Microsoft Entra kimliğindeki güvenlik varsayılanları

Güvenlik varsayılanları, kuruluşunuzun günümüzün ortamlarında yaygın olarak kullanılan parola spreyi, yeniden yürütme ve kimlik avı gibi kimlikle ilgili saldırılardan korunmasına yardımcı olmasını kolaylaştırır.

Güvenliği yönetmenin zor olabileceğini bildiğimiz için Microsoft bu önceden yapılandırılmış güvenlik ayarlarını herkesin kullanımına sunmaktadır. Öğrendiklerimize göre kimlikle ilgili yaygın saldırıların %99,9'undan fazlası çok faktörlü kimlik doğrulaması kullanılarak durdurulur ve eski kimlik doğrulamasını engeller. Hedefimiz, tüm kuruluşların ek ücret ödemeden en azından temel düzeyde güvenlik etkinleştirilmiş olduğundan emin olmaktır.

Bu temel denetimler şunlardır:

Kimin için?

  • Güvenlik duruşlarını artırmak isteyen ancak nasıl veya nereden başlayacağını bilemeyen kuruluşlar.
  • Microsoft Entra lisansının ücretsiz katmanını kullanan kuruluşlar.

Koşullu Erişimi kimler kullanmalıdır?

  • Microsoft Entra Kimliği P1 veya P2 lisansı olan bir kuruluşsanız, güvenlik varsayılanları sizin için uygun olmayabilir.
  • Kuruluşunuzun karmaşık güvenlik gereksinimleri varsa Koşullu Erişim'i göz önünde bulundurmanız gerekir

Güvenlik varsayılanlarını etkinleştirme

Kiracınız 22 Ekim 2019 veya sonrasında oluşturulduysa, kiracınızda güvenlik varsayılanları etkinleştirilebilir. Tüm kullanıcılarımızı korumak için, güvenlik varsayılanları oluşturma sırasında tüm yeni kiracılara dağıtılıyor.

Kuruluşların korunmasına yardımcı olmak için her zaman Microsoft hesap hizmetlerinin güvenliğini geliştirmek için çalışıyoruz. Bu koruma kapsamında, aşağıdakiler durumunda müşterilere güvenlik varsayılanlarının otomatik olarak etkinleştirilmesi için düzenli aralıklarla bildirim gönderilir:

  • Koşullu Erişim ilkelerini etkinleştirmedim.
  • Premium lisanslara sahip değilsiniz.
  • Eski kimlik doğrulama istemcilerini etkin olarak kullanmıyor.

Bu ayar etkinleştirildikten sonra kuruluştaki tüm kullanıcıların çok faktörlü kimlik doğrulamasına kaydolması gerekir. Karışıklığı önlemek için, aldığınız e-postaya bakın ve alternatif olarak, etkinleştirildikten sonra güvenlik varsayılanlarını devre dışı bırakabilirsiniz .

Dizininizde güvenlik varsayılanlarını yapılandırmak için en azından Güvenlik Yöneticisi rolüne atanmış olmanız gerekir. Varsayılan olarak herhangi bir dizindeki ilk hesaba Genel Yönetici olarak bilinen daha yüksek ayrıcalıklı bir rol atanır.

Güvenlik varsayılanlarını etkinleştirmek için:

  1. Microsoft Entra yönetim merkezindeGenel Yönetici olarak oturum açın.
  2. Kimlik>Genel Bakış>Özellikleri'ne göz atın.
    1. Güvenlik varsayılanlarını yönet'i seçin.
  3. Güvenlik varsayılanlarınıEtkin olarak ayarlayın.
  4. Kaydet’i seçin.

Güvenlik varsayılanlarını etkinleştirme iki durumlu düğmesinin yer Microsoft Entra yönetim merkezinin ekran görüntüsü

Etkin belirteçleri iptal etme

Güvenlik varsayılanlarını etkinleştirmenin bir parçası olarak, yöneticilerin tüm kullanıcıların çok faktörlü kimlik doğrulamasına kaydolmasını zorunlu kılması için tüm mevcut belirteçleri iptal etmesi gerekir. Bu iptal olayı, daha önce kimliği doğrulanmış kullanıcıları çok faktörlü kimlik doğrulaması için kimlik doğrulaması ve kaydolmaya zorlar. Bu görev Revoke-AzureADUserAllRefreshToken PowerShell cmdlet'i kullanılarak gerçekleştirilebilir.

Zorunlu güvenlik ilkeleri

Tüm kullanıcıların çok faktörlü Microsoft Entra kimlik doğrulamasına kaydolmasını gerektir

Tüm kullanıcıların Microsoft Authenticator uygulamasını veya OATH TOTP'yi destekleyen herhangi bir uygulamayı kullanarak kaydolması 14 gün sürer. 14 gün geçtikten sonra kayıt tamamlanana kadar kullanıcı oturum açamaz. Kullanıcının 14 günlük süresi, güvenlik varsayılanlarını etkinleştirdikten sonra ilk başarılı etkileşimli oturum açma işleminin ardından başlar.

Kullanıcılar oturum açtıklarında ve çok faktörlü kimlik doğrulaması yapmaları istendiğinde, Microsoft Authenticator uygulamasına girmeleri için bir sayı sağlayan bir ekran görürler. Bu ölçü, kullanıcıların MFA yorulma saldırılarına düşmesini önlemeye yardımcı olur.

Bir sayı girerek Oturum açma isteğini onayla penceresinin bir örneğini gösteren ekran görüntüsü.

Yöneticilerin çok faktörlü kimlik doğrulaması yapmasını iste

Yöneticiler ortamınıza erişimi artırdı. Bu yüksek ayrıcalıklı hesapların gücü nedeniyle, onlara özel bir özen göstermelisiniz. Ayrıcalıklı hesapların korumasını geliştirmenin yaygın yöntemlerinden biri, oturum açma için çok faktörlü kimlik doğrulaması gerektirme gibi daha güçlü bir hesap doğrulaması biçimi gerektirmektir.

İpucu

Yöneticileriniz için öneriler:

  • Kimlik doğrulama yöntemlerine kaydolabilmeleri için güvenlik varsayılanlarını etkinleştirdikten sonra tüm yöneticilerinizin oturum açtıklarından emin olun.
  • Yöneticilerinizden MFA isteme sayısını önemli ölçüde azaltmak için yönetim ve standart üretkenlik görevleri için ayrı hesaplara sahip olmanız gerekir.

Kayıt tamamlandıktan sonra, her oturum açtıklarında çok faktörlü kimlik doğrulaması yapmak için aşağıdaki yönetici rolleri gerekir:

  • Genel Yönetici
  • Uygulama Yöneticisi
  • Kimlik Doğrulama Yöneticisi
  • Faturalama Yöneticisi
  • Bulut Uygulaması Yöneticisi
  • Koşullu Erişim Yöneticisi
  • Exchange Yöneticisi
  • Yardım Masası Yöneticisi
  • Parola Yöneticisi
  • Ayrıcalıklı Kimlik Doğrulama Yöneticisi
  • Ayrıcalıklı Rol Yöneticisi
  • Güvenlik Yöneticisi
  • SharePoint Yöneticisi
  • Kullanıcı Yöneticisi

Kullanıcıların gerektiğinde çok faktörlü kimlik doğrulaması yapmasını gerektirme

Fazladan kimlik doğrulaması katmanı gerektiren tek hesapların yönetici hesapları olduğunu düşünme eğilimindeyiz. Yöneticiler hassas bilgilere geniş erişime sahiptir ve abonelik genelindeki ayarlarda değişiklik yapabilir. Ancak saldırganlar sık sık son kullanıcıları hedef alır.

Bu saldırganlar erişim elde ettikten sonra, özgün hesap sahibi için ayrıcalıklı bilgilere erişim isteyebilir. Hatta tüm kuruluşunuza kimlik avı saldırısı gerçekleştirmek için dizinin tamamını indirebilirler.

Tüm kullanıcılar için korumayı geliştirmenin yaygın yöntemlerinden biri, herkes için çok faktörlü kimlik doğrulaması gibi daha güçlü bir hesap doğrulama biçimi gerektirmektir. Kullanıcılar kaydı tamamladıktan sonra, gerektiğinde başka bir kimlik doğrulaması istenir. Microsoft, konum, cihaz, rol ve görev gibi faktörlere bağlı olarak bir kullanıcıdan çok faktörlü kimlik doğrulaması istendiğinde karar verir. Bu işlev SaaS uygulamaları dahil olmak üzere tüm kayıtlı uygulamaları korur.

Not

B2B doğrudan bağlantı kullanıcıları söz konusu olduğunda, kaynak kiracısında etkinleştirilen güvenlik varsayılanlarından gelen çok faktörlü kimlik doğrulama gereksinimleri karşılanmalıdır. Bu, ana kiracıdaki doğrudan bağlantı kullanıcısı tarafından yapılan çok faktörlü kimlik doğrulama kaydı da dahil olmak üzere.

Eski kimlik doğrulama protokollerini engelleme

Kullanıcılarınıza bulut uygulamalarınıza kolay erişim vermek için eski kimlik doğrulaması dahil olmak üzere çeşitli kimlik doğrulama protokollerini destekliyoruz. Eski kimlik doğrulaması , tarafından yapılan bir kimlik doğrulama isteğini ifade eden bir terimdir:

  • Modern kimlik doğrulaması kullanmayan istemciler (örneğin, office 2010 istemcisi).
  • IMAP, SMTP veya POP3 gibi eski posta protokollerini kullanan tüm istemciler.

Bugün, güvenliği tehlikeye atan oturum açma girişimlerinin çoğu eski kimlik doğrulamasından gelir. Eski kimlik doğrulaması çok faktörlü kimlik doğrulamasını desteklemez. Dizininizde çok faktörlü kimlik doğrulama ilkesi etkinleştirilmiş olsa bile, saldırgan daha eski bir protokol kullanarak kimlik doğrulaması yapabilir ve çok faktörlü kimlik doğrulamasını atlayabilir.

Kiracınızda güvenlik varsayılanları etkinleştirildikten sonra, eski bir protokol tarafından yapılan tüm kimlik doğrulama istekleri engellenir. Güvenlik varsayılanları Exchange Active Sync temel kimlik doğrulamayı engeller.

Uyarı

Güvenlik varsayılanlarını etkinleştirmeden önce, yöneticilerinizin eski kimlik doğrulama protokollerini kullanmadığından emin olun. Daha fazla bilgi için bkz. Eski kimlik doğrulamasından uzaklaşma.

Azure portal erişim gibi ayrıcalıklı etkinlikleri koruma

Kuruluşlar, Azure Resource Manager API'si aracılığıyla yönetilen çeşitli Azure hizmetlerini kullanır, örneğin:

  • Azure portal
  • yönetim merkezini Microsoft Entra
  • Azure PowerShell
  • Azure CLI

Hizmetlerinizi yönetmek için Azure Resource Manager kullanmak yüksek ayrıcalıklı bir eylemdir. Azure Resource Manager, hizmet ayarları ve abonelik faturalaması gibi kiracı genelindeki yapılandırmaları değiştirebilir. Tek faktörlü kimlik doğrulaması, kimlik avı ve parola spreyi gibi çeşitli saldırılara karşı savunmasızdır.

Azure Resource Manager erişmek ve yapılandırmaları güncelleştirmek isteyen kullanıcıların kimliğini doğrulamak önemlidir. Erişime izin vermeden önce daha fazla kimlik doğrulaması gerektirerek kimliklerini doğrularsınız.

Kiracınızda güvenlik varsayılanlarını etkinleştirdikten sonra, aşağıdaki hizmetlere erişen tüm kullanıcıların çok faktörlü kimlik doğrulamasını tamamlaması gerekir:

  • Azure portal
  • yönetim merkezini Microsoft Entra
  • Azure PowerShell
  • Azure CLI

Bu ilke, ister yönetici ister kullanıcı olsun, Azure Resource Manager hizmetlerine erişen tüm kullanıcılar için geçerlidir.

Not

2017 öncesi Exchange Online kiracılarında modern kimlik doğrulaması varsayılan olarak devre dışı bırakılmıştır. Bu kiracılarda kimlik doğrulaması yaparken oturum açma döngüsü olasılığını önlemek için modern kimlik doğrulamasını etkinleştirmeniz gerekir.

Not

Microsoft Entra Connect eşitleme hesabı güvenlik varsayılanlarının dışında tutulur ve çok faktörlü kimlik doğrulamasına kaydolması veya gerçekleştirmesi istenmez. Kuruluşlar bu hesabı başka amaçlarla kullanmamalıdır.

Dağıtma konuları

Kullanıcılarınızı hazırlama

Kullanıcıları yaklaşan değişiklikler, kayıt gereksinimleri ve gerekli kullanıcı eylemleri hakkında bilgilendirmek önemlidir. Kullanıcılarınızı yeni deneyime hazırlamak ve başarılı bir dağıtım sağlamaya yardımcı olmak için iletişim şablonları ve kullanıcı belgeleri sağlıyoruz. Bu sayfadaki Güvenlik Bilgileri bağlantısını seçerek kullanıcıları kaydolmaları için https://myprofile.microsoft.com adresine gönderin.

Kimlik doğrulama yöntemleri

Güvenlik varsayılanları, kullanıcıların bildirimleri kullanarak Microsoft Authenticator uygulamasını kullanarak çok faktörlü kimlik doğrulamasına kaydolmaları ve bunları kullanmaları gerekir. Kullanıcılar Microsoft Authenticator uygulamasındaki doğrulama kodlarını kullanabilir ancak yalnızca bildirim seçeneğini kullanarak kaydolabilir. Kullanıcılar kod oluşturmak için OATH TOTP kullanarak herhangi bir üçüncü taraf uygulamasını da kullanabilir.

Uyarı

Güvenlik varsayılanlarını kullanıyorsanız kuruluşunuz için yöntemleri devre dışı bırakmayın. Yöntemleri devre dışı bırakmak, kendinizi kiracınızın dışına kilitlemenize neden olabilir. MFA hizmet ayarları portalında tüm Yöntemleri kullanıcıların kullanımına açık bırakın.

B2B kullanıcıları

Dizininize erişen tüm B2B konuk kullanıcıları veya B2B doğrudan bağlantı kullanıcıları, kuruluşunuzun kullanıcıları ile aynı kabul edilir.

Devre dışı MFA durumu

Kuruluşunuz kullanıcı başına çok faktörlü kimlik doğrulamasının önceki bir kullanıcısıysa, çok faktörlü kimlik doğrulama durumu sayfasına bakarsanız kullanıcıları Etkin veya Zorlanmış durumda görmemek için alarma geçmayın. Devre dışı , güvenlik varsayılanlarını veya Koşullu Erişim tabanlı çok faktörlü kimlik doğrulamasını kullanan kullanıcılar için uygun durumdur.

Güvenlik varsayılanlarını devre dışı bırakma

Güvenlik varsayılanlarını değiştiren Koşullu Erişim ilkelerini uygulamayı seçen kuruluşların güvenlik varsayılanlarını devre dışı bırakması gerekir.

Dizininizde güvenlik varsayılanlarını devre dışı bırakmak için:

  1. Microsoft Entra yönetim merkezindeGenel Yönetici olarak oturum açın.
  2. Kimlik>Genel Bakış>Özellikleri'ne göz atın.
    1. Güvenlik varsayılanlarını yönet'i seçin.
  3. Güvenlik varsayılanlarınıDevre Dışı (önerilmez) olarak ayarlayın.
  4. Kaydet’i seçin.

Sonraki adımlar