Parolasız kimlik doğrulama yöntemlerini kaydetmek için Geçici Erişim Geçişi'ni yapılandırma
Microsoft Authenticator uygulaması aracılığıyla FIDO2 ve parolasız telefon oturumu açma gibi parolasız kimlik doğrulama yöntemleri, kullanıcıların parola olmadan güvenli bir şekilde oturum açmasını sağlar.
Kullanıcılar parolasız yöntemleri iki yoldan biriyle önyükleyebilir:
- Mevcut Microsoft Entra çok faktörlü kimlik doğrulama yöntemlerini kullanma
- Geçici Erişim Geçişi Kullanma
Geçici Erişim Geçişi (TAP), tek kullanım veya birden çok kullanım için yapılandırılabilir zaman sınırlı bir geçiş kodudur. Kullanıcılar Microsoft Authenticator, FIDO2 ve İş İçin Windows Hello gibi diğer parolasız kimlik doğrulama yöntemlerini eklemek için TAP ile oturum açabilir.
TAP ayrıca, bir kullanıcı FIDO2 güvenlik anahtarı veya Microsoft Authenticator uygulaması gibi güçlü kimlik doğrulama faktörünü kaybettiğinde veya unuttuğunda kurtarmayı kolaylaştırır, ancak yeni güçlü kimlik doğrulama yöntemlerini kaydetmek için oturum açması gerekir.
Bu makalede, Microsoft Entra yönetim merkezini kullanarak BIR TAP'yi etkinleştirme ve kullanma hakkında bilgi verilmektedir. Bu eylemleri REST API'lerini kullanarak da gerçekleştirebilirsiniz.
Geçici Erişim Geçişi ilkesini etkinleştirme
TAP ilkesi, kiracıda oluşturulan geçişlerin ömrü veya oturum açmak için TAP kullanabilen kullanıcılar ve gruplar gibi ayarları tanımlar.
Kullanıcıların TAP ile oturum açabilmesi için önce kimlik doğrulama yöntemi ilkesinde bu yöntemi etkinleştirmeniz ve TAP kullanarak hangi kullanıcıların ve grupların oturum açabileceğini seçmeniz gerekir.
Herhangi bir kullanıcı için BIR TAP oluşturabilirsiniz, ancak yalnızca ilkeye dahil olan kullanıcılar bu kullanıcıyla oturum açabilir. En azından Kimlik Doğrulama İlkesi Yöneticisi rolüne sahip olanlar TAP kimlik doğrulama yöntemi ilkesini güncelleştirebilir.
TAP kimlik doğrulama yöntemi ilkesini yapılandırmak için:
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Koruma>Kimlik Doğrulama yöntemleri İlkeleri'ne> göz atın.
Kullanılabilir kimlik doğrulama yöntemleri listesinde Geçici Erişim Geçişi'ni seçin.
Etkinleştir'e tıklayın ve ilkeye dahil etmek veya ilkenin dışında tutmak için kullanıcıları seçin.
(İsteğe bağlı) Yapılandır'ı seçerek maksimum yaşam süresini veya uzunluğu ayarlama gibi varsayılan Geçici Erişim Geçişi ayarlarını değiştirin ve Güncelleştir'e tıklayın.
İlkeyi uygulamak için Kaydet'i seçin.
Varsayılan değer ve izin verilen değer aralığı aşağıdaki tabloda açıklanmıştır.
Ayar Varsayılan değerler İzin verilen değerler Yorum Minimum yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en az dakika sayısı. Maksimum yaşam süresi 8 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en fazla dakika sayısı. Varsayılan yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) İlke tarafından yapılandırılan minimum ve maksimum yaşam süresi içinde tek tek geçişler varsayılan değeri geçersiz kılabilir. Tek seferlik kullanım Yanlış Doğru/Yanlış İlke false olarak ayarlandığında, kiracıdaki geçişler geçerlilik süresi (maksimum yaşam süresi) sırasında bir veya birden çok kez kullanılabilir. TAP ilkesinde tek seferlik kullanım zorunluluğuyla, kiracıda oluşturulan tüm geçişler tek seferlik kullanımdır. Uzunluk 8 8-48 karakter Geçiş kodunun uzunluğunu tanımlar.
Geçici Erişim Geçişi Oluşturma
Tap ilkesini etkinleştirdikten sonra, Microsoft Entra Id'de kullanıcılar için TP'ler oluşturabilirsiniz. Aşağıdaki roller bir TAP ile ilgili çeşitli eylemler gerçekleştirebilir.
- En azından Ayrıcalıklı Kimlik Doğrulama Yöneticisi rolüne atananlar, yöneticiler ve üyeler için (kendileri dışında) bir TAP oluşturabilir, silebilir ve görüntüleyebilir.
- Kimlik Doğrulama Yöneticileri üyeler için (kendileri dışında) bir TAP oluşturabilir, silebilir ve görüntüleyebilir.
- Genel Okuyucular kullanıcının TAP ayrıntılarını görüntüleyebilir (kodun kendisini okumadan).
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
Kimlik>Kullanıcıları'na göz atın.
TAP oluşturmak istediğiniz kullanıcıyı seçin.
Kimlik doğrulama yöntemleri'ne tıklayın ve Kimlik doğrulama yöntemi ekle'ye tıklayın.
Geçici Erişim Geçişi'ni seçin.
Özel bir etkinleştirme süresi veya süresi tanımlayın ve Ekle'yi seçin.
Eklendikten sonra, TAP'nin ayrıntıları gösterilir.
Önemli
Kullanıcıya bu değeri sağlayacağınız için gerçek TAP değerini not edin. Tamam'ı seçtikten sonra bu değeri görüntüleyemezsiniz.
İşiniz bittiğinde Tamam'ı seçin.
Aşağıdaki komutlar PowerShell kullanarak TAP oluşturma ve alma işlemini gösterir.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Daha fazla bilgi için bkz . New-MgUserAuthenticationTemporaryAccessPassMethod ve Get-MgUserAuthenticationTemporaryAccessPassMethod.
Geçici Erişim Geçişi Kullanma
TAP için en yaygın kullanım, kullanıcının ek güvenlik istemlerini tamamlamaya gerek kalmadan ilk oturum açma veya cihaz kurulumu sırasında kimlik doğrulama ayrıntılarını kaydetmesidir. Kimlik doğrulama yöntemleri adresinde https://aka.ms/mysecurityinfokaydedilir. Kullanıcılar burada mevcut kimlik doğrulama yöntemlerini de güncelleştirebilir.
için bir web tarayıcısı https://aka.ms/mysecurityinfoaçın.
TAP'yi oluşturduğunuz hesabın UPN'sini girin, örneğin tapuser@contoso.com.
Kullanıcı TAP ilkesine dahil edilirse, TAP'sini girmek için bir ekran görür.
Microsoft Entra yönetim merkezinde görüntülenen TAP'yi girin.
Not
Federasyon etki alanları için, federasyon yerine TAP tercih edilir. TAP'ye sahip bir kullanıcı Microsoft Entra Id'de kimlik doğrulamasını tamamlar ve federasyon Kimlik Sağlayıcısı'na (IdP) yeniden yönlendirilmiyor.
Kullanıcı artık oturum açtı ve FIDO2 güvenlik anahtarı gibi bir yöntemi güncelleştirebilir veya kaydedebilir.
Kimlik bilgilerini veya cihazlarını kaybettiği için kimlik doğrulama yöntemlerini güncelleştiren kullanıcılar, eski kimlik doğrulama yöntemlerini kaldırdığından emin olmalıdır.
Kullanıcılar ayrıca parolalarını kullanarak oturum açmaya devam edebilir; TAP, kullanıcının parolasını değiştirmez.
Geçici Erişim Geçişi kullanıcı yönetimi
Güvenlik bilgilerini https://aka.ms/mysecurityinfo yöneten kullanıcılar Geçici Erişim Geçişi için bir giriş görür. Kullanıcının başka kayıtlı yöntemi yoksa, ekranın üst kısmında yeni bir oturum açma yöntemi ekleme yazan bir başlık alır. Kullanıcılar ayrıca TAP sona erme süresini görebilir ve artık gerekli değilse TAP'i silebilir.
Windows cihaz kurulumu
TAP kullanan kullanıcılar, cihaz birleştirme işlemlerini gerçekleştirmek ve İş İçin Windows Hello yapılandırmak için Windows 10 ve 11'de kurulum işleminde gezinebilir. İş İçin Windows Hello ayarlamaya yönelik TAP kullanımı, cihazların katılmış durumuna göre değişir.
Microsoft Entra Id'ye katılmış cihazlar için:
- Etki alanına katılma kurulum işlemi sırasında, kullanıcılar cihaza katılmak ve İş İçin Windows Hello kaydetmek için bir TAP (parola gerekmez) ile kimlik doğrulaması yapabilir.
- Zaten katılmış cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
- Windows'da Web'de oturum açma özelliği de etkinleştirildiyse, kullanıcı cihazda oturum açmak için TAP kullanabilir. Bu yalnızca ilk cihaz kurulumunu tamamlamaya veya kullanıcı parola bilmediğinde veya parolaya sahip olmadığında kurtarma işlemine yöneliktir.
Karma birleştirilmiş cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
Parolasız telefon oturumu açma
Kullanıcılar, doğrudan Authenticator uygulamasından parolasız telefonla oturum açmaya kaydolmak için TAP'lerini de kullanabilir.
Daha fazla bilgi için bkz . İş veya okul hesabınızı Microsoft Authenticator uygulamasına ekleme.
Konuk erişimi
Konuk kullanıcılar, TAP ev kiracısı kimlik doğrulaması gereksinimini karşılıyorsa, ev kiracısı tarafından verilen bir TAP ile bir kaynak kiracısında oturum açabilir.
Kaynak kiracısı için çok faktörlü kimlik doğrulaması (MFA) gerekiyorsa, konuk kullanıcının kaynağa erişim kazanmak için MFA gerçekleştirmesi gerekir.
Sona erme
Süresi dolmuş veya silinmiş bir TAP, etkileşimli veya etkileşimli olmayan kimlik doğrulaması için kullanılamaz.
TAP süresi dolduktan veya silindikten sonra kullanıcıların farklı kimlik doğrulama yöntemleriyle yeniden kimlik doğrulamasına sahip olması gerekir.
TAP oturum açma bilgileri kullanılarak elde edilen belirteç ömrü (oturum belirteci, yenileme belirteci, erişim belirteci vb.) TAP ömrüyle sınırlıdır. TAP'nin süresi dolduğunda ilişkili belirtecin süresinin dolmasına yol açar.
Süresi dolan Geçici Erişim Geçişini silme
Bir kullanıcının kimlik doğrulama yöntemleri altında, Ayrıntı sütunu TAP'nin süresinin ne zaman dolduğunda gösterilir. Süresi dolmuş bir TAP'i aşağıdaki adımları kullanarak silebilirsiniz:
- Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
- Kimlik>Kullanıcıları'na göz atın, Kullanıcı'ya dokunun gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.
- Listede gösterilen Geçici Erişim Geçişi kimlik doğrulama yönteminin sağ tarafında Sil'i seçin.
PowerShell'i de kullanabilirsiniz:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Daha fazla bilgi için bkz . Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Geçici Erişim Geçişini Değiştirme
- Her kullanıcının yalnızca bir TAP'i olabilir. Geçiş kodu, TAP'nin başlangıç ve bitiş zamanında kullanılabilir.
- Bir kullanıcı yeni bir TAP gerektiriyorsa:
- Mevcut TAP geçerliyse, yönetici mevcut geçerli TAP'ı geçersiz kılmak için yeni bir TAP oluşturabilir.
- Mevcut TAP'in süresi dolduysa, yeni bir TAP mevcut TAP'i geçersiz kılar.
Ekleme ve kurtarma için NIST standartları hakkında daha fazla bilgi için bkz . NIST Özel Yayını 800-63A.
Sınırlama
Şu sınırlamaları göz önünde bulundurun:
- FIDO2 güvenlik anahtarı veya telefon oturumu açma gibi parolasız bir yöntemi kaydetmek için tek seferlik TAP kullanırken, kullanıcının kaydı tek seferlik TAP ile oturum açma işleminden sonra 10 dakika içinde tamamlaması gerekir. Bu sınırlama, birden çok kez kullanılabilen bir TAP için geçerli değildir.
- Self servis parola sıfırlama (SSPR) kayıt ilkesi veya Microsoft Entra Kimlik Koruması çok faktörlü kimlik doğrulama kayıt ilkesi kapsamındaki kullanıcılar, tarayıcı kullanarak TAP ile oturum açtıktan sonra kimlik doğrulama yöntemlerini kaydetmek için gereklidir. Bu ilkelerin kapsamındaki kullanıcılar, birleşik kaydın Kesme moduna yönlendirilir. Bu deneyim şu anda FIDO2 ve telefon oturum açma kaydını desteklememektedir.
- TAP, Ağ İlkesi Sunucusu (NPS) uzantısı ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) bağdaştırıcısı ile kullanılamaz.
- Değişikliklerin çoğaltılması birkaç dakika sürebilir. Bu nedenle, bir hesaba BIR TAP eklendikten sonra istemin görünmesi biraz zaman alabilir. Aynı nedenle, bir TAP'in süresi dolduktan sonra kullanıcılar yine de TAP istemi görebilir.
Sorun giderme
- Oturum açma sırasında bir TAP kullanıcıya sunulmazsa:
- Kullanıcının TAP kimlik doğrulama yöntemi ilkesi kapsamında olduğundan emin olun.
- Kullanıcının geçerli bir TAP'sine sahip olduğundan ve bir kerelik kullanımdaysa henüz kullanılmadığından emin olun.
- Tap ile oturum açma sırasında Kullanıcı Kimlik Bilgileri İlkesi göründüğü için Geçici Erişim Geçişi oturum açma engellendiyse:
- Kimlik doğrulama yöntemi ilkesi için tek seferlik TAP gerekirken kullanıcının çok kullanımlı BIR TAP'i olmadığından emin olun.
- Bir kerelik TAP'in zaten kullanılıp kullanılmadığını denetleyin.
- TAP oturum açma işlemi Kullanıcı Kimlik Bilgisi İlkesi nedeniyle engellendiyse, kullanıcının TAP ilkesi kapsamında olup olmadığını denetleyin.