Microsoft tarafından yönetilen ilkeler

Makale
13.12.2024

Ekim 2023'teki Microsoft Dijital Savunma Raporu belirtildiği gibi

... dijital barışa yönelik tehditler teknolojiye olan güveni azaltmış ve her düzeyde gelişmiş siber savunmaya acil ihtiyacı vurgulamıştı...

... Microsoft'ta, 10.000'den fazla güvenlik uzmanımız her gün 65 trilyondan fazla sinyali analiz ediyor... siber güvenlikte en etkili içgörülerden bazılarını ortaya çıkarmak. Birlikte, yenilikçi eylem ve kolektif savunma yoluyla siber dayanıklılık oluşturabiliriz.

Bu çalışmanın bir parçası olarak, Microsoft tarafından yönetilen ilkeleri dünyanın dört bir yanındaki Microsoft Entra kiracılarında kullanıma sunacağız. Bu basitleştirilmiş Koşullu Erişim ilkeleri , çok faktörlü kimlik doğrulaması gerektirmek için eylem gerçekleştirir ve son zamanlarda yapılan bir çalışmada risk riskini %99'un üzerinde azaltabileceği tespit edilir.

En azından Koşullu Erişim Yöneticisi rolü atanmış yöneticiler, bu ilkeleri Microsoft Entra yönetim merkezinde Koruma>> altında bulur.

Yöneticiler, ilkedeki Durumu (Açık, Kapalı veya Yalnızca Rapor) ve Dışlanan kimlikleri (Kullanıcılar, Gruplar ve Roller) düzenleyebilir. Kuruluşlar, diğer Koşullu Erişim ilkeleriyle aynı şekilde bu ilkelerden cam veya acil durum erişim hesaplarını hariç tutmalıdır. Kuruluşlar, Microsoft tarafından yönetilen sürümlerde izin verilen temel ilkelerden daha fazla değişiklik yapmak isterse bu ilkeleri çoğaltabilir.

Microsoft, kiracınızda kullanıma sunulmasından en az 90 gün sonra yalnızca Rapor durumunda bırakılırsa bu ilkeleri etkinleştirir. Yöneticiler bu ilkeleri daha erken açmayı seçebilir veya ilke durumunu Kapalı olarak ayarlayarak bu ilkeyi geri çevirebilir. Müşteriler, ilkeler etkinleştirilmeden 28 gün önce e-postalar ve İleti merkezi gönderileri aracılığıyla bilgilendirilir.

Not

Bazı durumlarda ilkeler 90 günden daha hızlı etkinleştirilebilir. Bu kiracınız için geçerliyse, Microsoft Yönetilen İlkeleri hakkında aldığınız e-postalarda ve M365 ileti merkezi gönderilerinde not edilir. Ayrıca, ilkenin Microsoft Yönetim Merkezi'ndeki ayrıntılarında da belirtilecektir.

İlkeler

Microsoft tarafından yönetilen bu ilkeler, yöneticilerin kullanıcıları dışlama veya bunları yalnızca rapor modundan açma veya kapatma gibi basit değişiklikler yapmasına olanak sağlar. Kuruluşlar Microsoft tarafından yönetilen ilkeleri yeniden adlandıramaz veya silemez. Yöneticiler Koşullu Erişim ilkesi konusunda daha rahat olduklarından, özel sürümler oluşturmak için ilkeyi çoğaltmayı seçebilirler.

Tehditler zaman içinde geliştikçe, Microsoft gelecekte yeni özelliklerden, işlevlerden yararlanmak veya işlevlerini geliştirmek için bu ilkeleri değiştirebilir.

Microsoft Yönetici Portallarına erişen yöneticiler için çok faktörlü kimlik doğrulaması

Bu ilke, yüksek ayrıcalıklı olduğunu düşündüğümüz, Microsoft Yönetici Portalları grubuna erişen 14 yönetici rolünü kapsar ve çok faktörlü kimlik doğrulaması gerçekleştirmelerini gerektirir.

Bu ilke, güvenlik varsayılanlarının etkinleştirilmediği Microsoft Entra ID P1 ve P2 kiracılarını hedefler.

İpucu

Çok faktörlü kimlik doğrulaması gerektiren Microsoft tarafından yönetilen ilkeler, 2024'te yapılan ve Ekim 2024'te aşamalı kullanıma sunulmaya başlayan Azure oturum açma için zorunlu çok faktörlü kimlik doğrulaması duyurusundan farklıdır. Bu zorlama hakkında daha fazla bilgi için Bkz . Azure ve diğer yönetici portalları için zorunlu çok faktörlü kimlik doğrulamasını planlama.

Kullanıcı başına çok faktörlü kimlik doğrulaması kullanıcıları için çok faktörlü kimlik doğrulaması

Bu ilke, Microsoft'un artık önermediğini bir yapılandırma olan kullanıcı başına MFA'yı kapsar. Koşullu Erişim , birçok ek özellik ile daha iyi bir yönetici deneyimi sunar. Tüm MFA ilkelerini Koşullu Erişim'de birleştirmek, güvenlik duruşu korurken son kullanıcı uyuşmalarını azaltarak MFA gerektirme konusunda daha fazla hedef almanıza yardımcı olabilir.

Bu ilke şunu hedefler:

Microsoft Entra ID P1 ve P2 ile lisanslanmış kullanıcıları olan kuruluşlar
Güvenlik varsayılanlarının etkin olmadığı kuruluşlar
Kullanıcı başına 500'den az MFA etkin veya zorlanmış kullanıcı olan kuruluşlar

Bu ilkeyi daha fazla kullanıcıya uygulamak için, bu ilkeyi çoğaltın ve atamaları değiştirin.

İpucu

Microsoft tarafından yönetilen kullanıcı başına çok faktörlü kimlik doğrulama ilkesini değiştirmek için üstteki Düzenle kalemini kullanmak güncelleştirme hatasına neden olabilir. Bu sorunu geçici olarak çözmek için ilkenin Dışlanan kimlikler bölümünde Düzenle'yi seçin.

Riskli oturum açma işlemleri için çok faktörlü kimlik doğrulaması ve yeniden kimlik doğrulaması

Bu ilke tüm kullanıcıları kapsar ve yüksek riskli oturum açma işlemleri algıladığımızda MFA ve yeniden kimlik doğrulaması gerektirir. Bu durumda yüksek riskli olması, kullanıcının oturum açma şeklinin olağan dışı olduğu anlamına gelir. Bu yüksek riskli oturum açma işlemleri şunları içerebilir: son derece anormal olan seyahat, parola spreyi saldırıları veya belirteç yeniden yürütme saldırıları. Bu risk tanımları hakkında daha fazla bilgi için Risk algılamaları nedir? makalesine bakın.

Bu ilke, güvenlik varsayılanlarının etkinleştirilmediği Microsoft Entra ID P2 kiracılarını hedefler.

P2 lisansları toplam MFA'ya kayıtlı etkin kullanıcıya eşit veya bu kullanıcıları aşarsa, ilke Tüm Kullanıcılar'ı kapsar.
MFA'ya kayıtlı etkin kullanıcılar P2 lisanslarını aşarsa, ilkeyi oluşturup kullanılabilir P2 lisanslarına göre eşlenmiş bir güvenlik grubuna atarız. İlkenin güvenlik grubunun üyeliğini değiştirebilirsiniz.

Microsoft, saldırganların hesapları ele geçirmesini önlemek için riskli kullanıcıların MFA'ya kaydolmasına izin vermez.

Güvenlik varsayılanları ilkeleri

Aşağıdaki ilkeler, güvenlik varsayılanlarını kullanarak yükseltme yaptığınızda için kullanılabilir.

Eski kimlik doğrulamasını engelleme

Bu ilke, eski kimlik doğrulama protokollerinin uygulamalara erişmesini engeller. Eski kimlik doğrulaması, tarafından yapılan bir kimlik doğrulama isteğini ifade eder:

Modern kimlik doğrulaması kullanmayan istemciler (örneğin, office 2010 istemcisi)
IMAP, SMTP veya POP3 gibi eski posta protokollerini kullanan tüm istemciler
Eski kimlik doğrulaması kullanılarak yapılan tüm oturum açma girişimleri engellenir.

En çok gözlemlenen oturum açma girişimleri eski kimlik doğrulamasından gelir. Eski kimlik doğrulaması çok faktörlü kimlik doğrulamasını desteklemediğinden, saldırgan eski bir protokol kullanarak MFA gereksinimlerinizi atlayabilir.

Azure yönetimi için çok faktörlü kimlik doğrulaması gerektir

Bu ilke, Aşağıdakiler dahil olmak üzere Azure Resource Manager API'si aracılığıyla yönetilen çeşitli Azure hizmetlerine erişmeye çalışan tüm kullanıcıları kapsar:

Azure portal
Microsoft Entra yönetim merkezi
Azure PowerShell
Azure CLI

Bu kaynaklardan herhangi birine erişmeye çalışırken, kullanıcının erişim elde etmeden önce MFA'yı tamamlaması gerekir.

Yöneticiler için çok faktörlü kimlik doğrulaması gerektir

Bu ilke, yüksek ayrıcalıklı olduğunu düşündüğümüz 14 yönetici rolünden birine sahip tüm kullanıcıları kapsar. Bu yüksek ayrıcalıklı hesapların sahip olduğu güç nedeniyle, herhangi bir uygulamada her oturum açtıklarında MFA için gereklidir.

Tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektir

Bu ilke, kuruluşunuzdaki tüm kullanıcıları kapsar ve her oturum açtıklarında MFA'da olmalarını gerektirir. Çoğu durumda oturum cihazda kalır ve kullanıcılar başka bir uygulamayla etkileşime geçtiğinde MFA'yı tamamlamak zorunda değildir.

bu ilkelerin etkilerini Nasıl yaparım? görüyorsunuz?

Yöneticiler, ilkenin ortamlarındaki etkisinin hızlı bir özetini görmek için İlkenin oturum açma işlemleri üzerindeki etkisi bölümüne bakabilir.

İlkenin kuruluş üzerindeki etkisini gösteren ekran görüntüsü.

Yöneticiler daha derine inebilir ve kuruluşlarında bu ilkelerin nasıl çalıştığını görmek için Microsoft Entra oturum açma günlüklerine bakabilir.

Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
> > Oturum açma günlüklerine göz atın.
Gözden geçirmek istediğiniz belirli oturum açmayı bulun. Gereksiz bilgileri filtrelemek için filtre ve sütun ekleyin veya kaldırın.
1. Kapsamı daraltmak için aşağıdaki gibi filtreler ekleyin:
  1. Araştırılması gereken belirli bir olay olduğunda Bağıntı kimliği.
  2. İlke hatasını ve başarısını görmek için Koşullu Erişim . Sonuçları sınırlandırmak için filtrenizin kapsamını yalnızca hataları gösterecek şekilde ayarlayın.
  3. Belirli kullanıcılarla ilgili bilgileri görmek için Kullanıcı adı.
  4. Söz konusu zaman dilimine göre Tarih kapsamı.
Kullanıcının oturum açma işlemine karşılık gelen oturum açma olayı bulunduktan sonra Koşullu Erişim sekmesini seçin. Koşullu Erişim sekmesi, oturum açma kesintisine neden olan belirli ilkeyi veya ilkeleri gösterir.
1. Daha fazla araştırma yapmak için İlke Adı'na tıklayarak ilkelerin yapılandırmasında detaya gidin. İlke Adı'na tıklanması, gözden geçirme ve düzenleme için seçilen ilkenin ilke yapılandırması kullanıcı arabirimini gösterir.
2. Koşullu Erişim ilkesi değerlendirmesinde kullanılan istemci kullanıcısı ve cihaz ayrıntıları, oturum açma olayının Temel Bilgiler, Konum, Cihaz Bilgileri, Kimlik Doğrulama Ayrıntıları ve Ek Ayrıntılar sekmelerinde de sağlanır.

Sık sorulan sorular

Koşullu Erişim Nedir?

Koşullu Erişim, kuruluşların kaynaklara erişirken güvenlik gereksinimlerini zorlamasına olanak tanıyan bir Microsoft Entra özelliğidir. Koşullu Erişim genellikle çok faktörlü kimlik doğrulaması, cihaz yapılandırması veya ağ konumu gereksinimlerini zorunlu kılmak için kullanılır.

Bu ilkeler, if then deyimleri olarak düşünülebilir.

Atamalar (kullanıcılar, kaynaklar ve koşullar) doğruysa, ilkeye erişim denetimlerini (verme ve/veya oturum) uygulayın. Microsoft yönetici portallarından birine erişmek isteyen bir yöneticiyseniz, gerçekten siz olduğunuzu kanıtlamak için çok faktörlü kimlik doğrulaması gerçekleştirmeniz gerekir.

Daha fazla değişiklik yapmak istersem ne olur?

Yöneticiler, ilke listesi görünümündeki Çoğalt düğmesini kullanarak bu ilkelerde daha fazla değişiklik yapmayı seçebilir. Bu yeni ilke, Microsoft tarafından önerilen bir konumdan başlayarak diğer Koşullu Erişim ilkeleriyle aynı şekilde yapılandırılabilir. Bu değişikliklerle güvenlik duruşunuzu yanlışlıkla düşürmediğinizden dikkatli olun.

Bu ilkeler hangi yönetici rollerini kapsar?

Genel Yönetici
Uygulama Yöneticisi
Kimlik Doğrulama Yöneticisi
Faturalama Yöneticisi
Bulut Uygulaması Yöneticisi
Koşullu Erişim Yöneticisi
Exchange Yöneticisi
Yardım Masası Yöneticisi
Parola Yöneticisi
Ayrıcalıklı Kimlik Doğrulama Yöneticisi
Ayrıcalıklı Rol Yöneticisi
Güvenlik Yöneticisi
SharePoint Yöneticisi
Kullanıcı Yöneticisi

Çok faktörlü kimlik doğrulaması için farklı bir çözüm kullanırsam ne olur?

Çok faktörlü kimlik doğrulaması, dış kimlik doğrulama yöntemleri kullanılarak tamamlanır Microsoft tarafından yönetilen ilkelerin MFA gereksinimlerini karşılar.

Çok faktörlü kimlik doğrulaması bir federasyon kimlik sağlayıcısı (IdP) aracılığıyla tamamlandığında, yapılandırmanıza bağlı olarak Microsoft Entra Id MFA gereksinimlerini karşılayabilir. Daha fazla bilgi için bkz. Federasyon IdPMFA talepleri ile Microsoft Entra ID çok faktörlü kimlik doğrulaması (MFA) denetimlerini karşılama .

Certificate-Based Kimlik Doğrulaması kullanırsam ne olur?

Kiracınızın Certificate-Based Kimlik Doğrulaması (CBA) yapılandırmasına bağlı olarak, tek faktörlü veya çok faktörlü olarak işlev görebilir.

Kuruluşunuzda tek faktörlü olarak yapılandırılmış CBA varsa, kullanıcıların MFA'yı karşılamak için ikinci bir kimlik doğrulama yöntemi kullanması gerekir. Tek faktörlü CBA ile MFA arasında izin verilen kimlik doğrulama yöntemlerinin birleşimleri hakkında daha fazla bilgi için bkz. tek faktör sertifika tabanlı kimlik doğrulama ile MFA.
Kuruluşunuzda CBA çok faktörlü olarak yapılandırılmışsa, kullanıcılar MFA'yı CBA kimlik doğrulama yöntemleriyle tamamlayabilir.

Not

CBA, Microsoft Entra ID'de MFA özellikli bir yöntem olarak kabul edilir, bu nedenle CBA kimlik doğrulama yöntemi kapsamındaki kullanıcıların yeni kimlik doğrulama yöntemlerini kaydetmek için MFA kullanmaları gerekir. MFA'yı diğer kayıtlı kimlik doğrulama yöntemleri olmadan tek faktörlü CBA kullanıcılarına kaydetmek için,tek faktörlü sertifikalarla MFA özelliğini almak için Seçenekleri'ne bakın.

Özel denetimler kullanırsam ne olur?

Özel denetimlerçok faktörlü kimlik doğrulaması talep gereksinimlerini karşılamaz. Kuruluşunuz özel denetimler kullanıyorsa,dış kimlik doğrulama yöntemlerine geçiş , özel denetimlerin değiştirilmesi gerekir. Dış kimlik doğrulama sağlayıcınızın dış kimlik doğrulama yöntemlerini desteklemesi ve tümleştirmesi için gerekli yapılandırma kılavuzunu sağlaması gerekir.

Sonraki adımlar

Ek kaynaklar

Eğitim

Öğrenme yolu

Learn how Microsoft supports using multifactor authentication as part of a cybersecurity solution - Training

Multifactor authentication helps secure your environment and resources by requiring that your users confirm their identity by using multiple authentication methods, like a phone call, text message, mobile app notification, or one-time password. You can use multifactor authentication both on-premises and in the cloud to add security for accessing Microsoft online services, remote access applications, and more. This learning path provides an overview of how to use multifactor authentication as part of a cyber

Sertifikasyon

Microsoft Sertifikalı: Kimlik ve Erişim Yöneticisi İş Ortağı - Certifications

Kimlik çözümlerini modernleştirmek, karma çözümleri uygulamak ve kimlik idaresini uygulamak için Microsoft Entra ID'nin özelliklerini gösterin.

Ekinlikler

JDConf 2025

9 Nis 15 - 10 Nis 12

Yapay zeka ile Geleceği kodlayın ve JDConf 2025'te Java eşleri ve uzmanlarla bağlantı kurun.

Şimdi Kaydol

Aracılığıyla paylaş