Oturum açma olaylarının güvenliğini sağlamak için kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirme
Microsoft Entra ID'de kullanıcı oturum açma olaylarının güvenliğini sağlamak için Microsoft Entra çok faktörlü kimlik doğrulaması (MFA) gerektirebilirsiniz. Microsoft Entra MFA ile kullanıcıları korumanın en iyi yolu Koşullu Erişim ilkesi oluşturmaktır. Koşullu Erişim, belirli senaryolarda gerektiğinde MFA gerektirmek için kurallar uygulamanıza olanak tanıyan bir Microsoft Entra ID P1 veya P2 özelliğidir. Koşullu Erişim'i kullanmaya başlamak için bkz . Öğretici: Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama.
Koşullu Erişim içermeyen Microsoft Entra ID Ücretsiz kiracılarında, kullanıcıları korumak için güvenlik varsayılanlarını kullanabilirsiniz. Kullanıcılardan gerektiğinde MFA istenir, ancak davranışı denetlemek için kendi kurallarınızı tanımlayamazsınız.
Gerekirse, kullanıcı başına Microsoft Entra MFA için her hesabı etkinleştirebilirsiniz. Kullanıcıları tek tek etkinleştirdiğinizde, her oturum açtıklarında MFA gerçekleştirirler. Güvenilen IP adreslerinden oturum açmaları veya güvenilen cihazlarda MFA'yı anımsa özelliğinin açık olması gibi özel durumları etkinleştirebilirsiniz.
Microsoft Entra ID lisanslarınız Koşullu Erişim içermiyorsa ve güvenlik varsayılanlarını kullanmak istemiyorsanız kullanıcı durumlarının değiştirilmesi önerilmez. MFA'yı etkinleştirmenin farklı yolları hakkında daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması için özellikler ve lisanslar.
Önemli
Bu makalede, kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasının durumunu görüntüleme ve değiştirme işlemleri ayrıntılı olarak açıklanmaktadır. Koşullu Erişim veya güvenlik varsayılanlarını kullanıyorsanız, bu adımları kullanarak kullanıcı hesaplarını gözden geçirmez veya etkinleştirmezsiniz.
Koşullu Erişim ilkesi aracılığıyla Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmek kullanıcının durumunu değiştirmez. Kullanıcılar devre dışı görünüyorsa alarma alınmayın. Koşullu Erişim durumu değiştirmez.
Koşullu Erişim ilkeleri kullanıyorsanız kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasını etkinleştirmeyin veya uygulamayın.
Microsoft Entra çok faktörlü kimlik doğrulaması kullanıcı durumları
Kullanıcının durumu, kimlik doğrulama yöneticisinin bunları kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasına kaydedip kaydetmediğini yansıtır. Microsoft Entra çok faktörlü kimlik doğrulamasındaki kullanıcı hesaplarının aşağıdaki üç ayrı durumu vardır:
| Durum | Açıklama | Etkilenen eski kimlik doğrulaması | Etkilenen tarayıcı uygulamaları | Etkilenen modern kimlik doğrulaması |
|---|---|---|---|---|
| Devre dışı | Kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasına kayıtlı olmayan bir kullanıcının varsayılan durumu. | Hayır | Hayır | Hayır |
| Etkin | Kullanıcı, kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasına kaydedilir, ancak eski kimlik doğrulaması için parolasını kullanmaya devam edebilir. Kullanıcının kayıtlı MFA kimlik doğrulama yöntemi yoksa, modern kimlik doğrulaması kullanarak bir sonraki oturum açışında (örneğin, bir web tarayıcısında oturum açarken) kaydolması için bir istem alır. | Hayır Kayıt işlemi tamamlanana kadar eski kimlik doğrulaması çalışmaya devam eder. | Evet. Oturumun süresi dolduktan sonra Microsoft Entra çok faktörlü kimlik doğrulaması kaydı gereklidir. | Evet. Erişim belirtecinin süresi dolduktan sonra Microsoft Entra çok faktörlü kimlik doğrulaması kaydı gerekir. |
| Zorunlu | Kullanıcı, Microsoft Entra çok faktörlü kimlik doğrulamasına kullanıcı başına kaydedilir. Kullanıcının kayıtlı kimlik doğrulama yöntemi yoksa, modern kimlik doğrulaması kullanarak bir sonraki oturum açışında (örneğin, bir web tarayıcısında oturum açarken) kaydolması için bir istem alır. Etkin oldukları sırada kaydı tamamlayan kullanıcılar otomatik olarak Zorunlu duruma taşınır. | Evet. Uygulamalar için uygulama parolaları gerekir. | Evet. Oturum açma sırasında Microsoft Entra çok faktörlü kimlik doğrulaması gereklidir. | Evet. Oturum açma sırasında Microsoft Entra çok faktörlü kimlik doğrulaması gereklidir. |
Tüm kullanıcılar Devre Dışı olarak başlar. Kullanıcıları kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulamasına kaydettiğinizde, durumları Etkin olarak değişir. Etkinleştirilen kullanıcılar oturum açıp kayıt işlemini tamamladığında durumları Zorlandı olarak değişir. Yöneticiler, kullanıcıları Zorunlu'dan Etkin veya Devre Dışı'na kadar olan durumlar arasında taşıyabilir.
Not
Kullanıcı başına MFA bir kullanıcı üzerinde yeniden etkinleştirilirse ve kullanıcı yeniden kaydolmazsa, MFA durumu MFA yönetim kullanıcı arabiriminde Etkin'den Zorlanan'a geçiş yapmaz. Yöneticinin kullanıcıyı doğrudan Zorlanan'a taşıması gerekir.
Kullanıcı durumunu görüntüleme
Microsoft Entra yönetim merkezindeki kullanıcı başına MFA yönetim deneyimi yakın zamanda geliştirilmiştir. Kullanıcı durumlarını görüntülemek ve yönetmek için aşağıdaki adımları tamamlayın:
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
Bir kullanıcı hesabı seçin ve Kullanıcı MFA ayarları'nı tıklatın.
Herhangi bir değişiklik yaptıktan sonra Kaydet'e tıklayın.
Binlerce kullanıcıyı sıralamaya çalışırsanız, sonuç düzgün bir şekilde döndürülebilir Görüntülenecek kullanıcı yok. Aramayı daraltmak için daha belirli arama ölçütleri girmeyi veya belirli Durum veya Görünüm filtrelerini uygulamayı deneyin.
Yeni kullanıcı başına MFA deneyimine geçiş sırasında, eski kullanıcı başına MFA deneyimine de erişebilirsiniz. Biçim:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
almak userTenantIDiçin, Microsoft Entra yönetim merkezindeki Genel Bakış sayfasındaki kiracı kimliğini kopyalayın. Ardından, eski deneyime sahip bir kullanıcının durumunu görüntülemek için şu adımları izleyin:
- Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
- Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
- Kullanıcı başına MFA'yı seçin.
- Aşağıdaki örnekte gösterildiği gibi kullanıcı durumunu görüntüleyen yeni bir sayfa açılır.
Kullanıcının durumunu değiştirme
Bir kullanıcının kullanıcı başına Microsoft Entra çok faktörlü kimlik doğrulama durumunu değiştirmek için aşağıdaki adımları tamamlayın:
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Kimlik>Kullanıcılar>Tüm kullanıcılar seçeneğine gidin.
Bir kullanıcı hesabı seçin ve MFA'yı Etkinleştir'e tıklayın.
İpucu
Etkin kullanıcılar, Microsoft Entra çok faktörlü kimlik doğrulamasına kaydolduğunda otomatik olarak Zorlandı'ya geçer. Kullanıcı zaten kayıtlı değilse veya kullanıcının eski kimlik doğrulama protokolleriyle bağlantılarda kesinti yaşaması kabul edilebilir değilse, kullanıcı durumunu el ile Zorlandı olarak değiştirmeyin.
Açılan penceredeki seçiminizi onaylayın.
Kullanıcıları etkinleştirdikten sonra e-postayla bilgilendirin. Kullanıcılara, bir sonraki oturum açışında kaydolmalarını istemek için bir istem görüntülendiğini söyleyin. Kuruluşunuz tarayıcıda çalışmayan veya modern kimlik doğrulamayı desteklemeyen uygulamalar kullanıyorsa, uygulama parolaları oluşturabilirsiniz. Daha fazla bilgi için bkz . Uygulama parolalarını kullanarak eski uygulamalarla Microsoft Entra çok faktörlü kimlik doğrulamasını zorunlu kılma.
Kullanıcı başına MFA'yi yönetmek için Microsoft Graph kullanma
Microsoft Graph REST API Beta'sını kullanarak kullanıcı başına MFA ayarlarını yönetebilirsiniz. Kullanıcıların kimlik doğrulama yöntemi durumlarını kullanıma açmak için kimlik doğrulama kaynak türünü kullanabilirsiniz.
Kullanıcı başına MFA'yı yönetmek için users/id/authentication/requirements içindeki perUserMfaState özelliğini kullanın. Daha fazla bilgi için bkz . strongAuthenticationRequirements kaynak türü.
Kullanıcı başına MFA durumunu görüntüleme
Bir kullanıcının kullanıcı başına çok faktörlü kimlik doğrulama durumunu almak için:
GET /users/{id | userPrincipalName}/authentication/requirements
Örneğin:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Kullanıcı kullanıcı başına MFA için etkinleştirildiyse yanıt şu şekildedir:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Daha fazla bilgi için bkz . Kimlik doğrulama yöntemi durumlarını alma.
Kullanıcının MFA durumunu değiştirme
Kullanıcının çok faktörlü kimlik doğrulama durumunu değiştirmek için kullanıcının strongAuthenticationRequirements komutunu kullanın. Örneğin:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Başarılı olursa yanıt:
HTTP/1.1 204 No Content
Daha fazla bilgi için bkz . Kimlik doğrulama yöntemi durumlarını güncelleştirme.
Sonraki adımlar
Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırmak için bkz . Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırma.
Microsoft Entra çok faktörlü kimlik doğrulaması için kullanıcı ayarlarını yönetmek için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı ayarlarını yönetme.
Bir kullanıcıdan neden MFA gerçekleştirmesi istendiğini veya istenmediğini anlamak için bkz . Microsoft Entra çok faktörlü kimlik doğrulama raporları.