Aracılığıyla paylaş

Özel Koşullu Erişim kimlik doğrulaması güçlü yönleri

  • Makale

Yönetici istrator'lar, gereksinimlerine tam olarak uyacak şekilde en fazla 15 özel kimlik doğrulaması gücü oluşturabilir. Özel kimlik doğrulama gücü, önceki tabloda desteklenen birleşimlerden herhangi birini içerebilir.

  1. Microsoft Entra yönetim merkezinde Yönetici istrator olarak oturum açın.

  2. Koruma>Kimlik Doğrulaması yöntemleri Kimlik doğrulaması güçlü>yönleri'ne göz atın.

  3. Yeni kimlik doğrulama gücü'ne tıklayın.

  4. Yeni kimlik doğrulama gücünüz için açıklayıcı bir Ad sağlayın.

  5. İsteğe bağlı olarak bir Açıklama sağlayın.

  6. İzin vermek istediğiniz kullanılabilir yöntemlerden birini seçin.

  7. İleri'yi seçin ve ilke yapılandırmasını gözden geçirin.

    Screenshot showing the creation of a custom authentication strength.

Özel kimlik doğrulama güçlü yönlerini güncelleştirme ve silme

Özel kimlik doğrulama gücünü düzenleyebilirsiniz. Koşullu Erişim ilkesi tarafından başvuruluyorsa, bu ilke silinemez ve herhangi bir düzenlemeyi onaylamanız gerekir. Koşullu Erişim ilkesi tarafından kimlik doğrulaması gücüne başvurulup başvurulmadığını denetlemek için Koşullu Erişim ilkeleri sütununa tıklayın.

FIDO2 güvenlik anahtarı gelişmiş seçenekleri

FIDO2 güvenlik anahtarlarının kullanımını Authenticator Kanıtlama GUID'lerine (AAGUID' ler) göre kısıtlayabilirsiniz. Bu özellik, yöneticilerin kaynağa erişmek için belirli bir üreticinin FIDO2 güvenlik anahtarına ihtiyaç duymasını sağlar. Belirli bir FIDO2 güvenlik anahtarı gerektirmek için önce özel bir kimlik doğrulama gücü oluşturun. Ardından FIDO2 Güvenlik Anahtarı'ni seçin ve Gelişmiş seçenekler'e tıklayın.

Screenshot showing Advanced options for FIDO2 security key.

İzin Verilen FIDO2 Anahtarları'nın yanındaki öğesine tıklayın+, AAGUID değerini kopyalayın ve Kaydet'e tıklayın.

Screenshot showing how to add an Authenticator Attestation GUID.

Sertifika tabanlı kimlik doğrulaması gelişmiş seçenekleri

Kimlik doğrulama yöntemleri ilkesinde, sertifika verene veya ilke OID'sine göre sertifikaların sistemde tek faktörlü veya çok faktörlü kimlik doğrulama koruma düzeylerine bağlı olup olmadığını yapılandırabilirsiniz. Koşullu Erişim kimlik doğrulaması gücü ilkesine bağlı olarak belirli kaynaklar için tek faktörlü veya çok faktörlü kimlik doğrulama sertifikaları da gerektirebilirsiniz.

Kimlik doğrulama gücü gelişmiş seçeneklerini kullanarak, bir uygulamayla oturum açma işlemlerini daha fazla kısıtlamak için belirli bir sertifika verene veya ilke OID'sine ihtiyacınız olabilir.

Örneğin Contoso, üç farklı türde çok faktörlü sertifikaya sahip çalışanlara akıllı kartlar sağlar. Bir sertifika gizli izin için, diğeri gizli izin için, üçüncüsü ise çok gizli izin için. Her biri, ilke OID veya veren gibi sertifika özellikleriyle ayırt edilir. Contoso, yalnızca uygun çok faktörlü sertifikaya sahip kullanıcıların her sınıflandırma için verilere erişebildiğinden emin olmak istiyor.

Sonraki bölümlerde, Microsoft Entra yönetim merkezini ve Microsoft Graph'ı kullanarak CBA için gelişmiş seçenekleri yapılandırma gösterilmektedir.

Microsoft Entra yönetim merkezi

  1. Microsoft Entra yönetim merkezinde Yönetici istrator olarak oturum açın.

  2. Koruma>Kimlik Doğrulaması yöntemleri Kimlik doğrulaması güçlü>yönleri'ne göz atın.

  3. Yeni kimlik doğrulama gücü'ne tıklayın.

  4. Yeni kimlik doğrulama gücünüz için açıklayıcı bir Ad sağlayın.

  5. İsteğe bağlı olarak bir Açıklama sağlayın.

  6. Sertifika tabanlı kimlik doğrulamasının (tek faktörlü veya çok faktörlü) altında Gelişmiş seçenekler'e tıklayın.

    Screenshot showing Advanced options for certificate-based authentication.

  7. Açılan menüden sertifika verenleri seçebilir, sertifika verenleri yazabilir ve izin verilen ilke OID'lerini yazabilirsiniz. Açılan menü, tek faktörlü veya çok faktörlü olup olmadıklarından bağımsız olarak kiracıdaki tüm sertifika yetkililerini listeler.

    Screenshot showing the configuration options - certificate issuers from the drop-down menu, type the certificate issuers and type the allowed policy OIDs .

    • İzin verilen sertifika veren VE İzin Verilen İlke OID'lerinin her ikisi de yapılandırılmışsa, bir AND ilişkisi vardır. Kullanıcının her iki koşula da uygun bir sertifika kullanması gerekir.
    • İzin verilen sertifika veren listesi ile İzin Verilen İlke OID listesi arasında bir OR ilişkisi vardır. Kullanıcının verenlerden veya ilke OID'lerinden birini karşılayan bir sertifika kullanması gerekir.
    • Kullanmak istediğiniz sertifika kiracınızdaki Sertifika yetkililerine yüklenmediyse SubjectkeyIdentifier tarafından verilen diğer sertifikayı kullanın. Bu ayar, kullanıcı kendi ev kiracısında kimlik doğrulaması kullanıyorsa dış kullanıcı senaryoları için kullanılabilir.

  8. Yapılandırmayı gözden geçirmek için İleri'ye ve ardından Oluştur'a tıklayın.

Microsoft Graph

Sertifika birleşimiConfiguration ile yeni bir Koşullu Erişim kimlik doğrulama gücü ilkesi oluşturmak için:

POST  /beta/identity/conditionalAccess/authenticationStrength/policies
{
    "displayName": "CBA Restriction",
    "description": "CBA Restriction with both IssuerSki and OIDs",
    "allowedCombinations": [
        " x509CertificateMultiFactor "
    ],
    "combinationConfigurations": [
        {
            "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
            "appliesToCombinations": [
                "x509CertificateMultiFactor"
            ],
            "allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
            "allowedPolicyOIDs": [
                "1.2.3.4.6",
                "1.2.3.4.5.6"
            ]
        }
    ]
}

Mevcut ilkeye yeni bir combinationConfiguration eklemek için:

POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations

{
    "@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
    "allowedIssuerSkis": [
        "9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
    ],
    "allowedPolicyOIDs": [],
    "appliesToCombinations": [
        "x509CertificateSingleFactor "
    ]
}

Sınırlamalar

FIDO2 güvenlik anahtarı gelişmiş seçenekleri

  • FIDO2 güvenlik anahtarı Gelişmiş seçenekler - Gelişmiş seçenekler, kaynak kiracısından farklı bir Microsoft bulutunda bulunan ev kiracısı olan dış kullanıcılar için desteklenmez.

Sertifika tabanlı kimlik doğrulaması gelişmiş seçenekleri

  • Her tarayıcı oturumunda yalnızca bir sertifika kullanılabilir. Bir sertifikayla oturum açtığınızda, oturum süresi boyunca tarayıcıda önbelleğe alınır. Kimlik doğrulaması gücü gereksinimlerini karşılamıyorsa başka bir sertifika seçmeniz istenmez. Oturumu yeniden başlatmak için oturumu kapatıp yeniden oturum açmanız gerekir. Ardından ilgili sertifikayı seçin.

  • Sertifika Yetkilileri ve kullanıcı sertifikaları X.509 v3 standardına uygun olmalıdır. Özel olarak, sertifika veren SKI CBA kısıtlamalarını zorunlu kılmak için sertifikaların geçerli AKI'lere ihtiyacı vardır:

    Screenshot showing an authority key identifier.

    Not

    Sertifika uyumlu değilse, kullanıcı kimlik doğrulaması başarılı olabilir, ancak kimlik doğrulama gücü ilkesi için verenSki kısıtlamalarını karşılamayabilir.

  • Oturum açma sırasında, son kullanıcı sertifikasındaki ilk 5 ilke OID'i dikkate alınır ve kimlik doğrulama gücü ilkesinde yapılandırılan ilke OID'leri ile karşılaştırılır. Son kullanıcı sertifikasının 5'ten fazla ilke OID'i varsa, kimlik doğrulama gücü gereksinimleriyle eşleşen sözcük temelli sırayla ilk 5 ilke OID'i dikkate alınır.

  • B2B kullanıcıları için Contoso'nun Fabrikam'dan kullanıcıları kiracılarına davet ettiği bir örnek alalım. Bu durumda Contoso kaynak kiracısı, Fabrikam ise ev kiracısı olur.

    • Kiracılar arası erişim ayarı Kapalı olduğunda (Contoso, ev kiracısı tarafından gerçekleştirilen MFA'yi kabul etmez) - Kaynak kiracıda sertifika tabanlı kimlik doğrulaması kullanılması desteklenmez.
    • Kiracılar arası erişim ayarı Açık olduğunda, Fabrikam ve Contoso aynı Microsoft bulutundadır; yani hem Fabrikam hem de Contoso kiracıları Azure ticari bulutunda veya ABD Kamu için Azure bulutundadır. Ayrıca Contoso, ev kiracısında gerçekleştirilen MFA'ya güvenir. Bu durumda:
      • Belirli bir kaynağa erişim, özel kimlik doğrulama gücü ilkesindeki ilke OID'leri veya "SubjectkeyIdentifier tarafından diğer sertifika veren" kullanılarak kısıtlanabilir.
      • Özel kimlik doğrulama gücü ilkesindeki "SubjectkeyIdentifier tarafından diğer sertifika veren" ayarı kullanılarak belirli kaynaklara erişim kısıtlanabilir.
    • Kiracılar arası erişim ayarı Açık olduğunda, Fabrikam ve Contoso aynı Microsoft bulutunda değildir; örneğin, Fabrikam'ın kiracısı Azure ticari bulutunda ve Contoso'nun kiracısı ABD Kamu için Azure bulutundadır; özel kimlik doğrulama gücü ilkesinde veren kimliği veya ilke OID'leri kullanılarak belirli kaynaklara erişim kısıtlanamaz.

Kimlik doğrulama gücü gelişmiş seçeneklerinin sorunlarını giderme

Kullanıcılar oturum açmak için FIDO2 güvenlik anahtarını kullanamıyor

Koşullu Erişim Yönetici istrator, erişimi belirli güvenlik anahtarlarına kısıtlayabilir. Bir kullanıcı kullanamadıkları bir anahtarı kullanarak oturum açmaya çalıştığında, bu Buraya buradan ulaşamazsınız iletisi görüntülenir. Kullanıcının oturumu yeniden başlatması ve farklı bir FIDO2 güvenlik anahtarıyla oturum açması gerekir.

Screenshot of a sign-in error when using a restricted FIDO2 security key.

Sertifika ilkesi OID'lerini ve vereni denetleme

Kimlik doğrulama gücü gelişmiş seçeneklerinde kişisel sertifika özelliklerinin yapılandırmayla eşleşebileceğini onaylayabilirsiniz. Kullanıcının cihazında Yönetici istrator olarak oturum açın. Çalıştır'a tıklayın, yazın certmgr.mscve Enter tuşuna basın. İlke OID'lerini denetlemek için Kişisel'e tıklayın, sertifikaya sağ tıklayın ve Ayrıntılar'a tıklayın.

Screenshot showing how to check certificate policy OIDs and issuer.

Sonraki adımlar