Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
DoD Sıfır Güven Stratejisi ve Yol Haritası, Savunma Bakanlığı bileşenleri ve Savunma Sanayi Üssü (DIB) iş ortaklarının Sıfır Güven ilkelerine dayalı yeni bir siber güvenlik çerçevesi benimsemeleri için bir yol göstermektedir. Sıfır Güven, geleneksel çevre ve güven varsayımlarını ortadan kaldırarak güvenliği, kullanıcı deneyimlerini ve görev performansını geliştiren daha verimli bir mimari sağlar.
Bu kılavuz, DoD Sıfır Güven Yetenek Yürütme Yol Haritası'ndaki 152 Sıfır Güven etkinliğine yönelik önerilere sahiptir. Bölümler, DoD Sıfır Güven modelinin yedi sütununa karşılık gelir.
Kılavuzun bölümlerine gitmek için aşağıdaki bağlantıları kullanın.
1 Kullanıcı
Bu bölümde, kullanıcı ayağındaki DoD Sıfır Güven etkinlikleri için Microsoft rehberliği ve önerileri bulunur. Daha fazla bilgi edinmek için bkz. Sıfır Güven ile kimlik güvenliğini sağlama.
1.1 Kullanıcı envanteri
Microsoft Entra Id, Microsoft bulut hizmetleri için gerekli kimlik platformudur. Microsoft Entra ID, çoklu bulut ve karma kimlikleri destekleyen bir kimlik sağlayıcısı (IdP) ve idare platformudur. Microsoft Entra ID'yi kullanarak Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) ve daha fazlası gibi Microsoft dışı bulutlara erişimi yönetebilirsiniz. Microsoft Entra ID standart kimlik protokollerini kullanarak hizmet olarak yazılım (SaaS), modern web uygulamaları, masaüstü ve mobil uygulamalar ve eski şirket içi uygulamalar için uygun bir IdP oluşturur.
Kullanıcıları ve kişi olmayan varlıkları (NPE) doğrulamak, uygulamalara ve verilere erişimi sürekli olarak yetkilendirmek, kimlikleri ve bunların yetkilendirmelerini en az ayrıcalık ilkelerine göre yönetmek ve tam zamanında (JIT) yönetim gerçekleştirmek için Microsoft Entra Id kullanın.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.1.1 Envanter KullanıcısıDoD Kuruluşları gerekirse el ile kullanıcı envanteri oluşturup güncelleştirir ve sonraki aşamalarda otomatik yaklaşıma hazırlanır. Hem Bir IdP/ICAM tarafından hem de sistemlerde yerel olarak yönetilen hesaplar tanımlanır ve envantere kaydedilir. Gelecekteki denetimler için ayrıcalıklı hesaplar belirlenecek ve gelecekte geçiş ve/veya kullanımdan kaldırılacak uygulamalar ve sistemler için yerel standart ve ayrıcalıklı kullanıcı hesapları belirlenecektir. Sonuçlar: - Tanımlanan Yönetilen Normal Kullanıcılar - Tanımlanan Yönetilen Ayrıcalıklı Kullanıcılar - Yönetici olmayan ve yönetici olmayan hesaplar için kendi kullanıcı hesabı yönetimini kullanan tanımlı uygulamalar |
Microsoft Entra Id Microsoft Entra yönetim merkezini veya Microsoft Graph API'sini kullanarak kuruluşunuzdaki düzenli ve ayrıcalıklı kullanıcıları belirleyin. Kullanıcı etkinliği, Microsoft Sentinel gibi güvenlik bilgileri olay izleme (SIEM) sistemleriyle tümleştirilebilen Microsoft Entra Id oturum açma ve denetim günlüklerinde yakalanır. - Microsoft Entra Id - Microsoft Graph API'sini benimseme: Liste Kullanıcıları - Microsoft Entra etkinlik günlüğü tümleştirmesi Microsoft Entra ve Azure rolleri Ayrıcalıklı kullanıcılar, Microsoft 365 veya diğer uygulamalara ayrıcalıklı erişim sağlayan Microsoft Entra ID rollerine, Azure rollerine veya Microsoft Entra ID güvenlik gruplarına atanan kimliklerdir. Ayrıcalıklı erişim için yalnızca bulut kullanıcılarını kullanmanızı öneririz. - Yerleşik roller Bulut için Microsoft Defender Uygulamalar Kendi kimlik depolarını kullanarak onaylanmamış uygulamaları keşfetmek için Bulut için Defender Uygulamaları kullanın. - Gölge BT Kimlik için Microsoft Defender Deploy ve Kimlik için Microsoft Defender algılayıcılarını şirket içi Active Directory Etki Alanı Hizmetleri için kimlik varlığı envanteri oluşturmak üzere yapılandırma ve keşfetme ve yönetme Ortam. - Kimlik için Microsoft Defender genel bakış - Varlıkları dağıtma Kimlik için Microsoft Defender - Investigate |
1.2 Koşullu kullanıcı erişimi
Microsoft Entra Id, kuruluşunuzun koşullu, dinamik kullanıcı erişimi uygulamasına yardımcı olur. Bu özelliği destekleyen özellikler Microsoft Entra Koşullu Erişim, Microsoft Entra Kimlik Yönetimi, özel roller, dinamik güvenlik grupları, uygulama rolleri ve özel güvenlik öznitelikleridir.
Koşullu Erişim, Microsoft Entra Id'deki gerçek zamanlı Sıfır Güven ilke altyapısıdır. Koşullu Erişim ilkeleri, Microsoft Entra ID ile korunan kaynaklar için uyarlamalı dinamik yetkilendirme uygulamak için kullanıcı, cihaz, uygulama, oturum, risk ve daha fazlasının güvenlik sinyallerini kullanır.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.2.1 KuruluşBaşına Uygulama Tabanlı İzinler UygulamaKuruluşlarla çalışan DoD kuruluşu, kimlik doğrulaması ve yetkilendirme için temel bir kullanıcı öznitelikleri kümesi oluşturur. Bunlar, eksiksiz bir kurumsal standart için "Kurumsal Kimlik Yaşam Döngüsü Yönetimi Pt1" etkinlik süreciyle tümleştirilir. Kurumsal Kimlik, Kimlik Bilgileri ve Erişim Yönetimi (ICAM) çözümü, çözüm içinde öznitelik ekleme/güncelleştirme için self servis işlevselliği için etkinleştirilir. Kalan Privileged Access Management (PAM) etkinlikleri tamamen PAM çözümüne geçirilir. Sonuçlar: - Uygulama işlevlerine ve/veya verilere kullanıcı yetkilendirmesi için gereken kurumsal roller/öznitelikler kurumsal ICAM'ye kaydedildi- DoD Enterprise ICAM,uygulama sahiplerinin öznitelik eklemesine veya mevcut kurumsal öznitelikleri kullanmasına olanak tanıyan self servis öznitelik/rol kayıt hizmetine sahiptir- Ayrıcalıklı etkinlikler pam'ye tamamen geçirilir |
Microsoft Entra Connect Microsoft Entra Id kiracılarını geçerli dizin sistemlerindeki kullanıcı öznitelik verileriyle doldurmak için Microsoft Entra Connect ile karma kimlik oluşturun. - Microsoft Entra Connect Microsoft Entra uygulamaları Uygulamaları Microsoft Entra Id ile tümleştirin. Güvenlik gruplarını ve uygulama rollerini kullanarak uygulama yetkilendirme ve izin modelleri tasarlama. Uygulama yönetimine temsilci atamak için, uygulama yapılandırmasını yönetmek için sahipler atayın, ayrıca uygulama rollerini kaydedin ve atayın. - Uygulamaları Microsoft Entra ID- Dinamik güvenlik gruplarıyla tümleştirme Uygulamalar için uygulama rolleri Microsoft Entra Kimlik Yönetimi Kullanıcıların uygulama rollerine veya gruplarına- erişim isteyebilmesi için yetkilendirme yönetiminde erişim paketlerini yapılandırın. - Uygulamalara- erişimi yönetme Erişim paketi idaresini devretme Koşullu Erişim Microsoft Entra Id ile korunan uygulamalara ve hizmetlere dinamik yetkilendirme için Koşullu Erişim ilkelerini yapılandırın. Koşullu Erişim ilkelerinde, duyarlılık gibi uygulama nesnelerine atanan güvenlik özniteliği yetkilendirmesini kapsamak için özel güvenlik özniteliklerini ve uygulama filtrelerini kullanın. - Koşullu Erişim- Özel güvenlik öznitelikleri - Uygulamalar için filtre Ayrıcalıklı Kimlik Yönetimi Ayrıcalıklı rolleri ve grupları tanımlamak için PIM Bulma ve İçgörüler'i kullanın. Bulunan ayrıcalıkları yönetmek ve kullanıcı atamalarını kalıcıdan uyguna dönüştürmek için PIM'i kullanın. - PIM Bulma ve İçgörüler |
Target1.2.2 Kural Tabanlı Dinamik Erişim Pt1DoD Kuruluşları, ayrıcalıkları dinamik olarak etkinleştiren ve devre dışı bırakan temel kurallar oluşturmak için "Düzenli Kimlik Doğrulaması" etkinliğindeki kuralları kullanır. Yüksek riskli kullanıcı hesapları, Tam Zamanında erişim ve Yeterli Yönetim yöntemlerini kullanarak dinamik ayrıcalıklı erişime geçmek için PAM çözümünü kullanır. Sonuçlar: - Uygulamanın/hizmetin işlevlerine ve/veya verilerine erişim, uygun kurumsal özniteliklere sahip kullanıcılarla sınırlıdır- Tüm olası uygulamalar yönetici kullanıcılar için JIT/JEA izinlerini kullanır |
Microsoft Entra Id Kullanıcı özniteliklerine, rol atamalarına, risklere ve oturum ayrıntılarına göre uygulama erişimini sınırlamak için Microsoft Entra Id yetkilendirme ve idare özelliklerini kullanın. Bkz. 1.2.1'deki Microsoft kılavuzu. Ayrıcalıklı Kimlik Yönetimi Microsoft Entra ve Azure rolleri için PIM kullanın. PIM'i, Gruplar için PIM ile diğer Microsoft Entra ID uygulamalarına genişletin. - Microsoft Entra rolleri için PIM Azure rolleri - - IÇIN PIM Gruplar için PIM |
Advanced1.2.3 Kural Tabanlı Dinamik Erişim Pt2DoD Kuruluşları, dinamik erişim kararı alma için kuralların geliştirilmesini genişleterek risk hesaplaması yapar. Dinamik erişim için kullanılan çözümler, otomatik kural yönetimini sağlayan çapraz yapılı Machine Learning ve Yapay Zeka işlevleriyle tümleştirilir. Sonuçlar: - Bileşenler ve hizmetler, uygulamalara ve hizmetlere dinamik erişim sağlamak için kuralları tam olarak kullanır- Kural Tabanlı Dinamik Erişim için kullanılan teknoloji, AI/ML araçlarıyla tümleştirmeyi destekler |
Microsoft Entra Kimlik Koruması Microsoft Entra Kimlik Koruması kullanıcıları ve oturum açma riskini algılamak için makine öğrenmesi (ML) algoritmalarını kullanır. Dinamik erişim için, risk düzeyine bağlı olarak Koşullu Erişim ilkelerindeki risk koşullarını kullanın. - Microsoft Entra Kimlik Koruması Risk algılamaları- Risk tabanlı erişim ilkeleri Microsoft Defender XDR Microsoft Defender XDR, genişletilmiş bir algılama ve yanıt (XDR) çözümüdür. - Uç Nokta için Microsoft Defender ve Bulut için Microsoft Defender Uygulamaları dağıtın ve tümleştirmeleri yapılandırın. - Uç Nokta için Defender'Bulut için Defender Uygulamaları ile tümleştirme |
Advanced1.2.4 Kurumsal İdare rolleri ve izinleri Pt1DoD Kuruluşları, kalan kullanıcı ve grup özniteliklerini Kurumsal Kimlik, Kimlik Bilgisi ve Erişim Yönetimi (ICAM) çözümüne uygun şekilde bir araya ekler. Güncelleştirilmiş öznitelik kümesi, Kuruluşların kullanması için evrensel roller oluşturmak için kullanılır. Kimlik Sağlayıcısı (IdP) ve Kimlik, Kimlik Bilgileri ve Erişim Yönetimi (ICAM) çözümlerinin temel işlevleri, gelişmiş dayanıklılık ve performans sağlayan bulut hizmetlerine ve/veya ortamlara geçirilir. Sonuçlar: - Kurumsal ICAM ile birleştirilen bileşen özniteliği ve rol veri deposu- Bulut ve şirket içi uygulamalar tarafından bulut tabanlı kurumsal IdP kullanılabilir- Standartlaştırılmış rol ve izin kümesi oluşturulur ve özniteliklere hizalanır |
Microsoft Entra Id Microsoft Entra ID, çok bulutlu merkezi olarak yönetilen bir kimlik, kimlik bilgileri ve erişim yönetimi (ICAM) platformu ve kimlik sağlayıcısıdır (IdP). Dizindeki kullanıcı verilerini doldurmak için Microsoft Entra Connect ile karma kimlik oluşturun. - Microsoft Entra Id- Karma kimlik Microsoft Entra uygulamaları Uygulamaları Microsoft Entra Id ile tümleştirin ve uygulamalara erişimi yönetmek için dinamik güvenlik gruplarını, uygulama rollerini ve özel güvenlik özniteliklerini kullanın. - Uygulamaları - yönetme Uygulama erişimini yönet Microsoft Entra uygulama ara sunucusu Eski kimlik doğrulama protokollerini kullanan uygulamalar için Microsoft Entra Id kullanmak için, uygulama ara sunucusunu dağıtın ve yapılandırın ya da güvenli karma erişim (SHA) iş ortağı çözümlerini tümleştirin. - SHA: Eski uygulamaları koruma |
Advanced1.2.5 Kurumsal İdare rolleri ve izinleri Pt2DoD Kuruluşları, Kimlik Sağlayıcısı (IdP) ve Kimlik, Kimlik Bilgisi ve Erişim Yönetimi (ICAM) çözümlerinin tüm olası işlevlerini bulut ortamlarına taşır. Kapanım/DDIL ortamları, bağlantısı kesilmiş işlevleri destekleyen yerel özelliklerdir, ancak sonuçta merkezi Kimlik, Kimlik Bilgisi ve Erişim Yönetimi (ICAM) çözümleri tarafından yönetilir. Güncelleştirilmiş roller artık kullanım için zorunlu kılındı ve özel durumlar risk tabanlı bir yaklaşımla gözden geçirildi. Sonuçlar: - Bileşenlerin çoğu bulut IdP işlevselliğini kullanır Mümkün olduğunda şirket içi IdP kullanımdan kaldırılıyor - İzinler ve roller öznitelikleri değerlendirirken kullanım için zorunlu kılınır |
Microsoft Entra uygulamaları Modern uygulamaları Active Directory Federasyon Hizmetleri (AD FS) 'dan (AD FS) Microsoft Entra Id'ye geçirin ve ardından AD FS altyapısının yetkisini alın. - AD FS'den Microsoft Entra Id'ye uygulama kimlik doğrulamasını geçirme Microsoft Entra uygulama sağlama Kalan ICAM ve uygulama sağlama işlemlerini şirket içi kimlik yönetim sistemlerinden Microsoft Entra Id'ye taşıyın. - API temelli gelen sağlama - Uygulama sağlama |
1.3 Çok faktörlü kimlik doğrulaması
Microsoft Entra Id, bulut ve karma (eşitlenmiş) kullanıcılar için başka bir IdP ile federasyon oluşturmadan DoD Ortak Erişim Kartları (CAC) ve Kişisel Kimlik Doğrulaması (PIV) dahil olmak üzere sertifika tabanlı kimlik doğrulamasını (CBA) destekler. Microsoft Entra ID; CBA, İş İçin Windows Hello, FIDO2 güvenlik anahtarları ve geçiş anahtarları gibi endüstri standardı çok faktörlü kimlik avına dayanıklı parolasız kimlik doğrulama yöntemlerini destekler.
Kimlik doğrulama gücünü zorlamak ve risk düzeyi dahil olmak üzere kullanıcı, cihaz ve ortam koşullarına göre erişimi dinamik olarak yetkilendirmek için Koşullu Erişim ilkeleri oluşturabilirsiniz.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.3.1 Kurumsal MFA/IDPDoD Kuruluşları merkezi bir Kimlik Sağlayıcısı (IdP) çözümü ve Multi-Factor (MFA) çözümü temin edip uygular. IdP ve MFA çözümü tek bir uygulamada birleştirilebilir veya otomatik tümleştirmenin her iki çözüm tarafından desteklendiği varsayıldığında gerektiğinde ayrılabilir. Hem IdP hem de MFA, Kurumsal PKI özelliğiyle tümleştirmeyi destekler ve anahtar çiftlerinin güvenilen kök sertifika yetkilileri tarafından imzalanması sağlanır. Görev/Görev Açısından Kritik uygulamalar ve hizmetler, kullanıcıların ve grupların yönetimi için IdP ve MFA çözümünü kullanır. Sonuçlar: - Bileşen kritik uygulamalar/hizmetler için MFA ile IdP kullanıyor- Bileşenler, DoD PKI çok faktörlü kimlik doğrulamasını etkinleştiren bir Kimlik Sağlayıcısı (IdP) uyguladı- Kritik hizmetler için Kurumsal Standartlaştırılmış PKI |
Microsoft Entra kimlik doğrulama yöntemleri DoD PKI kullanarak Microsoft Entra CBA'yı yapılandırın. Genel koruma düzeyini tek faktörlü kimlik doğrulaması olarak ayarlayın. DoD PKI'yı çok faktörlü kimlik doğrulama koruma düzeyi olarak tanımlamak için her DoD veren CA veya İlke OID için kurallar oluşturun. Yapılandırmadan sonra kullanıcılar DoD CAC ile Microsoft Entra'da oturum açar. - Microsoft Entra Id- Microsoft Entra CBA'da - kimlik doğrulaması CBA Aşamalı dağıtımı yapılandırma Şirket içi federasyon hizmetinden Microsoft Entra CBA'ya kullanıcı kimlik doğrulamasını geçirmek için aşamalı bir dağıtım kullanın. Bkz. 1.2.4'teki Microsoft kılavuzu. Microsoft Entra kimlik doğrulama gücü DoD CAC adlı yeni bir kimlik doğrulama gücü oluşturun. Sertifika tabanlı kimlik doğrulamasını (çok faktörlü) seçin. Gelişmiş seçenekleri yapılandırın ve DoD PKI için sertifika verenleri seçin. - Kimlik doğrulama gücü - Özel kimlik doğrulama güçlü yanları Microsoft Intune Microsoft Entra, mobil cihazda sertifikaları kullanmak için iki yöntemi destekler: türetilmiş kimlik bilgileri (cihaz içi sertifikalar) ve donanım güvenlik anahtarları. Yönetilen mobil cihazlarda DoD PKI türetilmiş kimlik bilgilerini kullanmak için DISA Purebred dağıtmak için Intune kullanın. - Türetilmiş kimlik bilgileri - iOS cihazlarda CBA - Android cihazlarda CBA |
Advanced1.3.2 Alternatif Esnek MFA Pt1DoD Kuruluşunun Kimlik Sağlayıcısı (IdP), Siber Güvenlik gereksinimlerine (örneğin, FIPS 140-2, FIPS 197 vb.) uygun alternatif çok faktörlü kimlik doğrulama yöntemlerini destekler. Uygulama tabanlı kimlik doğrulaması için alternatif belirteçler kullanılabilir. Multi-Factor seçenekleri Biyometrik özelliği destekler ve self servis bir yaklaşım kullanılarak yönetilebilir. Mümkün olan çok faktörlü sağlayıcıların şirket içinde barındırılmak yerine bulut hizmetlerine taşınması. Sonuçlar: - IdP, kullanıcı self servis alternatif belirteci sağlar- IdP, ilke başına onaylı uygulamalar için alternatif belirteç MFA'sı sağlar |
Microsoft Entra kimlik doğrulama yöntemleri Kullanıcıların geçiş anahtarlarını (FIDO2 güvenlik anahtarları) kaydetmesi için Microsoft Entra kimlik doğrulama yöntemlerini yapılandırın. FIPS 140-2 ile uyumlu anahtarlar için anahtar kısıtlama ilkesi yapılandırmak için isteğe bağlı ayarları kullanın. - Parolasız güvenlik anahtarıyla oturum açma - Kimlik doğrulama yöntemleri Geçici erişim geçişi Kullanıcıların CAC olmadan alternatif parolasız kimlik doğrulayıcıları kaydetmesi için geçici erişim geçişi (TAP) yapılandırın. - TAP Koşullu Erişim'i yapılandırma Kimlik doğrulaması gücü gerektirecek bir Koşullu Erişim ilkesi oluşturun: Güvenlik bilgileri kaydı için DoD CAC. İlke, CAC'nin FIDO2 güvenlik anahtarları gibi diğer kimlik doğrulayıcıları kaydetmesini gerektirir. - Güvenlik bilgileri kaydı Bkz. 1.3.1'deki Microsoft kılavuzu. İş İçin Windows Hello Windows oturum açma için PIN veya biyometrik hareketle İş İçin Windows Hello kullanın. Kuruluş tarafından sağlanan Windows cihazları için İş İçin Windows Hello kaydı için cihaz yönetimi ilkelerini kullanın. - İş İçin Windows Hello |
Advanced1.3.3 Alternatif Esnek MFA Pt2Alternatif belirteçler, erişim kararlarına yardımcı olmak için "Kullanıcı Etkinliği İzleme (UAM) ve Kullanıcı ve Varlık Davranışı Analizi (UEBA)" gibi çapraz sütun etkinliklerinden kullanıcı etkinlik desenlerini kullanır (ör. desen sapması gerçekleştiğinde erişim izni vermez). Bu işlev Biyometrik özellikli alternatif belirteçlere de genişletilir. Sonuç: - Uygulanan Kullanıcı Etkinlik Desenleri |
Microsoft Entra Kimlik Koruması Microsoft Entra Kimlik Koruması riskli kullanıcıları ve oturum açma olaylarını algılamak için makine öğrenmesi (ML) ve tehdit zekası kullanır. Koşullu Erişim ilkelerini risk düzeylerine hedeflemek için oturum açma ve kullanıcı risk koşullarını kullanın. Riskli oturum açma işlemleri için MFA gerektiren temel koruma ile başlayın. - Microsoft Entra Kimlik Koruması - Kimlik Koruması Koşullu Erişimi Dağıtma Risk arttıkça daha güçlü koruma gerektirmek için verme ve oturum denetimleri kullanan bir dizi risk tabanlı Koşullu Erişim ilkesi oluşturun. - Risk ilkelerini yapılandırma ve etkinleştirme - Koşullu Erişim: Oturum - Koşullu erişim: İzin ver Risk tabanlı Koşullu Erişim ilkesi örnekleri: Orta düzeyde oturum açma riski - Kimlik doğrulaması gücü gerektir: kimlik avına dayanıklı MFA - Uyumlu cihaz gerektir - Oturum açma sıklığı: 1 saat Yüksek oturum açma riski - Kimlik doğrulaması gücü gerektir: kimlik avına dayanıklı MFA - Uyumlu cihaz gerektir - Oturum açma sıklığı: her seferinde Yüksek kullanıcı riski - Kimlik doğrulaması gücü gerektir: kimlik avına dayanıklı MFA - Uyumlu cihaz gerektir - Oturum açma sıklığı: Microsoft Sentinel , kullanıcı riski yüksek olduğunda Entra ID Protection uyarılarına yönelik bir olay oluşturmak üzere bir Sentinel analiz kuralı ve playbook'u her yapılandırdığında. - Sentinel için Microsoft Entra Kimlik Koruması bağlayıcısı - User:revokeSignInSessions |
1.4 Ayrıcalıklı erişim yönetimi
Microsoft Entra Kimlik Yönetimi tam zamanında (JIT) yönetim, yetkilendirme yönetimi ve düzenli erişim gözden geçirmeleri gibi PAM özelliklerini etkinleştirir. Microsoft Entra Privileged Identity Management (PIM), kuruluşunuzda rollerin nasıl atanıldığını keşfetmenize yardımcı olur. PiM kullanarak kalıcı rol atamalarını dönüştürün JIT, rol ataması ve etkinleştirme gereksinimlerini özelleştirin, ayrıca erişim gözden geçirmelerini zamanlayın.
Koşullu Erişim, ayrıcalıklı erişim için kimlik doğrulama gücünü, risk düzeyini ve uyumlu Privileged Access workstation (PAW) cihazını zorlar. Microsoft Entra Kimliği'ndeki yönetim eylemleri, Microsoft Entra denetim günlüklerine kaydedilir.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.4.1 Sistem Uygulama ve Ayrıcalıklı Kullanıcıları Geçirme Pt1DoD Kuruluşları, tüm kritik ayrıcalıklı kullanım örneklerini desteklemek için bir Privileged Access Management (PAM) çözümü temin edip uygular. PAM çözümü için desteğin durumunu belirlemek için Uygulama/Hizmet tümleştirme noktaları tanımlanır. PAM çözümüyle kolayca tümleşen uygulamalar/hizmetler, statik ve doğrudan ayrıcalıklı izinler yerine çözümü kullanmaya geçirilir. Sonuçlar: - Privilege Access Management (PAM) araçları uygulanır - Tanımlanan PAM araçlarını destekleyen ve desteklemeyen uygulamalar ve cihazlar - PAM'yi destekleyen uygulamalar, artık acil durum/yerleşik hesapları denetlemek için PAM kullanıyor |
Privileged Identity Management Microsoft Entra Id ve Azure rollerini korumak için PIM'i dağıtın. Ayrıcalıklı rolleri ve grupları belirlemek için PIM Bulma ve İçgörüler'i kullanın. Bulunan ayrıcalıkları yönetmek ve kullanıcı atamalarını kalıcıdan uyguna dönüştürmek için PIM'i kullanın. - PIM'e genel bakış - Roller için bulma ve içgörüler - Azure kaynakları Microsoft Intune Microsoft Entra, Microsoft 365 ve Azure yönetimi için Intune tarafından yönetilen PAW'ı dağıtın. - Ayrıcalıklı erişim stratejisi Koşullu Erişim Uyumlu cihazlar gerektirmek için Koşullu Erişim ilkesini kullanın. PAW'ı zorunlu kılmak için Koşullu Erişim uyumlu cihaz verme denetimindeki cihaz filtrelerini kullanın. - Cihazlar için filtreler |
Target1.4.2 Sistem Uygulama ve Ayrıcalıklı Kullanıcıları Geçirme Pt2DoD Kuruluşları, tümleştirmeleri genişletmek için ayrıcalıklı erişim yönetimi (PAM) çözümüyle tümleştirme için desteklenen ve desteklenmeyen Uygulamalar/Hizmetler envanterini kullanır. PAM, PAM çözüm kapsamını en üst düzeye çıkarmak için daha zorlu Uygulamalar/Hizmetler ile tümleşiktir. Özel durumlar, PAM çözümlerini desteklemeyen Uygulamaları/Hizmetleri kapatma ve/veya kullanımdan kaldırma hedefiyle risk tabanlı yöntemsel bir yaklaşımla yönetilir. Sonuç: - Ayrıcalıklı etkinlikler PAM'ye geçirilir ve erişim tamamen yönetilir |
Ayrıcalıklı Kimlik Yönetimi Tam zamanında (JIT) erişimi Microsoft Entra Kimliği ve Azure'ın ötesine genişletmek için Gruplar için ayrıcalık erişim gruplarını ve PIM'i kullanın. Microsoft 365, Microsoft Defender XDR'deki güvenlik gruplarını kullanın veya Microsoft Entra ID ile tümleşik Microsoft dışı uygulamalar için ayrıcalıklı rol taleplerine eşlendi. - Rol atanabilir gruplar - Grupları PIM'e getirme - Uygulamaya kullanıcı ve grup atamaları Koşullu Erişim Yöneticiler Microsoft Entra Id'de yüksek ayrıcalıklı izinler gerektiren eylemler gerçekleştirdiğinde başka bir koruma katmanı eklemek için korumalı eylemleri kullanın. Örneğin, Koşullu Erişim ilkelerini ve kiracılar arası erişim ayarlarını yönetin. - Korumalı eylemler Etkin Microsoft Entra rol üyeliği olan kullanıcılar için bir Koşullu Erişim ilkesi oluşturun. Kimlik doğrulaması gücü gerektir: Kimlik avına dayanıklı MFA ve uyumlu cihaz. Uyumlu PAW'lar gerektirmek için cihaz filtrelerini kullanın. - Yöneticiler için MFA gerektir - Cihazlar için filtre uygulama |
Advanced1.4.3 Gerçek Zamanlı Onaylar & JIT/JEA Analytics Pt1Gerekli özniteliklerin (Kullanıcılar, Gruplar vb.) tanımlanması otomatikleştirilir ve Privileged Access Management (PAM) çözümüyle tümleştirilir. Ayrıcalık erişim istekleri, otomatik onaylar ve reddetmeler için PAM çözümüne geçirilir. Sonuçlar: - Tanımlanan hesaplar, uygulamalar, cihazlar ve endişe duyulan veriler (DoD görevi için en büyük risk) - PAM araçlarını kullanarak yüksek riskli hesaplara JIT/JEA erişimi uygulandı - Ayrıcalıklı erişim istekleri uygun şekilde otomatikleştirilmiştir |
Ayrıcalıklı Kimlik Yönetimi Microsoft Entra rolleri, Sahip ve Kullanıcı Erişimi Yöneticisi gibi Azure rolleri ve ayrıca ayrıcalıklı güvenlik grupları gibi ortamınızdaki yüksek riskli rolleri belirleyin. - Roller için en iyi yöntemler - Ayrıcalıklı roller PIM rol ayarlarını onay gerektirecek şekilde yapılandırın. - Azure kaynak rolü ayarları - Microsoft Entra rol ayarları - Gruplar için PIM ayarları Microsoft Entra Kimlik Yönetimi Rol uygunluğu için güvenlik gruplarını yönetmek için erişim paketlerini kullanın. Bu mekanizma uygun yöneticileri yönetir; rol uygunluğu için self servis istekleri, onaylar ve erişim gözden geçirmeleri ekler. - Yetkilendirme yönetimi Uygunluk isteklerini ve onaylarını yapılandırmak için ayrıcalıklı roller için rol atanabilir gruplar oluşturun. Privileged Role Uygun Yöneticiler adlı bir katalog oluşturun. Rol atanabilir grupları kaynak olarak ekleyin. - Rol atanabilir gruplar - Kaynak katalogları oluşturma ve yönetme Ayrıcalıklı Rol Uygun Yöneticiler kataloğunda rol atanabilir gruplar için erişim paketleri oluşturun. Kullanıcılar yetkilendirme yönetiminde uygunluk istediğinde, PIM'de etkinleştirmeden sonra onay gerektirdiğinde veya her ikisinde de onay isteyebilirsiniz. - Erişim paketleri |
Advanced1.4.4 Gerçek Zamanlı Onaylar & JIT/JEA Analytics Pt2DoD Kuruluşları, Kullanıcı ve Varlık Davranış Analizi (UEBA) ve Kullanıcı Etkinliği İzleme (UAM) çözümlerini Privileged Access Management (PAM) çözümüyle tümleştirerek karar alma için kullanıcı desen analizi sağlar. Sonuç: - JIT/JEA hesabı onayları için PAM araçlarıyla tümleştirilmiş UEBA veya benzer analiz sistemi |
Koşullu Erişim Ayrıcalıklı erişim için bir kimlik doğrulama bağlamı tanımlayın. Ayrıcalıklı erişim kimlik doğrulaması bağlamını hedefleyen bir veya daha fazla Koşullu Erişim ilkesi oluşturun. İlkedeki risk koşullarını kullanın ve ayrıcalıklı erişim için izin ve oturum denetimleri uygulayın. Kimlik doğrulaması gücü gerektirmenizi öneririz: kimlik avına dayanıklı MFA, uyumlu ayrıcalıklı erişim iş istasyonu. - Kimlik doğrulama bağlamı yapılandırma Bkz. 1.4.1'deki Microsoft kılavuzu. Oturum açma riski yüksek olduğunda ayrıcalıklı erişimi engellemek için, yüksek oturum açma riski koşuluyla ayrıcalıklı erişim kimlik doğrulaması bağlamı hedefleyen daha fazla Koşullu Erişim ilkesi oluşturun. Bu adımı yüksek kullanıcı riski için bir ilkeyle yineleyin. - İlke dağıtımı Privileged Identity Management PIM rol ayarlarını kimlik doğrulama bağlamı gerektirecek şekilde yapılandırın. Bu ayar, rol etkinleştirmesi üzerine seçilen kimlik doğrulama bağlamı için Koşullu Erişim ilkelerini zorunlu kılar. - Kimlik doğrulaması bağlamı gerektir |
1.5 Kimlik federasyonu ve kullanıcı kimlik bilgileri
Microsoft Entra Id, kimlik yaşam döngüsü yönetiminde (ILM) önemli bir rol oynar. Microsoft Entra kiracısı hiper ölçek bulut dizin hizmeti, kimlik, kimlik bilgileri ve erişim yönetimi (ICAM) çözümü ve kimlik sağlayıcısıdır (IdP). Microsoft Entra Id ve diğer uygulamalarda iç kullanıcıların yaşam döngüsünü yönetmek için dizinler arası sağlamayı ve uygulama sağlamayı destekler.
Microsoft Entra Kimlik Yönetimi özellikler uygulamalar, Microsoft Teams ve güvenlik grubu üyeliği gibi yetkilendirmeler için erişim yaşam döngüsünü yönetmenize yardımcı olur. Yetkilendirme yönetimi, dış konukları eklemek ve idare etmek için de kullanılabilir. Son erişim paketi kaldırıldığında konuk kullanıcı nesnelerini engelleyebilir ve kaldırabilirsiniz. Kuruluşunuzun ILM işlevlerini Microsoft Entra ID'ye nasıl geçirebileceğini anlamak için bkz . Buluta giden yol.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.5.1 Kurumsal Kimlik Yaşam Döngüsü YönetimiDoD Kuruluşları, kullanıcıların hem ayrıcalıklı hem de standart yaşam döngüsü yönetimi için bir süreç oluşturur. Kuruluş Kimlik Sağlayıcısı 'nı (IdP) kullanarak işlem uygulanır ve en fazla kullanıcı sayısı takip edilir. Standart sürecin dışında kalan tüm kullanıcılar, yetki alma için düzenli olarak değerlendirilecek risk tabanlı özel durumlar aracılığıyla onaylanmıştır. Sonuç: - Standartlaştırılmış Kimlik Yaşam Döngüsü İşlemi |
Microsoft Entra IDKullanıcılar, yöneticiler, dış kullanıcılar ve uygulama kimlikleri (Hizmet Sorumluları) dahil olmak üzere kimlikler için hesap yaşam döngüsünü standartlaştırabilirsiniz. - Kimlik yaşam döngüsü yönetimi - Kimlik ve erişim yönetimi işlemleri Microsoft Entra Kimlik Yönetimi Kiracıdaki ayrıcalıklı kullanıcılar ve uygulamalar için düzenli erişim gözden geçirmeleri oluşturun. - Erişim gözden geçirmeleri |
Target1.5.2 Kurumsal Kimlik Yaşam Döngüsü Yönetimi Pt1DoD Enterprise, Mevcut Kimlik Yaşam Döngüsü İşlemlerini, ilkesini ve standartlarını gözden geçirmek ve uyumlu hale getirmek için Kuruluşlarla birlikte çalışır. İlke ve destekleyici süreç üzerinde kesinleşmiş bir anlaşma geliştirilir ve DoD Kuruluşları tarafından takip edilir. Merkezi veya federasyon Kimlik Sağlayıcısı (IdP) ve Kimlik ve Erişim Yönetimi (IdAM) çözümlerini kullanan DoD Kuruluşları, en fazla kimlik, grup ve izin sayısı için Kurumsal Yaşam Döngüsü Yönetimi sürecini uygular. İlkedeki özel durumlar risk tabanlı yöntemsel bir yaklaşımla yönetilir. Sonuçlar: - Otomatik Kimlik Yaşam Döngüsü İşlemleri - Kurumsal ICAM süreci ve araçlarıyla tümleştirilmiş |
Microsoft Entra Id Kuruluşunuz Active Directory kullanıyorsa, Microsoft Entra Connect Sync veya Microsoft Entra Connect Cloud Sync ile kullanıcıları Microsoft Entra Id ile eşitleyin. Not: Eşitlenmiş hesaplara ayrıcalıklı Active Directory hesaplarını eşitlemeyin veya ayrıcalıklı bulut rolleri atayın. - Sync - Cloud Sync'i - bağlama Microsoft 365'i şirket içi saldırılara- karşı koruma Saldırı yüzeyi alanını azaltma Privileged Identity Management PIM ile yönetim erişimini yönetin. Ayrıcalıklı Microsoft Entra ve Azure rolleri için erişim gözden geçirme temposu oluşturun. - Ayrıcalıklı hesaplar Microsoft Entra kimlik doğrulama yöntemleri Bulut tabanlı kimlik avına dayanıklı MFA yöntemlerini kullanın. Diğer parolasız kimlik bilgilerini kaydetmek için DoD Ortak Erişim Kartları (CAC) ile Microsoft Entra sertifika tabanlı kimlik doğrulamasını (CBA) ayarlayın. Bkz. 1.3.2'deki Microsoft kılavuzu. |
Advanced1.5.3 Kurumsal Kimlik Yaşam Döngüsü Yönetimi Pt2DoD Kuruluşları, Kurumsal otomasyonu ve analizi etkinleştirmek için Kurumsal Yaşam Döngüsü Yönetimi işleminin ardından Kimlik Sağlayıcısı (IdP) ve Kimlik, Kimlik Bilgileri ve Erişim Yönetimi (ICAM) çözümlerinin kritik otomasyon işlevlerini daha da tümleştirir. Kimlik Yaşam Döngüsü Yönetimi birincil süreçleri bulut tabanlı Kurumsal ICAM çözümüyle tümleşiktir. Sonuçlar: - Kritik IDM/IDP işlevleriyle tümleştirme- Birincil ILM işlevleri bulut tabanlıdır |
Microsoft Entra Kimlik Yönetimi Kuruluşunuzun kullanıcı erişim yaşam döngülerini ve dış konuk kimliği yaşam döngülerini yönetmek için yetkilendirme yönetimi ve erişim gözden geçirmelerini kullanın. - Yetkilendirme yönetimi- Dış kullanıcı erişimi idaresi Yönetilen kimlikler Uygulama kimlik bilgilerini yönetme riskini azaltmak için Azure kaynakları ve İş Yükü Kimliği federasyon için yönetilen kimlikleri kullanın. - Yönetilen kimlikler- İş yükü kimliği federasyonu Uygulama yönetimi ilkesi Kiracınızdaki uygulamalara eklenen kimlik bilgisi türlerini denetlemek için uygulama yönetimi ilkelerini yapılandırın. Uygulamalar için sertifika kimlik bilgilerini istemek için passwordAddition kısıtlamasını kullanın. - Uygulama yöntemleri API'sinde - uygulama kimlik doğrulaması sertifikası kimlik bilgileri |
Advanced1.5.4 Kurumsal Kimlik Yaşam Döngüsü Yönetimi Pt3DoD Kuruluşları, kalan Kimlik Yaşam Döngüsü Yönetimi işlemlerini Kurumsal Kimlik, Kimlik Bilgisi ve Erişim Yönetimi çözümüyle tümleştirir. Bulut ortamına yönelik yerel bağlayıcıları kullanarak Enterprise ICAM ile tümleştirme yetkisine sahip olan enclave/DDIL ortamları. Sonuçlar: - Tüm ILM işlevleri uygun şekilde buluta taşındı- Tüm IDM/IDP işlevleriyle tümleştirme |
Microsoft Entra uygulaması sağlama Kimlikleri SCIM, SQL, LDAP, PowerShell ve web hizmetleri uygulamalarıyla eşitlemek için Microsoft Entra uygulaması sağlamayı kullanın. Kullanıcıları farklı Active Directory örneklerine sağlamak için API temelli uygulamayı kullanın. - Uygulama - sağlama Şirket içi uygulama sağlama - API temelli sağlama uygulamasını yapılandırma |
1.6 Davranışsal, bağlamsal kimlik ve biyometri
Microsoft Entra Kimlik Koruması makine öğrenmesi (ML) ve tehdit zekası kullanarak kimlik tehditlerini algılamanıza, düzeltmenize ve önlemenize yardımcı olur. Bu özellik, kullanıcı oturum açma sırasında gerçek zamanlı riskleri ve zaman içinde hesaplanan çevrimdışı riskleri algılar. Riskler arasında belirteç anomalileri, olağan dışı oturum açma özellikleri, imkansız seyahat, şüpheli kullanıcı davranışı ve daha fazlası yer alır.
Kimlik koruması, Microsoft Defender ürün ailesindeki diğer bileşenler tarafından algılanan kimlik risklerini göstermek için Microsoft Defender XDR ile tümleşiktir.
Daha fazla bilgi edinmek için bkz. Risk algılamaları nedir?
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.6.1 Kullanıcı ve Varlık Davranış AnaliziUygulama(UEBA) ve Kullanıcı Etkinliği İzleme (UAM) aracı DoD Kuruluşları, Kullanıcı ve Varlık Davranış Analizi (UEBA) ve Kullanıcı Etkinliği İzleme (UAM) çözümleri temin eder ve uygular. Enterprise IdP ile ilk tümleştirme noktası tamamlanarak karar alma sürecinde gelecekte kullanıma olanak sağlanır. Sonuç: - Kurumsal IDP için UEBA ve UAM işlevselliği uygulanır |
Microsoft Entra Kimlik Koruması Deploy, kullanıcılar ve oturum açma etkinlikleri için gerçek zamanlı ve çevrimdışı risk gözaltıları almak için Microsoft Entra Kimlik Koruması. Microsoft Entra İş Yükü Kimliği İş Yükü Kimlikleri Premium sürümünü kullanarak kimlik risk algılamalarını uygulama kimliklerine (Hizmet Sorumluları) genişletin. - İş yükü kimliklerinin güvenliğini sağlama İş yükü kimlikleri - için risk tabanlı ilke Bkz. 1.3.3'teki Microsoft kılavuzu. Bulut için Microsoft Defender Uygulamaları Bulut için Defender Uygulamaları dağıtın ve Uç Nokta için Microsoft Defender ve dış çözümlerle tümleştirmeleri yapılandırın. Bulut için Defender Uygulamalarında anomali algılama ilkelerini yapılandırın. - Uç Nokta için Defender'ı Bulut için Defender Uygulamaları- Dış çözüm tümleştirmeleriyle - tümleştirme Uç nokta için Defender'a UEBA Uç Nokta için Microsoft Defender Onboard uç noktalarıyla şüpheli kullanıcı etkinliğini algılama. Uç Nokta için Defender ile Microsoft Intune arasındaki tümleştirmeleri yapılandırın. - Uç Nokta için Defender ve diğer çözümler Microsoft Intune Uç Nokta için Defender ile tümleştirmeleri yapılandırın ve cihaz uyumluluk ilkenizde Uç Nokta için Defender makine risk puanını kullanın. - Uç Nokta için Defender kuralları Koşullu Erişim Uyumlu cihazlar gerektirmek için Koşullu Erişim ilkeleri oluşturun. Erişim verilmeden önce denetim, Microsoft Intune'da uyumlu olarak işaretlenmiş bir cihaz gerektirir. Uç Nokta için Defender ile Intune arasındaki tümleştirme, uyumluluk durumuna bağlı olarak cihaz durumunun ve risk düzeyinin genel bir resmini sağlar. - Inune tarafından yönetilen cihazlar için kurallar ayarlamak için uyumluluk ilkeleri Microsoft Sentinel Veri kaynaklarını Sentinel'e bağlayın ve denetim günlükleri, oturum açma günlükleri, Azure etkinliği ve güvenlik olayları için UEBA'yı etkinleştirin. - UEBA ile UEBA - Gelişmiş tehditlerini etkinleştirme |
Advanced1.6.2 Kullanıcı Etkinliği İzleme Pt1DoD Kuruluşları, gerektiğinde genişletilmiş görünürlük için Kullanıcı ve Varlık Davranışı Analizi (UEBA) ve Kullanıcı Etkinliği İzleme (UAM) çözümlerini Kuruluş Kimliği Sağlayıcıları (IdP) ile tümleştirir. Kritik uygulamalar ve hizmetler için UEBA ve UAM tarafından oluşturulan analiz ve veriler, karar alma sürecini daha da geliştiren Tam Zamanında ve Yeterli Erişim çözümüyle tümleştirilir. Sonuçlar: - UEBA, kuruluş IP'leriyle uygun şekilde tümleştirilir- UEBA, kritik hizmetler için JIT/JEA ile tümleşiktir |
Ayrıcalıklı Kimlik Yönetimi PIM dağıtma ve ayrıcalıklı roller ekleme. Ayrıcalıklı erişim için kimlik doğrulama bağlamı tanımlayın. Kimlik doğrulama bağlamında risk koşullarını kullanın ve etkinleştirme sonrasında kimlik doğrulaması bağlamı gerektirecek şekilde PIM rol ayarlarını yapılandırın. Bkz. 1.4.4'teki Microsoft kılavuzu. Microsoft Sentinel Veri kaynaklarını Sentinel'e bağlayın ve denetim günlükleri, oturum açma günlükleri, Azure etkinliği ve güvenlik olayları için UEBA'yı etkinleştirin. - UEBA ile UEBA - Gelişmiş tehditlerini etkinleştirin Bulut için Microsoft Defender Uygulamalar Bulut için Defender Uygulamaları ile bulut uygulamalarına yönelik oturumları izleyin ve kontrol edin. - Uygulama Denetimi - Oturum ilkeleriyle - uygulamaları koruma Riskli kullanıcıları araştırma |
Advanced1.6.3 Kullanıcı Etkinliği İzleme Pt2DoD Kuruluşları, Tam Zamanında ve Yeterli Erişim çözümünde karar alma sırasında tüm izlenen uygulamalar ve hizmetler için oluşturulan verileri kullanarak Kullanıcı ve Varlık Davranışı Analizi (UEBA) ve Kullanıcı Etkinliği İzleme (UAM) çözümlerinden analiz kullanımına devam eder. Sonuç: - UEBA/Varlık İzleme tüm hizmetler için JIT/JEA ile tümleştirilmiştir |
Ayrıcalıklı Kimlik Yönetimi Uygulama rollerini kullanarak uygulamalara tam zamanında (JIT) erişimi genişletmek için Gruplar için PIM kullanın. PiM tarafından yönetilen grupları ayrıcalıklı uygulama rollerine atayın. - Gruplar - için PIM Uygulamaya uygulama rolleri ekleme |
1.7 En az ayrıcalıklı erişim
Microsoft Entra Id kullanarak uygulamalara erişim varsayılan olarak reddet'tir. Yetkilendirme yönetimi ve erişim gözden geçirmeleri gibi Microsoft Entra Kimlik Yönetimi özellikler, erişimin zamana bağlı olduğundan, en az ayrıcalık ilkesine uygun olduğundan ve görev ayrımı için denetimleri zorunlu kılmasını sağlar.
Göreve göre en az ayrıcalık izinleri atamak için Microsoft Entra yerleşik rollerini kullanın. Yönetim Birimleri, Microsoft Entra ID kullanıcıları ve cihazları için kaynak tabanlı izinlerin kapsamını belirlemenizi sağlar.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.7.1 Varsayılan İlkeyleKullanıcıyı ReddetDoD Kuruluşları, izinler için iç kullanıcı ve grup kullanımını denetler ve mümkün olduğunda izinleri iptal eder. Bu etkinlik, fazla izinlerin iptalini ve/veya kullanımdan kaldırmayı ve uygulama/hizmet tabanlı kimlikler ve gruplara erişimi içerir. Olası statik ayrıcalıklı kullanıcıların kullanımdan kaldırıldığı veya gelecekteki kural/dinamik tabanlı erişim için hazırlanan izinlerin azaltıldığı durumlar. Sonuçlar: - Erişim için belirli roller/öznitelikler gerektiren işlevler/veriler için varsayılan olarak reddedecek şekilde güncelleştirilen uygulamalar- Azaltılmış varsayılan izin düzeyleri uygulanır - Uygulamalar/hizmetler tüm ayrıcalıklı kullanıcıları gözden geçirdi/denetledi ve bu erişim düzeyine ihtiyacı olmayan kullanıcıları kaldırdı |
Microsoft Entra Id Microsoft Entra Id'de varsayılan kullanıcı ve konuk izinlerini gözden geçirin ve kısıtlayın. Uygulamalar için kullanıcı onayını kısıtlayın ve kuruluşunuzdaki geçerli onayı gözden geçirin. - Varsayılan kullanıcı izinleri - Kullanıcı onayı izinlerini kısıtla Microsoft Entra uygulamaları Microsoft Entra uygulamalarına erişim varsayılan olarak reddedilir. Microsoft Entra Id, yetkilendirmeleri doğrular ve kaynak erişimini yetkilendirmek için Koşullu Erişim ilkeleri uygular. - Uygulamaları - tümleştirme Uygulama tümleştirmesi Microsoft Entra Kimlik Yönetimi Kimlik ve erişim yaşam döngülerini yönetmek için yetkilendirme yönetimi kimlik idaresi özelliğini kullanın. Otomatik erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu bulun. - Yetkilendirme yönetimi- Access, Özel rolleri gözden geçirin Kaynak yönetimi için Microsoft Entra ID yerleşik rollerini kullanın. Ancak, roller kuruluş gereksinimlerini karşılamıyorsa veya yönetici kullanıcılarınızın ayrıcalıklarını en aza indirmek için özel bir rol oluşturun. Kullanıcıları, grupları, cihazları, uygulamaları ve daha fazlasını yönetmek için özel rollere ayrıntılı izinler verin. - Özel roller Yönetim birimleri Yönetim birimi, kullanıcılar, gruplar veya cihazlar gibi diğer Microsoft Entra kaynaklarını içeren bir Microsoft Entra kaynağıdır. Yönetim birimlerini, kuruluş yapısına bağlı olarak yöneticilerin bir alt kümesine izin atamak için kullanın. - Yönetim birimleri- Kısıtlanmış yönetim yönetim birimleri - Yönetim birimlerini oluşturma veya silme Privileged Identity Mangement Ayrıcalıkları yönetmek ve yönetici sayısını azaltmak için PIM Bulma ve İçgörüler'i kullanın. PiM dışında ayrıcalıklı roller atandığında PIM uyarılarını yapılandırın. - Karma ve bulut- için ayrıcalıklı erişim Microsoft Entra rolleri - için güvenlik uyarıları Azure rolleri için güvenlik uyarıları Bulut için Microsoft Defender Uygulamalar Uygulamalara verilen izinleri gözden geçirme. Bulut için Defender Uygulamalarında riskli OAuth uygulamalarını araştırın. - Uygulamalara- verilen izinleri gözden geçirin Riskli OAuth uygulamalarını araştırın Microsoft Sentinel Sentinel erişimi için Azure rolleri atamak ve sorguları ve etkinlikleri düzenli aralıklarla denetlemek için PIM kullanın. - Sorguları ve etkinlikleri denetleme |
1.8 Sürekli kimlik doğrulaması
Microsoft Entra Id, Microsoft Entra'nın koruduğu uygulama ve hizmetlerde kullanıcıların kimliğini düzenli aralıklarla doğrulamak için kısa ve uzun ömürlü belirteçler kullanır. Microsoft Entra Id, standart protokolü geliştirmek için Sürekli erişim değerlendirme (CAE) mekanizmasına sahiptir. İlke altyapısı, çevre değişikliklerine neredeyse gerçek zamanlı olarak yanıt verir ve uyarlamalı erişim ilkelerini uygular.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.8.1 Tek Kimlik DoğrulamasıDoD Kuruluşları, oturum başına en az bir kez (örneğin oturum açma) kullanıcıların ve NPI'lerin kimliğini doğrulamak için temel kimlik doğrulama işlemlerini kullanır. Kimlik doğrulaması yapılan kullanıcılar, Uygulama/hizmet tabanlı kimlikler ve gruplar yerine Kuruluş Kimliği Sağlayıcısı (IdP) ile paralel "Kuruluş MFA/IDP" etkinliği tarafından yönetilir. Sonuç: - Oturum başına uygulamalar arasında uygulanan kimlik doğrulaması |
Microsoft Entra IdMicrosoft Entra ID, Microsoft bulut uygulamaları ve kuruluşunuzun kullandığı uygulamalar arasında çoklu oturum açmayı (SSO) kolaylaştıran merkezi bir kimlik sağlayıcısıdır (IdP). - Microsoft Entra Id Çoklu oturum açma Çoklu oturum açma (SSO) kimlik doğrulama yöntemi, kullanıcıların uygulamaların ve hizmetlerin kimliğini doğrulamak için Microsoft Entra Id kimlik bilgilerini kullanmasına olanak tanır. Uygulamalar SaaS, özel iş kolu uygulamaları veya şirket içi uygulamalar olabilir. Uygulamalara güvenli ve kolay erişim sağlamak için Microsoft Entra kimlik doğrulamasını ve Sıfır Güven özelliklerini kullanın. - SSO nedir? - Kimlik doğrulama protokolleri ile Microsoft Entra tümleştirmeleri Microsoft Entra uygulaması sağlama Microsoft Entra uygulaması sağlama, SaaS uygulamalarında ve özel veya şirket içi uygulamalarda kullanıcı, rol ve grupları oluşturur, güncelleştirir ve kaldırır. Uygulamalar için merkezi kimlik kaynağı olarak Microsoft Entra Id kullanın. Uygulama veya hizmet kimliklerini ve kullanıcılarını en aza indirin. - Otomatik sağlama - Microsoft Entra Id İş Yükü Hizmet Sorumluları ve yönetilen kimlikler, Microsoft Entra'daki kişi dışı varlık (NPE) kimlikleridir. Microsoft Entra tarafından korunan API'lere otomatik (etkileşimli olmayan) erişim için Hizmet Sorumlularını kullanın. - Microsoft Entra Id'de iş yükü kimlikleri - Hizmet Sorumluları |
Target1.8.2 Düzenli Kimlik DoğrulamasıDoD Kuruluşları, uygulamalar ve hizmetler için dönem kimlik doğrulaması gereksinimlerini etkinleştirir. Geleneksel olarak bunlar süre ve/veya süre zaman aşımına dayanır, ancak kullanıcı oturumlarının yeniden kimlik doğrulamasını zorunlu kılması için diğer dönem tabanlı analizler kullanılabilir. Sonuç: - Güvenlik özniteliklerine göre oturum başına birden çok kez uygulanan kimlik doğrulaması |
Microsoft Entra uygulamaları Microsoft Entra uygulamaları, kullanıcı etkileşimi olmadan oturum yenilemeyi otomatik olarak yönetir. Bkz. 1.8.1'deki Microsoft kılavuzu. Koşullu Erişim Kullanıcı oturumlarının kimliğini yeniden doğrulamak için Koşullu Erişim'de oturum açma sıklığı oturum denetimini yapılandırın. Oturum açma işlemleri riskli olduğunda veya kullanıcı cihazı yönetilmediğinde veya uyumsuz olduğunda bu özelliği kullanın. - Bulut için Defender Uygulamalarında kimlik doğrulama oturumu yönetimi - Erişim ilkelerini yapılandırma |
Advanced1.8.3 Sürekli Kimlik Doğrulaması Pt1DoD Kuruluşlarının uygulamaları/hizmeti, istenen güvenlik özniteliklerine ve erişime göre birden çok oturum kimlik doğrulaması kullanır. Ayrıcalık değişiklikleri ve ilişkisel işlem istekleri, kullanıcılara Multi-Factor Authentication (MFA) gönderimleri gibi ek kimlik doğrulaması düzeyleri gerektiriyor. Sonuç: - Güvenlik özniteliklerine göre oturum başına uygulanan işlem kimlik doğrulaması |
Sürekli erişim değerlendirmesi CAE, ilke ihlallerine daha zaman uyumlu bir yanıt elde etmek için zamana bağlı belirteç süre sonu ve yenileme mekanizmalarını geliştiren bir OpenID standardına dayanır. CAE, güvenilir bir ağ konumundan güvenilmeyen bir ağa geçen bir kullanıcı gibi kritik olaylara yanıt olarak yeni bir erişim belirteci gerektirir. İstemci uygulamaları ve arka uç hizmet API'leri ile CAE uygulayın. - Sürekli erişim değerlendirmesi - Kritik olay değerlendirmeleri Microsoft Graph API Office uygulaması Outlook Online API'sini ve SharePoint Online API'sini kullanan Microsoft Office uygulaması lications CAE'yi destekler. CAE özellikli API'lere erişmek için en son Microsoft Kimlik Doğrulama Kitaplıkları (MSAL) ile uygulama geliştirin. - Uygulamalarda Microsoft 365- için CAE CAE özellikli API'ler Koşullu Erişim Hassas SharePoint sitelerini, Microsoft Teams'i Bulut için Microsoft Defender Uygulamalar korumalı uygulamaları, PIM rol etkinleştirmesini ve özel uygulamaları korumak için Koşullu Erişim kimlik doğrulaması bağlamını tanımlayın ve kullanın. - Bulut için Defender Uygulamalarında- SharePoint siteleri için kimlik doğrulama bağlamı - İlkesi ve OneDrive- Oturumu ilkeleri PIM rolleri - için kimlik doğrulama bağlamı gerektirir Kimlik doğrulama bağlamı kılavuzu Yöneticiler içinde yüksek ayrıcalıklı izinler gerektiren eylemler gerçekleştirirken başka bir koruma katmanı eklemek için korumalı eylemleri kullanma Koşullu Erişim ilkelerini ve kiracılar arası erişim ayarlarını yönetme gibi Microsoft Entra Id. Güvenlik bilgilerini kaydetme ve cihazlara katılma gibi kullanıcı eylemlerini koruyun. - Korumalı eylemler- Hedef kaynak Privileged Identity Management PIM rol etkinleştirmesi için kimlik doğrulama bağlamı gerektirir. Bkz. 1.4.4'teki Microsoft kılavuzu. |
Advanced1.8.4 Sürekli Kimlik Doğrulaması Pt2DoD Kuruluşları, kullanıcı desenleri gibi tümleştirmeyi dahil etmek için işlem tabanlı kimlik doğrulaması kullanımına devam eder. Sonuç: - Kullanıcı desenleri de dahil olmak üzere güvenlik özniteliklerine göre oturum başına uygulanan işlem kimlik doğrulaması |
Microsoft Entra Kimlik Koruması Microsoft Entra Kimlik Koruması anormal, şüpheli veya riskli davranışı algıladığından, kullanıcı risk düzeyi artar. Risk koşullarını kullanarak Koşullu Erişim ilkeleri oluşturarak risk düzeyine sahip korumaları artırır. - Risk algılamaları Bkz. 1.3.3'te Microsoft kılavuzu. Sürekli erişim değerlendirmesi Risk düzeyi artışı kritik bir CAE olayıdır. CAE uygulayan hizmetler (örneğin Exchange Online API), istemcinin (Outlook) bir sonraki işlem için yeniden kimlik doğrulaması gerçekleştirmesini gerektirir. Microsoft Entra ID, Exchange Online erişimi için yeni bir erişim belirteci vermeden önce, artan risk düzeyine yönelik Koşullu Erişim ilkeleri karşılanmıştır. - Kritik olay değerlendirmesi |
1.9 Tümleşik ICAM platformu
Microsoft Entra ID, kullanıcı ve kişi olmayan varlıklar (NPE) için bir dış ortak anahtar altyapısı (PKI) tarafından verilen sertifikalarla sertifika kimlik doğrulamasını destekler. Microsoft Entra Id içindeki NPI'ler uygulama ve cihaz kimlikleridir. Microsoft Entra Dış Kimlik kiracılar arası erişim ayarları, DoD gibi çok kiracılı kuruluşların kiracılar arasında sorunsuz bir şekilde işbirliği yapmasına yardımcı olur.
| DoD Etkinlik Açıklaması ve Sonucu | Microsoft rehberliği ve önerileri |
|---|---|
Target1.9.1 Kurumsal PKI/IDP Pt1DoD Enterprise, Kuruluşlarla birlikte çalışarak Kurumsal Ortak Anahtar Altyapısı (PKI) ve Kimlik Sağlayıcısı (IdP) çözümlerini merkezi ve/veya federasyon şeklinde uygular. Kurumsal PKI çözümü, Kuruluşlar tarafından Ara CA'ları derlemek için güvenilebilen tek veya kurumsal düzeyde kök sertifika yetkilileri (CA) kullanır. Kimlik Sağlayıcısı çözümü, Kuruluşlar genelinde standart erişim düzeyine ve standartlaştırılmış öznitelik kümesine sahip tek bir çözüm veya federasyon Kuruluş IdP'leri kümesi olabilir. Kuruluşların IdP'leri ve PKI Sertifika Yetkilileri, Kurumsal IdP ve PKI çözümleriyle tümleşiktir. Sonuçlar: - Bileşenler tüm uygulamalar/hizmetler için MFA ile IdP kullanıyor- Kurumsal MFA/PKI ile tümleştirilmiş Kurumsal MFA/PKI - Tüm hizmetler için Kurumsal Standartlaştırılmış PKI |
Microsoft Entra ID kimlik doğrulama yöntemleriKullanıcı kimlik doğrulama yöntemlerini denetlemek için Microsoft Entra Id'de kimlik doğrulama yöntemleri ilkesini kullanın. - Microsoft Entra CBA Bkz. 1.3.1'deki Microsoft yönergeleri. Kimlik doğrulama gücüKaynaklara kullanıcı erişimini denetlemek için kimlik doğrulama gücünü kullanın. - Kimlik doğrulama gücü Microsoft Entra Dış Kimlik DoD Microsoft Entra ID kiracıları için kiracılar arası erişimi yapılandırın. Güvenilen DoD kiracılarından dış kimlikler için MFA ve uyumlu cihaz taleplerini kabul etmek için güven ayarlarını kullanın. - Kiracılar arası erişim Uygulama yönetimi ilkesi Kiracı uygulama yönetimi ilkesi, kiracıdaki uygulamalar için en iyi güvenlik uygulamalarını uygulamaya yönelik bir çerçevedir. Uygulama kimlik bilgilerini güvenilen bir PKI tarafından verilen sertifikalarla kısıtlamak için ilkeyi kullanın. Bir sertifika güven zinciri oluşturmak için, kurumsal PKI'nız için ara ve kök CA sertifikalarına yeni bir sertifika yetkilisi (CA) koleksiyonu ekleyin. - certificateBasedApplicationConfiguration kaynak türü Güvenilen CA'lar tarafından verilen sertifikaları gerektirecek bir uygulama yönetimi ilkesi oluşturmak için, parolayı reddetmeKullanıcılığı izin vermek ve trustedCertificateauthority gerektirmek için kısıtlamaları yapılandırın. Oluşturduğunuz güvenilen CA koleksiyon kimliğini belirtin. - Uygulama kimlik doğrulama yöntemleri API'si Microsoft Intune Intune, özel ve ortak anahtar şifreleme standartları (PKCS) sertifikalarını destekler. - PKCS sertifikaları |
Advanced1.9.2 Kurumsal PKI/IDP Pt2DoD Kuruluşları, görev/görev açısından kritik uygulamalar ve hizmetler için Kimlik Sağlayıcısı'nda (IdP) biyometrik desteği uygun şekilde etkinleştirir. Biyometrik işlevsellik, Kurumsal çözümlerden kuruluşa taşınır. Kuruluş Multi-Factor (MFA) ve Ortak Anahtar Altyapısı (PKI) uygun şekilde kullanımdan alınır ve Kuruluşa geçirilir. Sonuçlar: - Kritik Kurumsal Hizmetler Tümleşik w/ Biyometrik - Kurumsal MFA/PKI'yı kurumsal MFA/PKI yerine uygun şekilde kullanımdan kaldırma- Uygulanan Kurumsal Biyometrik İşlevler |
Microsoft Entra IDMicrosoft, Microsoft Entra ID kimlik doğrulamasıyla uyumlu çeşitli bileşenlerde biyometriyi destekler. Kimlik doğrulama yöntemleriMicrosoft Entra ID, iletişim durumu veya parmak izi kullanan donanım geçiş anahtarlarını (FIDO2 güvenlik anahtarları) destekler. - FIDO güvenlik anahtarları İş İçin Windows Hello İş İçin Windows Hello parmak izi ve yüz taraması gibi biyometrik hareketleri kullanır. - Kimlik koruma profili ayarları MacOS MacOS cihazlarının cihaza bağlı kimlik bilgileriyle oturum açmak için Touch ID gibi biyometrik ayarları vardır. - Apple cihazları için SSO eklentisi Microsoft Authenticator Mobile cihazları ve Authenticator, parolasız kimlik doğrulaması için dokunma ve yüz özelliğini kullanır. Kimlik doğrulaması desteği, Authenticator'da kimlik avına dayanıklı bir diğer kimlik doğrulama yöntemidir. - Authenticator - Parolasız oturum açma - Gelişmiş kimlik avına dayanıklı kimlik doğrulaması |
Advanced1.9.3 Kurumsal PKI/IDP Pt3DoD Kuruluşları kalan uygulamaları/hizmetleri Biyometrik işlevlerle tümleştirir. Alternatif Multi-Factor (MFA) belirteçleri kullanılabilir. Sonuç: - Tüm Kuruluş Hizmetleri Tümleştirmesi w/ Biyometrik |
Microsoft Entra Kimlik Doğrulama Doğrulanmış Kimlik kullanan merkezi olmayan kimlik senaryoları, kimlik bilgisi sunumunda yüz doğrulaması gerektirebilir. - Verfied ID - Yüz Denetimi |
Sonraki adımlar
DoD Sıfır Güven Stratejisi için Microsoft bulut hizmetlerini yapılandırın: