Öğretici: Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama

  • Makale

Çok faktörlü kimlik doğrulaması, oturum açma olayı sırasında kullanıcıdan ek tanımlama biçimleri istendiği bir işlemdir. Örneğin, istem cep telefonuna bir kod girmek veya parmak izi taraması sağlamak olabilir. İkinci bir tanımlama biçimine ihtiyacınız olduğunda, bu ek faktörün bir saldırganın elde etmek veya çoğaltması kolay olmadığından güvenlik artar.

Microsoft Entra çok faktörlü kimlik doğrulaması ve Koşullu Erişim ilkeleri, belirli oturum açma olayları için kullanıcılardan MFA gerektirme esnekliği sağlar. MFA'ya genel bakış için şu videoyu izlemenizi öneririz: Kiracınızda çok faktörlü kimlik doğrulamasını yapılandırma ve zorlama.

Önemli

Bu öğreticide, bir yöneticiye Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmeyi gösterir. Kullanıcı olarak çok faktörlü kimlik doğrulamasında adım adım ilerleyebilmek için bkz . İki aşamalı doğrulama yönteminizi kullanarak iş veya okul hesabınızda oturum açma.

BT ekibiniz Microsoft Entra çok faktörlü kimlik doğrulamasını kullanma özelliğini etkinleştirmediyse veya oturum açma sırasında sorun yaşıyorsanız ek yardım için Yardım masanıza ulaşın.

Bu öğreticide şunların nasıl yapıldığını öğrenirsiniz:

  • Bir kullanıcı grubu için Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmek için bir Koşullu Erişim ilkesi oluşturun.
  • MFA isteyen ilke koşullarını yapılandırın.
  • Kullanıcı olarak çok faktörlü kimlik doğrulamasını yapılandırmayı ve kullanmayı test edin.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • Microsoft Entra Id P1 veya deneme lisansları etkinleştirilmiş çalışan bir Microsoft Entra kiracısı.

    • Gerekirse ücretsiz bir tane oluşturun.

  • Koşullu Erişim Yönetici istrator, Güvenlik Yönetici istrator veya Genel Yönetici istrator ayrıcalıklarına sahip bir hesap. Bazı MFA ayarları bir Kimlik Doğrulama İlkesi Yönetici istrator tarafından da yönetilebilir. Daha fazla bilgi için bkz. Kimlik Doğrulama İlkesi Yönetici istrator.

  • Bildiğiniz bir parolaya sahip yönetici olmayan bir hesap. Bu öğreticide testuser adlı bir hesap oluşturduk. Bu öğreticide, Microsoft Entra çok faktörlü kimlik doğrulamasını yapılandırma ve kullanma konusunda son kullanıcı deneyimini test edin.

    • Kullanıcı hesabı oluşturma hakkında bilgiye ihtiyacınız varsa bkz . Microsoft Entra Id kullanarak kullanıcı ekleme veya silme.

  • Yönetici olmayan kullanıcının üyesi olduğu bir grup. Bu öğretici için MFA-Test-Group adlı böyle bir grup oluşturduk. Bu öğreticide, bu grup için Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz.

    • Grup oluşturma hakkında daha fazla bilgiye ihtiyacınız varsa bkz . Microsoft Entra Id kullanarak temel grup oluşturma ve üye ekleme.

Koşullu Erişim ilkesi oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmenin ve kullanmanın önerilen yolu Koşullu Erişim ilkeleridir. Koşullu Erişim, oturum açma olaylarına tepki veren ve kullanıcıya uygulama veya hizmete erişim verilmeden önce ek eylemler isteyen ilkeler oluşturmanıza ve tanımlamanıza olanak tanır.

Overview diagram of how Conditional Access works to secure the sign-in process

Koşullu Erişim ilkeleri belirli kullanıcılara, gruplara ve uygulamalara uygulanabilir. Amaç, kuruluşunuzu korurken aynı zamanda ihtiyacı olan kullanıcılara doğru erişim düzeylerini sağlamaktır.

Bu öğreticide, bir kullanıcı oturum açtığında MFA'yı soran temel bir Koşullu Erişim ilkesi oluşturacağız. Bu serinin sonraki öğreticilerinde, risk tabanlı koşullu erişim ilkesi kullanarak Microsoft Entra çok faktörlü kimlik doğrulamasını yapılandıracağız.

İlk olarak, bir Koşullu Erişim ilkesi oluşturun ve test kullanıcı grubunuzu aşağıdaki gibi atayın:

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.

  2. Koruma>Koşullu Erişimi'ne gidin, + Yeni ilke'yi ve ardından Yeni ilke oluştur'u seçin.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. İlke için MFA Pilot gibi bir ad girin.

  4. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'nin altındaki geçerli değeri seçin.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. Bu ilke ne için geçerlidir? altında Kullanıcılar ve gruplar'ın seçili olduğunu doğrulayın.

  6. Ekle'nin altında Kullanıcıları ve grupları seç'i ve ardından Kullanıcılar ve gruplar'ı seçin.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Henüz kimse atanmadığından, kullanıcı ve grup listesi (sonraki adımda gösterilir) otomatik olarak açılır.

  7. MFA-Test-Group gibi Microsoft Entra grubunuzu bulun ve seçin, ardından Seç'i seçin.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

İlkenin uygulanacağı grubu seçtik. Sonraki bölümde, ilkenin uygulanacağı koşulları yapılandıracağız.

Çok faktörlü kimlik doğrulaması koşullarını yapılandırma

Koşullu Erişim ilkesi oluşturulduğuna ve bir kullanıcı test grubu atandığına göre, ilkeyi tetikleyen bulut uygulamalarını veya eylemleri tanımlayın. Bu bulut uygulamaları veya eylemleri, çok faktörlü kimlik doğrulaması isteme gibi ek işleme gerektirmeye karar vereceğiniz senaryolardır. Örneğin, bir finansal uygulamaya erişimin veya yönetim araçlarının kullanılmasının kimlik doğrulaması için ek bir istem gerektirdiğine karar vekleyebilirsiniz.

Hangi uygulamaların çok faktörlü kimlik doğrulaması gerektirdiğini yapılandırma

Bu öğreticide, koşullu erişim ilkesini bir kullanıcı oturum açtığında çok faktörlü kimlik doğrulaması gerektirecek şekilde yapılandırın.

  1. Bulut uygulamaları veya eylemleri'nin altındaki geçerli değeri seçin ve bu ilkenin ne için geçerli olduğunu seçin'in altında Bulut uygulamalarının seçili olduğunu doğrulayın.

  2. Ekle'nin altında Uygulama seç'i seçin.

    Henüz hiçbir uygulama seçilmediğinden, uygulama listesi (sonraki adımda gösterilir) otomatik olarak açılır.

    İpucu

    Koşullu Erişim ilkesini Tüm bulut uygulamalarına veya Uygulamaları seç'e uygulamayı seçebilirsiniz. Esneklik sağlamak için, belirli uygulamaları ilkenin dışında tutabilirsiniz.

  3. Kullanılabilecek kullanılabilir oturum açma olaylarının listesine göz atın. Bu öğreticide, ilkenin oturum açma olayları için geçerli olması için Windows Azure Hizmet Yönetimi API'sini seçin. Ardından Seç'i belirleyin.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Erişim için çok faktörlü kimlik doğrulamasını yapılandırma

Ardından erişim denetimlerini yapılandıracağız. Erişim denetimleri, bir kullanıcıya erişim verilmesi için gereksinimleri tanımlamanızı sağlar. Onaylı bir istemci uygulamasını veya Microsoft Entra Id'ye karma olarak katılmış bir cihazı kullanmaları gerekebilir.

Bu öğreticide, bir oturum açma olayı sırasında çok faktörlü kimlik doğrulaması gerektirecek şekilde erişim denetimlerini yapılandırın.

  1. Erişim denetimleri'nin altında, Ver'in altındaki geçerli değeri seçin ve ardından Erişim ver'i seçin.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Çok faktörlü kimlik doğrulaması gerektir'i ve ardından Seç'i seçin.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

İlkeyi etkinleştirme

Yapılandırmanın kullanıcıları nasıl etkileyeceğini görmek istiyorsanız Koşullu Erişim ilkeleri Yalnızca Rapor olarak veya şu anda ilkeyi kullanmak istemiyorsanız Kapalı olarak ayarlanabilir. Bu öğretici için bir test grubu hedeflendiğinden, ilkeyi etkinleştirelim ve ardından Microsoft Entra çok faktörlü kimlik doğrulamasını test edelim.

  1. İlkeyi etkinleştir bölümünde Açık seçeneğini belirleyin.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Koşullu Erişim ilkesini uygulamak için Oluştur'u seçin.

Microsoft Entra çok faktörlü kimlik doğrulamasını test edin

Şimdi Koşullu Erişim ilkenizi ve Microsoft Entra çok faktörlü kimlik doğrulamasını çalışır durumda görelim.

İlk olarak, MFA gerektirmeyen bir kaynakta oturum açın:

  1. InPrivate modunda veya gizli modda yeni bir tarayıcı penceresi açın ve https://account.activedirectory.windowsazure.com adresine gidin.

    Tarayıcınız için özel mod kullanmak, mevcut kimlik bilgilerinin bu oturum açma olayını etkilemesini önler.

  2. Testuser gibi yönetici olmayan test kullanıcınızla oturum açın. Kullanıcı hesabı için ve etki alanı adını eklediğinizden @ emin olun.

    Bu, bu hesapla ilk oturum açma örneğiyse parolayı değiştirmeniz istenir. Ancak, çok faktörlü kimlik doğrulamasını yapılandırmanız veya kullanmanız istenmez.

  3. Tarayıcı penceresini kapatın.

Koşullu Erişim ilkesini, oturum açmak için ek kimlik doğrulaması gerektirecek şekilde yapılandırmışsınız. Bu yapılandırma nedeniyle Microsoft Entra çok faktörlü kimlik doğrulamasını kullanmanız veya henüz yapmadıysanız bir yöntem yapılandırmanız istenir. Microsoft Entra yönetim merkezinde oturum açarak bu yeni gereksinimi test edin:

  1. InPrivate veya gizli modda yeni bir tarayıcı penceresi açın ve Microsoft Entra yönetim merkezinde oturum açın.

  2. Testuser gibi yönetici olmayan test kullanıcınızla oturum açın. Kullanıcı hesabı için ve etki alanı adını eklediğinizden @ emin olun.

    Microsoft Entra çok faktörlü kimlik doğrulamasına kaydolmanız ve bunları kullanmanız gerekir.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. İşlemi başlatmak için İleri'yi seçin.

    Kimlik doğrulaması için bir kimlik doğrulama telefonu, ofis telefonu veya mobil uygulama yapılandırmayı seçebilirsiniz. Kimlik doğrulama telefonu kısa mesajları ve telefon aramalarını destekler, office telefonu uzantılı numaralara yapılan aramaları destekler ve mobil uygulama , kimlik doğrulaması bildirimleri almak veya kimlik doğrulama kodları oluşturmak için mobil uygulama kullanmayı destekler.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Seçtiğiniz çok faktörlü kimlik doğrulama yöntemini yapılandırmak için ekrandaki yönergeleri tamamlayın.

  5. Tarayıcı penceresini kapatın ve yapılandırdığınız kimlik doğrulama yöntemini test etmek için Microsoft Entra yönetim merkezinde yeniden oturum açın. Örneğin, kimlik doğrulaması için bir mobil uygulama yapılandırdıysanız aşağıdakine benzer bir istem görmeniz gerekir.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Tarayıcı penceresini kapatın.

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız Koşullu Erişim ilkesini artık kullanmak istemiyorsanız, aşağıdaki adımları kullanarak ilkeyi silin:

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.

  2. Koruma>Koşullu Erişimi'ne gidin ve MFA Pilot gibi oluşturduğunuz ilkeyi seçin.

  3. Sil'i seçin ve ilkeyi silmek istediğinizi onaylayın.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Sonraki adımlar

Bu öğreticide, seçili bir kullanıcı grubu için Koşullu Erişim ilkelerini kullanarak Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmişsiniz. Şunları öğrendiniz:

  • Bir grup Microsoft Entra kullanıcısı için Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmek için bir Koşullu Erişim ilkesi oluşturun.
  • Çok faktörlü kimlik doğrulaması isteyen ilke koşullarını yapılandırın.
  • Kullanıcı olarak çok faktörlü kimlik doğrulamasını yapılandırmayı ve kullanmayı test edin.

Self servis parola sıfırlama (SSPR) için parola geri yazmayı etkinleştirme