Tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektir

Microsoft Kimlik Güvenliği Direktörü Alex Weinert'in Şifrenizin önemi yok başlıklı blog gönderisinde belirttiği gibi:

Parolanız önemli değil, ancak MFA önemli! Çalışmalarımıza dayanarak, MFA kullanıyorsanız hesabınızın gizliliğinin ihlal edilme olasılığı %99,9'dan daha azdır.

Kimlik doğrulama gücü

Bu makaledeki yönergeler, kuruluşunuzun kimlik doğrulama güçlü yanlarını kullanarak ortamınız için bir MFA ilkesi oluşturmanıza yardımcı olur. Microsoft Entra ID üç yerleşik kimlik doğrulaması gücü sağlar:

• Bu makalede çok faktörlü kimlik doğrulama gücü (daha az kısıtlayıcı) önerilir
• Parolasız MFA gücü
• Kimlik avına dirençli MFA güç seviyesi (en kısıtlayıcı)

Yerleşik güçlü yönlerden birini kullanabilir veya gerektirmek istediğiniz kimlik doğrulama yöntemlerine göre özel bir kimlik doğrulama gücü oluşturabilirsiniz.

Dış kullanıcı senaryolarında, bir kaynak kiracısının kabul edebildiği MFA kimlik doğrulama yöntemleri, kullanıcının MFA'yı kendi ev kiracısında mı yoksa kaynak kiracısında mı tamamladığına bağlı olarak değişir. Daha fazla bilgi için bkz . Dış kullanıcılar için kimlik doğrulama gücü.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• İlkenin yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya acil durum hesapları. Olasılık dışı bir senaryoda tüm yöneticilerin erişimi kaybolursa, acil durum erişim yönetici hesabınızla oturum açabilir ve erişimi geri kazanmak için adımlar atabilirsiniz.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, tüm kullanıcıların uygulama dışlamaları olmadankimlik doğrulama gücü ilkesini kullanarak çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektirecek bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

Uyarı

Dış kimlik doğrulama yöntemleri şu anda kimlik doğrulama gücüyle uyumlu değildir. çok faktörlü kimlik doğrulaması gerektirir kontrolü verme işlemini kullanmalısınız.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.

2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.

3. Yeni ilke'yi seçin.

4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.

5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

   1. Include altında Tüm kullanıcılar'ı seçin
   2. Altında Dışla
      1. Kullanıcılar ve gruplar seçin
         1. Organizasyonunuzun acil durum erişim veya kırılabilir cam hesaplarını seçin.
         2. Microsoft Entra Connect veya Microsoft Entra Connect Cloud Sync gibi karma kimlik çözümleri kullanıyorsanız, önce Dizin rolleri'ni, ardından Dizin Eşitleme Hesapları'ni seçin.
      2. Konuk kullanıcılarınızı konuk kullanıcıya özgü bir ilkeyle hedeflediyseniz dışlama seçeneğini belirleyebilirsiniz.

6. Hedef kaynaklar altında>Kaynaklar (eski adıyla bulut uygulamaları)>Dahil et, Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları') öğesini seçin.

   Bahşiş

   Microsoft, tüm kuruluşların aşağıdakileri hedefleyen bir temel Koşullu Erişim ilkesi oluşturmasını önerir: Tüm kullanıcılar, uygulama dışlaması olmayan tüm kaynaklar ve çok faktörlü kimlik doğrulaması gerektirir.

7. Erişim denetimleri altında, Erişim izni ver'i seçin.

   1. Kimlik doğrulama gücünü gerektir seçeneğini ve ardından listeden yerleşik Çok faktörlü kimlik doğrulama gücünü seçin.
   2. Seç'i seçin.

8. Ayarlarınızı onaylayın ve İlkeyi Etkinleştir seçeneğini Yalnızca Raporla olarak ayarlayın.

9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler, ilke ayarlarını ilke etkisini veya yalnızca rapor modunu kullanarak değerlendirdikten sonra, İlkeyi etkinleştir aç-kapa düğmesini Yalnızca Rapor durumundan Açık konumuna getirebilir.

Adlandırılmış konumlar

Kuruluşlar, Koşullu Erişim ilkelerine Adlandırılmış konumlar olarak bilinen bilinen ağ konumlarını dahil etmeyi seçebilir. Bu adlandırılmış konumlar, bir ana ofis konumu için olanlar gibi güvenilir IP ağları içerebilir. Adlandırılmış konumları yapılandırma hakkında daha fazla bilgi için Microsoft Entra Koşullu Erişim'de konum koşulu nedir? makalesine bakın.

Önceki örnek ilkede bir kuruluş, bir bulut uygulamasına şirket ağından erişiyorsa çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Bu durumda ilkeye aşağıdaki yapılandırmayı ekleyebilirler:

1. Atamalar altında, Ağ seçin.
   1. Evet'i yapılandırın.
   2. Herhangi bir ağ veya konum ekleyin.
   3. Tüm güvenilen ağları ve konumları hariç tutun.
2. Poliçe değişikliklerinizi kaydedin

İlgili içerik

• Koşullu Erişim şablonları
• Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.
• Windows aboneliği etkinleştirme