Parolasız kimlik doğrulama yöntemlerini kaydetmek için Geçici Erişim Kodunu yapılandırma
Geçiş anahtarı (FIDO2) gibi parolasız kimlik doğrulama yöntemleri, kullanıcıların parola olmadan güvenli bir şekilde oturum açmasına olanak sağlar. Kullanıcılar parolasız yöntemleri iki yoldan biriyle önyükleyebilir:
- Mevcut Microsoft Entra çok faktörlü kimlik doğrulama yöntemlerini kullanma
- Geçici Erişim Geçişi Kullanma
Geçici Erişim Geçişi (TAP), tek kullanım veya birden çok oturum açma için yapılandırılabilir zaman sınırlı bir geçiş kodudur. Kullanıcılar, diğer parolasız kimlik doğrulama yöntemlerini eklemek için BIR TAP ile oturum açabilir. TAP ayrıca kullanıcı güçlü bir kimlik doğrulama yöntemini kaybettiğinde veya unuttuğunda kurtarmayı kolaylaştırır.
Bu makalede, Microsoft Entra yönetim merkezini kullanarak BIR TAP'yi etkinleştirme ve kullanma hakkında bilgi verilmektedir. Bu eylemleri REST API'lerini kullanarak da gerçekleştirebilirsiniz.
Geçici Erişim Geçişi ilkesini etkinleştirme
TAP ilkesi, kiracıda oluşturulan geçişlerin ömrü veya oturum açmak için TAP kullanabilen kullanıcılar ve gruplar gibi ayarları tanımlar.
Kullanıcıların TAP ile oturum açabilmesi için önce Kimlik doğrulama yöntemleri ilkesinde bu yöntemi etkinleştirmeniz ve TAP kullanarak hangi kullanıcıların ve grupların oturum açabileceğini seçmeniz gerekir.
Herhangi bir kullanıcı için BIR TAP oluşturabilirsiniz, ancak yalnızca ilkeye dahil olan kullanıcılar bu kullanıcıyla oturum açabilir. TAP Kimlik Doğrulama yöntemleri ilkesini güncelleştirmek için Kimlik Doğrulama İlkesi Yöneticisi rolüne sahip olmanız gerekir.
Kimlik doğrulama yöntemleri ilkesinde TAP'yi yapılandırmak için:
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
KorumaKimlik Doğrulama yöntemleri İlkeleri'ne>> göz atın.
Kullanılabilir kimlik doğrulama yöntemleri listesinde Geçici Erişim Geçişi'ni seçin.
Etkinleştir'e tıklayın ve ilkeye dahil etmek veya ilkenin dışında tutmak için kullanıcıları seçin.
(İsteğe bağlı) Yapılandır'ı seçerek maksimum yaşam süresini veya uzunluğu ayarlama gibi varsayılan Geçici Erişim Geçişi ayarlarını değiştirin ve Güncelleştir'e tıklayın.
İlkeyi uygulamak için Kaydet'i seçin.
Varsayılan değer ve izin verilen değer aralığı aşağıdaki tabloda açıklanmıştır.
Ayar Varsayılan değerler İzin verilen değerler Açıklamalar Minimum yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en az dakika sayısı. Maksimum yaşam süresi 8 saat 10 – 43.200 Dakika (30 gün) TAP'nin geçerli olduğu en fazla dakika sayısı. Varsayılan yaşam süresi 1 saat 10 – 43.200 Dakika (30 gün) İlke tarafından yapılandırılan minimum ve maksimum yaşam süresi içinde tek tek geçişler varsayılan değeri geçersiz kılabilir. Tek seferlik kullanım False Doğru/Yanlış İlke false olarak ayarlandığında, kiracıdaki geçişler geçerlilik süresi (maksimum yaşam süresi) sırasında bir veya birden çok kez kullanılabilir. TAP ilkesinde tek seferlik kullanım zorunluluğuyla, kiracıda oluşturulan tüm geçişler tek seferlik kullanımdır. Length 8 8-48 karakter Geçiş kodunun uzunluğunu tanımlar.
Geçici Erişim Geçişi Oluşturma
Tap ilkesini etkinleştirdikten sonra, Microsoft Entra Id'de kullanıcılar için bir TAP ilkesi oluşturabilirsiniz. Aşağıdaki roller bir TAP ile ilgili çeşitli eylemler gerçekleştirebilir.
- Privileged Authentication Administrators yöneticiler ve üyeler için (kendileri dışında) bir TAP oluşturabilir, silebilir ve görüntüleyebilir.
- Kimlik Doğrulama Yöneticileri üyeler için TAP oluşturabilir, silebilir ve görüntüleyebilir (kendileri dışında).
- Kimlik Doğrulama İlkesi Yöneticileri TAP'yi etkinleştirebilir, grupları dahil edebilir veya dışlayabilir ve Kimlik doğrulama yöntemleri ilkesini düzenleyebilir.
- Genel Okuyucular kullanıcının TAP ayrıntılarını görüntüleyebilir (kodun kendisini okumadan).
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
Kimlik> göz atın.
TAP oluşturmak istediğiniz kullanıcıyı seçin.
Kimlik doğrulama yöntemleri'ne tıklayın ve Kimlik doğrulama yöntemi ekle'ye tıklayın.
Geçici Erişim Geçişi'ni seçin.
Özel bir etkinleştirme süresi veya süresi tanımlayın ve Ekle'yi seçin.
Eklendikten sonra, TAP'nin ayrıntıları gösterilir.
Önemli
Kullanıcıya bu değeri sağlayacağınız için gerçek TAP değerini not edin. Tamam'ı seçtikten sonra bu değeri görüntüleyemezsiniz.
İşiniz bittiğinde Tamam'ı seçin.
Aşağıdaki komutlar PowerShell kullanarak TAP oluşturma ve alma işlemini gösterir.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Daha fazla bilgi için bkz . New-MgUserAuthenticationTemporaryAccessPassMethod ve Get-MgUserAuthenticationTemporaryAccessPassMethod.
Geçici Erişim Geçişi Kullanma
TAP için en yaygın kullanım, kullanıcının ek güvenlik istemlerini tamamlamaya gerek kalmadan ilk oturum açma veya cihaz kurulumu sırasında kimlik doğrulama ayrıntılarını kaydetmesidir. Kimlik doğrulama yöntemleri adresinde https://aka.ms/mysecurityinfokaydedilir. Kullanıcılar burada mevcut kimlik doğrulama yöntemlerini de güncelleştirebilir.
için bir web tarayıcısı https://aka.ms/mysecurityinfoaçın.
TAP'yi oluşturduğunuz hesabın UPN'sini girin, örneğin tapuser@contoso.com.
Kullanıcı TAP ilkesine dahil edilirse, TAP'sini girmek için bir ekran görür.
Microsoft Entra yönetim merkezinde görüntülenen TAP'yi girin.
Not
Federasyon etki alanları için, federasyon yerine TAP tercih edilir. TAP'ye sahip bir kullanıcı Microsoft Entra Id'de kimlik doğrulamasını tamamlar ve federasyon Kimlik Sağlayıcısı'na (IdP) yeniden yönlendirilmiyor.
Kullanıcı artık oturum açtı ve FIDO2 güvenlik anahtarı gibi bir yöntemi güncelleştirebilir veya kaydedebilir. Kimlik bilgilerini veya cihazlarını kaybettiği için kimlik doğrulama yöntemlerini güncelleştiren kullanıcılar, eski kimlik doğrulama yöntemlerini kaldırdığından emin olmalıdır. Kullanıcılar ayrıca parolalarını kullanarak oturum açmaya devam edebilir; TAP, kullanıcının parolasını değiştirmez.
Geçici Erişim Geçişi kullanıcı yönetimi
Güvenlik bilgilerini https://aka.ms/mysecurityinfo yöneten kullanıcılar Geçici Erişim Geçişi için bir giriş görür. Kullanıcının başka kayıtlı yöntemi yoksa, ekranın üst kısmında yeni bir oturum açma yöntemi ekleme yazan bir başlık alır. Kullanıcılar ayrıca TAP sona erme süresini görebilir ve artık gerekli değilse TAP'i silebilir.
Windows cihaz kurulumu
TAP kullanan kullanıcılar, cihaz birleştirme işlemlerini gerçekleştirmek ve İş İçin Windows Hello yapılandırmak için Windows 10 ve 11'de kurulum işleminde gezinebilir. İş İçin Windows Hello ayarlamaya yönelik TAP kullanımı, cihazların katılmış durumuna göre değişir.
Microsoft Entra Id'ye katılmış cihazlar için:
- Etki alanına katılma kurulum işlemi sırasında, kullanıcılar cihaza katılmak ve İş İçin Windows Hello kaydetmek için bir TAP (parola gerekmez) ile kimlik doğrulaması yapabilir.
- Zaten katılmış cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
- Windows'da Web'de oturum açma özelliği de etkinleştirildiyse, kullanıcı cihazda oturum açmak için TAP kullanabilir. Bu yalnızca ilk cihaz kurulumunu tamamlamaya veya kullanıcı parola bilmediğinde veya parolaya sahip olmadığında kurtarma işlemine yöneliktir.
Karma birleştirilmiş cihazlarda, kullanıcıların İş İçin Windows Hello ayarlamak için TAP kullanmadan önce parola, akıllı kart veya FIDO2 anahtarı gibi başka bir yöntemle kimlik doğrulaması yapması gerekir.
TAP'i Microsoft Authenticator ile kullanma
Kullanıcılar, Microsoft Authenticator'ı hesaplarına kaydetmek için TAP'lerini de kullanabilir. İş veya okul hesabı ekleyerek ve TAP ile oturum açarak kullanıcılar doğrudan Authenticator uygulamasından hem geçiş tuşlarını hem de parolasız telefon oturum açma bilgilerini kaydedebilir.
Daha fazla bilgi için bkz . İş veya okul hesabınızı Microsoft Authenticator uygulamasına ekleme.
Konuk erişimi
Bir TAP'yi dahili bir konuk için oturum açma yöntemi olarak ekleyebilirsiniz, ancak diğer konuk türlerine ekleyemezsiniz. Bir iç konuk, kullanıcı nesnesi UserTypeKonukolarak ayarlandı. Microsoft Entra Id'de kayıtlı kimlik doğrulama yöntemleri vardır. İç konuklar ve diğer konuk hesapları hakkında daha fazla bilgi için bkz.
Microsoft Entra yönetim merkezinde veya Microsoft Graph'te dış konuk hesabına TAP eklemeye çalışırsanız, geçici erişim geçişinin dış konuk kullanıcıya eklenemeyeceğini belirten bir hata alırsınız.
Dış konuk kullanıcılar, TAP, ev kiracısının kimlik doğrulama gereksinimlerini karşılıyorsa ve Kiracılar Arası Erişim ilkeleri, kullanıcıların ev kiracısından gelen MFA'yı güvenilir olarak yapılandırdıysa, ev kiracıları tarafından verilen bir TAP ile bir kaynak kiracısında oturum açabilirler. B2B işbirliği için, Kiracılar arası erişim ayarlarını yönetme bölümüne bakın.
Süre Sonu
Süresi dolmuş veya silinmiş bir TAP, etkileşimli veya etkileşimli olmayan kimlik doğrulaması için kullanılamaz.
TAP süresi dolduktan veya silindikten sonra kullanıcıların farklı kimlik doğrulama yöntemleriyle yeniden kimlik doğrulamasına sahip olması gerekir.
TAP oturum açma bilgileri kullanılarak elde edilen belirteç ömrü (oturum belirteci, yenileme belirteci, erişim belirteci vb.) TAP ömrüyle sınırlıdır. TAP'nin süresi dolduğunda ilişkili belirtecin süresinin dolmasına yol açar.
Süresi dolan Geçici Erişim Geçişini silme
Bir kullanıcının kimlik doğrulama yöntemleri altında, Ayrıntı sütunu TAP'nin süresinin ne zaman dolduğunda gösterilir. Süresi dolmuş bir TAP'i aşağıdaki adımları kullanarak silebilirsiniz:
- Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama Yöneticisi olarak oturum açın.
- Kimlik> göz atın, Kullanıcı'ya dokunun gibi bir kullanıcı seçin ve ardından Kimlik doğrulama yöntemleri'ni seçin.
- Listede gösterilen Geçici Erişim Geçişi kimlik doğrulama yönteminin sağ tarafında Sil'i seçin.
PowerShell'i de kullanabilirsiniz:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Daha fazla bilgi için bkz . Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Geçici Erişim Geçişini Değiştirme
- Her kullanıcının yalnızca bir TAP'i olabilir. Geçiş kodu, TAP'nin başlangıç ve bitiş zamanında kullanılabilir.
- Bir kullanıcı yeni bir TAP gerektiriyorsa:
- Mevcut TAP geçerliyse, yönetici mevcut geçerli TAP'ı geçersiz kılmak için yeni bir TAP oluşturabilir.
- Mevcut TAP'in süresi dolduysa, yeni bir TAP mevcut TAP'i geçersiz kılar.
Ekleme ve kurtarma için NIST standartları hakkında daha fazla bilgi için bkz . NIST Özel Yayını 800-63A.
Sınırlamalar
Şu sınırlamaları göz önünde bulundurun:
- FIDO2 güvenlik anahtarı veya telefon oturumu açma gibi parolasız bir yöntemi kaydetmek için tek seferlik TAP kullanırken, kullanıcının kaydı tek seferlik TAP ile oturum açma işleminden sonra 10 dakika içinde tamamlaması gerekir. Bu sınırlama, birden çok kez kullanılabilen bir TAP için geçerli değildir.
- Self servis parola sıfırlama (SSPR) kayıt ilkesi veyaMicrosoft Entra Kimlik Koruması çok faktörlü kimlik doğrulama kayıt ilkesi kapsamındaki kullanıcılar, tarayıcı kullanarak TAP ile oturum açtıktan sonra kimlik doğrulama yöntemlerini kaydetmek için gereklidir. Bu ilkelerin kapsamındaki kullanıcılar, birleşik kaydın Kesme moduna yönlendirilir. Bu deneyim şu anda FIDO2 ve telefon oturum açma kaydını desteklememektedir.
- TAP, Ağ İlkesi Sunucusu (NPS) uzantısı ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) bağdaştırıcısı ile kullanılamaz.
- Değişikliklerin çoğaltılması birkaç dakika sürebilir. Bu nedenle, bir hesaba BIR TAP eklendikten sonra istemin görünmesi biraz zaman alabilir. Aynı nedenle, bir TAP'in süresi dolduktan sonra kullanıcılar yine de TAP istemi görebilir.
Sorun giderme
- Oturum açma sırasında bir TAP kullanıcıya sunulmazsa:
- Kullanıcının Kimlik doğrulama yöntemleri ilkesinde TAP kullanımı kapsamında olduğundan emin olun.
- Kullanıcının geçerli bir TAP'sine sahip olduğundan ve bir kerelik kullanımdaysa henüz kullanılmadığından emin olun.
- Tap ile oturum açma sırasında Kullanıcı Kimlik Bilgileri İlkesi göründüğü için Geçici Erişim Geçişi oturum açma engellendiyse:
- Kullanıcının TAP ilkesi kapsamında olup olmadığını denetleyin
- Kimlik doğrulama yöntemleri ilkesi için tek seferlik TAP gerektirirken, kullanıcının birden fazla kullanım için TAP'e sahip olmadığından emin olun.
- Bir kerelik TAP'in zaten kullanılıp kullanılmadığını denetleyin.
- Geçici Erişim Geçişi bir dış konuk kullanıcıya eklenemiyorsa, bir hesaba kimlik doğrulama yöntemi olarak TAP eklemeyi denediğinizde görüntülenirse, hesap bir dış konuk olur. Hem iç hem de dış konuk hesapları, Microsoft Entra yönetim merkezinde ve Microsoft Graph API'lerinde oturum açmak için BIR TAP ekleme seçeneğine sahiptir, ancak yalnızca iç konuk hesaplarına TAP yapılabilir.