Azure Multi-Factor Authentication Sunucusu’nu kullanmaya başlama

Bu sayfa yeni bir sunucu yüklemeyi ve şirket içi Active Directory’de kurulumunu yapmayı ele alır. MFA sunucusu zaten yüklüyse ve yükseltmek istiyorsanız bkz. En yeni Azure Multi-Factor Authentication Sunucusu’na yükseltme. Yalnızca web hizmetini yükleme hakkında bilgi almak istiyorsanız bkz. Azure Multi-Factor Authentication Sunucusu Mobil Uygulama Web Hizmeti’ni dağıtma.

Önemli

Eylül 2022'de Microsoft, Azure Multi-Factor Authentication Sunucusu'nun kullanımdan kaldırlanacağını duyurdu. 30 Eylül 2024'ün başından itibaren, Azure Multi-Factor Authentication Sunucusu dağıtımları artık çok faktörlü kimlik doğrulama isteklerine hizmet vermeyecektir ve bu da kuruluşunuzda kimlik doğrulamalarının başarısız olmasına neden olabilir. Kesintisiz kimlik doğrulama hizmetlerini sağlamak ve desteklenen bir durumda kalmak için kuruluşlar, en son Azure Multi-Factor Authentication Sunucusu güncelleştirmesinde yer alan en son Geçiş Yardımcı Programını kullanarak kullanıcılarının kimlik doğrulama verilerini bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama hizmetine geçirmelidir. Daha fazla bilgi için bkz . Azure Multi-Factor Authentication Sunucusu Geçişi.

Bulut tabanlı MFA'yı kullanmaya başlamak için bkz . Öğretici: Azure çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama.

Dağıtımınızı planlama

Azure Multi-Factor Authentication Sunucusu'nu indirmeden önce yük ve yüksek kullanılabilirlik gereksinimlerinizi göz önünde bulundurun. Bu bilgileri kullanarak nasıl ve nereye dağıtım gerçekleştireceğinize karar verin.

İhtiyacınız olan bellek miktarı için iyi bir kılavuz, düzenli olarak kimlik doğrulamasını beklediğiniz kullanıcı sayısıdır.

Kullanıcılar	RAM
1-10.000	4 GB
10.001-50.000	8 GB
50.001-100.000	12 GB
100.000-200.001	16 GB
200.001+	32 GB

Yüksek kullanılabilirlik veya yük dengeleme için birden çok sunucu ayarlamanız mı gerekiyor? Bu yapılandırmayı Azure Multi-Factor Authentication Sunucusu ile ayarlamanın birçok yolu vardır. İlk Azure Multi-Factor Authentication Sunucunuzu yüklediğinizde ana sunucu olur. Diğer tüm sunucular alt sunucu haline gelir ve kullanıcıları ve yapılandırmayı ana sunucuyla otomatik olarak eşitler. Ardından, bir birincil sunucu yapılandırabilir ve geri kalanları yedek sunucu olarak belirleyebilir veya tüm sunucular arasında yük dengeleme ayarlayabilirsiniz.

Ana Azure Multi-Factor Authentication Sunucusu çevrimdışı olduğunda, alt sunucular iki aşamalı doğrulama isteklerini işlemeye devam edebilir. Ancak yeni kullanıcı ekleyemezsiniz ve mevcut kullanıcılar, ana sunucu yeniden çevrimiçi olana veya alt sunucu yükseltilene kadar ayarlarını güncelleştiremezler.

Ortamınızı hazırlama

Azure çok faktörlü kimlik doğrulaması için kullandığınız sunucunun aşağıdaki gereksinimleri karşıladığından emin olun.

Azure Multi-Factor Authentication Sunucusu Gereksinimleri	Açıklama
Donanım	200 MB boş sabit disk alanı x32 veya x64 özellikli işlemci 1 GB veya daha fazla RAM
Yazılım	Windows Server 20221 Windows Server 20191 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008/R2 (yalnızca ESU ile) Windows 10 Windows 8.1, tüm sürümler Windows 8, tüm sürümler Windows 7, tüm sürümler (yalnızca ESU ile) Microsoft .NET 4.0 Framework IIS 7.0 veya üst sürümü, kullanıcı portalı veya web hizmeti SDK’sı yüklüyorsanız
İzinler	Active Directory'ye kaydolmak için etki alanı Yönetici istrator veya Enterprise Yönetici istrator hesabı

¹Azure Multi-Factor Authentication Sunucusu, Windows Server 2019 veya üzerini çalıştıran bir Azure VM'de etkinleştiremezse, Windows Server'ın önceki bir sürümünü kullanmayı deneyin.

Azure Multi-Factor Authentication Sunucu Bileşenleri

Azure Multi-Factor Authentication Sunucusu'nu oluşturan üç web bileşeni vardır:

• Web Hizmeti SDK'sı - Diğer bileşenlerle iletişimi etkinleştirir ve Microsoft Entra çok faktörlü kimlik doğrulaması uygulama sunucusuna yüklenir
• Kullanıcı portalı - Kullanıcıların Azure çok faktörlü kimlik doğrulamasına kaydolmasını ve hesaplarını korumasını sağlayan bir IIS web sitesi.
• Mobil Uygulama Web hizmeti - Microsoft Authenticator uygulaması gibi bir mobil uygulama için iki aşamalı doğrulamayı kullanmaya olanak verir.

Sunucu İnternet'e yönelik ise, üç bileşen de aynı sunucuya yüklenebilir. Bileşenleri ayırırsanız, Web Hizmeti SDK'sı Microsoft Entra çok faktörlü kimlik doğrulaması uygulama sunucusuna yüklenir ve Kullanıcı portalı ve Mobil Uygulama Web Hizmeti İnternet'e yönelik bir sunucuya yüklenir.

Azure Multi-Factor Authentication Sunucusu güvenlik duvarı gereksinimleri

Her MFA sunucusunun bağlantı noktası 443’te aşağıdaki adreslere giden iletişim kurabilmesi gerekir:

• https://pfd.phonefactor.net
• https://pfd2.phonefactor.net
• https://css.phonefactor.net

Giden güvenlik duvarları bağlantı noktası 443’te kısıtlı ise aşağıdaki IP adresi aralıklarını açın:

IP Alt ağı	Ağ maskesi	IP aralığı
134.170.116.0/25	255.255.255.128	134.170.116.1 – 134.170.116.126
134.170.165.0/25	255.255.255.128	134.170.165.1 – 134.170.165.126
70.37.154.128/25	255.255.255.128	70.37.154.129 – 70.37.154.254
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Olay Onayı özelliğini kullanmıyorsanız ve kullanıcılarınız şirket ağındaki cihazlardan doğrulama yapmak için mobil uygulamalar kullanmıyorsa, yalnızca aşağıdaki aralıklar gereklidir:

IP Alt ağı	Ağ maskesi	IP aralığı
134.170.116.72/29	255.255.255.248	134.170.116.72 – 134.170.116.79
134.170.165.72/29	255.255.255.248	134.170.165.72 – 134.170.165.79
70.37.154.200/29	255.255.255.248	70.37.154.201 – 70.37.154.206
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

MFA Sunucusu'nu indirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Azure Multi-Factor Authentication Sunucusu'nu indirmek için şu adımları izleyin:

Önemli

Eylül 2022'de Microsoft, Azure Multi-Factor Authentication Sunucusu'nun kullanımdan kaldırlanacağını duyurdu. 30 Eylül 2024'ün başından itibaren, Azure Multi-Factor Authentication Sunucusu dağıtımları artık çok faktörlü kimlik doğrulama isteklerine hizmet vermeyecektir ve bu da kuruluşunuzda kimlik doğrulamalarının başarısız olmasına neden olabilir. Kesintisiz kimlik doğrulama hizmetlerini sağlamak ve desteklenen bir durumda kalmak için kuruluşlar, en son Azure Multi-Factor Authentication Sunucusu güncelleştirmesinde yer alan en son Geçiş Yardımcı Programını kullanarak kullanıcılarının kimlik doğrulama verilerini bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama hizmetine geçirmelidir. Daha fazla bilgi için bkz . Azure Multi-Factor Authentication Sunucusu Geçişi.

Bulut tabanlı MFA'yı kullanmaya başlamak için bkz . Öğretici: Azure çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama.

MFA Sunucusunu 1 Temmuz 2019'a kadar etkinleştiren mevcut müşteriler en son sürümü, gelecekteki güncelleştirmeleri indirebilir ve her zamanki gibi etkinleştirme kimlik bilgileri oluşturabilir. Aşağıdaki adımlar yalnızca mevcut bir MFA Sunucusu müşterisiyseniz çalışır.

1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.

2. Koruma>Çok Faktörlü kimlik doğrulama>Sunucusu ayarlarına göz atın.

3. İndir'i seçin ve indirme sayfasındaki talimatları izleyerek yükleyiciyi kaydedin.

   

4. Yükleyiciyi çalıştırdıktan sonra bakacağımızdan bu sayfayı açık tutun.

MFA Sunucusu'nu yükleme ve yapılandırma

Artık sunucuyu indirdiğinize göre, yükleyebilir ve yapılandırabilirsiniz. Yükleme yaptığınız sunucunun, planlama bölümünde listelenen gereksinimleri karşıladığından emin olun.

1. Yürütülebilir dosyaya çift tıklayın.
2. Yükleme Klasörünü Seçin ekranında klasörün doğru olduğundan emin olun ve İleri’ye tıklayın. Aşağıdaki kitaplıklar yüklenir:
   • Visual Studio için Visual C++ Yeniden Dağıtılabilir 2017 (x64)
   • Visual Studio için Visual C++ Yeniden Dağıtılabilir 2017 (x86)
3. Yükleme tamamlandığında Son'u seçin. Yapılandırma sihirbazı başlatılır.
4. Sunucuyu indirdiğiniz sayfaya dönerek, Etkinleştirme Kimlik Bilgileri Oluştur düğmesine tıklayın. Bu bilgileri sağlanan kutularda Azure Multi-Factor Authentication Sunucusu'na kopyalayın ve Etkinleştir'e tıklayın.

Dekont

Microsoft Entra yönetim merkezinde yalnızca genel yöneticiler etkinleştirme kimlik bilgileri oluşturabilir.

Kullanıcılara e-posta gönderme

Kullanmaya başlamayı kolaylaştırmak için MFA sunucusunun kullanıcılarınızla iletişim kurmasına izin verin. MFA Sunucusu, iki aşamalı doğrulamaya kaydolduklarını bildirmek amacıyla kullanıcılara e-posta gönderebilir.

Gönderdiğiniz e-posta, kullanıcılarınızı iki aşamalı doğrulama için nasıl yapılandırdığınıza göre belirlenir. Örneğin, telefon numaralarını şirket dizininden alabildiyseniz, kullanıcıların beklentilerini bilebilmesi için e-posta varsayılan telefon numaralarını içermelidir. Telefon numaralarını içeri aktarmadıysanız veya kullanıcılarınız mobil uygulamayı kullanacaksa kullanıcılara hesap kaydını tamamlama yönergelerinin sağlandığı bir e-posta gönderin. E-postaya Azure çok faktörlü kimlik doğrulaması Kullanıcı portalına bir köprü ekleyin.

E-postanın içeriği aynı zamanda kullanıcı için ayarlanmış doğrulama yöntemine (telefonla arama, SMS veya mobil uygulama) bağlı olarak değişir. Örneğin, kullanıcının kimlik doğrularken PIN kullanması gerekiyorsa, e-posta kullanıcıya ilk PIN’ini bildirir. Kullanıcıların ilk doğrulama sırasında kendi PIN'lerini değiştirmesi gerekir.

E-posta ve e-posta şablonlarını yapılandırma

Soldaki e-posta simgesine tıklayarak bu e-postaları gönderme ayarlarını yapabilirsiniz. Bu sayfada, posta sunucunuzun SMTP bilgilerini girebilir ve Kullanıcılara e-posta gönder onay kutusunu işaretleyerek e-posta gönderebilirsiniz.

E-posta İçeriği sekmesinde, seçim yapabileceğiniz e-posta şablonlarını görebilirsiniz. Kullanıcılarınızı iki adımlı doğrulama için nasıl yapılandırdığınıza bağlı olarak, size en uygun şablonu seçin.

Kullanıcıları Active Directory'den içeri aktarma

Artık sunucu yüklendiğine göre kullanıcıları eklemek istersiniz. Kullanıcıları el ile oluşturmayı, Active Directory'den içe aktarmayı ya da Active Directory ile otomatik eşitleme yapılandırmayı seçebilirsiniz.

Active Directory'den elle içeri aktarma

1. Azure Multi-Factor Authentication Sunucusu'nda sol tarafta Kullanıcılar'ı seçin.

2. Alt kısımda, Active Directory’den içeri aktar’ı seçin.

3. Artık kullanıcıları tek tek arayabilir ya da içindeki kullanıcılarla birlikte OU’lar için AD dizininde arama yapabilirsiniz. Bu durumda kullanıcıların OU’su belirtilir.

4. Sağ tarafta tüm kullanıcıları vurgulayın ve İçeri Aktar’a tıklayın. Başarılı olduğunuzu belirten bir açılır pencere görmeniz gerekir. İçeri aktarma penceresini kapatın.

   

Active Directory ile otomatik eşitleme

1. Azure Multi-Factor Authentication Sunucusu'nda sol tarafta Dizin Tümleştirmesi'ni seçin.
2. Eşitleme sekmesine gidin.
3. Alt kısımdan Ekle’yi seçin.
4. Açılan Eşitleme Öğesi Ekle kutusunda bu eşitleme görevi için etki alanını, OU’yu veya güvenlik grubunu, Ayarlar’ı, Yöntem Varsayılanları’nı ve Dil Varsayılanları’nı seçip Ekle’ye tıklayın.
5. Active Directory ile eşitlemeyi etkinleştir başlıklı kutuyu işaretleyin ve bir dakika ile 24 saat arasında bir Eşitleme aralığı belirleyin.

Azure Multi-Factor Authentication Sunucusu kullanıcı verileri nasıl işler?

Şirket içi Multi-Factor Authentication Sunucusu'nu kullandığınızda, kullanıcının verileri şirket içi sunucularda depolanır. Kalıcı kullanıcı verileri bulutta depolanmaz. Kullanıcı iki aşamalı doğrulama gerçekleştirdiğinde, MFA Sunucusu doğrulamayı gerçekleştirmek için Microsoft Entra çok faktörlü kimlik doğrulama bulut hizmetine veri gönderir. Bu kimlik doğrulaması istekleri bulut hizmetine gönderildiğinde, aşağıdaki alanlar istekte ve günlüklerde gönderilir, böylece bunlar müşterinin kimlik doğrulama/kullanım raporlarında kullanılabilir. Multi-Factor Authentication Sunucusu’nda etkinleştirilebilecek ya da devre dışı bırakılabilecek şekilde, bazı alanlar isteğe bağıldır. MFA Sunucusu’ndan MFA bulut hizmetlerine iletişim 443 giden bağlantı noktası üzerinden SSL/TLS kullanır. Bu alanlar aşağıdaki gibidir:

• Benzersiz Kimlik - kullanıcı adı veya iç MFA sunucusu kimliği
• Adı ve soyadı (isteğe bağlı)
• E-posta adresi (isteğe bağlı)
• Telefon numarası - sesli arama veya SMS kimlik doğrulaması yapılırken
• Cihaz belirteci - Mobil uygulama kimlik doğrulaması yaparken
• Kimlik doğrulaması modu
• Kimlik doğrulaması sonucu
• MFA Sunucusu adı
• MFA Sunucusu IP’si
• İstemci IP’si - varsa

Yukarıdaki alanlara ek olarak, doğrulama sonucu (başarılı/reddedildi) ve reddetme nedeni kimlik doğrulama verileriyle birlikte depolanır ve kimlik doğrulama/kullanım raporlarıyla kullanıma sunulur.

Önemli

Mart 2019'dan itibaren ücretsiz/deneme Microsoft Entra kiracılarında MFA Sunucusu kullanıcıları telefon araması seçenekleri kullanılamayacaktır. SMS iletileri bu değişiklik tarafından etkilenmez. Telefon arama ücretli Microsoft Entra kiracılarındaki kullanıcılar tarafından kullanılabilir olmaya devam edecektir. Bu değişiklik yalnızca ücretsiz/deneme Sürümü Microsoft Entra kiracılarını etkiler.

Azure Multi-Factor Authentication Sunucusunu yedekleme ve geri yükleme

İyi bir yedeğe sahip olduğunuzdan emin olmak, tüm sistemler için önemli bir adımdır.

Azure Multi-Factor Authentication Sunucusunu yedeklemek için, Telefon Factor.pfdata dosyası da dahil olmak üzere C:\Program Files\Multi-Factor Authentication Server\Data klasörünün bir kopyasına sahip olduğunuzdan emin olun.

Geri yükleme gerekmesi durumunda aşağıdaki adımları takip edin:

1. Azure Multi-Factor Authentication Sunucusunu yeni bir sunucuya yeniden yükleyin.
2. Yeni Azure Multi-Factor Authentication Sunucusunu etkinleştirin.
3. MultiFactorAuth hizmetini durdurun.
4. Yedeklediğiniz kopyadan PhoneFactor.pfdata dosyasının üzerine yazın.
5. MultiFactorAuth hizmetini başlatın.

Yeni Sunucu artık özgün yedeklenen yapılandırması ve kullanıcı verileriyle hazır ve çalışır durumdadır.

TLS/SSL Protokollerini ve Şifre Paketlerini yönetme

MFA Server sürüm 8.x veya üzerini yükledikten veya yükselttikten sonra kuruluşunuzda ihtiyaç duyulmaması halinde eski ve daha zayıf şifre paketlerinin devre dışı bırakılması veya kaldırılması önerilir. Bu görevin nasıl gerçekleştirileceği hakkında bilgiler AD FS için SSL/TLS Protokollerini ve Şifre Paketlerini Yönetme makalesine bakın

Sonraki adımlar

• Kullanıcı self servis için Kullanıcı portalını ayarlayın ve yapılandırın.
• Active Directory Federasyon Hizmeti, RADIUS Kimlik Doğrulaması veya LDAP Kimlik Doğrulaması ile Azure Multi-Factor Authentication Sunucusu'nu ayarlayın ve yapılandırın.
• RADIUS kullanan Uzak Masaüstü Ağ Geçidi ve Azure Multi-Factor Authentication Sunucusu’nu kurun ve yapılandırın.
• Azure Multi-Factor Authentication Sunucusu Mobil Uygulama Web Hizmeti’ni dağıtın.
• Azure çok faktörlü kimlik doğrulaması ve üçüncü taraf VPN'leri ile gelişmiş senaryolar.