Microsoft Entra Id ile dayanıklı bir erişim denetimi yönetim stratejisi oluşturma

  • Makale

Dekont

Bu belgede yer alan bilgiler, Microsoft Corporation'ın yayın tarihi itibariyle tartışılan sorunlarla ilgili geçerli görünümünü temsil eder. Microsoft'un değişen pazar koşullarına yanıt vermesi gerektiğinden, bu durum Microsoft'un bir taahhüdü olarak yorumlanmamalıdır ve Microsoft yayın tarihinden sonra sunulan bilgilerin doğruluğunu garanti etmez.

BT sistemlerinin güvenliğini sağlamak için çok faktörlü kimlik doğrulaması veya tek bir ağ konumu gibi tek bir erişim denetimine dayanan kuruluşlar, tek erişim denetiminin kullanılamaz duruma gelmesi veya yanlış yapılandırılması durumunda uygulamalarına ve kaynaklarına erişim hatalarına karşı savunmasızdır. Örneğin, doğal bir afet, telekomünikasyon altyapısının veya kurumsal ağların büyük kesimlerinin kullanılamamasıyla sonuçlanabilir. Böyle bir kesinti, son kullanıcıların ve yöneticilerin oturum açabilmesini engelleyebilir.

Bu belge, aşağıdaki senaryolarda öngörülemeyen kesintiler sırasında kilitlenme riskini azaltmak için bir kuruluşun benimsemesi gereken stratejiler hakkında rehberlik sağlar:

  • Kuruluşlar, risk azaltma stratejilerini veya acil durum planlarını uygulayarak kesintiden önce kilitlenme riskini azaltmak için dayanıklılıklarını artırabilir.
  • Kuruluşlar, azaltma stratejileri ve acil durum planları oluşturarak kesinti sırasında seçtikleri uygulamalara ve kaynaklara erişmeye devam edebilir.
  • Kuruluşlar, kesinti sonrasında ve uyguladıkları tüm olasılıkları geri almadan önce günlükler gibi bilgileri koruduklarından emin olmalıdır.
  • Önleme stratejileri veya alternatif planlar uygulamayan kuruluşlar, kesintiyle başa çıkmak için acil durum seçenekleri uygulayabilir.

Önemli kılavuz

Bu belgede dört önemli nokta vardır:

  • Acil durum erişim hesaplarını kullanarak yönetici kilitlemekten kaçının.
  • Kullanıcı başına MFA yerine Koşullu Erişim kullanarak MFA uygulayın.
  • Birden çok Koşullu Erişim denetimi kullanarak kullanıcı kilitlemeyi azaltın.
  • Her kullanıcı için birden çok kimlik doğrulama yöntemi veya eşdeğeri sağlayarak kullanıcı kilitlenmesini azaltın.

Kesintiden önce

Gerçek bir kesintiyi azaltmak, ortaya çıkabilecek erişim denetimi sorunlarıyla ilgilenmek için bir kuruluşun birincil odağı olmalıdır. Azaltma, gerçek olay planlamasını ve erişim denetimlerinin ve işlemlerinin kesintiler sırasında etkilenmemesini sağlamak için stratejiler uygulamayı içerir.

Neden dayanıklı erişim denetimine ihtiyacınız var?

Kimlik, uygulamalara ve kaynaklara erişen kullanıcıların denetim düzlemidir. Kimlik sisteminiz, erişim denetimleri veya kimlik doğrulama gereksinimleri gibi hangi kullanıcıların ve hangi koşullar altında kullanıcıların uygulamalara erişeceklerini denetler. Öngörülemeyen nedenlerden dolayı kullanıcıların kimlik doğrulaması için bir veya daha fazla kimlik doğrulaması veya erişim denetimi gereksinimi olmadığında, kuruluşlar aşağıdaki sorunlardan biriyle veya her ikisiyle de karşılaşabilir:

  • Yönetici istrator kilitlemesi: Yönetici istrator'lar kiracıyı veya hizmetleri yönetemez.
  • Kullanıcı kilitleme: Kullanıcılar uygulamalara veya kaynaklara erişemez.

Yönetici istrator kilitleme süresi

Kiracınıza yönetici erişiminin kilidini açmak için acil durum erişim hesapları oluşturmanız gerekir. Kırılan hesaplar olarak da bilinen bu acil durum erişim hesapları, normal ayrıcalıklı hesap erişim yordamları kullanılamadığında Microsoft Entra yapılandırmasını yönetme erişimine izin verir. Acil durum erişim hesabı önerilerine uyularak en az iki acil durum erişim hesabı oluşturulmalıdır.

Kullanıcı kilitlenmesi azaltılıyor

Kullanıcı kilitleme riskini azaltmak için, kullanıcılara uygulamalara ve kaynaklara nasıl erişecekleri konusunda bir seçenek sunmak için birden çok denetim içeren Koşullu Erişim ilkelerini kullanın. Erişim denetimlerinden biri kullanılamıyorsa, kullanıcıya MFA ile oturum açma veya yönetilen bir cihazdan oturum açma ya da şirket ağından oturum açma gibi seçenekler vererek kullanıcının çalışmaya devam etmek için başka seçenekleri vardır.

Microsoft önerileri

Kuruluş için mevcut Koşullu Erişim ilkelerinize aşağıdaki erişim denetimlerini ekleyin:

  • Microsoft Authenticator uygulaması (internet tabanlı), OATH belirteci (cihazda oluşturulan) ve SMS (telefon) gibi farklı iletişim kanallarını kullanan her kullanıcı için birden çok kimlik doğrulama yöntemi sağlayın.
  • MFA gereksinimlerini doğrudan cihazdan oturum açmadan karşılamak için Windows 10 cihazlarda İş İçin Windows Hello dağıtın.
  • Microsoft Entra karma katılımı veya Microsoft Intune aracılığıyla güvenilir cihazları kullanın. Güvenilen cihaz, kullanıcı için bir MFA sınaması olmadan ilkenin güçlü kimlik doğrulama gereksinimlerini karşılayabildiğinden, güvenilir cihazlar kullanıcı deneyimini geliştirir. Daha sonra yeni bir cihaz kaydederken ve güvenilmeyen cihazlardan uygulamalara veya kaynaklara erişirken MFA gerekir.
  • Kullanıcı veya oturum açma sabit MFA ilkeleri yerine risk altında olduğunda erişimi engelleyen risk tabanlı Microsoft Entra Kimlik Koruması ilkeler kullanın.
  • Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısını kullanarak VPN erişimini koruyorsanız, VPN çözümünüzü BIR SAML uygulaması olarak bir araya getirmeyi ve aşağıda önerilen uygulama kategorisini belirlemeyi göz önünde bulundurun.

Dekont

Risk tabanlı ilkeler Için Microsoft Entra ID P2 lisansları gerekir.

Aşağıdaki örnekte, kullanıcının uygulamalarına ve kaynaklarına erişmesi için dayanıklı bir erişim denetimi sağlamak üzere oluşturmanız gereken ilkeler açıklanmaktadır. Bu örnekte erişim vermek istediğiniz hedef kullanıcılara sahip bir AppUsers güvenlik grubuna, çekirdek yöneticilerine sahip Core Yönetici s adlı bir gruba ve acil durum erişim hesaplarına sahip EmergencyAccess adlı bir gruba ihtiyacınız vardır. Bu örnek ilke kümesi, AppUsers'da seçili kullanıcılara, güvenilir bir cihazdan bağlanıyorlarsa seçili uygulamalara erişim verir veya MFA gibi güçlü kimlik doğrulaması sağlar. Acil durum hesaplarını ve çekirdek yöneticileri hariç tutar.

Koşullu Erişim azaltma ilkeleri ayarlandı:

  • İlke 1: Hedef grupların dışındaki kişilere erişimi engelleme
    • Kullanıcılar ve Gruplar: Tüm kullanıcıları dahil edin. AppUsers, Core Yönetici s ve EmergencyAccess'i hariç tutma
    • Cloud Apps: Tüm uygulamaları dahil et
    • Koşullar: (Yok)
    • İzin Verme Denetimi: Engelle
  • İlke 2: MFA veya güvenilen cihaz gerektiren AppUsers'a erişim izni verin.
    • Kullanıcılar ve Gruplar: AppUsers'ı ekleyin. Core Yönetici s ve EmergencyAccess'i dışlama
    • Cloud Apps: Tüm uygulamaları dahil et
    • Koşullar: (Yok)
    • İzin Denetimi: Erişim verin, çok faktörlü kimlik doğrulaması gerektirir, cihazın uyumlu olmasını gerektirir. Birden çok denetim için: Seçili denetimlerden birini zorunlu kılar.

Kullanıcı kilitleme için olasılıklar

Alternatif olarak, kuruluşunuz acil durum ilkeleri de oluşturabilir. Acil durum ilkeleri oluşturmak için iş sürekliliği, operasyonel maliyet, finansal maliyet ve güvenlik riskleri arasında denge ölçütleri tanımlamanız gerekir. Örneğin, bir acil durum ilkesini yalnızca kullanıcıların bir alt kümesine, uygulamaların bir alt kümesine, istemcilerin bir alt kümesine veya konumların bir alt kümesine etkinleştirebilirsiniz. Acil durum ilkeleri, yöneticilerin ve son kullanıcıların herhangi bir azaltma yöntemi uygulanmadığında kesinti sırasında uygulamalara ve kaynaklara erişmesini sağlar. Microsoft, yöneticilerin açık olması gerektiğinde ilkelerin olası etkisini izleyebilmeleri için, kullanımda olmadığında yalnızca rapor modunda acil durum ilkelerinin etkinleştirilmesini önerir.

Kesinti sırasında maruz kalma durumunuzu anlamak riskinizi azaltmaya yardımcı olur ve planlama sürecinizin kritik bir parçasıdır. Acil durum planınızı oluşturmak için önce kuruluşunuzun aşağıdaki iş gereksinimlerini belirleyin:

  1. Görev açısından kritik uygulamalarınızı önceden belirleme: Daha düşük bir risk/güvenlik duruşuyla bile erişmeniz gereken uygulamalar nelerdir? Bu uygulamaların listesini oluşturun ve diğer paydaşlarınızın (iş, güvenlik, yasal, liderlik) tümünün tüm erişim denetimi kaybolursa bu uygulamaların çalışmaya devam etmesi gerektiğini kabul ettiğinden emin olun. Büyük olasılıkla şu kategorilere sahip olacaksınız:
    • Kategori 1 birkaç dakikadan fazla kullanılamayan görev açısından kritik uygulamalar , örneğin kuruluşun gelirini doğrudan etkileyen uygulamalar.
    • Kategori 2 işletmenin birkaç saat içinde erişilebilir olması gereken önemli uygulamalar .
    • Kategori 3, birkaç günün kesintisine dayanabilen düşük öncelikli uygulamalardır .
  2. Kategori 1 ve 2'deki uygulamalar için Microsoft, izin vermek istediğiniz erişim düzeyi türünü önceden planlamanızı önerir:
    • İndirmeleri sınırlama gibi tam erişime veya kısıtlı oturuma izin vermek istiyor musunuz?
    • Uygulamanın bir bölümüne erişim izni vermek istiyor ancak uygulamanın tamamına izin vermek istemiyor musunuz?
    • Bilgi çalışanı erişimine izin vermek ve erişim denetimi geri yüklenene kadar yönetici erişimini engellemek istiyor musunuz?
  3. Microsoft, bu uygulamalar için hangi erişim yollarını kasten açabileceğinizi ve hangilerini kapatabileceğinizi planlamanızı da önerir:
    • Tarayıcının yalnızca çevrimdışı verileri kaydedebilen zengin istemcilere erişmesine ve bunları engellemesine izin vermek istiyor musunuz?
    • Yalnızca şirket ağı içindeki kullanıcılar için erişime izin vermek ve dış kullanıcıların engellenmesini mi istiyorsunuz?
    • Yalnızca kesinti sırasında belirli ülkelerden veya bölgelerden erişime izin vermek istiyor musunuz?
    • Özellikle görev açısından kritik uygulamalar için acil durum ilkelerine yönelik ilkelerin, alternatif bir erişim denetimi yoksa başarısız olmasını veya başarılı olmasını istiyor musunuz?

Microsoft önerileri

Acil durum Koşullu Erişim ilkesi, Microsoft Entra çok faktörlü kimlik doğrulamasını, üçüncü taraf MFA'yı, risk tabanlı veya cihaz tabanlı denetimleri atlayan bir yedekleme ilkesidir . Bir acil durum ilkesi etkinleştirildiğinde beklenmeyen kesintiyi en aza indirmek için, ilke kullanımda olmadığında yalnızca rapor modunda kalmalıdır. Yönetici istrator'lar Koşullu Erişim Analizler çalışma kitabını kullanarak olasılık ilkelerinin olası etkisini izleyebilir. Kuruluşunuz acil durum planınızı etkinleştirmeye karar verince, yöneticiler ilkeyi etkinleştirebilir ve normal denetim tabanlı ilkeleri devre dışı bırakabilir.

Önemli

Kullanıcılarınızda geçici olarak bile olsa güvenliği zorlayan ilkelerin devre dışı bırakılması, acil durum planı uygulanırken güvenlik duruşunuzu azaltır.

  • Bir kimlik bilgisi türünde veya bir erişim denetimi mekanizmasında kesinti olması uygulamalarınıza erişimi etkiliyorsa bir dizi geri dönüş ilkesi yapılandırın. Bir üçüncü taraf MFA sağlayıcısı gerektiren etkin bir ilkenin yedeği olarak, denetim olarak Etki Alanına Katılma gerektiren bir ilkeyi yalnızca rapor durumunda yapılandırın.
  • Parola kılavuzu teknik incelemesindeki uygulamaları izleyerek kötü aktörlerin MFA gerekli olmadığında parolaları tahmin etme riskini azaltın.
  • Kullanıcıların yasaklamayı seçtiğiniz ortak parola ve terimleri kullanmadığından emin olmak için Microsoft Entra Self Servis Parola Sıfırlama (SSPR) ve Microsoft Entra Parola Koruması'nı dağıtın.
  • Yalnızca tam erişime geri dönmek yerine belirli bir kimlik doğrulama düzeyine ulaşılmadıysa uygulamalar içindeki erişimi kısıtlayan ilkeleri kullanın. Örneğin:
    • Kısıtlanmış oturum beyanını Exchange ve SharePoint'e gönderen bir yedekleme ilkesi yapılandırın.
    • Kuruluşunuz Bulut için Microsoft Defender Uygulamaları kullanıyorsa, Bulut için Defender Uygulamaları devreye getiren ve ardından salt okunur erişime izin veren ancak karşıya yükleme yapmayan bir ilkeye geri dönmeyi göz önünde bulundurun.
  • Kesinti sırasında kolayca bulunabilmesi için ilkelerinizi adlandırabilirsiniz. İlke adına aşağıdaki öğeleri ekleyin:
    • İlke için bir etiket numarası.
    • Gösterilecek metin, bu politika yalnızca acil durumlar içindir. Örneğin: ACIL DURUMDA ETKİnLEŞTİr
    • Geçerli olduğu kesinti . Örneğin: MFA Kesintisi Sırasında
    • İlkeleri etkinleştirmeniz gereken sırayı göstermek için bir sıra numarası .
    • Uygulandığı uygulamalar .
    • Uygulanacağı denetimler.
    • Gerekli koşullar .

Acil durum ilkeleri için bu adlandırma standardı aşağıdaki gibidir:

EMnnn - ENABLE IN EMERGENCY: [Disruption][i/n] - [Apps] - [Controls] [Conditions]

Aşağıdaki örnek: Görev açısından kritik İşbirliği Uygulamalarına Erişimi geri yüklemek için Örnek A - Acil Durum Koşullu Erişim ilkesi tipik bir kurumsal olasılıktır. Bu senaryoda kuruluş genellikle tüm Exchange Online ve SharePoint Online erişimi için MFA gerektirir ve bu durumda müşteri için MFA sağlayıcısında kesinti yaşanıyor (Microsoft Entra çok faktörlü kimlik doğrulaması, şirket içi MFA sağlayıcısı veya üçüncü taraf MFA). Bu ilke, belirli hedeflenen kullanıcıların bu uygulamalara yalnızca güvenilen şirket ağlarından erişirken güvenilen Windows cihazlarından erişmesine izin vererek bu kesintiyi azaltır. Ayrıca acil durum hesaplarını ve çekirdek yöneticileri bu kısıtlamaların dışında tutar. Hedeflenen kullanıcılar daha sonra Exchange Online ve SharePoint Online'a erişim kazanırken, kesinti nedeniyle diğer kullanıcılar uygulamalara erişmeye devam edecektir. Bu örnekte corpnetwork adlı bir ağ konumu ve hedef kullanıcılarla contingencyAccess güvenlik grubu, çekirdek yöneticileriyle Core Yönetici s adlı bir grup ve acil durum erişim hesaplarıyla EmergencyAccess adlı bir grup gerekir. Olasılık, istenen erişimi sağlamak için dört ilke gerektirir.

Örnek A - Görev açısından kritik İşbirliği Uygulamalarına Erişimi geri yüklemek için Acil Durum Koşullu Erişim ilkeleri:

  • İlke 1: Exchange ve SharePoint için Etki Alanına Katılmış cihazlar gerektirme
    • Ad: EM001 - ACİl DURUMDA ETKİnLEŞTİr: MFA Kesintisi[1/4] - Exchange SharePoint - Microsoft Entra karma katılımı gerektir
    • Kullanıcılar ve Gruplar: ContingencyAccess'i dahil edin. Core Yönetici s ve EmergencyAccess'i dışlama
    • Cloud Apps: Exchange Online ve SharePoint Online
    • Koşullar: Herhangi biri
    • İzin Denetimi: Etki Alanına Katılmayı Gerekli K
    • Durum: Yalnızca rapor
  • İlke 2: Windows dışındaki platformları engelleme
    • Ad: EM002 - ACIL DURUMDA ETKİnLEŞTİr: MFA Kesintisi[2/4] - Exchange SharePoint - Windows dışında erişimi engelleme
    • Kullanıcılar ve Gruplar: Tüm kullanıcıları dahil edin. Core Yönetici s ve EmergencyAccess'i dışlama
    • Cloud Apps: Exchange Online ve SharePoint Online
    • Koşullar: Cihaz Platformu Tüm Platformları Dahil Et, Windows'ı hariç tut
    • İzin Verme Denetimi: Engelle
    • Durum: Yalnızca rapor
  • İlke 3: CorpNetwork dışındaki ağları engelleme
    • Ad: EM003 - ACİl DURUMDA ETKİnLEŞTİr: MFA Kesintisi[3/4] - Exchange SharePoint - Kurumsal Ağ dışında erişimi engelle
    • Kullanıcılar ve Gruplar: Tüm kullanıcıları dahil edin. Core Yönetici s ve EmergencyAccess'i dışlama
    • Cloud Apps: Exchange Online ve SharePoint Online
    • Koşullar: Konumlar Herhangi bir konumu içerir, CorpNetwork'i hariç tutun
    • İzin Verme Denetimi: Engelle
    • Durum: Yalnızca rapor
  • İlke 4: EAS'yi Açıkça Engelle
    • Ad: EM004 - ACİl DURUMDA ETKİnLEŞTİr: MFA Kesintisi[4/4] - Exchange - Tüm kullanıcılar için EAS'yi engelle
    • Kullanıcılar ve Gruplar: Tüm kullanıcıları dahil et
    • Cloud Apps: Exchange Online'a ekleme
    • Koşullar: İstemci uygulamaları: Exchange Active Sync
    • İzin Verme Denetimi: Engelle
    • Durum: Yalnızca rapor

Etkinleştirme sırası:

  1. ContingencyAccess, Core Yönetici s ve EmergencyAccess'i mevcut MFA ilkesinden dışlayın. ContingencyAccess'teki bir kullanıcının SharePoint Online ve Exchange Online'a erişebildiğini doğrulayın.
  2. İlke 1'i Etkinleştirme: Dışlama gruplarında yer almayan Etki Alanına Katılmış cihazlardaki kullanıcıların Exchange Online ve SharePoint Online'a erişebildiğinden emin olun. Dışla grubundaki kullanıcıların herhangi bir cihazdan SharePoint Online ve Exchange'e erişebilebileceğini doğrulayın.
  3. İlke 2'yi Etkinleştirme: Dışlama grubunda yer almayan kullanıcıların mobil cihazlarından SharePoint Online ve Exchange Online'a ulaşamadıklarından emin olun. Dışla grubundaki kullanıcıların SharePoint ve Exchange'e herhangi bir cihazdan (Windows/iOS/Android) erişebileceğini doğrulayın.
  4. İlke 3'i Etkinleştirme: Dışlama gruplarında yer almayan kullanıcıların etki alanına katılmış bir makinede bile şirket ağı dışında SharePoint ve Exchange'e erişemediğinden emin olun. Dışla grubundaki kullanıcıların herhangi bir ağdan SharePoint ve Exchange'e erişebildiğini doğrulayın.
  5. İlke 4'i Etkinleştirme: Tüm kullanıcıların mobil cihazlardaki yerel posta uygulamalarından Exchange Online'ı alamıyor olduğunu doğrulayın.
  6. SharePoint Online ve Exchange Online için mevcut MFA ilkesini devre dışı bırakın.

Bu sonraki örnekte Örnek B - Salesforce'a mobil erişime izin veren Beklenmedik Koşullu Erişim ilkeleri, bir iş uygulamasının erişimi geri yüklenir. Bu senaryoda müşteri genellikle satış çalışanlarının mobil cihazlardan Salesforce'a (Microsoft Entra Id ile çoklu oturum açma için yapılandırılmış) erişimine yalnızca uyumlu cihazlardan izin vermelerini gerektirir. Bu durumda kesinti, cihaz uyumluluğunu değerlendirmeyle ilgili bir sorun olması ve kesintinin satış ekibinin satışları kapatmak için Salesforce'a erişmesi gereken hassas bir zamanda gerçekleşmesidir. Bu acil durum ilkeleri, kritik kullanıcılara satış anlaşmalarını kapatmaya ve işleri kesintiye uğratmamaya devam edebilmeleri için mobil cihazdan Salesforce erişimi verir. Bu örnekte SalesforceContingency, erişimi koruması gereken tüm Sales çalışanlarını, Sales Yönetici s ise Salesforce'un gerekli yöneticilerini içerir.

Örnek B - Acil Durum Koşullu Erişim ilkeleri:

  • İlke 1: SalesContingency ekibinde olmayan herkesi engelleme
    • Ad: EM001 - ACİl DURUMDA ETKİnLEŞTİr: Cihaz Uyumluluğu Kesintisi[1/2] - Salesforce - SalesforceContingency dışındaki tüm kullanıcıları engelle
    • Kullanıcılar ve Gruplar: Tüm kullanıcıları dahil edin. Sales Yönetici s ve SalesforceContingency'i hariç tutma
    • Cloud Apps: Salesforce.
    • Koşullar: Yok
    • İzin Verme Denetimi: Engelle
    • Durum: Yalnızca rapor
  • İlke 2: Satış ekibini mobil dışındaki herhangi bir platformdan engelleyin (saldırının yüzey alanını azaltmak için)
    • Ad: EM002 - ACIL DURUMDA ETKİnLEŞTİr: Cihaz Uyumluluğu Kesintisi[2/2] - Salesforce - iOS ve Android dışındaki tüm platformları engelle
    • Kullanıcılar ve Gruplar: SalesforceContingency'i dahil edin. Satışları Dışla Yönetici
    • Cloud Apps: Salesforce
    • Koşullar: Cihaz Platformu Tüm Platformları içerir, iOS ve Android'i hariç tutar
    • İzin Verme Denetimi: Engelle
    • Durum: Yalnızca rapor

Etkinleştirme sırası:

  1. Sales Yönetici s ve SalesforceContingency değerlerini Salesforce için mevcut cihaz uyumluluk ilkesinden hariç tutun. SalesforceContingency grubundaki bir kullanıcının Salesforce'a erişebildiğini doğrulayın.
  2. İlke 1'i Etkinleştirme: SalesContingency dışındaki kullanıcıların Salesforce'a erişemediğinden emin olun. Sales Yönetici s ve SalesforceContingency içindeki kullanıcıların Salesforce'a erişebildiğini doğrulayın.
  3. İlke 2'yi Etkinleştirme: SalesContingency grubundaki kullanıcıların Windows/Mac dizüstü bilgisayarlarından Salesforce'a erişemediğinden ancak mobil cihazlarından erişmeye devam edebildiğini doğrulayın. Sales'in Yönetici herhangi bir cihazdan Salesforce'a erişmeye devam ebildiğini doğrulayın.
  4. Salesforce için mevcut cihaz uyumluluk ilkesini devre dışı bırakın.

Şirket içi kaynaklardan kullanıcı kilitleme için olasılıklar (NPS uzantısı)

Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısını kullanarak VPN erişimini koruyorsanız, VPN çözümünüzü BIR SAML uygulaması olarak bir araya getirmeyi ve aşağıda önerilen uygulama kategorisini belirlemeyi göz önünde bulundurun.

VPN ve Uzak Masaüstü Ağ Geçidi gibi şirket içi kaynakları MFA ile korumak için Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı dağıttıysanız, acil durumlarda MFA'yı devre dışı bırakmaya hazırsanız önceden göz önünde bulundurmanız gerekir.

Bu durumda NPS uzantısını devre dışı bırakabilirsiniz. Bunun sonucunda NPS sunucusu yalnızca birincil kimlik doğrulamasını doğrular ve kullanıcılarda MFA'yı zorlamaz.

NPS uzantısını devre dışı bırak:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters kayıt defteri anahtarını yedekleme olarak dışarı aktarın.
  • Parameters anahtarını değil, "AuthorizationDLLL'ler" ve "ExtensionDLL'ler" için kayıt defteri değerlerini silin.
  • Değişikliklerin etkili olması için Ağ İlkesi Hizmeti (IAS) hizmetini yeniden başlatın
  • VPN için birincil kimlik doğrulamasının başarılı olup olmadığını belirleyin.

Hizmet kurtarıldıktan ve kullanıcılarınızda MFA'yı yeniden zorlamaya hazır olduğunuzda NPS uzantısını etkinleştirin:

  • Kayıt defteri anahtarını yedekleme HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters konumundan içeri aktarın
  • Değişikliklerin etkili olması için Ağ İlkesi Hizmeti (IAS) hizmetini yeniden başlatın
  • VPN için birincil kimlik doğrulamasının ve ikincil kimlik doğrulamasının başarılı olup olmadığını belirleyin.
  • Acil durum penceresi sırasında hangi kullanıcıların oturum açtığını belirlemek için NPS sunucusunu ve VPN günlüğünü gözden geçirin.

Federasyonsanız veya doğrudan kimlik doğrulaması kullanıyor olsanız bile parola karması eşitlemesini dağıtma

Aşağıdaki koşullar doğruysa kullanıcı kilitlemesi de oluşabilir:

  • Kuruluşunuz, doğrudan kimlik doğrulaması veya federasyon ile karma kimlik çözümü kullanıyor.
  • Şirket içi kimlik sistemleriniz (Active Directory, AD FS veya bağımlı bileşen gibi) kullanılamıyor.

Daha dayanıklı olmak için kuruluşunuzun parola karması eşitlemeyi etkinleştirmesi gerekir çünkü şirket içi kimlik sistemleriniz devre dışıysa parola karması eşitlemesini kullanmaya geçmenizi sağlar.

Microsoft önerileri

Kuruluşunuzun federasyon veya doğrudan kimlik doğrulaması kullanıp kullanmadığına bakılmaksızın Microsoft Entra Bağlan sihirbazını kullanarak parola karması eşitlemesini etkinleştirin.

Önemli

Parola karması eşitlemesini kullanmak için kullanıcıları federasyondan yönetilen kimlik doğrulamasına dönüştürmek gerekmez.

Kesinti sırasında

Bir azaltma planı uygulamayı seçtiyseniz tek bir erişim denetimi kesintisine otomatik olarak devam edebilirsiniz. Ancak, bir acil durum planı oluşturmayı seçtiyseniz, erişim denetimi kesintisi sırasında acil durum ilkelerinizi etkinleştirebilirsiniz:

  1. Belirli ağlardan hedeflenen kullanıcılara, belirli uygulamalara erişim veren acil durum ilkelerinizi etkinleştirin.
  2. Normal denetim tabanlı ilkelerinizi devre dışı bırakın.

Microsoft önerileri

Kesinti sırasında hangi azaltmaların veya olasılıkların kullanıldığına bağlı olarak, kuruluşunuz yalnızca parolalarla erişim izni verebilir. Hiçbir koruma, dikkatle tartılması gereken önemli bir güvenlik riski değildir. Kuruluşların yapması gerekenler:

  1. Değişiklik denetimi stratejinizin bir parçası olarak, erişim denetimleri tamamen çalışır duruma gelir gelmez uyguladığınız tüm olasılıkları geri almak için her değişikliği ve önceki durumu belgeleyin.
  2. MFA'yi devre dışı bırakırken kötü niyetli aktörlerin parola spreyi veya kimlik avı saldırıları yoluyla parola toplamaya çalışacağını varsayalım. Ayrıca, kötü aktörlerin daha önce bu pencere sırasında denenebilecek herhangi bir kaynağa erişim izni vermemiş parolaları olabilir. Yöneticiler gibi kritik kullanıcılar için MFA'yı devre dışı bırakmadan önce parolalarını sıfırlayarak bu riski kısmen azaltabilirsiniz.
  3. MFA'nın devre dışı bırakıldığı süre boyunca kimlerin neye erişildiğini belirlemek için tüm oturum açma etkinliklerini arşivleyin.
  4. Bu pencere sırasında bildirilen tüm risk algılamalarını önceliklendirme.

Kesintiden sonra

Kesintiye neden olan hizmet geri yüklendikten sonra etkinleştirilmiş acil durum planının parçası olarak yaptığınız değişiklikleri geri alın.

  1. Normal ilkeleri etkinleştirme
  2. Acil durum ilkelerinizi yalnızca rapor moduna geri devre dışı bırakın.
  3. Kesinti sırasında yaptığınız ve belgelediğiniz diğer değişiklikleri geri alma.
  4. Acil durum erişim hesabı kullandıysanız, acil durum erişim hesabı yordamlarınızın bir parçası olarak kimlik bilgilerini yeniden oluşturma ve yeni kimlik bilgileri ayrıntılarını fiziksel olarak güvenli bir şekilde sağlamayı unutmayın.
  5. Şüpheli etkinlik kesintisi sonrasında bildirilen tüm risk algılamalarını önceliklendirmeye devam edin.
  6. Bir kullanıcı kümesini hedeflemek için verilen tüm yenileme belirteçlerini iptal edin. Tüm yenileme belirteçlerinin iptal edilmesi, kesinti sırasında kullanılan ayrıcalıklı hesaplar için önemlidir ve bunu yapmak, bunları yeniden kimlik doğrulaması yapmaya ve geri yüklenen ilkelerin denetimini karşılamaya zorlar.

Acil durum seçenekleri

Acil bir durumda ve kuruluşunuz daha önce bir risk azaltma veya acil durum planı uygulamamışsa, MFA'yı zorunlu kılmak için Koşullu Erişim ilkelerini zaten kullanıyorlarsa kullanıcı kilitleme için Contingencies bölümündeki önerileri izleyin. Kuruluşunuz kullanıcı başına MFA eski ilkelerini kullanıyorsa aşağıdaki alternatifi göz önünde bulundurabilirsiniz:

  • Kurumsal ağ giden IP adresiniz varsa, yalnızca şirket ağına kimlik doğrulamasını etkinleştirmek için bunları güvenilir IP'ler olarak ekleyebilirsiniz.
  • Giden IP adresleri envanterine sahip değilseniz veya şirket ağı içinde ve dışında erişimi etkinleştirmeniz gerekiyorsa, 0.0.0.0/1 ve 128.0.0.0/1'i belirterek IPv4 adres alanının tamamını güvenilir IP'ler olarak ekleyebilirsiniz.

Önemli

Erişimin engelini kaldırmak için güvenilen IP adreslerini genişletirseniz, IP adresleriyle ilişkili risk algılamaları (örneğin, imkansız seyahat veya yabancı konumlar) oluşturulmaz.

Dekont

Microsoft Entra çok faktörlü kimlik doğrulaması için güvenilen IP'leri yapılandırma yalnızca Microsoft Entra ID P1 veya P2 lisanslarıyla kullanılabilir.

Daha fazla bilgi edinin