Microsoft Entra Id'de dış kimlik doğrulama yöntemini yönetme (Önizleme)

  • Makale

Dış kimlik doğrulama yöntemi (EAM), kullanıcıların Microsoft Entra ID'de oturum açtıklarında çok faktörlü kimlik doğrulaması (MFA) gereksinimlerini karşılamak için bir dış sağlayıcı seçmesine olanak tanır. EAM, Koşullu Erişim ilkeleri, risk tabanlı Koşullu Erişim ilkeleri, Privileged Identity Management (PIM) etkinleştirmesi Microsoft Entra Kimlik Koruması ve uygulamanın kendisi MFA gerektirdiğinde MFA gereksinimlerini karşılayabilir.

EAM'ler, kullanıcı kimliğinin Microsoft Entra Id'de kaynaklanıp yönetilmesi bakımından federasyondan farklıdır. Federasyon ile kimlik, dış kimlik sağlayıcısında yönetilir. EAM'ler için en az bir Microsoft Entra Id P1 lisansı gerekir.

Dış yöntem kimlik doğrulamasının nasıl çalıştığını gösteren diyagram.

EAM yapılandırmak için gerekli meta veriler

EAM oluşturmak için dış kimlik doğrulama sağlayıcınızdan aşağıdaki bilgilere ihtiyacınız vardır:

  • Uygulama Kimliği genellikle sağlayıcınızın çok kiracılı bir uygulamasıdır ve tümleştirmenin bir parçası olarak kullanılır. Kiracınızda bu uygulama için yönetici onayı sağlamanız gerekir.

  • İstemci Kimliği, kimlik doğrulaması isteyen Microsoft Entra Id'yi tanımlamak için kimlik doğrulaması tümleştirmesinin bir parçası olarak kullanılan sağlayıcınızın tanımlayıcısıdır.

  • Bulma URL'si, dış kimlik doğrulama sağlayıcısı için OpenID Connect (OIDC) bulma uç noktasıdır.

    Not

    Uygulama kaydını ayarlamak için bkz . Microsoft Entra Id ile yeni bir dış kimlik doğrulama sağlayıcısı yapılandırma.

Microsoft Entra yönetim merkezinde EAM'yi yönetme

EAM'ler, yerleşik yöntemler gibi Microsoft Entra Id Authentication yöntemleri ilkesiyle yönetilir.

Yönetim merkezinde EAM oluşturma

Yönetim merkezinde bir EAM oluşturmadan önce, bir EAM'yi yapılandırmak için meta veriye sahip olduğunuzdan emin olun.

  1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.

  2. Koruma>Kimlik Doğrulama yöntemleri>Dış yöntem ekle (Önizleme) bölümüne gidin.

    Microsoft Entra yönetim merkezinde EAM ekleme işleminin ekran görüntüsü.

    Sağlayıcınızdan gelen yapılandırma bilgilerine göre yöntem özellikleri ekleyin. Mesela:

    • Ad: Adatum
    • İstemci Kimliği: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Bulma Uç Noktası: https://adatum.com/.well-known/openid-configuration
    • Uygulama Kimliği: 11112222-bbbb-3333-cccc-4444dddd5555

    Önemli

    Görünen ad, yöntem seçicide kullanıcıya gösterilen addır. Yöntem oluşturulduktan sonra değiştirilemez. Görünen adlar benzersiz olmalıdır.

    EAM özelliklerinin nasıl ekleneceğini gösteren ekran görüntüsü.

    Sağlayıcının uygulaması için yönetici onayı vermek için en azından Ayrıcalıklı Rol Yöneticisi rolüne ihtiyacınız vardır. Onay vermek için gereken role sahip değilseniz kimlik doğrulama yönteminizi yine de kaydedebilirsiniz, ancak onay verilene kadar etkinleştiremezsiniz.

    Sağlayıcınızdan değerleri girdikten sonra, kullanıcının doğru kimlik doğrulaması için gerekli bilgileri okuyabilmesi için uygulamaya yönetici onayı verilmesini istemek için düğmeye basın. Yönetici izinlerine sahip bir hesapla oturum açmanız ve sağlayıcının uygulamasına gerekli izinleri vermeniz istenir.

    Oturum açtığınızda, yönetici onayı vermek için Kabul Et'e tıklayın:

    Yönetici onayı verme ekran görüntüsü.

    Onay vermeden önce sağlayıcı uygulamasının istediği izinleri görebilirsiniz. Yönetici onayı verdikten ve değişiklik yinelendikten sonra sayfa, yönetici onayı verildiğini gösterecek şekilde yenilenir.

    Onay verildikten sonra Kimlik doğrulama yöntemleri ilkesinin ekran görüntüsü.

Uygulamanın izinleri varsa, kaydetmeden önce yöntemini de etkinleştirebilirsiniz. Aksi takdirde, yöntemi devre dışı durumda kaydetmeniz ve uygulamaya onay verildikten sonra etkinleştirmeniz gerekir.

Yöntem etkinleştirildikten sonra kapsamdaki tüm kullanıcılar MFA istemleri için yöntemi seçebilir. Sağlayıcıdan gelen uygulamanın onayı onaylanmamışsa yöntemiyle oturum açma işlemi başarısız olur.

Uygulama silinirse veya artık izni yoksa, kullanıcılar bir hata görür ve oturum açma başarısız olur. yöntemi kullanılamaz.

Yönetim merkezinde EAM yapılandırma

MICROSOFT Entra yönetim merkezinde EAM'lerinizi yönetmek için Kimlik doğrulama yöntemleri ilkesini açın. Yapılandırma seçeneklerini açmak için yöntem adını seçin. Bu yöntemi kullanarak dahil edilen ve dışlanan kullanıcıları seçebilirsiniz.

Belirli kullanıcılar için EAM kullanımının kapsamının nasıl hesaplandıklarına ilişkin ekran görüntüsü.

Yönetim merkezinde bir EAM'yi silme

Kullanıcılarınızın artık EAM'yi kullanabilmesini istemiyorsanız şunları yapabilirsiniz:

  • Yöntem yapılandırmasını kaydetmek için Etkinleştir'i Kapalı olarak ayarlayın
  • Yöntemi kaldırmak için Sil'e tıklayın

EAM'nin nasıl silineceği ekran görüntüsü.

Microsoft Graph kullanarak EAM'yi yönetme

Microsoft Graph kullanarak Kimlik Doğrulama yöntemleri ilkesini yönetmek için izin gereklidir Policy.ReadWrite.AuthenticationMethod . Daha fazla bilgi için bkz . AuthenticationMethodsPolicy'yi güncelleştirme.

Kullanıcı deneyimi

EAM için etkinleştirilen kullanıcılar oturum açtıklarında ve çok faktörlü kimlik doğrulaması gerektiğinde bunu kullanabilir.

Not

EAM'ler ile sistem tarafından tercih edilen MFA'ları desteklemek için etkin bir şekilde çalışıyoruz.

Kullanıcının oturum açmak için başka yolları varsa ve sistem tarafından tercih edilen MFA etkinleştirilirse, bu diğer yöntemler varsayılan sırada görünür. Kullanıcı farklı bir yöntem kullanmayı ve ardından EAM'yi seçebilir. Örneğin, kullanıcı başka bir yöntem olarak Authenticator'ı etkinleştirmişse, kullanıcıdan numara eşleştirmesi istenir.

Sistem tarafından tercih edilen MFA etkinleştirildiğinde EAM'nin nasıl seçileceğini gösteren ekran görüntüsü.

Kullanıcının etkinleştirilmiş başka bir yöntemi yoksa yalnızca EAM'yi seçebilir. Kimlik doğrulamasını tamamlamak için dış kimlik doğrulama sağlayıcısına yönlendirilirler.

EAM ile oturum açma ekran görüntüsü.

EAM'ler için kimlik doğrulama yöntemi kaydı

Önizlemede, EAM için bir ekleme grubundaki tüm kullanıcılar MFA özellikli olarak kabul edilir ve MFA'yı karşılamak için dış kimlik doğrulama yöntemini kullanabilir. Bir EAM için ekleme hedefi olması nedeniyle MFA özellikli kullanıcılar, kimlik doğrulama yöntemi kaydıyla ilgili raporlara dahil değildir.

Not

EAM'ler için kayıt özelliği ekleme üzerinde etkin bir şekilde çalışıyoruz. Kayıt eklendikten sonra, daha önce EAM kullanan kullanıcıların MFA'yı karşılamak için kullanmaları istenmeden önce EAM'nin Entra Id ile kayıtlı olması gerekir.

EAM ve Koşullu Erişim özel denetimlerini paralel olarak kullanma

EAM'ler ve özel denetimler paralel olarak çalışabilir. Microsoft, yöneticilerin iki Koşullu Erişim ilkesi yapılandırmalarını önerir:

  • Özel denetimi zorunlu kılmaya ilişkin bir ilke
  • MFA izni gerekli olan başka bir ilke

Her ilke için bir kullanıcı test grubu ekleyin, ancak ikisini birden dahil etmeyin. Bir kullanıcı her iki ilkeye veya her iki koşula sahip herhangi bir ilkeye dahil edilirse, kullanıcının oturum açma sırasında MFA'yı karşılaması gerekir. Ayrıca, dış sağlayıcıya ikinci kez yönlendirilmeleri için özel denetimi karşılamaları gerekir.

Sonraki adımlar

Kimlik doğrulama yöntemlerini yönetme hakkında daha fazla bilgi için bkz . Microsoft Entra Id için kimlik doğrulama yöntemlerini yönetme.

EAM sağlayıcı başvurusu için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması dış yöntem sağlayıcısı başvurusu (Önizleme).