Kuruluşunuz için geçiş anahtarlarını etkinleştirme (önizleme)

Günümüzde parola kullanan kuruluşlar için geçiş anahtarları (FIDO2), çalışanların kullanıcı adı veya parola girmeden kimlik doğrulaması için sorunsuz bir yol sağlar. Geçiş anahtarları, çalışanlar için daha iyi üretkenlik sağlar ve daha iyi güvenlik sağlar.

Bu makalede, kuruluşunuzda geçiş anahtarlarını etkinleştirmeye yönelik gereksinimler ve adımlar listelenir. Bu adımları tamamladıktan sonra, kuruluşunuzdaki kullanıcılar FIDO2 güvenlik anahtarında veya Microsoft Authenticator'da depolanan bir geçiş anahtarını kullanarak Microsoft Entra hesaplarına kaydolabilir ve oturum açabilir.

Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme hakkında daha fazla bilgi için bkz . Authenticator geçiş anahtarını etkinleştirme.

Geçiş anahtarı kimlik doğrulaması hakkında daha fazla bilgi için bkz . Microsoft Entra Id ile FIDO2 kimlik doğrulaması desteği.

Not

Microsoft Entra ID şu anda FIDO2 güvenlik anahtarlarında ve Microsoft Authenticator'da depolanan cihaza bağlı geçiş anahtarlarını destekler. Microsoft, geçiş anahtarlarıyla müşterilerin ve kullanıcıların güvenliğini sağlamaya kararlıdır. İş hesapları için hem eşitlenmiş hem de cihaza bağlı geçiş anahtarlarına yatırım yapıyoruz.

Gereksinimler

• Microsoft Entra çok faktörlü kimlik doğrulaması (MFA).
• Uyumlu FIDO2 güvenlik anahtarları veya Microsoft Authenticator.
• Geçiş anahtarı (FIDO2) kimlik doğrulamasını destekleyen cihazlar. Microsoft Entra ID'ye katılmış Windows cihazları için en iyi deneyim Windows 10 sürüm 1903 veya üzeridir. Karma katılmış cihazların Windows 10 sürüm 2004 veya üzerini çalıştırması gerekir.

Geçiş anahtarları Windows, macOS, Android ve iOS'ta önemli senaryolarda desteklenir. Desteklenen senaryolar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de FIDO2 kimlik doğrulaması desteği.

Geçiş anahtarı (FIDO2) kimlik doğrulama yöntemini etkinleştirme

1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

2. Koruma>Kimlik Doğrulama yöntemleri>Kimlik doğrulama yöntemi ilkesine göz atın.

3. FIDO2 güvenlik anahtarı yönteminin altında Tüm kullanıcılar'ı veya Grup ekle'yi seçerek belirli grupları seçin. Yalnızca güvenlik grupları desteklenir.

4. Yapılandırmayı kaydedin .

   Not

   Kaydetmeye çalıştığınızda bir hata görürseniz, bunun nedeni eklenen kullanıcı veya grup sayısından kaynaklanıyor olabilir. Geçici bir çözüm olarak, eklemeye çalıştığınız kullanıcıları ve grupları aynı işlemde tek bir grupla değiştirin ve sonra yeniden Kaydet'e tıklayın.

Geçiş anahtarı isteğe bağlı ayarları

Parolaların oturum açma için nasıl kullanılabileceğini yönetmeye yardımcı olmak için Yapılandır sekmesinde bazı isteğe bağlı ayarlar vardır. Yönetim merkezinde onay kutusu görüntüleniyorsa Microsoft Authenticator (önizleme) seçeneğini belirleyebilirsiniz. Aksi takdirde, kısıtlamak istediğiniz belirli bir Authenticator Kanıtlama GUID'si (AAGUID) ekleyebilirsiniz.

• Self servis kurulumuna izin ver ayarı Evet olarak kalmalıdır. Hayır olarak ayarlanırsa, Kimlik Doğrulama Yöntemleri ilkesi tarafından etkinleştirildiğinde bile kullanıcılarınız MySecurityInfo aracılığıyla geçiş anahtarı kaydedemez.

• Kuruluşunuz bir FIDO2 güvenlik anahtarı modelinin veya geçiş anahtarı sağlayıcısının orijinal olduğundan ve yasal satıcıdan geldiğinden emin olmak istiyorsa kanıtlamayı zorla ayarı Evet olarak ayarlanmalıdır.

  • FIDO2 güvenlik anahtarları için güvenlik anahtarı meta verilerinin FIDO Alliance Meta Veri Hizmeti ile yayımlanması ve doğrulanması ve ayrıca Microsoft'un başka bir doğrulama testi kümesinden geçirilmesi gerekir. Daha fazla bilgi için bkz . Microsoft ile uyumlu bir güvenlik anahtarı nedir?.
  • Microsoft Authenticator'daki geçiş anahtarları için şu anda kanıtlamayı desteklemiyoruz.

  Uyarı

  Kanıtlama zorlaması, yalnızca kayıt sırasında geçiş anahtarına izin verilip verilmeyeceğini yönetir. Kanıtlamayı zorla ayarı daha sonra Evet olarak ayarlanırsa, geçiş anahtarını kanıtlama olmadan kaydedebilecek kullanıcılar oturum açma sırasında engellenmez.

Anahtar Kısıtlama İlkesi

• Anahtar kısıtlamalarını zorunlu kılma, yalnızca kuruluşunuz Authenticator Kanıtlama GUID'si (AAGUID) tarafından tanımlanan belirli güvenlik anahtarı modellerine veya geçiş anahtarı sağlayıcılarına izin vermek veya izin vermek istemiyorsa Evet olarak ayarlanmalıdır. Bir cihazın AAGUID değerini belirlemek için güvenlik anahtarı satıcınızla veya geçiş anahtarı sağlayıcınızla çalışabilirsiniz. Geçiş anahtarı zaten kayıtlıysa, kullanıcı için geçiş anahtarının kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek AAGUID'yi bulabilirsiniz.

  Uyarı

  Önemli kısıtlamalar, belirli modellerin veya sağlayıcıların hem kayıt hem de kimlik doğrulaması için kullanılabilirliğini ayarlar. Anahtar kısıtlamalarını değiştirir ve daha önce izin verilen bir AAGUID'yi kaldırırsanız, daha önce izin verilen bir yöntemi kaydeden kullanıcılar artık bunu oturum açmak için kullanamaz.

Geçiş Anahtarı Kimlik Doğrulayıcı Kanıtlama GUID'si (AAGUID)

FIDO2 belirtimi, her güvenlik anahtarı satıcısının kayıt sırasında bir Authenticator Kanıtlama GUID'si (AAGUID) sağlamasını gerektirir. AAGUID, make ve model gibi anahtar türünü gösteren 128 bit tanımlayıcıdır. Masaüstü ve mobil cihazlardaki geçiş anahtarı sağlayıcılarının da kayıt sırasında bir AAGUID sağlaması beklenir.

Not

Satıcı, AAGUID'nin söz konusu satıcı tarafından yapılan tüm önemli özdeş güvenlik anahtarları veya geçiş anahtarı sağlayıcıları arasında aynı olduğundan ve diğer tüm güvenlik anahtarı türlerinin veya geçiş anahtarı sağlayıcılarının AAGUID'lerinden farklı (yüksek olasılıkla) olduğundan emin olmalıdır. Bunu sağlamak için, belirli bir güvenlik anahtarı modeli veya geçiş anahtarı sağlayıcısı için AAGUID rastgele oluşturulmalıdır. Daha fazla bilgi için bkz . Web Kimlik Doğrulaması: Ortak Anahtar Kimlik Bilgilerine erişmek için bir API - Düzey 2 (w3.org).

AAGUID'inizi almanın iki yolu vardır. Güvenlik anahtarınıza veya geçiş anahtarı sağlayıcı satıcınıza sorabilir veya kullanıcı başına anahtarın kimlik doğrulama yöntemi ayrıntılarını görüntüleyebilirsiniz.

Microsoft Graph API'sini kullanarak geçiş tuşlarını etkinleştirme

Microsoft Entra yönetim merkezini kullanmanın yanı sıra, Microsoft Graph API'sini kullanarak geçiş tuşlarını da etkinleştirebilirsiniz. Geçiş anahtarlarını etkinleştirmek için Kimlik Doğrulama yöntemleri ilkesini Genel Yönetici istrator veya Kimlik Doğrulama İlkesi Yönetici istrator olarak güncelleştirmeniz gerekir.

Graph Gezgini'ni kullanarak ilkeyi yapılandırmak için:

1. Graph Gezgini'nde oturum açın ve Policy.Read.All ve Policy.ReadWrite.AuthenticationMethod izinlerini onaylayın.

2. Kimlik doğrulama yöntemleri ilkesini alın:

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

3. Kanıtlama zorlamasını devre dışı bırakmak ve yalnızca RSA DS100 için AAGUID'ye izin verecek anahtar kısıtlamaları uygulamak için aşağıdaki istek gövdesini kullanarak bir PATCH işlemi gerçekleştirin:

   PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   
   Request Body:
   {
       "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
       "isAttestationEnforced": false,
       "keyRestrictions": {
           "isEnforced": true,
           "enforcementType": "allow",
           "aaGuids": [
               "7e3f3d30-3557-4442-bdae-139312178b39",
   
               <insert previous AAGUIDs here to keep them stored in policy>
           ]
       }
   }
   

4. Geçiş anahtarı (FIDO2) ilkesinin düzgün güncelleştirildiğinden emin olun.

   GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
   

Geçiş anahtarını silme

Kullanıcı hesabıyla ilişkili bir geçiş anahtarını kaldırmak için, anahtarı kullanıcının kimlik doğrulama yönteminden silin.

1. Microsoft Entra yönetim merkezinde oturum açın ve geçiş anahtarının kaldırılması gereken kullanıcıyı arayın.

2. Kimlik doğrulama yöntemleri'ni seçin, Geçiş anahtarı (cihaza bağlı) öğesine sağ tıklayın ve Sil'i seçin.>

   

Geçiş anahtarıyla oturum açmayı zorunlu kılma (önizleme)

Kullanıcıların hassas bir kaynağa eriştiklerinde geçiş anahtarıyla oturum açmasını sağlamak için şunları yapabilirsiniz:

• Yerleşik kimlik avına dayanıklı kimlik doğrulaması gücü kullanma

  Or

• Özel kimlik doğrulama gücü oluşturma

Aşağıdaki adımlarda, yalnızca belirli bir güvenlik anahtarı modeli veya geçiş anahtarı sağlayıcısı için geçiş anahtarı oturum açma izni veren özel kimlik doğrulama gücü Koşullu Erişim ilkesinin nasıl oluşturulacağı gösterilmektedir. FIDO2 sağlayıcılarının listesi için bkz . Geçerli FIDO2 donanım satıcısı iş ortakları.

1. Microsoft Entra yönetim merkezinde Koşullu Erişim Yönetici istrator olarak oturum açın.
2. Koruma>Kimlik Doğrulaması yöntemleri Kimlik doğrulaması güçlü>yönleri'ne göz atın.
3. Yeni kimlik doğrulama gücü'ne tıklayın.
4. Yeni kimlik doğrulama gücünüz için bir Ad belirtin.
5. İsteğe bağlı olarak bir Açıklama sağlayın.
6. Geçiş Tuşları (FIDO2)'yi seçin.
7. İsteğe bağlı olarak, belirli AAGUID'lere göre kısıtlamak istiyorsanız Gelişmiş seçenekler'i ve ardından AAGUID Ekle'yi seçin. İzin ettiğiniz AAGUID'leri girin. Kaydet'i seçin.
8. İleri'yi seçin ve ilke yapılandırmasını gözden geçirin.

Bilinen sorunlar

B2B iş birliği kullanıcıları

FiDO2 kimlik bilgilerinin kaydı, kaynak kiracısında B2B işbirliği kullanıcıları için desteklenmez.

Güvenlik anahtarı sağlama

güvenlik anahtarlarının Yönetici sağlama ve sağlamasını kaldırma kullanılamaz.

UPN değişiklikleri

Kullanıcının UPN'i değişirse, değişikliği hesaba eklemek için artık geçiş tuşlarını değiştiremezsiniz. Kullanıcının geçiş anahtarı varsa, Güvenlik bilgilerim'de oturum açması, eski geçiş anahtarını silmesi ve yenisini eklemesi gerekir.

Sonraki adımlar

Geçiş anahtarı (FIDO2) parolasız kimlik doğrulaması için yerel uygulama ve tarayıcı desteği

FIDO2 güvenlik anahtarı Windows 10 oturum açma

Şirket içi kaynaklarda FIDO2 kimlik doğrulamasını etkinleştirme

Cihaz kaydı hakkında daha fazla bilgi edinin

Microsoft Entra çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi edinin