Merhaba, bir önceki yazımda Microsoft 365 Secure Score tanımını yapmıştık.
Microsoft 365 Defender: Secure Score Nedir? – Cengiz YILMAZ
Bu yazımızda Secure Score puanımı artırmak ve kullanıcılarımızın güvenliğini sağlamak için MFA etkinleştirme işlemi yapacağız.
MFA Nedir?
MFA, (Çok Faktörlü Kimlik Doğrulama) kullanıcılar oturum açma işlemi yaparken, cep telefonlarındaki uygulama üzerinden ek bir kod veya Parmak izi taraması gibi ek bir güvenlik yöntemidir.
Kullanıcılarınız için sadece parola doğrulaması kullanması güvenli olmayan bir yöntem olarak işaretlenmektedir. Ortamınızdaki parola politikası zayıfsa ve kullanıcılarınızın parolası İnternette başka bir yerde açığa çıkmışsa, kullanıcınızın hesabı güvenli değildir. Paroladan hariç ikinci bir kimlik doğrullama yöntemi kullanmanız kullanıcılarınızın ve kuruluşunuzun güvenliğini büyük ölçüde artırmaktadır.
Azure AD MFA aşağıda bulunan kimlik doğrulam yöntemleri ile çalışmaktadır.
- Parola
- Telefon veya donanım anahtarı
- Parmak izi veya yüz taraması
Azure AD MFA, parola sıfırlamayı daha da güvenli hale getirmektedir. Kullanıcılar kendilerini Azure AD Multi-Factor Authentication için kaydettirdiklerinde, tek adımda self servis parola sıfırlama için de kaydolabilmekteler.
Azure AD MFA Özellikleri ve Lisans Gereksinimleri
Microsoft 365 ve Azure AD kullanıcıları ile yöneticiler ek ücret ödemeden MFA kullanabilmektedir.
Azure AD MFA, kuruluşunuzun ihtiyacına bağlı kalarak farklı şekilde kullanılabilmekte veya farklı şekilde lisanslanabilmektedir.
| Eğer bir kullanıcıysanız | Yetenekler ve kullanım örnekleri |
|---|---|
| Microsoft 365 İş Ekstra ve EMS veya Microsoft 365 E3 ve E5 | EMS E3, Microsoft 365 E3 ve Microsoft 365 İş Ekstra, Azure AD Premium P1’i içerir. EMS E5 veya Microsoft 365 E5, Azure AD Premium P2’yi içerir. Kullanıcılara çok faktörlü kimlik doğrulaması sağlamak için aşağıdaki bölümlerde belirtilen aynı koşullu erişim özelliklerini kullanabilirsiniz. |
| Azure AD Premium P1 | Azure AD koşullu erişimi kullanarak iş gereksinimlerinize uyacak belirli senaryolar veya olaylar sırasında kullanıcılardan çok faktörlü kimlik doğrulaması isteyebilirsiniz. |
| Azure AD Premium P2 | En güçlü güvenlik konumunu ve gelişmiş kullanıcı deneyimini sağlar. Kullanıcının desenlerine uyum sağlayan ve çok faktörlü kimlik doğrulama istemlerini en aza indiren Azure AD Premium P1 özelliklerine risk tabanlı koşullu erişim ekler. |
| Tüm Microsoft 365 planları | Azure AD Multi-Factor Authentication, güvenlik varsayılanları kullanılarak tüm kullanıcılar etkinleştirilebilir. Azure AD Multi-Factor Authentication’ın yönetimi Microsoft 365 portalı aracılığıyla yapılır. Gelişmiş bir kullanıcı deneyimi için Azure AD Premium P1 veya P2’ye yükseltin ve koşullu erişim kullanın. Daha fazla bilgi için bkz: Microsoft 365 kaynaklarının güvenliğini çok faktörlü kimlik doğrulaması ile. |
| Office 365 ücretsiz Azure AD ücretsiz | Gerektiğinde kullanıcılardan çok faktörlü kimlik doğrulaması istemek için güvenlik varsayılanlarını kullanabilirsiniz, ancak etkin kullanıcılar veya senaryolar üzerinde ayrıntılı denetiminiz yoktur, ancak bu ek güvenlik adımını sağlar. Güvenlik varsayılanları herkes için çok faktörlü kimlik doğrulamasını etkinleştirmek üzere kullanılmasa bile, Azure AD Genel Yöneticisi rolüne atanan kullanıcılar çok faktörlü kimlik doğrulaması kullanacak şekilde yapılandırılabilir. Ücretsiz katmanın bu özelliği, kritik yönetici hesaplarının çok faktörlü kimlik doğrulaması tarafından korunmasını sağlar. |
| Özellik | Azure AD Ücretsiz -Güvenlik varsayılanları (tüm kullanıcılar için etkin) | Azure AD Ücretsiz – Yalnızca genel yöneticiler | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|---|
| Azure AD kiracı yöneticisi hesaplarını MFA ile koruma | ● | ● (Yalnızca Azure AD Genel Yönetici hesapları) | ● | ● | ● |
| İkinci bir faktör olarak mobil uygulama | ● | ● | ● | ● | ● |
| İkinci faktör olarak telefon görüşmesi | ● | ● | ● | ● | |
| İkinci bir faktör olarak SMS | ● | ● | ● | ● | |
| Doğrulama yöntemleri üzerinde yönetici kontrolü | ● | ● | ● | ● | |
| Dolandırıcılık uyarısı | ● | ● | |||
| MFA Raporları | ● | ● | |||
| Telefon görüşmeleri için özel selamlamalar | ● | ● | |||
| Telefon aramaları için özel arayan kimliği | ● | ● | |||
| Güvenilir IP’ler | ● | ● | |||
| Güvenilir cihazlar için MFA’yı hatırlama | ● | ● | ● | ● | |
| Şirket içi uygulamalar için MFA | ● | ● | |||
| Koşullu erişim | ● | ● | |||
| Risk tabanlı koşullu erişimRisk-based conditional access | ● | ||||
| Kimlik Koruması (Riskli oturum açmalar, riskli kullanıcılar) | ● | ||||
| Yorumlara Erişim | ● | ||||
| Yetkilendirme Yönetimi | ● | ||||
| Privileged Identity Management (PIM), tam zamanında erişim | ● |
Azure AD Koşullu Erişim Kullanarak MFA Nasıl Etkinleştirilir
Azure AD’de bulunan Koşullu Erişim ilkesi, M365 uygulamalarının güvenliğini farlı koşullara göre esneklik sağlamaktadır. Oturum açma koşullarını düşünerek MFA’yi koşullu erişim ile etkinleştirebilmekteyiz.
Örneğin: Yönetilmeyen cihazlardan, güvenilmeyen IP adreslerinden oturum açılmaya çalıştığında MFA’ı zorunlu tutabiliriz.
Koşullu erişim için Minimum Azure AD1 lisansına ihtiyacımız var.
Öncelikle https://portal.azure.com üzerinden azure hesabımıza giriş yapıyoruz ve Azure Active Directory’e geliyoruz.
Sol menüde bulunan Security alanına geliyoruz ve Conditional Access alanına geliyoruz.
Conditional Access alanında New Policy’e tıklayarak ilke oluşturma işlemine başlayabiliriz.
Name tabına oluşturacağımız ilke için bir isim girmemiz gerekiyor.
Daha sonra Users or workload identities alanında Kullanıcı veya Grup ataması gerçekleştirmemiz gerekiyor. Benim MFA adı altında bir güvenlik grubum var oluşturacağım bu ilkeyi o gruba atayacağım.
Users and Groups seçeneği seçiyorum ve atama yapacağım grubumu işaretliyorum. Dilerseniz All Users seçeneği ile tüm kullanıcılara bu ilkeyi atayabilirsiniz.
Daha sonra Cloud apps or actions seçeneğinden hangi uygulamalar için geçerli olacağını seçiyoruz. Ben belirtmiş olduğum MFA grubunun tüm uygulamlarda oturum açarken MFA kullanmasını zorunlu tutacağım.
Conditions bölümünden konum veya platform kişiselleştirmesi yapabilirsiniz. Ben tüm konumlarda ve bütün cihaz türlerini seçerek işlemimi gerçekleştirdim.
Siz kendi konumlarınızı exclude ederek diğer konumlarda MFA zorunlu tutabilirsiniz. Yada daha farklı kişiselleştirmeler yapabilirsiniz.
Grant tabından ise Require Multifactor Authentication seçeneğini işaretliyoruz.
Enable Policy tarafını On olarak değiştirdikten sonra Create butonu ile ilkemizi oluşturuyoruz ve aktif hale getirmiş oluyoruz. MFA grubunun üyeleri tüm cihazlardan ve tüm lokasyonlardan LOGIN olurken MFA kullanmak durumunda kalacaklar.
