Tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektir

Microsoft Kimlik Güvenliği Direktörü Alex Weinert'in blog gönderisinde Pa$$word'niz önemli değildir:

Parolanız önemli değil, ancak MFA önemli! Çalışmalarımıza dayanarak, MFA kullanıyorsanız hesabınızın gizliliğinin ihlal edilme olasılığı %99,9'dan daha azdır.

Kimlik doğrulama gücü

Bu makaledeki yönergeler, kuruluşunuzun kimlik doğrulama güçlü yanlarını kullanarak ortamınız için bir MFA ilkesi oluşturmanıza yardımcı olur. Microsoft Entra ID üç yerleşik kimlik doğrulaması gücü sağlar:

• Bu makalede çok faktörlü kimlik doğrulama gücü (daha az kısıtlayıcı) önerilir
• Parolasız MFA gücü
• Kimlik avına dayanıklı MFA gücü (en kısıtlayıcı)

Yerleşik güçlü yönlerden birini kullanabilir veya gerektirmek istediğiniz kimlik doğrulama yöntemlerine göre özel bir kimlik doğrulama gücü oluşturabilirsiniz.

Dış kullanıcı senaryolarında, bir kaynak kiracısının kabul edebildiği MFA kimlik doğrulama yöntemleri, kullanıcının MFA'yı kendi ev kiracısında mı yoksa kaynak kiracısında mı tamamladığına bağlı olarak değişir. Daha fazla bilgi için bkz . Dış kullanıcılar için kimlik doğrulama gücü.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• İlkenin yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kilitlenir, acil durum erişimi yönetim hesabınız oturum açmak ve erişimi kurtarmak için adımlar atmak için kullanılabilir.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, tüm kullanıcıların kimlik doğrulama gücü ilkesini kullanarak çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektiren bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
2. Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Ekle'nin altında Tüm kullanıcılar'ı seçin
   2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
      1. Konuk kullanıcılarınızı konuk kullanıcıya özgü bir ilkeyle hedeflediyseniz dışlama seçeneğini belirleyebilirsiniz.
6. Hedef kaynaklar>Kaynaklar (eski adıyla bulut uygulamaları)Ekle bölümünde> Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları') öğesini seçin.
   1. Dışla'nın altında, çok faktörlü kimlik doğrulaması gerektirmeyen uygulamaları seçin.
7. Erişim denetimleri>Ver'in altında Erişim ver'i seçin.
   1. Kimlik doğrulaması gücü gerektir'i ve ardından listeden yerleşik Çok faktörlü kimlik doğrulama gücünü seçin.
   2. Seç'i seçin.
8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Adlandırılmış konumlar

Kuruluşlar, Koşullu Erişim ilkelerine Adlandırılmış konumlar olarak bilinen bilinen ağ konumlarını dahil etmeyi seçebilir. Bu adlandırılmış konumlar, bir ana ofis konumu için olanlar gibi güvenilir IP ağları içerebilir. Adlandırılmış konumları yapılandırma hakkında daha fazla bilgi için Microsoft Entra Koşullu Erişim'de konum koşulu nedir? makalesine bakın.

Önceki örnek ilkede bir kuruluş, bir bulut uygulamasına şirket ağından erişiyorsa çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Bu durumda ilkeye aşağıdaki yapılandırmayı ekleyebilirler:

1. Atamalar'ın altında Ağ'ı seçin.
   1. Evet'i yapılandırın.
   2. Herhangi bir ağ veya konum ekleyin.
   3. Tüm güvenilen ağları ve konumları hariç tutun.
2. İlke değişikliklerinizi kaydedin .

Uygulama dışlamaları

Kuruluşların kullanımda olan birçok bulut uygulaması olabilir. Bu uygulamaların tümü eşit güvenlik gerektirmez. Örneğin, bordro ve katılım başvuruları MFA gerektirebilir, ancak kafeterya büyük olasılıkla gerektirmez. Yöneticiler, belirli uygulamaları ilkelerinden hariç tutma seçeneğini belirleyebilir.

Abonelik etkinleştirme

Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan ve erişimi denetlemek için Koşullu Erişim ilkelerini kullanan kuruluşların Dışlanan Bulut Uygulamalarını Seç'i kullanarak aşağıdaki bulut uygulamalarından birini Koşullu Erişim ilkelerinden dışlamaları gerekir:

• Evrensel Mağaza Hizmeti API'leri ve Web Uygulaması, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• İş İçin Windows Mağazası, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Uygulama kimliği her iki örnekte de aynı olsa da, bulut uygulamasının adı kiracıya bağlıdır.

Bir cihaz uzun bir süre çevrimdışı olduğunda, bu Koşullu Erişim dışlaması geçerli değilse otomatik olarak yeniden etkinleştirilmeyebilir. Bu Koşullu Erişim dışlama ayarının ayarlanması, Abonelik Etkinleştirme'nin sorunsuz bir şekilde çalışmaya devam etmesini sağlar.

KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2'den başlayarak, Abonelik Etkinleştirme'nin yeniden etkinleştirilmesi gerektiğinde kullanıcılardan bildirim bildirimiyle kimlik doğrulaması istenir. Bildirimde aşağıdaki ileti gösterilir:

Hesabınız kimlik doğrulaması gerektiriyor

Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.

Ayrıca Etkinleştirme bölmesinde aşağıdaki ileti görüntülenebilir:

Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.

Kimlik doğrulaması istemi genellikle bir cihaz uzun bir süre çevrimdışı olduğunda oluşur. Bu değişiklik, KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2 için Koşullu Erişim ilkesinde dışlama gereksinimini ortadan kaldırır. Bildirim yoluyla kullanıcı kimlik doğrulaması istemi istenmiyorsa, Koşullu Erişim ilkesi windows 11, sürüm 23H2 ve KB5034848 veya sonraki sürümlerle kullanılabilir.

İlgili içerik

• Koşullu Erişim şablonları
• Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.