Azure Active Directory için parolasız kimlik doğrulama seçenekleri

Çok faktörlü kimlik doğrulaması (MFA) gibi özellikler kuruluşunuzun güvenliğini sağlamanın harika bir yoludur, ancak kullanıcılar genellikle parolalarını hatırlamak zorunda kalmadan ek güvenlik katmanından rahatsız olur. Parolasız kimlik doğrulama yöntemleri daha kullanışlıdır çünkü parola kaldırılır ve yerine sahip olduğunuz veya bildiğiniz bir şey eklenir.

Kimlik Doğrulaması Sahip olduğunuz bir şey Bildiğiniz veya bildiğiniz bir şey
Parolasız cihaz, telefon veya güvenlik anahtarını Windows 10 Biyometrik veya PIN

Kimlik doğrulaması söz konusu olduğunda her kuruluşun farklı gereksinimleri vardır. Microsoft genel Azure ve Azure Kamu, Azure Active Directory (Azure AD) ile tümleşen aşağıdaki üç parolasız kimlik doğrulama seçeneğini sunar:

  • İş İçin Windows Hello
  • Microsoft Authenticator
  • FIDO2 güvenlik anahtarları

Authentication: Security versus convenience

İş İçin Windows Hello

İş İçin Windows Hello, kendi belirlenmiş Windows bilgisayarına sahip bilgi çalışanları için idealdir. Biyometrik ve PIN kimlik bilgileri doğrudan kullanıcının bilgisayarına bağlıdır ve bu da sahibi dışındaki herhangi bir kullanıcının erişimini engeller. Ortak anahtar altyapısı (PKI) tümleştirmesi ve çoklu oturum açma (SSO) için yerleşik destek ile İş İçin Windows Hello, şirket içi ve buluttaki kurumsal kaynaklara sorunsuz bir şekilde erişmek için kullanışlı bir yöntem sağlar.

Example of a user sign-in with Windows Hello for Business

Aşağıdaki adımlar oturum açma işleminin Azure AD ile nasıl çalıştığını gösterir:

Diagram that outlines the steps involved for user sign-in with Windows Hello for Business

  1. Kullanıcı biyometrik veya PIN hareketi kullanarak Windows oturum açar. Bu hareket, İş İçin Windows Hello özel anahtarının kilidini açar ve Cloud AP sağlayıcısı olarak adlandırılan Bulut Kimlik Doğrulaması güvenlik destek sağlayıcısına gönderilir.
  2. Cloud AP sağlayıcısı, Azure AD bir nonce (yalnızca bir kez kullanılabilen rastgele bir sayı) ister.
  3. Azure AD, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. Cloud AP sağlayıcısı, kullanıcının özel anahtarını kullanarak nonce'ı imzalar ve imzalı nonce'ı Azure AD döndürür.
  5. Azure AD, kullanıcının güvenli bir şekilde kaydedilmiş ortak anahtarını kullanarak imzalanan nonce imzasını doğrular. Azure AD imzayı doğrular ve sonra döndürülen imzalı nonce'ı doğrular. Nonce doğrulandığında, Azure AD cihazın aktarım anahtarına şifrelenen oturum anahtarıyla bir birincil yenileme belirteci (PRT) oluşturur ve bunu Cloud AP sağlayıcısına döndürür.
  6. Cloud AP sağlayıcısı, oturum anahtarıyla şifrelenmiş PRT'yi alır. Cloud AP sağlayıcısı, oturum anahtarının şifresini çözmek için cihazın özel aktarım anahtarını kullanır ve cihazın Güvenilen Platform Modülü'ünü (TPM) kullanarak oturum anahtarını korur.
  7. Cloud AP sağlayıcısı, Windows başarılı bir kimlik doğrulama yanıtı döndürür. Kullanıcı daha sonra Windows ve bulut ve şirket içi uygulamalara yeniden kimlik doğrulaması (SSO) gerekmeden erişebilir.

İş İçin Windows Hello planlama kılavuzu, İş İçin Windows Hello dağıtımının türü ve dikkate almanız gereken seçenekler hakkında karar vermenize yardımcı olmak için kullanılabilir.

Microsoft Authenticator

Ayrıca çalışanınızın telefonunun parolasız kimlik doğrulama yöntemi olmasına da izin vekleyebilirsiniz. Authenticator uygulamasını parolaya ek olarak kullanışlı bir çok faktörlü kimlik doğrulama seçeneği olarak zaten kullanıyor olabilirsiniz. Authenticator Uygulamasını parolasız seçenek olarak da kullanabilirsiniz.

Sign in to Microsoft Edge with the Microsoft Authenticator

Authenticator Uygulaması tüm iOS veya Android telefonları güçlü, parolasız bir kimlik bilgilerine dönüştürür. Kullanıcılar, telefonlarına bildirim alarak, ekranda görüntülenen bir numarayı telefonlarındaki numarayla eşleştirerek ve ardından onaylamak için biyometrik (dokunmatik veya yüz) veya PIN'lerini kullanarak herhangi bir platformda veya tarayıcıda oturum açabilir. Yükleme ayrıntıları için Microsoft Authenticator indirme ve yükleme bölümüne bakın.

Authenticator uygulamasını kullanarak parolasız kimlik doğrulaması, İş İçin Windows Hello ile aynı temel deseni izler. Azure AD kullanılmakta olan Authenticator uygulama sürümünü bulabilmesi için kullanıcının tanımlanması gerektiğinden bu biraz daha karmaşıktır:

Diagram that outlines the steps involved for user sign-in with the Microsoft Authenticator App

  1. Kullanıcı kullanıcı adını girer.
  2. Azure AD kullanıcının güçlü bir kimlik bilgisi olduğunu algılar ve Güçlü Kimlik Bilgileri akışını başlatır.
  3. Uygulamaya iOS cihazlarda Apple Anında İletme Bildirimi Hizmeti (APNS) veya Android cihazlarda Firebase Cloud Microsoft Mesajlaşma (FCM) aracılığıyla bir bildirim gönderilir.
  4. Kullanıcı anında iletme bildirimini alır ve uygulamayı açar.
  5. Uygulama Azure AD çağırır ve bir iletişim durumu kanıtı sınaması ve nonce alır.
  6. Kullanıcı, özel anahtarın kilidini açmak için biyometrik veya PIN girerek sınamayı tamamlar.
  7. Nonce özel anahtarla imzalanır ve Azure AD geri gönderilir.
  8. Azure AD ortak/özel anahtar doğrulaması gerçekleştirir ve bir belirteç döndürür.

Parolasız oturum açmayı kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

FIDO2 güvenlik anahtarları

FIDO (Fast IDentity Online) Alliance, açık kimlik doğrulama standartlarının yükseltilmesine ve parolaların bir kimlik doğrulaması biçimi olarak kullanımını azaltmaya yardımcı olur. FIDO2, web kimlik doğrulaması (WebAuthn) standardını içeren en son standarttır.

FIDO2 güvenlik anahtarları, herhangi bir form faktöründe gelebilen, tanımlanamaz standartlara dayalı parolasız bir kimlik doğrulama yöntemidir. Fast Identity Online (FIDO), parolasız kimlik doğrulaması için açık bir standarttır. FIDO, kullanıcıların ve kuruluşların dış güvenlik anahtarı veya cihazda yerleşik olarak bulunan bir platform anahtarı kullanarak kullanıcı adı veya parola olmadan kaynaklarında oturum açmak için standart değerden yararlanmasına olanak tanır.

Kullanıcılar, ana kimlik doğrulama araçları olarak oturum açma arabiriminde bir FIDO2 güvenlik anahtarı kaydedip seçebilir. Bu FIDO2 güvenlik anahtarları genellikle USB cihazlarıdır, ancak Bluetooth veya NFC de kullanabilir. Kimlik doğrulamasını işleyen bir donanım cihazıyla, bir hesabın güvenliği artırılır çünkü ortaya çıkarılacak veya tahmin edilebilecek bir parola yoktur.

FIDO2 güvenlik anahtarları, Azure AD veya karma Azure AD birleştirilmiş Windows 10 cihazlarında oturum açmak ve bulut ve şirket içi kaynaklarında çoklu oturum açmak için kullanılabilir. Kullanıcılar desteklenen tarayıcılarda da oturum açabilir. FIDO2 güvenlik anahtarları, güvenlik açısından çok hassas olan veya senaryoları olan veya telefonlarını ikinci bir faktör olarak kullanmaya istekli olmayan veya kullanamayan çalışanlar için harika bir seçenektir.

Tarayıcıların Azure AD ile FIDO2 kimlik doğrulamasını desteklediği bir başvuru belgemiz ve geliştirdikleri uygulamalarda FIDO2 kimlik doğrulamasını desteklemek isteyen geliştiriciler için en iyi yöntemler var.

Sign in to Microsoft Edge with a security key

Kullanıcı bir FIDO2 güvenlik anahtarıyla oturum açtığında aşağıdaki işlem kullanılır:

Diagram that outlines the steps involved for user sign-in with a FIDO2 security key

  1. Kullanıcı, FIDO2 güvenlik anahtarını bilgisayarına yükler.
  2. Windows FIDO2 güvenlik anahtarını algılar.
  3. Windows bir kimlik doğrulama isteği gönderir.
  4. Azure AD bir nonce gönderir.
  5. Kullanıcı, FIDO2 güvenlik anahtarının güvenli kapanımında depolanan özel anahtarın kilidini açma hareketini tamamlar.
  6. FIDO2 güvenlik anahtarı, nonce'i özel anahtarla imzalar.
  7. İmzalı nonce içeren birincil yenileme belirteci (PRT) belirteci isteği Azure AD gönderilir.
  8. Azure AD, FIDO2 ortak anahtarını kullanarak imzalı nonce'i doğrular.
  9. Azure AD, şirket içi kaynaklara erişimi etkinleştirmek için PRT döndürür.

FIDO2 güvenlik anahtarı sağlayıcıları

Aşağıdaki sağlayıcılar, parolasız deneyimle uyumlu olduğu bilinen farklı form faktörlerine sahip FIDO2 güvenlik anahtarları sunar. Satıcıya ve FIDO Alliance'a başvurarak bu anahtarların güvenlik özelliklerini değerlendirmenizi öneririz.

Sağlayıcı Biyometrik USB NFC BLE FIPS Sertifikalı İletişim
AuthenTrend y y y y n https://authentrend.com/about-us/#pg-35-3
Ciright n n y n n https://www.cyberonecard.com/
Güvence y y n n n https://www.ensurity.com/contact
Excelsecu y y y y n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian dili y y y y y https://shop.ftsafe.us/pages/microsoft
Fortinet n y n n n https://www.fortinet.com/
Giesecke + Devrient (G+D) y y y y n https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. n y y y n https://www.gotrustid.com/idem-key
SAKLADI n y y n n https://www.hidglobal.com/contact-us
Hypersecu n y n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. y y y y n https://www.idmelon.com/#idmelon
Kensington y y n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I y n y y n https://konai.com/business/security/fido
NeoWave n y y n n https://neowave.fr/en/products/fido-range/
Nymi y n y n n https://www.nymi.com/nymi-band
Octatco y y n n n https://octatco.com/
OneSpan Inc. n y n y n https://www.onespan.com/products/fido
Swissbit n y y n n https://www.swissbit.com/en/products/ishield-fido2/
Thales Grubu n y y n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis y y y y n https://thetis.io/collections/fido2
Token2 İsviçre y y y n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Çözümleri y y n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n y n n n https://passwordless.vincss.net
Yubico y y y n y https://www.yubico.com/solutions/passwordless/

Not

NFC tabanlı güvenlik anahtarları satın alıp kullanmayı planlıyorsanız, güvenlik anahtarı için desteklenen bir NFC okuyucuya ihtiyacınız vardır. NFC okuyucu bir Azure gereksinimi veya sınırlaması değildir. Desteklenen NFC okuyucularının listesi için NFC tabanlı güvenlik anahtarınızı satıcıya danışın.

Satıcıysanız ve cihazınızı bu desteklenen cihazlar listesine almak istiyorsanız , Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olma kılavuzumuzu gözden geçirin.

FIDO2 güvenlik anahtarlarını kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

Desteklenen senaryolar

Aşağıdaki noktalara dikkat edilmelidir:

  • Yöneticiler kiracıları için parolasız kimlik doğrulama yöntemlerini etkinleştirebilir.

  • Yöneticiler her yöntem için tüm kullanıcıları hedefleyebilir veya kiracılarındaki kullanıcıları/grupları seçebilir.

  • Kullanıcılar bu parolasız kimlik doğrulama yöntemlerini hesap portalına kaydedebilir ve yönetebilir.

  • Kullanıcılar şu parolasız kimlik doğrulama yöntemleriyle oturum açabilir:

    • Authenticator uygulaması: Tüm tarayıcılar, Windows 10 kurulumu sırasında ve herhangi bir işletim sistemindeki tümleşik mobil uygulamalar dahil olmak üzere Azure AD kimlik doğrulamasının kullanıldığı senaryolarda çalışır.
    • Güvenlik anahtarları: Microsoft Edge (eski ve yeni Edge) gibi desteklenen tarayıcılarda Windows 10 ve web için kilit ekranında çalışın.
  • Kullanıcılar, konuk oldukları kiracılardaki kaynaklara erişmek için parolasız kimlik bilgilerini kullanabilir, ancak yine de bu kaynak kiracısında MFA gerçekleştirmeleri gerekebilir. Daha fazla bilgi için bkz . Olası çift çok faktörlü kimlik doğrulaması.

  • Kullanıcılar, bu kiracıda yönetilen parolaları olmadığı gibi, konuk oldukları kiracıda parolasız kimlik bilgilerini kaydedemeyebilir.

Parolasız yöntem seçme

Bu üç parolasız seçenek arasındaki seçim şirketinizin güvenlik, platform ve uygulama gereksinimlerine bağlıdır.

Microsoft parolasız teknolojisini seçerken göz önünde bulundurmanız gereken bazı faktörler şunlardır:

İş İçin Windows Hello Authenticator uygulamasıyla parolasız oturum açma FIDO2 güvenlik anahtarları
Ön koşul Windows 10, sürüm 1809 veya üzeri
Azure Active Directory
Authenticator uygulaması
Telefon (6.0 veya üzeri Android çalıştıran cihazlar iOS ve Android.)
Windows 10, sürüm 1903 veya üzeri
Azure Active Directory
Mod Platform Yazılım Donanım
Sistemler ve cihazlar Yerleşik Güvenilir Platform Modülüne (TPM) sahip bilgisayar
PIN ve biyometri tanıma
Telefonda PIN ve biyometri tanıma Microsoft uyumlu FIDO2 güvenlik cihazları
Kullanıcı deneyimi Windows cihazlarla PIN veya biyometrik tanıma (yüz, iris veya parmak izi) kullanarak oturum açın.
Windows Hello kimlik doğrulaması cihaza bağlıdır; kullanıcının şirket kaynaklarına erişmek için hem cihaza hem de PIN veya biyometrik faktör gibi bir oturum açma bileşenine ihtiyacı vardır.
Parmak izi taraması, yüz veya iris tanıma veya PIN ile bir cep telefonu kullanarak oturum açın.
Kullanıcılar, bilgisayarlarından veya cep telefonlarından iş veya kişisel hesaplarında oturum açar.
FIDO2 güvenlik cihazını (biyometri, PIN ve NFC) kullanarak oturum açın
Kullanıcı kuruluş denetimlerine göre cihaza erişebilir ve USB güvenlik anahtarları ve NFC özellikli akıllı kart, anahtar veya giyilebilir cihazlar gibi cihazları kullanarak PIN, biyometri temelinde kimlik doğrulaması yapabilir.
Etkin senaryolar Windows cihazla parolasız deneyim.
Cihazda ve uygulamalarda çoklu oturum açma özelliğine sahip ayrılmış iş pc'leri için geçerlidir.
Cep telefonu kullanan her yerde parolasız çözüm.
Web'de iş veya kişisel uygulamalara herhangi bir cihazdan erişmek için geçerlidir.
Biyometri, PIN ve NFC kullanan çalışanlar için parolasız deneyim.
Paylaşılan bilgisayarlar ve cep telefonunun uygun bir seçenek olmadığı durumlarda (yardım masası personeli, genel bilgi noktası veya hastane ekibi gibi) için geçerlidir

Gereksinimlerinizi ve kullanıcılarınızı destekleyecek yöntemi seçmek için aşağıdaki tabloyu kullanın.

Persona Senaryo Ortam Parolasız teknoloji
Yönetici Yönetim görevleri için cihaza güvenli erişim Atanmış Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Yönetici Windows olmayan cihazlarda yönetim görevleri Mobil veya windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Bilgi çalışanı Üretkenlik çalışması Atanmış Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Bilgi çalışanı Üretkenlik çalışması Mobil veya windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Ön hat çalışanı Fabrika, tesis, perakende veya veri girişindeki bilgi noktaları Paylaşılan Windows 10 cihazları FIDO2 Güvenlik anahtarları

Sonraki adımlar

Azure AD'da parolasız kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarından birini tamamlayın: