Azure Active Directory B2C'de çok faktörlü kimlik doğrulamasını etkinleştirme

Başlamadan önce, ayarladığınız ilke türünü seçmek için İlke türü seçin seçicisini kullanın. Azure Active Directory B2C, kullanıcıların uygulamalarınızla nasıl etkileşim kurduğunu tanımlamak için iki yöntem sunar: önceden tanımlanmış kullanıcı akışları veya tam olarak yapılandırılabilir özel ilkeler aracılığıyla. Bu makalede gerekli adımlar her yöntem için farklıdır.

Azure Active Directory B2C (Azure AD B2C), uygulamalarınızdaki kaydolma ve oturum açma deneyimlerine ikinci bir güvenlik katmanı ekleyebilmeniz için doğrudan Microsoft Entra çok faktörlü kimlik doğrulamasıyla tümleştirilir. Tek bir kod satırı yazmadan çok faktörlü kimlik doğrulamasını etkinleştirirsiniz. Kaydolma ve oturum açma kullanıcı akışları oluşturduysanız, yine de çok faktörlü kimlik doğrulamasını etkinleştirebilirsiniz.

Bu özellik uygulamaların aşağıdaki gibi senaryoları işlemelerine yardımcı olur:

  • Bir uygulamaya erişmek için çok faktörlü kimlik doğrulaması gerekmez, ancak başka bir uygulamaya erişmesini zorunlu kılarsınız. Örneğin, müşteri sosyal veya yerel bir hesapla bir otomatik sigorta uygulamasında oturum açabilir, ancak aynı dizinde kayıtlı ev sigortası uygulamasına erişmeden önce telefon numarasını doğrulaması gerekir.
  • Bir uygulamaya genel olarak erişmek için çok faktörlü kimlik doğrulaması gerekmez, ancak uygulamanın içindeki hassas bölümlere erişmesini zorunlu kılarsınız. Örneğin, müşteri sosyal veya yerel bir hesapla bir bankacılık uygulamasında oturum açabilir ve hesap bakiyesini kontrol edebilir, ancak havaleyi denemeden önce telefon numarasını doğrulaması gerekir.

Ön koşullar

Doğrulama yöntemleri

Koşullu Erişim ile kullanıcılar, yönetici olarak verebileceğiniz yapılandırma kararlarına göre MFA için zorlanabilir veya olmayabilir. Çok faktörlü kimlik doğrulamasının yöntemleri şunlardır:

  • E-posta - Oturum açma sırasında kullanıcıya tek seferlik parola (OTP) içeren bir doğrulama e-postası gönderilir. Kullanıcı, e-postada gönderilen OTP kodunu sağlar.
  • SMS veya telefon araması - İlk kaydolma veya oturum açma sırasında kullanıcıdan bir telefon numarası sağlaması ve doğrulaması istenir. Sonraki oturum açma işlemleri sırasında kullanıcıdan Kod Gönder veya Beni Ara telefon MFA'sı seçeneğini belirlemesi istenir. Kullanıcının seçimine bağlı olarak, kullanıcıyı tanımlamak için doğrulanmış telefon numarasına bir kısa mesaj gönderilir veya telefon araması yapılır. Kullanıcı, kısa mesajla gönderilen OTP kodunu sağlar veya telefon aramasını onaylar.
  • Yalnızca arama Telefon - SMS veya telefon araması seçeneğiyle aynı şekilde çalışır, ancak yalnızca bir telefon araması yapılır.
  • Yalnızca SMS - SMS veya telefon araması seçeneğiyle aynı şekilde çalışır, ancak yalnızca kısa mesaj gönderilir.
  • Authenticator uygulaması - TOTP - Kullanıcının sahip olduğu bir cihaza Microsoft Authenticator uygulaması gibi zaman tabanlı tek seferlik parola (TOTP) doğrulamasını destekleyen bir kimlik doğrulayıcı uygulaması yüklemesi gerekir. İlk kaydolma veya oturum açma sırasında kullanıcı bir QR kodunu tarar veya kimlik doğrulayıcı uygulamasını kullanarak el ile bir kod girer. Sonraki oturum açma işlemleri sırasında kullanıcı, kimlik doğrulayıcı uygulamasında görünen TOTP kodunu yazar. Microsoft Authenticator uygulamasının nasıl ayarlandığını görün.

Önemli

Authenticator uygulaması - TOTP, SMS/Telefon'den daha güçlü güvenlik sağlar ve e-posta en az güvenlidir. SMS/Telefon tabanlı çok faktörlü kimlik doğrulaması, normal Azure AD B2C MAU fiyatlandırma modelinden ayrı ücretlendirilir.

Çok faktörlü kimlik doğrulamasını ayarlama

  1. Azure Portal oturum açın.

  2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.

  3. Soldaki menüden Azure AD B2C'yi seçin. Ya da Tüm hizmetler'i seçip Azure AD B2C'yi arayıp seçin.

  4. Kullanıcı akışları'ı seçin.

  5. MFA'yı etkinleştirmek istediğiniz kullanıcı akışını seçin. Örneğin, B2C_1_signinsignup.

  6. Özellikleri'i seçin.

  7. Çok faktörlü kimlik doğrulaması bölümünde istediğiniz yöntem türünü seçin. Ardından MFA zorlaması'nın altında bir seçenek belirleyin:

    • Kapalı - Oturum açma sırasında MFA hiçbir zaman zorlanmaz ve kullanıcılardan kaydolma veya oturum açma sırasında MFA'ya kaydolmaları istenmez.

    • Her zaman açık - Koşullu Erişim kurulumunuz ne olursa olsun MFA her zaman gereklidir. Kaydolma sırasında kullanıcılardan MFA'ya kaydolmaları istenir. Oturum açma sırasında, kullanıcılar MFA'ya henüz kaydolmamışsa kaydolmaları istenir.

    • Koşullu - Kaydolma ve oturum açma sırasında kullanıcılardan MFA'ya kaydolmaları istenir (hem yeni kullanıcılar hem de MFA'ya kayıtlı olmayan mevcut kullanıcılar). Oturum açma sırasında MFA yalnızca etkin bir Koşullu Erişim ilkesi değerlendirmesi gerektirdiğinde uygulanır:

      • Sonuç, riski olmayan bir MFA sınaması ise MFA uygulanır. Kullanıcı MFA'ya henüz kaydolmamışsa kaydolması istenir.
      • Sonuç risk nedeniyle bir MFA sınamasıysa ve kullanıcı MFA'ya kayıtlı değilse oturum açma engellenir.

    Dekont

    • Azure AD B2C'de Koşullu Erişim'in genel kullanıma sunulduğundan, kullanıcılardan kaydolma sırasında bir MFA yöntemine kaydolmaları istenir. Genel kullanılabilirlik öncesinde oluşturduğunuz tüm kaydolma kullanıcı akışları bu yeni davranışı otomatik olarak yansıtmaz, ancak yeni kullanıcı akışları oluşturarak davranışı dahil edebilirsiniz.
    • Koşullu'yı seçerseniz, kullanıcı akışlarına Koşullu Erişim eklemeniz ve ilkenin uygulanmasını istediğiniz uygulamaları belirtmeniz gerekir.
    • Çok faktörlü kimlik doğrulaması, kaydolma kullanıcı akışları için varsayılan olarak devre dışıdır. Telefon kayıt işlemiyle kullanıcı akışlarında MFA'yı etkinleştirebilirsiniz, ancak birincil tanımlayıcı olarak bir telefon numarası kullanıldığından, ikinci kimlik doğrulama faktörü için tek kullanımlık e-posta geçiş kodu seçeneğidir.
  8. Kaydet'i seçin. MFA artık bu kullanıcı akışı için etkinleştirildi.

Deneyimi doğrulamak için Kullanıcı akışını çalıştır'ı kullanabilirsiniz. Aşağıdaki senaryoyu onaylayın:

Çok faktörlü kimlik doğrulama adımı gerçekleşmeden önce kiracınızda bir müşteri hesabı oluşturulur. Adım sırasında müşteriden bir telefon numarası sağlaması ve doğrulaması istenir. Doğrulama başarılı olursa, telefon numarası daha sonra kullanmak üzere hesaba eklenir. Müşteri iptal etse veya devre dışı bıraksa bile, müşteriden çok faktörlü kimlik doğrulamasının etkinleştirildiği bir sonraki oturum açma sırasında bir telefon numarasını yeniden doğrulaması istenebilir.

Çok faktörlü kimlik doğrulamasını etkinleştirmek için GitHub'dan aşağıdaki gibi özel ilke başlangıç paketini alın:

  • .zip dosyasını indirin veya deposundan depoyu https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpackkopyalayın ve ardından SocialAndLocalAccountsWithMFA başlangıç paketindeki XML dosyalarını Azure AD B2C kiracı adınızla güncelleştirin. SocialAndLocalAccountsWithMFA, Authenticator uygulaması - TOTP seçeneği dışında sosyal ve yerel oturum açma seçeneklerini ve çok faktörlü kimlik doğrulama seçeneklerini etkinleştirir.
  • Authenticator uygulaması - TOTP MFA seçeneğini desteklemek için, içinden özel ilke dosyalarını https://github.com/azure-ad-b2c/samples/tree/master/policies/totpindirin ve ardından XML dosyalarını Azure AD B2C kiracı adınızla güncelleştirin. SocialAndLocalAccounts başlangıç paketinden , TrustFrameworkLocalization.xmlve TrustFrameworkBase.xml XML dosyalarını eklediğinizden TrustFrameworkExtensions.xmlemin olun.
  • [sayfa düzeninizi] sürümüne 2.1.14güncelleştirin. Daha fazla bilgi için bkz . Sayfa düzeni seçme.

Bir kullanıcıyı kimlik doğrulayıcı uygulamasıyla TOTP'ye kaydetme (son kullanıcılar için)

Bir Azure AD B2C uygulaması TOTP seçeneğini kullanarak MFA'yı etkinleştirdiğinde, son kullanıcıların TOTP kodları oluşturmak için bir kimlik doğrulayıcı uygulaması kullanması gerekir. Kullanıcılar Microsoft Authenticator uygulamasını veya TOTP doğrulamasını destekleyen başka bir kimlik doğrulayıcı uygulamasını kullanabilir. Azure AD B2C sistem yöneticisinin aşağıdaki adımları kullanarak son kullanıcılara Microsoft Authenticator uygulamasını ayarlamalarını önermesi gerekir:

  1. Android veya iOS mobil cihazınıza Microsoft Authenticator uygulamasını indirin ve yükleyin.
  2. Contoso webapp gibi MFA için TOTP kullanmanızı gerektiren uygulamayı açın ve ardından gerekli bilgileri girerek oturum açın veya kaydolun.
  3. Bir kimlik doğrulayıcı uygulaması kullanarak qr kodu tarayarak hesabınızı kaydetmeniz istenirse, telefonunuzda Microsoft Authenticator uygulamasını açın ve sağ üst köşede 3 noktalı menü simgesini (Android için) veya + menü simgesini (IOS için) seçin.
  4. + Hesap ekle'yi seçin.
  5. Diğer hesap (Google, Facebook vb.) öğesini seçin ve ardından hesabınızı kaydetmek için uygulamada gösterilen QR kodunu (örneğin Contoso webapp) tarayın. QR kodunu tarayamıyorsanız hesabı el ile ekleyebilirsiniz:
    1. Telefonunuzdaki Microsoft Authenticator uygulamasında KODU EL ile VEYA Gİr'i seçin.
    2. Uygulamada (örneğin, Contoso webapp) Sorun yaşamaya devam ediyor musunuz? öğesini seçin. Hesap Adı ve Gizli Dizi görüntülenir.
    3. Microsoft Authenticator uygulamanıza Hesap Adı ve Gizli Dizi girin ve SON'u seçin.
  6. Uygulamada (örneğin, Contoso webapp) Devam'ı seçin.
  7. Kodunuzu girin bölümünde Microsoft Authenticator uygulamanızda görünen kodu girin.
  8. Doğrula seçeneğini belirleyin.
  9. Uygulamada daha sonra oturum açma sırasında Microsoft Authenticator uygulamasında görünen kodu yazın.

OATH yazılım belirteçleri hakkında bilgi edinin

Kullanıcının TOTP kimlik doğrulayıcı kaydını silme (sistem yöneticileri için)

Azure AD B2C'de kullanıcının TOTP kimlik doğrulayıcı uygulama kaydını silebilirsiniz. Daha sonra kullanıcının TOTP kimlik doğrulamasını yeniden kullanmak için hesabını yeniden kaydetmesi gerekir. Kullanıcının TOTP kaydını silmek için Azure portalını veya Microsoft Graph API'sini kullanabilirsiniz.

Dekont

  • Kullanıcının TOTP kimlik doğrulayıcı uygulama kaydını Azure AD B2C'den silmek, TOTP kimlik doğrulayıcı uygulamasında kullanıcının hesabını kaldırmaz. Sistem yöneticisinin, yeniden kaydetmeyi denemeden önce kullanıcıyı TOTP kimlik doğrulayıcı uygulamasından hesabını el ile silmeye yönlendirmesi gerekir.
  • Kullanıcının hesabını YANLıŞLıKLA TOTP kimlik doğrulayıcı uygulamasından silmesi durumunda, kullanıcının totp kimlik doğrulayıcı kaydını Azure AD B2C'den silebilen bir sistem yöneticisine veya uygulama sahibine bildirimde bulunarak kullanıcının yeniden kaydolmasını istemesi gerekir.

Azure portalını kullanarak TOTP kimlik doğrulayıcı uygulama kaydını silme

  1. Azure Portal oturum açın.
  2. Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
  3. Soldaki menüde Kullanıcılar'ı seçin.
  4. TOTP kimlik doğrulayıcı uygulama kaydını silmek istediğiniz kullanıcıyı arayın ve seçin.
  5. Soldaki menüden Kimlik doğrulama yöntemleri'ni seçin.
  6. Kullanılabilir kimlik doğrulama yöntemleri altında Yazılım OATH belirtecini bulun ve yanındaki üç nokta menüsünü seçin. Bu arabirimi görmüyorsanız " Yeni kullanıcı kimlik doğrulama yöntemleri deneyimine geçin! Şimdi kullanmak için buraya tıklayın" ifadesiyle yeni kimlik doğrulama yöntemleri deneyimine geçin.
  7. Sil'i ve ardından onaylamak için Evet'i seçin.

User authentication methods

Microsoft Graph API'sini kullanarak TOTP kimlik doğrulayıcı uygulama kaydını silme

Microsoft Graph API'sini kullanarak kullanıcının Yazılım OATH belirteci kimlik doğrulama yöntemini silmeyi öğrenin.