Aracılığıyla paylaş

Azure ve diğer yönetici portalları için zorunlu çok faktörlü kimlik doğrulamasını planlama

Microsoft olarak müşterilerimize en yüksek güvenlik düzeyini sağlamayı taahhüt ediyoruz. Kullanabileceği en etkili güvenlik önlemlerinden biri çok faktörlü kimlik doğrulamasıdır (MFA). Microsoft tarafından yapılan araştırma , MFA'nın 99,2% fazla hesap güvenliğini ihlal saldırılarını engelleyebileceğini gösteriyor.

Bu nedenle, 2024'den itibaren tüm Azure oturum açma girişimleri için zorunlu MFA'yı zorunlu kacağız. Bu gereksinim hakkında daha fazla bilgi için blog gönderimize bakın. Bu konu başlığı altında hangi uygulamaların ve hesapların etkilendiği, zorlamanın kiracılara nasıl dağıtıldığı ve diğer yaygın sorular ve yanıtlar yer alır.

Önemli

Bir kullanıcı, zorunlu MFA'nın piyasaya sürülmesinin ardından Azure'da ve diğer yönetici portallarında oturum açamazsa, Genel Yönetici MFA gereksinimini ertelemek ve kullanıcıların oturum açmasına izin vermek için bir betik çalıştırabilir. Daha fazla bilgi için bkz. Azure portalı, Microsoft Entra yönetim merkezi veya Microsoft Intune yönetim merkezi için zorunlu çok faktörlü kimlik doğrulaması (MFA) gereksiniminin kullanıma alınmasından sonra kullanıcıların oturum açamadığı bir kiracı için zorlamayı erteleme.

Kuruluşunuz MFA'yı zaten onlar için zorlarsa veya parolasız veya geçiş anahtarı (FIDO2) gibi daha güçlü yöntemlerle oturum açtıysa kullanıcılar için herhangi bir değişiklik olmaz. MFA'nın etkinleştirildiğini doğrulamak için bkz. Kullanıcıların zorunlu MFA için ayarlandığını doğrulama.

Uygulama kapsamı

Zorlamanın kapsamı, zorlamanın ne zaman gerçekleşmesinin planlandığını, hangi uygulamaların MFA'yı zorunlu kılmayı planladığını, kapsamı dışında olan uygulamaları ve zorunlu MFA gereksinimi olan hesapları içerir.

Zorlama aşamaları

Uyarı

2. Aşama için uygulama tarihi 1 Eylül 2025 olarak değiştirildi.

Uygulamalar için MFA'nın uygulanması iki aşamada kullanıma sunulur.

1. aşamada MFA'yı zorunlu kılan uygulamalar

Ekim 2024'den itibaren, Herhangi bir Oluşturma, Okuma, Güncelleştirme veya Silme (CRUD) işlemi gerçekleştirmek için Azure portalında, Microsoft Entra yönetim merkezinde ve Microsoft Intune yönetim merkezinde oturum açmış hesaplar için MFA gereklidir. Zorlama, dünya genelindeki tüm kiracılara aşamalı olarak dağıtılacaktır. 2025 Şubat ayından itibaren, Microsoft 365 yönetim merkezinde oturum açmak için MFA zorunluluğu aşamalı olarak uygulanmaya başlar. 1. aşama, Azure CLI, Azure PowerShell, Azure mobil uygulaması veya IaC araçları gibi diğer Azure istemcilerini etkilemez.

2. aşamada MFA'yı zorunlu kılan uygulamalar

1 Eylül 2025'den itibaren MFA zorlaması Azure CLI, Azure PowerShell, Azure mobil uygulaması, IaC araçları ve REST API uç noktaları üzerinde oturum açan hesapların Oluşturma, Güncelleştirme veya Silme işlemlerini gerçekleştirmesi için aşamalı olarak başlayacaktır. Okuma işlemleri Çok Faktörlü Kimlik Doğrulama (MFA) gerektirmez.

Bazı müşteriler Microsoft Entra Id'de hizmet hesabı olarak bir kullanıcı hesabı kullanabilir. Kullanıcı tabanlı hizmet hesaplarının iş yükü kimlikleri ile güvenli bulut tabanlı hizmet hesaplarına geçirilmesi önerilir.

Uygulamalar

Aşağıdaki tabloda Azure için etkilenen uygulamalar, uygulama kimlikleri ve URL'ler listelenmektedir.

Uygulama Adı Uygulama Kimliği Yürürlüğe girer
Azure portalı c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024'ün ikinci yarısı
Microsoft Entra yönetim merkezi c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024'ün ikinci yarısı
Microsoft Intune yönetim merkezi c44b4083-3bb0-49c1-b47d-974e53cbdf3c 2024'ün ikinci yarısı
Azure komut satırı arabirimi (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1 Eylül 2025, Cumartesi
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1 Eylül 2025, Cumartesi
Azure mobil uygulaması 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1 Eylül 2025, Cumartesi
Kod Olarak Altyapı (IaC) araçları Azure CLI veya Azure PowerShell kimliklerini kullanma 1 Eylül 2025, Cumartesi
REST API (Denetim Düzlemi) Mevcut Değil 1 Eylül 2025, Cumartesi
Azure SDK Mevcut Değil 1 Eylül 2025, Cumartesi

Aşağıdaki tabloda, Microsoft 365 için etkilenen uygulamalar ve URL'ler listelenmektedir.

Uygulama Adı URL Yürürlüğe girer
Microsoft 365 yönetim merkezi https://portal.office.com/adminportal/home Şubat 2025
Microsoft 365 yönetim merkezi https://admin.cloud.microsoft Şubat 2025
Microsoft 365 yönetim merkezi https://admin.microsoft.com Şubat 2025

Hesaplar

Uygulamalar bölümünde belirtilen işlemleri gerçekleştirmek için oturum açabilen tüm hesapların, uygulama başladığında MFA'yı tamamlaması gerekir. Kullanıcıların Azure'da barındırılan diğer uygulamalara, web sitelerine veya hizmetlere erişiyorsa MFA kullanmaları gerekmez. Daha önce listelenen her uygulama, web sitesi veya hizmet sahibi, kullanıcılar için kimlik doğrulama gereksinimlerini denetler.

Zorlama başladıktan sonra, MFA yani Çok Faktörlü Kimlik Doğrulama ile oturum açmak için acil durum veya "cam kırma" hesaplarına da ihtiyaç vardır. Bu hesapları geçiş anahtarını (FIDO2) kullanacak şekilde güncelleştirmenizi veya MFA için sertifika tabanlı kimlik doğrulamasını yapılandırmanızı öneririz. Her iki yöntem de MFA gereksinimini karşılar.

Yönetilen kimlikler ve hizmet sorumluları gibi iş yükü kimlikleri, bu MFA zorlamasının her iki aşamasından da etkilenmez. Otomasyon çalıştırmak için (betikler veya diğer otomatik görevler dahil) hizmet hesabı olarak kullanıcı kimlikleri kullanılıyorsa, yaptırım başladığında bu kullanıcı kimliklerinin MFA ile oturum açması zorunlu hale gelir. Otomasyon için kullanıcı kimlikleri önerilmez. Bu kullanıcı kimliklerini iş yükü kimliklerine geçirmeniz gerekir.

İstemci kitaplıkları

OAuth 2.0 Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) belirteci verme akışı MFA ile uyumsuz. Microsoft Entra kiracınızda MFA etkinleştirildikten sonra, uygulamalarınızda kullanılan ROPC tabanlı API'ler hatalar verir. Microsoft Kimlik Doğrulama Kitaplıklarında (MSAL) ROPC tabanlı API'lerden geçiş yapma hakkında daha fazla bilgi için bkz. ROPC'den geçiş yapma. Dile özgü MSAL yönergeleri için aşağıdaki sekmelere bakın.

Microsoft.Identity.Client paketini ve uygulamanızda aşağıdaki API'lerden birini kullanıyorsanız değişiklikler gereklidir. Genel istemci API'si 4.73.1 sürümünden itibarenkullanım dışı bırakılmıştır:

Aynı genel MSAL kılavuzu Azure Kimlik kitaplıkları için de geçerlidir. Bu kitaplıklarda sağlanan UsernamePasswordCredential sınıfı MSAL ROPC tabanlı API'leri kullanır. Dile özgü yönergeler için aşağıdaki sekmelere bakın.

Azure.Identity paketini kullanıyorsanız ve uygulamanızda aşağıdakilerden birini yapıyorsanız değişiklikler gereklidir:

  • DefaultAzureCredential veya EnvironmentCredential ile aşağıdaki iki ortam değişkenini ayarlayın ve kullanın:
    • AZURE_USERNAME
    • AZURE_PASSWORD
  • Kullanılması ( sürümünden itibaren kullanım dışı)

Kullanıcı tabanlı hizmet hesaplarını iş yükü kimliklerine geçirme

Müşterilerin hizmet hesapları olarak kullanılan kullanıcı hesaplarını keşfetmelerini ve bunları iş yükü kimliklerine geçirmeye başlamalarını öneririz. Geçiş genellikle iş yükü kimliklerini kullanmak için betiklerin ve otomasyon işlemlerinin güncelleştirilmesini gerektirir.

Kullanıcıların zorunlu MFA için ayarlandığını doğrulamak ve hizmet hesabı olarak kullanılan kullanıcı hesapları da dahil olmak üzere tüm kullanıcı hesaplarını tanımlamak amacıyla uygulamalara oturum açmalarını gözden geçirin.

Bu uygulamalarla kimlik doğrulaması için kullanıcı tabanlı hizmet hesaplarından iş yükü kimliklerine geçiş hakkında daha fazla bilgi için bkz:

Bazı müşteriler kullanıcı tabanlı hizmet hesaplarına Koşullu Erişim ilkeleri uygular. Kullanıcı tabanlı lisansı geri kazanabilir ve iş yükü kimlikleri için Koşullu Erişim uygulamak üzere bir iş yükü kimlikleri lisansı ekleyebilirsiniz.

Uygulama

Oturum açma sırasında MFA için bu gereksinim, yönetici portalları ve diğer uygulamalar için uygulanır. Microsoft Entra Id oturum açma günlükleri bunu MFA gereksiniminin kaynağı olarak gösterir.

Zorunlu MFA yapılandırılamaz. Kiracıda yapılandırılan tüm erişim ilkelerinden ayrı olarak uygulanır.

Örneğin, kuruluşunuz Microsoft'un güvenlik varsayılanlarını korumayı seçtiyse ve şu anda güvenlik varsayılanları etkinse, Azure yönetimi için MFA gerekli olduğundan kullanıcılarınız herhangi bir değişiklik görmez. Kiracınız Microsoft Entra'da Koşullu Erişim ilkeleri kullanıyorsa ve kullanıcıların MFA ile Azure'da oturum açıldığı bir Koşullu Erişim ilkeniz zaten varsa, kullanıcılarınız bir değişiklik görmez. Benzer şekilde, Azure'ı hedefleyen ve kimlik avına dayanıklı MFA gibi daha güçlü kimlik doğrulaması gerektiren tüm kısıtlayıcı Koşullu Erişim ilkeleri de uygulanmaya devam eder. Kullanıcılar hiçbir değişiklik görmez.

Bildirim kanalları

Microsoft, aşağıdaki kanallar aracılığıyla tüm Microsoft Entra Genel Yöneticilerine bildirim gönderir:

  • E-posta: E-posta adresini yapılandıran Genel Yöneticiler, yaklaşan MFA uygulaması ve hazırlanması gereken eylemler hakkında e-posta ile bilgilendirilecektir.

  • Hizmet durumu bildirimi: Genel Yöneticiler Azure portalı üzerinden 4V20-VX0 izleme kimliğiyle bir hizmet durumu bildirimi alır. Bu bildirim e-postayla aynı bilgileri içerir. Genel Yöneticiler, hizmet durumu bildirimlerini almak için e-posta yoluyla da abone olabilir.

  • Portal bildirimi: Oturum açtıklarında Azure portalında, Microsoft Entra yönetim merkezinde ve Microsoft Intune yönetim merkezinde bir bildirim görüntülenir. Portal bildirimi, zorunlu MFA uygulaması hakkında daha fazla bilgi için bu konuya bağlantı sağlar.

  • Microsoft 365 ileti merkezi: Microsoft 365 ileti merkezinde ileti kimliği: MC862873 olan bir ileti görüntülenir. Bu ileti, e-posta ve hizmet durumu bildirimiyle aynı bilgilere sahiptir.

Zorlamadan sonra Azure portalında bir başlık görünür:

Microsoft Entra çok faktörlü kimlik doğrulamasında zorunlu MFA'nın zorunlu olduğunu gösteren bir başlığın ekran görüntüsü.

Dış kimlik doğrulama yöntemleri ve kimlik sağlayıcıları

Dış MFA çözümleri desteği, dış kimlik doğrulama yöntemleriyle önizleme aşamasındadır ve MFA gereksinimini karşılamak için kullanılabilir. Eski Koşullu Erişim özel denetimleri önizlemesi MFA gereksinimini karşılamaz. Microsoft Entra Id ile bir dış çözüm kullanmak için dış kimlik doğrulama yöntemleri önizlemesine geçmeniz gerekir.

Active Directory Federasyon Hizmetleri (AD FS) gibi bir federasyon Kimlik Sağlayıcısı (IdP) kullanıyorsanız ve MFA sağlayıcınız doğrudan bu federasyon IdP'si ile tümleştirilmişse, federasyon IdP'si bir MFA talebi gönderecek şekilde yapılandırılmalıdır. Daha fazla bilgi için Microsoft Entra MFA için beklenen gelen doğrulama bilgileri bakınız.

1. Aşama MFA uygulamasına hazırlanmak için daha fazla zaman talep etme

Bazı müşterilerin bu MFA gereksinimine hazırlanmak için daha fazla zamana ihtiyacı olabileceğini anlıyoruz. Microsoft, karmaşık ortamları veya teknik engelleri olan müşterilerin kiracıları için 1. Aşama'nın uygulanmasını 30 Eylül 2025'e kadar ertelemesine olanak tanır.

Bir Genel Yönetici, zorlama başlangıç tarihini ertelemek istediği her kiracı için başlangıç tarihini seçmek üzere https://aka.ms/managemfaforazure'ye girebilir.

Dikkat

Yürürlüğe giriş tarihini erteleyerek, Azure portalı gibi Microsoft hizmetlerine erişen hesaplar tehdit aktörleri için son derece değerli hedefler olduğundan ek risk alırsınız. Tüm kiracıların bulut kaynaklarının güvenliğini sağlamak için MFA'yı şimdi ayarlamasını öneririz.

Daha önce MFA ile Azure portalında hiç oturum açmadıysanız MFA'yı tamamlayarak oturum açmanız veya MFA zorlamasını ertelemeniz istenir. Bu ekran yalnızca bir kez görüntülenir. MFA'yı ayarlama hakkında daha fazla bilgi için bkz. Kullanıcıların zorunlu MFA için ayarlandığını doğrulama.

Zorunlu MFA'yı onaylama isteminin ekran görüntüsü.

MFA'yı Ertele'yi seçerseniz, MFA uygulama tarihi gelecekte bir ay veya 30 Eylül 2025 (hangisi daha önceyse) olacaktır. Oturum açtıktan sonra https://aka.ms/managemfaforazure adresinde tarihi değiştirebilirsiniz. Erteleme isteğine devam etmek istediğinizi onaylamak için Ertelemeyi onayla'ya tıklayın. Genel Yöneticinin MFA uygulamasının başlangıç tarihini ertelemek için erişimi yükseltmesi gerekir.

Zorunlu MFA'nın nasıl ertelenmesinin ekran görüntüsü.

2. Aşama MFA uygulamasına hazırlanmak için daha fazla süre talep etme

Microsoft, karmaşık ortamları veya teknik engelleri olan müşterilerin kiracıları için 2. Aşama'nın uygulanmasını 1 Temmuz 2026'ya kadar ertelemesine olanak tanır. Faz 2 MFA zorlamasına hazırlanmak için https://aka.ms/postponePhase2MFA'den daha fazla zaman talep edebilirsiniz. Başka bir başlangıç tarihi seçin ve Uygula'ya tıklayın.

Uyarı

1. Aşamanın başlangıcını ertelerseniz, 2. Aşama'nın başlangıcı da aynı tarihe ertelenmiş olur. 2. Aşama için daha sonraki bir başlangıç tarihi seçebilirsiniz.

İkinci aşama için zorunlu MFA'nın nasıl ertelenmesinin ekran görüntüsü.

Sıkça Sorulan Sorular

Soru: Kiracı yalnızca test için kullanılıyorsa MFA gerekli mi?

Yanıt: Evet, her Azure kiracısı, test ortamları için özel durum dışında MFA gerektirir.

Soru: Bu gereksinim Microsoft 365 yönetim merkezini nasıl etkiler?

Yanıt: Zorunlu MFA, Şubat 2025'te başlayarak Microsoft 365 yönetim merkezinde kullanıma sunulacaktır. Microsoft 365 yönetim merkezi için zorunlu MFA gereksinimi hakkında daha fazla bilgi almak için zorunlu çok faktörlü kimlik doğrulaması ile ilgili blog gönderisini okuyun.

Soru: MFA tüm kullanıcılar için mi yoksa yalnızca yöneticiler için mi zorunludur?

Yanıt: Daha önce listelenen uygulamalardan herhangi birinde oturum açan tüm kullanıcıların, etkinleştirilmiş veya uygun olan yönetici rollerinden veya onlar için etkinleştirilmiş kullanıcı dışlamalarından bağımsız olarak MFA'yı tamamlamaları gerekir.

Soru: Oturum açık kalsın seçeneğini belirlersem MFA'yı tamamlamam gerekir mi?

Yanıt: Evet, Oturum aç'ı seçseniz bile, bu uygulamalarda oturum açabilmek için önce MFA'yı tamamlamanız gerekir.

Soru: Zorlama B2B konuk hesapları için geçerli mi?

Yanıt: Evet, MFA'ya iş ortağı kaynak kiracısından veya kullanıcı ana kiracısından uyulması gerekir; eğer kiracılar arası erişimi kullanarak MFA taleplerini kaynak kiracısına göndermek için düzgün şekilde ayarlandıysa.

Soru: Uygulama, ABD Hükümeti için Azure veya Azure egemen bulutlar için geçerli mi?

Yanıt: Microsoft yalnızca genel Azure bulutunda zorunlu MFA uygular. Microsoft şu anda ABD Kamu için Azure'da veya diğer Azure bağımsız bulutlarında MFA'yı zorunlu kılmamaktadır.

Soru: MFA'yı başka bir kimlik sağlayıcısı veya MFA çözümü kullanarak zorunlu kılıp Microsoft Entra MFA'yı kullanarak uygulamazsak nasıl uyum sağlayabiliriz?

Yanıt: Üçüncü taraf MFA doğrudan Microsoft Entra Id ile tümleştirilebilir. Daha fazla bilgi için bkz. Microsoft Entra çok faktörlü kimlik doğrulaması dış yöntem sağlayıcısı başvurusu. Microsoft Entra Id isteğe bağlı olarak bir federasyon Kimlik sağlayıcısıyla yapılandırılabilir. Bu durumda, kimlik sağlayıcısı çözümünün multipleauthn talebi Microsoft Entra Id'ye göndermek için düzgün yapılandırılması gerekir. Daha fazla bilgi için, federe edilmiş Kimlik Sağlayıcı (IdP) üzerinden gelen MFA talepleri ile Microsoft Entra ID çok faktörlü kimlik doğrulama (MFA) denetimlerini karşılama konusuna bakın.

Soru: Zorunlu MFA, Microsoft Entra Connect veya Microsoft Entra Cloud Sync ile eşitleme yeteneğimi etkileyecek mi?

Yanıt: Hayır. Eşitleme hizmeti hesabı zorunlu MFA gereksiniminden etkilenmez. Yalnızca daha önce listelenen uygulamalar oturum açmak için MFA gerektirir.

Soru: Geri çevirebilecek miyim?

Yanıt: Geri çevirmenin hiçbir yolu yoktur. Bu güvenlik hareketi Azure platformunun tüm güvenliği ve güvenliği için kritik öneme sahiptir ve bulut satıcıları arasında tekrarlanmaktadır. Örneğin, Tasarımla Güvende: AWS, 2024'te MFA gereksinimlerini geliştirecek.

Zorlama başlangıç tarihini erteleme seçeneği müşteriler tarafından kullanılabilir. Genel Yöneticiler, kiracıları için uygulama başlangıç tarihini ertelemek üzere Azure portalına gidebilir. Genel Yöneticilerin bu sayfadaki MFA zorlamasının başlangıç tarihini ertelemeden önce yükseltilmiş erişime sahip olmaları gerekir. Ertelemesi gereken her kiracı için bu eylemi gerçekleştirmeleri gerekir.

Soru: Azure hiçbir şeyin bozulmadığından emin olmak için ilkeyi uygulanmadan önce MFA'yı test edebilir miyim?

Yanıt: Evet, MFA için el ile kurulum işlemi aracılığıyla MFA'larını test edebilirsiniz. Bunu ayarlamanızı ve test etmenizi öneririz. MFA'yı zorlamak için Koşullu Erişim kullanıyorsanız, ilkenizi test etmek için Koşullu Erişim şablonlarını kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft yönetici portallarına erişen yöneticiler için çok faktörlü kimlik doğrulaması gerektirme. Microsoft Entra Id'nin ücretsiz bir sürümünü çalıştırıyorsanız , güvenlik varsayılanlarını etkinleştirebilirsiniz.

Soru: MFA zaten etkinleştirildiyse ne olacak?

Yanıt: Daha önce listelenen uygulamalara erişen kullanıcıları için zaten MFA gerektiren müşteriler herhangi bir değişiklik görmez. Kullanıcıların yalnızca bir alt kümesi için MFA'ya ihtiyacınız varsa, MFA kullanmayan tüm kullanıcıların artık uygulamalarda oturum açtıklarında MFA kullanması gerekir.

Soru: Microsoft Entra Id'de MFA etkinliğini nasıl gözden geçirebilirim?

Yanıt: Bir kullanıcıdan MFA ile oturum açmasının istenme zamanı hakkındaki ayrıntıları gözden geçirmek için Microsoft Entra oturum açma günlüklerini kullanın. Daha fazla bilgi için bkz. Microsoft Entra çok faktörlü kimlik doğrulaması için oturum açma olayı ayrıntıları.

Soru: "Cam kır" senaryom varsa ne olacak?

Yanıt: Bu hesapları geçiş anahtarını (FIDO2) kullanacak şekilde güncelleştirmenizi veya MFA için sertifika tabanlı kimlik doğrulamasını yapılandırmanızı öneririz. Her iki yöntem de MFA gereksinimini karşılar.

Soru: Uygulanmadan önce MFA'yı etkinleştirme hakkında bir e-posta almazsam ve sonra kilitlenirsem ne olur? Bu sorunu nasıl çözmeliyim?

Yanıt: Kullanıcıların kilitlenmemesi gerekir, ancak kiracıları için zorlama başlatıldıktan sonra MFA'yı etkinleştirmelerini isteyen bir ileti alabilirler. Kullanıcı kilitlenmişse başka sorunlar da olabilir. Daha fazla bilgi için bkz. Hesap kilitlendi.

İlgili içerik

MFA'nın nasıl yapılandırılacağı ve dağıtılacağı hakkında daha fazla bilgi edinmek için aşağıdaki konuları gözden geçirin: