MFA ve SSPR ilke ayarlarını Microsoft Entra Id için Kimlik doğrulama yöntemleri ilkesine geçirme
Çok faktörlü kimlik doğrulamasını (MFA) ve self servis parola sıfırlamayı (SSPR) ayrı ayrı denetleyan Microsoft Entra ID eski ilke ayarlarını Kimlik doğrulama yöntemleri ilkesiyle birleşik yönetime geçirebilirsiniz.
Geçişi otomatikleştirmek için Microsoft Entra yönetim merkezindeki kimlik doğrulama yöntemleri geçiş kılavuzunu (önizleme) kullanabilirsiniz. Kılavuz, MFA ve SSPR için geçerli ilke ayarlarınızı denetlemenize yardımcı olacak bir sihirbaz sağlar. Ardından bu ayarları, birlikte daha kolay yönetilebileceği Kimlik Doğrulama yöntemleri ilkesinde birleştirir.
İlke ayarlarını kendi zamanlamanıza göre el ile de geçirebilirsiniz. Geçiş işlemi tamamen geri döndürülebilir. Kimlik doğrulama yöntemleri ilkesindeki kullanıcılar ve gruplar için kimlik doğrulama yöntemlerini daha hassas bir şekilde yapılandırırken kiracı genelinde MFA ve SSPR ilkelerini kullanmaya devam edebilirsiniz.
Geçiş sırasında bu ilkelerin birlikte nasıl çalıştığı hakkında daha fazla bilgi için bkz . Microsoft Entra Id için kimlik doğrulama yöntemlerini yönetme.
Otomatik geçiş kılavuzu
Otomatik geçiş kılavuzu, kimlik doğrulama yöntemlerini yönettiğiniz yere yalnızca birkaç tıklamayla geçiş yapmanızı sağlar. Buna Microsoft Entra yönetim merkezinden Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne >göz atarak erişilebilir.
Sihirbazın ilk sayfasında ne olduğu ve nasıl çalıştığı açıklanmaktadır. Ayrıca, başvurunuz için eski ilkelerin her birine bağlantılar sağlar.
Ardından sihirbaz, kuruluşunuzun eski MFA ve SSPR ilkelerinde şu anda etkinleştirdiği özelliklere göre Kimlik Doğrulama yöntemi ilkesini yapılandırmaktadır. Bir yöntem eski ilkelerden herhangi biri için etkinleştirildiyse, bunu Kimlik doğrulama yöntemi ilkesinde de etkinleştirmeniz önerilir. Bu yapılandırmayla, kullanıcılar daha önce kullandıkları yöntemi kullanarak oturum açmaya ve parolalarını sıfırlamaya devam edebilir.
Ayrıca, kuruluşunuzun güvenlik duruşunu geliştirmeye yardımcı olmak için geçiş anahtarları, Geçici Erişim Geçişi ve Microsoft Authenticator gibi en son modern ve güvenli yöntemleri etkinleştirmenizi öneririz. Önerilen yapılandırmayı düzenlemek için her yöntemin yanındaki kalem simgesini seçin.
Yapılandırmadan memnun olduktan sonra Geçir'i seçin ve geçişi onaylayın. Kimlik doğrulama yöntemleri ilkesi, sihirbazda belirtilen yapılandırmayla eşleşecek şekilde güncelleştirilir. Eski MFA ve SSPR ilkelerindeki kimlik doğrulama yöntemleri gri görünür ve artık uygulanmaz.
Geçiş durumunuz Geçiş Tamamlandı olarak güncelleştirilir. Gerekirse eski ilkelerdeki yöntemleri yeniden etkinleştirmek için bu durumu istediğiniz zaman Devam Ediyor olarak değiştirebilirsiniz.
El ile geçiş
Kullanıcılar için kullanılabilen her kimlik doğrulama yöntemi için mevcut ilke ayarlarınızı denetleyerek başlayın. Geçiş sırasında geri alırsanız, bu ilkelerin her birinden kimlik doğrulama yöntemi ayarlarının kaydını isteyebilirsiniz:
- MFA ilkesi
- SSPR ilkesi (kullanılıyorsa)
- Kimlik doğrulama yöntemleri ilkesi (kullanılıyorsa)
SSPR kullanmıyorsanız ve henüz Kimlik doğrulama yöntemleri ilkesini kullanmıyorsanız, yalnızca MFA ilkesinden ayarları almanız gerekir.
Eski MFA ilkesini gözden geçirme
Eski MFA ilkesinde hangi yöntemlerin kullanılabilir olduğunu belgeleyerek başlayın.
Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
Ayarları görüntülemek için Kimlik>Kullanıcıları>Tüm kullanıcılar>Kullanıcı Başına MFA>hizmeti ayarları'na gidin. Bu ayarlar kiracı genelinde olduğundan kullanıcı veya grup bilgilerine gerek yoktur.
Her yöntem için kiracı için etkinleştirilip etkinleştirilmediğine dikkat edin. Aşağıdaki tabloda, eski MFA ilkesinde kullanılabilen yöntemler ve Kimlik doğrulama yöntemi ilkesindeki ilgili yöntemler listelemektedir.
| Çok faktörlü kimlik doğrulama ilkesi | Kimlik doğrulama yöntemi ilkesi |
|---|---|
| Telefonla arama | Sesli aramalar |
| Telefona kısa mesaj | SMS |
| Mobil uygulama aracılığıyla bildirim | Microsoft Authenticator |
| Mobil uygulamadan veya donanım belirtecinden doğrulama kodu | Üçüncü taraf yazılım OATH belirteçleri Donanım OATH belirteçleri Microsoft Authenticator |
Eski SSPR ilkesini gözden geçirme
Eski SSPR ilkesinde kullanılabilen kimlik doğrulama yöntemlerini almak için Kimlik>Koruması>Parola sıfırlama>Kimlik doğrulama yöntemleri'ne gidin. Aşağıdaki tabloda, eski SSPR ilkesindeki kullanılabilir yöntemler ve Kimlik doğrulama yöntemi ilkesindeki ilgili yöntemler listelenir.
Hangi kullanıcıların SSPR kapsamında olduğunu (tüm kullanıcılar, belirli bir grup veya kullanıcı yok) ve kullanabilecekleri kimlik doğrulama yöntemlerini kaydedin. Güvenlik soruları, Kimlik doğrulama yöntemleri ilkesinde henüz yönetilebilir durumda olmasa da, bunları daha sonra yönetilebilecekleri zaman için kaydettiğinizden emin olun.
| SSPR kimlik doğrulama yöntemleri | Kimlik doğrulama yöntemi ilkesi |
|---|---|
| Mobil uygulama bildirimi | Microsoft Authenticator |
| Mobil uygulama kodu | Microsoft Authenticator Yazılım OATH belirteçleri |
| E-posta | E-posta OTP |
| Cep telefonu | Sesli aramalar SMS |
| Office telefonu | Sesli aramalar |
| Güvenlik soruları | Henüz kullanılamıyor; daha sonra kullanmak için soruları kopyalama |
Kimlik doğrulama yöntemleri ilkesi
Kimlik doğrulama yöntemleri ilkesindeki ayarları denetlemek için, Microsoft Entra yönetim merkezinde en az bir Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın ve Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın. Eski ilke ayarlarının mevcut ayarlarla birleştirilmesi gerekmediğinden, yeni kiracı varsayılan olarak tüm Kapalı yöntemlerine sahiptir ve bu da geçişi kolaylaştırır.
- Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
- Koruma>Kimlik Doğrulaması yöntemlerine göz atın>
Kimlik doğrulama yöntemleri ilkesi, FIDO2 güvenlik anahtarı, Geçici Erişim Geçişi ve Microsoft Entra sertifika tabanlı kimlik doğrulaması gibi eski ilkelerde bulunmayan başka yöntemlere sahiptir. Bu yöntemler geçiş kapsamında değildir ve zaten yapılandırdıysanız bu yöntemlerde herhangi bir değişiklik yapmanız gerekmez.
Kimlik doğrulama yöntemleri ilkesinde diğer yöntemleri etkinleştirdiyseniz, bu yöntemleri kullanabilen veya kullanamayan kullanıcıları ve grupları not edin. Yöntemin nasıl kullanılabileceğini yöneten yapılandırma parametrelerini not alın. Örneğin, Microsoft Authenticator'ı anında iletme bildirimlerinde konum sağlayacak şekilde yapılandırabilirsiniz. Her yöntemle ilişkili benzer yapılandırma parametreleri için hangi kullanıcıların ve grupların etkinleştirildiğinin kaydını yapın.
Geçişi başlatma
Kullanmakta olduğunuz ilkelerden kullanılabilir kimlik doğrulama yöntemlerini yakaladıktan sonra geçişi başlatabilirsiniz. Kimlik doğrulama yöntemleri ilkesini açın, Geçişi yönet'i ve devam eden geçiş'i seçin.
Yeni ilkenizi hem oturum açma hem de parola sıfırlama senaryolarına uygulayacağı için herhangi bir değişiklik yapmadan önce bu seçeneği ayarlamanız gerekir.
Sonraki adım, Kimlik doğrulama yöntemleri ilkesini denetiminizle eşleşecek şekilde güncelleştirmektir. Her yöntemi tek tek gözden geçirmek isteyeceksiniz. Kiracınız yalnızca eski MFA ilkesini kullanıyorsa ve SSPR kullanmıyorsa, güncelleştirme basittir. Her yöntemi tüm kullanıcılar için etkinleştirebilir ve mevcut ilkenizle tam olarak eşleşebilirsiniz.
Kiracınız hem MFA hem de SSPR kullanıyorsa her yöntemi göz önünde bulundurmanız gerekir:
- Yöntem her iki eski ilkede de etkinleştirildiyse, kimlik doğrulama yöntemleri ilkesindeki tüm kullanıcılar için bu yöntemi etkinleştirin.
- Yöntem her iki eski ilkede de kapalıysa, Kimlik doğrulama yöntemleri ilkesindeki tüm kullanıcılar için kapalı bırakın.
- Yöntem yalnızca bir ilkede etkinleştirildiyse, her durumda kullanılabilir olup olmayacağına karar vermeniz gerekir.
İlkelerin eşleşmesi durumunda, geçerli durumunuzu kolayca eşleştirebilirsiniz. Uyuşmazlık olduğunda, yöntemi tamamen etkinleştirmeye veya devre dışı bırakmaya karar vermeniz gerekir. Örneğin, MFA için anında iletme bildirimlerine izin vermek için Mobil uygulama aracılığıyla bildirim özelliğinin etkinleştirildiğini varsayalım. Eski SSPR ilkesinde Mobil uygulama bildirim yöntemi etkinleştirilmez. Bu durumda, eski ilkeler MFA için anında iletme bildirimlerine izin verir ancak SSPR'ye izin vermez.
Kimlik doğrulama yöntemleri ilkesinde hem SSPR hem de MFA için Microsoft Authenticator'ı etkinleştirmeyi veya devre dışı bırakmayı seçmeniz gerekir (Microsoft Authenticator'ı etkinleştirmenizi öneririz).
Kimlik doğrulama yöntemleri ilkesinde, tüm kullanıcılara ek olarak kullanıcı grupları için yöntemleri etkinleştirme seçeneğiniz olduğunu ve ayrıca kullanıcı gruplarının belirli bir yöntemi kullanmasını hariç tutabileceğinizi unutmayın. Bu, kullanıcıların hangi yöntemleri kullanabileceklerini denetleme konusunda çok fazla esnekliğe sahip olduğunuz anlamına gelir. Örneğin, Microsoft Authenticator'ı tüm kullanıcılar için etkinleştirebilir ve SMS ve Sesli aramayı bu yöntemlere ihtiyaç duyan 20 kullanıcıdan oluşan 1 grupla sınırlayabilirsiniz.
Kimlik doğrulama yöntemleri ilkesindeki her yöntemi güncelleştirdiğinizde, bazı yöntemlerin bu yöntemin nasıl kullanılabileceğini denetlemenize olanak sağlayan yapılandırılabilir parametreleri vardır. Örneğin, kimlik doğrulama yöntemi olarak Sesli aramaları etkinleştirirseniz hem ofis telefonuna hem de cep telefonuna veya yalnızca cep telefonuna izin vermeyi seçebilirsiniz. Denetiminizden her kimlik doğrulama yöntemini yapılandırmak için işlemde adım adım ilerleyin.
Mevcut ilkenizle eşleşmeniz gerekmez! Etkinleştirilen yöntemlerinizi gözden geçirmek ve kiracınız için güvenliği ve kullanılabilirliği en üst düzeye çıkaran yeni bir ilke seçmek için harika bir fırsattır. Zaten kullanmakta olan kullanıcılar için yöntemleri devre dışı bırakmanın, bu kullanıcıların yeni kimlik doğrulama yöntemlerini kaydetmesini ve daha önce kaydedilmiş yöntemleri kullanmasını engellemesini gerektirebileceğini unutmayın.
Sonraki bölümlerde her yöntem için belirli geçiş yönergeleri ele alınıyor.
Tek seferlik geçiş kodunu e-postayla gönderme
Tek seferlik e-posta geçiş kodu için iki denetim vardır:
Yapılandırmanın Etkinleştir ve hedef bölümünde ekleme ve dışlama özelliğini kullanarak hedefleme, parola sıfırlamada kullanılmak üzere bir kiracının üyeleri için e-posta OTP'sini etkinleştirmek için kullanılır.
Yapılandır bölümünde, B2B kullanıcıları tarafından oturum açmak için e-posta OTP kullanımını denetleyen ayrı bir Dış kullanıcıların e-posta OTP denetimi kullanmasına izin ver seçeneği vardır. Bu denetim etkinse kimlik doğrulama yöntemi devre dışı bırakılamaz.
Microsoft Authenticator
Eski MFA ilkesinde Mobil uygulama aracılığıyla bildirim etkinleştirildiyse, Kimlik Doğrulama yöntemleri ilkesinde Tüm kullanıcılar için Microsoft Authenticator'ı etkinleştirin. Anında iletme bildirimlerine veya parolasız kimlik doğrulamasına izin vermek için kimlik doğrulama modunu Herhangi biri olarak ayarlayın.
Eski MFA ilkesinde mobil uygulama veya donanım belirtecinden doğrulama kodu etkinleştirildiyse Microsoft Authenticator OTP kullanımına izin ver seçeneğini Evet olarak ayarlayın.
Not
Kullanıcılar Microsoft Authenticator Uygulamasını yalnızca OTP kodu için "Farklı bir kimlik doğrulayıcı uygulaması kullanmak istiyorum" sihirbazını kullanarak kaydederse, Üçüncü taraf yazılım OATH belirteçleri ilkesini etkinleştirmek gerekir.
SMS ve sesli aramalar
Eski MFA ilkesi, SMS ve Telefon aramaları için ayrı denetimlere sahiptir. Ancak hem SMS hem de sesli aramalar için cep telefonlarını etkinleştiren bir Cep telefonu denetimi de vardır. Office telefonu için başka bir denetim de yalnızca sesli arama için bir ofis telefonu sağlar.
Kimlik doğrulama yöntemleri ilkesi, eski MFA ilkesiyle eşleşen SMS ve Sesli aramalara yönelik denetimlere sahiptir. Kiracınız SSPR kullanıyorsa ve Cep telefonu etkinse, Kimlik doğrulama yöntemleri ilkesinde hem SMS hem de Sesli çağrıları etkinleştirmek istersiniz. Kiracınız SSPR kullanıyorsa ve Office telefonu etkinse, Kimlik doğrulama yöntemleri ilkesinde Sesli aramaları etkinleştirmek ve Office telefon seçeneğinin etkinleştirildiğinden emin olmak istersiniz.
Not
SMS ayarlarında Oturum açma için kullan seçeneği varsayılan olarak etkindir. Bu seçenek SMS ile oturum açmayı etkinleştirir. Kullanıcılar için SMS oturum açma etkinleştirildiyse, bunlar kiracılar arası eşitlemeden atlanır. Kiracılar arası eşitleme kullanıyorsanız veya SMS oturum açma özelliğini etkinleştirmek istemiyorsanız, hedef kullanıcılar için SMS Oturum Açmayı devre dışı bırakın.
OATH belirteçleri
Eski MFA ve SSPR ilkelerindeki OATH belirteci denetimleri, üç farklı OATH belirteci türünün kullanılmasını etkinleştiren tek denetimlerdi: Microsoft Authenticator uygulaması, üçüncü taraf yazılım OATH TOTP kod oluşturucu uygulamaları ve donanım OATH belirteçleri.
Kimlik doğrulama yöntemleri ilkesi, her OATH belirteci türü için ayrı denetimlerle ayrıntılı denetime sahiptir. Microsoft Authenticator'dan OTP kullanımı, ilkenin Microsoft Authenticator bölümündeki Microsoft Authenticator OTP kullanımına izin ver denetimi tarafından denetlenilir. Üçüncü taraf uygulamalar, ilkenin Üçüncü taraf yazılım OATH belirteçleri bölümü tarafından denetlenmektedir. Donanım OATH belirteçleri, ilkenin Donanım OATH belirteçleri bölümü tarafından denetlenmektedir.
Güvenlik soruları
Güvenlik soruları için bir denetim yakında sunulacaktır. Güvenlik soruları kullanıyorsanız ve bunları devre dışı bırakmak istemiyorsanız, yeni denetim kullanılabilir olana kadar bunları eski SSPR ilkesinde etkin tuttuğunuzdan emin olun. Güvenlik soruları etkinken sonraki bölümde açıklandığı gibi geçişi tamamlayabilirsiniz.
Geçişi tamamlama
Kimlik doğrulama yöntemleri ilkesini güncelleştirdikten sonra, eski MFA ve SSPR ilkelerini gözden geçirip her kimlik doğrulama yöntemini birer birer kaldırın. Her yöntem için değişiklikleri test edin ve doğrulayın.
MFA ve SSPR'nin beklendiği gibi çalıştığını saptadığınızda ve artık eski MFA ve SSPR ilkelerine ihtiyacınız kalmadığında, geçiş işlemini Geçiş Tamamlandı olarak değiştirebilirsiniz. Bu modda Microsoft Entra-only, Kimlik doğrulama yöntemleri ilkesini izler. Geçiş Tamamlandı olarak ayarlandıysa, SSPR ilkesindeki güvenlik soruları dışında eski ilkelerde değişiklik yapılamaz. Herhangi bir nedenle eski ilkelere geri dönmeniz gerekiyorsa, geçiş durumunu istediğiniz zaman Devam Eden Geçiş'e geri taşıyabilirsiniz.
