Koşullu Erişim ile eski kimlik doğrulamasını engelleme

Microsoft, kuruluşların çok faktörlü kimlik doğrulamasını desteklemeyen eski protokolleri kullanarak kimlik doğrulama isteklerini engellemesini önerir. Microsoft'un analizine göre kimlik bilgileri doldurma saldırılarının yüzde 97'sinden fazlası eski kimlik doğrulaması kullanır ve parola spreyi saldırılarının yüzde 99'undan fazlası eski kimlik doğrulama protokollerini kullanır. Temel kimlik doğrulaması devre dışı bırakılır veya engellenirse, bu saldırılar duracak.

Koşullu Erişim içeren lisansları olmayan müşteriler, eski kimlik doğrulamasını engellemek için güvenlik varsayılanlarını kullanabilir.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Politi̇kąnın yanlı̨ş yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum veya acil erişim hesapları. Olası olmayan bir senaryoda tüm yöneticiler kilitlenirse, acil durum erişim yönetim hesabınız, oturum açmak ve erişimi kurtarmak için kullanılabilir.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, eski kimlik doğrulama isteklerini engellemek için bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur. Bu ilke, yöneticilerin mevcut kullanıcılar üzerindeki etkisini belirleyebilmesi için yalnızca rapor moduna geçirilir. Yöneticiler ilkenin amaçladıkları gibi uygulandığından emin olduklarında, Açık duruma geçebilir veya belirli grupları ekleyip, diğerlerini dışlayarak dağıtımı hazırlayabilirler.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Ekle altında Tüm kullanıcılar'ı seçin.
   2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve eski kimlik doğrulamasını kullanma özelliğini koruması gereken tüm hesapları seçin. Microsoft, yanlış yapılandırma nedeniyle kilitlenmenizi önlemek için en az bir hesabı dışlamanızı önerir.
6. Kaynaklar (eski adıyla bulut uygulamaları)Ekle> Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları')>
7. Koşullar altında >, Yapılandır'ı Evet olarak ayarlayın.
   1. Yalnızca Exchange ActiveSync istemcileri ve Diğer istemciler kutularını işaretleyin.
   2. Bitti'yi seçin.
8. Erişim kontrollerinde> altında, Erişimi engelle'yi seçin.
   1. Seç'i seçin.
9. Ayarlarınızı onaylayın ve İlkeyi etkinleştir seçeneğini Yalnızca rapor olarak ayarlayın.
10. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler, ilke ayarlarını ilke etkisini veya yalnızca rapor modunu kullanarak değerlendirdikten sonra, İlkeyi etkinleştir aç-kapa düğmesini Yalnızca Rapor durumundan Açık konumuna getirebilir.

Not

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Eski kimlik doğrulama kullanımını belirleme

Kullanıcılarınızın eski kimlik doğrulaması kullanan istemci uygulamaları olup olmadığını anlamak için, yöneticiler aşağıdaki adımları izleyerek oturum açma günlüklerindeki göstergeleri denetleyebilir:

1. Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
2. Entra ID>İzleme ve sağlık>oturum açma günlüklerine göz atın.
3. Gösterilmiyorsa Sütunlar'a tıklayıp > sütununu ekleyin.
4. Filtre> seçin, tüm eski kimlik doğrulama protokollerini seçin ve Uygula'yı>
5. Ayrıca bu adımları Kullanıcı oturum açma işlemleri (etkileşimli olmayan) sekmesinde gerçekleştirin.

Filtreleme, eski kimlik doğrulama protokolleri tarafından yapılan oturum açma girişimlerini gösterir. Her bir oturum açma girişimine tıklanması size daha fazla ayrıntı gösterir. Temel Bilgi sekmesinin altındaki İstemci Uygulaması alanı, hangi eski kimlik doğrulama protokollerinin kullanıldığını gösterir. Bu günlükler, eski kimlik doğrulamasına bağımlı istemcileri kullanan kullanıcıları gösterir.

Ayrıca, kiracınızdaki eski kimlik doğrulamasını analiz etmeye yardımcı olmak için Eski Kimlik Doğrulama Çalışma Kitabını kullanarak oturumları inceleyin.

İlgili içerik

• Exchange Online'da Temel kimlik doğrulamasının kullanımdan kaldırılması
• Microsoft 365 kullanarak e-posta göndermek için çok işlevli bir cihaz veya uygulama ayarlama
• Modern kimlik doğrulaması Office istemci uygulamaları için nasıl çalışır?
• Connect to Exchange Online PowerShell (Exchange Online PowerShell'e bağlanma)