Microsoft Entra çok faktörlü kimlik doğrulaması hakkında sık sorulan sorular

Multi-Factor Authentication Sunucusu ile kullanıcı verileri yalnızca şirket içi sunucularda depolanır. Kalıcı kullanıcı verileri bulutta depolanmaz. Kullanıcı iki aşamalı doğrulama gerçekleştirdiğinde, Multi-Factor Authentication Sunucusu kimlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulama bulut hizmetine veri gönderir. Multi-Factor Authentication Sunucusu ile çok faktörlü kimlik doğrulama bulut hizmeti arasındaki iletişim, 443 numaralı giden bağlantı noktası üzerinden Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) kullanır.

Bulut hizmetine kimlik doğrulama istekleri gönderildiğinde, kimlik doğrulaması ve kullanım raporları için veriler toplanır. Aşağıdaki veri alanları iki aşamalı doğrulama günlüklerine eklenir:

• Benzersiz Kimlik (kullanıcı adı veya şirket içi Multi-Factor Authentication Sunucusu Kimliği)
• Ad ve Soyadı (isteğe bağlı)
• E-posta Adresi (isteğe bağlı)
• Telefon Numarası (sesli arama veya kısa mesaj kimlik doğrulaması kullanılırken)
• Cihaz Belirteci (mobil uygulama kimlik doğrulaması kullanılırken)
• Kimlik Doğrulama Modu
• Kimlik Doğrulama Sonucu
• Multi-Factor Authentication Sunucusu Adı
• Multi-Factor Authentication Sunucusu IP'si
• İstemci IP'si (varsa)

İsteğe bağlı alanlar Multi-Factor Authentication Sunucusu'nda yapılandırılabilir.

Doğrulama sonucu (başarı veya reddetme) ve reddedildiyse nedeni kimlik doğrulama verileriyle birlikte depolanır. Bu veriler kimlik doğrulaması ve kullanım raporlarında kullanılabilir.

Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması için veri yerleşimi ve müşteri verileri.

Birleşik Devletler aşağıdaki kısa kodları kullanırız:

• 97671
• 69829
• 51789
• 99399

Kanada'da aşağıdaki kısa kodları kullanırız:

• 759731
• 673801

Aynı numarayla tutarlı kısa mesaj veya ses tabanlı çok faktörlü kimlik doğrulama istemi teslimi garantisi yoktur. Kullanıcılarımızın yararına, kısa mesaj teslim edilebilirliğini geliştirmek için rota ayarlamaları yaparken kısa kodları istediğimiz zaman ekleyebilir veya kaldırabiliriz.

Birleşik Devletler ve Kanada dışında ülkeler veya bölgeler için kısa kodları desteklemiyoruz.

Evet, genellikle kısa bir süre içinde yinelenen kimlik doğrulama istekleri içeren bazı durumlarda, Microsoft Entra çok faktörlü kimlik doğrulaması telekomünikasyon ağlarını korumaya, MFA yorulma stilindeki saldırıları azaltmaya ve tüm müşterilerin yararına kendi sistemlerini korumaya yönelik kullanıcı oturum açma girişimlerini kısıtlar.

Belirli azaltma sınırlarını paylaşmasak da, bunlar makul kullanımı temel alır.

Hayır, Microsoft Entra çok faktörlü kimlik doğrulaması aracılığıyla kullanıcılara gönderilen tek tek telefon aramaları veya kısa mesajlar için ücret alınmaz. Kimlik doğrulaması başına MFA sağlayıcısı kullanıyorsanız, her kimlik doğrulaması için faturalandırılırsınız ancak kullanılan yöntem için faturalandırılmazsınız.

Kullanıcılarınız, kişisel telefon servislerine göre aldıkları telefon aramaları veya kısa mesajlar için ücretlendirilebilir.

Faturalama, o ay iki aşamalı doğrulama gerçekleştirip gerçekleştirmediklerine bakılmaksızın çok faktörlü kimlik doğrulamasını kullanmak üzere yapılandırılmış kullanıcı sayısına bağlıdır.

Kullanıcı başına veya kimlik doğrulaması başına MFA sağlayıcısı oluşturduğunuzda, kuruluşunuzun Azure aboneliği kullanıma göre aylık olarak faturalandırılır. Bu faturalama modeli, Azure'ın sanal makinelerin ve Web Uygulamalarının kullanımıyla ilgili faturalarına benzer.

Microsoft Entra çok faktörlü kimlik doğrulaması için bir abonelik satın aldığınızda, kuruluşunuz yalnızca her kullanıcı için yıllık lisans ücreti öder. MFA lisansları ve Microsoft 365, Microsoft Entra ID P1 veya P2 ya da Enterprise Mobility + Security paketleri bu şekilde faturalandırılır.

Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulamasını alma.

Güvenlik varsayılanları Microsoft Entra ID Ücretsiz katmanında etkinleştirilebilir. Güvenlik varsayılanlarıyla, tüm kullanıcılar Microsoft Authenticator uygulaması kullanılarak çok faktörlü kimlik doğrulaması için etkinleştirilir. Yalnızca Microsoft Authenticator uygulaması olmak üzere, güvenlik varsayılanlarıyla kısa mesaj veya telefon doğrulama özelliğini kullanamazsınız.

Daha fazla bilgi için bkz. Güvenlik varsayılanları nedir?

Kuruluşunuz MFA'yı tüketim tabanlı faturalama ile tek başına bir hizmet olarak satın alırsa, MFA sağlayıcısı oluştururken bir faturalama modeli seçersiniz. MFA sağlayıcısı oluşturulduktan sonra faturalama modelini değiştiremezsiniz.

MFA sağlayıcınız bir Microsoft Entra kiracısına bağlı değilse veya yeni MFA sağlayıcısını farklı bir Microsoft Entra kiracısına bağlarsanız, kullanıcı ayarları ve yapılandırma seçenekleri aktarılmaz. Ayrıca, mevcut MFA Sunucularının yeni MFA Sağlayıcısı aracılığıyla oluşturulan etkinleştirme kimlik bilgileri kullanılarak yeniden etkinleştirilmesi gerekir. MFA Sunucularını yeni MFA Sağlayıcısına bağlamak için yeniden etkinleştirmek, telefon çağrısı ve kısa mesaj kimlik doğrulamasını etkilemez, ancak mobil uygulama etkinleştirilinceye kadar tüm kullanıcılar için mobil uygulama bildirimleri çalışmaz.

Azure çok faktörlü kimlik doğrulama sağlayıcısını kullanmaya başlama bölümünde MFA sağlayıcıları hakkında daha fazla bilgi edinin.

Bazı durumlarda evet.

Dizininizde kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulama sağlayıcısı varsa MFA lisansları ekleyebilirsiniz. Lisansları olan kullanıcılar, kullanıcı başına tüketime dayalı faturalamada sayılmaz. Lisansları olmayan kullanıcılar MFA sağlayıcısı aracılığıyla MFA için hala etkinleştirilebilir. Çok faktörlü kimlik doğrulaması kullanmak üzere yapılandırılmış tüm kullanıcılarınız için lisans satın alıp atarsanız, Microsoft Entra çok faktörlü kimlik doğrulama sağlayıcısını silebilirsiniz. Gelecekte lisanslardan daha fazla kullanıcınız varsa her zaman başka bir kullanıcı başına MFA sağlayıcısı oluşturabilirsiniz.

Dizininizde kimlik doğrulaması başına Microsoft Entra çok faktörlü kimlik doğrulama sağlayıcısı varsa, MFA sağlayıcısı aboneliğinize bağlı olduğu sürece her kimlik doğrulaması için her zaman faturalandırılırsınız. Kullanıcılara MFA lisansları atayabilirsiniz, ancak MFA lisansı atanmış veya atanmamış bir kullanıcıdan gelen her iki aşamalı doğrulama isteği için faturalandırılmaya devam edersiniz.

Kuruluşunuz tüketim tabanlı faturalama modeli kullanıyorsa Microsoft Entra Id isteğe bağlıdır ancak gerekli değildir. MFA sağlayıcınız bir Microsoft Entra kiracısına bağlı değilse yalnızca şirket içinde Azure Multi-Factor Authentication Sunucusu'nu dağıtabilirsiniz.

Lisans modeli için Microsoft Entra Kimliği gereklidir çünkü lisanslar, bunları satın aldığınızda ve dizindeki kullanıcılara atadığınızda Microsoft Entra kiracısına eklenir.

Kullanıcılarınızın kimlik doğrulaması için bir telefon araması veya kısa mesaj almak için 5 dakikada en fazla beş kez denemesini sağlayın. Microsoft, arama ve kısa mesaj teslimi için birden çok sağlayıcı kullanır. Bu yaklaşım işe yaramazsa daha fazla sorun gidermek için bir destek olayı açın.

Üçüncü taraf güvenlik uygulamaları, doğrulama kodu kısa iletisini veya telefon aramasını da engelleyebilir. Üçüncü taraf güvenlik uygulaması kullanıyorsanız korumayı devre dışı bırakmayı deneyin, ardından başka bir MFA doğrulama kodunun gönderilmesini isteyin.

Yukarıdaki adımlar işe yaramazsa, kullanıcıların birden fazla doğrulama yöntemi için yapılandırılıp yapılandırılmamış olduğunu denetleyin. Yeniden oturum açmayı deneyin, ancak oturum açma sayfasında farklı bir doğrulama yöntemi seçin.

Daha fazla bilgi için son kullanıcı sorun giderme kılavuzuna bakın.

Kullanıcının hesabını, kayıt işlemini yeniden gerçekleştirmesini sağlayarak sıfırlayabilirsiniz. Bulutta Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı ve cihaz ayarlarını yönetme hakkında daha fazla bilgi edinin.

Yetkisiz erişimi önlemek için kullanıcının tüm uygulama parolalarını silin. Kullanıcının yeni bir cihazı olduktan sonra parolaları yeniden oluşturabilir. Bulutta Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı ve cihaz ayarlarını yönetme hakkında daha fazla bilgi edinin.

Kuruluşunuz hala eski istemcileri kullanıyorsa ve uygulama parolalarının kullanılmasına izin verdiyseniz, kullanıcılarınız bu eski istemcilerde kullanıcı adı ve parolalarıyla oturum açamaz. Bunun yerine uygulama parolaları ayarlamaları gerekir. Kullanıcılarınızın oturum açma bilgilerini temizlemesi (silmesi), uygulamayı yeniden başlatması ve ardından normal parolaları yerine kullanıcı adı ve uygulama parolalarıyla oturum açması gerekir.

Kuruluşunuzun eski istemcileri yoksa, kullanıcılarınızın uygulama parolaları oluşturmasına izin vermemelisiniz.

Denetlenemeyen faktörler hizmetin güvenilirliğini etkileyebileceğinden kısa mesaj teslimi garanti edilmez. Bu faktörler arasında hedef ülke veya bölge, cep telefonu operatörü ve sinyal gücü yer alır.

Üçüncü taraf güvenlik uygulamaları, doğrulama kodu kısa iletisini veya telefon aramasını da engelleyebilir. Üçüncü taraf güvenlik uygulaması kullanıyorsanız korumayı devre dışı bırakmayı deneyin, ardından başka bir MFA doğrulama kodunun gönderilmesini isteyin.

Kullanıcılarınız genellikle güvenilir bir şekilde kısa mesaj alma konusunda sorun yaşıyorsa, bunun yerine Microsoft Authenticator uygulamasını veya telefon arama yöntemini kullanmalarını söyleyin. Microsoft Authenticator hem hücresel hem de Wi-Fi bağlantıları üzerinden bildirim alabilir. Buna ek olarak, mobil uygulama cihazda hiç sinyal olmadığında bile doğrulama kodları oluşturabilir. Microsoft Authenticator uygulaması Android, iOS ve Windows Phone'da kullanılabilir.

Bazı durumlarda, evet.

MFA Server v7.0 veya üzeri yüklü tek yönlü SMS için bir kayıt defteri anahtarı ayarlayarak zaman aşımı ayarını yapılandırabilirsiniz. MFA bulut hizmeti kısa mesajı gönderdikten sonra doğrulama kodu (veya tek seferlik geçiş kodu) MFA Sunucusu'na döndürülür. MFA Sunucusu, kodu varsayılan olarak 300 saniye boyunca bellekte depolar. Kullanıcı 300 saniye geçmeden kodu girmezse, kimlik doğrulaması reddedilir. Varsayılan zaman aşımı ayarını değiştirmek için şu adımları kullanın:

1. Şuraya git: HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. pfsvc_pendingSmsTimeoutSeconds adlı bir DWORD kayıt defteri anahtarı oluşturun ve MFA Sunucusunun tek seferlik geçiş kodlarını depolamasını istediğiniz süreyi saniye olarak ayarlayın.

Kullanıcılar tanımlanan zaman aşımı süresi içinde SMS'e yanıt vermezse kimlik doğrulaması reddedilir.

Bulutta (AD FS bağdaştırıcısı veya Ağ İlkesi Sunucusu uzantısı dahil) Microsoft Entra çok faktörlü kimlik doğrulaması ile tek yönlü SMS için zaman aşımı ayarını yapılandıramazsınız. Microsoft Entra Id doğrulama kodunu 180 saniye boyunca depolar.

Multi-Factor Authentication Sunucusu kullanıyorsanız, üçüncü taraf Açık Kimlik Doğrulaması (OATH) zaman tabanlı, tek seferlik parola (TOTP) belirteçlerini içeri aktarabilir ve sonra bunları iki aşamalı doğrulama için kullanabilirsiniz.

Gizli anahtarı bir CSV dosyasına yerleştirip Multi-Factor Authentication Sunucusu'na aktarırsanız OATH TOTP belirteçleri olan ActiveIdentity belirteçlerini kullanabilirsiniz. OATH belirteçlerini Active Directory Federasyon Hizmetleri (AD FS) (ADFS), Internet Information Server (IIS) form tabanlı kimlik doğrulaması ve istemci sistemi kullanıcı girişini kabulabildiği sürece Uzaktan Kimlik Doğrulama Arayarak Bağlanma Kullanıcı Hizmeti (RADIUS) ile kullanabilirsiniz.

Üçüncü taraf OATH TOTP belirteçlerini aşağıdaki biçimlerle içeri aktarabilirsiniz:

• Taşınabilir Simetrik Anahtar Kapsayıcısı (PSKC)
• Dosyada seri numarası, Temel 32 biçiminde bir gizli anahtar ve zaman aralığı varsa CSV

Evet, ancak Windows Server 2012 R2 veya sonraki bir sürümünü kullanıyorsanız, Terminal Hizmetleri'nin güvenliğini yalnızca Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) kullanarak sağlayabilirsiniz.

Windows Server 2012 R2'deki güvenlik değişiklikleri, Multi-Factor Authentication Server'ın Windows Server 2012 ve önceki sürümlerde Yerel Güvenlik Yetkilisi (LSA) güvenlik paketine bağlanma şeklini değiştirdi. Windows Server 2012 veya önceki sürümlerinde, Windows Kimlik Doğrulaması ile bir uygulamanın güvenliğini sağlayabilirsiniz. Windows Server 2012 R2 kullanıyorsanız RD Ağ Geçidi gerekir.

Ortak telefon ağı üzerinden çok faktörlü kimlik doğrulama çağrıları yapıldığında, bazen arayan kimliğini desteklemeyen bir taşıyıcı aracılığıyla yönlendirilirler. Bu taşıyıcı davranışı nedeniyle, çok faktörlü kimlik doğrulama sistemi her zaman gönderse bile arayan kimliği garanti değildir.

Kullanıcılardan güvenlik bilgilerini kaydetmeleri istenebilir:

• Kullanıcı, Microsoft Entra Id'de yöneticisi tarafından MFA için etkinleştirildi, ancak henüz hesabı için kayıtlı güvenlik bilgilerine sahip değil.
• Kullanıcı, Microsoft Entra Id'de self servis parola sıfırlama için etkinleştirildi. Güvenlik bilgileri, gelecekte unuturlarsa parolalarını sıfırlamalarına yardımcı olur.
• Kullanıcı, MFA gerektirmek için Koşullu Erişim ilkesi olan ve daha önce MFA'ya kaydolmamış bir uygulamaya erişmiştir.
• Kullanıcı bir cihazı Microsoft Entra Id (Microsoft Entra join dahil) ile kaydediyor ve kuruluşunuz cihaz kaydı için MFA gerektiriyor, ancak kullanıcı daha önce MFA'ya kaydolmadı.
• Kullanıcı Windows 10'da (MFA gerektirir) İş İçin Windows Hello oluşturuyor ve daha önce MFA'ya kaydolmadı.
• Kuruluş, kullanıcıya uygulanmış bir MFA Kaydı ilkesi oluşturup etkinleştirmiştir.
• Kullanıcı daha önce MFA'ya kaydolsa da, bir yöneticinin devre dışı bırakıldıktan sonra sahip olduğu bir doğrulama yöntemi seçti. Bu nedenle kullanıcının yeni bir varsayılan doğrulama yöntemi seçmek için MFA kaydından yeniden geçmesi gerekir.

Kullanıcıdan hesabını Microsoft Authenticator'dan kaldırmak için aşağıdaki yordamı tamamlayıp yeniden eklemesini isteyin:

1. Hesap profiline gidin ve bir kuruluş hesabıyla oturum açın.
2. Ek Güvenlik Doğrulaması'ı seçin.
3. Mevcut hesabı Microsoft Authenticator uygulamasından kaldırın.
4. Yapılandır'a tıklayın ve yönergeleri izleyerek Microsoft Authenticator'ı yeniden yapılandırın.

0x800434D4L hatası, iki aşamalı doğrulama gerektiren hesaplarla çalışmayan yerel bir bilgisayarda yüklü olan tarayıcı dışı bir uygulamada oturum açmaya çalıştığınızda oluşur.

Bu hata için geçici bir çözüm, yöneticiyle ilgili ve yönetici olmayan işlemler için ayrı kullanıcı hesaplarına sahip olmaktır. Daha sonra, yönetici olmayan hesabınızı kullanarak Outlook'ta oturum açabilmek için, yönetici hesabınızla yönetici olmayan hesabınız arasında posta kutularını bağlayabilirsiniz. Bu çözüm hakkında daha fazla ayrıntı için bir yöneticiye kullanıcının posta kutusunun içeriğini açma ve görüntüleme olanağı vermeyi öğrenin.

Hata 1073741715 = Durum Oturum Açma Hatası -> Oturum açmaya çalışıldı geçersiz. Bunun nedeni hatalı bir kullanıcı adı veya kimlik doğrulamasıdır.

Bu hatanın makul bir nedeni: Girilen birincil kimlik bilgileri doğruysa, MFA sunucusunda desteklenen NTLM sürümü ile etki alanı denetleyicisi arasında bir uyuşmazlık olabilir. MFA Sunucusu, NTLMv2 (LmCompatabilityLevel=5) değil yalnızca NTLMv1 'i (LmCompatabilityLevel=1thru 4) destekler.

Sonraki adımlar

Sorunuza burada yanıt verirseniz aşağıdaki destek seçenekleri sağlanır:

• Yaygın teknik sorunların çözümleri için Microsoft Desteği Bilgi Bankası'nı arayın.
• Topluluktan teknik sorular ve yanıtlar arayın ve bunlara göz atın veya Microsoft Entra Soru-Cevap'ta kendi sorunuzu sorun.
• Multi-Factor Authentication Sunucusu desteği aracılığıyla Microsoft profesyoneli ile iletişime geçin. Bizimle iletişim kurarken, sorununuz hakkında mümkün olduğunca çok bilgi ekleyebilmeniz yararlı olur. Sağlayabildiğiniz bilgiler hatayı gördüğünüz sayfayı, belirli hata kodunu, belirli oturum kimliğini ve hatayı gören kullanıcının kimliğini içerir.
• Eski bir Telefon Factor müşterisiyseniz ve parola sıfırlamayla ilgili sorularınız veya yardıma ihtiyacınız varsa, destek talebi açmak için e-posta adresini kullanınphonefactorsupport@microsoft.com.