Etkinleştirme için Azure MFA kullanmaUsing Azure MFA for activation

Önemli

Azure Multi-Factor Authentication yazılım geliştirme seti 'nin kullanım dışı bırakılması duyurusu nedeniyle, Azure MFA SDK 'Sı, 14 Kasım 2018 tarihine kadar mevcut müşteriler için desteklenecektir.Due to the announcement of Deprecation of Azure Multi-Factor Authentication Software Development Kit, the Azure MFA SDK will be supported for existing customers up until the retirement date of November 14, 2018. Yeni müşteriler ve geçerli müşteriler, Azure MFA SDK 'sını artık klasik Azure portalı aracılığıyla indiremeyecektir.New customers and current customers will not be able to download Azure MFA SDK anymore via the Azure classic portal. Azure MFA sunucusu kullanma hakkında bilgi için bkz. Pam veya SSPR 'de Azure MFA sunucusu kullanma.For information on using Azure MFA Server, see Using Azure MFA Server in PAM or SSPR.

PAM rolünü yapılandırırken, rolü etkinleştirmek için istekte bulunan kullanıcıların nasıl yetkilendirileceğini seçebilirsiniz.When configuring a PAM role, you can choose how to authorize users that request to activate the role. PAM yetkilendirme etkinliği uygulamalarına yönelik seçenekler şunlardır:The choices that the PAM authorization activity implements are:

Hiçbir denetim etkinleştirilmezse, aday kullanıcılar rollerini otomatik olarak etkinleştirir.If neither check is enabled, candidate users are automatically activated for their role.

Microsoft Azure Multi-Factor Authentication (MFA), kullanıcıların oturum açma girişimlerini bir mobil uygulama, telefon araması veya kısa mesaj kullanarak doğrulamasını gerektiren bir kimlik doğrulama hizmetidir.Microsoft Azure Multi-Factor Authentication (MFA) is an authentication service that requires users to verify their sign-in attempts by using a mobile app, phone call, or text message. Microsoft Azure Active Directory ile, buluta yönelik bir servis olarak ve şirket içi kurumsal uygulamalarda kullanılabilir.It is available to use with Microsoft Azure Active Directory, and as a service for cloud and on-premises enterprise applications. PAM senaryosunda, Azure MFA ek bir kimlik doğrulama mekanizması sağlar.For the PAM scenario, Azure MFA provides an additional authentication mechanism. Azure MFA, bir kullanıcının Windows PRıV etki alanında kimlik doğrulamasından bağımsız olarak yetkilendirme için kullanılabilir.Azure MFA can be used for authorization, regardless of how a user authenticated to the Windows PRIV domain.

Ön koşullarPrerequisites

Azure MFA 'yı MıM ile kullanmak için şunlar gerekir:In order to use Azure MFA with MIM, you need:

  • Azure MFA hizmetiyle bağlantı kurmak için, PAM sağlayan her MIM Hizmeti’nden İnternet erişimiInternet access from each MIM Service providing PAM, to contact the Azure MFA service
  • Bir Azure aboneliğiAn Azure subscription
  • Aday kullanıcılar için Azure Active Directory Premium lisansları veya Azure MFA için alternatif bir lisanslama yöntemiAzure Active Directory Premium licenses for candidate users, or an alternate means of licensing Azure MFA
  • Tüm aday kullanıcılar için telefon numaralarıPhone numbers for all candidate users

Azure MFA Sağlayıcısı oluşturmaCreating an Azure MFA Provider

Bu bölümde, Azure MFA sağlayıcınızı Microsoft Azure Active Directory olarak ayarlarsınız.In this section, you set up your Azure MFA provider in Microsoft Azure Active Directory.Zaten tek başına veya Azure Active Directory Premium ile yapılandırılmış olarak Azure MFA’yı kullanıyorsanız, sonra bölüme atlayın.  If you are already using Azure MFA, either standalone or configured with Azure Active Directory Premium, skip to the next section.

  1. Web tarayıcısını açın ve Azure abonelik yöneticisi olarak Klasik Azure Portalı’na bağlanın.Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. Sol alt köşede Yeni’ye tıklayın.In the bottom left hand corner, click New.

  3. Uygulama Hizmetleri > Active Directory > Çok Faktörlü Kimlik Doğrulama Sağlayıcısı > Hızlı Oluştur'a tıklayın.Click App Services > Active Directory > Multi-Factor Auth Provider > Quick Create.

  4. Ad alanına PAM girin ve Kullanım Modeli alanında Etkinleştirilmiş Kullanıcı Başına seçeneğini belirtin.In the Name field, enter PAM, and in the Usage Model field, select Per Enabled User. Zaten bir Azure AD dizininiz varsa, o dizini seçin.If you have an Azure AD directory already, select that directory. Son olarak, Oluştur'a tıklayın.Finally, click Create.

Azure MFA Hizmeti Kimlik Bilgilerini İndirmeDownloading the Azure MFA Service Credentials

Önemli

Azure MFA SDK 'Sı artık kullanılamıyor.The Azure MFA SDK is no longer available. Azure MFA sunucusu kullanma hakkında daha fazla bilgi için, bkz. Pam veya SSPR 'de Azure MFA sunucusu kullanma .For information on using Azure MFA Server, see Using Azure MFA Server in PAM or SSPR instead.

Daha önce, Azure MFA ile iletişim kurmak için PAM 'nin kimlik doğrulama malzemesini içeren bir dosya oluşturursunuz.Previously, you'd generate a file that includes the authentication material for PAM to contact Azure MFA.

  1. Web tarayıcısını açın ve Azure abonelik yöneticisi olarak Klasik Azure Portalı’na bağlanın.Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. Azure Portal menüsünde Active Directory’ye tıklayın ve ardından Çok Faktörlü Kimlik Doğrulama Sağlayıcıları sekmesine tıklayın.Click Active Directory in the Azure Portal menu, and then click the Multi-Factor Auth Providers tab.

  3. PAM için kullanacağınız Azure MFA sağlayıcısına tıklayın ve ardından Yönet’e tıklayın.Click on the Azure MFA provider you'll be using for PAM, and then click Manage.

  4. Yeni pencerede, sol paneldeki Yapılandır' ın altında Ayarlar' a tıklayın.In the new window, on the left panel, under Configure, click on Settings.

  5. Azure Multi-Factor Authentication penceresinde, İndirmeler’in altında SDK’ye tıklayın.In the Azure Multi-Factor Authentication window, click SDK under Downloads.

  6. ASP.net 2,0 C#Için dil SDK 'SıIle dosyanın ZIP sütunundaki indirme bağlantısına tıklayın.Click the Download link in the ZIP column for the file with language SDK for ASP.net 2.0 C#.

Multi-Factor Authentication SDK’sini indirme - ekran görüntüsü

  1. Sonuçta elde edilen ZIP dosyasını MIM Hizmeti’nin yüklü olduğu her sunucuya kopyalayın.Copy the resulting ZIP file to each system where MIM Service is installed. 

Not

ZIP dosyası Azure MFA hizmetinde kimlik doğrulaması yapmak için kullanılan anahtar malzemesini içerir.The ZIP file contains keying material which is used to authenticate to the Azure MFA service.

MIM Hizmeti’ni Azure MFA için yapılandırmaConfiguring the MIM Service for Azure MFA

  1. MIM Hizmeti’nin yüklendiği bilgisayarda, yönetici olarak veya MIM’i yükleyen kullanıcı olarak oturum açın.On the computer where the MIM Service is installed, sign in as an administrator or as the user who installed MIM.

  2. MIM Hizmeti’nin yüklenmiş olduğu dizinin (örneğin, C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts) altında yeni bir dizin klasörü oluşturun.Create a new directory folder under the directory where the MIM Service was installed, such as C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Windows Explorer 'ı kullanarak, önceki bölümde pf\certs indirilen ZIP dosyasının klasörüne gidin.Using Windows Explorer, navigate into the pf\certs folder of the ZIP file downloaded in the previous section. Dosyayı cert\_key.p12 yeni dizine kopyalayın.Copy the file cert\_key.p12 to the new directory.

  4. Windows Gezgini 'ni kullanarak ZIP pf klasörüne gidin ve dosyayı pf\_auth.cs WordPad gibi bir metin düzenleyicisinde açın.Using Windows Explorer, navigate into the pf folder of the ZIP, and open the file pf\_auth.cs in a text editor like Wordpad.

  5. Şu üç parametreyi bulun: LICENSE\_KEY, GROUP\_KEY, CERT\_PASSWORD.Find these three parameters: LICENSE\_KEY, GROUP\_KEY, CERT\_PASSWORD.

pf_auth.cs dosyasından değerleri kopyalama - ekran görüntüsü

  1. Not Defteri’ni kullanarak, C:\Program Files\Microsoft Forefront Identity Manager\2010\Service yolundaki MfaSettings.xml dosyasını açın.Using Notepad, open MfaSettings.xml located in C:\Program Files\Microsoft Forefront Identity Manager\2010\Service.

  2. pf_auth.cs dosyasındaki LICENSE_KEY, GROUP_KEY ve CERT_PASSWORD parametrelerinin değerlerini, MfaSettings.xml dosyasında bunlara karşılık gelen xml öğelerine kopyalayın.Copy the values from the LICENSE_KEY, GROUP_KEY, and CERT_PASSWORD parameters in the pf_auth.cs file into their respective xml elements in the MfaSettings.xml file.

  3. XML öğesinde, daha önce ayıklanan CERT_Key. p12 dosyasının tam yol adını belirtin.In the XML element, specify the full path name of the cert_key.p12 file extracted earlier.

  4. Öğesinde herhangi bir Kullanıcı adı girin.In the element enter any username.

  5. Öğesinde, kullanıcılarınızı aramak için Birleşik Devletler ve Kanada gibi 1 gibi ülke kodunu girin.In the element enter the country code for dialing your users, such as 1 for the United States and Canada. Bu değer, kullanıcıların ülke kodu içermeyen telefon numaralarıyla kaydedildiği durumlarda kullanılır.This value is used in case users are registered with telephone numbers that do not have a country code. Kullanıcının telefon numarasının uluslararası ülke kodu kuruluş için yapılandırılan ülke kodundan farklıysa, söz konusu ülke kodu kaydedilen telefon numarasına eklenmelidir.If a user’s phone number has an international country code distinct from that configured for the organization, then that country code must be included in the phone number that will be registered.

  6. MIM Hizmeti C:\Program Files\Microsoft Forefront Identity Manager\2010\\Service klasöründe MfaSettings.xml dosyasını kaydedin ve üzerine yazın.Save and overwrite the MfaSettings.xml file in the MIM Service folder C:\Program Files\Microsoft Forefront Identity Manager\2010\\Service.

Not

İşlemin sonunda, MfaSettings.xml dosyasının, bu dosyanın herhangi bir kopyasının veya ZIP dosyasının herkes tarafından okunabilir olmadığından emin olun.At the end of the process, ensure that the file MfaSettings.xml, or any copies of it or the ZIP file are not publically readable.

Azure MFA için PAM kullanıcılarını yapılandırmaConfigure PAM users for Azure MFA

Kullanıcının Azure MFA gerektiren bir rolü etkinleştirmesi için, kullanıcının telefon numarası MIM’de depolanmış olmalıdır.For a user to activate a role that requires Azure MFA, the user's telephone number must be stored in MIM. Bu öznitelik iki yolla ayarlanabilir.There are two ways this attribute is set.

İlk olarak, New-PAMUser komutu kullanıcının CORP etki alanındaki dizin girişinden bir telefon numarası özniteliğini MIM Hizmeti veritabanına kopyalar.First, the New-PAMUser command copies a phone number attribute from the user's directory entry in CORP domain, to the MIM Service database. Bunun tek seferlik bir işlem olduğunu unutmayın.Note that this is a one-time operation.

İkinci olarak, Set-PAMUser komutu MIM Hizmeti veritabanında telefon numarası özniteliğini güncelleştirir.Second, the Set-PAMUser command updates the phone number attribute in the MIM Service database. Örneğin, aşağıdaki komut MIM Hizmeti’nde mevcut PAM kullanıcısının telefon numarasını değiştirir.For example, the following replaces an existing PAM user's phone number in the MIM Service. Dizin girişi değiştirilmez.Their directory entry is unchanged.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Azure MFA için PAM rollerini yapılandırmaConfigure PAM roles for Azure MFA

PAM rolü için tüm aday kullanıcıların telefon numaraları MIM Hizmeti veritabanında depolandıktan sonra, rol Azure MFA’yı gerektirecek şekilde yapılandırılabilir.Once all of the candidate users for a PAM role have their telephone numbers stored in the MIM Service database, the role can be configured to require Azure MFA. Bu işlem, New-PAMRole ve Set-PAMRole komutları kullanılarak yapılır.This is done using the New-PAMRole or Set-PAMRole commands. Örneğin,For example,

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Set-PAMRole komutunda "-MFAEnabled 0" parametresi belirtilerek, bir rol için Azure MFA devre dışı bırakılabilir.Azure MFA can be disabled for a role by specifying the parameter "-MFAEnabled 0" in the Set-PAMRole command.

Sorun gidermeTroubleshooting

Aşağıdaki olaylar, Privileged Access Management olay günlüğünde bulunabilir:The following events can be found in the Privileged Access Management event log:

KimlikID SeveritySeverity OluşturanGenerated by AçıklamaDescription
101101 HataError MIM HizmetiMIM Service Kullanıcı Azure MFA’yı tamamlamadı (örneğin, telefona yanıt vermedi)User did not complete Azure MFA (e.g., did not answer the phone)
103103 BilgiInformation MIM HizmetiMIM Service Kullanıcı etkinleştirme sırasında Azure MFA’yı tamamladıUser completed Azure MFA during activation
825825 UyarıWarning PAM İzleme HizmetiPAM Monitoring Service Telefon numarası değişmişTelephone number has been changed

Başarısız telefon aramaları (olay 101) hakkında daha fazla bilgi bulmak için, Azure MFA’dan bir rapor görüntüleyebilir veya indirebilirsiniz.To find out more information about failing telephone calls (event 101), you can also view or download a report from Azure MFA.

  1. Web tarayıcısını açın ve Azure AD genel yöneticisi olarak Klasik Azure Portalı’na bağlanın.Open a web browser and connect to the Azure classic portal as an Azure AD global administrator.

  2. Azure Portalı menüsünde Active Directory’yi seçin ve ardından Çok Faktörlü Kimlik Doğrulama Sağlayıcıları sekmesini seçin.Select Active Directory in the Azure Portal menu, and then select the Multi-Factor Auth Providers tab.

  3. PAM için kullandığınız Azure MFA sağlayıcısını seçin ve ardından Yönet’e tıklayın.Select the Azure MFA provider you're using for PAM, and then click Manage.

  4. Yeni pencerede Kullanım’a ve ardından Kullanıcı Ayrıntıları’na tıklayın.In the new window, click Usage, then click User Details.

  5. Zaman aralığını seçin ve ek rapor sütununda Ad’ın yanındaki kutuyu işaretleyin.Select the time range, and check the box by the Name in the additional report column. CSV’ye Aktar’a tıklayın.Click Export to CSV.

  6. Rapor oluşturulduğunda, portalda görüntüleyebilir veya MFA raporu çok büyükse bir CSV dosyasına indirebilirsiniz.When the report has been generated, you can view it in the portal or, if the MFA report is extensive, download it to a CSV file. AUTH TYPE sütunundaki SDK değerleri, PAM etkinleştirme istekleri olarak uygun olan satırları gösterir: Bunlar, MIM’den veya diğer şirket içi yazılımlardan kaynaklanan olaylardır.SDK values in the AUTH TYPE column indicate rows that are relevant as PAM activation requests: these are events originating from MIM or other on-premises software. USERNAME alanı, MIM hizmeti veritabanındaki kullanıcı nesnesinin GUID değeridir.The USERNAME field is the GUID of the user object in the MIM service database. Arama başarısız olmuşsa, AUTHD sütunundaki değer No olur ve CALL RESULT sütununun değeri hata nedeninin ayrıntılarını içerir.If a call was unsuccessful, the value in the AUTHD column will be No and the value of the CALL RESULT column will contain the details of the failure reason.

Sonraki AdımlarNext Steps