Adım adım: Azure AD'de çok faktörlü kimlik doğrulamayı (MFA) yapılandırma

Adım adım: Azure AD'de çok faktörlü kimlik doğrulamayı (MFA) yapılandırma

02/01/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Azure Active Directory'de (şimdi Microsoft Entra ID) Multi-Factor Authentication'ı (MFA) yapılandırma ve uygulama konusunda rehberlik etmeyi amaçlamaktadır. MFA, kullanıcıların erişim kazanmadan önce kimliklerini kanıtlamak için iki veya daha fazla doğrulama biçimi sağlamasını gerektiren, hesap güvenliği riskini önemli ölçüde azaltan önemli bir güvenlik katmanıdır [1].

Giriş

Günümüzün siber tehdit ortamında, şifreler artık tek başına kullanıcı hesaplarını korumak için yeterli değil. Kimlik avı saldırıları, parola püskürtme ve kimlik bilgileri hırsızlığı, saldırganlar tarafından kullanılan yaygın taktiklerdir. Çok Faktörlü Kimlik Doğrulama (MFA), kullanıcıların bildikleri bir şeyi (şifre), sahip oldukları bir şeyi (telefon, donanım belirteci) veya sahip oldukları bir şeyi (parmak izi, yüz tanıma) sağlamalarını gerektirerek kritik bir güvenlik katmanı ekler. MFA'nın uygulanması, bir kuruluşun Microsoft Entra ID ve ilgili hizmetlerdeki kaynaklarını korumak için alabileceği en etkili güvenlik önlemlerinden biridir [2].

Bu nasıl yapılır kılavuzu, temel yapılandırmalardan daha ayrıntılı denetim için Koşullu Erişim İlkelerini kullanmaya kadar farklı uygulama yöntemlerine odaklanarak Azure AD'de MFA kurulumuna yönelik adımları kapsayacaktır. Okuyucunun kendi ortamında MFA'yı etkili bir şekilde uygulayabilmesini sağlamak için adım adım talimatlar, örnek yapılandırmalar ve doğrulama yöntemleri sağlanacaktır.

MFA neden önemlidir?

  • Risk Azaltma: Parolalar çalınsa bile hesabın ele geçirilmesi olasılığını önemli ölçüde azaltır.
  • Uyumluluk: Pek çok güvenlik standardı ve düzenlemesi, hassas verilerin korunması için MFA'nın uygulanmasını gerektirir.
  • Kimlik Avı Koruması: Saldırganın yalnızca şifreye değil aynı zamanda ikinci faktöre de ihtiyacı olacağından kimlik avı saldırılarına karşı bir bariyer ekler.
  • Esneklik: Azure AD, Microsoft Authenticator uygulaması, SMS, telefon görüşmesi ve donanım belirteçleri gibi birden fazla ikinci faktör seçeneği sunarak kullanıcıların en uygun ve güvenli yöntemi seçmesine olanak tanır.

Önkoşullar

Azure AD'de MFA'yı ayarlamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Azure AD MFA özelliklerini içeren bir lisans. Bu, Azure AD Ücretsiz (Güvenlik Varsayılanları ile), Azure AD Premium P1 veya P2 (Koşullu Erişim için) veya Azure AD Premium [3] içeren Microsoft 365 lisansları olabilir.
  2. Yönetim Erişimi: Azure portalında ("portal.azure.com") veya Microsoft Entra yönetim merkezinde ("entra.microsoft.com") Genel Yönetici veya Kimlik Doğrulama Yöneticisi izinlerine sahip bir hesap.
  3. Test Cihazları: MFA'yı yapılandırmak ve doğrulamak için en az bir test kullanıcı hesabı ve bir cihaz (akıllı telefon).
  4. Acil Erişim Hesapları: MFA sisteminde sorun yaşanması durumunda kilitlenmeleri önlemek için MFA'dan muaf olan kırılmaz hesaplar oluşturmak ve güvenliğini sağlamak iyi bir uygulamadır [4].

Adım Adım: Azure AD'de Çok Faktörlü Kimlik Doğrulamayı (MFA) Yapılandırma

Azure AD'de MFA'yı etkinleştirmenin birkaç yolu vardır. En yaygın ikisini ele alacağız: Güvenlik Varsayılanları (hızlı, temel yapılandırmalar için) ve Koşullu Erişim Politikaları (ayrıntılı kontrol için).

1. Seçenek: Güvenlik Varsayılanlarını kullanarak MFA'yı etkinleştirin (Küçük ve orta ölçekli işletmeler için önerilir)

Güvenlik Varsayılanları, tüm kullanıcılar ve yöneticiler için MFA'nın zorunlu kılınması da dahil olmak üzere Microsoft tarafından önerilen temel güvenlik ilkeleri kümesini sağlar. Güvenliği hızla artırmanın basit ve etkili bir yoludur.

  1. Microsoft Entra yönetim merkezine erişin: https://entra.microsoft.com.
  2. Sol gezinme bölmesinde Koruma > Güvenliğe Genel Bakış'a gidin.
  3. Güvenlik Varsayılanlarını Etkinleştir bölümünde Güvenlik Varsayılanlarını Yönet'i tıklayın.
  4. Güvenlik Varsayılanları bölmesinde Güvenlik Varsayılanlarını Etkinleştir seçeneğini Evet olarak ayarlayın.
  5. Kaydet'i tıklayın.

Not: Etkinleştirildiğinde Güvenlik Varsayılanları, tüm kullanıcıların bir sonraki oturum açmalarında MFA'yı yapılandırmasını gerektirecektir. Microsoft Authenticator uygulamasını kaydetmeleri istenecektir. Güvenlik Varsayılanları, şu özelliklere sahip olmayan kuruluşlar için idealdir:m Azure AD Premium P1 veya P2 lisansları var ve hızlı, standartlaştırılmış bir MFA uygulamasına ihtiyaç duyuyorlar. Koşullu Erişim ve Güvenlik Varsayılanlarını aynı anda kullanmak mümkün değildir; biri diğerini devre dışı bırakır.

Seçenek 2: Koşullu Erişim Politikalarını kullanarak MFA'yı etkinleştirme (Parçalı kontrol ve daha büyük kuruluşlar için önerilir)

Koşullu Erişim (CA) Politikaları, MFA'nın gerekli olacağı belirli koşulları tanımlamanıza olanak tanır ve Güvenlik Varsayılanlarından çok daha fazla esneklik sunar. Bu seçenek, Azure AD Premium P1 veya P2 lisansı gerektirir.

2.1. Test Kullanıcı Grubu Oluşturun

Koşullu Erişim politikalarını kuruluşunuzun tamamına dağıtmadan önce küçük bir kullanıcı grubu üzerinde test etmek iyi bir uygulamadır.

  1. Microsoft Oturum Açma yönetim merkezinde Kimlik > Gruplar > Tüm Gruplar'a gidin.
  2. Yeni Grup'a tıklayın.
  3. Ayrıntıları girin:
    • Grup türü: Güvenlik
    • Grup adı: MFA_Users_Test
    • Azure AD rolleri gruba atanabilir: Hayır
    • Üyelik Türü: Atanan
  4. Test kullanıcılarını üye olarak ekleyin ve Oluştur'u tıklayın.

2.2. MFA Gerektirecek Koşullu Erişim Politikası Oluşturma

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim'e gidin.
  2. Yeni Politika > Yeni Politika Oluştur'u tıklayın.
  3. Ad: "Tüm kullanıcılar için MFA iste" (veya test ediliyorsa "Test Grubu için MFA iste").
  4. Sorumluluklar:
    • Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı (veya test için MFA_Users_Test grubunu) seçin.
    • Sil: Engellenmemek için acil erişim hesaplarınızı buradan silmeniz çok önemlidir. Ayrıca MFA kullanamayan hizmet hesaplarını da ekleyin.
  5. Bulut Kaynakları veya Eylemler: Tüm Bulut Uygulamaları'nı seçin.
  6. Koşullar (Ek ayrıntı düzeyi için isteğe bağlı):
    • Koşulları konuma, cihazlara, istemci uygulamalarına vb. göre yapılandırabilirsiniz. Örneğin, yalnızca kurumsal ağ dışından erişim için MFA'yı zorunlu kılın.
  7. Hibe:
    • Erişim izni ver'i seçin.
    • Çok faktörlü kimlik doğrulama gerektir seçeneğini işaretleyin.
    • Seç'i tıklayın.
  8. Oturum (İsteğe bağlı):
    • Oturum açma sıklığı kontrolünü veya oturum kalıcılığını yapılandırabilirsiniz.
  9. İlkeyi Etkinleştir: Uygulamadan önce etkiyi test etmek için Yalnızca Rapor olarak ayarlayın veya hemen uygulamak için Açık olarak ayarlayın.
  10. Oluştur'a tıklayın.

2.3. Kimlik Doğrulama Yöntemlerini Yapılandırma

Kullanıcılara hangi MFA yöntemlerinin sunulduğunu tanımlamak önemlidir.

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Kimlik Doğrulama Yöntemleri > İlkeler'e gidin.
  2. Burada Microsoft Authenticator, SMS, Sesli Arama vb. yöntemleri etkinleştirebilir veya devre dışı bırakabilirsiniz. Birincil yöntemler olarak Microsoft Authenticator ve SMS'in etkinleştirilmesi önerilir.
  3. Her yöntem için Kimlik Doğrulayıcı kayıt modu (şifre veya anlık bildirim yok) gibi seçenekleri yapılandırın.

Doğrulama ve Test Etme

MFA'yı yapılandırdıktan sonra beklendiği gibi çalıştığını doğrulamak önemlidir.

1. Kullanıcı Girişini Test Edin

  1. Gizli/özel modda bir tarayıcı penceresi açın.
  2. MFA ilkesinin kapsadığı bir uygulamaya gidin (ör. "portal.office.com").
  3. MFA politikasına dahil olan bir kullanıcının hesabıyla oturum açın.
  4. Kullanıcıdan MFA'yı yapılandırması (etkinleştirildikten sonraki ilk oturum açma işlemiyse) veya ikinci faktörü sağlaması (örneğin, Microsoft Authenticator'da bildirimi onaylama, SMS kodunu girme) istenmelidir.

2. MFA Kayıt Durumunu Kontrol Edin

  1. Microsoft Oturum Açma yönetim merkezinde Kimlik > Kullanıcılar > Tüm Kullanıcılar'a gidin.
  2. Bir kullanıcıyı ve ardından Kimlik Doğrulama Yöntemleri'ni tıklayın.
  3. Kullanıcı için kayıtlı kimlik doğrulama yöntemlerini kontrol edin. Bu, kullanıcının MFA'yı başarıyla kurduğunu doğrulayacaktır.

3. Yalnızca Rapor Modunu Kullanın (Koşullu Erişim için)

Koşullu Erişim ilkesini Yalnızca rapor modunda yapılandırdıysanız sonuçları zorlama olmadan doğrulayabilirsiniz.

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim'e gidin.
  2. Oluşturduğunuz politikayı tıklayın ve Yalnızca rapor sekmesine gidin.
  3. Hangi kullanıcıların ve uygulamaların politikadan etkileneceğini ve MFA'nın gerekli olup olmayacağını görmek için sonuçları analiz edin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Yöneticiler için MFA'yı zorunlu kılın: Diğer politikalardan bağımsız olarak, yönetici hesapları için her zaman MFA'yı zorunlu kılın. Bu hesaplar saldırıların ana hedefleridir.
  • Kullanıcı Eğitimi: Kullanıcıları MFA'nın önemi ve nasıl doğru şekilde yapılandırılıp kullanılacağı konusunda eğitin. MFA kimlik avı girişimlerinin nasıl tanımlanıp raporlanacağını açıklayın.
  • Microsoft Authenticator: Microsoft Authenticator uygulamasının kullanımını anında bildirimlerle teşvik edin; çünkü bu, kullanımı en güvenli ve en kolay yöntemlerden biri olarak kabul edilir ve bazı kimlik avı saldırılarına karşı dayanıklıdır.
  • Ayrıntılı Koşullu Erişim Politikaları: MFA gerektiğinde (örneğin kurumsal ağ dışında, yüksek riskli uygulamalar için, ayrıcalıklı rollere sahip kullanıcılar için) iyileştirme yapmak için Koşullu Erişimi kullanın.
  • Periyodik İnceleme: Etkili ve güvenli kaldıklarından emin olmak için MFA politikalarınızı ve kullanıcı tarafından kaydedilen kimlik doğrulama yöntemlerinizi düzenli olarak inceleyin.
  • Acil Durum Hesapları: Kimlik bilgilerinin güvenli bir şekilde saklanması ve kullanımlarının düzenli olarak denetlenmesi de dahil olmak üzere, acil durum erişim hesaplarına yönelik sıkı bir süreç sürdürün.

Genel Sorun Giderme

  • Kullanıcı MFA'yı yapılandıramıyor: Kullanıcının uygun bir lisansa sahip olduğunu ve istenen kimlik doğrulama yöntemlerinin etkinleştirildiğini doğrulayın. Kullanıcıyı kayıt talimatlarını dikkatli bir şekilde takip etmesi konusunda yönlendirin.
  • MFA etkinleştirildikten sonra kullanıcı engellendi: Kullanıcının Koşullu Erişim ilkesinin dışında bırakılıp bırakılmadığını veya yapılandırılmış MFA yönteminde bir sorun olup olmadığını kontrol edin. Gerekirse acil erişim hesaplarını kullanın.
  • MFA istenmiyor: Koşullu Erişim ilkesinin etkinleştirildiğini ve doğru kullanıcılara ve uygulamalara atandığını doğrulayın. Güvenlik Varsayılanlarını kullanıyorsanız çakışan Koşullu Erişim ilkelerinin olmadığından emin olun.
  • Kimlik doğrulama uygulaması sorunları: Mobil cihazınızın ağ bağlantısını ve uygulama için bildirimlerin etkin olup olmadığını kontrol edin. Hesabı uygulamada kaldırıp tekrar eklemeyi deneyin.

Sonuç

Çok Faktörlü Kimlik Doğrulama, modern kimlik güvenliğinin temel direğidir. Azure AD'de MFA'nın özellikle Koşullu Erişim İlkeleri aracılığıyla yapılandırılması, yetkisiz erişime karşı güçlü bir savunma sağlar. Bu makaledeki yönergeleri izleyerek kuruluşunuz kullanıcı kimliklerini ve kritik kaynakları korumak, riskleri azaltmak ve genel güvenlik duruşunuzu güçlendirmek için daha donanımlı olacaktır. Güvenliğin sürekli adaptasyon ve iyileştirme gerektiren devam eden bir süreç olduğunu unutmayın.

Referanslar:

[1] Microsoft Learn. Çok Faktörlü Kimlik Doğrulama nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Bir Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Microsoft Entra Çok Faktörlü Kimlik Doğrulama Lisansı. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Microsoft Entra ID'de acil erişim hesapları oluşturun. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/role-base-access-control/security-emergency-access-accounts