AD FS kullanarak Microsoft Entra çok faktörlü kimlik doğrulamasını kimlik doğrulama sağlayıcısı olarak yapılandırma

Bu makaledeki bilgiler Windows 2016 ve üzeri için geçerlidir.

Kuruluşunuz Microsoft Entra Id ile birleştirilmişse, hem şirket içinde hem de bulutta Active Directory Federasyon Hizmetleri (AD FS) kaynaklarının güvenliğini sağlamak için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanabilirsiniz. Microsoft Entra çok faktörlü kimlik doğrulaması, parolaları ortadan kaldırmanıza ve kimlik doğrulaması için daha güvenli bir yol sağlamanıza olanak tanır. AD FS ile, birincil kimlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulamasını yapılandırabilir veya ek kimlik doğrulama sağlayıcısı olarak kullanabilirsiniz.

Windows Server 2012 R2'deki AD FS'nin aksine, AD FS 2016 Microsoft Entra çok faktörlü kimlik doğrulama bağdaştırıcısı doğrudan Microsoft Entra Kimliği ile tümleşir ve şirket içi Azure Multifactor Authentication Sunucusu gerektirmez. Microsoft Entra çok faktörlü kimlik doğrulama bağdaştırıcısı Windows Server 2016'da yerleşiktir. Başka yükleme gerekmez.

AD FS kullanarak kullanıcıları Microsoft Entra çok faktörlü kimlik doğrulamasına kaydetme

AD FS, telefon numarası veya mobil uygulama gibi Microsoft Entra çok faktörlü kimlik doğrulaması güvenlik doğrulama bilgilerinin satır içi "doğrulama" kaydını desteklemez. Satır içi kanıt desteği olmadan, kullanıcıların AD FS uygulamalarında kimlik doğrulaması yapmak için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmadan önce https://account.activedirectory.windowsazure.com/Proofup.aspx ziyaret ederek onay almaları gerekir. Microsoft Entra ID'de henüz doğrulama yapmamış bir kullanıcı, AD FS'de Microsoft Entra çok faktörlü kimlik doğrulamasıyla kimlik doğrulaması yapmaya çalıştığında, AD FS hatası alır. Ad FS yöneticisi olarak, kullanıcıyı doğrulama sayfasına yönlendirmek için bu hata deneyimini özelleştirebilirsiniz. AD FS sayfasındaki hata iletisi dizesini algılamak için onload.js özelleştirme kullanarak bu iletiyi oluşturabilirsiniz. Ardından, kullanıcıyı kimlik doğrulamasını yeniden deneyebilmesi için https://aka.ms/mfasetup'a yönlendiren yeni bir ileti gösterebilirsiniz. Daha fazla bilgi için bkz. AD FS web sayfasını özelleştirerek kullanıcılara MFA doğrulama yöntemlerinikaydetme konusunda yol gösterme.

Note

Bu güncelleştirmeden önce, kullanıcılar https://account.activedirectory.windowsazure.com/Proofup.aspxziyaret ederek kayıt için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanarak kimliklerini doğrulamak zorunda kaldılar. Bu güncelleştirmeyle, Microsoft Entra çok faktörlü kimlik doğrulaması doğrulama bilgilerini henüz kaydetmemiş bir AD FS kullanıcısı, Windows Tümleşik Kimlik Doğrulaması veya AD FS web sayfalarında kullanıcı adı ve parola gibi yalnızca birincil kimlik doğrulamasıyla https://aka.ms/mfasetup kısayolunu kullanarak Azure doğrulama sayfasına erişebilir. Kullanıcının yapılandırılmış doğrulama yöntemi yoksa, Microsoft Entra Id satır içi kayıt gerçekleştirir. Kullanıcı "Yöneticiniz ek güvenlik doğrulaması için bu hesabı ayarlamanızı istedi" iletisini görür. Ardından kullanıcı Şimdi ayarla'yı seçer. En az bir doğrulama yöntemi yapılandırılmış olan kullanıcılardan, yazım denetleme sayfasını ziyaret ederken yine de çok faktörlü kimlik doğrulaması (MFA) sağlamaları istenir.

Önerilen dağıtım topolojileri

Bu bölüm, Ad FS ile birincil kimlik doğrulama yöntemi olarak Microsoft Entra çok faktörlü kimlik doğrulamasını ve Office 365 için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmayı kapsar.

Birincil kimlik doğrulaması olarak Microsoft Entra çok faktörlü kimlik doğrulaması

AD FS ile Birincil Kimlik Doğrulaması olarak Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmanın birkaç harika nedeni vardır:

• Microsoft Entra Id, Office 365 ve diğer AD FS uygulamalarında oturum açmak için parolaları önler.
• Paroladan önceki doğrulama kodu gibi başka bir faktör gerektirerek parola tabanlı oturum açmayı korur.

Ayrıca birincil kimlik doğrulama yöntemi olarak Microsoft Entra çok faktörlü kimlik doğrulamasını ve ek faktörler isteyerek gerçek MFA da dahil olmak üzere Microsoft Entra Koşullu Erişim'i kullanmak isteyebilirsiniz. Şirket içinde Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmak için, SupportsMfa$trueolarak ayarlayarak Microsoft Entra etki alanı ayarını yapılandırabilirsiniz. Bu yapılandırmada, Microsoft Entra ID, AD FS'nin bunu gerektiren koşullu erişim senaryoları için ek kimlik doğrulaması veya "true MFA" gerçekleştirmesini isteyebilir.

Kayıtlı olmayan (henüz MFA doğrulama bilgilerini yapılandırmamış) tüm AD FS kullanıcılarından doğrulama bilgilerini yapılandırması istenmelidir. Kayıtlı olmayan kullanıcıları yönlendirmek için kullanıcıları https://aka.ms/mfasetup'e yönlendiren ve doğrulama bilgilerini yapılandıran özelleştirilmiş bir AD FS hata sayfası kullanabilirsiniz. Yapılandırmadan sonra kullanıcı AD FS oturum açma işlemini yeniden gerçekleştirebilir.

Birincil kimlik doğrulaması olarak Microsoft Entra çok faktörlü kimlik doğrulaması tek bir faktör olarak kabul edilir. İlk yapılandırmadan sonra kullanıcıların Microsoft Entra Id'de doğrulama bilgilerini yönetmek veya güncelleştirmek ya da MFA gerektiren diğer kaynaklara erişmek için başka bir faktör sağlaması gerekir.

Note

AD FS 2019 ile, Active Directory Talep Sağlayıcısı güveni için bağlayıcı talep türünde bir değişiklik yapmanız ve bunu "windowsaccountname" değerinden "Kullanıcı Temel Adı (UPN)" olarak değiştirmeniz gerekir. Aşağıdaki PowerShell cmdlet'ini çalıştırın. Bunun AD FS grubunun iç işleyişi üzerinde hiçbir etkisi yoktur. Bu değişiklik yapıldıktan sonra birkaç kullanıcıdan kimlik bilgileri yeniden istenebilir. Yeniden oturum açtıktan sonra son kullanıcılar hiçbir fark görmez.

Set-AdfsClaimsProviderTrust -AnchorClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn" -TargetName "Active Directory"

Office 365'e ek kimlik doğrulaması olarak Microsoft Entra çok faktörlü kimlik doğrulaması

AD FS için Microsoft Entra çok faktörlü kimlik doğrulama bağdaştırıcısı, kullanıcılarınızın AD FS üzerinde MFA gerçekleştirmesini sağlar. Microsoft Entra kaynağınızın güvenliğini sağlamak için Koşullu Erişim ilkesi aracılığıyla MFA'ya ihtiyacınız olmalıdır. Ayrıca, SupportsMfa etki alanı ayarını $true olarak ayarlamalı ve kullanıcı iki aşamalı doğrulamayı başarıyla gerçekleştirdiğinde çok faktörlü kimlik doğrulama talebi yaymalısınız.

Daha önce açıklandığı gibi, kayıtlı olmayan (henüz MFA doğrulama bilgilerini yapılandırmamış) tüm AD FS kullanıcılarından doğrulama bilgilerini yapılandırması istenmelidir. Kayıtlı olmayan kullanıcıları yönlendirmek için kullanıcıları https://aka.ms/mfasetup'e yönlendiren ve doğrulama bilgilerini yapılandıran özelleştirilmiş bir AD FS hata sayfası kullanabilirsiniz. Yapılandırmadan sonra kullanıcı AD FS oturum açma işlemini yeniden gerçekleştirebilir.

Prerequisites

AD FS ile kimlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulamasını kullandığınızda aşağıdaki önkoşullar gereklidir:

• Microsoft Entra IDile bir Azure aboneliği.
• Microsoft Entra çok faktörlü kimlik doğrulaması.

Note

Microsoft Entra Id ve Microsoft Entra çok faktörlü kimlik doğrulaması, Microsoft Entra ID P1 veya P2 ve Enterprise Mobility Suite'e (EMS) dahildir. Bu uygulamalardan herhangi biri yüklüyse bireysel aboneliklere ihtiyacınız yoktur.

• Bir Windows Server 2016 AD FS şirket içi ortamı.
  • Sunucunun 443 numaralı bağlantı noktası üzerinden aşağıdaki URL'lerle iletişim kurabilmesi gerekir.
    • https://adnotifications.windowsazure.com
      • https://login.microsoftonline.com
• Şirket içi ortamınızın Microsoft Entra ID ile federeolması gerekmektedir.
• Windows PowerShell için Microsoft Azure Active Directory modülü.
• Microsoft Entra çok faktörlü kimlik doğrulaması için AD FS grubu yapılandırmak üzere kurumsal yönetici kimlik bilgileri.
• PowerShell kullanarak yapılandırmak için Microsoft Entra Id örneğinizde Uygulama Yöneticisi rolüne sahip bir hesaba ihtiyacınız vardır.

Note

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşimde bulunabilmek için Microsoft Graph PowerShell geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

AD FS Sunucularını Yapılandırma

AD FS için Microsoft Entra çok faktörlü kimlik doğrulaması yapılandırmasını tamamlamak için, burada açıklanan adımları kullanarak her AD FS sunucusunu yapılandırmanız gerekir.

Note

Bu adımların grubunuzdaki tüm AD FS sunucularında gerçekleştirildiğinden emin olun. Grubunuzda birden çok AD FS sunucusu varsa, Azure AD PowerShell kullanarak gerekli yapılandırmayı uzaktan gerçekleştirebilirsiniz.

1. Adım: Her AD FS sunucusunda Microsoft Entra çok faktörlü kimlik doğrulaması için bir sertifika oluşturma

Yapmanız gereken ilk şey, New-AdfsAzureMfaTenantCertificate PowerShell komutunu kullanarak Microsoft Entra çok faktörlü kimlik doğrulamasının kullanacağı bir sertifika oluşturmaktır. Sertifikayı oluşturduktan sonra, onu yerel makinenizin sertifika deposunda bulun. Sertifika, Microsoft Entra dizininizin TenantID değerini içeren bir konu adıyla işaretlenir.

TenantID, Microsoft Entra ID'deki dizininizin adıdır. Yeni sertifikayı oluşturmak için aşağıdaki PowerShell cmdlet'ini kullanın:

$certbase64 = New-AdfsAzureMfaTenantCertificate -TenantID <tenantID>

2. Adım: Yeni kimlik bilgilerini Azure çok faktörlü kimlik doğrulaması İstemci Hizmet Sorumlusuna ekleme

AD FS sunucularının Azure çok faktörlü kimlik doğrulama İstemcisi ile iletişim kurmasını sağlamak için kimlik bilgilerini Azure çok faktörlü kimlik doğrulama İstemcisi için Hizmet Sorumlusu'na eklemeniz gerekir. New-AdfsAzureMFaTenantCertificate cmdlet'i kullanılarak oluşturulan sertifikalar bu kimlik bilgileri görevi görür. PowerShell'i açın ve yeni kimlik bilgilerini Azure çok faktörlü kimlik doğrulaması İstemci Hizmet Sorumlusu'na eklemek için aşağıdaki adımları gerçekleştirin.

3. Adım: Sertifikayı Azure çok faktörlü kimlik doğrulaması İstemcisi'ne karşı yeni kimlik bilgisi olarak ayarlayın

Note

Bu adımı tamamlamak için Connect-MgGraphkullanarak Microsoft Graph PowerShell ile Microsoft Entra ID örneğine bağlanmanız gerekir. Bu adımlarda, PowerShell aracılığıyla zaten bağlandığınız varsayılır.

Connect-MgGraph -Scopes 'Application.ReadWrite.All'
$servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
$keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
$certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($certBase64))
$newKey = @(@{
    CustomKeyIdentifier = $null
    DisplayName = $certX509.Subject
    EndDateTime = $null
    Key = $certX509.GetRawCertData()
    KeyId = [guid]::NewGuid()
    StartDateTime = $null
    Type = "AsymmetricX509Cert"
    Usage = "Verify"
    AdditionalProperties = $null
})
$keyCredentials += $newKey
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials

Important

Bu komutun grubunuzdaki tüm AD FS sunucularında çalıştırılması gerekir. Microsoft Entra çok faktörlü kimlik doğrulaması, Azure çok faktörlü kimlik doğrulaması İstemcisi'ne karşı yeni kimlik bilgisi olarak sertifika ayarlı olmayan sunucularda başarısız olur.

Note

981f26a1-7f43-403b-a875-f8b09b8cd720, Azure çok faktörlü kimlik doğrulama İstemcisi için GUID'dir.

AD FS Çiftliğini Yapılandır

Her AD FS sunucusu için önceki bölümde yer alan adımları tamamladıktan sonra , Set-AdfsAzureMfaTenant cmdlet'ini kullanarak Azure kiracı bilgilerini ayarlayın. Bu cmdlet'in bir AD FS grubu için yalnızca bir kez yürütülmesi gerekir.

PowerShell'i açın ve cmdlet'iyle kendi tenantId değerinizi Set-AdfsAzureMfaTenant girin. Microsoft Azure Kamu bulutunu kullanan müşteriler için -Environment USGov parametresini ekleyin:

Note

Bu değişikliklerin etkili olması için önce grubunuzdaki her sunucuda AD FS hizmetini yeniden başlatmanız gerekir. Minimal etki için, her bir AD FS sunucusunu sırayla NLB döngüsünden çıkarın ve tüm bağlantıların tamamen bitmesini bekleyin.

Set-AdfsAzureMfaTenant -TenantId <tenant ID> -ClientId 981f26a1-7f43-403b-a875-f8b09b8cd720

En son hizmet paketi olmayan Windows Server, -Environment cmdlet'i için Set-AdfsAzureMfaTenant parametresini desteklemez. Azure Kamu bulutunu kullanıyorsanız ve önceki adımlar eksik -Environment parametresi nedeniyle Azure kiracınızı yapılandıramadıysa, kayıt defteri girdilerini el ile oluşturmak için aşağıdaki adımları tamamlayın. Önceki cmdlet kiracı bilgilerinizi doğru kaydettiyse veya Azure Kamu bulutunda değilseniz şu adımları atlayın:

1. AD FS sunucusunda Kayıt Defteri Düzenleyicisi'ni açın.

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADFSgidin. Aşağıdaki kayıt defteri anahtarı değerlerini oluşturun:

   Kayıt defteri anahtarı	Value
   SasUrl	https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector
   StsUrl	https://login.microsoftonline.us
   ResourceUri	https://adnotifications.windowsazure.us/StrongAuthenticationService.svc/Connector

3. Bu değişiklikler etkili olmadan önce, grup içindeki her sunucuda AD FS hizmetini yeniden başlatın. Sistemler üzerindeki etkiyi azaltmak için, her AD FS sunucusunu NLB rotasyonundan teker teker çıkarın ve tüm bağlantıların kesilmesini bekleyin.

Bu adımdan sonra, Microsoft Entra çok faktörlü kimlik doğrulamasının intranet ve extranet kullanımı için birincil kimlik doğrulama yöntemi olarak kullanılabilir olduğunu göreceksiniz.

Microsoft Entra çok faktörlü kimlik doğrulamasını ikincil kimlik doğrulama yöntemi olarak kullanmak istiyorsanız, Kimlik Doğrulama Yöntemlerini Düzenle kutusunda, çok faktörlü sekmesini (AD FS 2019'da Ek sekmesi) seçin ve etkinleştirildiğinden emin olun. Aksi takdirde, "Geçerli bir güçlü kimlik doğrulama yöntemi bulunamadı" gibi hata mesajları alabilirsiniz. Uygun bir güçlü kimlik doğrulama sağlayıcısını yapılandırmak ve etkinleştirmek için yöneticinize başvurun."

AD FS Microsoft Entra çok faktörlü kimlik doğrulama Sertifikalarını Yenileme ve Yönetme

Aşağıdaki kılavuz, AD FS sunucularınızda Microsoft Entra çok faktörlü kimlik doğrulama sertifikalarını yönetmenize yardımcı olmak için tasarlanmıştır.

Varsayılan olarak, AD FS'yi Microsoft Entra çok faktörlü kimlik doğrulamasıyla yapılandırdığınızda, New-AdfsAzureMfaTenantCertificate PowerShell cmdlet'i aracılığıyla oluşturulan sertifikalar iki yıl boyunca geçerlidir. Sertifikalarınızın süresinin dolmak üzere olduğunu belirlemek ve yeni sertifikaları yenilemek ve yüklemek için aşağıdaki yordamı kullanın.

1. AD FS Microsoft Entra çok faktörlü kimlik doğrulama sertifikası son kullanma tarihini değerlendirin.

   Her AD FS sunucusunda, Mağazam yerel bilgisayarında, Veren ve Konu alanında "Microsoft AD FS Microsoft Entra çok faktörlü kimlik doğrulaması" ile otomatik olarak imzalanan bir sertifika vardır. Bu sertifika, Microsoft Entra çok faktörlü kimlik doğrulama sertifikasıdır. Son kullanma tarihini belirlemek için her AD FS sunucusunda bu sertifikanın geçerlilik süresini denetleyin.

2. Her AD FS sunucusunda yeni bir AD FS Microsoft Entra çok faktörlü kimlik doğrulama Sertifikası oluşturun.

   Sertifikalarınızın geçerlilik süresi dolmaya yaklaşıyorsa, her AD FS sunucusunda yeni bir Microsoft Entra çok faktörlü kimlik doğrulama sertifikası oluşturarak yenileme işlemini başlatın. PowerShell'de aşağıdaki cmdlet'i kullanarak her AD FS sunucusunda yeni bir sertifika oluşturun:

   Caution

   Sertifikanızın süresi zaten dolduysa, aşağıdaki komuta -Renew $true parametresini eklemeyin. Bu senaryoda, mevcut süresi dolan sertifika, yerinde bırakılmak ve ek bir sertifika oluşturmak yerine yenisiyle değiştirilir.

   $newcert = New-AdfsAzureMfaTenantCertificate -TenantId <tenant id such as contoso.onmicrosoft.com> -Renew $true
   

   Sertifikanın süresi henüz dolmadıysa, komut geçerli günden sonraki iki günden iki yıla ve gelecekte iki güne kadar geçerli olan yeni bir sertifika oluşturur. AD FS ve Microsoft Entra çok faktörlü kimlik doğrulama işlemleri, cmdlet çalıştırılırken veya sertifika yenilenirken etkilenmez. İki günlük gecikme kasıtlıdır ve AD FS, Microsoft Entra çok faktörlü kimlik doğrulaması için kullanmaya başlamadan önce kiracıdaki yeni sertifikayı yapılandırmak için sonraki adımları izlemek için zaman sağlar.

3. Her yeni AD FS Microsoft Entra çok faktörlü kimlik doğrulama sertifikasını Microsoft Entra kiracısında yapılandırın.

   Note

   Bu adımı tamamlamak için Connect-MgGraphkullanarak Microsoft Graph PowerShell ile Microsoft Entra ID örneğine bağlanmanız gerekir. Bu adımlarda, PowerShell aracılığıyla zaten bağlandığınız varsayılır.

   Connect-MgGraph -Scopes 'Application.ReadWrite.All'
   $servicePrincipalId = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").Id
   $keyCredentials = (Get-MgServicePrincipal -Filter "appid eq '981f26a1-7f43-403b-a875-f8b09b8cd720'").KeyCredentials
   $certX509 = [System.Security.Cryptography.X509Certificates.X509Certificate2]([System.Convert]::FromBase64String($newcert))
   $newKey = @(@{
       CustomKeyIdentifier = $null
       DisplayName = $certX509.Subject
       EndDateTime = $null
       Key = $certX509.GetRawCertData()
       KeyId = [guid]::NewGuid()
       StartDateTime = $null
       Type = "AsymmetricX509Cert"
       Usage = "Verify"
       AdditionalProperties = $null
   })
   $keyCredentials += $newKey
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipalId -KeyCredentials $keyCredentials
   

   Önceki sertifikanızın süresi dolduysa, yeni sertifikayı almak için AD FS hizmetini yeniden başlatın. Süresi dolmadan önce bir sertifikayı yenilediyseniz AD FS hizmetini yeniden başlatmanız gerekmez.

4. Yeni sertifikaların Microsoft Entra çok faktörlü kimlik doğrulaması için kullanıldığını doğrulayın.

Yeni sertifikalar geçerli olduktan sonra, AD FS bunları alır ve birkaç saat ile bir gün arasında Microsoft Entra çok faktörlü kimlik doğrulaması için ilgili her sertifikayı kullanır. AD FS yeni sertifikaları kullandıktan sonra, her sunucuda AD FS Yönetici olay günlüğüne aşağıdaki bilgilerle kaydedilmiş bir olay görürsünüz:

Log Name:      AD FS/Admin
Source:        AD FS
Date:          2/27/2018 7:33:31 PM
Event ID:      547
Task Category: None
Level:         Information
Keywords:      AD FS
User:          DOMAIN\adfssvc
Computer:      ADFS.domain.contoso.com
Description:
The tenant certificate for Azure MFA has been renewed.

TenantId: contoso.onmicrosoft.com.
Old thumbprint: AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00.
Old expiration date: 9/15/2019 9:43:17 PM.
New thumbprint: BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11.
New expiration date: 2/27/2020 2:16:07 AM.

Kullanıcılara MFA doğrulama yöntemlerini kaydetme konusunda yol gösterecek şekilde AD FS web sayfasını özelleştirme

Henüz doğrulamayı gerçekleştirmemiş kullanıcılar için AD FS web sayfalarınızı özelleştirmek üzere aşağıdaki örnekleri kullanın (MFA doğrulama bilgilerini yapılandırmamış kullanıcılar).

Hatayı bulma

İlk olarak, kullanıcı doğrulama bilgileri eksik olduğunda AD FS birkaç farklı hata iletisi döndürür. Birincil kimlik doğrulaması olarak Microsoft Entra çok faktörlü kimlik doğrulamasını kullanıyorsanız, korumasız kullanıcı aşağıdaki iletileri içeren bir AD FS hata sayfası görür:

    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            Authentication attempt failed. Select a different sign in option or close the web browser and sign in again. Contact your administrator for more information.
        </div>

Ek kimlik doğrulaması olarak Microsoft Entra Id denendiğinde, korumasız kullanıcı aşağıdaki iletileri içeren bir AD FS hata sayfası görür:

<div id='mfaGreetingDescription' class='groupMargin'>For security reasons, we require additional information to verify your account (mahesh@jenfield.net)</div>
    <div id="errorArea">
        <div id="openingMessage" class="groupMargin bigText">
            An error occurred
        </div>
        <div id="errorMessage" class="groupMargin">
            The selected authentication method is not available for &#39;username@contoso.com&#39;. Choose another authentication method or contact your system administrator for details.
        </div>

Hatayı yakalayın ve sayfa metnini güncelleştirin

Hatayı yakalamak ve kullanıcıya özel yönergeleri göstermek için, AD FS web temasının parçası olan onload.js dosyasının sonuna JavaScript'i ekleyin. Bunu yaptığınızda şunları yapmanıza olanak tanır:

• Tanımlayıcı hata dizelerini arayın.
• Özel web içeriği sağlayın.

Note

onload.js dosyasını özelleştirme hakkında genel yönergeler için bkz. AD FS Oturum Açma Sayfalarının Gelişmiş Özelleştirmesi.

Aşağıdaki adımlarda basit bir örnek gösterilmektedir:

1. Birincil AD FS sunucunuzda Windows PowerShell'i açın ve aşağıdaki komutu çalıştırarak yeni bir AD FS Web Teması oluşturun.

       New-AdfsWebTheme –Name ProofUp –SourceName default
   

2. Klasörü oluşturun ve varsayılan AD FS Web Temasını dışarı aktarın.

      New-Item -Path 'C:\Theme' -ItemType Directory;Export-AdfsWebTheme –Name default –DirectoryPath C:\Theme
   

3. C:\Theme\script\onload.js dosyasını bir metin düzenleyicisinde açın.

4. aşağıdaki kodu onload.js dosyasının sonuna ekleyin:

   //Custom Code
   //Customize MFA exception
   //Begin
   
   var domain_hint = "<YOUR_DOMAIN_NAME_HERE>";
   var mfaSecondFactorErr = "The selected authentication method is not available for";
   var mfaProofupMessage = "You will be automatically redirected in 5 seconds to set up your account for additional security verification. After you've completed the setup, please return to the application you are attempting to access.<br><br>If you are not redirected automatically, please click <a href='{0}'>here</a>."
   var authArea = document.getElementById("authArea");
   if (authArea) {
       var errorMessage = document.getElementById("errorMessage");
       if (errorMessage) {
           if (errorMessage.innerHTML.indexOf(mfaSecondFactorErr) >= 0) {
   
               //Hide the error message
               var openingMessage = document.getElementById("openingMessage");
               if (openingMessage) {
                   openingMessage.style.display = 'none'
               }
               var errorDetailsLink = document.getElementById("errorDetailsLink");
               if (errorDetailsLink) {
                   errorDetailsLink.style.display = 'none'
               }
   
               //Provide a message and redirect to Azure AD MFA Registration Url
               var mfaRegisterUrl = "https://account.activedirectory.windowsazure.com/proofup.aspx?proofup=1&whr=" + domain_hint;
               errorMessage.innerHTML = "<br>" + mfaProofupMessage.replace("{0}", mfaRegisterUrl);
               window.setTimeout(function () { window.location.href = mfaRegisterUrl; }, 5000);
           }
       }
   }
   
   //End Customize MFA Exception
   //End Custom Code
   

   Important

   "<YOUR_DOMAIN_NAME_HERE>" ifadesini kendi etki alanı adınızla değiştirmeniz gerekiyor. Örneğin: var domain_hint = "contoso.com";.

5. onload.js dosyasını kaydedin.

6. Aşağıdaki Windows PowerShell komutunu girerek onload.js dosyasını özel temanıza aktarın:

   Set-AdfsWebTheme -TargetName ProofUp -AdditionalFileResource @{Uri='/adfs/portal/script/onload.js';path="c:\theme\script\onload.js"}
   

7. Aşağıdaki Windows PowerShell komutunu girerek özel AD FS Web Temasını uygulayın:

   Set-AdfsWebConfig -ActiveThemeName "ProofUp"
   

İlgili bağlantılar

• AD FS için SSL/TLS protokollerini ve şifreleme paketlerini yönetme