İngilizce dilinde oku

Aracılığıyla paylaş


Microsoft Entra genel işlemler kılavuzu başvurusu

Microsoft Entra işlemleri başvuru kılavuzunun bu bölümünde, Microsoft Entra Id'nin genel işlemlerini iyileştirmek için gerçekleştirmeniz gereken denetimler ve eylemler açıklanmaktadır.

Not

Bu öneriler yayımlama tarihinden itibaren geçerlidir ancak zaman içinde değişebilir. Microsoft ürün ve hizmetleri zaman içinde geliştikçe kuruluşların operasyonel uygulamalarını sürekli değerlendirmesi gerekir.

Önemli işletimsel süreçler

Önemli görevlere sahip atama

Microsoft Entra Id'yi yönetmek için önemli işletimsel görevlerin ve işlemlerin sürekli yürütülmesi gerekir ve bu da bir dağıtım projesinin parçası olmayabilir. Ortamınızı iyileştirmek için bu görevleri ayarlamanız yine de önemlidir. Önemli görevler ve bunların önerilen sahipleri şunlardır:

Görev Sahibi
Kimlik Güvenli Puanı üzerinde Sürücü Geliştirmeleri InfoSec İşletim Ekibi
Microsoft Entra Bağlan Sunucularını Koruma IAM Operasyon Ekibi
IdFix Raporlarını düzenli olarak yürütme ve önceliklendirme IAM Operasyon Ekibi
Eşitleme ve AD FS için Microsoft Entra Bağlan Sistem Durumu Uyarılarını Önceliklendirme IAM Operasyon Ekibi
Microsoft Entra Bağlan Health kullanmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer süreç ve araçları vardır IAM Operasyon Ekibi
AD FS kullanılmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer süreç ve araçları vardır IAM Operasyon Ekibi
Karma Günlükleri İzleme: Microsoft Entra özel ağ bağlayıcıları IAM Operasyon Ekibi
Karma Günlükleri İzleme: GeçişLi Kimlik Doğrulama Aracıları IAM Operasyon Ekibi
Karma Günlükleri İzleme: Parola Geri Yazma Hizmeti IAM Operasyon Ekibi
Karma Günlükleri İzleme: Şirket içi parola koruma ağ geçidi IAM Operasyon Ekibi
Karma Günlükleri İzleme: Microsoft Entra çok faktörlü kimlik doğrulaması NPS Uzantısı (varsa) IAM Operasyon Ekibi

Listenizi gözden geçirirken, sahip eksik görevler için sahip atamanız veya yukarıdaki önerilerle uyumlu olmayan sahiplerle görevlerin sahipliğini ayarlamanız gerektiğini fark edebilirsiniz.

Karma yönetim

Şirket içi bileşenlerin son sürümleri

Şirket içi bileşenlerin en güncel sürümlerine sahip olmak, müşteriye ortamı daha da basitleştirmeye yardımcı olabilecek en son güvenlik güncelleştirmelerini, performans iyileştirmelerini ve işlevselliğini sağlar. Çoğu bileşenin otomatik yükseltme ayarı vardır ve bu ayar yükseltme işlemini otomatikleştirir.

Bu bileşenler şunlardır:

  • Microsoft Entra Connect
  • Microsoft Entra özel ağ bağlayıcıları
  • Microsoft Entra doğrudan kimlik doğrulama aracıları
  • Microsoft Entra Bağlan Sistem Durumu Aracıları

Henüz oluşturulmadıysa, bu bileşenleri yükseltmeye yönelik bir işlem tanımlamanız ve mümkün olduğunda otomatik yükseltme özelliğine güvenmeniz gerekir. Altı veya daha fazla ay geride kalan bileşenler bulursanız, en kısa sürede yükseltmeniz gerekir.

Microsoft Entra Bağlan Sistem Durumu uyarı temeli

Kuruluşlar, Microsoft Entra Bağlan ve AD FS'nin izlenmesi ve raporlanması için Microsoft Entra Bağlan Health dağıtmalıdır. Microsoft Entra Bağlan ve AD FS, yaşam döngüsü yönetimini ve kimlik doğrulamasını bozabilen ve bu nedenle kesintilere yol açabilen kritik bileşenlerdir. Microsoft Entra Bağlan Health, şirket içi kimlik altyapınızı izlemenize ve içgörüler elde etmenize yardımcı olur, böylece ortamınızın güvenilirliğini sağlar.

Microsoft Entra Bağlan Heath mimarisi

Ortamınızın durumunu izlerken, yüksek önem derecesi uyarılarını ve ardından daha düşük önem derecesi uyarılarını hemen gidermeniz gerekir.

Şirket içi aracı günlükleri

Bazı kimlik ve erişim yönetimi hizmetleri, karma senaryoları etkinleştirmek için şirket içi aracılar gerektirir. Örnek olarak parola sıfırlama, geçiş kimlik doğrulaması (PTA), Microsoft Entra uygulama ara sunucusu ve Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı verilebilir. System Center Operations Manager veya SIEM gibi çözümleri kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek işlem ekibinin temel aldığı ve bu bileşenlerin sistem durumunu izlemesi önemlidir. Infosec İşlemleri ekibinizin veya yardım masanızın hata desenlerinin nasıl giderilirini anlaması da aynı derecede önemlidir.

Şirket içi aracı yönetimi

En iyi yöntemleri benimsemek, şirket içi aracıların en iyi şekilde çalışmasına yardımcı olabilir. Aşağıdaki en iyi yöntemleri göz önünde bulundurun:

  • Proxy uygulamalarına erişirken tek hata noktalarından kaçınarak sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için bağlayıcı grubu başına birden çok Microsoft Entra özel ağ bağlayıcısı önerilir. Şu anda bir bağlayıcı grubunda üretimdeki uygulamaları işleyen tek bir bağlayıcınız varsa, yedeklilik için en az iki bağlayıcı dağıtmanız gerekir.
  • Hata ayıklama amacıyla özel bir ağ bağlayıcısı grubu oluşturmak ve kullanmak, sorun giderme senaryolarında ve yeni şirket içi uygulamaları eklerken yararlı olabilir. Bağlayıcı makinelerine İleti Çözümleyicisi ve Fiddler gibi ağ araçlarının yüklenmesini de öneririz.
  • Kimlik doğrulama akışı sırasında tek hata noktasını önleyerek sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için birden çok doğrudan kimlik doğrulama aracısının kullanılması önerilir. Yedeklilik için en az iki geçişli kimlik doğrulama aracısını dağıttığınıza emin olun.

Büyük ölçekte yönetim

Kimlik secure score’u

Kimlik güvenliği puanı, kuruluşunuzun güvenlik duruşunun ölçülebilir bir ölçüsünü sağlar. Bildirilen bulguları sürekli gözden geçirmek ve ele almak ve mümkün olan en yüksek puana sahip olmak için çaba göstermek önemlidir. Puanın yardımıyla:

  • Kimlik güvenliği duruşunuzu nesnel olarak ölçebilirsiniz
  • Kimlik güvenliği geliştirmelerini planlayabilirsiniz
  • Geliştirmelerinizin başarısını gözden geçirebilirsiniz

Güvenlik puanı

Kuruluşunuzun Şu anda Kimlik Güvenli Puanı'ndaki değişiklikleri izlemek için bir programı yoksa, bir plan uygulamanız ve iyileştirme eylemlerini izlemek ve yönlendirmek için sahipler atamanız önerilir. Kuruluşlar, puan etkisi 30'un üzerinde olan iyileştirme eylemlerini en kısa sürede düzeltmelidir.

Notifications

Microsoft, hizmetteki çeşitli değişiklikleri, gerekli yapılandırma güncelleştirmelerini ve yönetici müdahalesi gerektiren hataları bildirmek için yöneticilere e-posta iletişimleri gönderir. Müşterilerin bildirim e-posta adreslerini, bildirimlerin tüm bildirimleri kabul edip üzerinde işlem yapabilecek uygun ekip üyelerine gönderilmesi için ayarlamaları önemlidir. İleti Merkezi'ne birden çok alıcı eklemenizi ve bildirimlerin (Microsoft Entra Bağlan Health bildirimleri dahil) bir dağıtım listesine veya paylaşılan posta kutusuna gönderilmesini istemenizi öneririz. E-posta adresi olan tek bir Genel Yönetici istrator hesabınız varsa, en az iki e-posta özellikli hesap yapılandırdığınızdan emin olun.

Microsoft Entra Id tarafından kullanılan iki "Kimden" adresi vardır: o365mc@email2.microsoft.comİleti Merkezi bildirimleri gönderen ve azure-noreply@microsoft.comile ilgili bildirimleri gönderen:

Gönderilen bildirimlerin türünü ve bunların nerede denetlendiğini öğrenmek için aşağıdaki tabloya bakın:

Bildirim kaynağı Gönderilenler Denetlenecek yer
Teknik konular ilgili kişisi Eşitleme hataları Azure portalı - özellikler dikey penceresi
İleti Merkezi Kimlik Hizmetleri ve Microsoft 365 arka uç hizmetlerinin olay ve düşüş bildirimleri Office Portalı
Kimlik Koruması Haftalık Özet Kimlik Koruması Özeti Microsoft Entra Kimlik Koruması dikey penceresi
Microsoft Entra Connect Health Uyarı bildirimleri Azure portalı - Microsoft Entra Bağlan Sistem Durumu dikey penceresi
Kurumsal Uygulamalar Bildirimleri Sertifikaların süresi dolmak üzere olduğunda bildirimler ve sağlama hataları Azure portalı - Kurumsal Uygulama dikey penceresi (her uygulamanın kendi e-posta adresi ayarı vardır)

İşletimsel yüzey alanı

AD FS kilitleme

Microsoft Entra akıllı kilitlemeden doğrudan Microsoft Entra ID avantajında kimlik doğrulaması yapmak için uygulamaları yapılandıran kuruluşlar. Windows Server 2012 R2'de AD FS kullanıyorsanız AD FS extranet kilitleme koruması uygulayın. Windows Server 2016 veya sonraki sürümlerde AD FS kullanıyorsanız extranet akıllı kilitleme uygulayın. Extranet kilitlemeyi en azından şirket içi Active Directory karşı deneme yanılma saldırısı riskini içerecek şekilde etkinleştirmenizi öneririz. Ancak, Windows 2016 veya üzeri sürümlerde AD FS'niz varsa, parola spreyi saldırılarını azaltmaya yardımcı olacak extranet akıllı kilitlemeyi de etkinleştirmeniz gerekir.

AD FS yalnızca Microsoft Entra federasyonu için kullanılıyorsa, saldırı yüzeyi alanını en aza indirmek için kapatılabilir bazı uç noktalar vardır. Örneğin, AD FS yalnızca Microsoft Entra Id için kullanılıyorsa, kullanıcı adı karma ve windowstransport için etkinleştirilen uç noktalar dışındaki WS-Trust uç noktalarını devre dışı bırakmanız gerekir.

Şirket içi kimlik bileşenlerine sahip makinelere erişim

Kuruluşlar, şirket içi karma bileşenleri olan makinelere erişimi şirket içi etki alanınızla aynı şekilde kilitlemelidir. Örneğin, bir yedekleme operatörü veya Hyper-V yöneticisinin kuralları değiştirmek için Microsoft Entra Bağlan Server'da oturum açamaması gerekir.

Active Directory yönetim katmanı modeli, Ortam 'ın tam denetimi (Katman 0) ile saldırganların sıklıkla ele geçirildiği yüksek riskli iş istasyonu varlıkları arasında bir dizi arabellek bölgesi kullanarak kimlik sistemlerini korumak için tasarlanmıştır.

Katman modelinin üç katmanını gösteren diyagram

Katman modeli üç düzeyden oluşur ve standart kullanıcı hesaplarını değil yalnızca yönetim hesaplarını içerir.

  • Katman 0: Ortamdaki kuruluş kimliklerinin Doğrudan Denetimi. Katman 0 Active Directory ormanının, etki alanlarının veya etki alanı denetleyicilerinin ve içindeki tüm varlıkların doğrudan ya da dolaylı yönetimsel denetimine sahip hesapları, grupları ve diğer varlıkları içerir. Tüm Katman 0 varlıklarının güvenlik duyarlılığı, birbirlerinin denetiminde etkili bir şekilde olduklarından eşdeğerdir.
  • Katman 1: Kuruluş sunucuları ve uygulamalarının denetimi. Katman 1 varlıklarına sunucu işletim sistemleri, bulut hizmetleri ve kuruluş uygulamaları dahildir. Katman 1 yönetim hesapları, bu varlıklar üzerinde barındırılan önemli miktarda iş değeri üzerinde yönetimsel denetime sahiptir. Yaygın olarak kullanılan bir rol örneği, bu işletim sistemlerinin bakımını yapan ve tüm kuruluş hizmetlerini etkileme imkanına sahip olan sunucu yöneticileridir.
  • Katman 2: Kullanıcı iş istasyonları ve cihazlarının denetimi. Katman 2 yönetim hesapları, kullanıcı iş istasyonları ve cihazları üzerinde barındırılan önemli miktarda iş değeri üzerinde yönetimsel denetime sahiptir. Örnek olarak neredeyse tüm kullanıcı verilerinin bütünlüğünü etkileyebilecek Yardım Masası ve bilgisayar destek yöneticileri verilebilir.

Microsoft Entra Bağlan, AD FS ve SQL hizmetleri gibi şirket içi kimlik bileşenlerine erişimi etki alanı denetleyicilerinde olduğu gibi kilitleyin.

Özet

Güvenli kimlik altyapısının yedi yönü vardır. Bu liste, Microsoft Entra Id işlemlerini iyileştirmek için gerçekleştirmeniz gereken eylemleri bulmanıza yardımcı olur.

  • Anahtar görevlere sahip atama.
  • Şirket içi karma bileşenler için yükseltme işlemini otomatikleştirin.
  • Microsoft Entra Bağlan ve AD FS'yi izlemek ve raporlamak için Microsoft Entra Bağlan Health'i dağıtın.
  • System Center Operations Manager veya SIEM çözümünü kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek şirket içi karma bileşenlerin durumunu izleyin.
  • Kimlik Güvenli Puanı ile güvenlik duruşunuzu ölçerek güvenlik geliştirmeleri uygulayın.
  • AD FS'i kilitleyin.
  • Şirket içi kimlik bileşenlerine sahip makinelere erişimi kilitleyin.

Sonraki adımlar

Dağıtmadığınız özelliklerle ilgili uygulama ayrıntıları için Microsoft Entra dağıtım planlarına bakın.