Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, yöneticilerin önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmak ve Koşullu Erişim'i kullanmak için karşılaması gereken önkoşullar açıklanmaktadır. Ayrıca, istemci platformlarını en iyi çoklu oturum açma (SSO) deneyimi için yapılandırmak için önerilen varsayılanlar açıklanır.
Önkoşullar
Önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmadan önce kuruluşunuzun önkoşulları karşılaması gerekir. Listelenen çeşitli kimlik ve kimlik doğrulama modelleri için gereksinimler farklıdır:
- Yalnızca bulut
- Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
- Geçiş kimlik doğrulaması (PTA) ile karma
- Federe
Aşağıdaki tabloda, belirtilen durumlar dışında tüm kimlik modelleri için geçerli olan önkoşul özellikleri ve yapılandırmaları ayrıntılı olarak açıklanır.
| Yapılandırma | Özel durumlar | Lisanslama |
|---|---|---|
| Parola karması eşitlemesini (PHS) yapılandırma. Sızdırılan kimlik bilgilerini algılamak ve risk tabanlı Koşullu Erişim için bunlar üzerinde işlem yapmak için bu özelliğin etkinleştirilmesi gerekir. Kuruluşunuzun federasyon kimlik doğrulaması kullanıp kullanmadığına bakılmaksızın bu yapılandırma gereklidir. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Kullanıcıların kuruluş ağınıza bağlı kuruluş cihazlarındayken otomatik olarak oturum açması için sorunsuz çoklu oturum açmayı etkinleştirin. | Yalnızca bulut ve federasyon | Microsoft 365 E3 veya E5 |
| ağ konumlarını yapılandırma. Microsoft Entra Kimlik Koruması bir risk puanı oluşturmak için tüm kullanılabilir oturum verilerini toplar ve analiz eder. Kuruluşunuzun ağınız için genel IP aralıklarını Konumlar adlı Microsoft Entra Kimliği yapılandırmasında belirtmenizi öneririz. Bu aralıklardan gelen trafiğe daha düşük bir risk puanı verilir ve kuruluş ortamı dışından gelen trafiğe daha yüksek bir risk puanı verilir. | Microsoft 365 E3 veya E5 | |
| Tüm kullanıcıları self servis parola sıfırlama (SSPR) ve çok faktörlü kimlik doğrulaması (MFA) için kaydedin. Bu adımı önceden gerçekleştirmenizi öneririz. Microsoft Entra ID Protection, ek güvenlik doğrulaması için Microsoft Entra çok faktörlü kimlik doğrulamasını kullanır. En iyi oturum açma deneyimi için cihazlarda Microsoft Authenticator uygulaması ve Microsoft Şirket Portalı uygulamasını kullanmanızı öneririz. Kullanıcılar bu uygulamaları cihaz platformları için uygulama mağazasından yükleyebilir. | Microsoft 365 E3 veya E5 | |
| Microsoft Entra karma katılım uygulamanızı planlayın. Koşullu Erişim, uygulamalara bağlanan cihazların etki alanına katılmış veya uyumlu olmasını sağlar. Windows bilgisayarlarda bu gereksinimi desteklemek için cihazın Microsoft Entra Id ile kaydedilmesi gerekir. Bu makalede otomatik cihaz kaydının nasıl yapılandırılacağı açıklanır. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Destek ekibinizi hazırlayın. MFA yapamayan kullanıcılar için bir plan yapın. Örneğin, bunları bir ilke dışlama grubuna ekleyin veya bunlar için yeni MFA bilgilerini kaydedin. Güvenliğe duyarlı özel durumlar oluşturursanız, kullanıcının isteği gerçekten yaptığını doğrulayın. Yöneticilerin kullanıcılar için onay konusunda yardımcı olmasını gerektirmek etkili bir adımdır. | Microsoft 365 E3 veya E5 | |
| Şirket içi Active Directoryiçin parola geri yazmayı yapılandırın. Parola geri yazma, Yüksek riskli hesap güvenliği ihlalleri algılandığında Microsoft Entra Id'nin kullanıcıların şirket içi parolalarını değiştirmesini zorunlu kılmasını sağlar. Microsoft Entra Connect'i kullanarak bu özelliği iki yoldan biriyle etkinleştirebilirsiniz: Microsoft Entra Connect kurulumunun isteğe bağlı özellikler ekranında Parola Geri Yazma'yı etkinleştirin veya Windows PowerShell aracılığıyla etkinleştirin. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Microsoft Entra parola korumasını yapılandırın. Microsoft Entra Password Protection bilinen zayıf parolaları ve bunların çeşitlerini algılar ve engeller ve kuruluşunuza özgü diğer zayıf terimleri de engelleyebilir. Varsayılan genel yasaklanmış parola listeleri, Bir Microsoft Entra kuruluşundaki tüm kullanıcılara otomatik olarak uygulanır. Özel yasaklanmış parola listesinde diğer girdileri tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanılmasını zorunlu kılmak için denetlenir. | Microsoft 365 E3 veya E5 | |
| Microsoft Entra Kimlik Koruması etkinleştirin. Microsoft Entra Kimlik Koruması kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılamanıza ve otomatik düzeltme ilkesini düşük, orta ve yüksek oturum açma riski ile kullanıcı riskine göre yapılandırmanıza olanak tanır. | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 | |
| Microsoft Entra Id için sürekli erişim değerlendirmesini etkinleştirin. Sürekli erişim değerlendirmesi etkin kullanıcı oturumlarını proaktif olarak sonlandırır ve kuruluş ilkesi değişikliklerini neredeyse gerçek zamanlı olarak uygular. | Microsoft 365 E3 veya E5 |
Önerilen istemci yapılandırmaları
Bu bölümde, en iyi SSO deneyimi için önerilen varsayılan platform istemci yapılandırmaları ve Koşullu Erişim için teknik önkoşullar açıklanmaktadır.
Windows cihazları
Azure, hem şirket içi hem de Microsoft Entra ID için mümkün olan en sorunsuz SSO deneyimini sağlamak üzere tasarlandığından Windows 11 veya Windows 10'u (sürüm 2004 veya üzeri) öneririz. Kuruluş tarafından verilen cihazlar aşağıdaki seçeneklerden biri kullanılarak yapılandırılmalıdır:
- Microsoft Entra Id'ye doğrudan katılın.
- Şirket içi Active Directory etki alanına bağlı cihazların, Microsoft Entra ID ile otomatik ve sessiz bir şekilde kayıt olmak üzere yapılandırılmasını sağlayın.
Kişisel (kendi cihazını getir veya BYOD) Windows cihazları için, kullanıcılar İş veya okul hesabı eklekullanabilir. Windows 11 veya Windows 10 cihazlarında Google Chrome kullanıcılarının, Microsoft Edge kullanıcıları ile aynı sorunsuz oturum açma deneyimini elde etmek için bir uzantı yüklemesi gerekir. Ayrıca, kuruluşunuzda etki alanına katılmış Windows 8 veya 8.1 cihazları varsa, Windows 10 olmayan bilgisayarlar için Microsoft Workplace Join'i yükleyebilirsiniz. Cihazları Microsoft Entra Id'ye kaydetmek için paketi indirin.
iOS cihazlar
Koşullu Erişim veya MFA ilkelerini dağıtmadan önce kullanıcı cihazlarına Microsoft Authenticator uygulamasını yüklemenizi öneririz. Bunu yapamazsanız, aşağıdaki senaryolarda uygulamayı yükleyin:
- Kullanıcılardan iş veya okul hesabı ekleyerek cihazlarını Microsoft Entra ID'ye kaydetmeleri istendiğinde.
- Kullanıcılar cihazlarını yönetime kaydetmek için Intune şirket portalı uygulamasını yüklediğinde.
İstek, yapılandırılan Koşullu Erişim ilkesine bağlıdır.
Android cihazlar
Koşullu Erişim ilkeleri dağıtılmadan önce veya belirli kimlik doğrulama girişimleri sırasında kullanıcıların Intune Şirket Portalı uygulamasını ve Microsoft Authenticator uygulamasını yüklemelerini öneririz. Uygulama yükleme işleminden sonra, yapılandırılan Koşullu Erişim ilkesine bağlı olarak kullanıcılardan Microsoft Entra ID'ye kaydolmaları veya cihazlarını Intune'a kaydetmeleri istenebilir.
Kuruluşa ait cihazların, Intune mobil cihaz yönetimi (MDM) ilkeleri ile posta hesabı yönetimine ve korunmasına izin verebilmesi için Android for Work veya Samsung Knox'u desteklemesini de öneririz.
Önerilen e-posta istemcileri
Aşağıdaki tabloda yer alan e-posta istemcileri modern kimlik doğrulamasını ve Koşullu Erişimi destekler:
| Platform | İstemci | Sürüm/Notlar |
|---|---|---|
| Windows | Outlook | 2016 veya üzeri Gerekli güncelleştirmeler |
| iOS | iOS için Outlook | Sonuncu |
| Android | Android için Outlook | Sonuncu |
| macOS | Outlook | 2016 veya üzeri |
| Linux | Desteklenmez |
Belgelerin güvenliğini sağlarken önerilen istemci platformları
Güvenli belge ilkesi uygulandığında aşağıdaki tabloda yer alan e-posta istemcilerini öneririz:
| Platform | Word/Excel/PowerPoint | OneNote | OneDrive uygulaması | SharePoint uygulaması | OneDrive eşitleme istemcisi |
|---|---|---|---|---|---|
| Windows 11 veya Windows 10 | Desteklenir | Desteklenir | Yok | Yok | Desteklenir |
| Windows 8.1 | Desteklenir | Desteklenir | Yok | Yok | Desteklenir |
| Android | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Yok |
| iOS | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Yok |
| macOS | Desteklenir | Desteklenir | Yok | Yok | Desteklenmez |
| Linux | Desteklenmez | Desteklenmez | Desteklenmez | Desteklenmez | Desteklenmez |
Microsoft 365 istemci desteği
Microsoft 365'teki istemci desteği hakkında daha fazla bilgi için bkz. Microsoft 365 için kimlik altyapınızı dağıtma.
Yönetici hesaplarını koruma
Microsoft 365 E3 veya E5 için ya da ayrı Microsoft Entra ID P1 veya P2 lisanslarına sahip, el ile oluşturulmuş koşullu erişim ilkesine sahip yönetici hesapları için kimlik avına dayanıklı MFA'yı zorunlu kılabilirsiniz. Daha fazla bilgi için bkz Koşullu Erişim: Yöneticiler için kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) gerektirme.
Microsoft 365 veya Office 365'in Koşullu Erişimi desteklemeyen sürümleri için, tüm hesaplar için MFA gerektirmek güvenlik varsayılanlarını etkinleştirebilirsiniz.
Diğer bazı öneriler şunlardır:
- Kalıcı yönetim hesaplarının sayısını azaltmak için Microsoft Entra Privileged Identity Management'ı kullanın.
- Kuruluşunuzu hassas verilere veya kritik yapılandırma ayarlarına erişimi olan mevcut ayrıcalıklı yönetici hesaplarını kullanabilecek ihlallerden korumak için ayrıcalıklı erişim yönetimi kullanın.
- Yalnızca yönetim için Microsoft 365 yönetici rolleri atanmış ayrı hesaplar oluşturun ve kullanın. Yöneticilerin düzenli kullanım için kendi kullanıcı hesapları olmalıdır. Bir yönetim hesabını yalnızca rol veya iş işleviyle ilişkili bir görevi tamamlamak için gerektiğinde kullanmalıdır.
- Microsoft Entra Id'de ayrıcalıklı hesapların güvenliğini sağlamak için en iyi yöntemleri izleyin.
Sonraki adım
Ortak Sıfır Güven kimlik ve cihaz erişim ilkelerini yapılandırma