Microsoft Entra Id ile kuruluşunuzun kimliklerinin güvenliğini sağlama
Özellikle hızlı yanıt vermeniz ve birçok hizmete hızlı bir şekilde erişim sağlamanız gerektiğinde, günümüzün dünyasında çalışanlarınızın güvenliğini sağlamaya çalışmak göz korkutucu görünebilir. Bu makale, sahip olduğunuz lisans türüne göre Microsoft Entra özelliklerini hangi sırada dağıtabileceğinizi belirlemenize ve önceliklendirmenize yardımcı olacak tüm eylemlerin kısa bir listesini sağlamayı amaçlıdır.
Microsoft Entra ID birçok özellik sunar ve Kimlikleriniz için birçok güvenlik katmanı sağlar ve hangi özelliğin uygun olduğu konusunda gezinmek bazen zor olabilir. Bu belge, kuruluşların hizmetleri hızlı bir şekilde dağıtabilmesine yardımcı olmak ve birincil olarak dikkat edilmesi gereken güvenli kimlikler için tasarlanmıştır.
Her tablo, kimlikleri yaygın güvenlik saldırılarına karşı korurken kullanıcı uyuşmalarını en aza indiren tutarlı bir güvenlik önerisi sağlar.
Bu kılavuz aşağıdakilere yardımcı olur:
- Hizmet olarak yazılıma (SaaS) ve şirket içi uygulamalara erişimi güvenli ve korumalı bir şekilde yapılandırma
- Hem bulut hem de karma kimlikler
- Uzaktan veya ofiste çalışan kullanıcılar
Önkoşullar
Bu kılavuzda, yalnızca bulut veya karma kimliklerinizin Microsoft Entra Id'de önceden oluşturulduğu varsayılır. Kimlik türünüzü seçme konusunda yardım için Microsoft Entra karma kimlik çözümünüz için doğru kimlik doğrulama (AuthN) yöntemini seçme makalesine bakın.
Kılavuzlu izlenecek yol
Bu makaledeki önerilerin birçoğuna yönelik kılavuzlu bir kılavuz için Microsoft 365 Yönetici Merkezi'nde oturum açtığınızda Microsoft Entra Id ayarlama kılavuzuna bakın. Oturum açmadan ve otomatik kurulum özelliklerini etkinleştirmeden en iyi yöntemleri gözden geçirmek için Microsoft 365 Kurulum portalına gidin.
Microsoft Entra ID Ücretsiz, Office 365 veya Microsoft 365 müşterileri için yönergeler
Microsoft Entra ID Ücretsiz, Office 365 veya Microsoft 365 uygulaması müşterilerinin kullanıcı kimliklerini korumak için alması gereken birçok öneri vardır. Aşağıdaki tablo, aşağıdaki lisans abonelikleri için önemli eylemleri vurgulamak için tasarlanmıştır:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, İş için Uygulamalar, İş Standardı, İş Ekstra, A1)
- Microsoft Entra ID Free (Azure, Dynamics 365, Intune ve Power Platform ile birlikte)
| Önerilen eylem | Ayrıntı |
|---|---|
| Güvenlik Varsayılanlarını Etkinleştir | Çok faktörlü kimlik doğrulamasını etkinleştirerek ve eski kimlik doğrulamasını engelleyerek tüm kullanıcı kimliklerini ve uygulamaları koruyun. |
| Parola Karması Eşitleme'yi etkinleştirme (karma kimlikler kullanılıyorsa) | Kimlik doğrulaması için yedeklilik sağlayın ve güvenliği geliştirin (Akıllı Kilitleme, IP Kilitleme ve sızdırılan kimlik bilgilerini bulma özelliği dahil). |
| AD FS akıllı kilitlemeyi etkinleştirme (Varsa) | Kullanıcılarınızı extranet hesabı kilitlenmesi ile kötü amaçlı etkinliklerden korur. |
| Microsoft Entra akıllı kilitlemeyi etkinleştirme (yönetilen kimlikler kullanılıyorsa) | Akıllı kilitleme, kullanıcılarınızın parolalarını tahmin etmeye veya girmek için deneme yanılma yöntemleri kullanmaya çalışan kötü aktörleri kilitlemeye yardımcı olur. |
| Uygulamalara son kullanıcı onaylarını devre dışı bırakma | Yönetici onayı iş akışı, son kullanıcıların şirket verilerini kullanıma sunmaması için yöneticilere yönetici onayı gerektiren uygulamalara erişim vermek için güvenli bir yol sağlar. Microsoft, yüzey alanınızı azaltmaya ve bu riski azaltmaya yardımcı olmak için gelecekteki kullanıcı onayı işlemlerini devre dışı bırakmanızı önerir. |
| Galerideki desteklenen SaaS uygulamalarını Microsoft Entra ID ile tümleştirme ve çoklu oturum açmayı (SSO) etkinleştirme | Microsoft Entra Id,binlerce önceden tümlenmiş uygulama içeren bir galeriye sahiptir. Kuruluşunuzun kullandığı uygulamalardan bazıları büyük olasılıkla doğrudan Azure portalından erişilebilen galeridedir. Gelişmiş kullanıcı deneyimi (çoklu oturum açma (SSO) ile şirket SaaS uygulamalarına uzaktan ve güvenli bir şekilde erişim sağlayın. |
| SaaS Uygulamalarından kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme (varsa) | Kullanıcıların erişmesi gereken bulut (SaaS) uygulamalarında kullanıcı kimliklerini ve rollerini otomatik olarak oluşturun. Otomatik sağlama, kullanıcı kimlikleri oluşturmaya ek olarak durum veya roller değiştikçe kullanıcı kimliklerinin bakımını ve kaldırılmasını da içerir ve kuruluşunuzun güvenliğini artırır. |
| Güvenli karma erişimi etkinleştirme: Mevcut uygulama teslim denetleyicileri ve ağlarıyla eski uygulamaların güvenliğini sağlama (varsa) | Şirket içi ve bulut eski kimlik doğrulama uygulamalarınızı mevcut uygulama teslim denetleyiciniz veya ağınızla Microsoft Entra Id'ye bağlayarak yayımlayın ve koruyun. |
| Self servis parola sıfırlamayı etkinleştirme (yalnızca bulut hesapları için geçerlidir) | Bu özellik, kullanıcı cihazında veya uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. |
| Mümkün olduğunda en az ayrıcalıklı rolleri kullanma | Yöneticilerinize yalnızca erişimleri gereken alanlara erişim izni verin. |
| Microsoft'un parola kılavuzlarını etkinleştirme | Kullanıcıların parolalarını belirli bir zamanlamaya göre değiştirmesini zorunlu tutmayı durdurun, karmaşıklık gereksinimlerini devre dışı bırakın ve kullanıcılarınız parolalarını anımsamak ve güvenli bir şey tutmak için daha fazla bilgi edinir. |
Microsoft Entra ID P1 müşterileri için rehberlik
Aşağıdaki tablo, aşağıdaki lisans abonelikleri için önemli eylemleri vurgulamak için tasarlanmıştır:
- Microsoft Entra Kimliği P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Önerilen eylem | Ayrıntı |
|---|---|
| Birden fazla Genel Yönetici istrator oluşturma | Acil durumlarda kullanmak üzere en az iki yalnızca bulutta kalıcı Genel Yönetici istrator hesabı atayın. Bu hesaplar günlük olarak kullanılmaz ve uzun ve karmaşık parolalara sahip olmalıdır. |
| Kullanıcı kayıt deneyimini basitleştirmek için Microsoft Entra çok faktörlü kimlik doğrulaması ve SSPR için birleşik kayıt deneyimini etkinleştirme | Kullanıcılarınızın hem Microsoft Entra çok faktörlü kimlik doğrulaması hem de self servis parola sıfırlama için ortak bir deneyimden kaydolmasına izin verin. |
| Kuruluşunuz için çok faktörlü kimlik doğrulama ayarlarını yapılandırma | Çok faktörlü kimlik doğrulaması ile hesapların gizliliğinin tehlikeye atılmasının korunduğundan emin olun. |
| Self servis parola sıfırlamayı etkinleştirme | Bu özellik, kullanıcı cihazında veya uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. |
| Parola Geri Yazma uygulama (karma kimlikler kullanıyorsanız) | Buluttaki parola değişikliklerinin şirket içi Windows Server Active Directory ortamına geri yazılması için izin verin. |
| Koşullu Erişim ilkeleri oluşturma ve etkinleştirme | Yönetici hakları atanmış hesapları korumak için yöneticiler için çok faktörlü kimlik doğrulaması. Eski kimlik doğrulama protokolleriyle ilişkili artan risk nedeniyle eski kimlik doğrulama protokollerini engelleyin. Ortamınız için dengeli bir çok faktörlü kimlik doğrulama ilkesi oluşturmak ve kullanıcılarınızın ve uygulamalarınızın güvenliğini sağlamak amacıyla tüm kullanıcılar ve uygulamalar için çok faktörlü kimlik doğrulaması. Azure kaynaklarına erişen tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektirerek ayrıcalıklı kaynaklarınızı korumak için Azure Yönetimi için çok faktörlü kimlik doğrulaması gerektirin. |
| Parola Karması Eşitleme'yi etkinleştirme (karma kimlikler kullanılıyorsa) | Kimlik doğrulaması için yedeklilik sağlayın ve güvenliği geliştirin (Akıllı Kilitleme, IP Kilitleme ve sızdırılan kimlik bilgilerini bulma özelliği dahil).) |
| AD FS akıllı kilitlemeyi etkinleştirme (Varsa) | Kullanıcılarınızı extranet hesabı kilitlenmesi ile kötü amaçlı etkinliklerden korur. |
| Microsoft Entra akıllı kilitlemeyi etkinleştirme (yönetilen kimlikler kullanılıyorsa) | Akıllı kilitleme, kullanıcılarınızın parolalarını tahmin etmeye veya girmek için deneme yanılma yöntemleri kullanmaya çalışan kötü aktörleri kilitlemeye yardımcı olur. |
| Uygulamalara son kullanıcı onaylarını devre dışı bırakma | Yönetici onayı iş akışı, son kullanıcıların şirket verilerini kullanıma sunmaması için yöneticilere yönetici onayı gerektiren uygulamalara erişim vermek için güvenli bir yol sağlar. Microsoft, yüzey alanınızı azaltmaya ve bu riski azaltmaya yardımcı olmak için gelecekteki kullanıcı onayı işlemlerini devre dışı bırakmanızı önerir. |
| Uygulama Ara Sunucusu ile şirket içi eski uygulamalara uzaktan erişimi etkinleştirme | Microsoft Entra uygulama ara sunucusunu etkinleştirin ve kullanıcıların Microsoft Entra hesaplarıyla oturum açarak şirket içi uygulamalara güvenli bir şekilde erişmesi için eski uygulamalarla tümleştirin. |
| Güvenli karma erişimi etkinleştirme: Mevcut uygulama teslim denetleyicileri ve ağlarıyla (varsa) eski uygulamaların güvenliğini sağlama. | Şirket içi ve bulut eski kimlik doğrulama uygulamalarınızı mevcut uygulama teslim denetleyiciniz veya ağınızla Microsoft Entra Id'ye bağlayarak yayımlayın ve koruyun. |
| Galerideki desteklenen SaaS uygulamalarını Microsoft Entra Id ile tümleştirme ve çoklu oturum açmayı etkinleştirme | Microsoft Entra Id,binlerce önceden tümlenmiş uygulama içeren bir galeriye sahiptir. Kuruluşunuzun kullandığı uygulamalardan bazıları büyük olasılıkla doğrudan Azure portalından erişilebilen galeridedir. Gelişmiş kullanıcı deneyimi (SSO) ile şirket SaaS uygulamalarına uzaktan ve güvenli bir şekilde erişim sağlayın. |
| SaaS Uygulamalarından kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme (varsa) | Kullanıcıların erişmesi gereken bulut (SaaS) uygulamalarında kullanıcı kimliklerini ve rollerini otomatik olarak oluşturun. Otomatik sağlama, kullanıcı kimlikleri oluşturmaya ek olarak durum veya roller değiştikçe kullanıcı kimliklerinin bakımını ve kaldırılmasını da içerir ve kuruluşunuzun güvenliğini artırır. |
| Koşullu Erişimi Etkinleştirme – Cihaz tabanlı | Cihaz tabanlı Koşullu Erişim ile güvenlik ve kullanıcı deneyimlerini geliştirin. Bu adım, kullanıcıların yalnızca güvenlik ve uyumluluk standartlarınıza uyan cihazlardan erişebilmesini sağlar. Bu cihazlar yönetilen cihazlar olarak da bilinir. Yönetilen cihazlar Intune uyumlu veya Microsoft Entra karma katılmış cihazlar olabilir. |
| Parola Korumasını Etkinleştirme | Kullanıcıları zayıf ve kolay tahmin edilebilir parolalardan koruyun. |
| Mümkün olduğunda en az ayrıcalıklı rolleri kullanma | Yöneticilerinize yalnızca erişimleri gereken alanlara erişim izni verin. |
| Microsoft'un parola kılavuzlarını etkinleştirme | Kullanıcıların parolalarını belirli bir zamanlamaya göre değiştirmesini zorunlu tutmayı durdurun, karmaşıklık gereksinimlerini devre dışı bırakın ve kullanıcılarınız parolalarını anımsamak ve güvenli bir şey tutmak için daha fazla bilgi edinir. |
| Kuruluşa özgü özel yasaklanmış parola listesi oluşturma | Kullanıcıların kuruluşunuzdan veya alanınızdan sık kullanılan sözcükler veya tümcecikler içeren parolalar oluşturmasını engelleyin. |
| Kullanıcılarınız için parolasız kimlik doğrulama yöntemlerini dağıtma | Kullanıcılarınıza kullanışlı parolasız kimlik doğrulama yöntemleri sağlayın. |
| Konuk kullanıcı erişimi için plan oluşturma | Uygulamalarınızda ve hizmetlerinizde kendi iş, okul veya sosyal kimlikleriyle oturum açmalarına izin vererek konuk kullanıcılarla işbirliği yapın. |
Microsoft Entra ID P2 müşterileri için rehberlik
Aşağıdaki tablo, aşağıdaki lisans abonelikleri için önemli eylemleri vurgulamak için tasarlanmıştır:
- Microsoft Entra Kimliği P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Önerilen eylem | Ayrıntı |
|---|---|
| Birden fazla Genel Yönetici istrator oluşturma | Acil durumlarda kullanmak üzere en az iki yalnızca bulutta kalıcı Genel Yönetici istrator hesabı atayın. Bu hesaplar günlük olarak kullanılmaz ve uzun ve karmaşık parolalara sahip olmalıdır. |
| Kullanıcı kayıt deneyimini basitleştirmek için Microsoft Entra çok faktörlü kimlik doğrulaması ve SSPR için birleşik kayıt deneyimini etkinleştirme | Kullanıcılarınızın hem Microsoft Entra çok faktörlü kimlik doğrulaması hem de self servis parola sıfırlama için ortak bir deneyimden kaydolmasına izin verin. |
| Kuruluşunuz için çok faktörlü kimlik doğrulama ayarlarını yapılandırma | Çok faktörlü kimlik doğrulaması ile hesapların gizliliğinin tehlikeye atılmasının korunduğundan emin olun. |
| Self servis parola sıfırlamayı etkinleştirme | Bu özellik, kullanıcı cihazında veya uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. |
| Parola Geri Yazma uygulama (karma kimlikler kullanıyorsanız) | Buluttaki parola değişikliklerinin şirket içi Windows Server Active Directory ortamına geri yazılması için izin verin. |
| Çok faktörlü kimlik doğrulama kaydını zorunlu kılmak için Kimlik Koruması ilkelerini etkinleştirme | Microsoft Entra çok faktörlü kimlik doğrulamasının dağıtımını yönetin. |
| Kimlik Koruması kullanıcı ve oturum açma risk ilkelerini etkinleştirme | Kimlik Koruması Kullanıcı ve Oturum Açma ilkelerini etkinleştirin. Önerilen oturum açma ilkesi, orta riskli oturum açmaları hedeflemek ve çok faktörlü kimlik doğrulaması gerektirmektir. Kullanıcı ilkeleri için parola değiştirme eylemi gerektiren yüksek riskli kullanıcıları hedeflemeniz gerekir. |
| Koşullu Erişim ilkeleri oluşturma ve etkinleştirme | Yönetici hakları atanmış hesapları korumak için yöneticiler için çok faktörlü kimlik doğrulaması. Eski kimlik doğrulama protokolleriyle ilişkili artan risk nedeniyle eski kimlik doğrulama protokollerini engelleyin. Azure kaynaklarına erişen tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektirerek ayrıcalıklı kaynaklarınızı korumak için Azure Yönetimi için çok faktörlü kimlik doğrulaması gerektirin. |
| Parola Karması Eşitleme'yi etkinleştirme (karma kimlikler kullanılıyorsa) | Kimlik doğrulaması için yedeklilik sağlayın ve güvenliği geliştirin (Akıllı Kilitleme, IP Kilitleme ve sızdırılan kimlik bilgilerini bulma özelliği dahil).) |
| AD FS akıllı kilitlemeyi etkinleştirme (Varsa) | Kullanıcılarınızı extranet hesabı kilitlenmesi ile kötü amaçlı etkinliklerden korur. |
| Microsoft Entra akıllı kilitlemeyi etkinleştirme (yönetilen kimlikler kullanılıyorsa) | Akıllı kilitleme, kullanıcılarınızın parolalarını tahmin etmeye veya girmek için deneme yanılma yöntemleri kullanmaya çalışan kötü aktörleri kilitlemeye yardımcı olur. |
| Uygulamalara son kullanıcı onaylarını devre dışı bırakma | Yönetici onayı iş akışı, son kullanıcıların şirket verilerini kullanıma sunmaması için yöneticilere yönetici onayı gerektiren uygulamalara erişim vermek için güvenli bir yol sağlar. Microsoft, yüzey alanınızı azaltmaya ve bu riski azaltmaya yardımcı olmak için gelecekteki kullanıcı onayı işlemlerini devre dışı bırakmanızı önerir. |
| Uygulama Ara Sunucusu ile şirket içi eski uygulamalara uzaktan erişimi etkinleştirme | Microsoft Entra uygulama ara sunucusunu etkinleştirin ve kullanıcıların Microsoft Entra hesaplarıyla oturum açarak şirket içi uygulamalara güvenli bir şekilde erişmesi için eski uygulamalarla tümleştirin. |
| Güvenli karma erişimi etkinleştirme: Mevcut uygulama teslim denetleyicileri ve ağlarıyla (varsa) eski uygulamaların güvenliğini sağlama. | Şirket içi ve bulut eski kimlik doğrulama uygulamalarınızı mevcut uygulama teslim denetleyiciniz veya ağınızla Microsoft Entra Id'ye bağlayarak yayımlayın ve koruyun. |
| Galerideki desteklenen SaaS uygulamalarını Microsoft Entra Id ile tümleştirme ve çoklu oturum açmayı etkinleştirme | Microsoft Entra Id,binlerce önceden tümlenmiş uygulama içeren bir galeriye sahiptir. Kuruluşunuzun kullandığı uygulamalardan bazıları büyük olasılıkla doğrudan Azure portalından erişilebilen galeridedir. Gelişmiş kullanıcı deneyimi (SSO) ile şirket SaaS uygulamalarına uzaktan ve güvenli bir şekilde erişim sağlayın. |
| SaaS Uygulamalarından kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme (varsa) | Kullanıcıların erişmesi gereken bulut (SaaS) uygulamalarında kullanıcı kimliklerini ve rollerini otomatik olarak oluşturun. Otomatik sağlama, kullanıcı kimlikleri oluşturmaya ek olarak durum veya roller değiştikçe kullanıcı kimliklerinin bakımını ve kaldırılmasını da içerir ve kuruluşunuzun güvenliğini artırır. |
| Koşullu Erişimi Etkinleştirme – Cihaz tabanlı | Cihaz tabanlı Koşullu Erişim ile güvenlik ve kullanıcı deneyimlerini geliştirin. Bu adım, kullanıcıların yalnızca güvenlik ve uyumluluk standartlarınıza uyan cihazlardan erişebilmesini sağlar. Bu cihazlar yönetilen cihazlar olarak da bilinir. Yönetilen cihazlar Intune uyumlu veya Microsoft Entra karma katılmış cihazlar olabilir. |
| Parola Korumasını Etkinleştirme | Kullanıcıları zayıf ve kolay tahmin edilebilir parolalardan koruyun. |
| Mümkün olduğunda en az ayrıcalıklı rolleri kullanma | Yöneticilerinize yalnızca erişimleri gereken alanlara erişim izni verin. |
| Microsoft'un parola kılavuzlarını etkinleştirme | Kullanıcıların parolalarını belirli bir zamanlamaya göre değiştirmesini zorunlu tutmayı durdurun, karmaşıklık gereksinimlerini devre dışı bırakın ve kullanıcılarınız parolalarını anımsamak ve güvenli bir şey tutmak için daha fazla bilgi edinir. |
| Kuruluşa özgü özel yasaklanmış parola listesi oluşturma | Kullanıcıların kuruluşunuzdan veya alanınızdan sık kullanılan sözcükler veya tümcecikler içeren parolalar oluşturmasını engelleyin. |
| Kullanıcılarınız için parolasız kimlik doğrulama yöntemlerini dağıtma | Kullanıcılarınıza kullanışlı parolasız kimlik doğrulama yöntemleri sağlayın |
| Konuk kullanıcı erişimi için plan oluşturma | Uygulamalarınızda ve hizmetlerinizde kendi iş, okul veya sosyal kimlikleriyle oturum açmalarına izin vererek konuk kullanıcılarla işbirliği yapın. |
| Privileged Identity Management'ı (PIM) etkinleştirme | Kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak sağlayarak yöneticilerin yalnızca gerektiğinde ve onay ile erişime sahip olmasını sağlar. |
| PIM'de Microsoft Entra dizin rolleri için erişim gözden geçirmesini tamamlama | Kuruluşunuzun ilkelerine göre yönetim erişimini gözden geçirmek üzere bir erişim gözden geçirme ilkesi oluşturmak için güvenlik ve liderlik ekiplerinizle birlikte çalışın. |
Sıfır Güven
Bu özellik, kuruluşların kimliklerini Sıfır Güven mimarisinin üç temel ilkesiyle uyumlu hale getirmelerine yardımcı olur:
- Açıkça doğrula
- En az ayrıcalık kullan
- İhlal varsay
Sıfır Güven ve kuruluşunuzu kılavuz ilkelere hizalamanın diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.
Sonraki adımlar
- Microsoft Entra ID'nin tek tek özelliklerine yönelik ayrıntılı dağıtım kılavuzu için Microsoft Entra ID proje dağıtım planlarını gözden geçirin.
- Kuruluşlar, diğer Microsoft önerilerine göre ilerleme durumunu izlemek için kimlik güvenliği puanını kullanabilir.