Çok faktörlü kimlik doğrulama dağıtımınızı planlama
Microsoft Entra çok faktörlü kimlik doğrulamasını dağıtmaya başlamadan önce karar vermeniz gereken birkaç şey vardır.
İlk olarak, MFA'yı aşamalı olarak kullanıma almayı düşünün. Ortamınızın karmaşıklığını değerlendirmek için küçük bir pilot kullanıcı grubuyla başlayın ve kurulum sorunlarını ya da desteklenmeyen uygulama ya da cihazları belirleyin. Ardından, bu grubu zaman içinde genişletin ve şirketinizin tamamı kaydedilene kadar her geçişte sonuçları değerlendirin.
Ardından, eksiksiz bir iletişim planı seçtiğinizden emin olun. Microsoft Entra çok faktörlü kimlik doğrulaması, kayıt işlemi de dahil olmak üzere çeşitli kullanıcı etkileşimi gereksinimlerine sahiptir. Her adımda kullanıcıları bilgilendirin. Ne yapması gerektiğini, önemli tarihleri ve sorun yaşıyorlarsa soruların yanıtlarını nasıl alacaklarını onlara bildirin. Microsoft, posterler ve e-posta şablonları da dahil olmak üzere iletişimlerinizin taslağına yardımcı olmak için iletişim şablonları sağlar.
Microsoft Entra çok faktörlü kimlik doğrulama ilkeleri
Microsoft Entra çok faktörlü kimlik doğrulaması Koşullu Erişim ilkeleriyle uygulanır. Koşullu Erişim ilkeleri IF-THEN deyimleridir. EĞER bir kullanıcı bir kaynağa erişmek istiyorsa, BU DURUMDA bir eylemi tamamlaması gerekir. Örneğin, bordro yöneticisi bordro uygulamasına erişmek ister ve bu uygulamaya erişmek için çok faktörlü kimlik doğrulaması gerçekleştirmek için gereklidir. MFA gerektirebilecek diğer yaygın erişim istekleri şunlardır:
- EĞER bir bulut uygulamasına erişiliyorsa
- EĞER kullanıcı belirli bir ağa erişiyorsa
- EĞER kullanıcı belirli bir istemci uygulamasına erişiyorsa
- EĞER kullanıcı yeni bir cihaz kaydediyorsa
Desteklenen kimlik doğrulama yöntemlerine karar verme
Microsoft Entra çok faktörlü kimlik doğrulamasını açtığınızda, kullanılabilir hale getirmek istediğiniz kimlik doğrulama yöntemlerini seçebilirsiniz. Kullanıcıların birincil yöntemin kullanılamaması durumunda yedek bir seçeneğinin olması için her zaman birden fazla yöntemi desteklemeniz gerekir. Aşağıdaki yöntemler arasından seçim yapabilirsiniz:
| Metot | Açıklama |
|---|---|
| Mobil Uygulama Doğrulama kodu | Microsoft Authenticator uygulaması gibi bir mobil kimlik doğrulama uygulaması, daha sonra oturum açma arabirimine girilen oath doğrulama kodunu almak için kullanılabilir. Bu kod her 30 saniyede bir değiştirilir ve bağlantı sınırlı olsa bile uygulama çalışır. Bu yaklaşım Android cihazlarda Çin'de çalışmaz. |
| Mobil uygulama bildirimi | Azure, Microsoft Authenticator gibi bir mobil kimlik doğrulama uygulamasına anında iletme bildirimi gönderebilir. Kullanıcı anında iletme bildirimini seçebilir ve oturum açmayı doğrulayabilir. |
| Telefon çağrısı | Azure, verilen bir telefon numarasını arayabilir. Kullanıcı daha sonra tuş takımını kullanarak kimlik doğrulamasını onaylar. Bu yöntem yedeklemeler için tercih edilir. |
| FIDO2 güvenlik anahtarı | FIDO2 güvenlik anahtarları, standart tabanlı şifresiz kimlik doğrulama yöntemidir. Bu tuşlar genellikle USB cihazlarıdır, ancak Bluetooth veya NFC de kullanabilir. |
| İş İçin Windows Hello | İş İçin Windows Hello, parolaları cihazlarda güçlü iki öğeli kimlik doğrulamasıyla değiştirir. Bu kimlik doğrulaması, bir cihaza bağlı olan ve biyometrik veya PIN kullanan bir kullanıcı kimlik bilgisi türünden oluşur. |
| OATH belirteçleri | OATH belirteçleri, Microsoft Authenticator uygulaması ve diğer kimlik doğrulayıcı uygulamaları gibi yazılım uygulamaları veya müşterilerin farklı satıcılardan satın alabildiği donanım tabanlı belirteçler olabilir. |
Yönetici istrator'lar bu seçeneklerden birini veya daha fazlasını etkinleştirebilir ve kullanıcılar kullanmak istedikleri her kimlik doğrulama yöntemini destekleyebilir.
Kimlik doğrulama yöntemi seçme
Son olarak, kullanıcıların seçtikleri yöntemleri nasıl kaydettiklerine karar vermeniz gerekir. En kolay yaklaşım Microsoft Entra Kimlik Koruması kullanmaktır. Kuruluşunuzun Kimlik Koruması lisansı varsa, bunu yapılandırarak kullanıcılardan bir sonraki oturum açışında MFA'ya kaydolmalarını isteyebilirsiniz.
Ayrıca, çok faktörlü kimlik doğrulaması gerektiren bir uygulama veya hizmet kullanmaya çalıştıklarında kullanıcılardan MFA'ya kaydolmalarını isteyebilirsiniz. Son olarak, kuruluşunuzdaki tüm kullanıcıları içeren bir Azure grubuna uygulanan Koşullu Erişim ilkesini kullanarak kaydı zorunlu kılabilirsiniz. Bu yaklaşım, kayıtlı kullanıcıları kaldırmak üzere düzenli aralıklarla grubu gözden geçirmek için el ile birkaç çalışma yapılmasını gerektirir. Bu işlemin bazılarını otomatikleştirmeye yönelik bazı yararlı betikler için bkz . Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama.