Kuruluşunuz için geçiş anahtarlarını (FIDO2) etkinleştirme

Günümüzde parola kullanan kuruluşlar için geçiş anahtarları (FIDO2), çalışanların kullanıcı adı veya parola girmeden kimlik doğrulaması için sorunsuz bir yol sağlar. Geçiş anahtarları (FIDO2), çalışanlar için daha iyi üretkenlik sağlar ve daha iyi bir güvenliğe sahiptir.

Bu makalede, kuruluşunuzda geçiş anahtarlarını etkinleştirmeye yönelik gereksinimler ve adımlar listelenir. Bu adımları tamamladıktan sonra, kuruluşunuzdaki kullanıcılar FIDO2 güvenlik anahtarında veya Microsoft Authenticator'da depolanan bir geçiş anahtarını kullanarak Microsoft Entra hesaplarına kaydolabilir ve oturum açabilir.

Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme hakkında daha fazla bilgi için bkz . Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme.

Geçiş anahtarı kimlik doğrulaması hakkında daha fazla bilgi için bkz . Microsoft Entra Id ile FIDO2 kimlik doğrulaması desteği.

Not

Microsoft Entra ID şu anda FIDO2 güvenlik anahtarlarında ve Microsoft Authenticator'da depolanan cihaza bağlı geçiş anahtarlarını destekler. Microsoft, geçiş anahtarlarıyla müşterilerin ve kullanıcıların güvenliğini sağlamaya kararlıdır. İş hesapları için hem eşitlenmiş hem de cihaza bağlı geçiş anahtarlarına yatırım yapıyoruz.

Gereksinimler

  • Microsoft Entra çok faktörlü kimlik doğrulaması (MFA).
  • Microsoft Entra Id veya Microsoft Authenticator ile kanıtlama için uygun FIDO2 güvenlik anahtarları.
  • Geçiş anahtarı (FIDO2) kimlik doğrulamasını destekleyen cihazlar. Microsoft Entra ID'ye katılmış Windows cihazları için en iyi deneyim Windows 10 sürüm 1903 veya üzeridir. Karma katılmış cihazların Windows 10 sürüm 2004 veya üzerini çalıştırması gerekir.

Geçiş anahtarları (FIDO2), Windows, macOS, Android ve iOS'ta önemli senaryolarda desteklenir. Desteklenen senaryolar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de FIDO2 kimlik doğrulaması desteği.

Not

Android'de Edge'de aynı cihaz kaydı desteği yakında sunulacaktır.

Geçiş Anahtarı (FIDO2) Authenticator Kanıtlama GUID'si (AAGUID)

FIDO2 belirtimi, her güvenlik anahtarı satıcısının kayıt sırasında bir Authenticator Kanıtlama GUID'si (AAGUID) sağlamasını gerektirir. AAGUID, make ve model gibi anahtar türünü gösteren 128 bit tanımlayıcıdır. Masaüstü ve mobil cihazlardaki Passkey (FIDO2) sağlayıcılarının da kayıt sırasında bir AAGUID sağlaması beklenir.

Not

Satıcı, AAGUID'nin bu satıcı tarafından yapılan tüm önemli özdeş güvenlik anahtarları veya geçiş anahtarı (FIDO2) sağlayıcıları arasında aynı olduğundan ve diğer tüm güvenlik anahtarı veya geçiş anahtarı (FIDO2) sağlayıcısının AAGUID'lerinden farklı (yüksek olasılıkla) olduğundan emin olmalıdır. Bunu sağlamak için, belirli bir güvenlik anahtarı modeli veya geçiş anahtarı (FIDO2) sağlayıcısı için AAGUID rastgele oluşturulmalıdır. Daha fazla bilgi için bkz . Web Kimlik Doğrulaması: Ortak Anahtar Kimlik Bilgilerine erişmek için bir API - Düzey 2 (w3.org).

Güvenlik anahtarı satıcınızla birlikte çalışarak geçiş anahtarının AAGUID değerini (FIDO2) belirleyebilir veya Microsoft Entra Id ile kanıtlama için uygun FIDO2 güvenlik anahtarlarını görebilirsiniz. Geçiş anahtarı (FIDO2) zaten kayıtlıysa, kullanıcı için geçiş anahtarının (FIDO2) kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek AAGUID'yi bulabilirsiniz.

Geçiş anahtarı için AAGUID'yi görüntüleme işleminin ekran görüntüsü.

Geçiş anahtarı (FIDO2) kimlik doğrulama yöntemini etkinleştirme

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.

  2. Koruma>Kimlik Doğrulama yöntemleri>Kimlik doğrulama yöntemi ilkesine göz atın.

  3. Passkey (FIDO2) yönteminin altında iki durumlu düğmeyi Etkinleştir olarak ayarlayın. Belirli grupları seçmek için Tüm kullanıcılar'ı veya Grup ekle'yi seçin. Yalnızca güvenlik grupları desteklenir.

  4. Yapılandır sekmesinde:

    • Self servis ayarına izin ver'i Evet olarak ayarlayın. Hayır olarak ayarlanırsa, geçiş anahtarları (FIDO2) Kimlik doğrulama yöntemleri ilkesi tarafından etkinleştirilse bile, kullanıcılar Güvenlik bilgilerini kullanarak geçiş anahtarını kaydedemez.

    • Kuruluşunuz bir FIDO2 güvenlik anahtarı modelinin veya geçiş anahtarı sağlayıcısının orijinal olduğundan ve meşru satıcıdan geldiğinden emin olmak istiyorsanız Kanıtlamayı zorla seçeneğini Evet olarak ayarlayın.

      • FIDO2 güvenlik anahtarları için güvenlik anahtarı meta verilerinin FIDO Alliance Meta Veri Hizmeti ile yayımlanması ve doğrulanması ve ayrıca Microsoft'un başka bir doğrulama testi kümesinden geçirilmesi gerekir. Daha fazla bilgi için bkz . Microsoft uyumlu bir FIDO2 güvenlik anahtarı satıcısı olma.
      • Microsoft Authenticator'daki geçiş anahtarları için Genel Kullanılabilirlik için kanıtlama desteği planlanmaktadır.

      Uyarı

      Kanıtlama zorlaması, yalnızca kayıt sırasında geçiş anahtarına (FIDO2) izin verilip verilmeyeceğini yönetir. Kanıtlama olmadan bir geçiş anahtarı (FIDO2) kaydeden kullanıcıların, Kanıtlamayı zorla ayarı daha sonra Evet olarak ayarlanırsa oturum açmaları engellenmez.

    Anahtar Kısıtlama İlkesi

    • Anahtar kısıtlamalarını zorunlu kılma, yalnızca kuruluşunuz AAGUID tarafından tanımlanan belirli güvenlik anahtarı modellerine veya geçiş anahtarı sağlayıcılarına izin vermek veya izin vermek istemiyorsa Evet olarak ayarlanmalıdır. Geçiş anahtarının AAGUID değerini belirlemek için güvenlik anahtarı satıcınızla birlikte çalışabilirsiniz. Geçiş anahtarı zaten kayıtlıysa, kullanıcı için geçiş anahtarının kimlik doğrulama yöntemi ayrıntılarını görüntüleyerek AAGUID'yi bulabilirsiniz.

    Anahtar kısıtlamalarını zorunlu kılma Evet olarak ayarlandığında, Anahtar kısıtlama listesinde Sizin için Authenticator uygulaması AAGUIDs'lerini otomatik olarak eklemek için Microsoft Authenticator (önizleme) seçeneğini belirleyebilirsiniz. Daha fazla bilgi için bkz . Microsoft Authenticator'da geçiş anahtarlarını etkinleştirme (önizleme).

    Uyarı

    Önemli kısıtlamalar, belirli modellerin veya sağlayıcıların hem kayıt hem de kimlik doğrulaması için kullanılabilirliğini ayarlar. Anahtar kısıtlamalarını değiştirir ve daha önce izin verilen bir AAGUID'yi kaldırırsanız, daha önce izin verilen bir yöntemi kaydeden kullanıcılar artık bunu oturum açmak için kullanamaz.

    Kuruluşunuz şu anda anahtar kısıtlamaları uygulamıyorsa ve zaten etkin geçiş anahtarı kullanımına sahipse, bugün kullanılan anahtarların AAGUID'lerini toplamanız gerekir. Bu önizlemeyi etkinleştirmek için bunları Authenticator AAGUIDs ile birlikte İzin Ver listesine ekleyin. Bu görev, kayıt ayrıntıları ve oturum açma günlükleri gibi günlükleri analiz eden otomatik bir betikle gerçekleştirilebilir.

    Not

    Anahtar yeniden denemelerini kapatırsanız, Güvenlik bilgileri'ndeki Authenticator uygulamasında kullanıcılardan geçiş anahtarı ayarlamalarının istenmemesi için Microsoft Authenticator (Önizleme) onay kutusunu temizlediğinizden emin olun.

    Geçiş anahtarı için etkinleştirilen Microsoft Authenticator'ı gösteren ekran görüntüsü.

  5. Yapılandırmayı tamamladıktan sonra Kaydet'i seçin.

    Not

    Kaydetmeyi denediğinizde bir hata görürseniz, birden çok grubu tek bir işlemde tek bir grupla değiştirin ve sonra yeniden Kaydet'e tıklayın.

Microsoft Graph API'sini kullanarak FIDO2 güvenlik anahtarları sağlama (önizleme)

Şu anda önizleme aşamasında olan yöneticiler, kullanıcılar adına FIDO2 güvenlik anahtarları sağlamak için Microsoft Graph'ı ve özel istemcileri kullanabilir. Sağlama için Kimlik Doğrulama Yöneticisi rolü veya UserAuthenticationMethod.ReadWrite.All iznine sahip bir istemci uygulaması gerekir. Sağlama geliştirmeleri şunlardır:

  • Microsoft Entra Id'den WebAuthn oluşturma Seçenekleri isteme özelliği
  • Sağlanan güvenlik anahtarını doğrudan Microsoft Entra Id ile kaydetme olanağı

Bu yeni API'lerle kuruluşlar, kullanıcı adına güvenlik anahtarlarında geçiş anahtarı (FIDO2) kimlik bilgileri sağlamak için kendi istemcilerini oluşturabilir. Bu işlemi basitleştirmek için üç ana adım gerekir.

  1. Kullanıcı için istek oluşturmaSeçenekler: Microsoft Entra Id, istemcinizin bir geçiş anahtarı (FIDO2) kimlik bilgisi sağlaması için gerekli verileri döndürür. Buna kullanıcı bilgileri, bağlı olan taraf kimliği, kimlik bilgisi ilkesi gereksinimleri, algoritmalar, kayıt sınaması ve daha fazlası gibi bilgiler dahildir.
  2. Oluşturma Seçenekleri ile geçiş anahtarı (FIDO2) kimlik bilgilerini sağlayın : Kimlik bilgilerini sağlamak için İstemciden Kimlik Doğrulayıcı protokolüne (CTAP) destekleyen ve istemcisini kullanın creationOptions . Bu adım sırasında güvenlik anahtarını eklemeniz ve bir PIN ayarlamanız gerekir.
  3. Sağlanan kimlik bilgilerini Microsoft Entra Id ile kaydedin : Microsoft Entra Id'ye hedeflenen kullanıcının geçiş anahtarı (FIDO2) kimlik bilgilerini kaydetmek üzere gerekli verileri sağlamak üzere sağlama işleminden biçimlendirilmiş çıkışı kullanın.

Geçiş anahtarları (FIDO2) sağlamak için gereken adımları gösteren kavramsal diyagram.

Microsoft Graph API'sini kullanarak geçiş anahtarlarını (FIDO2) etkinleştirme

Microsoft Entra yönetim merkezini kullanmanın yanı sıra, Microsoft Graph API'sini kullanarak geçiş anahtarlarını (FIDO2) da etkinleştirebilirsiniz. Geçiş anahtarlarını (FIDO2) etkinleştirmek için, Kimlik Doğrulama yöntemleri ilkesini en azından bir Kimlik Doğrulama İlkesi Yöneticisi olarak güncelleştirmeniz gerekir.

Graph Gezgini'ni kullanarak ilkeyi yapılandırmak için:

  1. Graph Gezgini'nde oturum açın ve Policy.Read.All ve Policy.ReadWrite.AuthenticationMethod izinlerini onaylayın.

  2. Kimlik doğrulama yöntemleri ilkesini alın:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Kanıtlama zorlamasını devre dışı bırakmak ve yalnızca RSA DS100 için AAGUID'ye izin verecek anahtar kısıtlamaları uygulamak için aşağıdaki istek gövdesini kullanarak bir PATCH işlemi gerçekleştirin:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": false,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "7e3f3d30-3557-4442-bdae-139312178b39",
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Geçiş anahtarı (FIDO2) ilkesinin düzgün güncelleştirildiğinden emin olun.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Geçiş anahtarını silme (FIDO2)

Kullanıcı hesabıyla ilişkilendirilmiş bir geçiş anahtarını (FIDO2) kaldırmak için kullanıcının kimlik doğrulama yönteminden silin.

  1. Microsoft Entra yönetim merkezinde oturum açın ve geçiş anahtarının (FIDO2) kaldırılması gereken kullanıcıyı arayın.
  2. Kimlik doğrulama yöntemleri'ni seçin, Geçiş anahtarı (cihaza bağlı) öğesine sağ tıklayın ve Sil'i seçin.>

Geçiş anahtarı (FIDO2) oturum açmayı zorunlu kılma

Kullanıcıların hassas bir kaynağa erişirken geçiş anahtarıyla (FIDO2) oturum açmasını sağlamak için şunları yapabilirsiniz:

  • Yerleşik kimlik avına dayanıklı kimlik doğrulaması gücü kullanma

    Or

  • Özel kimlik doğrulama gücü oluşturun

Aşağıdaki adımlar, yalnızca belirli bir güvenlik anahtarı modeli veya geçiş anahtarı (FIDO2) sağlayıcısı için geçiş anahtarı (FIDO2) oturum açma izni veren özel bir kimlik doğrulama gücü Koşullu Erişim ilkesinin nasıl oluşturulacağını gösterir. FIDO2 sağlayıcılarının listesi için bkz . Microsoft Entra Id ile kanıtlama için uygun FIDO2 güvenlik anahtarları.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Kimlik Doğrulaması yöntemleri Kimlik doğrulaması güçlü>yönleri'ne göz atın.
  3. Yeni kimlik doğrulama gücü'ne tıklayın.
  4. Yeni kimlik doğrulama gücünüz için bir Ad belirtin.
  5. İsteğe bağlı olarak bir Açıklama sağlayın.
  6. Geçiş Tuşları (FIDO2)'yi seçin.
  7. İsteğe bağlı olarak, belirli AAGUID'lere göre kısıtlamak istiyorsanız Gelişmiş seçenekler'i ve ardından AAGUID Ekle'yi seçin. İzin ettiğiniz AAGUID'leri girin. Kaydet'i seçin.
  8. İleri'yi seçin ve ilke yapılandırmasını gözden geçirin.

Bilinen sorunlar

Güvenlik anahtarı sağlama

Güvenlik anahtarlarının yönetici tarafından sağlanması genel önizleme aşamasındadır. Kullanıcılar adına FIDO2 güvenlik anahtarları sağlamak için bkz. Microsoft Graph ve özel istemciler.

B2B iş birliği kullanıcıları

Kaynak kiracısında B2B işbirliği kullanıcıları için geçiş anahtarı (FIDO2) kimlik bilgilerinin kaydı desteklenmez.

UPN değişiklikleri

Kullanıcının UPN'si değişirse, geçiş anahtarlarını (FIDO2) değişikliği hesaba eklemek üzere değiştiremezsiniz. Kullanıcının bir geçiş anahtarı (FIDO2) varsa Güvenlik bilgileri'nde oturum açması, eski geçiş anahtarını (FIDO2) silmesi ve yenisini eklemesi gerekir.

Sonraki adımlar

Geçiş anahtarı (FIDO2) parolasız kimlik doğrulaması için yerel uygulama ve tarayıcı desteği

FIDO2 güvenlik anahtarı Windows 10 oturum açma

Şirket içi kaynaklarda FIDO2 kimlik doğrulamasını etkinleştirme

Güvenlik anahtarlarını kullanıcılar adına kaydetme

Cihaz kaydı hakkında daha fazla bilgi edinin

Microsoft Entra çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi edinin