Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırma

  • Makale

Microsoft Entra çok faktörlü kimlik doğrulaması için son kullanıcı deneyimini özelleştirmek için hesap kilitleme eşikleri veya sahtekarlık uyarıları ve bildirimleri gibi ayarlar için seçenekleri yapılandırabilirsiniz.

Aşağıdaki Microsoft Entra çok faktörlü kimlik doğrulama ayarları kullanılabilir:

Özellik Açıklama
Hesap kilitleme (yalnızca MFA Sunucusu) Bir satırda çok fazla reddedilen kimlik doğrulaması girişimi varsa hesapların Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmasını geçici olarak kilitleyin. Bu özellik yalnızca kimlik doğrulaması için BIR PIN girmek için MFA Sunucusu kullanan kullanıcılar için geçerlidir.
Kullanıcıları engelleme/engellemesini kaldırma Belirli kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulama isteklerini alabilmesini engelleyin. Engellenen kullanıcılar için tüm kimlik doğrulaması denemeleri otomatik olarak reddedilir. Kullanıcılar engellendiklerinden itibaren veya engelleri el ile kaldırılana kadar 90 gün boyunca engellenmiş durumda kalırlar.
Sahtekarlık uyarısı Kullanıcıların sahte doğrulama isteklerini bildirmesine izin veren ayarları yapılandırın.
Şüpheli etkinliği bildirme Kullanıcıların sahte doğrulama isteklerini bildirmesine izin veren ayarları yapılandırın.
Bildirimler MFA Sunucusundan olayların bildirimlerini etkinleştirin.
OATH belirteçleri Bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama ortamlarında, kullanıcılar için OATH belirteçlerini yönetmek için kullanılır.
arama ayarlarını Telefon Bulut ve şirket içi ortamlar için telefon aramaları ve karşılamalarla ilgili ayarları yapılandırın.
Sağlayıcılar Bu, hesabınızla ilişkilendirdiğiniz mevcut kimlik doğrulama sağlayıcılarını gösterir. Yeni sağlayıcı ekleme işlemi 1 Eylül 2018 itibarıyla devre dışı bırakılmıştır.

Microsoft Entra çok faktörlü kimlik doğrulama ayarları

Hesap kilitleme (yalnızca MFA Sunucusu)

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Not

Hesap kilitleme yalnızca şirket içi MFA Sunucusu'nu kullanarak oturum açan kullanıcıları etkiler.

Bir saldırının parçası olarak yinelenen MFA girişimlerini önlemek için hesap kilitleme ayarları, hesap belirli bir süre için kilitlenmeden önce kaç başarısız girişime izin verileceğini belirtmenize olanak sağlar. Hesap kilitleme ayarları yalnızca şirket içi MFA Sunucusu kullanılarak MFA istemi için bir PIN kodu girildiğinde uygulanır.

Aşağıdaki ayarlar kullanılabilir:

  • Hesap kilitlenmesini tetikleyen MFA reddi sayısı
  • Hesap kilitleme sayacının sıfırlanması için dakikalar
  • Hesabın engeli otomatik olarak kaldırılana kadar dakika

Hesap kilitleme ayarlarını yapılandırmak için şu adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Çok Faktörlü kimlik doğrulama>Hesabı kilitleme'ye göz atın. Çok faktörlü kimlik doğrulamasını görmek için Daha fazla göster'e tıklamanız gerekebilir.

  3. Ortamınızın değerlerini girin ve Kaydet'i seçin.

    Hesap kilitleme ayarlarını gösteren ekran görüntüsü.

Kullanıcıları engelleme ve engelini kaldırma

Kullanıcının cihazı kaybolur veya çalınırsa, ilişkili hesap için Microsoft Entra çok faktörlü kimlik doğrulama girişimlerini engelleyebilirsiniz. Engellenen kullanıcılar için tüm Microsoft Entra çok faktörlü kimlik doğrulama girişimleri otomatik olarak reddedilir. Kullanıcılar, engellendiklerinden itibaren 90 gün boyunca engellenmiş durumda kalır. Bunun nasıl yapılacağını açıklayan bir video için bkz . Kiracınızdaki kullanıcıları engelleme ve engellemesini kaldırma.

Kullanıcıyı engelleme

Kullanıcıyı engellemek için aşağıdaki adımları tamamlayın.

Bu işlemi açıklayan kısa bir video izleyin.

  1. Koruma>Çok Faktörlü kimlik doğrulaması>Engelle/engelini kaldır'a gidin.
  2. Kullanıcıyı engellemek için Ekle'yi seçin.
  3. Engellenen kullanıcının kullanıcı adını biçiminde username@domain.comgirin ve ardından Neden kutusuna bir açıklama girin.
  4. Kullanıcıyı engellemek için Tamam'ı seçin.

Kullanıcının engellemesini kaldırma

Kullanıcının engelini kaldırmak için aşağıdaki adımları tamamlayın:

  1. Koruma>Çok Faktörlü kimlik doğrulaması>Kullanıcıları engelle/engelini kaldır'a gidin.
  2. Kullanıcının yanındaki Eylem sütununda Engellemeyi Kaldır'ı seçin.
  3. Engellemeyi kaldırma nedeni kutusuna bir açıklama girin.
  4. Kullanıcının engelini kaldırmak için Tamam'ı seçin.

Sahtekarlık uyarısı

Sahtekarlık uyarısı özelliği, kullanıcıların kaynaklarına erişmeye yönelik sahte girişimleri bildirmesine olanak tanır. Bilinmeyen ve şüpheli bir MFA istemi alındığında, kullanıcılar Microsoft Authenticator uygulamasını kullanarak veya telefonlarından dolandırıcılık girişimini bildirebilir.

Microsoft, risk temelli düzeltme, daha iyi raporlama özellikleri ve en az ayrıcalıklı yönetim için Kimlik Koruması ile tümleştirmesi nedeniyle Sahtekarlık uyarısı yerine Şüpheli rapor etkinliğinin kullanılmasını önerir.

Aşağıdaki sahtekarlık uyarısı yapılandırma seçenekleri kullanılabilir:

  • Sahtekarlık raporu veren kullanıcıları otomatik olarak engelleyin. Bir kullanıcı sahtekarlık bildiriyorsa, kullanıcı hesabı için Azure AD Çok Faktörlü Kimlik Doğrulama girişimleri 90 gün boyunca veya yönetici hesabın engelini kaldırana kadar engellenir. Yönetici, oturum açma raporunu kullanarak oturum açma bilgilerini gözden geçirebilir ve gelecekteki sahtekarlığı önlemek için uygun eylemleri gerçekleştirebilir. Yönetici daha sonra kullanıcının hesabının engelini kaldırabilir.

  • İlk karşılama sırasında sahtekarlığı bildirmek için kod. Kullanıcılar çok faktörlü kimlik doğrulaması gerçekleştirmek için bir telefon araması aldığında, normalde oturum açma işlemlerini onaylamak için basın # . Sahtekarlığı bildirmek için, kullanıcı tuşuna basmadan #önce bir kod girer. Bu kod varsayılan olarak 0'dır, ancak bunu özelleştirebilirsiniz. Otomatik engelleme etkinleştirilirse, kullanıcı sahtekarlığı bildirmek için 0# tuşuna bastıktan sonra hesabın engellenmesini onaylamak için 1 tuşuna basması gerekir.

    Not

    Microsoft'un varsayılan sesli karşılaması, kullanıcılara dolandırıcılık uyarısı göndermek için 0# tuşuna basmalarını emredmektedir. 0 dışında bir kod kullanmak istiyorsanız, kullanıcılarınız için uygun yönergelerle kendi özel sesli selamlamalarınızı kaydedin ve karşıya yükleyin.

Sahtekarlık uyarılarını etkinleştirmek ve yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Koruma>Çok Faktörlü kimlik doğrulaması>Sahtekarlığı uyarısına göz atın.
  3. Kullanıcıların dolandırıcılık uyarıları göndermesine izin ver seçeneğini Açık olarak ayarlayın.
  4. İlk karşılama sırasında sahtekarlığı bildirmek için sahtekarlığı bildiren kullanıcıları otomatik olarak engelle veya Kod ayarını gerektiği gibi yapılandırın.
  5. Kaydet'i seçin.

Şüpheli etkinliği bildirme

Güncelleştirilmiş MFA Sahtekarlığı Uyarısı özelliği olan şüpheli etkinliği bildirme özelliği kullanıma sunuldu. Bilinmeyen ve şüpheli bir MFA istemi alındığında, kullanıcılar Microsoft Authenticator'ı kullanarak veya telefonlarından dolandırıcılık girişimini bildirebilir. Bu uyarılar, daha kapsamlı kapsam ve yetenek için Kimlik Koruması ile tümleştirilmiştir.

MFA istemini şüpheli olarak bildiren kullanıcılar Yüksek Kullanıcı Riski olarak ayarlanır. Yönetici istrator'lar bu kullanıcıların erişimini sınırlamak için risk tabanlı ilkeler kullanabilir veya kullanıcıların sorunları kendi başlarına düzeltmesi için self servis parola sıfırlamayı (SSPR) etkinleştirebilir. Daha önce Sahtekarlık Uyarısı otomatik engelleme özelliğini kullandıysanız ve risk tabanlı ilkeler için Microsoft Entra ID P2 lisansına sahip değilseniz, etkilenen kullanıcıları tanımlamak ve devre dışı bırakmak ve oturum açmalarını otomatik olarak önlemek için risk algılama olaylarını kullanabilirsiniz. Risk tabanlı ilkeleri kullanma hakkında daha fazla bilgi için bkz . Risk tabanlı erişim ilkeleri.

Kimlik doğrulama yöntemlerinden Şüpheli etkinlik bildir özelliğini etkinleştirmek için Ayarlar:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Koruma>Kimlik Doğrulama Yöntemleri'ne> göz atın Ayarlar.
  3. Şüpheli etkinliği bildir seçeneğini Etkin olarak ayarlayın. Microsoft tarafından yönetilen'i seçerseniz özellik devre dışı kalır. Microsoft tarafından yönetilen değerler hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de kimlik doğrulama yöntemlerini koruma.
  4. Tüm kullanıcılar'ı veya belirli bir grubu seçin.
  5. Bir Raporlama kodu seçin.
  6. Kaydet'e tıklayın.

Not

Kiracıda yapılandırılmış bir özel ses raporlama numarasıyla paralel olarak Sahtekarlık Uyarısı etkinken Şüpheli etkinlik bildir'i etkinleştirir ve özel bir ses raporlama değeri belirtirseniz, Sahtekarlık Uyarısı yerine Şüpheli etkinlik değerini raporla kullanılır.

Şüpheli etkinlik olaylarını görüntüleme

Kullanıcı şüpheli olarak bir MFA istemi bildirdiğinde, olay Oturum açmalar raporunda (kullanıcı tarafından reddedilen bir oturum açma olarak), Denetim günlüklerinde ve Risk algılamaları raporunda gösterilir.

  • Risk algılama raporunu görüntülemek için Koruma>Kimlik Koruması>Risk algılama'yı seçin. Risk olayı standart Risk Algılamaları raporunun bir parçasıdır ve Algılama Türü Kullanıcı Tarafından Bildirilen Şüpheli Etkinlik, Risk düzeyi Yüksek, Kaynak Son kullanıcı bildirildi olarak görünür.

  • Sahtekarlık raporlarını Oturum açmalar raporunda görüntülemek için Kimlik>İzleme ve sistem durumu>Oturum açma günlükleri>Kimlik Doğrulama Ayrıntıları'nı seçin. Sahtekarlık raporu, standart Microsoft Entra oturum açma işlemleri raporunun bir parçasıdır ve MFA reddedildi, Sahtekarlık Kodu Girildi olarak Sonuç Ayrıntısı'nda görünür.

  • Denetim günlüklerinde sahtekarlık raporlarını görüntülemek için Kimlik>İzleme ve sistem durumu>Denetim günlükleri'ni seçin. Sahtekarlık raporu, Sahtekarlık bildirildi etkinlik türü altında görünür - kullanıcı MFA için engellendi veya Sahtekarlık bildirildi - sahtekarlık raporu için kiracı düzeyindeki ayarlara göre hiçbir işlem yapılmaz.

Not

Kullanıcı parolasız kimlik doğrulaması gerçekleştirirse Yüksek Riskli olarak bildirilmez.

Şüpheli etkinlik olaylarını yönetme

Bir kullanıcı şüpheli olarak bir istem bildirdikten sonra risk, Kimlik Koruması ile araştırılmalı ve düzeltilmelidir.

Şüpheli etkinliği ve sahtekarlık uyarılarını bildirme

Şüpheli etkinlikleri rapor edin ve eski Sahtekarlık Uyarısı uygulaması paralel olarak çalışabilir. Hedeflenen bir test grubuyla Şüpheli etkinliği raporla özelliğini kullanmaya başlarken kiracı genelindeki Sahtekarlık Uyarısı işlevinizi yerinde tutabilirsiniz.

Sahtekarlık Uyarısı Otomatik Engelleme ile etkinleştirilirse ve Şüpheli etkinlik bildir etkinleştirilirse, kullanıcı engellenenler listesine eklenir ve yapılandırılan diğer ilkeler için yüksek riskli ve kapsam içinde olarak ayarlanır. Bu kullanıcıların MFA ile oturum açmalarını sağlamak için blok listesinden kaldırılması ve risklerinin düzeltilmesi gerekir.

Notifications

Kullanıcılar dolandırıcılık uyarıları bildirdiğinde e-posta bildirimleri göndermek için Microsoft Entra Id'yi yapılandırabilirsiniz. Bu bildirimler genellikle kimlik yöneticilerine gönderilir çünkü kullanıcının hesap kimlik bilgileri büyük olasılıkla tehlikeye girer. Aşağıdaki örnekte sahtekarlık uyarısı bildirim e-postasının nasıl göründüğü gösterilmektedir:

Sahtekarlık uyarısı bildirim e-postası gösteren ekran görüntüsü.

Sahtekarlık uyarısı bildirimlerini yapılandırmak için:

  1. Koruma>Çok Faktörlü Kimlik Doğrulama>Bildirimleri'ne gidin.
  2. Bildirimin gönderilmesi için e-posta adresini girin.
  3. Mevcut bir e-posta adresini kaldırmak için, e-posta adresinin yanındaki ... öğesini ve ardından Sil'i seçin.
  4. Kaydet'i seçin.

OATH belirteçleri

Microsoft Entra ID, kodları 30 veya 60 saniyede bir yenileyen OATH TOTP SHA-1 belirteçlerinin kullanımını destekler. Bu belirteçleri istediğiniz satıcıdan satın alabilirsiniz.

OATH TOTP donanım belirteçleri genellikle belirteçte önceden programlanmış bir gizli anahtar veya çekirdek ile birlikte gelir. Aşağıdaki adımlarda açıklandığı gibi bu anahtarları Microsoft Entra Id'ye girmeniz gerekir. Gizli anahtarlar, tüm belirteçlerle uyumlu olmayan 128 karakterle sınırlıdır. Gizli anahtar yalnızca a-z veya A-Z karakterlerini ve 1-7 arası basamakları içerebilir. Base32'de kodlanmalıdır.

Yeniden görüntülenebilen programlanabilir OATH TOTP donanım belirteçleri, yazılım belirteci kurulum akışında Microsoft Entra Kimliği ile de ayarlanabilir.

OATH donanım belirteçleri genel önizleme kapsamında desteklenir. Önizlemeler hakkında daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

OATH belirteçleri bölümünü gösteren ekran görüntüsü.

Belirteçleri aldıktan sonra, bunları virgülle ayrılmış değerler (CSV) dosya biçiminde karşıya yüklemeniz gerekir. Bu örnekte gösterildiği gibi UPN, seri numarası, gizli anahtar, zaman aralığı, üretici ve modeli ekleyin:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Not

ÜST bilgi satırını CSV dosyanıza eklediğinizden emin olun.

Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın, Koruma>Çok Faktörlü kimlik doğrulaması>OATH belirteçleri'ne gidin ve CSV dosyasını karşıya yükleyin.

CSV dosyasının boyutuna bağlı olarak işlenmesi birkaç dakika sürebilir. Durumu almak için Yenile'yi seçin. Dosyada herhangi bir hata varsa, bunları listeleyen bir CSV dosyasını indirebilirsiniz. İndirilen CSV dosyasındaki alan adları, karşıya yüklenen sürümdekilerden farklıdır.

Hatalar giderildikten sonra, yönetici belirteç için Etkinleştir'i seçip belirteçte görüntülenen OTP'yi girerek her anahtarı etkinleştirebilir.

Kullanıcılar, istedikleri zaman kullanılmak üzere yapılandırılan Microsoft Authenticator uygulaması gibi beş adede kadar OATH donanım belirteci veya kimlik doğrulayıcı uygulamasının birleşimine sahip olabilir.

Önemli

Her belirteci yalnızca tek bir kullanıcıya atadığınızdan emin olun. Gelecekte, bir güvenlik riskini önlemek için tek bir belirtecin birden çok kullanıcıya atanması desteği durdurulacaktır.

Telefon görüşmesi ayarları

Kullanıcılar MFA istemleri için telefon aramaları alıyorsa, arayan kimliği veya duydukları sesli karşılama gibi deneyimlerini yapılandırabilirsiniz.

Birleşik Devletler MFA arayan kimliğini yapılandırmadıysanız Microsoft'tan gelen sesli aramalar aşağıdaki numaralardan gelir. İstenmeyen posta filtreleri olan kullanıcılar bu sayıları hariç tutmalıdır.

Varsayılan sayı: +1 (855) 330-8653

Aşağıdaki tabloda farklı ülkeler için daha fazla sayı listeledik.

Ülke/Bölge Numaralar
Avusturya +43 6703062076
Bangladeş +880 9604606026
Hırvatistan +385 15507766
Ekvador +593 964256042
Estonya +372 6712726
Fransa +33 744081468
Gana +233 308250245
Yunanistan +30 2119902739
Guatemala +502 23055056
Hong Kong ÖİB +852 25716964
Hindistan +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Ürdün +962 797639442
Kenya +254 709605276
Hollanda +31 202490048
Nijerya +234 7080627886
Pakistan +92 4232618686
Polonya +48 699740036
Suudi Arabistan +966 115122726
Güney Afrika +27 872405062
İspanya +34 913305144
Sri Lanka +94 117750440
İsveç +46 701924176
Tayvan +886 277515260
Türkiye +90 8505404893
Ukrayna +380 443332393
Birleşik Arap Emirlikleri +971 44015046
Vietnam +84 2039990161

Not

Microsoft Entra çok faktörlü kimlik doğrulama çağrıları genel telefon ağı üzerinden yapıldığında, bazen aramalar arayan kimliğini desteklemeyen bir operatör aracılığıyla yönlendirilir. Bu nedenle, Microsoft Entra çok faktörlü kimlik doğrulaması her zaman gönderse bile arayan kimliği garanti değildir. Bu, hem telefon aramaları hem de Microsoft Entra çok faktörlü kimlik doğrulaması tarafından sağlanan kısa mesajlar için geçerlidir. Kısa mesajın Microsoft Entra çok faktörlü kimlik doğrulamasından geldiğini doğrulamanız gerekiyorsa bkz . İleti göndermek için hangi kısa kodlar kullanılır?.

Kendi arayan kimliği numaranızı yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Koruma>Çok Faktörlü kimlik doğrulaması> Telefon çağrı ayarları'na gidin.
  2. MFA arayan kimliği numarasını, kullanıcıların telefonlarında görmesini istediğiniz numaraya ayarlayın. Yalnızca ABD tabanlı sayılara izin verilir.
  3. Kaydet'i seçin.

Not

Microsoft Entra çok faktörlü kimlik doğrulama çağrıları genel telefon ağı üzerinden yapıldığında, bazen aramalar arayan kimliğini desteklemeyen bir operatör aracılığıyla yönlendirilir. Bu nedenle, Microsoft Entra çok faktörlü kimlik doğrulaması her zaman gönderse bile arayan kimliği garanti değildir. Bu, hem telefon aramaları hem de Microsoft Entra çok faktörlü kimlik doğrulaması tarafından sağlanan kısa mesajlar için geçerlidir. Kısa mesajın Microsoft Entra çok faktörlü kimlik doğrulamasından geldiğini doğrulamanız gerekiyorsa bkz . İleti göndermek için hangi kısa kodlar kullanılır?.

Özel sesli mesajlar

Microsoft Entra çok faktörlü kimlik doğrulaması için kendi kayıtlarınızı veya selamlamalarınızı kullanabilirsiniz. Bu iletiler, varsayılan Microsoft kayıtlarına ek olarak veya bunları değiştirmek için kullanılabilir.

Başlamadan önce aşağıdaki kısıtlamalara dikkat edin:

  • Desteklenen dosya biçimleri .wav ve .mp3.
  • Dosya boyutu sınırı 1 MB'tır.
  • Kimlik doğrulama iletileri 20 saniyeden kısa olmalıdır. 20 saniyeden uzun iletiler doğrulamanın başarısız olmasına neden olabilir. Kullanıcı ileti tamamlanmadan yanıt vermezse doğrulama zaman aşımına uysa.

Özel ileti dili davranışı

Kullanıcıya özel bir sesli mesaj oynatıldığında, iletinin dili aşağıdaki faktörlere bağlıdır:

  • Kullanıcının dili.
    • Kullanıcının tarayıcısı tarafından algılanan dil.
    • Diğer kimlik doğrulama senaryoları farklı davranabilir.
  • Kullanılabilir özel iletilerin dili.
    • Bu dil, özel bir ileti eklendiğinde yönetici tarafından seçilir.

Örneğin, yalnızca bir özel ileti varsa ve Almanca ise:

  • Almanca dilinde kimlik doğrulaması yapan bir kullanıcı özel Almanca iletisini duyar.
  • İngilizce kimlik doğrulaması yapan bir kullanıcı standart İngilizce iletisini duyar.

Özel sesli mesaj varsayılanları

Kendi özel iletilerinizi oluşturmak için aşağıdaki örnek betikleri kullanabilirsiniz. Bu ifadeler, kendi özel iletilerinizi yapılandırmazsanız varsayılan değerlerdir.

İleti adı Komut Dosyası
Kimlik doğrulaması başarılı Oturum açma işleminiz başarıyla doğrulandı. Hoşça kal.
Uzantı istemi Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Devam etmek için lütfen pound tuşuna basın.
Sahtekarlık onayı Bir sahtekarlık uyarısı gönderildi. Hesabınızın engelini kaldırmak için lütfen şirketinizin BT yardım masasına başvurun.
Sahtekarlık karşılaması (standart) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın. Bu doğrulamayı başlatmadıysanız, birisi hesabınıza erişmeye çalışıyor olabilir. Sahtekarlık uyarısı göndermek için lütfen sıfır pound tuşuna basın. Bu, şirketinizin BT ekibini bilgilendirir ve daha fazla doğrulama girişimini engeller.
Sahtekarlık bildirildi Bir sahtekarlık uyarısı gönderildi. Hesabınızın engelini kaldırmak için lütfen şirketinizin BT yardım masasına başvurun.
Etkinleştirme Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Kimlik doğrulaması reddedildi yeniden deneme Doğrulama reddedildi.
Yeniden deneme (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Selamlama (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Selamlama (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin.
Sahtekarlık karşılaması (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin. Bu doğrulamayı başlatmadıysanız, birisi hesabınıza erişmeye çalışıyor olabilir. Sahtekarlık uyarısı göndermek için lütfen sıfır pound tuşuna basın. Bu, şirketinizin BT ekibini bilgilendirir ve daha fazla doğrulama girişimini engeller.
Yeniden Deneme (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin.
Basamakların ardından uzantı istemi Bu uzantıda zaten varsa devam etmek için pound tuşuna basın.
Kimlik doğrulaması reddedildi Üzgünüm, şu anda oturum açamayız. Lütfen daha sonra yeniden deneyin.
Etkinleştirme karşılaması (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Etkinleştirme yeniden denemesi (standart) Microsoft oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen pound tuşuna basın.
Etkinleştirme karşılaması (PIN) Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Doğrulamanızı tamamlamak için lütfen PIN'inizi ve ardından pound tuşunu girin.
Rakamlardan önce uzantı istemi Microsoft'un oturum açma doğrulama sistemini kullandığınız için teşekkür ederiz. Lütfen bu çağrıyı uzantı <uzantısına aktar.>

Özel ileti ayarlama

Kendi özel iletilerinizi kullanmak için aşağıdaki adımları tamamlayın:

  1. Koruma>Çok Faktörlü kimlik doğrulaması> Telefon çağrı ayarları'na gidin.
  2. Selamlama ekle'yi seçin.
  3. Selamlama (standart) veya Kimlik doğrulaması başarılı gibi karşılama türünü seçin.
  4. Dil'i seçin. Özel ileti dili davranışıyla ilgili önceki bölüme bakın.
  5. Karşıya yüklenecek bir .mp3 veya .wav ses dosyasını bulun ve seçin.
  6. Ekle'yi ve ardından Kaydet'i seçin.

MFA hizmet ayarları

Uygulama parolaları, güvenilen IP'ler, doğrulama seçenekleri ve güvenilen cihazlarda çok faktörlü kimlik doğrulamasını anımsama Ayarlar hizmet ayarlarından edinilebilir. Bu eski bir portaldır.

Microsoft Entra yönetim merkezinden Koruma>Çok Faktörlü kimlik doğrulaması>Başlarken>Ek bulut tabanlı MFA ayarlarını yapılandırma>bölümüne giderek hizmet ayarlarına erişebilirsiniz. Ek hizmet ayarları seçeneklerini içeren bir pencere veya sekme açılır.

Güvenilen IP'ler

Microsoft Entra çok faktörlü kimlik doğrulamasının güvenilen IP'ler özelliği, tanımlanmış bir IP adresi aralığından oturum açan kullanıcılar için çok faktörlü kimlik doğrulaması istemlerini atlar. Şirket içi ortamlarınız için güvenilen IP aralıkları ayarlayabilirsiniz. Bu konumlardan birindeki kullanıcılar için Microsoft Entra çok faktörlü kimlik doğrulaması istemi yoktur. Güvenilen IP'ler özelliği için Microsoft Entra ID P1 sürümü gerekir.

Not

Güvenilen IP'ler yalnızca MFA Sunucusu kullandığınızda özel IP aralıkları içerebilir. Bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulaması için yalnızca genel IP adresi aralıklarını kullanabilirsiniz.

IPv6 aralıkları yalnızca Adlandırılmış konumlar (önizleme) arabiriminde desteklenir.

Kuruluşunuz şirket içi uygulamalara MFA sağlamak için NPS uzantısını kullanıyorsa, kaynak IP adresi her zaman kimlik doğrulama girişiminin geçtiği NPS sunucusu gibi görünür.

Microsoft Entra kiracı türü Güvenilen IP özelliği seçenekleri
Yönetilen Belirli IP adresleri aralığı: Yönetici strators, şirket intranetinden oturum açan kullanıcılar için çok faktörlü kimlik doğrulamalarını atlayan bir IP adresi aralığı belirtir. En fazla 50 güvenilen IP aralığı yapılandırılabilir.
Federe Tüm Federasyon Kullanıcıları: Kuruluşun içinden oturum açan tüm federasyon kullanıcıları çok faktörlü kimlik doğrulamalarını atlayabilir. Kullanıcılar, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tarafından verilen bir talebi kullanarak doğrulamaları atlar.
Belirli IP adresleri aralığı: Yönetici istrator'lar, şirket intranetinden oturum açan kullanıcılar için çok faktörlü kimlik doğrulamasını atlayan bir IP adresi aralığı belirtir.

Güvenilen IP atlama yalnızca şirket intranetinin içinden çalışır. Tüm Federasyon Kullanıcıları seçeneğini seçerseniz ve bir kullanıcı şirket intraneti dışından oturum açarsa, kullanıcının çok faktörlü kimlik doğrulaması kullanarak kimlik doğrulamasından geçmiş olması gerekir. Kullanıcı bir AD FS talebi sunsa bile işlem aynıdır.

Not

Kiracıda hem kullanıcı başına MFA hem de Koşullu Erişim ilkeleri yapılandırıldıysa, Koşullu Erişim ilkesine güvenilen IP'ler eklemeniz ve MFA hizmet ayarlarını güncelleştirmeniz gerekir.

Şirket ağı içindeki kullanıcı deneyimi

Güvenilen IP'ler özelliği devre dışı bırakıldığında, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekir. Eski zengin istemci uygulamaları için uygulama parolaları gereklidir.

Güvenilen IP'ler kullanıldığında, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekmez. Kullanıcı bir uygulama parolası oluşturmadıysa, eski zengin istemci uygulamaları için uygulama parolaları gerekli değildir. Uygulama parolası kullanıldıktan sonra parola gereklidir.

Şirket ağı dışındaki kullanıcı deneyimi

Güvenilen IP'lerin tanımlanıp tanımlanmadığına bakılmaksızın, tarayıcı akışları için çok faktörlü kimlik doğrulaması gerekir. Eski zengin istemci uygulamaları için uygulama parolaları gereklidir.

Koşullu Erişim kullanarak adlandırılmış konumları etkinleştirme

Aşağıdaki adımları kullanarak adlandırılmış konumları tanımlamak için Koşullu Erişim kurallarını kullanabilirsiniz:

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim>Adlandırılmış konumları'na göz atın.
  3. Yeni konum'a tıklayın.
  4. Konum için bir ad girin.
  5. Güvenilir konum olarak işaretle'yi seçin.
  6. CIDR gösteriminde ortamınız için IP aralığını girin. Örneğin, 40.77.182.32/27.
  7. Oluştur'u belirleyin.

Koşullu Erişim kullanarak güvenilen IP'ler özelliğini etkinleştirme

Koşullu Erişim ilkelerini kullanarak güvenilen IP'leri etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.

  2. Koruma>Koşullu Erişim>Adlandırılmış konumları'na göz atın.

  3. MFA güvenilen IP'lerini yapılandır'ı seçin.

  4. Hizmet Ayarlar sayfasında, Güvenilen IP'ler'in altında şu seçeneklerden birini belirleyin:

    • İntranet'imden kaynaklanan federasyon kullanıcılarından gelen istekler için: Bu seçeneği belirlemek için onay kutusunu seçin. Şirket ağından oturum açan tüm federasyon kullanıcıları, AD FS tarafından verilen bir talebi kullanarak çok faktörlü kimlik doğrulamalarını atlar. AD FS'nin intranet beyanını uygun trafiğe eklemek için bir kuralı olduğundan emin olun. Kural yoksa, AD FS'de aşağıdaki kuralı oluşturun:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Not

      İntranetimdeki federasyon kullanıcılarından gelen istekler için çok faktörlü kimlik doğrulamasını atla seçeneği, konumlar için Koşullu Erişim değerlendirmesini etkileyecek. insidecorporatenetwork talebine sahip tüm istekler, bu seçenek belirlenirse Güvenilen konumdan geliyor olarak kabul edilir.

    • Belirli bir genel IP aralığından gelen istekler için: Bu seçeneği belirlemek için, CIDR gösterimindeki metin kutusuna IP adreslerini girin.

      • xxx.xxx.xxx.1 ile xxx.xxx.xxx.254 aralığındaki IP adresleri için xxx.xxx.xxx.0/24 gibi bir gösterimi kullanın.
      • Tek bir IP adresi için xxx.xxx.xxx.xxx/32 gibi bir gösterimi kullanın.
      • En fazla 50 IP adresi aralığı girin. Bu IP adreslerinden oturum açan kullanıcılar çok faktörlü kimlik doğrulamalarını atlar.

  5. Kaydet'i seçin.

Hizmet ayarlarını kullanarak güvenilen IP'ler özelliğini etkinleştirme

Güvenilen IP'leri etkinleştirmek için Koşullu Erişim ilkelerini kullanmak istemiyorsanız, aşağıdaki adımları kullanarak Microsoft Entra çok faktörlü kimlik doğrulaması için hizmet ayarlarını yapılandırabilirsiniz:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Çok Faktörlü kimlik doğrulaması>Ek bulut tabanlı MFA ayarları'na göz atın.

  3. Hizmet ayarları sayfasındaki Güvenilen IP'ler'in altında aşağıdaki seçeneklerden birini veya her ikisini birden seçin:

    • İntranet'imdeki federasyon kullanıcılarından gelen istekler için: Bu seçeneği belirlemek için onay kutusunu seçin. Şirket ağından oturum açan tüm federasyon kullanıcıları, AD FS tarafından verilen bir talebi kullanarak çok faktörlü kimlik doğrulamasını atlar. AD FS'nin intranet beyanını uygun trafiğe eklemek için bir kuralı olduğundan emin olun. Kural yoksa, AD FS'de aşağıdaki kuralı oluşturun:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Belirtilen IP adresi alt ağ aralığından gelen istekler için: Bu seçeneği belirlemek için, CIDR gösterimindeki metin kutusuna IP adreslerini girin.

      • xxx.xxx.xxx.1 ile xxx.xxx.xxx.254 aralığındaki IP adresleri için xxx.xxx.xxx.0/24 gibi bir gösterimi kullanın.
      • Tek bir IP adresi için xxx.xxx.xxx.xxx/32 gibi bir gösterimi kullanın.
      • En fazla 50 IP adresi aralığı girin. Bu IP adreslerinden oturum açan kullanıcılar çok faktörlü kimlik doğrulamalarını atlar.

  4. Kaydet'i seçin.

Doğrulama yöntemleri

Hizmet ayarları portalında kullanıcılarınız için kullanılabilen doğrulama yöntemlerini seçebilirsiniz. Kullanıcılarınız hesaplarını Microsoft Entra çok faktörlü kimlik doğrulaması için kaydettiğinde, etkinleştirdiğiniz seçenekler arasından tercih ettikleri doğrulama yöntemini seçer. Kullanıcı kayıt işlemine yönelik yönergeler, Hesabımı çok faktörlü kimlik doğrulaması için ayarlama bölümünde sağlanır.

Aşağıdaki doğrulama yöntemleri kullanılabilir:

Metot Açıklama
Telefon çağrısı Otomatik bir sesli arama yerleştirir. Kullanıcı aramayı yanıtlar ve kimlik doğrulaması için telefonda # tuşuna basar. Telefon numarası şirket içi Active Directory eşitlenmez.
Telefona kısa mesaj Doğrulama kodu içeren bir kısa mesaj gönderir. Kullanıcıdan oturum açma arabirimine doğrulama kodunu girmesi istenir. Bu işleme tek yönlü SMS adı verilir. İki yönlü SMS, kullanıcının belirli bir kodu geri göndermesi gerektiği anlamına gelir. İki yönlü SMS kullanım dışıdır ve 14 Kasım 2018'den sonra desteklenmez. Yönetici istrator'lar, daha önce iki yönlü SMS kullanan kullanıcılar için başka bir yöntem etkinleştirmelidir.
Mobil uygulama üzerinden bildirim Kullanıcının telefonuna veya kayıtlı cihazına anında iletme bildirimi gönderir. Kullanıcı bildirimi görüntüler ve doğrulamayı tamamlamak için Doğrula'yı seçer. Microsoft Authenticator uygulaması Windows Telefon, Android ve iOS için kullanılabilir.
Mobil uygulama veya donanım belirtecinden doğrulama kodu Microsoft Authenticator uygulaması her 30 saniyede bir yeni bir OATH doğrulama kodu oluşturur. Kullanıcı doğrulama kodunu oturum açma arabirimine girer. Microsoft Authenticator uygulaması Windows Telefon, Android ve iOS için kullanılabilir.

Daha fazla bilgi için bkz . Microsoft Entra ID'de hangi kimlik doğrulama ve doğrulama yöntemleri kullanılabilir?.

Doğrulama yöntemlerini etkinleştirme ve devre dışı bırakma

Doğrulama yöntemlerini etkinleştirmek veya devre dışı bırakmak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Kimlik>Kullanıcıları'na göz atın.
  3. Kullanıcı başına MFA'yı seçin.
  4. Sayfanın üst kısmındaki Çok faktörlü kimlik doğrulaması'nın altında Hizmet ayarları'nı seçin.
  5. Hizmet ayarları sayfasındaki Doğrulama seçenekleri'nin altında uygun onay kutularını seçin veya temizleyin.
  6. Kaydet'i seçin.

Çok faktörlü kimlik doğrulamasını anımsama

Çok faktörlü kimlik doğrulamasını anımsa özelliği, kullanıcıların MFA kullanarak bir cihazda başarıyla oturum açtıktan sonra belirtilen sayıda gün boyunca sonraki doğrulamaları atlamasına olanak tanır. Kullanılabilirliği artırmak ve kullanıcının belirli bir cihazda MFA gerçekleştirmesi gereken süreyi en aza indirmek için 90 gün veya daha uzun bir süre seçin.

Önemli

Bir hesap veya cihazın güvenliği aşıldıysa, güvenilir cihazlar için MFA'nın anımsanmış olması güvenliği etkileyebilir. Bir şirket hesabının gizliliği tehlikeye girerse veya güvenilir bir cihaz kaybolur veya çalınırsa MFA Oturumlarını İptal Etmelisiniz.

İptal etme eylemi tüm cihazlardan güvenilen durumu iptal eder ve kullanıcının çok faktörlü kimlik doğrulamasını yeniden gerçekleştirmesi gerekir. Ayrıca, çok faktörlü kimlik doğrulaması için ayarlarınızı yönetme bölümünde belirtildiği gibi, kullanıcılarınıza kendi cihazlarında özgün MFA durumunu geri yüklemelerini de belirtebilirsiniz.

Özellik nasıl çalışır

Çok faktörlü kimlik doğrulamasını anımsa özelliği, bir kullanıcı oturum açma sırasında X gün için bir daha sorma seçeneğini belirlediğinde tarayıcıda kalıcı bir tanımlama bilgisi ayarlar. Kullanıcıdan tanımlama bilgisinin süresi dolana kadar bu tarayıcıdan MFA istenir. Kullanıcı aynı cihazda farklı bir tarayıcı açarsa veya tanımlama bilgilerini temizlerse, yeniden doğrulamaları istenir.

Uygulamanın modern kimlik doğrulamasını destekleyip desteklemediğine bakılmaksızın tarayıcı dışı uygulamalarda X gün için bir daha sorma seçeneği gösterilmez. Bu uygulamalar saatte bir yeni erişim belirteçleri sağlayan yenileme belirteçlerini kullanır. Yenileme belirteci doğrulandığında, Microsoft Entra ID son çok faktörlü kimlik doğrulamasının belirtilen gün sayısı içinde gerçekleştiğini denetler.

Bu özellik, normalde her seferinde isteyen web uygulamalarındaki kimlik doğrulamalarının sayısını azaltır. Bu özellik, daha düşük bir süre yapılandırılırsa normalde her 180 günde bir isteyen modern kimlik doğrulama istemcileri için kimlik doğrulamalarının sayısını artırabilir. Koşullu Erişim ilkeleriyle birleştirildiğinde kimlik doğrulaması sayısını da artırabilir.

Önemli

Çok faktörlü kimlik doğrulamasını anımsa özelliği, kullanıcılar MFA Sunucusu veya üçüncü taraf çok faktörlü kimlik doğrulama çözümü aracılığıyla AD FS için çok faktörlü kimlik doğrulaması gerçekleştirdiğinde AD FS'nin oturumumu açık tutma özelliğiyle uyumlu değildir.

Kullanıcılarınız BENI AD FS'de oturumumu açık tut'u seçerse ve cihazlarını MFA için güvenilir olarak işaretlerse, çok faktörlü kimlik doğrulamasını anımsama gün sayısı dolduktan sonra kullanıcı otomatik olarak doğrulanır. Microsoft Entra Id yeni bir çok faktörlü kimlik doğrulaması ister, ancak AD FS, yeniden çok faktörlü kimlik doğrulaması gerçekleştirmek yerine özgün MFA talebine ve tarihine sahip bir belirteç döndürür. Bu tepki, Microsoft Entra ID ile AD FS arasında bir doğrulama döngüsü başlatır.

Çok faktörlü kimlik doğrulamasını anımsa özelliği B2B kullanıcıları ile uyumlu değildir ve davet edilen kiracılarda oturum açtıklarında B2B kullanıcıları tarafından görülemez.

Çok faktörlü kimlik doğrulamasını anımsa özelliği, Oturum açma sıklığı Koşullu Erişim denetimiyle uyumlu değildir. Daha fazla bilgi için bkz . Koşullu Erişim ile kimlik doğrulama oturumu yönetimini yapılandırma.

Çok faktörlü kimlik doğrulamasını anımsama özelliğini etkinleştirme

Kullanıcıların MFA durumlarını ve atlama istemlerini anımsamalarına izin verme seçeneğini etkinleştirmek ve yapılandırmak için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Kimlik>Kullanıcıları'na göz atın.
  3. Kullanıcı başına MFA'yı seçin.
  4. Sayfanın üst kısmındaki Çok faktörlü kimlik doğrulaması'nın altında hizmet ayarları'nı seçin.
  5. Hizmet ayarları sayfasındaki Çok faktörlü kimlik doğrulamasını anımsa altında Kullanıcıların güvendikleri cihazlarda çok faktörlü kimlik doğrulamasını hatırlamasına izin ver'i seçin.
  6. Güvenilen cihazların çok faktörlü kimlik doğrulamalarını atlamasına izin vermek için gün sayısını ayarlayın. En iyi kullanıcı deneyimi için süreyi 90 veya daha fazla güne uzatın.
  7. Kaydet'i seçin.

Cihazı güvenilir olarak işaretleme

Çok faktörlü kimlik doğrulamasını anımsa özelliğini etkinleştirdikten sonra, kullanıcılar yeniden sorma'yı seçerek oturum açtıklarında bir cihazı güvenilir olarak işaretleyebilir.

Sonraki adımlar

Daha fazla bilgi edinmek için bkz . Microsoft Entra Id'de hangi kimlik doğrulama ve doğrulama yöntemleri kullanılabilir?