Kimlik ve Erişim Yönetimi temeli oluşturma
Kimlik ve erişim yönetimi (IAM), erişim vermenin ve kurumsal varlıkların güvenlik geliştirmesinin anahtarıdır. Bulut tabanlı varlıklarınızı güvenlik altına almak ve denetlemek için Azure yöneticilerinizin, uygulama geliştiricilerinizin ve uygulama kullanıcılarınızın kimliğini ve erişimini denetlemeniz gerekir.
IAM güvenlik önerileri
Aşağıdaki bölümlerde CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0'daki IAM önerileri açıklanmaktadır. Her öneriye Azure portalında tamamlamanız gereken temel adımlar dahildir. Kendi aboneliğiniz için ve her güvenlik önerisini doğrulamak için kendi kaynaklarınızı kullanarak bu adımları tamamlamanız gerekir. Düzey 2 seçeneklerinin bazı özellikleri veya etkinlikleri kısıtlayabileceğini unutmayın, bu nedenle hangi güvenlik seçeneklerini uygulamaya karar verebileceğinizi dikkatlice göz önünde bulundurun.
Önemli
Bu adımlardan bazılarını tamamlamak için Microsoft Entra örneğinde yönetici olmanız gerekir.
Microsoft Entra yönetim portalına erişimi kısıtlama - 1. Düzey
Veriler hassas ve en düşük ayrıcalık kuralları altında olduğundan yönetici olmayan kullanıcıların Microsoft Entra yönetim portalına erişimi olmamalıdır.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Soldaki menüde Kullanıcı ayarları'nı seçin.
Kullanıcı ayarlarında, Yönetici istrasyon portalı altında Microsoft Entra yönetim portalına erişimi kısıtla'nın Evet olarak ayarlandığından emin olun. Bu değeri Evet olarak ayarlamak, tüm yönetici olmayanların Microsoft Entra yönetim portalındaki verilere erişmesini engeller. Bu ayar, PowerShell'i veya Visual Studio gibi başka bir istemciyi kullanmaya erişimi kısıtlamaz.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Microsoft Entra kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirme
- Microsoft Entra Id ayrıcalıklı kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirme - 1. Düzey
- Microsoft Entra ayrıcalıklı olmayan kullanıcılar için çok faktörlü kimlik doğrulamasını etkinleştirme - 2. Düzey
Tüm Microsoft Entra kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirin.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Tüm kullanıcılar menü çubuğunda Kullanıcı başına MFA'yı seçin.
Çok faktörlü kimlik doğrulama penceresinde, çok faktörlü kimlik doğrulama Durumununtüm kullanıcılar için Etkin olarak ayarlandığından emin olun. Çok faktörlü kimlik doğrulamasını etkinleştirmek için bir kullanıcı seçin. Hızlı adımlar'ın altında Çok faktörlü kimlik doğrulamasını etkinleştir'i>seçin.
Güvenilen cihazlarda çok faktörlü kimlik doğrulamasını anımsama - 2. Düzey
Kullanıcı tarafından güvenilen cihazlar ve tarayıcılar için çok faktörlü kimlik doğrulama özelliğini hatırlamak, tüm çok faktörlü kimlik doğrulama kullanıcıları için ücretsiz bir özelliktir. Kullanıcılar, çok faktörlü kimlik doğrulaması kullanarak bir cihazda başarıyla oturum açtıktan sonra belirtilen sayıda gün boyunca sonraki doğrulamaları atlayabilir.
Bir hesap veya cihazın güvenliği aşıldıysa, güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsamak güvenliği olumsuz etkileyebilir. Güvenlik önerisi, güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsama özelliğinin kapatılmasıdır.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Tüm kullanıcılar menü çubuğunda Kullanıcı başına MFA'yı seçin.
Çok faktörlü kimlik doğrulama penceresinde bir kullanıcı seçin. Hızlı adımlar'ın altında Kullanıcı ayarlarını yönet'i seçin.
Anımsanan tüm cihazlarda çok faktörlü kimlik doğrulamasını geri yükle onay kutusunu ve ardından Kaydet'i seçin.
Konuk kullanıcı yok veya sınırlı erişimli - 1. Düzey
Konuk kullanıcı olmadığından emin olun veya alternatif olarak işletme konuk kullanıcılar gerektiriyorsa konuk izinlerinin sınırlı olduğundan emin olun.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Filtre ekle düğmesini seçin.
Filtreler için Kullanıcı türü'nü seçin. Değer için Konuk'a tıklayın. Konuk kullanıcı olmadığını doğrulamak için Uygula'yı seçin.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Parola seçenekleri
- Parola sıfırlamayı kullanıcılara bildirme - 1. Düzey
- Diğer yöneticiler parolaları sıfırladığında tüm yöneticilere bildirme - 2. Düzey
- Parolayı sıfırlamak için iki yöntem gerektirme - 1. Düzey
Çok faktörlü kimlik doğrulama kümesiyle, bir saldırganın kullanıcının parolasını kötü amaçlı olarak sıfırlayamadan önce her iki kimlik doğrulama formlarının da güvenliğini aşması gerekir. Parola sıfırlamanın iki kimlik doğrulaması biçimi gerektirdiğinden emin olun.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Soldaki menüde Parola sıfırlama'yı seçin.
Soldaki menüde Yönet'in altında Kimlik doğrulama yöntemleri'ni seçin.
Sıfırlama için gereken yöntemlerin sayısı için 2 değerini ayarlayın.
Herhangi bir ayarı değiştirirseniz menü çubuğunda Kaydet'i seçin.
Kullanıcı kimlik doğrulama yöntemlerini yeniden onaylamak için bir zaman aralığı belirleme - 1. Düzey
Kimlik doğrulaması yeniden doğrulama kapalıysa, kayıtlı kullanıcılardan kimlik doğrulama bilgilerini yeniden doğrulamaları istenmez. Daha güvenli seçenek, belirlenen bir aralık için kimlik doğrulaması yeniden doğrulamasını açmaktır.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Sol menü bölmesinde Parola sıfırlama'yı seçin.
Soldaki menüde Yönet'in altında Kayıt'ı seçin.
Kullanıcıların kimlik doğrulama bilgilerini yeniden onaylamaları istenmeden önce geçmesi gereken gün sayısı değerinin 0 olarak ayarlanmadığındanemin olun. Varsayılan değer 180 gündür.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Konuk daveti ayarı - Düzey 2
Yalnızca yöneticiler konuk kullanıcıları davet edebilmelidir. Davetlerin yöneticilerle kısıtlanması, yalnızca yetkili hesapların Azure kaynaklarına erişimi olmasını sağlar.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Soldaki menüde Kullanıcı ayarları'nı seçin.
Kullanıcı ayarları bölmesindeki Dış kullanıcılar'ın altında Dış işbirliği ayarlarını yönet'i seçin.
Dış işbirliği ayarları'ndaki Konuk davet ayarları'nın altında Yalnızca belirli yönetici rollerine atanan kullanıcılar konuk kullanıcıları davet edebilir'i seçin.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Kullanıcılar güvenlik grupları oluşturabilir ve yönetebilir - Düzey 2
Bu özellik etkinleştirildiğinde, Microsoft Entra ID'deki tüm kullanıcılar yeni güvenlik grupları oluşturabilir. Güvenlik grubu oluşturma işlemi yöneticilerle sınırlı olmalıdır.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Gruplar'ı seçin.
Tüm gruplar bölmesinde, soldaki menüde Ayarlar altında Genel'i seçin.
Güvenlik Grupları için, Kullanıcıların Azure portallarında, API'de veya PowerShell'degüvenlik grupları oluşturaabildiğine emin olun.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Self servis grup yönetimi etkin - 2. Düzey
İşletmeniz çeşitli kullanıcılara self servis grup yönetimi devretmeyi gerektirmediği sürece, bu özelliği devre dışı bırakmak için bir güvenlik önerisidir.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Gruplar'ı seçin.
Tüm gruplar bölmesinde, soldaki menüde Ayarlar altında Genel'i seçin.
Self Servis Grup Yönetimi'nin altında tüm seçeneklerin Hayır olarak ayarlandığından emin olun.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.
Uygulama seçenekleri - Kullanıcıların uygulamaları kaydetmesine izin verme - 2. Düzey
Özel uygulamaları yöneticilerin kaydetmesini gerektirin.
Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.
Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.
Soldaki menüde Kullanıcı ayarları'nı seçin.
Kullanıcı ayarları bölmesinde Uygulama kayıtları Hayır olarak ayarlandığından emin olun.
Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.