Sıfır Güven kimlik ve cihaz erişim ilkelerini uygulamak için önkoşul çalışması
Bu makalede, yöneticilerin önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmak ve Koşullu Erişim'i kullanmak için karşılaması gereken önkoşullar açıklanmaktadır. Ayrıca, istemci platformlarını en iyi çoklu oturum açma (SSO) deneyimi için yapılandırmak için önerilen varsayılanlar açıklanır.
Önkoşullar
Önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmadan önce kuruluşunuzun önkoşulları karşılaması gerekir. Listelenen çeşitli kimlik ve kimlik doğrulama modelleri için gereksinimler farklıdır:
- Yalnızca bulut
- Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
- Geçiş kimlik doğrulaması (PTA) ile karma
- Federe
Aşağıdaki tabloda, belirtilen durumlar dışında tüm kimlik modelleri için geçerli olan önkoşul özellikleri ve yapılandırmaları ayrıntılı olarak açıklanır.
Yapılandırma | Özel durumlar | Lisanslama |
---|---|---|
PHS'yi yapılandırın. Bu özellik, sızdırılan kimlik bilgilerini algılamak ve risk tabanlı Koşullu Erişim için bunlar üzerinde işlem yapmak için etkinleştirilmelidir.Kuruluşunuzun federasyon kimlik doğrulaması kullanıp kullanmadığına bakılmaksızın bunun gerekli olduğunu unutmayın. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
Kullanıcıların kuruluş ağınıza bağlı kuruluş cihazlarındayken otomatik olarak oturum açması için sorunsuz çoklu oturum açmayı etkinleştirin. | Yalnızca bulut ve federasyon | Microsoft 365 E3 veya E5 |
Adlandırılmış konumları yapılandırın. Microsoft Entra Kimlik Koruması bir risk puanı oluşturmak için tüm kullanılabilir oturum verilerini toplar ve analiz eder. Kuruluşunuzun ağınız için genel IP aralıklarını Konumlar adlı Microsoft Entra Kimliği yapılandırmasında belirtmenizi öneririz. Bu aralıklardan gelen trafiğe daha düşük bir risk puanı verilir ve kuruluş ortamı dışından gelen trafiğe daha yüksek bir risk puanı verilir. | Microsoft 365 E3 veya E5 | |
Tüm kullanıcıları self servis parola sıfırlama (SSPR) ve çok faktörlü kimlik doğrulaması (MFA) için kaydedin. Kullanıcıları önceden Microsoft Entra çok faktörlü kimlik doğrulamasına kaydetmenizi öneririz. Microsoft Entra Kimlik Koruması ek güvenlik doğrulaması gerçekleştirmek için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanır. Ayrıca, en iyi oturum açma deneyimi için kullanıcıların cihazlarına Microsoft Authenticator uygulamasını ve Microsoft Şirket Portalı uygulamasını yüklemelerini öneririz. Bunlar her platform için uygulama mağazasından yüklenebilir. | Microsoft 365 E3 veya E5 | |
Microsoft Entra karma katılım uygulamanızı planlayın. Koşullu Erişim, uygulamalara bağlanan cihazların etki alanına katılmış veya uyumlu olduğundan emin olur. Windows bilgisayarlarda bunu desteklemek için cihazın Microsoft Entra Id ile kaydedilmesi gerekir. Bu makalede otomatik cihaz kaydının nasıl yapılandırılacağı açıklanır. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
Destek ekibinizi hazırlayın. MFA'yı tamamlayamayan kullanıcılar için bir planınız var. Bu, bunları bir ilke dışlama grubuna eklemek veya bunlar için yeni MFA bilgileri kaydetmek olabilir. Bu güvenlik açısından hassas değişikliklerden birini yapmadan önce, asıl kullanıcının isteği aldığından emin olmanız gerekir. Kullanıcıların yöneticilerinin onay konusunda yardımcı olmasını istemek etkili bir adımdır. | Microsoft 365 E3 veya E5 | |
Şirket içi AD'ye parola geri yazmayı yapılandırın. Parola geri yazma, Yüksek riskli hesap güvenliği ihlalleri algılandığında Microsoft Entra Id'nin kullanıcıların şirket içi parolalarını değiştirmesini zorunlu kılmasını sağlar. Microsoft Entra Connect'i kullanarak bu özelliği iki yoldan biriyle etkinleştirebilirsiniz: Microsoft Entra Connect kurulumunun isteğe bağlı özellikler ekranında Parola Geri Yazma'yı etkinleştirin veya Windows PowerShell aracılığıyla etkinleştirin. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
Microsoft Entra parola korumasını yapılandırın. Microsoft Entra Password Protection, bilinen zayıf parolaları ve bunların çeşitlerini algılar ve engeller ve kuruluşunuza özgü ek zayıf terimleri de engelleyebilir. Varsayılan genel yasaklanmış parola listeleri, Bir Microsoft Entra kiracısında tüm kullanıcılara otomatik olarak uygulanır. Özel yasaklanmış parola listesinde ek girdiler tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanılmasını zorunlu kılmak için denetlenir. | Microsoft 365 E3 veya E5 | |
Microsoft Entra Kimlik Koruması etkinleştirin. Microsoft Entra Kimlik Koruması kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılamanıza ve otomatik düzeltme ilkesini düşük, orta ve yüksek oturum açma riski ile kullanıcı riskine göre yapılandırmanıza olanak tanır. | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 | |
Exchange Online ve Skype Kurumsal Online için modern kimlik doğrulamasını etkinleştirin. Modern kimlik doğrulaması, MFA'nın kullanılması için bir önkoşuldur. Modern kimlik doğrulaması Office 2016 ve 2019 istemcileri, SharePoint ve OneDrive İş için varsayılan olarak etkinleştirilir. | Microsoft 365 E3 veya E5 | |
Microsoft Entra Id için sürekli erişim değerlendirmesini etkinleştirin. Sürekli erişim değerlendirmesi etkin kullanıcı oturumlarını proaktif olarak sonlandırır ve kiracı ilkesi değişikliklerini neredeyse gerçek zamanlı olarak zorlar. | Microsoft 365 E3 veya E5 |
Önerilen istemci yapılandırmaları
Bu bölümde, kullanıcılarınıza en iyi SSO deneyimini sağlamanızı önerdiğimiz varsayılan platform istemci yapılandırmaları ve Koşullu Erişim için teknik önkoşullar açıklanmaktadır.
Windows cihazları
Azure, hem şirket içi hem de Microsoft Entra ID için mümkün olan en sorunsuz SSO deneyimini sağlamak üzere tasarlandığından Windows 11 veya Windows 10'u (sürüm 2004 veya üzeri) öneririz. İş veya okul tarafından verilen cihazlar microsoft Entra ID'ye doğrudan katılacak şekilde yapılandırılmalıdır veya kuruluş şirket içi AD etki alanına katılmayı kullanıyorsa, bu cihazlar Microsoft Entra ID'ye otomatik ve sessiz bir şekilde kaydedilecek şekilde yapılandırılmalıdır.
KCG Windows cihazları için kullanıcılar İş veya okul hesabı ekle'yi kullanabilir. Windows 11 veya Windows 10 cihazlarında Google Chrome tarayıcısı kullanıcılarının Microsoft Edge kullanıcıları ile aynı sorunsuz oturum açma deneyimini elde etmek için bir uzantı yüklemeleri gerektiğini unutmayın. Ayrıca, kuruluşunuzun etki alanına katılmış Windows 8 veya 8.1 cihazları varsa, Windows 10 olmayan bilgisayarlar için Microsoft Workplace Join'i yükleyebilirsiniz. Cihazları Microsoft Entra Id'ye kaydetmek için paketi indirin.
iOS cihazlar
Koşullu Erişim veya MFA ilkelerini dağıtmadan önce kullanıcı cihazlarına Microsoft Authenticator uygulamasını yüklemenizi öneririz. En azından, kullanıcılardan iş veya okul hesabı ekleyerek cihazlarını Microsoft Entra Id'ye kaydetmeleri istendiğinde veya cihazlarını yönetime kaydetmek için Intune şirket portalı uygulamasını yüklediklerinde uygulama yüklenmelidir. Bu, yapılandırılan Koşullu Erişim ilkesine bağlıdır.
Android cihazlar
Koşullu Erişim ilkeleri dağıtılmadan önce veya belirli kimlik doğrulama girişimleri sırasında gerektiğinde kullanıcıların Intune Şirket Portalı uygulamasını ve Microsoft Authenticator uygulamasını yüklemelerini öneririz. Uygulama yükleme işleminden sonra kullanıcılardan Microsoft Entra ID'ye kaydolmaları veya cihazlarını Intune'a kaydetmeleri istenebilir. Bu, yapılandırılan Koşullu Erişim ilkesine bağlıdır.
Ayrıca kuruluşa ait cihazların, Intune MDM ilkesi tarafından yönetilen ve korunan posta hesaplarına izin vermek için Android for Work veya Samsung Knox'u destekleyen OEM'lerde ve sürümlerde standart hale getirilebilmelerini öneririz.
Önerilen e-posta istemcileri
Aşağıdaki e-posta istemcileri modern kimlik doğrulamasını ve Koşullu Erişimi destekler.
Platform | İstemci | Sürüm/Notlar |
---|---|---|
Windows | Outlook | 2019, 2016 |
iOS | iOS için Outlook | Sonuncu |
Android | Android için Outlook | Sonuncu |
macOS | Outlook | 2019 ve 2016 |
Linux | Desteklenmez |
Belgelerin güvenliğini sağlarken önerilen istemci platformları
Güvenli belge ilkesi uygulandığında aşağıdaki istemciler önerilir.
Platform | Word/Excel/PowerPoint | OneNote | OneDrive Uygulaması | SharePoint Uygulaması | OneDrive eşitleme istemcisi |
---|---|---|---|---|---|
Windows 11 veya Windows 10 | Desteklenir | Desteklenir | Yok | Yok | Desteklenir |
Windows 8.1 | Desteklenir | Desteklenir | Yok | Yok | Desteklenir |
Android | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Yok |
iOS | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Yok |
macOS | Desteklenir | Desteklenir | Yok | Yok | Desteklenmez |
Linux | Desteklenmez | Desteklenmez | Desteklenmez | Desteklenmez | Desteklenmez |
Microsoft 365 istemci desteği
Microsoft 365'teki istemci desteği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft 365 İstemci Uygulaması Desteği - Koşullu Erişim
- Microsoft 365 İstemci Uygulaması Desteği - çok faktörlü kimlik doğrulaması
Yönetici hesaplarını koruma
Microsoft 365 E3 veya E5 için ya da ayrı Microsoft Entra ID P1 veya P2 lisanslarına sahip olması için, el ile oluşturulmuş koşullu erişim ilkesine sahip yönetici hesapları için MFA'yı zorunlu kılabilirsiniz. Ayrıntılar için bkz . Koşullu Erişim: Yöneticiler için MFA gerektirme.
Koşullu Erişimi desteklemeyen Microsoft 365 veya Office 365 sürümleri için tüm hesaplar için MFA gerektirecek güvenlik varsayılanlarını etkinleştirebilirsiniz.
Bazı ek öneriler şunlardır:
- Kalıcı yönetim hesaplarının sayısını azaltmak için Microsoft Entra Privileged Identity Management'ı kullanın.
- Kuruluşunuzu hassas verilere veya kritik yapılandırma ayarlarına erişimi olan mevcut ayrıcalıklı yönetici hesaplarını kullanabilecek ihlallere karşı korumak için ayrıcalıklı erişim yönetimini kullanın.
- Yalnızca yönetim için Microsoft 365 yönetici rolleri atanmış ayrı hesaplar oluşturun ve kullanın. Yöneticilerin düzenli yönetim dışı kullanım için kendi kullanıcı hesapları olmalıdır ve yalnızca gerektiğinde rol veya iş işleviyle ilişkili bir görevi tamamlamak için bir yönetim hesabı kullanmalıdır.
- Microsoft Entra Id'de ayrıcalıklı hesapların güvenliğini sağlamak için en iyi yöntemleri izleyin.
Sonraki adım
Ortak Sıfır Güven kimlik ve cihaz erişim ilkelerini yapılandırma