Çok Faktörlü Azure Active Directory dağıtımı planlama

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA), ikinci bir kimlik doğrulaması biçimi kullanarak veri ve uygulamalara erişimin korunmasına yardımcı olur. Kuruluşlar, çözümün ihtiyaçlarına uygun olması için Koşullu Erişim ile çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz.

Bu dağıtım kılavuzu, Azure AD MFA dağıtımını planlama ve uygulama hakkında bilgi sağlar.

Azure AD MFA dağıtma önkoşulları

Dağıtımınıza başlamadan önce, ilgili senaryolarınız için aşağıdaki önkoşulları karşılamalısınız.

Senaryo Önkoşul
Modern kimlik doğrulaması ile yalnızca bulut kimlik ortamı Önkoşul görevi yok
Karma kimlik senaryoları Azure AD Bağlan dağıtın ve şirket içi Active Directory Domain Services (AD DS) ile Azure AD arasında kullanıcı kimliklerini eşitler.
Bulut erişimi için yayımlanan şirket içi eski uygulamalar Azure AD Uygulama Ara Sunucusu

MFA için kimlik doğrulama yöntemlerini seçme

İkinci faktörlü kimlik doğrulaması için kullanılmaktadır. Kullanılabilir kimlik doğrulama yöntemleri listesinden her birini güvenlik, kullanılabilirlik ve kullanılabilirlik açısından değerlendirebilirsiniz.

Önemli

Kullanıcıların birincil yöntemleri kullanılamaz durumda kullanılabilir bir yedekleme yöntemine sahip olacak şekilde birden fazla MFA yöntemini etkinleştirin. Yöntemler şunlardır:

Kiracınız içinde kullanılacak kimlik doğrulama yöntemlerini seçerken bu yöntemlerin güvenliğini ve kullanılabilirliğini göz önünde bulundurarak:

Choose the right authentication method

Bu yöntemlerin gücü ve güvenliği ve çalışma yöntemleri hakkında daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Kullanıcıların MFA yapılandırmalarını analiz etmek ve uygun MFA kimlik doğrulama yöntemini önermek için bu PowerShell betiği kullanabilirsiniz.

En iyi esneklik ve kullanılabilirlik için Microsoft Authenticator kullanın. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyiminin yanı sıra parolasız, MFA anında bildirim ve OATH kodları gibi birden çok mod sağlar. Bu Microsoft Authenticator, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Güvenlik Authenticator 2 gereksinimlerini de karşılar.

Kiracınız için kullanılabilir kimlik doğrulama yöntemlerini kontrol etmek için kullanabilirsiniz. Örneğin, SMS gibi en az güvenli yöntemlerden bazılarını engellemek istiyor olabilirsiniz.

Kimlik doğrulama yöntemi Şundan yönet: Kapsam
Microsoft Authenticator (Anında bildirim ve parolasız telefon oturum açma) MFA ayarları veya Kimlik doğrulama yöntemleri ilkesi Authenticator parolasız telefon oturum açma kapsamını kullanıcılar ve gruplar için silemezsiniz
FIDO2 güvenlik anahtarı Kimlik doğrulama yöntemleri ilkesi Kapsamı kullanıcılar ve gruplar olabilir
Yazılım veya Donanım OATH belirteçleri MFA ayarları
SMS doğrulaması MFA ayarları
Kimlik doğrulama ilkesinde birincil kimlik doğrulaması için SMS oturum açmasını yönetme
SMS oturum açma kapsamını kullanıcılar ve gruplar olarak genişletebilirsiniz.
Sesli aramalar Kimlik doğrulama yöntemleri ilkesi

Koşullu Erişim ilkelerini planlama

Azure AD MFA, Koşullu Erişim ilkeleriyle uygulanır. Bu ilkeler, güvenlik için gerektiğinde kullanıcılardan çok faktörlü kimlik doğrulaması isteminde bulundurma ve gerek kalmadan kullanıcıların yolundan çıkmamalarını sağlar.

Conceptual Conditional Access process flow

Bu Azure portal, Koşullu Erişim altında Koşullu Erişim Azure Active Directory yapılandırmış oluruz.

Koşullu Erişim ilkeleri oluşturma hakkında daha fazla bilgi edinmek için bkz. Koşullu Erişim ilkesi, bir kullanıcı Azure portal. Bu, şunları yapmak için size yardımcı olur:

  • Kullanıcı arabirimi hakkında bilgi sahibi olma
  • Koşullu Erişim'in nasıl çalıştığının ilk izlenimini elde edin

Azure AD Koşullu Erişim dağıtımıyla ilgili 2.00.000.000 kılavuz için bkz. Koşullu Erişim dağıtım planı.

Azure AD MFA için ortak ilkeler

Azure AD MFA gerektiren yaygın kullanım örnekleri şunlardır:

Adlandırılmış konumlar

Koşullu Erişim ilkelerinizi yönetmek için Koşullu Erişim ilkesi konum koşulu, erişim denetimi ayarlarını kullanıcılarının ağ konumlarına bağlamanızı sağlar. IP adresi aralıklarının veya ülkelerin ve bölgelerin mantıksal gruplamalarını oluşturabilirsiniz. Bu, bu adlandırılmış konumdan oturum açmasını engelleyen tüm uygulamalar için bir ilke oluşturur. Yöneticilerinizi bu ilkeden muaf tutularak muaf tutulacaklarından emin olun.

Risk tabanlı ilkeler

Kuruluş risk sinyallerini Azure AD Kimlik Koruması için güvenlik ilkeleri kullanıyorsa, adlandırılmış konumlar yerine risk tabanlı ilkeler kullanmayı göz önünde bulundurabilirsiniz. Güvenliği tehlikeye atılmış kimlik tehdidi olduğunda parola değişikliklerini zorlamak veya sızdırılan kimlik bilgileri, anonim IP adreslerinden oturum açma gibi olaylarla oturum açmanın riskli olduğu kabul edildiklerinde çok faktörlü kimlik doğrulaması gerektirmek için ilkeler oluşturulabilir.

Risk ilkeleri şunlardır:

Kullanıcıları kullanıcı başına MFA'dan Koşullu Erişim tabanlı MFA'ya dönüştürme

Kullanıcılarınız kullanıcı başına etkin ve zorunlu Azure AD Multi-Factor Authentication kullanılarak etkinleştirildiyse, aşağıdaki PowerShell Koşullu Erişim tabanlı Azure AD Multi-Factor Authentication'a dönüştürmede size yardımcı olabilir.

Bu PowerShell'i BIR ISE penceresinde çalıştırın veya yerel olarak çalıştırmak .PS1 için bir dosya olarak kaydedin. İşlem yalnızca MSOnline modülü kullanılarak yapılabilir.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Kullanıcı oturumu ömrünü planlama

MFA dağıtımınızı planlarken, kullanıcılarınıza ne sıklıkta sorulacaklarını düşünmeniz önemlidir. Kullanıcılardan kimlik bilgilerini istemeleri genellikle mantıklı bir şey gibi görünüyor ancak geri tepebilir. Kullanıcılar, düşünmeden kimlik bilgilerini girmeleri için eğitilmeleri, onları kötü amaçlı bir kimlik bilgisi istemine istem dışı olarak silmiş olabilir. Azure AD'de ne sıklıkta yeniden kimlik doğrulamasına ihtiyacınız olduğunu belirleyen birden çok ayar vardır. İşletmenizin ve kullanıcılarının ihtiyaçlarını anlama ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırma.

Gelişmiş son kullanıcı deneyimi için Birincil Yenileme Belirteçleri (PRT) olan cihazları kullanmanızı ve oturum ömrünü yalnızca belirli iş kullanım durumlarında oturum açma sıklığı ilkesiyle azaltmanızı öneririz.

Daha fazla bilgi için bkz. Yeniden kimlik doğrulama istemleriniiyileştirme ve Azure AD MFA için oturum ömrünü anlama.

Kullanıcı kaydını planlama

Her MFA dağıtımında önemli bir adım, kullanıcıların MFA kullanmak üzere kayıtlı olarak elde etmektir. Ses ve SMS gibi kimlik doğrulama yöntemleri ön kayıt sağlarken, Authenticator App gibi diğer kullanıcılar kullanıcı etkileşimi gerektirir. Yöneticilerin kullanıcıların yöntemlerini nasıl kaydedeceklerini belirlemesi gerekir.

SSPR ve Azure AD MFA için Birleşik kayıt

Azure AD MFA ve Azure AD self servis parola sıfırlama (SSPR)için Birleşik kayıt deneyimini kullanmanızı öneririz. SSPR, kullanıcıların Azure AD MFA için kullandıkları aynı yöntemleri kullanarak parolalarını güvenli bir şekilde sıfırlamasına olanak sağlar. Birleşik kayıt, son kullanıcılar için tek bir adımdır.

Kimlik koruması ile kaydolma

Azure AD Kimlik Koruması, hem bir kayıt ilkesini hem de otomatik risk algılama ve düzeltme ilkelerini Azure AD MFA hikayesine katkıda bulunur. Bir oturum açma riskli olarak kabul edildiğinde veya MFA gerektirirken, riskli bir kimlik tehlikede bulunduğunda parola değişikliklerini zorlamak için ilkeler oluşturulabilir. Azure AD Kimlik Koruması kullanıyorsanız, Azure AD MFA kayıt ilkesini kullanıcılarınıza bir dahaki sefer etkileşimli oturum açtıklarında kaydolmaları istenir.

Kimlik koruması olmadan kayıt

Azure AD Kimlik Koruması etkinleştiren lisanslarınız yoksa, kullanıcılardan oturum açma sırasında MFA 'nın bir sonraki sefer yapması istenir. Kullanıcıların MFA kullanmasını zorunlu kılmak için, koşullu erişim ilkelerini kullanabilir ve HR sistemleri gibi sık kullanılan uygulamaları hedefleyebilirsiniz. Bir kullanıcının parolasının güvenliği tehlikeye girerse, MFA 'ya kaydolmak ve hesaplarının denetimini ele almak için kullanılabilir. Bu nedenle, güvenlik kayıt işleminin Güvenilen cihazlar ve konumlar gerektiren koşullu erişim ilkeleriyle güvenli hale getirilmesi önerilir. Ayrıca, geçici bir erişim geçişiisteyerek işlemi daha da güvenli hale getirebilirsiniz. Güçlü kimlik doğrulama gereksinimlerini karşılayan ve parolasız olanlar dahil diğer kimlik doğrulama yöntemlerini eklemek için kullanılabilen, bir yönetici tarafından verilen zaman sınırlı bir geçiş kodu.

Kayıtlı kullanıcıların güvenliğini artırma

SMS veya sesli çağrılar kullanarak MFA için kaydedilmiş kullanıcılarınız varsa, bunları Microsoft Authenticator uygulaması gibi daha güvenli yöntemlere taşımak isteyebilirsiniz. Microsoft artık, kullanıcıların oturum açma sırasında Microsoft Authenticator uygulamasını ayarlamasına izin vermenize olanak tanıyan, işlevselliği genel bir şekilde önizlemede sunmaktadır. Bu komut istemlerini gruba göre ayarlayabilirsiniz, kimin uyarılarına göre, hedeflenen kampanyaların kullanıcıları daha güvenli bir yönteme taşımasını olanaklı hale getirebilirsiniz.

Kurtarma senaryolarını planlayın

Daha önce bahsedildiği gibi, kullanıcıların birden fazla MFA yöntemi için kayıtlı olduğundan emin olun, böylece bir yedekleme olur. Kullanıcının kullanılabilir bir yedekleme yöntemi yoksa şunları yapabilirsiniz:

  • Kendi kimlik doğrulama yöntemlerini yönetebilmeleri için onlara geçici bir erişim geçişi sağlayın. Kaynaklara geçici erişim sağlamak için de geçici bir erişim geçişi sağlayabilirsiniz.
  • Yöntemlerini yönetici olarak güncelleştirin. Bunu yapmak için Azure portal kullanıcıyı seçip kimlik doğrulama yöntemleri ' ni seçin ve yöntemlerini güncelleştirin. Kullanıcı iletişimleri

Kullanıcılara yaklaşan değişiklikler, Azure AD MFA kayıt gereksinimleri ve gerekli Kullanıcı eylemleri hakkında bilgi vermek önemlidir. İletişimlerinizin taslağını almak için iletişim şablonları ve Son Kullanıcı belgeleri sağlıyoruz. https://myprofile.microsoft.comBu sayfadaki https://myprofile.microsoft.com bağlantısını seçerek kullanıcıları kaydetmek üzere uygulamasına gönderin.

Şirket içi sistemlerle tümleştirmeyi planlayın

doğrudan Azure AD ile kimlik doğrulaması yapan ve modern kimlik doğrulamasına sahip olan uygulamalar (WS-beslenir, SAML, OAuth, openıd Bağlan) koşullu erişim ilkelerinin kullanımını yapabilir. Bazı eski ve şirket içi uygulamalar doğrudan Azure AD 'de kimlik doğrulaması yapamaz ve Azure AD MFA 'yı kullanmak için ek adımlar gerektirir. Azure AD uygulama proxy 'sini veya ağ ilkesi hizmetlerinikullanarak bunları tümleştirebilirsiniz.

AD FS kaynaklarıyla tümleştirin

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) ile güvenliği sağlanan uygulamaların Azure AD 'ye geçirilmesini öneririz. Bununla birlikte, bunları Azure AD 'ye geçirmeye hazırsanız, Azure MFA bağdaştırıcısını AD FS 2016 veya daha yeni bir sürümüyle birlikte kullanabilirsiniz. Kuruluşunuz Azure AD ile federe ise, Azure AD MFA 'yı hem şirket içinde hem de bulutta AD FS kaynaklarla bir kimlik doğrulama sağlayıcısı olarak yapılandırabilirsiniz .

RADIUS istemcileri ve Azure AD MFA

radıus kimlik doğrulaması kullanan uygulamalar için, istemci uygulamalarını Azure AD 'de SAML, açık kimlik Bağlan veya OAuth gibi modern protokollere taşımayı öneririz. Uygulama güncelleştirilemeyebilir, Azure MFA uzantısıyla ağ Ilkesi sunucusu (NPS)dağıtabilirsiniz. Ağ ilkesi sunucusu (NPS) uzantısı, ikinci bir kimlik doğrulama faktörü sağlamak için, RADIUS tabanlı uygulamalar ve Azure AD MFA arasında bir bağdaştırıcı görevi görür.

Yaygın tümleştirmeler

Birçok satıcı artık uygulamaları için SAML kimlik doğrulamasını desteklemektedir. Mümkün olduğunda, bu uygulamaları Azure AD ile Federasyonu ve koşullu erişim aracılığıyla MFA 'yı zorlaştırmayı öneririz. Satıcınız modern kimlik doğrulamasını desteklemiyorsa – NPS uzantısını kullanabilirsiniz. Ortak RADIUS istemci tümleştirmeleri, Uzak Masaüstü Ağ geçitleri ve VPN sunucularıgibi uygulamalar içerir.

Diğerleri şunları içerebilir:

  • Citrix Gateway

    Citrix Gateway hem RADIUS hem de NPS uzantı tümleştirmesini ve bir SAML tümleştirmesini destekler.

  • Cisco VPN

    • Cisco VPN, SSO için hem RADIUS hem de SAML kimlik doğrulamasınıdestekler.
    • RADIUS kimlik doğrulamasından SAML 'ya geçerek, NPS uzantısını dağıtmadan Cisco VPN 'i tümleştirebilirsiniz.
  • Tüm VPN 'Ler

Azure AD MFA 'yı dağıtma

MFA Dağıtım planınız, bir pilot dağıtımı ve ardından destek kapasiteniz dahilinde olan dağıtım dalgalarını içermelidir. Koşullu erişim ilkelerinizi küçük bir pilot kullanıcı grubuna uygulayarak, piyasaya çıkmayı başlatın. Pilot kullanıcılar, kullanılan işlem ve kayıt davranışları üzerindeki etkiyi değerlendirdikten sonra, ilkeye daha fazla grup ekleyebilir veya var olan gruplara daha fazla kullanıcı ekleyebilirsiniz.

Aşağıdaki adımları izleyin:

  1. Gerekli önkoşulları karşılayın
  2. Seçilen kimlik doğrulama yöntemlerini Yapılandır
  3. Koşullu erişim ilkelerinizi yapılandırın
  4. Oturum ömür ayarlarını yapılandırma
  5. Azure AD MFA kayıt ilkelerini yapılandırma

Azure AD MFA 'yı yönetme

Bu bölümde, Azure AD MFA için raporlama ve sorun giderme bilgileri sağlanmaktadır.

Raporlama ve Izleme

Azure AD 'de teknik ve iş içgörüler sağlayan raporlar bulunur, dağıtımınızın ilerleme durumunu izleyebilir ve MFA ile kullanıcılarınızın oturum açma sırasında başarılı olup olmadığını kontrol edin. İşletmenizin ve teknik uygulama sahiplerinizin sahipliğini varsaymasını ve kuruluşunuzun gereksinimlerine göre bu raporları kullanmasını sağlayabilirsiniz.

Kimlik doğrulama yöntemleri etkinlik panosunukullanarak, kuruluşunuzda kimlik doğrulama yöntemi kaydını ve kullanımını izleyebilirsiniz. Bu, hangi yöntemlerin kaydedildiğini ve bunların nasıl kullanıldığını anlamanıza yardımcı olur.

MFA olaylarını gözden geçirmek için oturum açma raporu

Azure AD oturum açma raporları, bir kullanıcıya çok faktörlü kimlik doğrulaması istendiğinde ve herhangi bir koşullu erişim ilkesi kullanımda olduğunda olaylar için kimlik doğrulama ayrıntılarını içerir. Ayrıca, MFA için kaydolan kullanıcılar hakkında raporlama için PowerShell kullanabilirsiniz.

NPS uzantısı ve AD FS günlükleri, güvenlikMFAetkinlik raporundangörüntülenebilir.

Daha fazla bilgi ve ek MFA raporları için bkz. Azure AD Multi-Factor Authentication olaylarını İnceleme.

Azure AD MFA sorunlarını giderme

Genel sorunlar için bkz. Azure AD MFA sorunlarını giderme .

Sonraki adımlar

Diğer kimlik özelliklerini dağıtma