Yeniden kimlik doğrulama istemlerini iyileştirme ve Microsoft Entra çok faktörlü kimlik doğrulaması için oturum ömrünü anlama

Microsoft Entra Id,kullanıcıların ne sıklıkta yeniden kimlik doğrulaması gerektiğini belirleyen birden çok ayara sahiptir. Bu yeniden kimlik doğrulaması parola, FIDO veya parolasız Microsoft Authenticator gibi ilk faktörle veya çok faktörlü kimlik doğrulaması gerçekleştirmek için olabilir. Bu yeniden kimlik doğrulama ayarlarını kendi ortamınız ve istediğiniz kullanıcı deneyimi için gerektiği gibi yapılandırabilirsiniz.

Kullanıcı oturum açma sıklığı için Microsoft Entra Id varsayılan yapılandırması 90 günlük sıralı bir penceredir. Kullanıcılardan kimlik bilgilerini istemek genellikle mantıklı bir işlem gibi görünür, ancak geri tepebilir. Kullanıcılar, kimlik bilgilerini düşünmeden girmek için eğitildiyse, istemeden kötü amaçlı bir kimlik bilgisi istemine sağlayabilirler.

Bt ilkelerinin ihlali oturumu iptal etse de, kullanıcının yeniden oturum açmasını istememek endişe verici gelebilir. Bazı örnekler arasında parola değişikliği, uyumsuz bir cihaz veya hesap devre dışı bırakma işlemi yer alır. Ayrıca Microsoft Graph PowerShell kullanarak kullanıcıların oturumlarını açıkça iptal edebilirsiniz.

Bu makalede önerilen yapılandırmalar ve farklı ayarların nasıl çalıştığı ve birbirleriyle nasıl etkileşime geçtiğinin ayrıntıları verilmektedir.

Önerilen ayarlar

Kullanıcılarınıza doğru sıklıkta oturum açmalarını isteyerek doğru güvenlik ve kullanım kolaylığı dengesini sağlamak için aşağıdaki yapılandırmaları öneririz:

• Microsoft Entra Id P1 veya P2'niz varsa:
  • Yönetilen cihazları veya Sorunsuz SSO'yı kullanarak uygulamalar arasında çoklu oturum açmayı (SSO) etkinleştirin.
  • Yeniden kimlik doğrulaması gerekiyorsa Koşullu Erişim oturum açma sıklığı ilkesi kullanın.
  • Yönetilmeyen cihazlardan veya mobil cihaz senaryolarından oturum açabilen kullanıcılar için kalıcı tarayıcı oturumları tercih edilmeyebilir veya oturum açma sıklığı ilkeleriyle kalıcı tarayıcı oturumlarını etkinleştirmek için Koşullu Erişim'i kullanabilirsiniz. Daha az riskli bir kullanıcının oturum süresinin daha uzun olduğu oturum açma riskine göre süreyi uygun bir süreyle sınırlayın.
• Microsoft 365 uygulama lisanslarınız veya ücretsiz Microsoft Entra katmanınız varsa:
  • Yönetilen cihazları veya Sorunsuz SSO'yı kullanarak uygulamalar arasında çoklu oturum açmayı (SSO) etkinleştirin.
  • Oturum açmış olarak kal seçeneğini etkin tutun ve kullanıcılarınıza bunu kabul etmelerinde yol gösterir.
• Mobil cihaz senaryoları için kullanıcılarınızın Microsoft Authenticator uygulamasını kullandığından emin olun. Bu uygulama, diğer Microsoft Entra Id federasyon uygulamaları için aracı olarak kullanılır ve cihazdaki kimlik doğrulama istemlerini azaltır.

Araştırmalarımız bu ayarların çoğu kiracı için uygun olduğunu gösteriyor. MFA'yı Anımsa ve Oturum açık kal gibi bu ayarların bazı bileşimleri, kullanıcılarınızın çok sık kimlik doğrulaması yapma istemlerine neden olabilir. Düzenli yeniden kimlik doğrulama istemleri kullanıcı üretkenliği açısından kötü olur ve bunları saldırılara karşı daha savunmasız hale getirir.

Microsoft Entra oturum ömrü yapılandırma ayarları

Kullanıcılarınız için kimlik doğrulama istemlerinin sıklığını iyileştirmek için Microsoft Entra oturum ömrü seçeneklerini yapılandırabilirsiniz. İşletmenizin ve kullanıcılarınızın gereksinimlerini anlayın ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırın.

Oturum ömrü ilkelerini değerlendirme

Herhangi bir oturum ömrü ayarı olmadan, tarayıcı oturumunda kalıcı tanımlama bilgileri yoktur. Bir kullanıcı tarayıcıyı her kapatışında ve açtığında, yeniden kimlik doğrulaması istemi alır. Office istemcilerinde varsayılan zaman aralığı 90 günlük sıralı bir zaman aralığıdır. Bu varsayılan Office yapılandırmasında, kullanıcı parolasını sıfırladıysa veya 90 günden uzun bir süre boyunca etkinlik dışı kalırsa, kullanıcının gerekli tüm faktörlerle (birinci ve ikinci faktör) yeniden kimlik doğrulaması yapılması gerekir.

Kullanıcı, Microsoft Entra Id'de kimliği olmayan bir cihazda birden çok MFA istemi görebilir. Her uygulamanın diğer istemci uygulamalarıyla paylaşılmamış kendi OAuth Yenileme Belirteci olduğunda birden çok istem elde eder. Bu senaryoda, her uygulama MFA ile doğrulanması için bir OAuth Yenileme Belirteci istediğinde MFA birden çok kez istemde bulunur.

Microsoft Entra Id'de oturum ömrü için en kısıtlayıcı ilke, kullanıcının ne zaman yeniden kimlik doğrulaması yapması gerektiğini belirler. Aşağıdaki senaryoyu değerlendirin:

• Kalıcı bir tarayıcı tanımlama bilgisi kullanan Oturumda kal'ı etkinleştirirsiniz ve
• Ayrıca MFA'yı anımsa özelliğini 14 gün boyunca etkinleştirebilirsiniz

Bu örnek senaryoda, kullanıcının 14 günde bir yeniden kimlik doğrulaması yapması gerekir. Bu davranış en kısıtlayıcı ilkeyi izler, ancak Oturumumu kendi başına aç ayarı kullanıcının tarayıcıda yeniden kimlik doğrulamasını gerektirmez.

Yönetilen cihazlar

Microsoft Entra join veya Microsoft Entra karma katılımı kullanılarak Microsoft Entra ID'ye katılmış cihazlar, uygulamalar arasında çoklu oturum açma (SSO) kullanmak için bir Birincil Yenileme Belirteçleri (PRT) alır. Bu PRT, kullanıcının cihazda bir kez oturum açmasına olanak tanır ve BT personelinin güvenlik ve uyumluluk standartlarının karşılandığından emin olmasını sağlar. Bir kullanıcıdan bazı uygulamalar veya senaryolar için katılmış bir cihazda daha sık oturum açması istenirse, bu, Koşullu Erişim Oturum Açma Sıklığı kullanılarak elde edilebilir.

Oturum açmış durumda kalma seçeneğini göster

Bir kullanıcı oturum açma sırasında Oturum açık kalsın mı? istemi seçeneğinde Evet'i seçtiğinde, tarayıcıda kalıcı bir tanımlama bilgisi ayarlanır. Bu kalıcı tanımlama bilgisi hem birinci hem de ikinci faktörü hatırlar ve yalnızca tarayıcıdaki kimlik doğrulama istekleri için geçerlidir.

Microsoft Entra ID P1 veya P2 lisansınız varsa Kalıcı tarayıcı oturumu için Koşullu Erişim ilkesini kullanmanızı öneririz. Bu ilke Oturum açık kalsın mı? ayarının üzerine yazılır ve geliştirilmiş bir kullanıcı deneyimi sağlar. Microsoft Entra Id P1 veya P2 lisansınız yoksa kullanıcılarınız için oturum açma özelliğini etkinleştirmenizi öneririz.

Kullanıcıların oturum açmasına izin verme seçeneğini yapılandırma hakkında daha fazla bilgi için bkz . 'Oturum açık kalsın mı?' istemini yönetme.

Çok faktörlü kimlik doğrulamasını anımsama

Bu ayar, 1-365 gün arasında değerleri yapılandırmanıza olanak tanır ve kullanıcı oturum açarken X gün boyunca bir daha sorma seçeneğini belirlediğinde tarayıcıda kalıcı bir tanımlama bilgisi ayarlar.

Bu ayar web uygulamalarındaki kimlik doğrulamalarının sayısını azaltırken, Office istemcileri gibi modern kimlik doğrulama istemcileri için kimlik doğrulamalarının sayısını artırır. Bu istemciler normalde yalnızca parola sıfırlama sonrasında veya 90 günlük işlem yapılmadığında ister. Ancak, bu değerin 90 günden kısa olarak ayarlanması, Office istemcileri için varsayılan MFA istemlerini kısaltır ve yeniden kimlik doğrulama sıklığını artırır. içinde Oturum açık kal veya Koşullu Erişim ilkeleriyle birlikte kullanıldığında, kimlik doğrulama isteklerinin sayısını artırabilir.

MFA'yı Anımsa özelliğini kullanıyorsanız ve Microsoft Entra ID P1 veya P2 lisanslarınız varsa, bu ayarları Koşullu Erişim Oturum Açma Sıklığı'na geçirmeyi göz önünde bulundurun. Aksi takdirde, bunun yerine Oturumumu açık tut seçeneğini kullanmayı düşünün.

Daha fazla bilgi için bkz . Çok faktörlü kimlik doğrulamasını anımsama.

Koşullu Erişim ile kimlik doğrulama oturumu yönetimi

Oturum açma sıklığı , yöneticinin hem istemci hem de tarayıcıdaki hem birinci hem de ikinci faktör için geçerli olan oturum açma sıklığını seçmesine olanak tanır. Kritik iş uygulamaları gibi kimlik doğrulama oturumlarını kısıtlamanız gereken senaryolarda bu ayarları ve yönetilen cihazları kullanmanızı öneririz.

Kalıcı tarayıcı oturumu , kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturum açmış durumda kalmasına olanak tanır. Oturum açmış olarak kal ayarına benzer şekilde, tarayıcıda kalıcı bir tanımlama bilgisi ayarlar. Ancak yönetici tarafından yapılandırıldığından, kullanıcının Oturum açmada kal? seçeneğinde Evet'i seçmesini gerektirmez, bu nedenle daha iyi bir kullanıcı deneyimi sağlar. Oturumunuz açık mı kaldı? seçeneğini kullanırsanız, bunun yerine Kalıcı tarayıcı oturum ilkesini etkinleştirmenizi öneririz.

Daha fazla bilgi için. Bkz . Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma.

Yapılandırılabilir belirteç ömrü

Bu ayar, Microsoft Entra Id tarafından verilen belirteç için yaşam süresi yapılandırmasına izin verir. Bu ilke, Koşullu Erişim ile kimlik doğrulaması oturum yönetimi ile değiştirilir. Bugün Yapılandırılabilir belirteç yaşam süreleri kullanıyorsanız Koşullu Erişim ilkelerine geçişi başlatmanızı öneririz.

Kiracı yapılandırmanızı gözden geçirme

Farklı ayarların nasıl çalıştığını ve önerilen yapılandırmayı anladığınıza göre artık kiracılarınızı denetlemenin zamanı geldi. Oturum açma sırasında hangi oturum ömrü ilkelerinin uygulandığını anlamak için oturum açma günlüklerine bakarak başlayabilirsiniz.

Her oturum açma günlüğünün altında, Kimlik Doğrulama Ayrıntıları sekmesine gidin ve Uygulanan Oturum Ömrü İlkeleri'ni keşfedin. Daha fazla bilgi için Oturum açma günlüğü etkinlik ayrıntıları hakkında bilgi edinin makalesine bakın.

Oturum açmış olarak kal seçeneğini yapılandırmak veya gözden geçirmek için aşağıdaki adımları tamamlayın:

1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
2. Kimlik>Şirketi Markası'na göz atın, ardından her yerel ayar için Oturum açık kalmak için Göster seçeneğini belirleyin.
3. Evet'i ve ardından Kaydet'i seçin.

Güvenilen cihazlarda çok faktörlü kimlik doğrulama ayarlarını anımsamak için aşağıdaki adımları tamamlayın:

1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
2. Koruma>Çok Faktörlü kimlik doğrulaması'na göz atın.
3. Yapılandır'ın altında Ek bulut tabanlı MFA ayarları'nı seçin.
4. Çok faktörlü kimlik doğrulama hizmeti ayarları sayfasında, çok faktörlü kimlik doğrulama ayarlarını anımsamak için ekranı kaydırın. Onay kutusunun işaretini kaldırarak ayarı devre dışı bırakın.

Oturum açma sıklığı ve kalıcı tarayıcı oturumu için Koşullu Erişim ilkelerini yapılandırmak için aşağıdaki adımları tamamlayın:

1. Microsoft Entra yönetim merkezinde en azından Koşullu Erişim Yönetici istratörü olarak oturum açın.
2. Koruma>Koşullu Erişim'e göz atın.
3. Bu makalede ayrıntılarıyla belirtilen önerilen oturum yönetimi seçeneklerini kullanarak bir ilke yapılandırın.

Belirteç yaşamlarını gözden geçirmek için Azure AD PowerShell'i kullanarak tüm Microsoft Entra ilkelerini sorgulayın. Sahip olduğunuz tüm ilkeleri devre dışı bırakın.

Kiracınızda birden fazla ayar etkinleştirildiyse, ayarlarınızı sizin için sağlanan lisanslamaya göre güncelleştirmenizi öneririz. Örneğin, Microsoft Entra Id P1 veya P2 lisanslarınız varsa, yalnızca Oturum Açma Sıklığı ve Kalıcı tarayıcı oturumu koşullu erişim ilkesini kullanmanız gerekir. Microsoft 365 uygulamalarınız veya Microsoft Entra ID Ücretsiz lisanslarınız varsa Oturumunuz açık mı kaldı? yapılandırmasını kullanmanız gerekir.

Yapılandırılabilir belirteç yaşam sürelerini etkinleştirdiyseniz, bu özellik yakında kaldırılacaktır. Koşullu Erişim ilkesine geçiş planlama.

Aşağıdaki tabloda, lisanslara göre öneriler özetlemektedir:

	Microsoft Entra ID Ücretsiz ve Microsoft 365 uygulamaları	Microsoft Entra ID P1 veya P2
SSO	Yönetilmeyen cihazlar için Microsoft Entra join veya Microsoft Entra karma katılımı ya da Sorunsuz SSO.	Microsoft Entra ortamına katılma Microsoft Entra karma katılımı
Yeniden kimlik doğrulama ayarları	Oturum açık kalır	Oturum açma sıklığı ve kalıcı tarayıcı oturumu için Koşullu Erişim ilkelerini kullanma

Sonraki adımlar

Başlamak için Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama veya Microsoft Entra çok faktörlü kimlik doğrulamasını tetikleme amacıyla kullanıcı oturum açma işlemleri için risk algılamalarını kullanma öğreticisini tamamlayın.