Parolasız kimlik doğrulama yöntemlerini kaydetmek için Azure AD'de Geçici Erişim Geçişi'ni yapılandırma (Önizleme)

FIDO2 ve Parolasız Telefon Microsoft Authenticator uygulaması aracılığıyla oturum açma gibi parolasız kimlik doğrulama yöntemleri, kullanıcıların parola olmadan güvenli bir şekilde oturum açmasını sağlar. Kullanıcılar Parolasız yöntemleri iki yoldan biriyle önyükleyebilir:

  • Mevcut Azure AD Multi-Factor Authentication yöntemlerini kullanma
  • Geçici Erişim Geçişi (TAP) kullanma

Geçici Erişim Geçişi, yönetici tarafından verilen ve güçlü kimlik doğrulama gereksinimlerini karşılayan ve Parolasız olanlar da dahil olmak üzere diğer kimlik doğrulama yöntemlerini eklemek için kullanılabilen sınırlı süreli bir geçiş kodudur. Geçici Erişim Geçişi, bir kullanıcı BIR FIDO2 güvenlik anahtarı veya Microsoft Authenticator uygulaması gibi güçlü kimlik doğrulama faktörünü kaybettiğinde veya unuttuğunda, ancak yeni güçlü kimlik doğrulama yöntemlerini kaydetmek için oturum açması gerektiğinde kurtarmayı kolaylaştırır.

Bu makalede, Azure portal kullanarak Azure AD'de Geçici Erişim Geçişi'ni etkinleştirme ve kullanma adımları gösterilmektedir. Bu eylemleri REST API'lerini kullanarak da gerçekleştirebilirsiniz.

Not

Geçici Erişim Geçişi şu anda genel önizleme aşamasındadır. Bazı özellikler desteklenmiyor veya sınırlı özelliklere sahip olabilir.

Geçici Erişim Geçişi ilkesini etkinleştirme

Geçici Erişim Geçişi ilkesi, kiracıda oluşturulan geçişlerin ömrü veya oturum açmak için Geçici Erişim Geçişi kullanabilen kullanıcılar ve gruplar gibi ayarları tanımlar. Herkesin Geçici Erişim Geçişi ile oturum açabilmesi için önce kimlik doğrulama yöntemi ilkesini etkinleştirmeniz ve Geçici Erişim Geçişi kullanarak hangi kullanıcıların ve grupların oturum açabileceğini seçmeniz gerekir. Herhangi bir kullanıcı için Geçici Erişim Geçişi oluşturabilirsiniz ancak yalnızca ilkeye dahil olanlar bu kullanıcıyla oturum açabilir.

Genel yönetici ve Kimlik Doğrulama Yöntemi İlkesi yöneticisi rol sahipleri Geçici Erişim Geçişi kimlik doğrulama yöntemi ilkesini güncelleştirebilir. Geçici Erişim Geçişi kimlik doğrulama yöntemi ilkesini yapılandırmak için:

  1. Azure portal Genel yönetici olarak oturum açın ve Azure Active Directory>GüvenlikAuthentication>yöntemleriTemporary> Access Pass'e tıklayın.

  2. İlkeyi etkinleştirmek için Evet'e tıklayın, ilkenin uygulandığı kullanıcıları ve genel ayarları seçin.

    Screenshot of how to enable the Temporary Access Pass authentication method policy

    Varsayılan değer ve izin verilen değer aralığı aşağıdaki tabloda açıklanmıştır.

    Ayar Varsayılan değerler İzin verilen değerler Yorumlar
    Minimum yaşam süresi 1 saat 10 – 43200 Dakika (30 gün) Geçici Erişim Geçişi'nin geçerli olduğu en az dakika sayısı.
    Maksimum yaşam süresi 24 saat 10 – 43200 Dakika (30 gün) Geçici Erişim Geçişi'nin geçerli olduğu en fazla dakika sayısı.
    Varsayılan yaşam süresi 1 saat 10 – 43200 Dakika (30 gün) Varsayılan değerler, ilke tarafından yapılandırılan minimum ve maksimum yaşam süresi içinde tek tek geçişler tarafından geçersiz kılınabilir.
    Tek seferlik kullanım Yanlış Doğru / Yanlış İlke false olarak ayarlandığında, kiracıdaki geçişler geçerlilik süresi (maksimum yaşam süresi) sırasında bir veya birden çok kez kullanılabilir. Geçici Erişim Geçişi ilkesinde tek seferlik kullanımı zorunlu kılarak, kiracıda oluşturulan tüm geçişler tek seferlik kullanım olarak oluşturulur.
    Uzunluk 8 8-48 karakter Geçiş kodunun uzunluğunu tanımlar.

Geçici Erişim Geçişi Oluşturma

İlkeyi etkinleştirdikten sonra Azure AD'de bir kullanıcı için Geçici Erişim Geçişi oluşturabilirsiniz. Bu roller Geçici Erişim Geçişi ile ilgili aşağıdaki eylemleri gerçekleştirebilir.

  • Genel Yönetici herhangi bir kullanıcı için Geçici Erişim Geçişi oluşturabilir, silebilir, görüntüleyebilir (kendileri dışında)
  • Ayrıcalıklı Kimlik Doğrulama Yöneticileri yöneticiler ve üyeler (kendileri dışında) üzerinde Geçici Erişim Geçişi oluşturabilir, silebilir, görüntüleyebilir
  • Kimlik Doğrulama Yöneticileri üyeler üzerinde Geçici Erişim Geçişi oluşturabilir, silebilir, görüntüleyebilir (kendileri dışında)
  • Genel Okuyucu, kullanıcıyla ilgili Geçici Erişim Geçişi ayrıntılarını görüntüleyebilir (kodun kendisini okumadan).
  1. Azure portal Genel yönetici, Ayrıcalıklı Kimlik Doğrulaması yöneticisi veya Kimlik doğrulama yöneticisi olarak oturum açın.

  2. Azure Active Directory'e tıklayın, Kullanıcılar'a gidin, Chris Green gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.

  3. Gerekirse , Yeni kullanıcı kimlik doğrulama yöntemleri deneyimini deneyin seçeneğini belirleyin.

  4. Kimlik doğrulama yöntemleri ekle seçeneğini belirleyin.

  5. Yöntem seçin'in altında Geçici Erişim Geçişi (Önizleme) seçeneğine tıklayın.

  6. Özel bir etkinleştirme süresi veya süresi tanımlayın ve Ekle'ye tıklayın.

    Screenshot of how to create a Temporary Access Pass

  7. Eklendikten sonra Geçici Erişim Geçişi'nin ayrıntıları gösterilir. Gerçek Geçici Erişim Geçişi değerini not edin. Bu değeri kullanıcıya sağlarsınız. Tamam'a tıkladıktan sonra bu değeri görüntüleyemezsiniz.

    Screenshot of Temporary Access Pass details

Aşağıdaki komutlar, PowerShell kullanarak Geçici Erişim Geçişi oluşturma ve alma işlemini gösterir:

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2021-03-11 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 9/03/2021 11:19:17 PM False    True         60                NotYetValid           11/03/2021 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 9/03/2021 11:19:17 PM False    True         60                NotYetValid           11/03/2021 6:00:00 AM

Geçici Erişim Geçişi kullanma

Geçici Erişim Geçişi'nin en yaygın kullanımı, kullanıcının ek güvenlik istemlerini tamamlamaya gerek kalmadan ilk oturum açma sırasında kimlik doğrulama ayrıntılarını kaydetmesidir. Kimlik doğrulama yöntemleri adresinde https://aka.ms/mysecurityinfokaydedilir. Kullanıcılar burada mevcut kimlik doğrulama yöntemlerini de güncelleştirebilir.

  1. için bir web tarayıcısı https://aka.ms/mysecurityinfoaçın.

  2. Geçici Erişim Geçişi'ni oluşturduğunuz hesabın UPN'sini girin, örneğin tapuser@contoso.com.

  3. Kullanıcı Geçici Erişim Geçişi ilkesine dahil edilirse, Geçici Erişim Geçişi'ne girmek için bir ekran görür.

  4. Azure portal görüntülenen Geçici Erişim Geçişini girin.

    Screenshot of how to enter a Temporary Access Pass

Not

Federasyon etki alanları için federasyon yerine Geçici Erişim Geçişi tercih edilir. Geçici Erişim Geçişi olan bir kullanıcı Azure AD'de kimlik doğrulamasını tamamlar ve federasyon Kimlik Sağlayıcısı'na (IdP) yeniden yönlendirilmeyecektir.

Kullanıcı artık oturum açtı ve FIDO2 güvenlik anahtarı gibi bir yöntemi güncelleştirebilir veya kaydedebilir. Kimlik bilgilerini veya cihazlarını kaybettikleri için kimlik doğrulama yöntemlerini güncelleştiren kullanıcılar, eski kimlik doğrulama yöntemlerini kaldırdığından emin olmalıdır. Kullanıcılar ayrıca parolalarını kullanarak oturum açmaya devam edebilir; TAP, kullanıcının parolasını değiştirmez.

Parolasız telefonla oturum açma

Kullanıcılar, Doğrudan Authenticator uygulamasından Parolasız telefonla oturum açmaya kaydolmak için Geçici Erişim Geçişlerini de kullanabilir. Daha fazla bilgi için bkz. İş veya okul hesabınızı Microsoft Authenticator uygulamasına ekleme.

Screenshot of how to enter a Temporary Access Pass using work or school account

Konuk erişimi

Konuk kullanıcılar, Geçici Erişim Geçişi ev kiracısı kimlik doğrulaması gereksinimini karşılıyorsa, ev kiracıları tarafından verilen Geçici Erişim Geçişi ile bir kaynak kiracısında oturum açabilir. Kaynak kiracısı için MFA gerekiyorsa, konuk kullanıcının kaynağa erişim kazanmak için MFA gerçekleştirmesi gerekir.

Bitiş tarihi

Süresi dolan veya silinen Geçici Erişim Geçişi etkileşimli veya etkileşimli olmayan kimlik doğrulaması için kullanılamaz. Geçici Erişim Geçişi'nin süresi dolduktan veya silindikten sonra kullanıcıların farklı kimlik doğrulama yöntemleriyle yeniden kimlik doğrulamasından geçmesi gerekir.

Süresi dolan Geçici Erişim Geçişini silme

Bir kullanıcının kimlik doğrulama yöntemleri altında , Detail sütunu Geçici Erişim Geçişi'nin süresinin ne zaman dolduğunda gösterilir. Süresi dolan Geçici Erişim Geçişini silmek için aşağıdaki adımları kullanabilirsiniz:

  1. Azure AD portalında Kullanıcılar'a gidin, Kullanıcı'ya dokunun gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.
  2. Listede gösterilen Geçici Erişim Geçişi (Önizleme) kimlik doğrulama yönteminin sağ tarafında Sil'i seçin.

PowerShell'i de kullanabilirsiniz:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Geçici Erişim Geçişini Değiştirme

  • Bir kullanıcının yalnızca bir Geçici Erişim Geçişi olabilir. Geçiş kodu, Geçici Erişim Geçişi'nin başlangıç ve bitiş saati sırasında kullanılabilir.
  • Kullanıcı yeni bir Geçici Erişim Geçişi gerektiriyorsa:
    • Mevcut Geçici Erişim Geçişi geçerliyse, yöneticinin mevcut Geçici Erişim Geçişini silmesi ve kullanıcı için yeni bir geçiş oluşturması gerekir.
    • Mevcut Geçici Erişim Geçişi'nin süresi dolduysa, yeni bir Geçici Erişim Geçişi mevcut Geçici Erişim Geçişi'ni geçersiz kılar.

Ekleme ve kurtarma için NIST standartları hakkında daha fazla bilgi için bkz. NIST Özel Yayını 800-63A.

Sınırlamalar

Bu sınırlamaları göz önünde bulundurun:

  • FIDO2 veya Telefon oturum açma gibi parolasız bir yöntemi kaydetmek için tek seferlik Geçici Erişim Geçişi kullanırken, kullanıcının tek seferlik Geçici Erişim Geçişi ile oturum açma işleminden sonra 10 dakika içinde kaydı tamamlaması gerekir. Bu sınırlama, birden çok kez kullanılabilen Geçici Erişim Geçişi için geçerli değildir.
  • Temporary Access Pass genel önizleme aşamasındadır ve şu anda US Government için Azure'da kullanılamaz.
  • Self Servis Parola Sıfırlama (SSPR) kayıt ilkesi veyaKimlik Koruması Çok faktörlü kimlik doğrulama kayıt ilkesi kapsamındaki kullanıcıların, kimlik doğrulama yöntemlerini Geçici Erişim Geçişi ile oturum açtıktan sonra kaydetmeleri gerekir. Bu ilkelerin kapsamındaki kullanıcılar , birleşik kaydın Kesme moduna yönlendirilir. Bu deneyim şu anda FIDO2 ve Telefon Oturum açma kaydını desteklememektedir.
  • Geçici Erişim Geçişi, Ağ İlkesi Sunucusu (NPS) uzantısı ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) bağdaştırıcısıyla veya Kurulum/İlk Çalıştırma Deneyimi (OOBE), Autopilot Windows sırasında veya İş İçin Windows Hello dağıtmak için kullanılamaz.

Sorun giderme

  • Oturum açma sırasında kullanıcıya Geçici Erişim Geçişi sunulmuyorsa aşağıdakileri denetleyin:
    • Kullanıcı, Temporary Access Pass kimlik doğrulama yöntemi ilkesinin kapsamındadır.
    • Kullanıcının geçerli bir Geçici Erişim Geçişi vardır ve bir kerelik kullanımdaysa henüz kullanılmamıştır.
  • Geçici Erişim Geçişi ile oturum açma sırasında Kullanıcı Kimlik Bilgileri İlkesi göründüğünden Geçici Erişim Geçişi oturum açma engellendiyse, aşağıdakileri denetleyin:
    • Kimlik doğrulama yöntemi ilkesi bir kerelik Geçici Erişim Geçişi gerektirirken, kullanıcının çok kullanımlı Geçici Erişim Geçişi vardır.
    • Bir kerelik Geçici Erişim Geçişi zaten kullanılıyordu.
  • Kullanıcı Kimlik Bilgileri İlkesi nedeniyle Geçici Erişim Geçişi oturum açma işlemi engellendiyse, kullanıcının TAP ilkesi kapsamında olup olmadığını denetleyin.

Sonraki adımlar