Azure ve diğer yönetici portalları için zorunlu çok faktörlü kimlik doğrulamasını planlama
Microsoft olarak müşterilerimize en yüksek güvenlik düzeyini sağlamayı taahhüt ediyoruz. Kullanabileceği en etkili güvenlik önlemlerinden biri çok faktörlü kimlik doğrulamasıdır (MFA). Microsoft tarafından yapılan araştırma, MFA'nın hesap güvenliği ihlal saldırılarının %99,2'den fazlasını engelleyebileceğini gösteriyor.
Bu nedenle, 2024'den itibaren tüm Azure oturum açma girişimleri için zorunlu çok faktörlü kimlik doğrulaması (MFA) uygulayacağız. Bu gereksinim hakkında daha fazla bilgi için blog gönderimize göz atın. Bu konu başlığı altında hangi uygulamaların ve hesapların etkilendiği, zorlamanın kiracılara nasıl dağıtıldığı ve diğer yaygın sorular ve yanıtlar yer alır.
Kuruluşunuz MFA'yı zaten onlar için zorlarsa veya parolasız veya geçiş anahtarı (FIDO2) gibi daha güçlü yöntemlerle oturum açtıysa kullanıcılar için herhangi bir değişiklik olmaz. MFA'nın etkinleştirildiğini doğrulamak için bkz . Kullanıcıların zorunlu MFA için ayarlandığını doğrulama.
Uygulama kapsamı
Zorlama kapsamı, hangi uygulamaların MFA'yı zorunlu kılmayı planladığını, ne zaman uygulanması planlandığını ve hangi hesapların zorunlu MFA gereksinimine sahip olduğunu içerir.
Uygulamalar
| Uygulama Adı | Uygulama Kimliği | Zorlama aşaması |
|---|---|---|
| Azure portalı | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024'ün ikinci yarısı |
| Microsoft Entra yönetim merkezi | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024'ün ikinci yarısı |
| Microsoft Intune yönetim merkezi | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | 2024'ün ikinci yarısı |
| Azure komut satırı arabirimi (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 2025'in başlarında |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 2025'in başlarında |
| Azure mobil uygulaması | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 2025'in başlarında |
| Kod Olarak Altyapı (IaC) araçları | Azure CLI veya Azure PowerShell kimliklerini kullanma | 2025'in başlarında |
Hesaplar
Oluşturma, Okuma, Güncelleştirme veya Silme (CRUD) işlemlerini gerçekleştirmek için daha önce listelenen uygulamalarda oturum açan tüm kullanıcıların, zorlama başladığında MFA'yı tamamlaması gerekir. Kullanıcıların Azure'da barındırılan diğer uygulamalara, web sitelerine veya hizmetlere erişiyorsa MFA kullanmaları gerekmez. Daha önce listelenen her uygulama, web sitesi veya hizmet sahibi, kullanıcılar için kimlik doğrulama gereksinimlerini denetler.
Zorlama başladıktan sonra MFA ile oturum açmak için kırılan cam veya acil durum erişim hesaplarının da olması gerekir. Bu hesapları geçiş anahtarını (FIDO2) kullanacak şekilde güncelleştirmenizi veya MFA için sertifika tabanlı kimlik doğrulamasını yapılandırmanızı öneririz. Her iki yöntem de MFA gereksinimini karşılar.
Yönetilen kimlikler ve hizmet sorumluları gibi iş yükü kimlikleri, bu MFA zorlamasının iki aşamasından da etkilenmez. Otomasyon çalıştırmak için hizmet hesabı olarak oturum açmak için kullanıcı kimlikleri kullanılıyorsa (betikler veya diğer otomatik görevler dahil), zorlama başladıktan sonra bu kullanıcı kimliklerinin MFA ile oturum açması gerekir. Otomasyon için kullanıcı kimlikleri önerilmez. Bu kullanıcı kimliklerini iş yükü kimliklerine geçirmeniz gerekir.
Kullanıcı tabanlı hizmet hesaplarını iş yükü kimliklerine geçirme
Müşterilerin hizmet hesapları tarafından iş yükü kimliklerine geçirilirken kullanılan kullanıcı hesaplarını keşfetmelerini öneririz. Geçiş genellikle iş yükü kimliklerini kullanmak için betiklerin ve otomasyon işlemlerinin güncelleştirilmesini gerektirir.
Kullanıcıların, uygulamalarda oturum açmak için hizmet hesabı olarak kullanılan kullanıcı hesapları da dahil olmak üzere tüm kullanıcı hesaplarını tanımlamak üzere zorunlu MFA için ayarlandığını doğrulama'yı gözden geçirin.
Bu uygulamalarla kimlik doğrulaması için kullanıcı tabanlı hizmet hesaplarından iş yükü kimliklerine geçiş hakkında daha fazla bilgi için bkz:
- Azure CLI kullanarak yönetilen kimlikle Azure'da oturum açma
- Azure CLI kullanarak hizmet sorumlusuyla Azure'da oturum açma
- Otomasyon senaryoları için Azure PowerShell'de etkileşimli olmayan bir şekilde oturum açma, hem yönetilen kimlik hem de hizmet sorumlusu kullanım örnekleri için rehberlik içerir
Bazı müşteriler kullanıcı tabanlı hizmet hesaplarına Koşullu Erişim ilkeleri uygular. Kullanıcı tabanlı lisansı geri alabilir ve iş yükü kimlikleri için Koşullu Erişim uygulamak üzere bir iş yükü kimlikleri lisansı ekleyebilirsiniz.
Uygulama
Oturum açma sırasında MFA için bu gereksinim, yönetici portalları için uygulanır. Microsoft Entra Id oturum açma günlükleri bunu MFA gereksiniminin kaynağı olarak gösterir.
Yönetici portalları için zorunlu MFA yapılandırılamaz. Kiracınızda yapılandırdığınız tüm erişim ilkelerinden ayrı olarak uygulanır.
Örneğin, kuruluşunuz Microsoft'un güvenlik varsayılanlarını korumayı seçtiyse ve şu anda güvenlik varsayılanları etkinse, Azure yönetimi için MFA gerekli olduğundan kullanıcılarınız herhangi bir değişiklik görmez. Kiracınız Microsoft Entra'da Koşullu Erişim ilkeleri kullanıyorsa ve kullanıcıların MFA ile Azure'da oturum açıldığı bir Koşullu Erişim ilkeniz zaten varsa, kullanıcılarınız bir değişiklik görmez. Benzer şekilde, Azure'ı hedefleyen ve kimlik avına dayanıklı MFA gibi daha güçlü kimlik doğrulaması gerektiren tüm kısıtlayıcı Koşullu Erişim ilkeleri de uygulanmaya devam eder. Kullanıcılar hiçbir değişiklik görmez.
Zorlama aşamaları
MFA'nın uygulanması iki aşamada kullanıma sunulur:
1. Aşama: 2024'ün ikinci yarısından itibaren MFA'nın Azure portalında, Microsoft Entra yönetim merkezinde ve Microsoft Intune yönetim merkezinde oturum açması gerekecektir. Zorlama, dünya genelindeki tüm kiracılara aşamalı olarak dağıtılacaktır. Bu aşama Azure CLI, Azure PowerShell, Azure mobil uygulaması veya IaC araçları gibi diğer Azure istemcilerini etkilemez.
2. Aşama: MFA zorlaması 2025'in başından itibaren Azure CLI, Azure PowerShell, Azure mobil uygulaması ve IaC araçlarında oturum açmak için aşamalı olarak başlar. Bazı müşteriler Microsoft Entra Id'de hizmet hesabı olarak bir kullanıcı hesabı kullanabilir. İş yükü kimlikleriyle bulut tabanlı hizmet hesaplarının güvenliğini sağlamak için bu kullanıcı tabanlı hizmet hesaplarının geçirilmesi önerilir.
Bildirim kanalları
Microsoft, aşağıdaki kanallar aracılığıyla tüm Microsoft Entra Genel Yöneticilerine bildirim gönderir:
E-posta: E-posta adresini yapılandıran Genel Yöneticiler, yaklaşan MFA uygulaması ve hazırlanması gereken eylemler hakkında e-posta ile bilgilendirilecektir.
Hizmet durumu bildirimi: Genel Yöneticiler, Azure portalı üzerinden 4V20-VX0 izleme kimliğiyle bir hizmet durumu bildirimi alır. Bu bildirim e-postayla aynı bilgileri içerir. Genel Yöneticiler, hizmet durumu bildirimlerini almak için e-posta yoluyla da abone olabilir.
Portal bildirimi: Oturum açtıklarında Azure portalında, Microsoft Entra yönetim merkezinde ve Microsoft Intune yönetim merkezinde bir bildirim görüntülenir. Portal bildirimi, zorunlu MFA zorlaması hakkında daha fazla bilgi için bu konuya bağlanır.
Microsoft 365 ileti merkezi: Microsoft 365 ileti merkezinde ileti kimliği: MC862873 olan bir ileti görüntülenir. Bu ileti, e-posta ve hizmet durumu bildirimiyle aynı bilgilere sahiptir.
Zorlamadan sonra, Microsoft Entra çok faktörlü kimlik doğrulamasında bir başlık görünür:
Dış kimlik doğrulama yöntemleri ve kimlik sağlayıcıları
Dış MFA çözümleri desteği, dış kimlik doğrulama yöntemleriyle önizleme aşamasındadır ve MFA gereksinimini karşılamak için kullanılabilir. Eski Koşullu Erişim özel denetimleri önizlemesi MFA gereksinimini karşılamaz. Microsoft Entra Id ile bir dış çözüm kullanmak için dış kimlik doğrulama yöntemleri önizlemesine geçmeniz gerekir.
Active Directory Federasyon Hizmetleri (AD FS) gibi bir federasyon Kimlik Sağlayıcısı (IdP) kullanıyorsanız ve MFA sağlayıcınız doğrudan bu federasyon IdP'si ile tümleştirilmişse, federasyon IdP'si bir MFA talebi gönderecek şekilde yapılandırılmalıdır.
Zorlamaya hazırlanmak için daha fazla zaman isteme
Bazı müşterilerin bu MFA gereksinimine hazırlanmak için daha fazla zamana ihtiyacı olabileceğini anlıyoruz. Microsoft, karmaşık ortamları veya teknik engelleri olan müşterilerin kiracıları için zorlamayı 15 Mart 2025'e kadar ertelemesine izin vermektedir.
Genel Yöneticiler, 15 Ağustos 2024 ile 15 Ekim 2024 tarihleri arasında Azure portalına giderek kiracılarının uygulama başlangıç tarihini 15 Mart 2025'e erteleyebilir. Bu sayfada MFA zorlamasının başlangıç tarihini ertemeden önce Genel Yöneticilerin yükseltilmiş erişimi olmalıdır.
Genel Yöneticiler, zorlamanın başlangıç tarihini ertelemek istedikleri her kiracı için bu eylemi gerçekleştirmelidir.
Azure portalı gibi Microsoft hizmetleri erişen hesaplar tehdit aktörleri için son derece değerli hedefler olduğundan, zorlamanın başlangıç tarihini önleyerek ek risk alırsınız. Tüm kiracıların bulut kaynaklarının güvenliğini sağlamak için MFA'yı şimdi ayarlamasını öneririz.
SSS
Soru: Kiracı yalnızca test için kullanılıyorsa MFA gerekli mi?
Yanıt: Evet, her Azure kiracısı MFA gerektirir, özel durum yoktur.
Soru: MFA tüm kullanıcılar için mi yoksa yalnızca yöneticiler için mi zorunludur?
Yanıt: Daha önce listelenen uygulamalardan herhangi birinde oturum açan tüm kullanıcıların, etkinleştirilen veya uygun olan yönetici rollerinden veya onlar için etkinleştirilen kullanıcı dışlamalarından bağımsız olarak MFA'yı tamamlaması gerekir.
Soru: Oturum açık kalsın seçeneğini belirlersem MFA'yı tamamlamam gerekecek mi?
Yanıt: Evet, Oturum aç'ı seçseniz bile, bu uygulamalarda oturum açabilmek için önce MFA'yı tamamlamanız gerekir.
Soru: Zorlama B2B konuk hesapları için geçerli olacak mı?
Yanıt: Evet, MFA'nın iş ortağı kaynak kiracısından veya kiracılar arası erişim kullanılarak MFA taleplerini kaynak kiracısına düzgün şekilde gönderecek şekilde ayarlandıysa kullanıcının ana kiracısından bağlı kalması gerekir.
Soru: MFA'yı başka bir kimlik sağlayıcısı veya MFA çözümü kullanarak zorunlu kılıp Microsoft Entra MFA'yı kullanarak uygulamazsak nasıl uyum sağlayabiliriz?
Yanıt: Microsoft Entra Id'ye multipleauthn talebi göndermek için kimlik sağlayıcısı çözümünün düzgün yapılandırılması gerekir. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması dış yöntem sağlayıcısı başvurusu.
Soru: Zorunlu MFA'nın 1. aşaması veya 2. aşaması, Microsoft Entra Connect veya Microsoft Entra Cloud Sync ile eşitleme yeteneğimi etkileyecek mi?
Yanıt: Hayır. Eşitleme hizmeti hesabı zorunlu MFA gereksiniminden etkilenmez. Yalnızca daha önce listelenen uygulamalar oturum açmak için MFA gerektirir.
Soru: Geri çevirebilecek miyim?
Geri çevirmenin bir yolu yok. Bu güvenlik hareketi Azure platformunun tüm güvenliği ve güvenliği için kritik öneme sahiptir ve bulut satıcıları arasında tekrarlanmaktadır. Örneğin, 2024'te MFA gereksinimlerini geliştirmek için bkz. Tasarıma Göre Güvenli Hale Getirme: AWS.
Zorlama başlangıç tarihini erteleme seçeneği müşteriler tarafından kullanılabilir. Genel Yöneticiler, 15 Ağustos 2024 ile 15 Ekim 2024 tarihleri arasında Azure portalına giderek kiracılarının uygulama başlangıç tarihini 15 Mart 2025'e erteleyebilir. Genel Yöneticiler, bu sayfada MFA zorlamasının başlangıç tarihini ertelemeden önce yükseltilmiş erişime sahip olmalıdır ve bu eylemi, uygulama başlangıç tarihini ertelemek istedikleri her kiracı için gerçekleştirmeleri gerekir.
Soru: Azure hiçbir şeyin bozulmadığından emin olmak için ilkeyi zorlamadan önce MFA'yı test edebilir miyim?
Yanıt: Evet, MFA için el ile kurulum işlemi aracılığıyla MFA'larını test edebilirsiniz. Bunu ayarlamanızı ve test etmenizi öneririz. MFA'yı zorlamak için Koşullu Erişim kullanıyorsanız, ilkenizi test etmek için Koşullu Erişim şablonlarını kullanabilirsiniz. Daha fazla bilgi için bkz . Microsoft yönetici portallarına erişen yöneticiler için çok faktörlü kimlik doğrulaması gerektirme. Microsoft Entra Id'nin ücretsiz bir sürümünü çalıştırıyorsanız, güvenlik varsayılanlarını etkinleştirebilirsiniz.
Soru: MFA zaten etkinleştirildiyse ne olacak?
Yanıt: Daha önce listelenen uygulamalara erişen kullanıcıları için zaten MFA gerektiren müşteriler herhangi bir değişiklik görmez. Kullanıcıların yalnızca bir alt kümesi için MFA'ya ihtiyacınız varsa, MFA kullanmayan tüm kullanıcıların artık uygulamalarda oturum açtıklarında MFA kullanması gerekir.
Soru: Microsoft Entra Id'de MFA etkinliğini nasıl gözden geçirebilirim?
Yanıt: Bir kullanıcıdan MFA ile oturum açmasının istendiğinde ayrıntıları gözden geçirmek için Microsoft Entra oturum açma işlemleri raporunu kullanın. Daha fazla bilgi için bkz . Microsoft Entra çok faktörlü kimlik doğrulaması için oturum açma olayı ayrıntıları.
Soru: "Cam kır" senaryom varsa ne olacak?
Yanıt: Bu hesapları geçiş anahtarını (FIDO2) kullanacak şekilde güncelleştirmenizi veya MFA için sertifika tabanlı kimlik doğrulamasını yapılandırmanızı öneririz. Her iki yöntem de MFA gereksinimini karşılar.
Soru: Uygulanmadan önce MFA'yı etkinleştirme hakkında bir e-posta almazsam ve sonra kilitlenirsem ne olur? Bu sorunu nasıl çözmeliyim?
Yanıt: Kullanıcıların kilitlenmemesi gerekir, ancak kiracıları için zorlama başlatıldıktan sonra MFA'yı etkinleştirmelerini isteyen bir ileti alabilirler. Kullanıcı kilitlenmişse başka sorunlar da olabilir. Daha fazla bilgi için bkz . Hesap kilitlendi.
İlgili içerik
MFA'nın nasıl yapılandırılacağı ve dağıtılacağı hakkında daha fazla bilgi edinmek için aşağıdaki konuları gözden geçirin:
- Kullanıcıların zorunlu MFA için ayarlandığını doğrulama
- Öğretici: Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama
- Microsoft Entra çok faktörlü oturum açma olaylarının güvenliğini sağlama
- Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama
- Kimlik avına dayanıklı MFA yöntemleri
- Microsoft Entra çok faktörlü kimlik doğrulaması
- Kimlik doğrulama yöntemleri