Microsoft Entra Kimliği için parolasız kimlik doğrulaması seçenekleri

  • Makale

Çok faktörlü kimlik doğrulaması (MFA) gibi özellikler kuruluşunuzun güvenliğini sağlamanın harika bir yoludur, ancak kullanıcılar genellikle parolalarını hatırlamak zorunda kalmadan ek güvenlik katmanından rahatsız olur. Parolasız kimlik doğrulama yöntemleri daha kullanışlıdır çünkü parola kaldırılır ve yerine sahip olduğunuz veya bildiğiniz bir şey kullanılır.

Kimlik Doğrulaması Sahip olduğunuz bir şey Bildiğiniz veya bildiğiniz bir şey
Parolasız Windows 10 Cihaz, telefon veya güvenlik anahtarı Biyometrik veya PIN

Kimlik doğrulaması söz konusu olduğunda her kuruluşun farklı gereksinimleri vardır. Microsoft Entra Id ve Azure Kamu aşağıdaki parolasız kimlik doğrulama seçeneklerini tümleştirin:

  • İş İçin Windows Hello
  • macOS için Platform Kimlik Bilgileri
  • Akıllı kart kimlik doğrulaması ile macOS için platform çoklu oturum açma (PSSO)
  • Microsoft Authenticator
  • Geçiş Tuşları (FIDO2)
  • Sertifika tabanlı kimlik doğrulaması

Kimlik doğrulaması: Güvenlik ve kolaylık karşılaştırması

İş İçin Windows Hello

İş İçin Windows Hello, kendi belirlenmiş Windows bilgisayarlarına sahip bilgi çalışanları için idealdir. Biyometrik ve PIN kimlik bilgileri doğrudan kullanıcının bilgisayarına bağlıdır ve bu da sahibin dışında herhangi birinin erişimini engeller. Ortak anahtar altyapısı (PKI) tümleştirmesi ve çoklu oturum açma (SSO) için yerleşik destek ile İş İçin Windows Hello, şirket içi ve buluttaki kurumsal kaynaklara sorunsuz bir şekilde erişmek için kullanışlı bir yöntem sağlar.

İş İçin Windows Hello ile kullanıcı oturum açma örneği.

Aşağıdaki adımlarda oturum açma işleminin Microsoft Entra Id ile nasıl çalıştığı gösterilmektedir:

İş İçin Windows Hello ile kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı biyometrik veya PIN hareketi kullanarak Windows'ta oturum açar. Bu hareket, İş İçin Windows Hello özel anahtarının kilidini açar ve Bulut Kimlik Doğrulama Sağlayıcısı (CloudAP) olarak adlandırılan Bulut Kimlik Doğrulaması güvenlik destek sağlayıcısına gönderilir. CloudAP hakkında daha fazla bilgi için bkz . Birincil Yenileme Belirteci nedir?.
  2. CloudAP, Microsoft Entra Id'den bir nonce (bir kez kullanılabilen rastgele rastgele bir sayı) ister.
  3. Microsoft Entra Id, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. CloudAP, kullanıcının özel anahtarını kullanarak nonce'ı imzalar ve imzalı nonce değerini Microsoft Entra Kimliği'ne döndürür.
  5. Microsoft Entra Id, kullanıcının güvenli bir şekilde kaydedilmiş ortak anahtarını kullanarak imzalanan nonce'i nonce imzasına göre doğrular. Microsoft Entra Id imzayı doğrular ve sonra döndürülen imzalı nonce'ı doğrular. Nonce doğrulandığında, Microsoft Entra Id cihazın aktarım anahtarıyla şifrelenmiş oturum anahtarına sahip bir birincil yenileme belirteci (PRT) oluşturur ve bunu CloudAP'ye döndürür.
  6. CloudAP, oturum anahtarıyla şifrelenmiş PRT'yi alır. CloudAP, oturum anahtarının şifresini çözmek için cihazın özel aktarım anahtarını kullanır ve cihazın Güvenilen Platform Modülü'ünü (TPM) kullanarak oturum anahtarını korur.
  7. CloudAP, Windows'a başarılı bir kimlik doğrulaması yanıtı döndürür. Kullanıcı daha sonra sorunsuz oturum açma (SSO) kullanarak Windows ve bulut uygulamalarına ve şirket içi uygulamalara erişebilir.

İş İçin Windows Hello planlama kılavuzu, İş İçin Windows Hello dağıtımının türü ve dikkate almanız gereken seçenekler hakkında karar vermenize yardımcı olmak için kullanılabilir.

macOS için Platform Kimlik Bilgileri

macOS için Platform Kimlik Bilgileri, macOS'ta Microsoft Enterprise çoklu oturum açma Uzantısı (SSOe) kullanılarak etkinleştirilen yeni bir özelliktir. Kimlik doğrulaması için Microsoft Entra Id kullanan uygulamalar arasında SSO için kullanılan güvenli bir kapanım destekli donanıma bağlı şifreleme anahtarı sağlar. Kullanıcının yerel hesap parolası etkilenmez ve Mac'te oturum açmak için gereklidir.

Kullanıcıdan platform çoklu oturum açma kullanarak macOS hesabını kimlik sağlayıcısına kaydetmesini isteyen bir açılır pencere örneğini gösteren ekran görüntüsü.

macOS için Platform Kimlik Bilgileri, kullanıcıların cihazın kilidini açmak için Touch ID'yi yapılandırarak parolasız çalışmasına olanak tanır ve İş İçin Windows Hello teknolojisine dayalı kimlik avına dayanıklı kimlik bilgilerini kullanır. Bu, güvenlik anahtarları gereksinimini ortadan kaldırarak müşteri kuruluşlarından tasarruf sağlar ve Güvenli Kapanım ile tümleştirmeyi kullanarak Sıfır Güven hedeflerini geliştirir.

MacOS için Platform Kimlik Bilgileri, tarayıcı yeniden kimlik doğrulama senaryoları da dahil olmak üzere WebAuthn sınamalarında kullanılmak üzere kimlik avına dayanıklı bir kimlik bilgisi olarak da kullanılabilir. Kimlik Doğrulama İlkesi Yöneticilerinin kimlik avına dayanıklı bir kimlik bilgisi olarak macOS için Platform Kimlik Bilgilerini desteklemek için Passkey (FIDO2) kimlik doğrulama yöntemini etkinleştirmesi gerekir. FIDO ilkenizde Anahtar Kısıtlama İlkeleri kullanıyorsanız, macOS Platformu Kimlik Bilgileri için AAGUID'yi izin verilen AAGUID'ler listenize eklemeniz gerekir: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

macOS Platform SSO ile kullanıcı oturum açma adımlarını özetleyen diyagram.

  1. Kullanıcı, userSecureEnclaveKey'e erişim sağlamak için anahtar çantasının kilidini açan parmak izi veya parola hareketini kullanarak macOS'un kilidini açar.
  2. macOS, Microsoft Entra Id'den bir nonce (yalnızca bir kez kullanılabilen rastgele rastgele bir sayı) ister.
  3. Microsoft Entra Id, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. İşletim sistemi (OS), Microsoft Entra Kimliği'ne, Güvenli Kapanım'da bulunan UserSecureEnclaveKey ile imzalanmış ekli onay ile bir oturum açma isteği gönderir.
  5. Microsoft Entra Id, kullanıcının userSecureEnclave anahtarının güvenli bir şekilde kaydedilmiş ortak anahtarını kullanarak imzalı onaylama işlemini doğrular. Microsoft Entra Id, imzayı ve nonce'ı doğrular. Onay doğrulandıktan sonra Microsoft Entra Id, kayıt sırasında değiştirilen UserDeviceEncryptionKey ortak anahtarıyla şifrelenmiş bir birincil yenileme belirteci (PRT) oluşturur ve yanıtı işletim sistemine geri gönderir.
  6. İşletim sistemi yanıtın şifresini çözer ve doğrular, SSO belirteçlerini alır, depolar ve SSO sağlamak için SSO uzantısıyla paylaşır. Kullanıcı, SSO kullanarak macOS, bulut ve şirket içi uygulamalara erişebilir.

macOS için Platform Kimlik Bilgilerini yapılandırma ve dağıtma hakkında daha fazla bilgi için macOS Platform SSO'ya bakın.

SmartCard ile macOS için platform çoklu oturum açma

macOS için platform çoklu oturum açma (PSSO), kullanıcıların SmartCard kimlik doğrulama yöntemini kullanarak parolasız çalışmasına olanak tanır. Kullanıcı, harici bir akıllı kart veya akıllı kart uyumlu sabit belirteç (Yubikey gibi) kullanarak makinede oturum açar. Cihazın kilidi açıldığında akıllı kart, sertifika tabanlı kimlik doğrulaması (CBA) kullanarak kimlik doğrulaması için Microsoft Entra Id kullanan uygulamalar arasında SSO vermek üzere Microsoft Entra Id ile birlikte kullanılır. Bu özelliğin çalışması için kullanıcılar için CBA'nın yapılandırılması ve etkinleştirilmesi gerekir. CBA'yı yapılandırmak için bkz . Microsoft Entra sertifika tabanlı kimlik doğrulamasını yapılandırma.

Bunu etkinleştirmek için, bir yöneticinin Microsoft Intune veya desteklenen başka bir Mobile Cihaz Yönetimi (MDM) çözümü kullanarak PSSO'yı yapılandırması gerekir.

macOS Platform SSO ile kullanıcı oturum açma adımlarını özetleyen diyagram.

  1. Bir kullanıcı, Güvenli Kapanım'da bulunan cihaz kayıt anahtarlarına erişim sağlamak için akıllı kartın ve anahtar çantasının kilidini açan akıllı kart pinini kullanarak macOS'un kilidini açar.
  2. macOS, Microsoft Entra Id'den bir nonce (yalnızca bir kez kullanılabilen rastgele rastgele bir sayı) ister.
  3. Microsoft Entra Id, 5 dakika boyunca geçerli olan bir nonce döndürür.
  4. İşletim sistemi (OS), akıllı karttan kullanıcının Microsoft Entra sertifikasıyla imzalanmış ekli onay ile Microsoft Entra Id'ye bir oturum açma isteği gönderir.
  5. Microsoft Entra Id imzalı onaylamayı, imzayı ve nonce'ı doğrular. Onay doğrulandıktan sonra Microsoft Entra Id, kayıt sırasında değiştirilen UserDeviceEncryptionKey ortak anahtarıyla şifrelenmiş bir birincil yenileme belirteci (PRT) oluşturur ve yanıtı işletim sistemine geri gönderir.
  6. İşletim sistemi yanıtın şifresini çözer ve doğrular, SSO belirteçlerini alır, depolar ve SSO sağlamak için SSO uzantısıyla paylaşır. Kullanıcı, SSO kullanarak macOS, bulut ve şirket içi uygulamalara erişebilir.

Microsoft Authenticator

Ayrıca, çalışanınızın telefonunun parolasız bir kimlik doğrulama yöntemi olmasına da izin vekleyebilirsiniz. Authenticator uygulamasını parolaya ek olarak kullanışlı bir çok faktörlü kimlik doğrulama seçeneği olarak zaten kullanıyor olabilirsiniz. Kimlik Doğrulayıcı Uygulamasını parolasız seçenek olarak da kullanabilirsiniz.

Microsoft Authenticator ile Microsoft Edge'de oturum açın

Authenticator Uygulaması, tüm iOS veya Android telefonları güçlü, parolasız bir kimlik bilgilerine dönüştürür. Kullanıcılar, telefonlarına bir bildirim alarak, ekranda görüntülenen bir numarayı telefonlarındaki numarayla eşleştirerek herhangi bir platformda veya tarayıcıda oturum açabilir. Daha sonra onaylamak için biyometrik (dokunma veya yüz) veya PIN'lerini kullanabilirler. Yükleme ayrıntıları için bkz . Microsoft Authenticator'ı indirme ve yükleme.

Microsoft Authenticator kullanarak parolasız kimlik doğrulaması, İş İçin Windows Hello ile aynı temel deseni izler. Microsoft Entra ID'nin kullanılan Authenticator uygulama sürümünü bulabilmesi için kullanıcının tanımlanması gerektiğinden bu biraz daha karmaşıktır:

Microsoft Authenticator Uygulaması ile kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı kullanıcı adını girer.
  2. Microsoft Entra Id, kullanıcının güçlü bir kimlik bilgisi olduğunu algılar ve Güçlü Kimlik Bilgisi akışını başlatır.
  3. iOS cihazlarında Apple Anında İletme Bildirimi Hizmeti (APNS) veya Android cihazlarda Firebase Cloud Messaging (FCM) aracılığıyla uygulamaya bir bildirim gönderilir.
  4. Kullanıcı anında iletme bildirimini alır ve uygulamayı açar.
  5. Uygulama, Microsoft Entra Id'yi çağırır ve bir iletişim durumu kanıtı sınaması ve nonce alır.
  6. Kullanıcı, özel anahtarın kilidini açmak için biyometrik veya PIN bilgilerini girerek sınamayı tamamlar.
  7. Nonce özel anahtarla imzalanır ve Microsoft Entra Kimliği'ne geri gönderilir.
  8. Microsoft Entra Id, genel/özel anahtar doğrulaması gerçekleştirir ve bir belirteç döndürür.

Parolasız oturum açmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

Authenticator uygulamasını kullanarak parolasız imzayı etkinleştirme

Geçiş Tuşları (FIDO2)

Kullanıcılar bir geçiş anahtarı (FIDO2) kaydedebilir ve birincil oturum açma yöntemi olarak seçebilir. Kimlik doğrulamasını işleyen bir donanım cihazıyla, kullanıma sunulacak veya tahmin edilebilecek bir parola olmadığından hesabın güvenliği artar. Şu anda önizleme aşamasında olan Kimlik Doğrulama Yöneticisi, Microsoft Graph API'sini ve özel istemciyi kullanarak kullanıcı adına bir FIDO2 güvenliği de sağlayabilir. Kullanıcılar adına sağlama şu anda güvenlik anahtarlarıyla sınırlıdır.

FIDO (Fast IDentity Online) Alliance, açık kimlik doğrulama standartlarını yükseltmeye ve parolaların bir kimlik doğrulama biçimi olarak kullanımını azaltmaya yardımcı olur. FIDO2, web kimlik doğrulaması (WebAuthn) standardını içeren en son standarttır. FIDO, kuruluşların kullanıcı adı veya parola olmadan oturum açmak için bir dış güvenlik anahtarı veya cihazda yerleşik bir platform anahtarı kullanarak WebAuthn standardını uygulamasına olanak tanır.

FIDO2 güvenlik anahtarları, herhangi bir form faktöründe gelebilen, tanımlanamaz standartlara dayalı parolasız bir kimlik doğrulama yöntemidir. Bunlar genellikle USB cihazlarıdır, ancak Bluetooth veya yakın alan iletişimi (NFC) de kullanabilirler. Geçiş anahtarları (FIDO2) aynı WebAuthn standardını temel alır ve Authenticator'a veya mobil cihazlara, tabletlere veya bilgisayarlara kaydedilebilir.

FIDO2 güvenlik anahtarları, Microsoft Entra Id veya Microsoft Entra karmasına katılmış Windows 10 cihazlarında oturum açmak ve bulut ve şirket içi kaynaklarında çoklu oturum açmak için kullanılabilir. Kullanıcılar desteklenen tarayıcılarda da oturum açabilir. FIDO2 güvenlik anahtarları, güvenliğe çok duyarlı olan veya senaryoları olan veya ikinci bir faktör olarak telefonlarını kullanmaya istekli olmayan veya kullanamayan çalışanlar için harika bir seçenektir.

Geçiş anahtarı (FIDO2) desteği hakkında daha fazla bilgi için bkz . Microsoft Entra Id ile geçiş anahtarı (FIDO2) kimlik doğrulaması desteği. Geliştiricinin en iyi uygulamaları için bkz . Geliştirdikleri uygulamalarda FIDO2 kimlik doğrulamasını destekleme.

Microsoft Edge'de güvenlik anahtarıyla oturum açın

Kullanıcı bir FIDO2 güvenlik anahtarıyla oturum açtığında aşağıdaki işlem kullanılır:

FIDO2 güvenlik anahtarıyla kullanıcı oturum açma adımlarını özetleyen diyagram

  1. Kullanıcı, FIDO2 güvenlik anahtarını bilgisayarına yükler.
  2. Windows, FIDO2 güvenlik anahtarını algılar.
  3. Windows bir kimlik doğrulama isteği gönderir.
  4. Microsoft Entra Id bir nonce gönderir.
  5. Kullanıcı, FIDO2 güvenlik anahtarının güvenli kapanımında depolanan özel anahtarın kilidini açma hareketini tamamlar.
  6. FIDO2 güvenlik anahtarı, nonce'i özel anahtarla imzalar.
  7. İmzalı nonce içeren birincil yenileme belirteci (PRT) belirteci isteği Microsoft Entra Id'ye gönderilir.
  8. Microsoft Entra Id, FIDO2 ortak anahtarını kullanarak imzalı nonce'i doğrular.
  9. Microsoft Entra ID, şirket içi kaynaklara erişimi etkinleştirmek için PRT'yi döndürür.

FiDO2 güvenlik anahtarı sağlayıcıları listesi için bkz . Microsoft uyumlu fido2 güvenlik anahtarı satıcısı olma.

FIDO2 güvenlik anahtarlarını kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarını tamamlayın:

FIDO2 güvenlik anahtarlarını kullanarak parolasız imzayı etkinleştirme

Sertifika tabanlı kimlik doğrulaması

Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA), müşterilerin uygulamalar ve tarayıcı oturum açma işlemleri için Microsoft Entra kimlikleri ile doğrudan X.509 sertifikalarıyla kimlik doğrulamasına izin vermesine veya bu sertifikalara sahip olmasını gerektirmesine olanak tanır. CBA, müşterilerin kimlik avına dayanıklı kimlik doğrulamasını benimsemesine ve Ortak Anahtar Altyapısına (PKI) karşı X.509 sertifikasıyla oturum açmasına olanak tanır.

Microsoft Entra sertifika tabanlı kimlik doğrulaması diyagramı.

Microsoft Entra CBA kullanmanın temel avantajları

Sosyal haklar Açıklama
Harika kullanıcı deneyimi - Sertifika tabanlı kimlik doğrulamasına ihtiyaç duyan kullanıcılar artık Doğrudan Microsoft Entra Kimliği'nde kimlik doğrulaması yapabilir ve federasyona yatırım yapmak zorunda değildir.
- Portal kullanıcı arabirimi, kullanıcıların kiracıdaki kullanıcıyı aramak için sertifika alanlarını bir kullanıcı nesnesi özniteliğine eşlemeyi kolayca yapılandırmasına olanak tanır (sertifika kullanıcı adı bağlamaları)
- Hangi sertifikaların tek faktörlü ve çok faktörlü olduğunu saptamaya yardımcı olmak için kimlik doğrulama ilkelerini yapılandırmak için portal kullanıcı arabirimi.
Dağıtımı ve yönetimi kolay - Microsoft Entra CBA ücretsiz bir özelliktir ve bunu kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur.
- Karmaşık şirket içi dağıtımlara veya ağ yapılandırmasına gerek yoktur.
- Microsoft Entra Kimliği'ne göre doğrudan kimlik doğrulaması yapın.
Güvenli - Şirket içi parolaların bulutta herhangi bir biçimde depolanması gerekmez.
- Kimlik Avına Dayanıklı çok faktörlü kimlik doğrulaması (MFA lisanslı sürüm gerektirir) ve eski kimlik doğrulamasını engelleme dahil olmak üzere Microsoft Entra Koşullu Erişim ilkeleriyle sorunsuz bir şekilde çalışarak kullanıcı hesaplarınızı korur.
- Kullanıcıların, hangi sertifikaların tek faktörlü ve çok faktörlü olarak niteleneceğini belirlemek için sertifika alanları (örneğin, veren veya ilke OID'leri (nesne tanımlayıcıları) aracılığıyla kimlik doğrulama ilkeleri tanımlayabildiği güçlü kimlik doğrulama desteği.
- Bu özellik, kullanıcılarınızın güvenliğini sağlamaya yardımcı olmak için MFA'yı zorunlu kılmaya yarayan Koşullu Erişim özellikleri ve kimlik doğrulama gücü özelliğiyle sorunsuz çalışır.

Desteklenen senaryolar

Aşağıdaki senaryolar desteklenir:

  • Tüm platformlarda web tarayıcısı tabanlı uygulamalarda kullanıcı oturum açma işlemleri.
  • iOS/Android platformlarındaki Office mobil uygulamalarında ve Outlook, OneDrive gibi Windows'taki Yerel Office uygulamalarında kullanıcı oturum açma işlemleri.
  • Mobil yerel tarayıcılarda kullanıcı oturum açma işlemleri.
  • Sertifika veren Konu ve ilke OID'lerini kullanarak çok faktörlü kimlik doğrulaması için ayrıntılı kimlik doğrulama kuralları desteği.
  • Sertifika alanlarından herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
    • Konu Diğer Adı (SAN) PrincipalName ve SAN RFC822Nare
    • Konu Anahtarı Tanımlayıcısı (SKI) ve SHA1PublicKey
  • Kullanıcı nesnesi özniteliklerinden herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
    • Kullanıcı Asıl Adı
    • onPremisesUserPrincipalName
    • CertificateUserIds

Desteklenen senaryolar

Aşağıdaki noktalara dikkat edilmelidir:

  • Yöneticiler kiracıları için parolasız kimlik doğrulama yöntemlerini etkinleştirebilir.
  • Yöneticiler her yöntem için tüm kullanıcıları hedefleyebilir veya kiracılarındaki kullanıcıları/Güvenlik gruplarını seçebilir.
  • Kullanıcılar bu parolasız kimlik doğrulama yöntemlerini hesap portalına kaydedebilir ve yönetebilir.
  • Kullanıcılar şu parolasız kimlik doğrulama yöntemleriyle oturum açabilir:
    • Authenticator uygulaması: Tüm tarayıcılar, Windows 10 kurulumu sırasında ve tüm işletim sistemlerindeki tümleşik mobil uygulamalar dahil olmak üzere Microsoft Entra kimlik doğrulamasının kullanıldığı senaryolarda çalışır.
    • Güvenlik anahtarları: Microsoft Edge (eski ve yeni Edge) gibi desteklenen tarayıcılarda Windows 10 ve web için kilit ekranında çalışın.
  • Kullanıcılar, konuk oldukları kiracılardaki kaynaklara erişmek için parolasız kimlik bilgilerini kullanabilir, ancak yine de bu kaynak kiracısında MFA gerçekleştirmeleri gerekebilir. Daha fazla bilgi için bkz . Olası çift faktörlü kimlik doğrulaması.
  • Kullanıcılar, konuk oldukları bir kiracıda parolasız kimlik bilgilerini, bu kiracıda yönetilen parolaları olmadığı gibi kaydedemez.

Desteklenmeyen senaryolar

Herhangi bir kullanıcı hesabı için her parolasız yöntem için en fazla 20 anahtar kümesi kullanmanızı öneririz. Daha fazla anahtar eklendikçe, kullanıcı nesne boyutu artar ve bazı işlemler için düşüş fark edebilirsiniz. Bu durumda, gereksiz anahtarları kaldırmanız gerekir. Anahtarları sorgulamak ve kaldırmak için daha fazla bilgi ve PowerShell cmdlet'leri için bkz. Yalnız bırakılmış İş İçin Windows Hello Anahtarlarını temizlemek için WHfBTools PowerShell modülünü kullanma. Yalnızca belirli bir kullanıcının anahtarlarını sorgulamak için /UserPrincipalName isteğe bağlı parametresini kullanın. Gerekli izinler yönetici veya belirtilen kullanıcı olarak çalışmaktır.

PowerShell kullanarak tüm mevcut anahtarları içeren bir CSV dosyası oluşturduğunuzda, tutmanız gereken anahtarları dikkatlice belirleyin ve bu satırları CSV'den kaldırın. Ardından, hesap anahtarı sayısını sınırın altına getirmek için powershell ile değiştirilen CSV'yi kullanarak kalan anahtarları silin.

CSV'de "Yalnız Bırakılmış"="True" olarak bildirilen tüm anahtarları silmek güvenlidir. Yalnız bırakılmış anahtar, artık Microsoft Entra Id'de kayıtlı olmayan bir cihaz için bir anahtardır. Tüm Yalnız Bırakılmışları kaldırmak yine de Kullanıcı hesabını sınırın altına getirmiyorsa, silinmek üzere hedeflenen anahtarları belirlemek için DeviceId ve CreationTime sütunlarına bakmak gerekir. Saklamak istediğiniz anahtarlar için CSV'deki herhangi bir satırı kaldırmaya dikkat edin. Kullanıcının etkin olarak kullandığı cihazlara karşılık gelen tüm DeviceID anahtarları, silme adımından önce CSV'den kaldırılmalıdır.

Parolasız yöntem seçme

Bu üç parolasız seçenek arasındaki seçim şirketinizin güvenlik, platform ve uygulama gereksinimlerine bağlıdır.

Microsoft parolasız teknolojisini seçerken göz önünde bulundurmanız gereken bazı faktörler şunlardır:

İş İçin Windows Hello Authenticator uygulamasıyla parolasız oturum açma FIDO2 güvenlik anahtarları
Ön koşul Windows 10, sürüm 1809 veya üzeri
Microsoft Entra Kimlik		 Doğrulayıcı uygulama
Telefon (iOS ve Android cihazlar)		 Windows 10, sürüm 1903 veya üzeri
Microsoft Entra Kimlik
Mod Platform Yazılım Donanım
Sistemler ve cihazlar Yerleşik Güvenilir Platform Modülüne (TPM) sahip bilgisayar
PIN ve biyometri tanıma		 Telefonda PIN ve biyometri tanıma Microsoft uyumlu FIDO2 güvenlik cihazları
Kullanıcı deneyimi Windows cihazlarıyla PIN veya biyometrik tanıma (yüz, iris veya parmak izi) kullanarak oturum açın.
Windows Hello kimlik doğrulaması cihaza bağlıdır; kullanıcının kurumsal kaynaklara erişmek için hem cihaza hem de PIN veya biyometrik faktör gibi bir oturum açma bileşenine ihtiyacı vardır.		 Parmak izi taraması, yüz veya iris tanıma veya PIN ile bir cep telefonu kullanarak oturum açın.
Kullanıcılar, bilgisayarlarından veya cep telefonlarından iş veya kişisel hesaplarında oturum açar.		 FIDO2 güvenlik cihazını (biyometri, PIN ve NFC) kullanarak oturum açma
Kullanıcı kuruluş denetimlerine göre cihaza erişebilir ve USB güvenlik anahtarları ve NFC özellikli akıllı kart, anahtar veya giyilebilir cihazlar gibi cihazları kullanarak PIN, biyometri temelinde kimlik doğrulaması yapabilir.
Etkin senaryolar Windows cihazıyla parolasız deneyim.
Cihazda ve uygulamalarda çoklu oturum açma özelliğine sahip ayrılmış iş bilgisayarı için geçerlidir.		 Cep telefonu kullanan her yerde parolasız çözüm.
Web'de iş veya kişisel uygulamalara herhangi bir cihazdan erişmek için geçerlidir.		 Biyometri, PIN ve NFC kullanan çalışanlar için parolasız deneyim.
Paylaşılan bilgisayarlar ve cep telefonunun uygun bir seçenek olmadığı (yardım masası personeli, genel bilgi noktası veya hastane ekibi gibi) için geçerlidir

Gereksinimlerinizi ve kullanıcılarınızı hangi yöntemin desteklediğini seçmek için aşağıdaki tabloyu kullanın.

Kişilik Senaryo Ortam Parolasız teknoloji
Yönetici Yönetim görevleri için cihaza güvenli erişim Atanan Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Yönetici Windows olmayan cihazlarda yönetim görevleri Mobil veya Windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Bilgi çalışanı Üretkenlik çalışması Atanan Windows 10 cihazı İş İçin Windows Hello ve/veya FIDO2 güvenlik anahtarı
Bilgi çalışanı Üretkenlik çalışması Mobil veya Windows olmayan cihaz Authenticator uygulamasıyla parolasız oturum açma
Ön hat çalışanı Fabrika, tesis, perakende veya veri girişindeki bilgi noktaları Paylaşılan Windows 10 cihazları FIDO2 Güvenlik anahtarları

Sonraki adımlar

Microsoft Entra ID'de parolasız kullanmaya başlamak için aşağıdaki nasıl yapılır adımlarından birini tamamlayın: