Çok Faktörlü Azure Active Directory dağıtımı planlama

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA), ikinci bir kimlik doğrulaması biçimi kullanarak veri ve uygulamalara erişimin korunmasına yardımcı olur. Kuruluşlar, çözümün ihtiyaçlarına uygun olması için Koşullu Erişim ile çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz.

Bu dağıtım kılavuzu, Azure AD MFA dağıtımı planlama ve uygulama hakkında bilgi sağlar.

Azure AD MFA'nın dağıtımı için önkoşullar

Dağıtımınıza başlamadan önce, ilgili senaryolarınız için aşağıdaki önkoşulları karşılamalısınız.

Senaryo Önkoşul
Modern kimlik doğrulaması ile yalnızca bulut kimlik ortamı Önkoşul görevi yok
Karma kimlik senaryoları Azure AD Bağlan dağıtın ve şirket içi Active Directory Domain Services (AD DS) ile Azure AD arasında kullanıcı kimliklerini eşitler.
Bulut erişimi için yayımlanan şirket içi eski uygulamalar Azure AD Uygulama Ara Sunucusu

MFA için kimlik doğrulama yöntemlerini seçme

İkinci faktörlü kimlik doğrulaması için kullanılmaktadır. Kullanılabilir kimlik doğrulama yöntemleri listesinden her birini güvenlik, kullanılabilirlik ve kullanılabilirlik açısından değerlendirerek seçebilirsiniz.

Önemli

Kullanıcıların birincil yöntemleri kullanılamaz durumda bir yedekleme yöntemine sahip olacak şekilde birden fazla MFA yöntemini etkinleştirin. Yöntemler şunlardır:

Kiracınız içinde kullanılacak kimlik doğrulama yöntemlerini seçerken şu yöntemlerin güvenliğini ve kullanılabilirliğini göz önünde bulundurarak:

Doğru kimlik doğrulaması yöntemini seçme

Bu yöntemlerin gücü ve güvenliği ve çalışma yöntemleri hakkında daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Kullanıcıların MFA yapılandırmalarını analiz etmek ve uygun MFA kimlik doğrulama yöntemini önermek için bu PowerShell betiği kullanabilirsiniz.

En iyi esneklik ve kullanılabilirlik için Microsoft Authenticator kullanın. Bu kimlik doğrulama yöntemi en iyi kullanıcı deneyiminin yanı sıra parolasız, MFA anında bildirim ve OATH kodları gibi birden çok mod sağlar. Bu Microsoft Authenticator, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Güvenlik Authenticator 2 gereksinimlerini de karşılar.

Kiracınız için kullanılabilir kimlik doğrulama yöntemlerini kontrol etmek için kullanabilirsiniz. Örneğin, SMS gibi en az güvenli yöntemlerden bazılarını engellemek istiyor olabilirsiniz.

Kimlik doğrulama yöntemi Şundan yönet: Kapsam
Microsoft Authenticator (Anında bildirim ve parolasız telefon oturum açma) MFA ayarları veya
Kimlik doğrulama yöntemleri ilkesi Authenticator parolasız telefon oturum açma kapsamını kullanıcılar ve gruplar için
FIDO2 güvenlik anahtarı Kimlik doğrulama yöntemleri ilkesi Kapsamı kullanıcılar ve gruplar olabilir
Yazılım veya Donanım OATH belirteçleri MFA ayarları
SMS doğrulaması MFA ayarları Kimlik doğrulama ilkesinde birincil kimlik doğrulaması için SMS oturum açmasını yönetin. SMS oturum açma kapsamını kullanıcılar ve gruplar olarak genişletebilirsiniz.
Sesli aramalar Kimlik doğrulama yöntemleri ilkesi

Koşullu Erişim ilkelerini planlama

Azure AD MFA, Koşullu Erişim ilkeleriyle uygulanır. Bu ilkeler, güvenlik için gerektiğinde kullanıcılardan çok faktörlü kimlik doğrulaması isteminde bulundurma ve gerek kalmadan kullanıcıların yolundan çıkmamalarını sağlar.

Kavramsal Koşullu Erişim işlem akışı

Bu Azure portal, Koşullu Erişim altında Koşullu Erişim Azure Active Directory > > yapılandırmış oluruz.

Koşullu Erişim ilkeleri oluşturma hakkında daha fazla bilgi edinmek için bkz. Koşullu Erişim ilkesi, bir kullanıcı Azure portal. Bu, şunları yapmak için size yardımcı olur:

  • Kullanıcı arabirimi hakkında bilgi sahibi olma
  • Koşullu Erişim'in nasıl çalıştığının ilk izlenimini elde edin

Azure AD Koşullu Erişim dağıtımıyla ilgili 2.00.000.000 kılavuz için bkz. Koşullu Erişim dağıtım planı.

Azure AD MFA için ortak ilkeler

Azure AD MFA gerektiren yaygın kullanım örnekleri şunlardır:

Adlandırılmış konumlar

Koşullu Erişim ilkelerinizi yönetmek için Koşullu Erişim ilkesi konum koşulu, erişim denetimi ayarlarını kullanıcılarının ağ konumlarına bağlamanıza olanak sağlar. IP adresi aralıklarının ya da ülkelerin ve bölgelerin mantıksal gruplamalarını oluştur oluşturmak için Adlandırılmış Konumlar'ın kullanılması önerilir. Bu, bu adlandırılmış konumdan oturum açmasını engelleyen tüm uygulamalar için bir ilke oluşturur. Yöneticilerinizi bu ilkeden muaf tutularak muaf tutulacaklarından emin olun.

Risk tabanlı ilkeler

Kuruluşta risk Azure AD Kimlik Koruması algılamak için risk tabanlı ilkeler kullanıyorsa, adlandırılmış konumlar yerine risk tabanlı ilkeler kullanmayı göz önünde bulundurabilirsiniz. Güvenliği tehlikeye atılmış kimlik tehdidi olduğunda parola değişikliklerini zorlamak veya sızdırılan kimlik bilgileri, anonim IP adreslerinden oturum açma gibi olaylarla oturum açmanın riskli olduğu kabul edildiklerinde çok faktörlü kimlik doğrulaması gerektirmek için ilkeler oluşturulabilir.

Risk ilkeleri şunlardır:

Kullanıcıları kullanıcı başına MFA'dan Koşullu Erişim tabanlı MFA'ya dönüştürme

Kullanıcılarınız kullanıcı başına etkin ve zorunlu Azure AD Multi-Factor Authentication kullanılarak etkinleştirildiyse, aşağıdaki PowerShell Koşullu Erişim tabanlı Azure AD Multi-Factor Authentication'a dönüştürmede size yardımcı olabilir.

Bu PowerShell'i BIR ISE penceresinde çalıştırın veya yerel olarak çalıştırmak .PS1 için bir dosya olarak kaydedin.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Kullanıcı oturumu ömrünü planlama

MFA dağıtımınızı planlarken, kullanıcılarınıza ne sıklıkta sorulacaklarını düşünmeniz önemlidir. Kullanıcılardan kimlik bilgilerini istemeleri genellikle mantıklı bir şey gibi görünüyor ancak geri tepebilir. Kullanıcılar, düşünmeden kimlik bilgilerini girmeleri için eğitilmeleri, onları kötü amaçlı bir kimlik bilgisi istemine istem dışı olarak temin etmek için eğitilmelerini sağlar. Azure AD'de ne sıklıkta yeniden kimlik doğrulamasına ihtiyacınız olduğunu belirleyen birden çok ayar vardır. İşletmenizin ve kullanıcılarının ihtiyaçlarını anlama ve ortamınız için en iyi dengeyi sağlayan ayarları yapılandırma.

Gelişmiş son kullanıcı deneyimi için Birincil Yenileme Belirteçleri (PRT) olan cihazları kullanmanızı ve oturum ömrünü yalnızca belirli iş kullanım durumlarında oturum açma sıklığı ilkesiyle azaltmanızı öneririz.

Daha fazla bilgi için bkz. Yeniden kimlik doğrulama istemlerini iyileştirme ve Azure AD MFA için oturum ömrünü anlama.

Kullanıcı kaydını planlama

Her MFA dağıtımında önemli bir adım, kullanıcıların MFA kullanmak üzere kayıtlı olarak elde etmektir. Ses ve SMS gibi kimlik doğrulama yöntemleri ön kayıt sağlarken, Authenticator App gibi diğer kullanıcılar kullanıcı etkileşimi gerektirir. Yöneticilerin kullanıcıların yöntemlerini nasıl kaydedeceklerini belirlemesi gerekir.

SSPR ve Azure AD MFA için birleşik kayıt

Azure AD MFA ve Azure AD self servis parola sıfırlama (SSPR)için birleşik kayıt deneyiminin kullanılması önerilir. SSPR, kullanıcıların Azure AD MFA için aynı yöntemleri kullanarak parolalarını güvenli bir şekilde sıfırlamalarına olanak sağlar. Birleşik kayıt, son kullanıcılar için tek bir adımdır.

Kimlik Koruması ile kayıt

Azure AD Kimlik Koruması azure AD MFA hikayesinde hem kayıt ilkesi hem de otomatik risk algılama ve düzeltme ilkelerine katkıda bulunabilirsiniz. Güvenliği tehlikeye atılmış bir kimlik tehdidi olduğunda veya oturum açma riskli kabul edildiklerde MFA gerektiren parola değişikliklerini zorlamak için ilkeler oluşturulabilir. Azure AD Kimlik Koruması kullanıyorsanız, kullanıcılarınızı etkileşimli olarak bir sonraki oturum açmalarında kaydolmalarını istemi için Azure AD MFA kayıt ilkesi yapılandırabilirsiniz.

Kimlik Koruması olmadan kayıt

Bu özelliği etkinleştiren lisanslara sahip Azure AD Kimlik Koruması, oturum açma sırasında bir sonraki MFA gerektiğinde kullanıcılardan kaydolmaları istenir. Kullanıcıların MFA kullanmalarını gerektirmek için Koşullu Erişim ilkelerini kullanabilir ve İk sistemleri gibi sık kullanılan uygulamaları hedefleyebilirsiniz. Bir kullanıcının parolasının güvenliği ihlal edilmişse, MFA'ya kaydolmak ve hesabının denetimine sahip olmak için kullanılabilir. Bu nedenle, güvenilen cihazlar ve konumlar gerektiren koşullu erişim ilkeleriyle güvenlik kayıt işleminin güvenliğini sağlamayı öneririz. Ayrıca, bir güvenlik Geçici Erişim Kodu. Güçlü kimlik doğrulama gereksinimlerini karşılar ve Parolasız kimlik doğrulama yöntemleri de dahil olmak üzere diğer kimlik doğrulama yöntemlerini dahil etmek için kullanılabilir bir yönetici tarafından verilen zaman sınırlı bir geçiş kodu.

Kayıtlı kullanıcıların güvenliğini artırma

SMS veya sesli arama kullanarak MFA'ya kayıtlı kullanıcılarınız varsa, bunları mobil uygulama gibi daha güvenli yöntemlere Microsoft Authenticator kullanabilirsiniz. Microsoft artık, kullanıcılardan oturum açma sırasında kullanıcıdan Microsoft Authenticator genel bir işlevsellik önizlemesi sunar. Bu istemleri kimlerin istendiğinde denetleyerek, kullanıcıları daha güvenli bir yönteme taşımak için hedeflenen kampanyalara olanak sağlayarak gruba göre ayarlayın.

Kurtarma senaryolarını planlama

Daha önce belirtildiği gibi, kullanıcıların birden fazla MFA yöntemine kaydedildiklerinden emin olun, böylece bir tane kullanılamazsa bir yedeklemeye sahip olurlar. Kullanıcının kullanılabilir bir yedekleme yöntemi yoksa:

  • Kendi kimlik Geçici Erişim Kodu yönetecekleri bir hizmet sağlama. Kaynaklara geçici erişimi Geçici Erişim Kodu için bir ilke de sebilirsiniz.
  • Yönetici olarak yöntemlerini güncelleştirin. Bunu yapmak için, oturum açma Azure portal ve kimlik doğrulama yöntemleri'nin yöntemlerini güncelleştirin. Kullanıcı iletişimleri

Kullanıcıları yaklaşan değişiklikler, Azure AD MFA kayıt gereksinimleri ve gerekli kullanıcı eylemleri hakkında bilgilendirmek kritik öneme sahiptir. İletişimlerinizi taslağınızı oluşturmanıza yardımcı olmak için iletişim şablonları ve son kullanıcı belgeleri sağlarız. Bu sayfada https://myprofile.microsoft.com Güvenlik Bilgileri bağlantısını seçerek kullanıcıları kaydolmaları için sayfasına gönderin.

Şirket içi sistemlerle tümleştirmeyi planlama

Azure AD ile doğrudan kimlik doğrulaması yapılan ve modern kimlik doğrulaması (WS-Fed, SAML, OAuth, OpenID Bağlan) olan uygulamalar Koşullu Erişim ilkelerini kullanabilir. Bazı eski ve şirket içi uygulamalar Azure AD'de doğrudan kimlik doğrulaması yapmaz ve Azure AD MFA kullanmak için ek adımlar gerektirir. Azure AD Uygulama ara sunucusunu veya Ağ ilkesi hizmetlerini kullanarak bunları tümleştirebilirsiniz.

Kaynaklarla AD FS leştirin

Güvenli hale Active Directory Federasyon Hizmetleri (AD FS) (AD FS) Azure AD'ye öneririz. Ancak, bunları Azure AD'ye geçirmek için hazır değilsanız, Azure MFA bağdaştırıcısını 2016 veya AD FS kullanabilirsiniz. Kuruluş Azure AD ile federasyona sahipse Azure AD MFA'yi hem şirket içinde hem de buluttaki AD FS kimlik doğrulama sağlayıcısı olarak yapılandırabilirsiniz.

RADIUS istemcileri ve Azure AD MFA

RADIUS kimlik doğrulaması kullanan uygulamalar için istemci uygulamalarını SAML, Open ID Bağlan veya Azure AD'de OAuth gibi modern protokollere taşımanız önerilir. Uygulama güncelleştirilenene kadar, Azure MFA uzantısına sahip Ağ İlkesi Sunucusu(NPS) dağıtabilirsiniz. Ağ ilkesi sunucusu (NPS) uzantısı, ikinci bir kimlik doğrulaması faktörü sağlamak için RADIUS tabanlı uygulamalar ile Azure AD MFA arasında bir bağdaştırıcı olarak davranır.

Yaygın tümleştirmeler

Birçok satıcı artık uygulamaları için SAML kimlik doğrulamasını destekliyor. Mümkün olduğunda, bu uygulamaları Azure AD ile federasyona almanız ve Koşullu Erişim aracılığıyla MFA'nın zorlanmanız önerilir. Satıcınız modern kimlik doğrulamasını desteklemezse NPS uzantısını kullanabilirsiniz. Yaygın RADIUS istemci tümleştirmeleri, Uzak Masaüstü Ağ Geçitleri ve VPN sunucuları gibi uygulamaları içerir.

Diğerleri şunları içerebilir:

  • Citrix Gateway

    Citrix Gateway hem RADIUS hem de NPS uzantısı tümleştirmesi ile SAML tümleştirmesi destekler.

  • Cisco VPN

  • Tüm VPN'ler

Azure AD MFA dağıtma

MFA dağıtım planınız, destek kapasitenizin içinde yer alan dağıtım dalgalarının takip ettiği bir pilot dağıtım içermesi gerekir. Küçük bir pilot kullanıcı grubuna Koşullu Erişim ilkelerinizi uygulayarak, uygulamanıza başlayabilirsiniz. Pilot kullanıcılar, kullanılan işlem ve kayıt davranışları üzerindeki etkiyi değerlendirdikten sonra ilkeye daha fazla grup ekleyebilir veya mevcut gruplara daha fazla kullanıcı ebilirsiniz.

Aşağıdaki adımları izleyin:

  1. Gerekli önkoşulları karşılama
  2. Seçilen kimlik doğrulama yöntemlerini yapılandırma
  3. Koşullu Erişim ilkelerinizi yapılandırma
  4. Oturum ömrü ayarlarını yapılandırma
  5. Azure AD MFA kayıt ilkelerini yapılandırma

Azure AD MFA'sı yönetme

Bu bölüm, Azure AD MFA için raporlama ve sorun giderme bilgileri sağlar.

Raporlama ve İzleme

Azure AD'de teknik ve iş içgörüleri sağlayan raporlar vardır, dağıtım ilerlemesini izleyin ve kullanıcılarının MFA ile oturum açmada başarılı olup olamamalarını kontrol edin. İş ve teknik uygulama sahiplerinden bu raporların sahipliğini üstlenmelerini ve bu raporları, kuruluş gereksinimlerine göre tüketmelerini sağlar.

Kimlik Doğrulama Yöntemleri Etkinlik panosu'larını kullanarak, kimlik doğrulama yöntemi kaydını ve kuruluş genelinde kullanımı izleyebilirsiniz. Bu, hangi yöntemlerin kaydedildiklerini ve nasıl kullanıldıklarını anlamanıza yardımcı olur.

MFA olaylarını gözden geçirmek için oturum açma raporu

Azure AD oturum açma raporları, kullanıcıdan çok faktörlü kimlik doğrulaması istendiğinde ve kullanılan Koşullu Erişim ilkeleri varsa olaylar için kimlik doğrulaması ayrıntılarını içerir. PowerShell'i MFA'ya kayıtlı kullanıcılara raporlamak için de kullanabilirsiniz.

NPS uzantısı AD FS günlüklerini Güvenlik MFA Etkinliği > > raporundan görüntüleyebilirsiniz.

Daha fazla bilgi ve ek MFA raporları için bkz. Azure AD Multi-Factor Authentication olaylarını gözden geçirme.

Azure AD MFA sorunlarını giderme

Yaygın sorunlar için bkz. Azure AD MFA sorunlarını giderme.

Sonraki adımlar

Diğer kimlik özelliklerini dağıtma