Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sıfır Güven ilkeleri uygularken merkezi kimlik yönetim sistemi olarak Microsoft Entra ID'yi kullanma hakkında bilgi edinin. Bkz. US Office of Management and Budget (OMB) M 22-09 Memorandum for the Heads of Executive Departments and Agencies.
Not gereksinimleri, çalışanların uygulamalara erişmek için kurumsal olarak yönetilen kimlikleri kullanması ve çok faktörlü kimlik doğrulamasının, çalışanları kimlik avı gibi gelişmiş çevrimiçi saldırılara karşı korumasıdır. Bu saldırı yöntemi, kimliği doğrulanmamış sitelere bağlantılar içeren kimlik bilgilerini almayı ve güvenliğini aşmayı dener.
Çok faktörlü kimlik doğrulaması, hesaplara ve verilere yetkisiz erişimi engeller. Not gereksinimleri, kimlik avına dayanıklı yöntemlerle çok faktörlü kimlik doğrulamasından kaynaklanır: kimlik doğrulama gizli dizilerinin ve çıkışlarının meşru bir sistem olarak gizlenen bir web sitesine veya uygulamaya açıklanmasını algılamak ve önlemek için tasarlanmış kimlik doğrulama işlemleri. Bu nedenle, kimlik avına dayanıklı olarak niteleyen çok faktörlü kimlik doğrulama yöntemlerini belirleyin.
Kimlik avına dayanıklı yöntemler
Bazı federal kurumlar FIDO2 güvenlik anahtarları veya İş İçin Windows Hello gibi modern kimlik bilgilerini dağıttı. Birçoğu Sertifikalarla Microsoft Entra kimlik doğrulamasını değerlendirmektedir.
Daha fazla bilgi edinin:
- FIDO2 güvenlik anahtarları
- İş İçin Windows Hello
- Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış
Bazı kurumlar kimlik doğrulama kimlik bilgilerini modernleştiriyor. Microsoft Entra ID ile kimlik avına dayanıklı çok faktörlü kimlik doğrulaması gereksinimlerini karşılamak için birden çok seçenek vardır. Microsoft, kuruluş özellikleriyle eşleşen kimlik avına dayanıklı çok faktörlü kimlik doğrulama yöntemini benimsemenizi önerir. Genel siber güvenlik duruşunu geliştirmek için kimlik avına dayanıklı çok faktörlü kimlik doğrulaması için nelerin mümkün olduğunu düşünün. Modern kimlik bilgilerini uygulama. Ancak, en hızlı yol modern bir yaklaşım değilse, modern yaklaşımlara doğru yolculuğa başlamak için adımı atın.
Modern yaklaşımlar
-
FIDO2 güvenlik anahtarları , Siber Güvenlik ve Altyapı Güvenlik Ajansı'na (CISA) göre çok faktörlü kimlik doğrulamasının altın standartıdır
- Bkz. Microsoft Entra Id, FIDO2 güvenlik anahtarları için parolasız kimlik doğrulama seçenekleri
- Paroladan Fazlası için cisa.gov gidin
-
Federasyon kimlik sağlayıcısına bağımlı olmadan Microsoft Entra sertifika kimlik doğrulaması .
- Bu çözüm akıllı kart uygulamalarını içerir: Ortak Erişim Kartı (CAC), Kişisel Kimlik Doğrulaması (PIV) ve mobil cihazlar veya güvenlik anahtarları için türetilmiş PIV kimlik bilgileri
- Bkz. Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış
- İş İçin Windows Hello kimlik avına dayanıklı çok faktörlü kimlik doğrulamasına sahiptir
Dış kimlik avına karşı koruma
Microsoft Authenticator ve Koşullu Erişim ilkeleri yönetilen cihazları zorunlu kılar: Microsoft Entra karma katılmış cihazlar veya uyumlu olarak işaretlenmiş cihazlar. Microsoft Entra Id ile korunan uygulamalara erişen cihazlara Microsoft Authenticator'ı yükleyin.
Daha fazla bilgi edinin: Microsoft Entra Id 'de kimlik doğrulama yöntemleri - Microsoft Authenticator uygulaması
Önemli
Kimlik avına dayanıklı gereksinimi karşılamak için: Yalnızca korumalı uygulamaya erişen cihazları yönetin. Microsoft Authenticator kullanmasına izin verilen kullanıcılar, erişim için yönetilen cihazlar gerektiren Koşullu Erişim ilkesi kapsamındadır. Koşullu Erişim ilkesi, Microsoft Intune Kayıt Bulut Uygulamasına erişimi engeller. Microsoft Authenticator kullanmasına izin verilen kullanıcılar bu Koşullu Erişim ilkesi kapsamındadır. Kimlik doğrulama yöntemi için etkinleştirilen kullanıcıların her iki ilkenin kapsamında olduğundan emin olmak için Koşullu Erişim ilkelerinde Microsoft Authenticator kimlik doğrulamasına izin vermek için aynı grupları kullanın. Bu Koşullu Erişim ilkesi, kötü amaçlı dış aktörlerden gelen kimlik avı tehditlerinin en önemli vektörünün oluşmasını engeller. Ayrıca, kötü niyetli aktörün kimlik bilgilerini kaydetmesini veya bir cihaza katılıp Uyumlu olarak işaretlemek için Intune'a kaydetmesini önler.
Daha fazla bilgi edinin:
- Microsoft Entra karma katılım uygulamanızı planlayın veya
- Nasıl yapılır: Microsoft Entra katılım uygulamanızı planlama
- Ayrıca bkz. Ortak Koşullu Erişim ilkesi: Uyumlu bir cihaz, Microsoft Entra karma katılmış cihaz veya tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
Not
Microsoft Authenticator kimlik avına dayanıklı değildir. Koşullu Erişim ilkesini, yönetilen cihazların dış kimlik avı tehditlerine karşı koruma elde etmelerini gerektirecek şekilde yapılandırın.
Eski
Kimlik avına dayanıklı yöntemlerle yapılandırılmış Active Directory Federasyon Hizmetleri (AD FS) (AD FS) gibi federasyon kimlik sağlayıcıları (IDP'ler). Kuruluşlar federe IdP ile kimlik avı direnci elde etse de maliyet, karmaşıklık ve risk ekler. Microsoft, Federasyon IdP'sinin ilişkili riskini kaldırarak Microsoft Entra Id a IdP'nin güvenlik avantajlarını teşvik eder
Daha fazla bilgi edinin:
- Microsoft 365'i şirket içi saldırılara karşı koruma
- Azure'da AD Federasyon Hizmetleri dağıtma
- Ad FS'yi kullanıcı sertifikası kimlik doğrulaması için yapılandırma
Kimlik avına dayanıklı yöntemle ilgili dikkat edilmesi gerekenler
Geçerli cihaz özellikleriniz, kullanıcı kişilikleriniz ve diğer gereksinimleriniz çok faktörlü yöntemler dikte edebilir. Örneğin, USB-C desteğine sahip FIDO2 güvenlik anahtarları, USB-C bağlantı noktalarına sahip cihazlar gerektirir. Kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını değerlendirirken aşağıdaki bilgileri göz önünde bulundurun:
- Destekleyebileceğiniz cihaz türleri ve özellikleri: bilgi noktaları, dizüstü bilgisayarlar, cep telefonları, biyometrik okuyucular, USB, Bluetooth ve yakın alan iletişim cihazları
- Kuruluş kullanıcı kişilikleri: ön cephe çalışanları, şirkete ait donanıma sahip ve olmayan uzak çalışanlar, ayrıcalıklı erişim iş istasyonlarına sahip yöneticiler ve işletmeler arası konuk kullanıcılar
- Lojistik: FIDO2 güvenlik anahtarları, akıllı kartlar, kamu tarafından döşenmiş ekipman veya TPM yongalarına sahip Windows cihazları gibi çok faktörlü kimlik doğrulama yöntemlerini dağıtma, yapılandırma ve kaydetme
-
Kimlik doğrulayıcı güvence düzeyinde Federal Bilgi İşleme Standartları (FIPS) 140 doğrulaması: Bazı FIDO güvenlik anahtarları, NIST SP 800-63B tarafından ayarlanan AAL3 düzeylerinde FIPS 140 doğrulanır
- Bkz. Authenticator güvence düzeyleri
- Bkz. Microsoft Entra Id kullanarak NIST kimlik doğrulayıcısı güvence düzeyi 3
- NIST Özel Yayını 800-63B, Dijital Kimlik Yönergeleri için nist.gov gidin
Kimlik avına dayanıklı çok faktörlü kimlik doğrulaması için uygulama konuları
Uygulama ve sanal cihaz oturum açma için kimlik avına dayanıklı yöntemler uygulama desteği için aşağıdaki bölümlere bakın.
Çeşitli istemcilerden uygulama oturum açma senaryoları
Aşağıdaki tabloda, uygulamalarda oturum açmak için kullanılan cihaz türüne göre kimlik avına dayanıklı çok faktörlü kimlik doğrulama senaryolarının kullanılabilirliği ayrıntılı olarak açıklenmiştir:
| Cihaz | Sertifika kimlik doğrulaması ile federasyon IdP'si olarak AD FS | Microsoft Entra sertifika kimlik doğrulaması | FIDO2 güvenlik anahtarları | İş İçin Windows Hello | Microsoft Entra karma katılımını veya uyumlu cihazları zorunlu kılmaya yönelik Koşullu Erişim ilkelerine sahip Microsoft Authenticator |
|---|---|---|---|---|---|
| Windows cihazı |
|
|
|
|
|
| iOS mobil cihaz |
|
|
Uygulanamaz | Uygulanamaz |
|
| Android mobil cihaz |
|
|
Uygulanamaz | Uygulanamaz |
|
| macOS cihazı |
|
|
Edge/Chrome | Uygulanamaz |
|
Daha fazla bilgi edinin: FIDO2 parolasız kimlik doğrulaması için tarayıcı desteği
Tümleştirme gerektiren sanal cihaz oturum açma senaryoları
Kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını zorunlu kılmak için tümleştirme gerekebilir. Uygulamalara ve cihazlara erişen kullanıcılar için çok faktörlü kimlik doğrulamasını zorunlu kılma. Kimlik avına dayanıklı beş çok faktörlü kimlik doğrulaması türü için aşağıdaki cihaz türlerine erişmek için aynı özellikleri kullanın:
| Hedef sistem | Tümleştirme eylemleri |
|---|---|
| Azure Linux sanal makinesi (VM) | Microsoft Entra oturum açma için Linux VM'yi etkinleştirme |
| Azure Windows VM | Microsoft Entra oturum açma için Windows VM'sini etkinleştirme |
| Azure Sanal Masaüstü | Microsoft Entra oturum açma için Azure Sanal Masaüstü'nü etkinleştirme |
| Şirket içinde veya diğer bulutlarda barındırılan VM'ler | VM'de Azure Arc'ı etkinleştirin ve ardından Microsoft Entra oturum açmayı etkinleştirin. Şu anda Linux için özel önizleme aşamasındadır. Bu ortamlarda barındırılan Windows VM'leri için destek yol haritamızda yer alır. |
| Microsoft dışı sanal masaüstü çözümü | Sanal masaüstü çözümünü Microsoft Entra ID'de uygulama olarak tümleştirme |
Kimlik avına dayanıklı çok faktörlü kimlik doğrulamasını zorunlu kılma
Kiracınızdaki kullanıcılar için çok faktörlü kimlik doğrulamasını zorunlu kılmak için Koşullu Erişim'i kullanın. Kiracılar arası erişim ilkelerinin eklenmesiyle, bunu dış kullanıcılara uygulayabilirsiniz.
Daha fazla bilgi edinin: Genel bakış: Microsoft Entra Dış Kimlik ile kiracılar arası erişim
Kurumlar arasında zorlama
Tümleştirmeyi kolaylaştıran gereksinimleri karşılamak için Microsoft Entra B2B işbirliğini kullanın:
- Kullanıcılarınızın erişeci diğer Microsoft kiracılarını sınırlama
- Kiracınızda yönetmek zorunda olmadığınız kullanıcılara erişim izni verin, ancak çok faktörlü kimlik doğrulamasını ve diğer erişim gereksinimlerini zorunlu kılın
Daha fazla bilgi edinin: B2B işbirliğine genel bakış
Kuruluş kaynaklarına erişen iş ortakları ve dış kullanıcılar için çok faktörlü kimlik doğrulamasını zorunlu kılma. Bu eylem, kurumlar arası işbirliği senaryolarında yaygındır. Uygulamalara ve kaynaklara erişen dış kullanıcılar için çok faktörlü kimlik doğrulamasını yapılandırmak için Microsoft Entra kiracılar arası erişim ilkelerini kullanın.
Kiracılar arası erişim ilkelerindeki güven ayarlarını, konuk kullanıcı kiracısının kullandığı çok faktörlü kimlik doğrulama yöntemine güvenecek şekilde yapılandırın. Kullanıcıların kiracınıza çok faktörlü bir kimlik doğrulama yöntemi kaydetmelerini sağlayın. Bu ilkeleri kuruluş bazında etkinleştirin. Kullanıcının giriş kiracısında çok faktörlü kimlik doğrulama yöntemlerini belirleyebilir ve kimlik avı direnci gereksinimlerini karşılayıp karşılamadıklarını belirleyebilirsiniz.
Parola ilkeleri
Not, kuruluşların karmaşık, döndürülmüş parolalar gibi etkisiz parola ilkelerini değiştirmesini gerektirir. Zorlama, zaman tabanlı parola döndürme ilkeleriyle özel karakter ve sayı gereksinimini kaldırmayı içerir. Bunun yerine aşağıdaki seçenekleri göz önünde bulundurun:
-
Microsoft'un koruduğu zayıf parolaların ortak listesini zorunlu tutmak için parola koruması
- Ayrıca, özel yasaklanmış parolalar ekleyin
- Bkz. Microsoft Entra Password Protection kullanarak hatalı parolaları ortadan kaldırma
- Kullanıcıların parolaları sıfırlamasını sağlamak için self servis parola sıfırlama ( örneğin hesap kurtarmadan sonra)
- Güvenliği aşılmış kimlik bilgileriyle ilgili uyarılar için Microsoft Entra Kimlik Koruması
- Risk nedir?
Not, parolalarla kullanılacak ilkeler hakkında özel olmasa da NIST 800-63B standardını göz önünde bulundurun.
Bkz. NIST Özel Yayın 800-63B, Dijital Kimlik Yönergeleri.