Sıfır Güven kimlik ve cihaz erişim ilkelerini uygulamak için önkoşul çalışması
Bu makalede, yöneticilerin önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmak ve Koşullu Erişim kullanmak için karşılaması gereken önkoşullar açıklanmaktadır. Ayrıca istemci platformlarını en iyi çoklu oturum açma (SSO) deneyimi için yapılandırmak için önerilen varsayılanlar da açıklanır.
Önkoşullar
Önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerini kullanmadan önce kuruluşunuzun önkoşulları karşılaması gerekir. Gereksinimler, listelenen çeşitli kimlik ve kimlik doğrulama modelleri için farklıdır:
- Yalnızca bulut
- Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
- Doğrudan kimlik doğrulaması (PTA) ile karma
- Federe
Aşağıdaki tabloda, belirtilen durumlar dışında tüm kimlik modelleri için geçerli olan önkoşul özellikleri ve yapılandırmaları ayrıntılı olarak açıklanır.
| Yapılandırma | Özel durum | Lisanslama |
|---|---|---|
| PHS'yi yapılandırın. Sızdırılan kimlik bilgilerini algılamak ve risk tabanlı Koşullu Erişim için bunlar üzerinde işlem yapmak için bu özelliğin etkinleştirilmesi gerekir. Not: Kuruluşunuzun federasyon kimlik doğrulaması kullanıp kullanmadığına bakılmaksızın bu gereklidir. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Kullanıcıların kuruluş ağınıza bağlı kuruluş cihazlarındayken otomatik olarak oturum açması için sorunsuz çoklu oturum açmayı etkinleştirin. | Yalnızca bulutta ve federasyonda | Microsoft 365 E3 veya E5 |
| Adlandırılmış konumları yapılandırın. Microsoft Entra ID Koruması, bir risk puanı oluşturmak için tüm kullanılabilir oturum verilerini toplar ve analiz eder. Kuruluşunuzun ağınız için genel IP aralıklarını Microsoft Entra ID adlı konumlar yapılandırmasında belirtmenizi öneririz. Bu aralıklardan gelen trafiğe düşük risk puanı, kuruluş ortamı dışından gelen trafiğe ise daha yüksek bir risk puanı verilir. | Microsoft 365 E3 veya E5 | |
| Tüm kullanıcıları self servis parola sıfırlama (SSPR) ve çok faktörlü kimlik doğrulaması (MFA) için kaydedin. Kullanıcıları önceden çok faktörlü Microsoft Entra kimlik doğrulamasına kaydetmenizi öneririz. Microsoft Entra ID Koruması, ek güvenlik doğrulaması gerçekleştirmek için çok faktörlü Microsoft Entra kimlik doğrulaması kullanır. Ayrıca, en iyi oturum açma deneyimi için kullanıcıların cihazlarına Microsoft Authenticator uygulamasını ve Microsoft Şirket Portalı uygulamasını yüklemelerini öneririz. Bunlar her platform için uygulama mağazasından yüklenebilir. | Microsoft 365 E3 veya E5 | |
| Microsoft Entra karma birleştirme uygulamanızı planlayın. Koşullu Erişim, uygulamalara bağlanan cihazların etki alanına katılmış veya uyumlu olduğundan emin olur. Windows bilgisayarlarda bunu desteklemek için cihazın Microsoft Entra ID'a kayıtlı olması gerekir. Bu makalede otomatik cihaz kaydının nasıl yapılandırılacağı açıklanır. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Destek ekibinizi hazırlayın. MFA'yı tamamlayamayan kullanıcılar için bir planınız var. Bu, bunları bir ilke dışlama grubuna eklemek veya bunlar için yeni MFA bilgileri kaydetmek olabilir. Bu güvenlik açısından hassas değişikliklerden birini yapmadan önce, asıl kullanıcının isteği gerçekleştirdiğinden emin olmanız gerekir. Kullanıcıların yöneticilerinin onay konusunda yardımcı olmasını gerektirmek etkili bir adımdır. | Microsoft 365 E3 veya E5 | |
| Şirket içi AD'ye parola geri yazmayı yapılandırın. Parola geri yazma, Microsoft Entra ID yüksek riskli hesap güvenliği ihlalleri algılandığında kullanıcıların şirket içi parolalarını değiştirmelerini gerektirmesini sağlar. Bu özelliği Microsoft Entra Connect kullanarak iki yoldan birini kullanarak etkinleştirebilirsiniz: Microsoft Entra Connect kurulumunun isteğe bağlı özellikler ekranında Parola Geri Yazma'yı etkinleştirin veya Windows PowerShell aracılığıyla etkinleştirin. | Yalnızca bulut | Microsoft 365 E3 veya E5 |
| Microsoft Entra parola korumasını yapılandırın. Microsoft Entra Parola Koruması bilinen zayıf parolaları ve bunların çeşitlerini algılar ve engeller ve ayrıca kuruluşunuza özgü ek zayıf terimleri engelleyebilir. Varsayılan genel yasaklanmış parola listeleri, Microsoft Entra kiracıdaki tüm kullanıcılara otomatik olarak uygulanır. Özel yasaklanmış parola listesinde ek girdiler tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanımını zorunlu kılmak için denetlenir. | Microsoft 365 E3 veya E5 | |
| Microsoft Entra ID Koruması etkinleştirin. Microsoft Entra ID Koruması, kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılamanıza ve otomatik düzeltme ilkesini düşük, orta ve yüksek oturum açma riski ve kullanıcı riski olarak yapılandırmanıza olanak tanır. | E5 Güvenliği eklentisiyle Microsoft 365 E5 veya Microsoft 365 E3 | |
| Exchange Online ve Skype KurumsalOnline için modern kimlik doğrulamasını etkinleştirin. Modern kimlik doğrulaması, MFA'nın kullanılması için bir önkoşuldur. Modern kimlik doğrulaması Office 2016 ve 2019 istemcileri, SharePoint ve OneDrive İş için varsayılan olarak etkindir. | Microsoft 365 E3 veya E5 | |
| Microsoft Entra ID için sürekli erişim değerlendirmesini etkinleştirin. Sürekli erişim değerlendirmesi etkin kullanıcı oturumlarını proaktif olarak sonlandırır ve kiracı ilkesi değişikliklerini neredeyse gerçek zamanlı olarak uygular. | Microsoft 365 E3 veya E5 |
Önerilen istemci yapılandırmaları
Bu bölümde, kullanıcılarınıza en iyi SSO deneyimini sağlamanızı önerdiğimiz varsayılan platform istemci yapılandırmaları ve Koşullu Erişim için teknik önkoşullar açıklanmaktadır.
Windows cihazları
Azure hem şirket içi hem de Microsoft Entra ID için mümkün olan en sorunsuz SSO deneyimini sağlamak üzere tasarlandığından Windows 11 veya Windows 10 (sürüm 2004 veya üzeri) öneririz. İş veya okul tarafından verilen cihazlar Microsoft Entra ID doğrudan katılmak üzere yapılandırılmalıdır veya kuruluş şirket içi AD etki alanına katılmayı kullanıyorsa, bu cihazlar Microsoft Entra ID otomatik ve sessiz bir şekilde kaydedilecek şekilde yapılandırılmalıdır.
KCG Windows cihazları için kullanıcılar İş veya okul hesabı ekle'yi kullanabilir. Windows 11 veya Windows 10 cihazlarda Google Chrome tarayıcısı kullanıcılarının, Microsoft Edge kullanıcıları ile aynı sorunsuz oturum açma deneyimini elde etmek için bir uzantı yüklemeleri gerektiğini unutmayın. Ayrıca, kuruluşunuzun etki alanına katılmış Windows 8 veya 8.1 cihazları varsa, Windows 10 olmayan bilgisayarlar için Microsoft Workplace Join'i yükleyebilirsiniz. Cihazları Microsoft Entra ID kaydetmek için paketi indirin.
iOS cihazları
Koşullu Erişim veya MFA ilkelerini dağıtmadan önce kullanıcı cihazlarına Microsoft Authenticator uygulamasını yüklemenizi öneririz. Kullanıcılardan iş veya okul hesabı ekleyerek cihazlarını Microsoft Entra ID kaydetmeleri istendiğinde veya cihazlarını yönetime kaydetmek için Intune şirket portalı uygulamasını yüklediklerinde uygulama en azından yüklenmelidir. Bu, yapılandırılmış Koşullu Erişim ilkesine bağlıdır.
Android cihazlar
Koşullu Erişim ilkeleri dağıtılmadan önce veya belirli kimlik doğrulama girişimleri sırasında gerektiğinde kullanıcıların Intune Şirket Portalı uygulamasını ve Microsoft Authenticator uygulamasını yüklemelerini öneririz. Uygulama yükledikten sonra kullanıcılardan Microsoft Entra ID'a kaydolmaları veya cihazlarını Intune kaydetmeleri istenebilir. Bu, yapılandırılmış Koşullu Erişim ilkesine bağlıdır.
Ayrıca, kuruluşa ait cihazların posta hesaplarına izin vermek, Intune MDM ilkesi tarafından yönetilmeye ve korunmaya izin vermek için Android for Work veya Samsung Knox'u destekleyen OEM'lerde ve sürümlerde standartlaştırılmalarını öneririz.
Önerilen e-posta istemcileri
Aşağıdaki e-posta istemcileri modern kimlik doğrulamasını ve Koşullu Erişimi destekler.
| Ortam | İstemci | Sürüm/Notlar |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | iOS için Outlook | Son |
| Android | Android için Outlook | Son |
| macOS | Outlook | 2019 ve 2016 |
| Linux | Desteklenmiyor |
Belgelerin güvenliğini sağlarken önerilen istemci platformları
Güvenli belge ilkesi uygulandığında aşağıdaki istemciler önerilir.
| Ortam | Word/Excel/PowerPoint | OneNote | OneDrive Uygulaması | SharePoint Uygulaması | OneDrive eşitleme istemcisi |
|---|---|---|---|---|---|
| Windows 11 veya Windows 10 | Destekleniyor | Destekleniyor | Yok | Yok | Destekleniyor |
| Windows 8.1 | Destekleniyor | Destekleniyor | Yok | Yok | Destekleniyor |
| Android | Destekleniyor | Destekleniyor | Destekleniyor | Destekleniyor | Yok |
| iOS | Destekleniyor | Destekleniyor | Destekleniyor | Destekleniyor | Yok |
| macOS | Destekleniyor | Destekleniyor | Yok | Yok | Desteklenmiyor |
| Linux | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor | Desteklenmiyor |
Microsoft 365 istemci desteği
Microsoft 365'te istemci desteği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Microsoft 365 İstemci Uygulaması Desteği - Koşullu Erişim
- Microsoft 365 İstemci Uygulaması Desteği - çok faktörlü kimlik doğrulaması
Yönetici hesaplarını koruma
Microsoft 365 E3 veya E5 için ya da ayrı Microsoft Entra ID P1 veya P2 lisanslarıyla, el ile oluşturulmuş koşullu erişim ilkesine sahip yönetici hesapları için MFA gerektirebilirsiniz. Ayrıntılar için bkz . Koşullu Erişim: Yöneticiler için MFA gerektirme .
Koşullu Erişimi desteklemeyen Microsoft 365 veya Office 365 sürümlerinde, güvenlik varsayılanlarını tüm hesaplar için MFA gerektirecek şekilde etkinleştirebilirsiniz.
Bazı ek öneriler şunlardır:
- Kalıcı yönetim hesaplarının sayısını azaltmak için Microsoft Entra Privileged Identity Management kullanın.
- Kuruluşunuzu hassas verilere veya kritik yapılandırma ayarlarına erişimi olan mevcut ayrıcalıklı yönetici hesaplarını kullanabilecek ihlallere karşı korumak için ayrıcalıklı erişim yönetimini kullanın.
- İçerik Oluşturucu ve yalnızca yönetim içinMicrosoft 365 yönetici rolleri atanmış ayrı hesaplar kullanın. Yöneticilerin düzenli yönetim dışı kullanım için kendi kullanıcı hesapları olmalıdır ve yalnızca rol veya iş işleviyle ilişkili bir görevi tamamlamak için gerektiğinde bir yönetim hesabı kullanmalıdır.
- Microsoft Entra ID'da ayrıcalıklı hesapların güvenliğini sağlamak için en iyi yöntemleri izleyin.
Sonraki adım
Ortak Sıfır Güven kimlik ve cihaz erişim ilkelerini yapılandırma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin