Azure AD Kimlik Koruması oturum açma deneyimleriSign-in experiences with Azure AD Identity Protection

Azure Active Directory Kimlik Koruması, şunları yapabilirsiniz:With Azure Active Directory Identity Protection, you can:

  • Kullanıcıların Multi-Factor Authentication 'a kaydolmesini gerektirrequire users to register for multi-factor authentication
  • riskli oturum açma işlemlerini ve güvenliği aşılmış kullanıcıları işlemehandle risky sign-ins and compromised users

Sistemin bu sorunlara verdiği yanıt, kullanıcının oturum açma deneyiminde bir etkiye sahiptir çünkü bir Kullanıcı adı sağlayarak doğrudan oturum açmak ve bir parola artık mümkün olmayacaktır.The response of the system to these issues has an impact on a user's sign-in experience because directly signing-in by providing a user name and a password won't be possible anymore. Bir kullanıcıyı güvenle iş 'e geri almak için ek adımlar gereklidir.Additional steps are required to get a user safely back into business.

Bu makalede, bir kullanıcının gerçekleşebileceğini tüm durumlarda oturum açma deneyimine ilişkin bir genel bakış sunulmaktadır.This article gives you an overview of a user's sign-in experience for all cases that can occur.

Multi-Factor AuthenticationMulti-factor authentication

  • Multi-Factor Authentication kaydıMulti-factor authentication registration

Risk altında oturum açmaSign-in at risk

  • Riskli oturum açma kurtarmasıRisky sign-in recovery
  • Riskli oturum açma engellendiRisky sign-in blocked
  • Riskli oturum açma sırasında Multi-Factor Authentication kaydıMulti-factor authentication registration during a risky sign-in

Risk altındaki KullanıcıUser at risk

  • Güvenliği aşılmış hesap kurtarmaCompromised account recovery
  • Güvenliği aşılmış hesap engellendiCompromised account blocked

Multi-Factor Authentication kaydıMulti-factor authentication registration

Hem güvenliği aşılmış hesap kurtarma akışı hem de riskli oturum açma akışı için en iyi kullanıcı deneyimi, kullanıcının kendi kendine kurtarılmasına yönelik bir yöntemdir.The best user experience for both, the compromised account recovery flow and the risky sign-in flow, is when the user can self-recover. Kullanıcılar Multi-Factor Authentication için kaydedilmişse, güvenlik sorunlarını geçebilmeleri için kullanılabilecek kendi hesabıyla ilişkilendirilmiş bir telefon numarası zaten vardır.If users are registered for multi-factor authentication, they already have a phone number associated with their account that can be used to pass security challenges. Hesap güvenliğinin aşılmasına karşı kurtarmak için yardım masası veya yönetici katılımı gerekmez.No help desk or administrator involvement is needed to recover from account compromise. Bu nedenle, kullanıcılarınızın çok faktörlü kimlik doğrulaması için kaydolmasının kesinlikle yapılması önerilir.Thus, it’s highly recommended to get your users registered for multi-factor authentication.

Yöneticiler, kullanıcıların ek güvenlik doğrulaması için hesaplarını ayarlamanızı gerektiren bir ilke ayarlayabilir.Administrators can set a policy that requires users to set up their accounts for additional security verification. Bu ilke, kullanıcıların Multi-Factor Authentication kaydını 14 güne kadar atmasını sağlar.This policy allows users to skip multi-factor authentication registration for up to 14 days. 14 günlük yetkisiz kullanım süresi yapılandırılamaz.The 14-day grace period is not configurable.

Multi-Factor Authentication kaydında üç adım vardır:The multi-factor authentication registration has three steps:

  1. İlk adımda Kullanıcı, hesabı Multi-Factor Authentication için ayarlama gereksinimi hakkında bir bildirim alır.In the first step, the user gets a notification about the requirement to set the account up for multi-factor authentication.

    DüzeltmeRemediation

  2. Multi-Factor Authentication 'ı ayarlamak için sistemin nasıl iletişim kurmak istediğinizi bilmesini istemeniz gerekir.To set up multi-factor authentication, you need to let the system know how you want to be contacted.

    DüzeltmeRemediation

  3. Sistem size bir zorluk gönderir ve yanıt almanız gerekir.The system submits a challenge to you and you need to respond.

    DüzeltmeRemediation

Riskli oturum açma kurtarmasıRisky sign-in recovery

Yönetici oturum açma riskleri için bir ilke yapılandırmışsa, etkilenen kullanıcılara oturum açmaya çalıştıklarında bildirim yapılır.When an administrator has configured a policy for sign-in risks, the affected users are notified when they try to sign in.

Riskli oturum açma akışında iki adım vardır:The risky sign-in flow has two steps:

  1. Kullanıcı, yeni bir konumdan, cihazdan veya uygulamadan oturum açma gibi, oturum açma bilgileri hakkında olağan dışı bir şey olduğunu bilgilendirilir.The user is informed that something unusual was detected about their sign-in, such as signing in from a new location, device, or app.

    DüzeltmeRemediation

  2. Kullanıcının bir güvenlik sınamasını çözerek kimliğini kanıtlamaları gerekir.The user is required to prove their identity by solving a security challenge. Kullanıcı Multi-Factor Authentication için kaydedilmişse, bir güvenlik kodunu telefon numarasına geri dönüş yapması gerekir.If the user is registered for multi-factor authentication they need to round trip a security code to their phone number. Bu yalnızca riskli oturum açma ve güvenliği aşılmış bir hesap olduğundan, kullanıcının bu akıştaki parolayı değiştirmesi gerekmez.Since this is just a risky sign in and not a compromised account, the user won’t have to change the password in this flow.

    DüzeltmeRemediation

Riskli oturum açma engellendiRisky sign-in blocked

Yöneticiler, risk düzeyine bağlı olarak oturum açtığında kullanıcıları engellemek için bir oturum açma risk ilkesi ayarlamayı da tercih edebilir.Administrators can also choose to set a Sign-In Risk policy to block users upon sign-in depending on the risk level. Engellenmemiş olması için, son kullanıcıların bir yönetici veya yardım masası ile iletişim kurabilmesi veya tanıdık bir konumdan veya cihazdan oturum açmayı deneyebilmeleri gerekir.To get unblocked, end users must contact an administrator or help desk, or they can try signing in from a familiar location or device. Multi-Factor Authentication 'ı çözerek kendi kendine kurtarma Bu durumda bir seçenek değildir.Self-recovering by solving multi-factor authentication is not an option in this case.

DüzeltmeRemediation

Güvenliği aşılmış hesap kurtarmaCompromised account recovery

Bir Kullanıcı riski güvenlik ilkesi yapılandırıldığında, ilkede belirtilen Kullanıcı risk düzeyini karşılayan (ve bu nedenle güvenliği ihlal edilen) kullanıcılar, oturum açmadan önce Kullanıcı güvenliğinin aşılmasına karşı koruma akışından gelmelidir.When a user risk security policy has been configured, users who meet the user risk level specified in the policy (and are therefore assumed compromised) must go through the user compromise recovery flow before they can sign in.

Kullanıcı güvenliğinin aşılmasına yönelik kurtarma akışı üç adımdan daha sahiptir:The user compromise recovery flow has three steps:

  1. Kullanıcı, şüpheli etkinlik veya sızdırılan kimlik bilgileri nedeniyle hesap güvenliğinin risk altında olduğunu bilgilendirilir.The user is informed that their account security is at risk because of suspicious activity or leaked credentials.

    DüzeltmeRemediation

  2. Kullanıcının bir güvenlik sınamasını çözerek kimliğini kanıtlamaları gerekir.The user is required to prove their identity by solving a security challenge. Kullanıcı Multi-Factor Authentication için kaydedilmişse, kendi kendine kurtarılmaları tehlikeye girebilir.If the user is registered for multi-factor authentication they can self-recover from being compromised. Bu kişilerin telefon numarasına bir güvenlik kodu geri dönüş yapması gerekecektir.They will need to round trip a security code to their phone number.

    DüzeltmeRemediation

  3. Son olarak, başka birinin hesabına erişimi olduğundan, Kullanıcı parolasını değiştirmeye zorlanır.Finally, the user is forced to change their password since someone else may have had access to their account. Bu deneyimin ekran görüntüleri aşağıda verilmiştir.Screenshots of this experience are below.

    DüzeltmeRemediation

Güvenliği aşılmış hesap engellendiCompromised account blocked

Kullanıcı risk güvenlik ilkesi engellemesi tarafından engellenmiş bir kullanıcıyı engellemek için Kullanıcı bir yönetici veya yardım masası ile bağlantı kurmanız gerekir.To get a user that was blocked by a user risk security policy unblocked, the user must contact an administrator or help desk. Multi-Factor Authentication 'ı çözerek kendi kendine kurtarma Bu durumda bir seçenek değildir.Self-recovering by solving multi-factor authentication is not an option in this case.

DüzeltmeRemediation

Parola sıfırlaReset password

Güvenliği aşılmış kullanıcıların oturum açması engelleniyorsa, yönetici bunlar için geçici bir parola oluşturabilir.If compromised users are blocked from signing in, an administrator can generate a temporary password for them. Kullanıcıların bir sonraki oturum açma sırasında parolalarını değiştirmesi gerekir.The users will have to change their password during a next sign-in.

DüzeltmeRemediation

Ayrıca bkz.See also