Microsoft Entra Id'de self servis parola sıfırlama geri yazma işlemi nasıl çalışır?
Microsoft Entra self servis parola sıfırlama (SSPR), kullanıcıların bulutta parolalarını sıfırlamasına olanak tanır, ancak çoğu şirketin kullanıcılar için şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamı da vardır. Parola geri yazma, Microsoft Entra Bağlan veya Microsoft Entra Bağlan bulut eşitlemesi kullanılarak buluttaki parola değişikliklerinin gerçek zamanlı olarak şirket içi dizine geri yazılmasını sağlar. Kullanıcılar bulutta SSPR kullanarak parolalarını değiştirdiğinde veya sıfırladığında, güncelleştirilmiş parolalar da şirket içi AD DS ortamına geri yazılır.
Önemli
Bu kavramsal makalede, bir yöneticiye self servis parola sıfırlama geri yazma işleminin nasıl çalıştığı açıklanmaktadır. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.
BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.
Parola geri yazma, aşağıdaki karma kimlik modellerini kullanan ortamlarda desteklenir:
Parola geri yazma aşağıdaki özellikleri sağlar:
- şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) parola ilkelerini zorlama: Kullanıcı parolasını sıfırladığında, bu dizine işlemeden önce şirket içi AD DS ilkenize uyduğundan emin olmak için denetlenir. Bu gözden geçirme geçmişi, karmaşıklığı, yaşı, parola filtrelerini ve AD DS'de tanımladığınız diğer parola kısıtlamalarını denetlemeyi içerir.
- Sıfır gecikmeli geri bildirim: Parola geri yazma zaman uyumlu bir işlemdir. Parolaları ilkeyi karşılamıyorsa veya herhangi bir nedenle sıfırlanamaz veya değiştirilemezse kullanıcılara hemen bildirim gönderilir.
- Erişim panelinden ve Microsoft 365'ten parola değişikliklerini destekler: Federasyon veya parola karması eşitlenmiş kullanıcılar süresi dolmuş veya süresi dolmamış parolalarını değiştirmeye geldiğinde, bu parolalar AD DS'ye geri yazılır.
- Yönetici tarafından Microsoft Entra yönetim merkezinden sıfırlandığında parola geri yazmayı destekler: Bir yönetici Microsoft Entra yönetim merkezinde bir kullanıcının parolasını sıfırladığında, bu kullanıcı federasyon veya parola karması eşitlenmişse, parola şirket içi ortamda yeniden yazılır. Bu işlev şu anda Office yönetici portalında desteklenmiyor.
- Gelen güvenlik duvarı kuralı gerektirmez: Parola geri yazma, temel alınan iletişim kanalı olarak Azure Service Bus geçişini kullanır. Tüm iletişim 443 numaralı bağlantı noktası üzerinden giden iletişimdir.
- Microsoft Entra Bağlan veya bulut eşitleme kullanarak, bağlantısı kesilmiş etki alanlarındaki kullanıcılar da dahil olmak üzere ihtiyaçlarına bağlı olarak farklı kullanıcı kümelerini hedeflemek için yan yana etki alanı düzeyinde dağıtımı destekler.
Dekont
Parola geri yazma isteklerini işleyen şirket içi hizmet hesabı, korumalı gruplara ait kullanıcıların parolalarını değiştiremez. Yönetici istrator'lar parolalarını bulutta değiştirebilir ancak şirket içi kullanıcıları için unutulan parolayı sıfırlamak için parola geri yazma özelliğini kullanamazlar. Korumalı gruplar hakkında daha fazla bilgi için bkz . AD DS'de korumalı hesaplar ve gruplar.
SSPR geri yazma ile çalışmaya başlamak için aşağıdaki öğreticilerden birini veya ikisini birden tamamlayın:
- Öğretici: Self servis parola sıfırlama (SSPR) geri yazmayı etkinleştirme
- Öğretici: Microsoft Entra Bağlan bulut eşitleme self servis parola sıfırlama geri yazmayı şirket içi ortama etkinleştirme (Önizleme)
Microsoft Entra Bağlan ve bulut eşitlemesi yan yana dağıtım
Farklı kullanıcı kümelerini hedeflemek için Microsoft Entra Bağlan ve bulut eşitlemesini farklı etki alanlarında yan yana dağıtabilirsiniz. Bu, mevcut kullanıcıların şirket birleşmesi veya bölünmesi nedeniyle bağlantısı kesilmiş etki alanlarındaki seçenekleri eklerken parola değişikliklerini geri yazmaya devam etmelerine yardımcı olur. Microsoft Entra Bağlan ve bulut eşitleme farklı etki alanlarında yapılandırılabilir, böylece bir etki alanındaki kullanıcılar Microsoft Entra Bağlan kullanırken, başka bir etki alanındaki kullanıcılar bulut eşitlemeyi kullanabilir. Bulut eşitleme, Microsoft Entra Bağlan'nin tek bir örneğine bağlı olmadığından daha yüksek kullanılabilirlik de sağlayabilir. İki dağıtım seçeneği arasında özellik karşılaştırması için bkz. Microsoft Entra Bağlan ile bulut eşitleme karşılaştırması.
Parola geri yazma nasıl çalışır?
Federasyon, parola karması eşitlemesi (veya Microsoft Entra Bağlan dağıtımında doğrudan kimlik doğrulaması) için yapılandırılan bir kullanıcı hesabı, buluttaki bir parolayı sıfırlamaya veya değiştirmeye çalıştığında aşağıdaki eylemler gerçekleşir:
Kullanıcının ne tür bir parolaya sahip olduğunu görmek için bir denetim gerçekleştirilir. Parola şirket içinde yönetiliyorsa:
- Geri yazma hizmetinin çalışır durumda olup olmadığını görmek için bir denetim gerçekleştirilir. Bu durumda, kullanıcı devam edebilir.
- Geri yazma hizmeti çalışmıyorsa, kullanıcıya parolasının şu anda sıfırlanamaz olduğu bildirilir.
Ardından, kullanıcı uygun kimlik doğrulama geçitlerini geçirir ve Parolayı sıfırla sayfasına ulaşır.
Kullanıcı yeni bir parola seçer ve bunu onaylar.
Kullanıcı Gönder'i seçtiğinde, düz metin parolası geri yazma kurulum işlemi sırasında oluşturulan bir ortak anahtarla şifrelenir.
Şifrelenmiş parola, kiracıya özgü hizmet veri yolu geçişinize (geri yazma kurulum işlemi sırasında sizin için ayarlanan) https kanalı üzerinden gönderilen bir yüke dahildir. Bu geçiş, yalnızca şirket içi yüklemenizin bildiği rastgele oluşturulmuş bir parolayla korunur.
İleti service bus'a ulaştıktan sonra parola sıfırlama uç noktası otomatik olarak uyanır ve bekleyen bir sıfırlama isteği olduğunu görür.
Hizmet daha sonra bulut bağlantısı özniteliğini kullanarak kullanıcıyı arar. Bu aramanın başarılı olması için aşağıdaki koşulların karşılanması gerekir:
- Kullanıcı nesnesi AD DS bağlayıcı alanında bulunmalıdır.
- Kullanıcı nesnesi, karşılık gelen meta veri deposu (MV) nesnesine bağlanmalıdır.
- Kullanıcı nesnesi, ilgili Microsoft Entra bağlayıcı nesnesine bağlanmalıdır.
- AD DS bağlayıcı nesnesinden MV'ye bağlantıda eşitleme kuralı
Microsoft.InfromADUserAccountEnabled.xxx
olmalıdır.
Çağrı buluttan geldiğinde, eşitleme altyapısı Microsoft Entra bağlayıcı alanı nesnesini aramak için cloudAnchor özniteliğini kullanır. Ardından MV nesnesine bağlantıyı ve ardından AD DS nesnesine bağlantıyı izler. Aynı kullanıcı için birden çok AD DS nesnesi (çok ormanlı) olabileceğinden, eşitleme altyapısı doğru olanı seçmek için bağlantıya dayanır
Microsoft.InfromADUserAccountEnabled.xxx
.Kullanıcı hesabı bulunduktan sonra, parolayı doğrudan uygun AD DS ormanında sıfırlama girişimi yapılır.
Parola ayarlama işlemi başarılı olursa, kullanıcıya parolasının değiştirildiği söylenir.
Dekont
Kullanıcının parola karması, parola karması eşitleme kullanılarak Microsoft Entra Id ile eşitlenirse, şirket içi parola ilkesinin bulut parola ilkesinden daha zayıf olma olasılığı vardır. Bu durumda, şirket içi ilke zorlanır. Bu ilke, çoklu oturum açma sağlamak için parola karması eşitleme veya federasyon kullanmanız fark etmez, şirket içi ilkenizin bulutta uygulanmasını sağlar.
Parola ayarlama işlemi başarısız olursa, kullanıcıdan yeniden denemesini isteyen bir hata oluşur. İşlem aşağıdaki nedenlerden dolayı başarısız olabilir:
- Servis çalışmıyordu.
- Seçtikleri parola kuruluşun ilkelerine uymuyor.
- Kullanıcı yerel AD DS ortamında bulunamıyor.
Hata iletileri, kullanıcılara yönetici müdahalesi olmadan çözmeyi deneyebilmeleri için rehberlik sağlar.
Parola geri yazma güvenliği
Parola geri yazma son derece güvenli bir hizmettir. Bilgilerinizin korunduğundan emin olmak için dört katmanlı bir güvenlik modeli aşağıdaki gibi etkinleştirilir:
- Kiracıya özgü hizmet veri yolu geçişi
- Hizmeti ayarladığınızda, Microsoft'un hiçbir zaman erişemeyecekleri rastgele oluşturulmuş güçlü bir parolayla korunan kiracıya özgü bir hizmet veri yolu geçişi ayarlanır.
- Kilitlenmiş, şifreleme açısından güçlü, parola şifreleme anahtarı
- Servis veri yolu geçişi oluşturulduktan sonra, kablo üzerinden gelen parolayı şifrelemek için kullanılan güçlü bir simetrik anahtar oluşturulur. Bu anahtar yalnızca şirketinizin buluttaki gizli dizi deposunda bulunur ve bu depo da dizindeki diğer tüm parolalar gibi yoğun bir şekilde kilitlenir ve denetlenir.
- Endüstri standardı Aktarım Katmanı Güvenliği (TLS)
- Bulutta parola sıfırlama veya değiştirme işlemi gerçekleştiğinde, düz metin parola ortak anahtarınız ile şifrelenir.
- Şifrelenmiş parola, service bus geçişinize Microsoft TLS/SSL sertifikaları kullanılarak şifrelenmiş bir kanal üzerinden gönderilen bir HTTPS iletisine yerleştirilir.
- İleti service bus'a ulaştıktan sonra, şirket içi aracınız uyanır ve daha önce oluşturulmuş güçlü parolayı kullanarak hizmet veri yolu kimlik doğrulaması yapar.
- Şirket içi aracı şifrelenmiş iletiyi alır ve özel anahtarı kullanarak şifresini çözer.
- Şirket içi aracı, AD DS SetPassword API'sini kullanarak parolayı ayarlamaya çalışır. Bu adım, AD DS şirket içi parola ilkenizin (karmaşıklık, yaş, geçmiş ve filtreler gibi) bulutta uygulanmasına olanak tanıyan adımdır.
- İleti süre sonu ilkeleri
- İleti, şirket içi hizmetiniz devre dışı olduğu için hizmet veri yolu içinde yer alırsa zaman aşımına uğrar ve birkaç dakika sonra kaldırılır. İletinin zaman aşımı ve kaldırılması güvenliği daha da artırır.
Parola geri yazma şifreleme ayrıntıları
Kullanıcı parola sıfırlamayı gönderdikten sonra, sıfırlama isteği şirket içi ortamınıza ulaşmadan önce birkaç şifreleme adımından geçer. Bu şifreleme adımları maksimum hizmet güvenilirliği ve güvenliği sağlar. Bunlar aşağıdaki gibi açıklanmıştır:
- 2048 bit RSA Anahtarı ile parola şifrelemesi: Kullanıcı şirket içinde yeniden yazılacak bir parola gönderdikten sonra, gönderilen parolanın kendisi 2048 bit RSA anahtarıyla şifrelenir.
- 256 bit AES-GCM ile paket düzeyinde şifreleme: Tüm paket, parola ve gerekli meta veriler AES-GCM kullanılarak şifrelenir (anahtar boyutu 256 bittir). Bu şifreleme, temel alınan Service Bus kanalına doğrudan erişimi olan herkesin içeriği görüntülemesini veya içeriği değiştirmesini engeller.
- Tüm iletişim TLS/SSL üzerinden gerçekleşir: Service Bus ile tüm iletişim bir SSL/TLS kanalında gerçekleşir. Bu şifreleme, içeriği yetkisiz üçüncü tarafların güvenliğini sağlar.
- Altı ayda bir otomatik anahtar geçişi: Tüm anahtarlar altı ayda bir veya her parola geri yazma devre dışı bırakılıp Microsoft Entra Bağlan'da yeniden etkinleştirildiğinde maksimum hizmet güvenliği ve güvenliği sağlamak için kullanılır.
Parola geri yazma bant genişliği kullanımı
Parola geri yazma, aşağıdaki durumlarda yalnızca şirket içi aracıya istek gönderen düşük bant genişliğine sahip bir hizmettir:
- Özellik Microsoft Entra Bağlan aracılığıyla etkinleştirildiğinde veya devre dışı bırakıldığında iki ileti gönderilir.
- Hizmet çalıştığı sürece beş dakikada bir hizmet sinyali olarak bir ileti gönderilir.
- Her yeni parola gönderildiğinde iki ileti gönderilir:
- İlk ileti, işlemi gerçekleştirme isteğidir.
- İkinci ileti işlemin sonucunu içerir ve aşağıdaki durumlarda gönderilir:
- Kullanıcı self servis parola sıfırlama sırasında her yeni parola gönderildiğinde.
- Kullanıcı parolası değiştirme işlemi sırasında her yeni parola gönderildiğinde.
- Yönetici tarafından başlatılan kullanıcı parola sıfırlaması sırasında her yeni parola gönderildiğinde (yalnızca Azure yönetici portallarından).
İleti boyutu ve bant genişliğiyle ilgili dikkat edilmesi gerekenler
Daha önce açıklanan iletilerden her birinin boyutu genellikle 1 KB'ın altındadır. Aşırı yükler altında bile parola geri yazma hizmeti saniyede birkaç kilobit bant genişliği tüketiyor. Her ileti gerçek zamanlı olarak gönderildiğinden, yalnızca parola güncelleştirme işlemi gerektirdiğinde ve ileti boyutu çok küçük olduğundan, geri yazma özelliğinin bant genişliği kullanımı ölçülebilir bir etkiye sahip olamayacak kadar küçüktür.
Desteklenen geri yazma işlemleri
Parolalar aşağıdaki durumlarda geri yazılır:
Desteklenen son kullanıcı işlemleri
Desteklenen yönetici işlemleri
- Herhangi bir yönetici self servis isteğe bağlı parola değiştirme işlemi.
- Herhangi bir yönetici self servis parolayı değiştirmeye zorlar, örneğin parola süre sonu.
- Parola sıfırlama portalından kaynaklanan tüm yönetici self servis parola sıfırlamaları.
- Microsoft Entra yönetim merkezinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
- Microsoft Graph API'sinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Desteklenmeyen geri yazma işlemleri
Parolalar aşağıdaki durumlardan hiçbirinde geri yazılamaz:
- Desteklenmeyen son kullanıcı işlemleri
- PowerShell sürüm 1, sürüm 2 veya Microsoft Graph API'sini kullanarak kendi parolasını sıfırlayan son kullanıcı.
- Desteklenmeyen yönetici işlemleri
- PowerShell sürüm 1 veya sürüm 2'den yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
- Microsoft 365 yönetim merkezi yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
- Hiçbir yönetici parola geri yazma için parola sıfırlama aracını kullanarak kendi parolasını sıfırlayamaz.
Uyarı
Active Directory Kullanıcıları ve Bilgisayarları veya Active Directory Yönetici istrative Center gibi şirket içi AD DS yönetim araçlarında "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" onay kutusunun kullanılması Microsoft Entra Bağlan'nin önizleme özelliği olarak desteklenir. Daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync ile parola karması eşitlemesi uygulama.
Dekont
Bir kullanıcı Active Directory'de (AD) "Parolanın süresi hiç dolmaz" seçeneğine sahipse, parola değişikliğini zorla bayrağı Active Directory'de (AD) ayarlanmaz, bu nedenle yönetici tarafından başlatılan son kullanıcı parola sıfırlaması sırasında kullanıcıyı bir sonraki oturum açmada parolasını değiştirmeye zorlama seçeneği seçili olsa bile kullanıcıdan sonraki oturum açma sırasında parolayı değiştirmesi istenmez.
Sonraki adımlar
SSPR geri yazma ile çalışmaya başlamak için aşağıdaki öğreticiyi tamamlayın: