Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama yöntemini seçin

Uygulamalarını buluta taşımak isteyen kuruluşlar için ilk sorun doğru kimlik doğrulama yönteminin seçilmesidir. Aşağıdaki nedenlerle bu kararı hafife almayın:

  1. Buluta geçmek isteyen bir kuruluş için ilk karardır.

  2. Kimlik doğrulama yöntemi, bir kuruluşun buluttaki varlığının kritik bir bileşenidir. Tüm bulut verilerine ve kaynaklarına erişimi denetler.

  3. Microsoft Entra Id'deki diğer tüm gelişmiş güvenlik ve kullanıcı deneyimi özelliklerinin temelini oluşturur.

Kimlik, BT güvenliğinin yeni denetim düzlemidir, bu nedenle kimlik doğrulaması kuruluşun yeni bulut dünyasına erişim korumasıdır. Kuruluşların güvenliklerini güçlendiren ve bulut uygulamalarını davetsiz misafirlere karşı güvende tutan bir kimlik denetim düzlemi gerekir.

Not

Kimlik doğrulama yönteminizi değiştirmek için planlama, test ve kapalı kalma süresi gerekebilir. Aşamalı dağıtım , kullanıcıların federasyondan bulut kimlik doğrulamasına geçişlerini test etmenin harika bir yoludur.

Kapsam dışı

Şirket içi dizin ayak izi olmayan kuruluşlar bu makalenin odağı değildir. Genellikle bu işletmeler yalnızca bulutta kimlik oluşturur ve bu da karma kimlik çözümü gerektirmez. Yalnızca bulut kimlikleri yalnızca bulutta bulunur ve karşılık gelen şirket içi kimliklerle ilişkilendirilmeyen kimlikler.

Kimlik doğrulama yöntemleri

Microsoft Entra karma kimlik çözümü yeni denetim düzleminiz olduğunda, kimlik doğrulaması bulut erişiminin temelini oluşturur. Doğru kimlik doğrulama yöntemini seçmek, Microsoft Entra karma kimlik çözümünü ayarlamada önemli bir ilk karardır. Seçtiğiniz kimlik doğrulama yöntemi, buluttaki kullanıcıları da sağlayan Microsoft Entra Connect kullanılarak yapılandırılır.

Bir kimlik doğrulama yöntemi seçmek için zaman, mevcut altyapı, karmaşıklık ve seçiminizi uygulama maliyetini göz önünde bulundurmanız gerekir. Bu faktörler her kuruluş için farklıdır ve zaman içinde değişebilir.

Microsoft Entra ID, karma kimlik çözümleri için aşağıdaki kimlik doğrulama yöntemlerini destekler.

Bulut kimlik doğrulaması

Bu kimlik doğrulama yöntemini seçtiğinizde, Microsoft Entra Id kullanıcıların oturum açma işlemini işler. Kullanıcılar, çoklu oturum açma (SSO) ile birlikte kimlik bilgilerini yeniden girmeden bulut uygulamalarında oturum açabilir. Bulut kimlik doğrulaması ile iki seçenek arasından seçim yapabilirsiniz:

Microsoft Entra parola karması eşitlemesi. Microsoft Entra ID'de şirket içi dizin nesneleri için kimlik doğrulamasını etkinleştirmenin en basit yolu. Kullanıcılar, başka bir altyapı dağıtmak zorunda kalmadan şirket içinde kullandıkları aynı kullanıcı adını ve parolayı kullanabilir. Microsoft Entra Kimlik Koruması ve Microsoft Entra Domain Services gibi Microsoft Entra Id'nin bazı premium özellikleri, hangi kimlik doğrulama yöntemini seçerseniz seçin parola karması eşitlemesi gerektirir.

Not

Parolalar hiçbir zaman düz metinde depolanmaz veya Microsoft Entra Id'de geri çevrilebilir bir algoritmayla şifrelenmez. Gerçek parola karması eşitleme işlemi hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync ile parola karması eşitlemesi uygulama.

Microsoft Entra doğrudan kimlik doğrulaması. Bir veya daha fazla şirket içi sunucuda çalışan bir yazılım aracısı kullanarak Microsoft Entra kimlik doğrulama hizmetleri için basit bir parola doğrulaması sağlar. Sunucular kullanıcıları doğrudan şirket içi Active Directory doğrular ve bu da parola doğrulamasının bulutta gerçekleşmemesini sağlar.

Şirket içi kullanıcı hesabı durumlarını, parola ilkelerini ve oturum açma saatlerini hemen zorunlu kılmak için güvenlik gereksinimi olan şirketler bu kimlik doğrulama yöntemini kullanabilir. Gerçek geçiş kimlik doğrulaması işlemi hakkında daha fazla bilgi için bkz . Microsoft Entra doğrudan kimlik doğrulaması ile kullanıcı oturumu açma.

Federasyon kimlik doğrulaması

Bu kimlik doğrulama yöntemini seçtiğinizde Microsoft Entra ID, kullanıcının parolasını doğrulamak için kimlik doğrulama işlemini şirket içi Active Directory Federasyon Hizmetleri (AD FS) gibi ayrı bir güvenilir kimlik doğrulama sistemine devreder.

Kimlik doğrulama sistemi, üçüncü taraf çok faktörlü kimlik doğrulaması gibi diğer gelişmiş kimlik doğrulama gereksinimlerini sağlayabilir.

Aşağıdaki bölüm, karar ağacı kullanarak hangi kimlik doğrulama yönteminin sizin için doğru olduğuna karar vermenize yardımcı olur. Microsoft Entra karma kimlik çözümünüz için bulut veya federasyon kimlik doğrulaması dağıtılıp dağıtılmayacağını belirlemenize yardımcı olur.

Karar ağacı

Microsoft Entra kimlik doğrulaması karar ağacı

Karar sorularıyla ilgili ayrıntılar:

  1. Microsoft Entra Id, parolaları doğrulamak için şirket içi bileşenlere güvenmeden kullanıcılar için oturum açmayı işleyebilir.
  2. Microsoft Entra Id, kullanıcı oturum açma bilgilerini Microsoft'un AD FS'si gibi güvenilir bir kimlik doğrulama sağlayıcısına devredebilir.
  3. Her kullanıcı oturum açma işleminde hesap süresi doldu, devre dışı bırakılmış hesap, parola süresi doldu, hesap kilitlendi ve oturum açma saatleri gibi kullanıcı düzeyinde Active Directory güvenlik ilkelerini uygulamanız gerekiyorsa, Microsoft Entra Id bazı şirket içi bileşenleri gerektirir.
  4. Microsoft Entra Id tarafından yerel olarak desteklenmeyen oturum açma özellikleri:
    • Üçüncü taraf kimlik doğrulama çözümünü kullanarak oturum açın.
    • Çok siteli şirket içi kimlik doğrulama çözümü.
  5. Microsoft Entra Kimlik Koruması, hangi oturum açma yöntemini seçerseniz seçin parola karması eşitlemesi gerektirirKimlik bilgileri sızan kullanıcılar raporu. Kuruluşlar, birincil oturum açma yöntemleri başarısız olursa ve hata olayından önce yapılandırıldıysa Parola Karması Eşitleme'ye yük devredebilir.

Not

Microsoft Entra Kimlik Koruması gerektirir Microsoft Entra Id P2 lisansları.

Ayrıntılı dikkat edilmesi gerekenler

Bulut kimlik doğrulaması: Parola karması eşitlemesi

  • Çaba. Parola karması eşitlemesi için dağıtım, bakım ve altyapıyla ilgili en az çaba gerekir. Bu çaba düzeyi genellikle yalnızca kullanıcılarının Microsoft 365, SaaS uygulamaları ve diğer Microsoft Entra ID tabanlı kaynaklarda oturum açmasına ihtiyaç duyan kuruluşlar için geçerlidir. Parola karması eşitlemesi açıldığında, Microsoft Entra Connect Eşitleme işleminin bir parçasıdır ve iki dakikada bir çalışır.

  • Kullanıcı deneyimi. Kullanıcıların oturum açma deneyimini geliştirmek için Microsoft Entra'ya katılmış cihazları veya Microsoft Entra karma katılmış cihazları kullanın. Windows cihazlarınızı Microsoft Entra ID'ye katamıyorsanız, parola karması eşitlemesi ile sorunsuz SSO dağıtmanızı öneririz. Sorunsuz SSO, kullanıcılar oturum açtığında gereksiz istemleri ortadan kaldırır.

  • Gelişmiş senaryolar. Kuruluşlar tercih ederse, Microsoft Entra Id P2 ile Microsoft Entra Kimlik Koruması raporlarıyla kimliklerden içgörüler kullanmak mümkündür. Bir örnek, sızdırılan kimlik bilgileri raporudur. İş İçin Windows Hello, parola karması eşitlemesi kullanırken belirli gereksinimlere sahiptir. Microsoft Entra Domain Services , kullanıcılara yönetilen etki alanında kurumsal kimlik bilgilerini sağlamak için parola karması eşitlemesi gerektirir.

    Parola karması eşitlemesi ile çok faktörlü kimlik doğrulaması gerektiren kuruluşların Microsoft Entra çok faktörlü kimlik doğrulamasını veya Koşullu Erişim özel denetimlerini kullanması gerekir. Bu kuruluşlar, federasyon kullanan üçüncü taraf veya şirket içi çok faktörlü kimlik doğrulama yöntemlerini kullanamaz.

Not

Microsoft Entra Koşullu Erişim için Microsoft Entra ID P1 lisansları gerekir.

  • İş sürekliliği. Parola karması eşitlemesini bulut kimlik doğrulamasıyla kullanmak, tüm Microsoft veri merkezlerine ölçeklendirilen bir bulut hizmeti olarak yüksek oranda kullanılabilir. Parola karması eşitlemenin uzun süreler boyunca kapanmadığından emin olmak için bekleme yapılandırmasında hazırlama modunda ikinci bir Microsoft Entra Connect sunucusu dağıtın.

  • Dikkat edilmesi gerekenler. Şu anda, parola karması eşitlemesi şirket içi hesap durumlarında değişiklikleri hemen zorunlu kılmaz. Bu durumda, kullanıcı hesabı durumu Microsoft Entra Id ile eşitlenene kadar kullanıcının bulut uygulamalarına erişimi vardır. Yöneticiler şirket içi kullanıcı hesabı durumlarında toplu güncelleştirmeler yaptıktan sonra kuruluşlar yeni bir eşitleme döngüsü çalıştırarak bu sınırlamayı aşmak isteyebilir. Hesapları devre dışı bırakmak örnek olarak verilmiştir.

Not

Parolanın süresi doldu ve hesabın kilitlenme durumları şu anda Microsoft Entra Connect ile Microsoft Entra Id ile eşitlenmiyor. Bir kullanıcının parolasını değiştirdiğinizde ve kullanıcının bir sonraki oturum açma bayrağında parolayı değiştirmesi gerektiğini ayarladığınızda, kullanıcı parolasını değiştirene kadar parola karması Microsoft Entra Connect ile Microsoft Entra Id ile eşitlenmez.

Dağıtım adımları için parola karması eşitlemesi uygulama bölümüne bakın.

Bulut kimlik doğrulaması: Doğrudan Kimlik Doğrulaması

  • Çaba. Doğrudan kimlik doğrulaması için, mevcut sunucularda bir veya daha fazla (üç adet) basit aracı yüklü olmalıdır. Bu aracıların, şirket içi AD etki alanı denetleyicileriniz de dahil olmak üzere şirket içi Active Directory Etki Alanı Hizmetlerinize erişimi olmalıdır. İnternet'e giden erişime ve etki alanı denetleyicilerinize erişmeleri gerekir. Bu nedenle, aracıların bir çevre ağına dağıtılması desteklenmez.

    Doğrudan Kimlik Doğrulaması, etki alanı denetleyicilerine sınırsız ağ erişimi gerektirir. Tüm ağ trafiği şifrelenir ve kimlik doğrulama istekleriyle sınırlıdır. Bu işlem hakkında daha fazla bilgi için bkz . Doğrudan kimlik doğrulamasıyla ilgili ayrıntılı güvenlik bilgileri.

  • Kullanıcı deneyimi. Kullanıcıların oturum açma deneyimini geliştirmek için Microsoft Entra'ya katılmış cihazları veya Microsoft Entra karma katılmış cihazları kullanın. Windows cihazlarınızı Microsoft Entra ID'ye katamıyorsanız, parola karması eşitlemesi ile sorunsuz SSO dağıtmanızı öneririz. Sorunsuz SSO, kullanıcılar oturum açtığında gereksiz istemleri ortadan kaldırır.

  • Gelişmiş senaryolar. Doğrudan Kimlik Doğrulaması, oturum açma sırasında şirket içi hesap ilkesini zorlar. Örneğin, şirket içi kullanıcının hesap durumu devre dışı bırakıldığında, kilitlendiğinde veya parolasının süresi dolduğunda ya da oturum açma girişimi kullanıcının oturum açmasına izin verilen saatler dışında kaldığında erişim reddedilir.

    Geçiş kimlik doğrulaması ile çok faktörlü kimlik doğrulaması gerektiren kuruluşların Microsoft Entra çok faktörlü kimlik doğrulamasını veya Koşullu Erişim özel denetimlerini kullanması gerekir. Bu kuruluşlar federasyona dayalı bir üçüncü taraf veya şirket içi çok faktörlü kimlik doğrulama yöntemini kullanamaz. Gelişmiş özellikler, geçişli kimlik doğrulamasını seçseniz de seçmeseniz de parola karması eşitlemenin dağıtılmalarını gerektirir. Microsoft Entra Kimlik Koruması sızdırılan kimlik bilgileri algılaması örnek olarak verilmiştir.

  • İş sürekliliği. fazladan iki geçişli kimlik doğrulama aracısını dağıtmanızı öneririz. Bu ek öğeler, Microsoft Entra Connect sunucusundaki ilk aracıya ek olarak sunulur. Bu diğer dağıtım, kimlik doğrulama isteklerinin yüksek kullanılabilirliğini sağlar. Dağıtılan üç aracınız olduğunda, başka bir aracı bakım için kapandığında bir aracı yine başarısız olabilir.

    Geçiş kimlik doğrulamasına ek olarak parola karması eşitlemesini dağıtmanın başka bir avantajı da vardır. Birincil kimlik doğrulama yöntemi artık kullanılabilir olmadığında bir yedekleme kimlik doğrulama yöntemi işlevi görür.

  • Dikkat edilmesi gerekenler. Aracılar önemli bir şirket içi hata nedeniyle kullanıcının kimlik bilgilerini doğrulayamazsa, parola karması eşitlemesini doğrudan kimlik doğrulaması için bir yedekleme kimlik doğrulama yöntemi olarak kullanabilirsiniz. Parola karması eşitlemesine yük devretme otomatik olarak gerçekleşmez ve oturum açma yöntemini el ile değiştirmek için Microsoft Entra Connect'i kullanmanız gerekir.

    Geçiş Kimlik Doğrulaması ile ilgili Diğer Kimlik desteği de dahil olmak üzere diğer önemli noktalar için sık sorulan sorulara bakın.

Dağıtım adımları için doğrudan kimlik doğrulaması uygulama bölümüne bakın.

Federasyon kimlik doğrulaması

  • Çaba. Federasyon kimlik doğrulama sistemi, kullanıcıların kimliğini doğrulamak için harici bir güvenilen sisteme dayanır. Bazı şirketler mevcut federasyon sistemi yatırımlarını Microsoft Entra karma kimlik çözümüyle yeniden kullanmak istiyor. Federasyon sisteminin bakımı ve yönetimi, Microsoft Entra Id denetiminin dışındadır. Güvenli bir şekilde dağıtıldığından ve kimlik doğrulama yükünü işleyebileceğinden emin olmak için federasyon sistemini kullanarak kuruluşa bağlıdır.

  • Kullanıcı deneyimi. Federasyon kimlik doğrulamasının kullanıcı deneyimi, federasyon grubunun özelliklerinin, topolojisinin ve yapılandırmasının uygulanmasına bağlıdır. Bazı kuruluşlar, federasyon grubuna erişimi güvenlik gereksinimlerine uyacak şekilde uyarlamak ve yapılandırmak için bu esnekliğe ihtiyaç duyar. Örneğin, şirket içinde bağlı kullanıcıları ve cihazları kimlik bilgileri istemeden otomatik olarak oturum açmak üzere yapılandırmak mümkündür. Bu yapılandırma, cihazlarında zaten oturum açtığından çalışır. Gerekirse, bazı gelişmiş güvenlik özellikleri kullanıcıların oturum açma işlemlerini daha zor hale getirir.

  • Gelişmiş senaryolar. Müşterilerin Microsoft Entra Id'nin yerel olarak desteklemediği bir kimlik doğrulaması gereksinimi olduğunda bir federasyon kimlik doğrulaması çözümü gerekir. Doğru oturum açma seçeneğini belirlemenize yardımcı olacak ayrıntılı bilgilere bakın. Aşağıdaki yaygın gereksinimleri göz önünde bulundurun:

    • Federasyon kimlik sağlayıcısı gerektiren üçüncü taraf çok faktörlü sağlayıcılar.
    • Üçüncü taraf kimlik doğrulama çözümlerini kullanarak kimlik doğrulaması. Bkz. Microsoft Entra federasyon uyumluluk listesi.
    • Kullanıcı Asıl Adı (UPN) yerine, örneğin ETKİALANI\kullanıcıadı gibi bir sAMAccountName gerektiren oturum açın. Örneğin, user@domain.com.
  • İş sürekliliği. Federasyon sistemleri genellikle grup olarak bilinen yük dengeli bir sunucu dizisi gerektirir. Bu grup, kimlik doğrulama istekleri için yüksek kullanılabilirlik sağlamak üzere bir iç ağ ve çevre ağı topolojisinde yapılandırılır.

    Birincil kimlik doğrulama yöntemi artık kullanılabilir olmadığında, yedek kimlik doğrulama yöntemi olarak federasyon kimlik doğrulamasıyla birlikte parola karması eşitlemesini dağıtın. Şirket içi sunucuların kullanılamamalarına örnek olarak verilmiştir. Bazı büyük kurumsal kuruluşlar, düşük gecikmeli kimlik doğrulama istekleri için coğrafi DNS ile yapılandırılmış birden çok İnternet giriş noktası desteklemek için bir federasyon çözümüne ihtiyaç duyar.

  • Dikkat edilmesi gerekenler. Federasyon sistemleri genellikle şirket içi altyapıya daha önemli bir yatırım gerektirir. Çoğu kuruluş, şirket içi federasyon yatırımına sahipse bu seçeneği kullanır. Tek kimlikli bir sağlayıcı kullanmak güçlü bir iş gereksinimiyse. Federasyon, bulut kimlik doğrulaması çözümlerine kıyasla daha karmaşık çalışır ve sorun giderilir.

Microsoft Entra ID'de doğrulanamayan yönlendirilemez bir etki alanı için, kullanıcı kimliği oturum açma işlemini uygulamak için ek yapılandırmaya ihtiyacınız vardır. Bu gereksinim Alternatif oturum açma kimliği desteği olarak bilinir. Sınırlamalar ve gereksinimler için bkz . Alternatif Oturum Açma Kimliğini Yapılandırma. Federasyon ile üçüncü taraf çok faktörlü kimlik doğrulama sağlayıcısı kullanmayı seçerseniz, sağlayıcının cihazların Microsoft Entra Id'ye katılmasına izin vermek için WS-Trust'ı desteklediğinden emin olun.

Dağıtım adımları için Federasyon Sunucularını Dağıtma bölümüne bakın.

Not

Microsoft Entra karma kimlik çözümünüzü dağıtırken, Microsoft Entra Connect'in desteklenen topolojilerinden birini uygulamanız gerekir. Microsoft Entra Connect için Topolojiler bölümünde desteklenen ve desteklenmeyen yapılandırmalar hakkında daha fazla bilgi edinin.

Mimari diyagramları

Aşağıdaki diyagramlarda, Microsoft Entra karma kimlik çözümünüzle kullanabileceğiniz her kimlik doğrulama yöntemi için gereken üst düzey mimari bileşenleri özetlenmektedir. Çözümler arasındaki farkları karşılaştırmanıza yardımcı olacak bir genel bakış sağlar.

  • Parola karması eşitleme çözümünün basitliği:

    Parola karması eşitlemesi ile Microsoft Entra karma kimliği

  • Yedeklilik için iki aracı kullanarak doğrudan kimlik doğrulamasının aracı gereksinimleri:

    Doğrudan Kimlik Doğrulaması ile Microsoft Entra karma kimliği

  • Kuruluşunuzun çevre ve iç ağında federasyon için gereken bileşenler:

    Federasyon kimlik doğrulaması ile Microsoft Entra karma kimliği

Yöntemleri karşılaştırma

Saygı Parola karması eşitleme Doğrudan Kimlik Doğrulaması AD FS ile federasyon
Kimlik doğrulaması nerede gerçekleşir? Bulutta Bulutta, şirket içi kimlik doğrulama aracısı ile güvenli bir parola doğrulama değişiminden sonra Şirket içi
Sağlama sisteminin ötesinde şirket içi sunucu gereksinimleri nelerdir: Microsoft Entra Connect? Hiç kimse Her ek kimlik doğrulama aracısı için bir sunucu İki veya daha fazla AD FS sunucusu

Çevre/DMZ ağında iki veya daha fazla WAP sunucusu
Şirket içi İnternet ve sağlama sisteminin ötesinde ağ oluşturma gereksinimleri nelerdir? Hiç kimse Kimlik doğrulama aracılarını çalıştıran sunuculardan giden İnternet erişimi Çevredeki WAP sunucularına gelen İnternet erişimi

Çevredeki WAP sunucularından AD FS sunucularına gelen ağ erişimi

Ağ yükü dengeleme
TLS/SSL sertifika gereksinimi var mı? Hayır Hayır Evet
Sistem durumu izleme çözümü var mı? Gerekli değil Microsoft Entra yönetim merkezi tarafından sağlanan aracı durumu Microsoft Entra Connect Health
Kullanıcılar, şirket ağındaki etki alanına katılmış cihazlardan bulut kaynaklarında çoklu oturum açma hizmeti alır mı? Evet: Microsoft Entra'ya katılmış cihazlar, Microsoft Entra karma katılmış cihazlar, Apple cihazları için Microsoft Enterprise SSO eklentisi veya Sorunsuz SSO Evet: Microsoft Entra'ya katılmış cihazlar, Microsoft Entra karma katılmış cihazlar, Apple cihazları için Microsoft Enterprise SSO eklentisi veya Sorunsuz SSO Evet
Hangi oturum açma türleri desteklenir? UserPrincipalName + parola

Sorunsuz SSO kullanarak Windows Ile Tümleşik Kimlik Doğrulaması

Alternatif oturum açma kimliği

Microsoft Entra'ya katılmış Cihazlar

Microsoft Entra hibrite katılmış cihazlar

Sertifika ve akıllı kart kimlik doğrulaması
UserPrincipalName + parola

Sorunsuz SSO kullanarak Windows Ile Tümleşik Kimlik Doğrulaması

Alternatif oturum açma kimliği

Microsoft Entra'ya katılmış Cihazlar

Microsoft Entra hibrite katılmış cihazlar

Sertifika ve akıllı kart kimlik doğrulaması
UserPrincipalName + parola

sAMAccountName + parola

Windows Tümleşik Kimlik Doğrulaması

Sertifika ve akıllı kart kimlik doğrulaması

Alternatif oturum açma kimliği
İş İçin Windows Hello destekleniyor mu? Anahtar güven modeli

Hibrit Bulut Güveni
Anahtar güven modeli

Hibrit Bulut Güveni

Her ikisi de Windows Server 2016 Etki Alanı işlev düzeyi gerektirir
Anahtar güven modeli

Hibrit Bulut Güveni

Sertifika güven modeli
Çok faktörlü kimlik doğrulama seçenekleri nelerdir? Microsoft Entra çok faktörlü kimlik doğrulaması

Koşullu Erişimli Özel Denetimler*
Microsoft Entra çok faktörlü kimlik doğrulaması

Koşullu Erişimli Özel Denetimler*
Microsoft Entra çok faktörlü kimlik doğrulaması

Üçüncü taraf MFA

Koşullu Erişimli Özel Denetimler*
Hangi kullanıcı hesabı durumları desteklenir? Devre dışı bırakılan hesaplar
(30 dakikaya kadar gecikme)
Devre dışı bırakılan hesaplar

Hesap kilitlendi

Hesabın süresi doldu

Parolanın süresi doldu

Oturum açma saatleri
Devre dışı bırakılan hesaplar

Hesap kilitlendi

Hesabın süresi doldu

Parolanın süresi doldu

Oturum açma saatleri
Koşullu Erişim seçenekleri nelerdir? Microsoft Entra Id P1 veya P2 ile Microsoft Entra Koşullu Erişim Microsoft Entra Id P1 veya P2 ile Microsoft Entra Koşullu Erişim Microsoft Entra Id P1 veya P2 ile Microsoft Entra Koşullu Erişim

AD FS talep kuralları
Eski protokolleri engelleme destekleniyor mu? Evet Evet Evet
Oturum açma sayfalarında logo, resim ve açıklamayı özelleştirebilir misiniz? Evet, Microsoft Entra ID P1 veya P2 ile Evet, Microsoft Entra ID P1 veya P2 ile Evet
Hangi gelişmiş senaryolar desteklenir? Akıllı parola kilitleme

Microsoft Entra ID P2 ile sızdırılan kimlik bilgileri raporları
Akıllı parola kilitleme Çok siteli düşük gecikmeli kimlik doğrulama sistemi

AD FS extranet kilitleme

Üçüncü taraf kimlik sistemleriyle tümleştirme

Not

Microsoft Entra Koşullu Erişim'deki özel denetimler şu anda cihaz kaydını desteklememektedir.

Öneri

Kimlik sisteminiz, kullanıcılarınızın geçiş yaptığınız ve bulutta kullanıma sağladığınız uygulamalara erişmesini sağlar. Aşağıdaki nedenlerle, seçtiğiniz kimlik doğrulama yöntemiyle parola karması eşitlemesini kullanın veya etkinleştirin:

  1. Yüksek kullanılabilirlik ve olağanüstü durum kurtarma. Doğrudan Kimlik Doğrulaması ve federasyon, şirket içi altyapıyı kullanır. Doğrudan kimlik doğrulaması için şirket içi ayak izi, Doğrudan Kimlik Doğrulama aracılarının gerektirdiği sunucu donanımını ve ağı içerir. Federasyon için şirket içi ayak izi daha da büyüktür. Çevre ağınızdaki sunucuların ara sunucu kimlik doğrulaması isteklerine ve iç federasyon sunucularına bağlanmasını gerektirir.

    Tek hata noktalarını önlemek için yedekli sunucuları dağıtın. Ardından herhangi bir bileşen başarısız olursa kimlik doğrulama isteklerine her zaman hizmet verilecektir. Hem doğrudan kimlik doğrulaması hem de federasyon, kimlik doğrulama isteklerine yanıt vermek için etki alanı denetleyicilerini kullanır ve bu da başarısız olabilir. Bu bileşenlerin birçoğunun sağlıklı kalabilmek için bakıma ihtiyacı vardır. Bakım planlanmadığında ve doğru uygulanmadığında kesintiler daha olasıdır.

  2. Şirket içi kesintinin hayatta kalması. Bir siber saldırı veya olağanüstü durum nedeniyle şirket içi bir kesintinin sonuçları, saygın marka hasarından saldırıyla başa çıkamayan felçli bir kuruluşa kadar önemli olabilir. Son zamanlarda birçok kuruluş, şirket içi sunucularının kapanmasına neden olan hedefli fidye yazılımı da dahil olmak üzere kötü amaçlı yazılım saldırılarının kurbanıydı. Microsoft müşterilerin bu tür saldırılarla başa çıkmalarına yardımcı olduğunda iki kuruluş kategorisi görür:

    • Daha önce federasyon veya doğrudan kimlik doğrulamasının üzerinde parola karması eşitlemesini de etkinleştiren kuruluşlar, birincil kimlik doğrulama yöntemlerini parola karması eşitlemesi kullanacak şekilde değiştirdi. Birkaç saat içinde tekrar çevrimiçi oldular. Microsoft 365 aracılığıyla e-postaya erişimi kullanarak sorunları çözmek ve diğer bulut tabanlı iş yüklerine erişmek için çalıştılar.

    • Daha önce parola karması eşitlemesini etkinleştirmeyen kuruluşların sorunları çözmek için iletişim için güvenilmeyen dış tüketici e-posta sistemlerine başvurması gerekiyordu. Bu gibi durumlarda, kullanıcıların bulut tabanlı uygulamalarda yeniden oturum açabilmesi için şirket içi kimlik altyapılarını geri yüklemeleri haftalar sürdü.

  3. Kimlik koruması. Buluttaki kullanıcıları korumanın en iyi yollarından biri, Microsoft Entra ID P2 ile Microsoft Entra Kimlik Koruması. Microsoft, kötü aktörlerin karanlık web'de sattığı ve kullanıma sunduğunu kullanıcı ve parola listeleri için İnternet'i sürekli olarak tarar. Microsoft Entra Id, kuruluşunuzdaki kullanıcı adlarının ve parolaların gizliliğinin ihlal edilmiş olup olmadığını doğrulamak için bu bilgileri kullanabilir. Bu nedenle, hangi kimlik doğrulama yöntemini kullanırsanız kullanın, federasyon veya doğrudan kimlik doğrulaması olsun parola karması eşitlemesini etkinleştirmek kritik önem taşır. Sızdırılan kimlik bilgileri rapor olarak sunulur. Sızdırılan parolalarla oturum açmaya çalışan kullanıcıları parolalarını değiştirmeye zorlamak veya engellemek için bu bilgileri kullanın.

Son

Bu makalede, kuruluşların bulut uygulamalarına erişimi desteklemek için yapılandırabileceği ve dağıtabileceği çeşitli kimlik doğrulama seçenekleri özetlenmiştir. Kuruluşlar çeşitli iş, güvenlik ve teknik gereksinimleri karşılamak için parola karması eşitlemesi, Doğrudan Kimlik Doğrulaması ve federasyon arasında seçim yapabilir.

Her kimlik doğrulama yöntemini göz önünde bulundurun. Çözümü dağıtma çabası ve kullanıcının oturum açma işlemi deneyimi iş gereksinimlerinizi karşılıyor mu? Kuruluşunuzun her kimlik doğrulama yönteminin gelişmiş senaryolarına ve iş sürekliliği özelliklerine ihtiyacı olup olmadığını değerlendirin. Son olarak, her kimlik doğrulama yönteminin dikkate alınması gereken noktaları değerlendirin. Bunlardan herhangi biri seçiminizi uygulamanızı engelliyor mu?

Sonraki adımlar

Günümüzde tehditler günde 24 saat mevcut ve her yerden geliyor. Doğru kimlik doğrulama yöntemini uyguladığınızda güvenlik risklerinizi azaltır ve kimliklerinizi korur.

Microsoft Entra Id kullanmaya başlayın ve kuruluşunuz için doğru kimlik doğrulama çözümünü dağıtın.

Federasyondan bulut kimlik doğrulamasına geçiş yapmayı düşünüyorsanız oturum açma yöntemini değiştirme hakkında daha fazla bilgi edinin. Geçişi planlamanıza ve uygulamanıza yardımcı olmak için bu proje dağıtım planlarını kullanın veya federasyon kullanıcılarını aşamalı bir yaklaşımda bulut kimlik doğrulamasını kullanmaya geçirmek için yeni Aşamalı Dağıtım özelliğini kullanmayı göz önünde bulundurun.