Kimlik ve Erişim Yönetimi temeli oluşturma

  • 5 dakika

Kimlik ve erişim yönetimi (IAM), erişim vermenin ve kurumsal varlıkların güvenlik geliştirmesinin anahtarıdır. Bulut tabanlı varlıklarınızı güvenlik altına almak ve denetlemek için Azure yöneticilerinizin, uygulama geliştiricilerinizin ve uygulama kullanıcılarınızın kimliğini ve erişimini denetlemeniz gerekir.

IAM güvenlik önerileri

Aşağıdaki bölümlerde CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0'daki IAM önerileri açıklanmaktadır. Her öneriye Azure portalında tamamlamanız gereken temel adımlar dahildir. Kendi aboneliğiniz için ve her güvenlik önerisini doğrulamak için kendi kaynaklarınızı kullanarak bu adımları tamamlamanız gerekir. Düzey 2 seçeneklerinin bazı özellikleri veya etkinlikleri kısıtlayabileceğini unutmayın, bu nedenle hangi güvenlik seçeneklerini uygulamaya karar verebileceğinizi dikkatlice göz önünde bulundurun.

Önemli

Bu adımlardan bazılarını tamamlamak için Microsoft Entra örneğinde yönetici olmanız gerekir.

Microsoft Entra yönetim portalına erişimi kısıtlama - 1. Düzey

Veriler hassas ve en düşük ayrıcalık kuralları altında olduğundan yönetici olmayan kullanıcıların Microsoft Entra yönetim portalına erişimi olmamalıdır.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Soldaki menüde Kullanıcı ayarları'nı seçin.

  4. Kullanıcı ayarlarında, Yönetici istrasyon portalı altında Microsoft Entra yönetim portalına erişimi kısıtla'nın Evet olarak ayarlandığından emin olun. Bu değeri Evet olarak ayarlamak, tüm yönetici olmayanların Microsoft Entra yönetim portalındaki verilere erişmesini engeller. Bu ayar, PowerShell'i veya Visual Studio gibi başka bir istemciyi kullanmaya erişimi kısıtlamaz.

  5. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Microsoft Entra kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirme

  • Microsoft Entra Id ayrıcalıklı kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirme - 1. Düzey
  • Microsoft Entra ayrıcalıklı olmayan kullanıcılar için çok faktörlü kimlik doğrulamasını etkinleştirme - 2. Düzey

Tüm Microsoft Entra kullanıcıları için çok faktörlü kimlik doğrulamasını etkinleştirin.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Tüm kullanıcılar menü çubuğunda Kullanıcı başına MFA'yı seçin.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. Çok faktörlü kimlik doğrulama penceresinde, çok faktörlü kimlik doğrulama Durumununtüm kullanıcılar için Etkin olarak ayarlandığından emin olun. Çok faktörlü kimlik doğrulamasını etkinleştirmek için bir kullanıcı seçin. Hızlı adımlar'ın altında Çok faktörlü kimlik doğrulamasını etkinleştir'i>seçin.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Güvenilen cihazlarda çok faktörlü kimlik doğrulamasını anımsama - 2. Düzey

Kullanıcı tarafından güvenilen cihazlar ve tarayıcılar için çok faktörlü kimlik doğrulama özelliğini hatırlamak, tüm çok faktörlü kimlik doğrulama kullanıcıları için ücretsiz bir özelliktir. Kullanıcılar, çok faktörlü kimlik doğrulaması kullanarak bir cihazda başarıyla oturum açtıktan sonra belirtilen sayıda gün boyunca sonraki doğrulamaları atlayabilir.

Bir hesap veya cihazın güvenliği aşıldıysa, güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsamak güvenliği olumsuz etkileyebilir. Güvenlik önerisi, güvenilen cihazlar için çok faktörlü kimlik doğrulamasını anımsama özelliğinin kapatılmasıdır.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Tüm kullanıcılar menü çubuğunda Kullanıcı başına MFA'yı seçin.

  4. Çok faktörlü kimlik doğrulama penceresinde bir kullanıcı seçin. Hızlı adımlar'ın altında Kullanıcı ayarlarını yönet'i seçin.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Anımsanan tüm cihazlarda çok faktörlü kimlik doğrulamasını geri yükle onay kutusunu ve ardından Kaydet'i seçin.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Konuk kullanıcı yok veya sınırlı erişimli - 1. Düzey

Konuk kullanıcı olmadığından emin olun veya alternatif olarak işletme konuk kullanıcılar gerektiriyorsa konuk izinlerinin sınırlı olduğundan emin olun.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Filtre ekle düğmesini seçin.

  4. Filtreler için Kullanıcı türü'nü seçin. Değer için Konuk'a tıklayın. Konuk kullanıcı olmadığını doğrulamak için Uygula'yı seçin.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Parola seçenekleri

  • Parola sıfırlamayı kullanıcılara bildirme - 1. Düzey
  • Diğer yöneticiler parolaları sıfırladığında tüm yöneticilere bildirme - 2. Düzey
  • Parolayı sıfırlamak için iki yöntem gerektirme - 1. Düzey

Çok faktörlü kimlik doğrulama kümesiyle, bir saldırganın kullanıcının parolasını kötü amaçlı olarak sıfırlayamadan önce her iki kimlik doğrulama formlarının da güvenliğini aşması gerekir. Parola sıfırlamanın iki kimlik doğrulaması biçimi gerektirdiğinden emin olun.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Soldaki menüde Parola sıfırlama'yı seçin.

  4. Soldaki menüde Yönet'in altında Kimlik doğrulama yöntemleri'ni seçin.

  5. Sıfırlama için gereken yöntemlerin sayısı için 2 değerini ayarlayın.

  6. Herhangi bir ayarı değiştirirseniz menü çubuğunda Kaydet'i seçin.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Kullanıcı kimlik doğrulama yöntemlerini yeniden onaylamak için bir zaman aralığı belirleme - 1. Düzey

Kimlik doğrulaması yeniden doğrulama kapalıysa, kayıtlı kullanıcılardan kimlik doğrulama bilgilerini yeniden doğrulamaları istenmez. Daha güvenli seçenek, belirlenen bir aralık için kimlik doğrulaması yeniden doğrulamasını açmaktır.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Sol menü bölmesinde Parola sıfırlama'yı seçin.

  4. Soldaki menüde Yönet'in altında Kayıt'ı seçin.

  5. Kullanıcıların kimlik doğrulama bilgilerini yeniden onaylamaları istenmeden önce geçmesi gereken gün sayısı değerinin 0 olarak ayarlanmadığındanemin olun. Varsayılan değer 180 gündür.

  6. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Konuk daveti ayarı - Düzey 2

Yalnızca yöneticiler konuk kullanıcıları davet edebilmelidir. Davetlerin yöneticilerle kısıtlanması, yalnızca yetkili hesapların Azure kaynaklarına erişimi olmasını sağlar.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Soldaki menüde Kullanıcı ayarları'nı seçin.

  4. Kullanıcı ayarları bölmesindeki Dış kullanıcılar'ın altında Dış işbirliği ayarlarını yönet'i seçin.

  5. Dış işbirliği ayarları'ndaki Konuk davet ayarları'nın altında Yalnızca belirli yönetici rollerine atanan kullanıcılar konuk kullanıcıları davet edebilir'i seçin.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Kullanıcılar güvenlik grupları oluşturabilir ve yönetebilir - Düzey 2

Bu özellik etkinleştirildiğinde, Microsoft Entra ID'deki tüm kullanıcılar yeni güvenlik grupları oluşturabilir. Güvenlik grubu oluşturma işlemi yöneticilerle sınırlı olmalıdır.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Gruplar'ı seçin.

  3. Tüm gruplar bölmesinde, soldaki menüde Ayarlar altında Genel'i seçin.

  4. Güvenlik Grupları için, Kullanıcıların Azure portallarında, API'de veya PowerShell'degüvenlik grupları oluşturaabildiğine emin olun.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Self servis grup yönetimi etkin - 2. Düzey

İşletmeniz çeşitli kullanıcılara self servis grup yönetimi devretmeyi gerektirmediği sürece, bu özelliği devre dışı bırakmak için bir güvenlik önerisidir.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Gruplar'ı seçin.

  3. Tüm gruplar bölmesinde, soldaki menüde Ayarlar altında Genel'i seçin.

  4. Self Servis Grup Yönetimi'nin altında tüm seçeneklerin Hayır olarak ayarlandığından emin olun.

  5. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Screenshot that shows Microsoft Entra self-service group options set to No.

Uygulama seçenekleri - Kullanıcıların uygulamaları kaydetmesine izin verme - 2. Düzey

Özel uygulamaları yöneticilerin kaydetmesini gerektirin.

  1. Azure Portal oturum açın. Microsoft Entra ID'yi arayın ve seçin.

  2. Soldaki menüde Yönet'in altında Kullanıcılar'ı seçin.

  3. Soldaki menüde Kullanıcı ayarları'nı seçin.

  4. Kullanıcı ayarları bölmesinde Uygulama kayıtları Hayır olarak ayarlandığından emin olun.

  5. Herhangi bir ayarı değiştirirseniz, menü çubuğunda Kaydet'i seçin.

Screenshot that shows Microsoft Entra users with app registrations set to No.