, veri ve uygulamalara erişimi korumaya yardımcı olur ve ikinci bir kimlik doğrulama biçimi kullanarak başka bir güvenlik katmanı sağlar. Kuruluşlar, çözümü kendi ihtiyaçlarına uygun hale getirmek için Koşullu Erişim ile çok faktörlü kimlik doğrulamasını etkinleştirebilir.

Bu dağıtım kılavuzu, Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama ve uygulama adımlarını gösterir.

Microsoft Entra çok faktörlü kimlik doğrulamasını dağıtma önkoşulları

Dağıtımınıza başlamadan önce, ilgili senaryolarınız için aşağıdaki önkoşulları karşıladığınızdan emin olun.

Senaryo Önkoşul
Modern kimlik doğrulaması ile yalnızca bulut kimlik ortamı Önkoşul görevi yok
Karma kimlik senaryoları Microsoft Entra Connect'i dağıtın ve şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ile Microsoft Entra Kimliği arasında kullanıcı kimliklerini eşitleyin.
Bulut erişimi için yayımlanan şirket içi eski uygulamalar Microsoft Entra uygulama ara sunucusunu dağıtma

MFA için kimlik doğrulama yöntemlerini seçme

İkinci faktör kimlik doğrulaması için kullanılabilecek birçok yöntem vardır. Her birini güvenlik, kullanılabilirlik ve kullanılabilirlik açısından değerlendirerek kullanılabilir kimlik doğrulama yöntemleri listesinden seçim yapabilirsiniz.

Önemli

Kullanıcıların birincil yöntemlerinin kullanılamaması durumunda bir yedekleme yöntemine sahip olması için birden fazla MFA yöntemini etkinleştirin. Yöntemler şunlardır:

Kiracınızda kullanılacak kimlik doğrulama yöntemlerini seçerken şu yöntemlerin güvenliğini ve kullanılabilirliğini göz önünde bulundurun:

Doğru kimlik doğrulaması yöntemini seçme

Bu yöntemlerin gücü ve güvenliği ve nasıl çalıştıkları hakkında daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Kullanıcıların MFA yapılandırmalarını analiz etmek ve uygun MFA kimlik doğrulama yöntemini önermek için bu PowerShell betiğini kullanabilirsiniz.

En iyi esneklik ve kullanılabilirlik için Microsoft Authenticator uygulamasını kullanın. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyimini ve parolasız, MFA anında iletme bildirimleri ve OATH kodları gibi birden çok modu sağlar. Microsoft Authenticator uygulaması, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Authenticator Güvencesi Düzey 2 gereksinimlerini de karşılar.

Kiracınızda kullanılabilen kimlik doğrulama yöntemlerini denetleyebilirsiniz. Örneğin, SMS gibi en az güvenli yöntemlerden bazılarını engellemek isteyebilirsiniz.

Kimlik doğrulama yöntemi Şu kaynaktan yönet: Kapsam Belirleme
Microsoft Authenticator (Anında iletme bildirimi ve parolasız telefon oturumu açma) MFA ayarları veya Kimlik doğrulama yöntemleri ilkesi Kimlik doğrulayıcı parolasız telefon oturum açmanın kapsamı kullanıcılar ve gruplara göre ayarlanabilir
FIDO2 güvenlik anahtarı Kimlik doğrulama yöntemleri ilkesi Kapsamı kullanıcılar ve gruplar olarak ayarlanabilir
Yazılım veya Donanım OATH belirteçleri MFA ayarları
SMS doğrulaması MFA ayarları
Kimlik doğrulama ilkesinde birincil kimlik doğrulaması için SMS oturum açmayı yönetme
SMS oturum açmanın kapsamı kullanıcılar ve gruplar olarak belirlenebilir.
Sesli aramalar Kimlik doğrulama yöntemleri ilkesi

Koşullu Erişim ilkelerini planlama

Microsoft Entra çok faktörlü kimlik doğrulaması Koşullu Erişim ilkeleriyle uygulanır. Bu ilkeler, gerektiğinde güvenlik için kullanıcılardan MFA istemenizi ve gerekmediğinde kullanıcıların yolundan uzak durmanızı sağlar.

Kavramsal Koşullu Erişim işlem akışı

Microsoft Entra yönetim merkezinde, Koşullu Erişim ilkelerini Koruma>Koşullu Erişim altında yapılandırabilirsiniz.

Koşullu Erişim ilkeleri oluşturma hakkında daha fazla bilgi edinmek için bkz . Kullanıcı oturum açtığında Microsoft Entra çok faktörlü kimlik doğrulamasını isteyen Koşullu Erişim ilkesi. Bu, şunları kullanmanıza yardımcı olur:

  • Kullanıcı arabirimi hakkında bilgi sahibi olun
  • Koşullu Erişim'in nasıl çalıştığı hakkında ilk izlenimi edinin

Microsoft Entra Koşullu Erişim dağıtımı hakkında uçtan uca yönergeler için Koşullu Erişim dağıtım planına bakın.

Microsoft Entra çok faktörlü kimlik doğrulaması için yaygın ilkeler

Microsoft Entra çok faktörlü kimlik doğrulaması gerektiren yaygın kullanım örnekleri şunlardır:

  • Yöneticiler için
  • Belirli uygulamalara
  • Tüm kullanıcılar için
  • Azure yönetimi için
  • Güvenmediğiniz ağ konumlarından

Adlandırılmış konumlar

Koşullu Erişim ilkelerinizi yönetmek için Koşullu Erişim ilkesinin konum koşulu, erişim denetimleri ayarlarını kullanıcılarınızın ağ konumlarına bağlamanıza olanak tanır. IP adresi aralıkları veya ülkeler ve bölgeler için mantıksal gruplandırmalar oluşturabilmeniz için Adlandırılmış Konumlar kullanmanızı öneririz. Bu, tüm uygulamalar için bu adlandırılmış konumdan oturum açmayı engelleyen bir ilke oluşturur. Yöneticilerinizi bu ilkeden muaf tutmayı unutmayın.

Risk tabanlı ilkeler

Kuruluşunuz risk sinyallerini algılamak için Microsoft Entra Kimlik Koruması kullanıyorsa adlandırılmış konumlar yerine risk tabanlı ilkeler kullanmayı göz önünde bulundurun. Güvenliği aşılmış kimlik tehdidi söz konusu olduğunda parola değişikliklerini zorlamak veya sızdırılan kimlik bilgileri, anonim IP adreslerinden oturum açma işlemleri gibi bir oturum açma risk altında olduğu durumlarda MFA gerektiren ilkeler oluşturulabilir.

Risk ilkeleri şunlardır:

Kullanıcıları kullanıcı başına MFA'dan Koşullu Erişim tabanlı MFA'ya dönüştürme

Kullanıcılarınız kullanıcı başına MFA etkinken etkinleştirildiyse ve Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kıldıysa, tüm kullanıcılar için Koşullu Erişimi etkinleştirmenizi ve ardından kullanıcı başına çok faktörlü kimlik doğrulamasını el ile devre dışı bırakmanızı öneririz. Daha fazla bilgi için bkz . Koşullu Erişim ilkesi oluşturma.

Kullanıcı oturum ömrünü planlama

Çok faktörlü kimlik doğrulama dağıtımınızı planlarken, kullanıcılarınıza ne sıklıkta sorulacağını düşünmeniz önemlidir. Kullanıcılardan kimlik bilgilerini istemek genellikle mantıklı bir işlem gibi görünür, ancak geri tepebilir. Kullanıcılar, kimlik bilgilerini düşünmeden girmek için eğitildiyse, istemeden kötü amaçlı bir kimlik bilgisi istemine sağlayabilirler. Microsoft Entra Id'de, ne sıklıkta yeniden kimlik doğrulaması yapmanız gerektiğini belirleyen birden çok ayar vardır. İşletmenizin ve kullanıcılarınızın gereksinimlerini anlayın ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırın.

Gelişmiş son kullanıcı deneyimi için Birincil Yenileme Belirteçleri (PRT) olan cihazları kullanmanızı ve oturum açma sıklığı ilkesiyle oturum ömrünü yalnızca belirli iş kullanım örneklerinde azaltmanızı öneririz.

Daha fazla bilgi için bkz . Yeniden kimlik doğrulama istemlerini iyileştirme ve Microsoft Entra çok faktörlü kimlik doğrulaması için oturum ömrünü anlama.

Kullanıcı kaydını planlama

Her çok faktörlü kimlik doğrulaması dağıtımında önemli bir adım, kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulamasını kullanacak şekilde kaydolmasını sağlamaktır. Voice ve SMS gibi kimlik doğrulama yöntemleri önceden kayıt yapılmasına izin verirken Authenticator Uygulaması gibi diğer kullanıcılar kullanıcı etkileşimi gerektirir. Yöneticilerin kullanıcıların yöntemlerini nasıl kaydedeceğini belirlemesi gerekir.

SSPR ve Microsoft Entra çok faktörlü kimlik doğrulaması için birleşik kayıt

Microsoft Entra çok faktörlü kimlik doğrulaması ve self servis parola sıfırlama (SSPR) için birleşik kayıt deneyimi, kullanıcıların birleşik bir deneyimde hem MFA hem de SSPR'ye kaydolmasını sağlar. SSPR, kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulaması için kullandıkları yöntemleri kullanarak parolalarını güvenli bir şekilde sıfırlamalarına olanak tanır. İşlevselliği ve son kullanıcı deneyimini anladığınızdan emin olmak için birleşik güvenlik bilgileri kayıt kavramlarına bakın.

Kullanıcıları yaklaşan değişiklikler, kayıt gereksinimleri ve gerekli kullanıcı eylemleri hakkında bilgilendirmek kritik önem taşır. Kullanıcılarınızı yeni deneyime hazırlamak ve başarılı bir dağıtım sağlamaya yardımcı olmak için iletişim şablonları ve kullanıcı belgeleri sağlıyoruz. Bu sayfadaki Güvenlik Bilgileri bağlantısını seçerek kullanıcıları kaydolmaları için https://myprofile.microsoft.com gönderebilirsiniz.

Microsoft Entra Kimlik Koruması kaydı

Microsoft Entra Kimlik Koruması, Microsoft Entra çok faktörlü kimlik doğrulama hikayesine hem kayıt ilkesi hem de otomatik risk algılama ve düzeltme ilkelerine katkıda bulunur. Güvenliği aşılmış kimlik tehdidi olduğunda parola değişikliklerini zorlamak veya oturum açma riskli kabul edildiğinde MFA gerektirmek için ilkeler oluşturulabilir. Microsoft Entra Kimlik Koruması kullanıyorsanız, kullanıcılarınızdan etkileşimli olarak bir sonraki oturum açışında kaydolmalarını isteyecek şekilde Microsoft Entra çok faktörlü kimlik doğrulama kayıt ilkesini yapılandırın.

Microsoft Entra Kimlik Koruması olmadan kayıt

Microsoft Entra Kimlik Koruması etkinleştiren lisanslarınız yoksa, kullanıcılardan bir sonraki oturum açmada MFA gerektiğinde kaydolmaları istenir. Kullanıcıların MFA kullanmasını istemek için Koşullu Erişim ilkelerini kullanabilir ve İk sistemleri gibi sık kullanılan uygulamaları hedefleyebilirsiniz. Bir kullanıcının parolası tehlikeye girerse, hesabın denetimini alarak MFA'ya kaydolmak için kullanılabilir. Bu nedenle, güvenilen cihazlar ve konumlar gerektiren Koşullu Erişim ilkeleriyle güvenlik kaydı işleminin güvenliğini sağlamanızı öneririz. Geçici Erişim Geçişi de gerektirerek işlemin güvenliğini daha da sağlayabilirsiniz. Güçlü kimlik doğrulama gereksinimlerini karşılayan ve Parolasız olanlar da dahil olmak üzere diğer kimlik doğrulama yöntemlerini eklemek için kullanılabilen, yönetici tarafından verilen sınırlı süreli geçiş kodu.

Kayıtlı kullanıcıların güvenliğini artırma

SMS veya sesli arama kullanarak MFA'ya kaydolan kullanıcılarınız varsa, bunları Microsoft Authenticator uygulaması gibi daha güvenli yöntemlere taşımak isteyebilirsiniz. Microsoft artık kullanıcılardan oturum açma sırasında Microsoft Authenticator uygulamasını ayarlamalarını istemenizi sağlayan genel bir işlev önizlemesi sunar. Bu istemleri gruba göre ayarlayabilir, kimin istendiği denetlenebilir ve hedeflenen kampanyaların kullanıcıları daha güvenli bir yönteme taşımasını sağlayabilirsiniz.

Kurtarma senaryolarını planlama

Daha önce belirtildiği gibi, kullanıcıların birden fazla MFA yöntemine kayıtlı olduğundan emin olun, böylece bir MFA kullanılamıyorsa yedekleri olur. Kullanıcının kullanılabilir bir yedekleme yöntemi yoksa şunları yapabilirsiniz:

  • Kendi kimlik doğrulama yöntemlerini yönetebilmeleri için onlara Geçici Erişim Geçişi sağlayın. Kaynaklara geçici erişimi etkinleştirmek için Geçici Erişim Geçişi de sağlayabilirsiniz.
  • Yöntemlerini yönetici olarak güncelleştirin. Bunu yapmak için Microsoft Entra yönetim merkezinde kullanıcıyı seçin, ardından Koruma>Kimlik Doğrulama yöntemleri'ni seçin ve yöntemlerini güncelleştirin.

Şirket içi sistemlerle tümleştirmeyi planlama

Doğrudan Microsoft Entra ID ile kimlik doğrulaması yapabilen ve modern kimlik doğrulamasına (WS-Fed, SAML, OAuth, OpenID Connect) sahip uygulamalar Koşullu Erişim ilkelerini kullanabilir. Bazı eski ve şirket içi uygulamalar Doğrudan Microsoft Entra Kimliği'ne göre kimlik doğrulamaz ve Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmak için ek adımlar gerektirir. Microsoft Entra uygulama ara sunucusunu veya Ağ ilkesi hizmetlerini kullanarak bunları tümleştirebilirsiniz.

AD FS kaynaklarıyla tümleştirme

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile güvenliği sağlanan uygulamaları Microsoft Entra Id'ye geçirmenizi öneririz. Ancak, bunları Microsoft Entra Id'ye geçirmeye hazır değilseniz, AD FS 2016 veya daha yeni bir sürümle Azure çok faktörlü kimlik doğrulama bağdaştırıcısını kullanabilirsiniz.

Kuruluşunuz Microsoft Entra Id ile birleştirilmişse, Microsoft Entra çok faktörlü kimlik doğrulamasını hem şirket içi hem de buluttaki AD FS kaynaklarıyla bir kimlik doğrulama sağlayıcısı olarak yapılandırabilirsiniz.

RADIUS istemcileri ve Microsoft Entra çok faktörlü kimlik doğrulaması

RADIUS kimlik doğrulaması kullanan uygulamalar için istemci uygulamalarını SAML, OpenID Connect veya Microsoft Entra Id üzerinde OAuth gibi modern protokollere taşımanızı öneririz. Uygulama güncelleştirilemiyorsa Ağ İlkesi Sunucusu (NPS) uzantısını dağıtabilirsiniz. Ağ ilkesi sunucusu (NPS) uzantısı, ikinci bir kimlik doğrulaması faktörü sağlamak için RADIUS tabanlı uygulamalar ile Microsoft Entra çok faktörlü kimlik doğrulaması arasında bir bağdaştırıcı işlevi görür.

Yaygın tümleştirmeler

Birçok satıcı artık uygulamaları için SAML kimlik doğrulamasını destekliyor. Mümkün olduğunda, bu uygulamaları Microsoft Entra Id ile birleştirmenizi ve Koşullu Erişim aracılığıyla MFA'yı zorunlu tutmanızı öneririz. Satıcınız modern kimlik doğrulamasını desteklemiyorsa NPS uzantısını kullanabilirsiniz. Yaygın RADIUS istemci tümleştirmeleri Uzak Masaüstü Ağ Geçitleri ve VPN sunucuları gibi uygulamaları içerir.

Diğerleri şunlar olabilir:

  • Citrix Gateway

    Citrix Gateway hem RADIUS hem de NPS uzantısı tümleştirmesini ve SAML tümleştirmesini destekler.

  • Cisco VPN

    • Cisco VPN, SSO için hem RADIUS hem de SAML kimlik doğrulamasını destekler.
    • RADIUS kimlik doğrulamasından SAML'ye geçerek, NPS uzantısını dağıtmadan Cisco VPN'yi tümleştirebilirsiniz.
  • Tüm VPN'ler

Microsoft Entra çok faktörlü kimlik doğrulamasını dağıtma

Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planınız, destek kapasitenizin içindeki dağıtım dalgalarının ardından bir pilot dağıtım içermelidir. Koşullu Erişim ilkelerinizi küçük bir pilot kullanıcı grubuna uygulayarak dağıtımınıza başlayın. Pilot kullanıcılar, kullanılan işlem ve kayıt davranışları üzerindeki etkisini değerlendirdikten sonra ilkeye daha fazla grup ekleyebilir veya mevcut gruplara daha fazla kullanıcı ekleyebilirsiniz.

Şu adımları izleyin:

  1. Gerekli önkoşulları karşılama
  2. Seçilen kimlik doğrulama yöntemlerini yapılandırma
  3. Koşullu Erişim ilkelerinizi yapılandırma
  4. Oturum ömrü ayarlarını yapılandırma
  5. Microsoft Entra çok faktörlü kimlik doğrulaması kayıt ilkelerini yapılandırma

Microsoft Entra çok faktörlü kimlik doğrulamasını yönetme

Bu bölümde, Microsoft Entra çok faktörlü kimlik doğrulaması için raporlama ve sorun giderme bilgileri sağlanır.

Raporlama ve İzleme

Microsoft Entra ID'de teknik ve iş içgörüleri sağlayan raporlar bulunur, dağıtımınızın ilerleme durumunu izleyin ve kullanıcılarınızın MFA ile oturum açmada başarılı olup olmadığını denetleyin. İş ve teknik uygulama sahiplerinizin bu raporların sahipliğini üstlenmelerini ve kuruluşunuzun gereksinimlerine göre kullanmalarını sağlayın.

Kimlik Doğrulama Yöntemleri Etkinlik panosunu kullanarak kuruluşunuz genelinde kimlik doğrulama yöntemi kaydını ve kullanımını izleyebilirsiniz. Bu, hangi yöntemlerin kaydedilmekte olduğunu ve bunların nasıl kullanıldığını anlamanıza yardımcı olur.

MFA olaylarını gözden geçirmek için oturum açma raporu

Microsoft Entra oturum açma raporları, bir kullanıcıdan MFA istendiğinde ve koşullu erişim ilkeleri kullanılıyorsa olaylar için kimlik doğrulama ayrıntılarını içerir. PowerShell'i, Microsoft Entra çok faktörlü kimlik doğrulaması için kayıtlı kullanıcılara raporlamak için de kullanabilirsiniz.

Bulut MFA etkinliği için NPS uzantısı ve AD FS günlükleri artık Oturum açma günlüklerine eklenmiştir ve artık Etkinlik raporunda yayımlanmaz.

Daha fazla bilgi ve ek Microsoft Entra çok faktörlü kimlik doğrulama raporları için bkz . Microsoft Entra çok faktörlü kimlik doğrulama olaylarını gözden geçirme.

Microsoft Entra çok faktörlü kimlik doğrulaması sorunlarını giderme

Yaygın sorunlar için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması sorunlarını giderme.

Kılavuzlu izlenecek yol

Bu makaledeki önerilerin birçoğuna yönelik kılavuzlu kılavuz için bkz . Microsoft 365 Çok faktörlü kimlik doğrulamasını yapılandırma kılavuzlu kılavuzu.

Sonraki adımlar

Diğer kimlik özelliklerini dağıtma