Dış Kimlikler için Kimlik Doğrulaması ve Koşullu Erişim

Dış kullanıcı kuruluşunuzdaki kaynaklara eriştiğinde, kimlik doğrulama akışı işbirliği yöntemi (B2B işbirliği veya B2B doğrudan bağlantı), kullanıcının kimlik sağlayıcısı (dış Azure AD kiracısı, sosyal kimlik sağlayıcısı vb.), Koşullu Erişim ilkeleri ve hem kullanıcının ana kiracısında hem de kiracı barındırma kaynaklarında yapılandırılan kiracılar arası erişim ayarları tarafından belirlenir.

Bu makalede, kuruluşunuzdaki kaynaklara erişen dış kullanıcılar için kimlik doğrulama akışı açıklanmaktadır. Kuruluşlar dış kullanıcıları için birden çok Koşullu Erişim ilkesi uygulayabilir. Bu ilkeler kiracı, uygulama veya tek tek kullanıcı düzeyinde tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildiği şekilde uygulanabilir.

Dış Azure AD kullanıcıları için kimlik doğrulama akışı

Aşağıdaki diyagramda, bir Azure AD kuruluşu diğer Azure AD kuruluşlarının kullanıcılarıyla kaynak paylaştığında kimlik doğrulama akışı gösterilmektedir. Bu diyagramda, kullanıcının kaynaklara erişip erişemediğini belirlemek için çok faktörlü kimlik doğrulaması (MFA) gibi Koşullu Erişim ilkeleriyle kiracılar arası erişim ayarlarının nasıl çalıştığı gösterilir. Bu akış, 6. adımda belirtildiği gibi hem B2B işbirliği hem de B2B doğrudan bağlantı için geçerlidir.

Diagram illustrating the cross-tenant authentication process

Adım Description
1 Fabrikam'daki bir kullanıcı (kullanıcının ana kiracısı) Contoso'daki bir kaynakta ( kaynak kiracısı) oturum açmayı başlatır.
2 Oturum açma sırasında Azure AD güvenlik belirteci hizmeti (STS), Contoso'nun Koşullu Erişim ilkelerini değerlendirir. Ayrıca kiracılar arası erişim ayarlarını (Fabrikam'ın giden ayarları ve Contoso'nun gelen ayarları) değerlendirerek Fabrikam kullanıcısının erişim izni olup olmadığını denetler.
3 Azure AD, Contoso'nun Fabrikam'dan MFA'ya ve cihaz taleplerine (cihaz uyumluluğu, hibrit Azure AD'ye katılmış durum) güvenip güvenmediğini görmek için Contoso'nun gelen güven ayarlarını denetler. Aksi takdirde 6. adıma geçin.
4 Contoso, Fabrikam'dan MFA'ya ve cihaz taleplerine güveniyorsa Azure AD, kullanıcının MFA'yı tamamladığını gösteren bir gösterge için kullanıcının kimlik bilgilerini denetler. Contoso Fabrikam'daki cihaz bilgilerine güveniyorsa Azure AD, durumunu (uyumlu veya karma Azure AD'ye katılmış) belirlemek üzere Cihaz Kimliğini kullanarak Fabrikam'da cihaz nesnesini arar.
5 MFA gerekliyse ancak tamamlanmamışsa veya cihaz kimliği sağlanmıyorsa Azure AD, gerektiğinde kullanıcının ana kiracısında MFA ve cihaz sınamaları verir. Fabrikam'da MFA ve cihaz gereksinimleri karşılandığında, kullanıcının Contoso'daki kaynağa erişmesine izin verilir. Denetimler karşılanamazsa erişim engellenir.
6 Hiçbir güven ayarı yapılandırılmadığında ve MFA gerekli olduğunda, B2B işbirliği kullanıcılarından kaynak kiracısında karşılamaları gereken MFA istenir. B2B doğrudan bağlantı kullanıcıları için erişim engellenir. Cihaz uyumluluğu gerekiyorsa ancak değerlendirilemiyorsa, hem B2B işbirliği hem de B2B doğrudan bağlantı kullanıcıları için erişim engellenir.

Daha fazla bilgi için dış kullanıcılar için Koşullu Erişim bölümüne bakın.

Azure AD harici kullanıcıları için kimlik doğrulama akışı

Azure AD kuruluşu kaynakları Azure AD dışında bir kimlik sağlayıcısıyla dış kullanıcılarla paylaştığında, kimlik doğrulama akışı kullanıcının kimlik sağlayıcısıyla mı yoksa tek seferlik e-posta geçiş kodu kimlik doğrulamasıyla mı kimlik doğrulamasından geçtiğine bağlıdır. Her iki durumda da kaynak kiracısı hangi kimlik doğrulama yönteminin kullanılacağını belirler ve kullanıcıyı kimlik sağlayıcısına yönlendirir veya tek seferlik bir geçiş kodu gönderir.

Örnek 1: Azure AD harici kullanıcısı için kimlik doğrulama akışı ve belirteci

Aşağıdaki diyagramda, dış kullanıcı Google, Facebook veya federasyon SAML/WS-Fed kimlik sağlayıcısı gibi Azure AD olmayan bir kimlik sağlayıcısından gelen bir hesapla oturum açtığında kimlik doğrulama akışı gösterilmektedir.

image shows Authentication flow for B2B guest users from an external directory

Adım Description
1 B2B konuk kullanıcısı bir kaynağa erişim ister. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yönlendirir.
2 Kaynak kiracısı kullanıcıyı dış olarak tanımlar ve kullanıcıyı B2B konuk kullanıcısının IdP'sine yönlendirir. Kullanıcı IdP'de birincil kimlik doğrulaması gerçekleştirir.
3 Yetkilendirme ilkeleri B2B konuk kullanıcısının IdP'sinde değerlendirilir. Kullanıcı bu ilkeleri karşılarsa, B2B konuk kullanıcının IdP'si kullanıcıya bir belirteç verir. Kullanıcı, belirteçle kaynak kiracısına geri yönlendirilir. Kaynak kiracısı belirteci doğrular ve kullanıcıyı Koşullu Erişim ilkelerine göre değerlendirir. Örneğin, kaynak kiracısı kullanıcının Azure Active Directory (AD) MFA gerçekleştirmesini gerektirebilir.
4 Gelen kiracılar arası erişim ayarları ve Koşullu Erişim ilkeleri değerlendirilir. Tüm ilkeler karşılanırsa, kaynak kiracısı kendi belirtecini gönderir ve kullanıcıyı kaynağına yönlendirir.

Örnek 2: Tek seferlik geçiş kodu kullanıcısı için kimlik doğrulama akışı ve belirteci

Aşağıdaki diyagramda, e-posta tek seferlik geçiş kodu kimlik doğrulamasının etkinleştirildiği ve dış kullanıcının Azure AD, Microsoft hesabı (MSA) veya sosyal kimlik sağlayıcısı gibi başka yollarla kimlik doğrulamasının olmadığı akış gösterilmektedir.

image shows Authentication flow for B2B guest users with one time passcode

Adım Description
1 Kullanıcı başka bir kiracıdaki kaynağa erişim isteğinde bulunur. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yönlendirir.
2 Kaynak kiracısı kullanıcıyı dış e-posta tek seferlik geçiş kodu (OTP) kullanıcısı olarak tanımlar ve kullanıcıya OTP içeren bir e-posta gönderir.
3 Kullanıcı OTP'yi alır ve kodu gönderir. Kaynak kiracısı kullanıcıyı Koşullu Erişim ilkelerine göre değerlendirir.
4 Tüm Koşullu Erişim ilkeleri karşılandıktan sonra, kaynak kiracısı bir belirteç gönderir ve kullanıcıyı kaynağına yönlendirir.

Dış kullanıcılar için Koşullu Erişim

Kuruluşlar, dış B2B işbirliği için Koşullu Erişim ilkelerini zorunlu kılabilir ve B2B kullanıcıları tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildikleri şekilde doğrudan bağlantı kurabilir. Bu bölümde, kuruluşunuzun dışındaki kullanıcılara Koşullu Erişim uygulamak için dikkat edilmesi gereken önemli noktalar açıklanmaktadır.

MFA ve cihaz talepleri için Azure AD kiracılar arası güven ayarları

Azure AD kiracılar arası senaryoda, kaynak kuruluşu tüm konuk ve dış kullanıcılar için MFA veya cihaz uyumluluğu gerektiren Koşullu Erişim ilkeleri oluşturabilir. Genellikle bir kaynağa erişen dış kullanıcının Azure AD MFA'sını kaynak kiracısıyla ayarlaması gerekir. Ancak Azure AD artık dış Azure AD kuruluşlarının MFA, uyumlu cihaz talepleri ve hibrit Azure AD'ye katılmış cihaz taleplerine güvenme özelliği sunun ve bu da dış kullanıcı için daha kolay bir oturum açma deneyimi sağlar. Kaynak kiracısı olarak, dış Azure AD kiracılarından gelen MFA ve cihaz taleplerine güvenmek için kiracılar arası erişim ayarlarını kullanabilirsiniz. Güven ayarları tüm Azure AD kuruluşlarına veya yalnızca seçili Azure AD kuruluşlarına uygulanabilir.

Güven ayarları etkinleştirildiğinde Azure AD, kimlik doğrulaması sırasında bir MFA talebi veya cihaz kimliği için kullanıcının kimlik bilgilerini denetleyecek ve ilkelerin ana kiracısında zaten karşılanmış olup olmadığını belirler. Bu durumda, dış kullanıcıya paylaşılan kaynağınızda sorunsuz oturum açma izni verilir. Aksi takdirde, kullanıcının ana kiracısında bir MFA veya cihaz sınaması başlatılır. Güven ayarları etkinleştirilmediyse veya kullanıcının kimlik bilgileri gerekli talepleri içermiyorsa, dış kullanıcıya bir MFA veya cihaz sınaması sunulur.

Ayrıntılar için bkz. B2B işbirliği için kiracılar arası erişim ayarlarını yapılandırma. Hiçbir güven ayarı yapılandırılmazsa, akış Azure AD harici kullanıcıları için MFA akışıyla aynıdır.

Azure AD harici kullanıcıları için MFA

Azure AD harici kullanıcıları için kaynak kiracısı her zaman MFA'nın sorumluluğundadır. Aşağıda tipik bir MFA akışı örneği verilmiştir. Bu senaryo, Microsoft Hesabı (MSA) veya sosyal kimlik dahil olmak üzere tüm kimlikler için çalışır. Bu akış, kendi azure AD kuruluşlarında güven ayarlarını yapılandırmadığınızda Azure AD dış kullanıcıları için de geçerlidir.

  1. Fabrikam adlı bir şirketteki yönetici veya bilgi çalışanı Contoso adlı başka bir şirketten bir kullanıcıyı Fabrikam'ın uygulamasını kullanmaya davet eder.

  2. Fabrikam'ın uygulaması erişim sırasında Azure AD MFA gerektirecek şekilde yapılandırılmıştır.

  3. Contoso'dan B2B işbirliği kullanıcısı Fabrikam'ın uygulamasına erişmeye çalıştığında Azure AD MFA sınamasını tamamlaması istenir.

  4. Konuk kullanıcı daha sonra Fabrikam ile Azure AD MFA'sını ayarlayabilir ve seçenekleri belirleyebilir.

Fabrikam, Azure AD MFA'sı destekleyen yeterli premium Azure AD lisanslarına sahip olmalıdır. Contoso'dan gelen kullanıcı daha sonra Fabrikam'dan bu lisansı tüketir. B2B lisansı hakkında bilgi için bkz. Azure AD dış kimlikleri için faturalama modeli .

Not

MFA, öngörülebilirliği sağlamak için kaynak kiracısı aşamasında tamamlanır. Konuk kullanıcı oturum açtığında arka planda kaynak kiracı oturum açma sayfasının, ön planda ise kendi ev kiracısı oturum açma sayfasını ve şirket logosunu görür.

B2B işbirliği kullanıcıları için Azure AD MFA sıfırlama (yazım denetleme)

Aşağıdaki PowerShell cmdlet'leri, B2B işbirliği kullanıcılarından MFA kaydının kanıtını almak veya istemek için kullanılabilir.

  1. Azure AD’ye bağlanın:

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Tüm kullanıcıları yazım denetleme yöntemleriyle alın:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Örneğin:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Belirli bir kullanıcının yazım denetleme yöntemlerini yeniden ayarlamasını gerektirmek için Azure AD MFA yöntemini sıfırlayın, örneğin:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Cihaz tabanlı Koşullu Erişim

Koşullu Erişim'de, kullanıcının cihazının uyumlu veya hibrit Azure AD'ye katılmış olmasını gerektirme seçeneği vardır. Cihazlar yalnızca ev kiracısı tarafından yönetilebildiği için, dış kullanıcılar için ek konulara dikkat edilmelidir. Kaynak kiracısı olarak, cihaz (uyumlu ve hibrit Azure AD'ye katılmış) taleplerine güvenmek için kiracılar arası erişim ayarlarını kullanabilirsiniz.

Önemli

  • Dış kullanıcılar için cihaz (uyumlu veya hibrit Azure AD'ye katılmış) taleplerine güvenmeye istekli değilseniz, yönetilen cihaz gerektiren bir Koşullu Erişim ilkesi önermeyiz.
  • Konuk kullanıcılar Koşullu Erişim ile korunan bir kaynağa erişmeye çalıştığında, cihazları kiracınıza kaydedemez ve kaydedemezler ve kaynaklarınıza erişimi engellenir.

Mobil uygulama yönetim ilkeleri

Onaylı istemci uygulamaları gerektir ve Uygulama koruma ilkeleri gerektir gibi Koşullu Erişim verme denetimleri, cihazın kaynak kiracısına kaydedilmesini gerektirir. Bu denetimler yalnızca iOS ve Android cihazlara uygulanabilir. Ancak, bu denetimlerin hiçbiri B2B konuk kullanıcılarına uygulanamıyor çünkü kullanıcının cihazı yalnızca kendi ev kiracısı tarafından yönetilebilir.

Not

Dış kullanıcılar için uygulama koruma ilkesi gerektirmenizi önermeyiz.

Konum Tabanlı Koşullu Erişim

Davet eden kuruluş, iş ortağı kuruluşlarını tanımlayan güvenilir bir IP adresi aralığı oluşturabiliyorsa IP aralıklarına dayalı konum tabanlı ilke zorunlu kılınabilir.

İlkeler coğrafi konumlara göre de zorunlu kılınabilir.

Risk tabanlı Koşullu Erişim

B2B konuk kullanıcısı izin verme denetimini karşılarsa Oturum açma riski ilkesi uygulanır. Örneğin, bir kuruluş orta veya yüksek oturum açma riski için Azure AD Multi-Factor Authentication gerektirebilir. Ancak, bir kullanıcı daha önce kaynak kiracısında Azure AD Multi-Factor Authentication'a kaydolmadıysa, kullanıcı engellenir. Bu, kötü amaçlı kullanıcıların meşru bir kullanıcının parolasını tehlikeye atmaları durumunda kendi Azure AD Multi-Factor Authentication kimlik bilgilerini kaydetmelerini önlemek için yapılır.

Ancak Kullanıcı riski ilkesi kaynak kiracısında çözümlenemez. Örneğin, yüksek riskli konuk kullanıcılar için parola değişikliğine ihtiyacınız varsa, kaynak dizinindeki parolaların sıfırlanamadığından bu kullanıcılar engellenir.

Koşullu Erişim istemci uygulamaları koşulu

İstemci uygulamaları koşulları , B2B konuk kullanıcıları için diğer kullanıcı türleriyle aynı şekilde davranır. Örneğin, konuk kullanıcıların eski kimlik doğrulama protokollerini kullanmasını engelleyebilirsiniz.

Koşullu Erişim oturum denetimleri

Oturum denetimleri , B2B konuk kullanıcıları için diğer kullanıcı türleriyle aynı şekilde davranır.

Sonraki adımlar

Daha fazla bilgi için Azure AD B2B işbirliğiyle ilgili aşağıdaki makalelere bakın: