Öğretici: Azure AD Multi-Factor Authentication ile kullanıcı oturum açma olaylarının güvenliğini sağlama

Çok faktörlü kimlik doğrulaması (MFA), oturum açma olayı sırasında kullanıcıdan ek tanımlama biçimleri istendiği bir işlemdir. Örneğin, istem cep telefonuna bir kod girmek veya parmak izi taraması sağlamak olabilir. İkinci bir tanımlama biçimine ihtiyacınız olduğunda, bu ek faktörün saldırganın elde etmek veya çoğaltması kolay olmadığından güvenlik artırılır.

Multi-Factor Authentication ve Koşullu Erişim ilkeleri Azure AD, belirli oturum açma olayları için kullanıcılardan MFA gerektirme esnekliği sağlar. MFA'ya genel bir bakış için şu videoyu izlemenizi öneririz: Kiracınızda çok faktörlü kimlik doğrulamasını yapılandırma ve zorlama.

Önemli

Bu öğreticide, yöneticiye Azure AD Multi-Factor Authentication'ın nasıl etkinleştirileceği gösterilir.

BT ekibiniz Azure AD Multi-Factor Authentication kullanma özelliğini etkinleştirmediyse veya oturum açma sırasında sorun yaşıyorsanız ek yardım için Yardım masanıza ulaşın.

Bu öğreticide şunların nasıl yapıldığını öğrenirsiniz:

  • Bir kullanıcı grubu için Azure AD Multi-Factor Authentication'ı etkinleştirmek için bir Koşullu Erişim ilkesi oluşturun.
  • MFA isteyen ilke koşullarını yapılandırın.
  • Kullanıcı olarak çok faktörlü kimlik doğrulamasını yapılandırmayı ve kullanmayı test edin.

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • Azure AD Premium P1 veya deneme lisansları etkinleştirilmiş çalışan bir Azure AD kiracısı.

  • Koşullu Erişim Yöneticisi, Güvenlik Yöneticisi veya Genel Yönetici ayrıcalıklarına sahip bir hesap. Bazı MFA ayarları, Kimlik Doğrulama İlkesi Yöneticisi tarafından da yönetilebilir. Daha fazla bilgi için bkz . Kimlik Doğrulama İlkesi Yöneticisi.

  • Bildiğiniz parolaya sahip yönetici olmayan bir hesap. Bu öğretici için testuser adlı bir hesap oluşturduk. Bu öğreticide, Azure AD Multi-Factor Authentication'ı yapılandırma ve kullanma konusunda son kullanıcı deneyimini test edin.

  • Yönetici olmayan kullanıcının üyesi olduğu bir grup. Bu öğretici için MFA-Test-Group adlı böyle bir grup oluşturduk. Bu öğreticide, bu grup için Azure AD Multi-Factor Authentication'ı etkinleştirebilirsiniz.

Koşullu Erişim ilkesi oluşturma

Multi-Factor Authentication Azure AD etkinleştirmenin ve kullanmanın önerilen yolu Koşullu Erişim ilkeleridir. Koşullu Erişim, oturum açma olaylarına tepki veren ve kullanıcıya uygulama veya hizmete erişim verilmeden önce ek eylemler isteyen ilkeler oluşturmanıza ve tanımlamanıza olanak tanır.

Oturum açma işleminin güvenliğini sağlamak için Koşullu Erişimin nasıl çalıştığına ilişkin genel bakış diyagramı

Koşullu Erişim ilkeleri belirli kullanıcılara, gruplara ve uygulamalara uygulanabilir. Amaç, kuruluşunuzu korurken aynı zamanda ihtiyacı olan kullanıcılara doğru erişim düzeylerini sağlamaktır.

Bu öğreticide, bir kullanıcı Azure portal oturum açtığında MFA'yı soran temel bir Koşullu Erişim ilkesi oluşturacağız. Bu serinin sonraki öğreticilerinde, risk tabanlı bir Koşullu Erişim ilkesi kullanarak Azure AD Multi-Factor Authentication'ı yapılandıracağız.

İlk olarak, bir Koşullu Erişim ilkesi oluşturun ve test kullanıcı grubunuzu aşağıdaki gibi atayın:

  1. Genel yönetici izinlerine sahip bir hesap kullanarak Azure portal oturum açın.

  2. Azure Active Directory'yi bulun ve seçin. Ardından sol taraftaki menüden Güvenlik'i seçin.

  3. Koşullu Erişim'i, + Yeni ilke'yi ve sonra da Yeni ilke oluştur'u seçin.

    'Yeni ilke'yi ve ardından 'Yeni ilke oluştur'u seçtiğiniz Koşullu Erişim sayfasının ekran görüntüsü.

  4. İlke için MFA Pilot gibi bir ad girin.

  5. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'nin altındaki geçerli değeri seçin.

    'Kullanıcılar veya iş yükü kimlikleri' altında geçerli değeri seçtiğiniz Koşullu Erişim sayfasının ekran görüntüsü.

  6. Bu ilke ne için geçerlidir? altında Kullanıcılar ve gruplar'ın seçili olduğunu doğrulayın.

  7. Ekle'nin altında Kullanıcıları ve grupları seçin'i ve ardından Kullanıcılar ve gruplar'ı seçin.

    Kullanıcıları ve grupları belirtme seçeneklerini belirlediğiniz yeni ilke oluşturmaya yönelik sayfanın ekran görüntüsü.

    Henüz kimse atanmadığından, kullanıcı ve grup listesi (sonraki adımda gösterilir) otomatik olarak açılır.

  8. MFA-Test-Group gibi Azure AD grubunuzu bulun ve seçin, ardından Seç'i seçin.

    SonuçlarıN M F A ve 'MFA-Test-Group' harflerine göre filtrelendiği kullanıcı ve grup listesinin ekran görüntüsü.

İlkenin uygulanacağı grubu seçtik. Sonraki bölümde, ilkenin uygulanacağı koşulları yapılandıracağız.

Çok faktörlü kimlik doğrulaması koşullarını yapılandırma

Koşullu Erişim ilkesi oluşturulduğuna ve bir kullanıcı test grubu atandığı için, ilkeyi tetikleyen bulut uygulamalarını veya eylemleri tanımlayın. Bu bulut uygulamaları veya eylemleri, çok faktörlü kimlik doğrulaması isteme gibi ek işlemler gerektirmeye karar vereceğiniz senaryolardır. Örneğin, finansal bir uygulamaya erişimin veya yönetim araçlarının kullanılmasının kimlik doğrulaması için ek bir istem gerektirdiğine karar vekleyebilirsiniz.

Hangi uygulamaların çok faktörlü kimlik doğrulaması gerektirdiğini yapılandırma

Bu öğreticide, bir kullanıcı Azure portal oturum açtığında çok faktörlü kimlik doğrulaması gerektirecek şekilde Koşullu Erişim ilkesini yapılandırın.

  1. Bulut uygulamaları veya eylemleri'nin altındaki geçerli değeri seçin ve ardından Bu ilkenin ne için geçerli olduğunu seçin'in altında Bulut uygulamalarının seçili olduğunu doğrulayın.

  2. Ekle'nin altında Uygulamaları seç'i seçin.

    Henüz hiçbir uygulama seçilmediğinden, uygulama listesi (sonraki adımda gösterilir) otomatik olarak açılır.

    İpucu

    Koşullu Erişim ilkesini Tüm bulut uygulamalarına veya Uygulama seç'e uygulamayı seçebilirsiniz. Esneklik sağlamak için bazı uygulamaları ilkenin dışında tutabilirsiniz.

  3. Kullanılabilecek kullanılabilir oturum açma olaylarının listesine göz atın. Bu öğreticide, ilkenin Azure portal oturum açma olayları için geçerli olması için Azure Yönetimi'ni Microsoft seçin. Ardından Seç seçeneğini belirleyin.

    Yeni ilkenin uygulanacağı Uygulamayı Microsoft Azure Yönetimi'ni seçtiğiniz Koşullu Erişim sayfasının ekran görüntüsü.

Erişim için çok faktörlü kimlik doğrulamasını yapılandırma

Ardından erişim denetimlerini yapılandıracağız. Erişim denetimleri, bir kullanıcıya erişim izni verilmesi için gereksinimleri tanımlamanızı sağlar. Onaylanan bir istemci uygulamasını veya Azure AD karma olarak katılmış bir cihazı kullanmaları gerekebilir.

Bu öğreticide, erişim denetimlerini Azure portal oturum açma olayı sırasında çok faktörlü kimlik doğrulaması gerektirecek şekilde yapılandırın.

  1. Erişim denetimleri'nin altında, İzin Ver'in altında geçerli değeri seçin ve ardından Erişim ver'i seçin.

    Koşullu Erişim sayfasının ekran görüntüsü; burada 'Ver' seçeneğini belirleyip 'Erişim izni ver' seçeneğini belirleyin.

  2. Çok faktörlü kimlik doğrulaması gerektir'i ve ardından Seç'i seçin.

    'Çok faktörlü kimlik doğrulaması gerektir' seçeneğini belirlediğiniz erişim verme seçeneklerinin ekran görüntüsü.

İlkeyi etkinleştirme

Koşullu Erişim ilkeleri, yapılandırmanın kullanıcıları nasıl etkileyeceğini görmek istiyorsanız Yalnızca Rapor olarak veya ilkeyi kullanmak istemiyorsanız Kapalı olarak ayarlanabilir. Bu öğretici için bir test grubu hedeflendiğinden, ilkeyi etkinleştirelim ve ardından Multi-Factor Authentication Azure AD test edelim.

  1. İlkeyi etkinleştir bölümünde Açık seçeneğini belirleyin.

    İlkenin etkin olup olmadığını belirttiğiniz web sayfasının alt kısmındaki denetimin ekran görüntüsü.

  2. Koşullu Erişim ilkesini uygulamak için Oluştur'u seçin.

Multi-Factor Authentication Azure AD test etme

Şimdi Koşullu Erişim ilkenizi ve Azure AD Multi-Factor Authentication'ın nasıl çalıştığını görelim.

İlk olarak, MFA gerektirmeyen bir kaynakta oturum açın:

  1. InPrivate modunda veya gizli modda yeni bir tarayıcı penceresi açın ve https://account.activedirectory.windowsazure.com adresine gidin.

    Tarayıcınız için özel mod kullanılması, mevcut kimlik bilgilerinin bu oturum açma olayını etkilemesini engeller.

  2. Testuser gibi yönetici olmayan test kullanıcınızla oturum açın. Kullanıcı hesabı için ve etki alanı adını eklediğinizden @ emin olun.

    Bu, bu hesapla oturum açmanın ilk örneğiyse parolayı değiştirmeniz istenir. Ancak, çok faktörlü kimlik doğrulamasını yapılandırmanız veya kullanmanız istenmez.

  3. Tarayıcı penceresini kapatın.

Koşullu Erişim ilkesini, Azure portal için ek kimlik doğrulaması gerektirecek şekilde yapılandırmışsınız. Bu yapılandırma nedeniyle, Azure AD Multi-Factor Authentication kullanmanız veya henüz yapmadıysanız bir yöntem yapılandırmanız istenir. Azure portal oturum açarak bu yeni gereksinimi test edin:

  1. InPrivate modunda veya gizli modda yeni bir tarayıcı penceresi açın ve https://portal.azure.com adresine gidin.

  2. Testuser gibi yönetici olmayan test kullanıcınızla oturum açın. Kullanıcı hesabı için ve etki alanı adını eklediğinizden @ emin olun.

    Multi-Factor Authentication'a kaydolmanız ve Azure AD kullanmanız gerekir.

    'Daha fazla bilgi gerekiyor' yazan bir istem. Bu, bu kullanıcı için çok faktörlü kimlik doğrulama yöntemini yapılandırma istemidir.

  3. İşlemi başlatmak için İleri'yi seçin.

    Kimlik doğrulaması için bir kimlik doğrulama telefonu, ofis telefonu veya mobil uygulama yapılandırmayı seçebilirsiniz. Kimlik doğrulama telefonu kısa mesajları ve telefon aramalarını destekler, office telefonu uzantısı olan numaralara yapılan aramaları destekler ve mobil uygulama , kimlik doğrulaması bildirimleri almak veya kimlik doğrulama kodları oluşturmak için mobil uygulama kullanmayı destekler.

    'Ek güvenlik doğrulaması' yazan bir istem. Bu, bu kullanıcı için çok faktörlü kimlik doğrulama yöntemini yapılandırma istemidir. Yöntem olarak kimlik doğrulama telefonu, ofis telefonu veya mobil uygulama seçebilirsiniz.

  4. Seçtiğiniz çok faktörlü kimlik doğrulama yöntemini yapılandırmak için ekrandaki yönergeleri tamamlayın.

  5. Tarayıcı penceresini kapatın ve yapılandırdığınız kimlik doğrulama yöntemini test etmek için adresinde https://portal.azure.com yeniden oturum açın. Örneğin, kimlik doğrulaması için bir mobil uygulama yapılandırdıysanız aşağıdakine benzer bir istem görmeniz gerekir.

    Oturum açmak için tarayıcınızdaki istemleri ve ardından çok faktörlü kimlik doğrulaması için kaydettiğiniz cihazda istemleri izleyin.

  6. Tarayıcı penceresini kapatın.

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız Koşullu Erişim ilkesini artık kullanmak istemiyorsanız, aşağıdaki adımları kullanarak ilkeyi silin:

  1. Azure Portal’ında oturum açın.

  2. Azure Active Directory'yi arayıp seçin ve ardından sol taraftaki menüden Güvenlik'i seçin.

  3. Koşullu erişim'i ve ardından MFA Pilot gibi oluşturduğunuz ilkeyi seçin.

  4. Sil'i seçin ve ilkeyi silmek istediğinizi onaylayın.

    Açtığınız Koşullu Erişim ilkesini silmek için, ilkenin adının altında bulunan Sil'i seçin.

Sonraki adımlar

Bu öğreticide, seçilen bir kullanıcı grubu için Koşullu Erişim ilkelerini kullanarak Multi-Factor Authentication Azure AD etkinleştirmişsinizdir. Şunları öğrendiniz:

  • Bir grup Azure AD kullanıcı için Azure AD Multi-Factor Authentication'ı etkinleştirmek üzere bir Koşullu Erişim ilkesi oluşturun.
  • Çok faktörlü kimlik doğrulaması isteyen ilke koşullarını yapılandırın.
  • Kullanıcı olarak çok faktörlü kimlik doğrulamasını yapılandırmayı ve kullanmayı test edin.