Parola kullanımını sınırlama

Günümüzde çoğu bilgisayar sistemi, güvenlik için temel olarak kullanıcı kimlik bilgilerini kullanarak yeniden kullanılabilir, kullanıcı tarafından oluşturulan parolalara bağımlı hale getirmektedir. Bu da parolaların hesap güvenliğinin aşılmasına ve veri ihlallerine yol açan en yaygın neden haline gelmesine yol açmıştır. Buna örnek olarak, parolalar iletim halinde kesilebilir veya bir sunucudan çalınabilir (kimlik avı veya parola spreyi saldırıları yoluyla) ve bir kullanıcı hesabına erişim kazanmak için gizliliği tehlikeye girebilir.

Güvenlik ve hesap korumasını geliştirmek için HoloLens 2, microsoft bulutu için sorunsuz erişim sunarak cihaz oturum açma için güçlü, donanım destekli "parolasız" kimlik bilgilerini (Windows Hello dahil) etkinleştirme özelliğine sahiptir.

Başka bir cihazdan oturum açma

HoloLens 2, karmaşık parolalar yazma gereksinimini azaltmak ve kimlik bilgileri olarak parola gereksinimini en aza indirmek için ilk cihaz kurulumu ve kullanıcı oturumu açma sırasında Microsoft Entra ID iş hesapları için uzaktan cihaz oturum açma seçenekleri sunar. Kimlik doğrulaması yapmak için akıllı kart kullanan kullanıcılar ve kuruluşlar bu kimlik bilgilerini HoloLens 2 gibi cihazlarda kullanmakta zorlanır ve kuruluşlar genellikle sorunu çözmek için karmaşık sistemler ve maliyetli süreçler geliştirir. Bu sorunu çözmek için Microsoft Entra ID, HoloLens 2'da parolasız oturum açma için iki seçenek sunar.

İlk kimlik doğrulama yöntemi, bir cihaza bağlı kullanıcı kimlik bilgilerini etkinleştiren anahtar tabanlı kimlik doğrulaması sağlamak için Microsoft Authenticator uygulamasındaki yeni özelliklere dayanır. Yönetici tarafından bir kiracıda etkinleştirildikten sonra, HoloLens cihaz kurulumu sırasında kullanıcılara uygulamalarında bir numaraya dokunmalarını söyleyen bir ileti gösterilir. Ardından kimlik doğrulayıcı uygulamasındaki sayıyla eşleşmeli, Onayla'yı seçmeli, PIN'lerini sağlamalı veya HoloLens kurulumlarının devam etmesi için biyometrik kimlik doğrulamasını tamamlamalıdır. Bu, parolasız oturum açmada daha ayrıntılı olarak açıklanmıştır.

İkincisi, kullanıcılar için sezgisel olan ve ek altyapı gerektirmeyen bir cihaz kodu akışıdır. Bu uzaktan oturum açma davranışı, kuruluşun tercih edilen kimlik doğrulama mekanizmasını destekleyen başka bir güvenilir cihaza dayanır ve tamamlandığında oturum açma veya cihaz kurulumunu tamamlamak için belirteçler HoloLens'e geri verilir. Bu akıştaki adımlar şunlardır:

1. OOBE'de ilk cihaz kurulumu veya oturum açma akışlarından geçen bir kullanıcıya "Başka bir cihazdan oturum aç" bağlantısı sunulur ve bu bağlantıya dokunur. Bu, uzaktan oturum açma oturumu başlatır.
2. Daha sonra kullanıcıya, Microsoft Entra ID Güvenli Belirteç Hizmeti'nin (https://microsoft.com/deviceloginSTS) cihaz kimlik doğrulama uç noktasını işaret eden kısa bir URI () içeren bir yoklama sayfası gösterilir. Kullanıcıya ayrıca bulutta güvenli bir şekilde oluşturulan ve en fazla 15 dakikalık ömrü olan tek seferlik bir kod sunulur. Kod oluşturma ile birlikte, Microsoft Entra ID önceki adımda uzaktan oturum açma isteğinin başlatılmasından sonra şifrelenmiş bir oturum oluşturur ve uzaktan oturum açma isteğini onaylamak için URI ve kod birlikte kullanılır.
3. Ardından kullanıcı başka bir cihazdan URI'ye gider ve HoloLens 2 cihazında görüntülenen kodu girmesi istenir.
4. Kullanıcı kodu girdikten sonra Microsoft Entra STS, uzaktan oturum açma isteğini tetikleyen ve kodun oluşturulmasını isteyen kullanıcının HoloLens 2 cihazını gösteren bir sayfa görüntüler. Ardından kullanıcıdan kimlik avı saldırılarını önlemek için onay istenir.
5. Kullanıcı görüntülenen 'uygulamada' oturum açmaya devam etmeyi seçerse, Microsoft Entra STS kullanıcıdan kimlik bilgilerini ister. Kimlik doğrulamasının başarılı olması Microsoft Entra STS, önbelleğe alınan uzak oturumu yetkilendirme koduyla birlikte 'onaylandı' olarak güncelleştirir.
6. Son olarak, kullanıcının HoloLens 2 cihazındaki yoklama sayfası Microsoft Entra ID 'Yetkili' yanıtı alır ve kullanıcı kodunu, ilişkili depolanmış yetkilendirme kodunu doğrulamaya devam eder ve cihaz kurulumunu tamamlamak için istenen OAuth belirteçlerini oluşturur. Oluşturulan kimlik doğrulama belirteci 1 saat geçerlidir ve yenileme belirtecinin yaşam süresi 90 gündür.

Bu akışta kullanılan kod oluşturma ve şifreleme algoritmalarının her ikisi de FIPS uyumlu olsa da, HoloLens 2 şu anda FIPS sertifikalı değildir. HoloLens 2 cihazlar, donanım korumalı anahtarları kullanarak cihaz anahtarlarının güvenliğini sağlamak ve kullanıcı kimlik doğrulamasından sonra oluşturulan belirteçleri şifrelemek için TPM'yi kullanır. HoloLens 2 üzerindeki belirteç güvenliği hakkında daha fazla bilgi Birincil Yenileme Belirteci (PRT) nedir? bölümünde paylaşılır.

Windows Hello ile cihazda oturum açma

Windows Hello, doğrudan işletim sisteminde yerleşik olarak bulunan ve kullanıcıların Iris veya PIN kullanarak cihazda oturum açmasına izin vermek için parolasız seçenekler sunar. PIN her zaman kimlik bilgisi olarak kullanılabilir ve cihaz kurulumu için gereklidir, ancak Iris isteğe bağlıdır ve atlanabilir. Kullanıcılar, kişisel Microsoft hesabını kullanarak HoloLens cihazlarında oturum açabilir veya parola girmeden iş hesabı Microsoft Entra ID. Bunlar gibi seçenekler kullanıcılara tam Windows deneyimlerine, uygulamalarına, verilerine, web sitelerine ve hizmetlerine hızlı ve güvenli erişim sunar. Microsoft'un parolasız deneyimlere yönelik stratejisi burada ayrıntılı olarak anlatılır.

bir Windows Hello kimlik bilgisi oluşturulduğunda, kimlik sağlayıcısıyla güvenilir bir ilişki kurar ve kimlik doğrulaması için asimetrik bir anahtar çifti oluşturur. Windows Hello hareketi (iris veya PIN gibi), cihazın Güvenilir Platform Modülü (TPM) yongası tarafından desteklenen özel anahtarın şifresini çözmek için entropi sağlar. Bu özel anahtar daha sonra kimlik doğrulama sunucusuna gönderilen istekleri imzalamak için kullanılır ve başarılı bir kimlik doğrulamasından sonra kullanıcıya posta, resim ve diğer hesap ayarlarına erişim verilir.

Daha fazla bilgi için aşağıdaki bilgi grafiğine bakın:

Yukarıda gösterilen grafikte, nonce değerinin "bir kez sayı" anlamına geldiğini ve rastgele veya yarı rastgele oluşturulan bir sayı olduğunu unutmayın. Windows Hello Biyometrik veya PIN kimlik bilgileri ayarlandıktan sonra, sağlandığı cihazdan asla ayrılmaz. Kullanıcının kimlik avı saldırısı gibi Windows Hello PIN'i çalınsa bile kullanıcının fiziksel cihazı olmadan işe yaramaz.

Ek güvenlik için Windows Hello kimlik bilgileri Güvenilir Platform Modülü (TPM) tarafından korunarak kimlik bilgilerinin değiştirilmeye karşı dayanıklı olmasını sağlar ve birden çok yanlış girişe karşı çekiçleme önleme korumaları ve açığa çıkılmasını önlemek için kötü amaçlı yazılım koruması ile desteklenir. Tek Sign-On (SSO) hakkında daha fazla bilgi için SSO yöntemlerine genel bakışı okuyun.

Iris kimlik doğrulaması PIN'e geri döner. Cihazda yeni bir PIN (güçlü bir kimlik doğrulayıcı) ayarlamak için, kullanıcının işlemi tamamlamak için kısa süre önce Çok Faktörlü Kimlik Doğrulaması 'nı (MFA) geçmiş olması gerekir.

Web Hesabı Yöneticisi ile çoklu oturum açma

Çoklu oturum açma (SSO), parolasız kullanıcıların kullanıcının kişisel hesabını veya iş veya okul hesabını kullanarak cihazda oturum açmasına olanak tanır. Kullanıcı, Web Hesabı Yöneticisi API'leri aracılığıyla tüm tümleşik uygulamalarda ve hizmetlerde SSO ile otomatik olarak yetkilendirilmiştir.

Bir uygulama aracılığıyla bir kimlik eklendikten sonra, kullanıcı onayıyla sistem düzeyinde tümleştirmeyi kullanarak tüm uygulamalar ve hizmetler için kullanılabilir hale gelebilir. Bu, uygulama oturum açma yükünü önemli ölçüde azaltır ve kullanıcılara sorunsuz bir kimlik deneyimi sağlar.

Web Hesabı Yöneticisi API'lerini uygulama hakkında daha fazla bilgi için Bkz. Web Hesabı Yöneticisi API'lerini uygulama.

Özel kimlik doğrulama gereksinimlerine sahip uygulama paketleri için, Web Hesabı Yöneticisi (WAM) çerçevesi özel kimlik sağlayıcıları için genişletilebilir. Kullanıcılar, microsoft store'dan Evrensel Windows Platformu (UWP) uygulaması olarak paketlenmiş özel kimlik sağlayıcısını indirebilir ve bu kimlik sağlayıcısıyla tümleştirilmiş diğer uygulamalarda SSO'nun etkinleştirilmesini sağlayabilir.

Özel WAM Kimlik sağlayıcıları uygulama hakkında daha fazla bilgi için bkz. Özel WAM Kimlik Sağlayıcısı API başvurusu.

WebAuthn ile Windows Hello ve FIDO2 oturumu açma

HoloLens 2, Microsoft Edge aracılığıyla web'de ve WebAuthn'u destekleyen web sitelerinde güvenli bir şekilde oturum açmak için parolasız kullanıcı kimlik bilgilerini (Windows Hello veya FIDO2 güvenlik anahtarları gibi) kullanabilir. FIDO2, çevrimiçi hizmetler kimlik doğrulaması yapmak için kullanıcı kimlik bilgilerinin standartlara dayalı cihazlardan yararlanmasını sağlar.

Windows Hello olduğu gibi, kullanıcı bir FIDO2 kimlik bilgisi oluşturup kaydederken cihaz (HoloLens 2 veya FIDO2 güvenlik anahtarı), cihazda özel ve ortak bir anahtar oluşturur. Özel anahtar cihazda güvenli bir şekilde depolanır ve yalnızca biyometrik veya PIN gibi yerel bir hareket kullanılarak kilidi açıldıktan sonra kullanılabilir. Özel anahtar depolandığında, ortak anahtar buluttaki Microsoft hesap sistemine gönderilir ve ilişkili kullanıcı hesabına kaydedilir.

MSA ve Microsoft Entra hesabıyla oturum açtıktan sonra sistem, HoloLens 2 veya FIDO2 cihazına oluşturulan bir sayı veya veri değişkeni gönderir. HoloLens 2 veya cihaz, kimliği imzalamak için özel anahtarı kullanır. İmzalı kimlik ve meta veriler Microsoft hesap sistemine geri gönderilir ve ortak anahtar kullanılarak doğrulanır.

Windows Hello ve FIDO2 cihazları, holoLens cihazına, özellikle de yerleşik Güvenilen Platform Modülü güvenli kapanıma dayalı kimlik bilgilerini uygular. TPM kapanım özel anahtarı depolar ve kilidini açmak için biyometrik veya PIN gerektirir. Benzer şekilde, FIDO2 güvenlik anahtarı, özel anahtarı depolayan ve kilidini açmak için biyometrik veya PIN gerektiren yerleşik güvenli kapanıma sahip küçük bir dış cihazdır.

Her iki seçenek de tek adımda iki öğeli kimlik doğrulaması sunar ve hem kayıtlı bir cihazın hem de biyometrik veya PIN'in başarıyla oturum açmasını zorunlu kılarak. Daha fazla bilgi için aşağıdaki FIDO2 güvenlik anahtarı grafiği ve işlemiyle güçlü kimlik doğrulamasına bakın.

FIDO2 güvenlik anahtarı ile Güçlü Kimlik Doğrulaması

1. Kullanıcı FIDO2 güvenlik anahtarını HoloLens 2
2. Windows FIDO2 güvenlik anahtarını algılar
3. HoloLens kimlik doğrulama isteği gönderiyor
4. Microsoft Entra ID nonce'i geri gönderir
5. Kullanıcı, güvenlik anahtarının güvenli kapanımında özel anahtar depolarının kilidini açma hareketini tamamlar
6. FIDO2 güvenlik anahtarı özel anahtarla nonce imzalar
7. İmzalı nonce içeren PRT belirteci isteği Microsoft Entra ID
8. Microsoft Entra ID FIDO anahtarını doğrular
9. Microsoft Entra ID kaynaklara erişimi etkinleştirmek için PRT ve TGT döndürür

MSA ve Microsoft Entra ID, WebAuthn uygulayarak parolasız kimlik doğrulamasını destekleyen ilk bağlı taraflar arasındadır.

WebAuthn'u uygulamalar ve/veya SDK'larla kullanma hakkında daha fazla bilgi için Windows 10'da parolasız kimlik doğrulaması için WebAuthn API'leri'ne gidin.

HoloLens 2, parolasız oturum açma Microsoft Entra listelenen gereksinimlerin belirtilmesi ve karşılanması için uygulanan FIDO2 güvenlik cihazlarını destekler - FIDO2 güvenlik anahtarları desteklenmelidir. 23H2 sürümüyle, NFC okuyucuları FIDO2 güvenlik anahtarını okumak için kullanılabilir ve kullanıcının oturum açmak için güvenlik rozetine iki kez dokunmasını zorunlu kılabilir.

NFC okuyucuları için destek

HoloLens'in 23H2 sürümü, kullanıcıların NFC Okuyucuları'nı kullanma olanağını içerir. USB-C NFC okuyucu kullanarak HoloLens 2 cihaz, Azure AD tarafından desteklenen NFC FIDO2 kartlarıyla tümleştirilebilir. Temiz oda ortamlarındaki veya Kimlik Rozetlerinin FIDO teknolojisini içerdiği kullanıcılar için bu yöntem HoloLens Oturum Açma için "PIN & dokunun" deneyimini etkinleştirebilir. Bu özellik, kullanıcılar için daha hızlı oturum açma deneyimi sağlar.

USB NFC okuyucu desteği

USB temel sınıfı '0B' ve alt sınıfı '00' olan USB-CCID (Yonga Kartı Arabirim Cihazı) uyumlu NFC FIDO2 okuyucuları desteklenir. USB CCID cihazları için Microsoft sınıf sürücüsüyle ilgili ayrıntılar için USB CCID Akıllı Kartları için Microsoft Sınıf Sürücüleri'ne bakın. NFC okuyucunuzun HoloLens ile uyumlu olup olmadığını belirlemek için okuyucunun üreticisi tarafından sağlanan belgelere başvurabilir veya bilgisayarınızdaki Aygıt Yöneticisi aşağıdaki gibi kullanabilirsiniz:

1. USB NFC okuyucuyu bir Windows bilgisayara takın.
2. Aygıt Yöneticisi'da okuyucu cihazını bulun ve sağ tıklayın ve Özellikler'i seçin.
3. Ayrıntılar sekmesinde "Uyumlu Kimlikler" özelliklerini seçin ve listede "USB\Class_0b&SubClass_00" olup olmadığını denetleyin.

İster daha önce kullandığınız bir cihazda ister yeni bir cihazda oturum açın, NFC okuyucuyla oturum açmak için şu adımları izleyin:

1. "Diğer Kullanıcı" ekranında FIDO Tuşunu girin / NFC Tuşuna okuyucuya dokunun.

2. FIDO PIN'ini girin.

3. FIDO Tuşunun üzerindeki düğmeye basın / NFC Tuşuna okuyucuya karşı yeniden dokunun.

4. Cihaz oturum açar.

   a. Not: Kullanıcı cihazda yeniyse, Tek Biyometrik Açıklama Ekranı görüntülenir.

5. Ardından Başlat Menüsü görüntülenir.

Yerel hesaplar

Çevrimdışı mod dağıtımları için tek bir yerel hesap yapılandırılabilir. Yerel hesaplar varsayılan olarak etkin değildir ve cihaz sağlama sırasında yapılandırılması gerekir. Parola kullanarak oturum açmaları gerekir ve alternatif kimlik doğrulama yöntemlerini (İş İçin Windows Hello veya Windows Hello gibi) desteklemez.

HoloLens kullanıcı hesaplarıyla ilgili diğer ayrıntılar HoloLens Identity'de bulunabilir.

BT yöneticileri, AllowMicrosoftAccountConnection aracılığıyla kullanıcının e-postayla ilgili olmayan bağlantı kimlik doğrulaması ve hizmetleri için bir MSA hesabı kullanmasına izin verilip verilmeyeceğini ayarlar. Parola yapılandırma ilkeleri, kimlik doğrulama ilkeleri ve kilit ekranı ilkeleri için bkz. Cihaz Kilidi.