Merhaba, bu yazımda Azure Multi-Factor Authentication implemetasyonu ve yönetiminden bahsedeceğim. Biraz uzun bir yazı olduğu için, konu başlıklarını maddeler halinde aşağıda paylaşıyorum, dilerseniz direkt olarak aradığınız konu başlığına ulaşabilirsiniz.

Başta Office 365 ve Azure olmak üzere, bir çok ortamda ikinci bir katman ekleyerek oturum açma işlemlerinin güvenliğini arttıran bu kimlik doğrulama modeline, Azure MFA adını vermekteyiz. Eğer mevcutta bir Office 365 tenantınız var ise Azure Multi-Factor Authentication ile ilgili ayarlara Azure Active Directory > güvenlik > MFA bölümünden erişebilirsiniz. Tüm detayları bölümler halinde görseller ile açıklayacağım.

Azure MFA Lisans Modelleri

Aşağıdaki tabloda görüldüğü gibi MFA farklı ürün aileleri içerisinde de bazı özelliklerle gelirken, tek başına P1 ve P2 paketi olarak da satın alınabiliyor. İlk model, yönetici accountu olan bir office 365 ve Azure aboneliği, bu abonelik tipinde yöneticilerin 2FA kullanımına izin verilirken bazı basic özellikler de içerisinde geliyor. Daha ileri düzey güvenlik önlemleri için (conditional Acces vb) premium 1 ya da premium 2 paketi tercih edebilirsiniz.

Azure Multi Factor Authentication nin kullanılabilir sürümleri - 10 Adımda Azure Multi-Factor Authentication (MFA)

Azure MFA Aktivasyonu

Yukarıdaki temellere göre Azure Multi-Factor Authentication’a abonelik tipinize uygun olarak  Azure Active Directory > güvenlik > MFA bölümünden erişebilirsiniz. Office 365 kullanıcısı dahi olsanız bu bölümü direkt yönetebilirsiniz. Dilerseniz Office 365 üzerinden Kullanıcılar > Aktif kullanıcılar > Sağ kısımda yer alan üç nokta bölümünden > Setup MFA menüsüne ulaşabilirsiniz.

Azure MFA nasıl etkinleştirilir - 10 Adımda Azure Multi-Factor Authentication (MFA)Açılan menüden, tek tek ya da toplu olarak MFA’i aktif edebilirsiniz. Yukarıda yer alan roles bölümünden sadece yöneticiler için de aktivasyon sağlamak mümkün olacaktır.

Enforce:Modern kimlik doğrulamayı desteklemeyen, Outlook 2007 -2010 – 2013 gibi sürümler ya da IOS 11 öncesi sürümler için erişimi enforce ederek durdurabilirsiniz. Enforce edildiğinde tüm bu cihazlarda oturum sonlanacak ve erişim için application passwords‘e ihtiyaç duyulacaktır. Bu konuya daha sonra deytineceğim.

bulk update ve MFA enforce - 10 Adımda Azure Multi-Factor Authentication (MFA)

Service settings:Bu menüde ise, kullanıcıların hangi doğrulama yöntemlerini kullanacağını, Modern kimlik doğrulamayı desteklemeyen neler yapması gerektiğini, MFA aktif olamayacak güvenli ip adreslerini ve remember multi-factor authentication (learn more) seçeneğinde ise, aynı cihazda MFA doğrulamasının kaç gün geçerli olacağı gibi ayarları yapılandırabilirsiniz.

multi factor authentication service settings - 10 Adımda Azure Multi-Factor Authentication (MFA)

MFA aktif edildiğinde kullanıcı ilk login ekranı aşağıdaki gibi gelecektir. Burada yazan bilgileri doldurarak, MFA aktivasyonunu tamamlayabilirsiniz.

mfa login ekranı - 10 Adımda Azure Multi-Factor Authentication (MFA)

Telefon Tanımlama:Eğer telefon numaranızı tanımlamadıysanız ya da değiştirmek isterseniz bunu Office 365 My Accounts bölümünden yapabilmeniz mümkün.

Azure MFA telefon aktivasyonu ve ayarlar - 10 Adımda Azure Multi-Factor Authentication (MFA)

Azure Multi-Factor Authentication Uygulama Parolaları

App Passwords:Uygulama şirelerini de aynı menü içerisinden aktif edebilirsiniz. Yukarıda da bahsettiğim gibi, MFA desteklemeyen eski uygulamalar Outlook 2010 vb. MFA etkinleştirildiği ve Enforce edildiği noktada oturum açabilmek için uygulama şifrelerine ihtiyaç duyacaktır.

Azure Multi Factor App passwords uygulama şifreleri - 10 Adımda Azure Multi-Factor Authentication (MFA)

daha ileri seviye MFA özellikleri için Azure Active Directorty p1 ve p2 konusunda değineceğim.

Azure AD Premium Özellikleri 

İhtiyacınıza göre aşağıdaki uyumluluklara uygun olarak istediğiniz feature’ı satın alabilirsiniz, P1 ve P2 özellikleri ek olarak EMS paketinde de sunulmaktadır, benim EMS paketim olduğu için bu paket üzerinden örneklendireceğim.

azure active directory free p1 p2 features özellikler - 10 Adımda Azure Multi-Factor Authentication (MFA)

Azure AD Kullanıcı lisans ataması

Azure AD üzerinde lisans eklemek için portal.azure.com sayfasından yararlanabilirsiniz. P2 paketini 1 ay süre ile deneyebileceğiniz gibi, EMS için demo talep edebilir ya da direkt satın alma işlemi sağlayabilirsiniz.

Azure active directory lisans ekleme - 10 Adımda Azure Multi-Factor Authentication (MFA)

Önemli: AD lisansı atarken, kullanıcıların Location yani ülkeleri belirtilmediyse bu konuyla ilgili “License not assigned” hatası alabilirsiniz. İlk olarak Azure AD ya da O365 kullanıcıları için ülke belirtmeli ve sonrasında lisans ataması yapmalısınız.

Azure MFA conditional Aceess - 10 Adımda Azure Multi-Factor Authentication (MFA)

Azure Active Directory Conditional Access

Koşullu erişim seçeneği kullancıların oturum açtıkları bölge ya da ip adresine göre servislere erişimini denetleyen bir özellikltir. Böylelikle şifre ve 2FA dışında kullanıcılar için cihaz, ip, lokasyon gibi ileri seviye tanımlamalar yaparak, güvenliği daha ileri bir seviyey taşıyabilirsiniz.

conditional access - 10 Adımda Azure Multi-Factor Authentication (MFA)
Sign-in Risks:Bu policynin atalı olduğu kullanıcılar için risk düzeyleri belirleyebilirsiniz, bu özelliğe farklı bir yazımda deyineceğim.

Conditional Access Policies Sign Risk min - 10 Adımda Azure Multi-Factor Authentication (MFA)
Device Platforms: Bu bölümde, condition belirleyeceğiniz uygulamaları seçebilirsiniz. Örneğin IOS için condition belirleyip Android için bunu atlatabilirsiniz.

Conditional Access Policies Devices min - 10 Adımda Azure Multi-Factor Authentication (MFA)

Locations:Kullanıcıların hangi bölgeden erişim sağlayabileceğini özelleştirebilirsiniz.

Conditional Access Policies Locations min - 10 Adımda Azure Multi-Factor Authentication (MFA)

Cloud Apps: Bu condition ile hangi uygulamara MFA uygulanacağını özelleştirebilirsinz.

Conditional Access Policies Cloud Apps min - 10 Adımda Azure Multi-Factor Authentication (MFA)Client Apps:Kullanıcı atarafında hangi servis ya da uygulamaların bu hizmetlere erişebileceğini seçebilirsiniz. Sadece browser tabanda MFA’i açarak diğer uygulamalar için devre dışı bırakabilirsiniz.

Conditional Access Policies Client Apps min - 10 Adımda Azure Multi-Factor Authentication (MFA)Grent Access:Son olarak verilecek yetki aşağıdaki gibidir, dilerseniz bu adımı da özelleştirebilirsiniz.

Conditional Access Policies Grant Access min - 10 Adımda Azure Multi-Factor Authentication (MFA)

Azure Multi-Factor Authentication Yapılandırma

Bu bölümde ise, MFA ayarlarını tek tek inceleyerek hangi görevleri yerine getirdiğine bakacağız. Buradaki özelliklerin bazıları Cloud base MFA için geçerli olsa da, bazı servisler On-premises için geçelirid ve yeni tenantlarda MFA on-prem seçeneği 2019 Haziran itibariyle kaldırılmıştır, bu nedenle bu detaylara değinmeyeceğim.

Cache Rules: MFA ile authentice olan cihazlar için Cache kuralları oluşturabilirsiniz. Radius ya da VPN gibi ek istek ve sınırları bu bölümden belirleyebilirsiniz.

Multi Factor Authentication Caching Rules min - 10 Adımda Azure Multi-Factor Authentication (MFA)Notifications: Bu condition MFA server için geçerli bir özelliktir, on-prem bir MFA server kullanıyorsanız bildirimleri bu seçenek ile aktif konuma getirebilirsiniz.

Multi Factor Authentication Notifications min - 10 Adımda Azure Multi-Factor Authentication (MFA)OATH Tokens: 3rd party doğrulama sağlanacak cihazlar için OATH Token’ları upload edebileceğiniz bölümdür. 5’ten fazla cihaz kullanıyorsanız, destekli vendorlara ait OATH Token’ları kullanabilirsiniz.

Multi Factor Authentication OATH Tokens min - 10 Adımda Azure Multi-Factor Authentication (MFA)Account Lockout: İlk seçenek sadece PIN ile login olan MFA server kullanıcılar için geçerlidir, 3. seçenek ise, bloklandığı anda ne kadar süre ile aktif hale geleceğini belirleyebilirsiniz.

Multi Factor Authentication Account Lockput min - 10 Adımda Azure Multi-Factor Authentication (MFA)Block Users: Kullanıcının giriş bilgilerini süresiz olarak kilitler. Cihaz çalınmaları ya da kayıp gibi durumlarda bu özelliği aktif hale getirebilirsiniz.

Multi Factor Authentication Block Users min - 10 Adımda Azure Multi-Factor Authentication (MFA)Fraud Alerts: Sahtekarlık denemeleri, kullanıcı hesabına bir deneme geldiğinde bildirim gelmesini ve daha fazla MFA Authentication uygulamasını sağlayabilirsiniz.

Multi Factor Authentication Fraud Alert min - 10 Adımda Azure Multi-Factor Authentication (MFA) One Time Bypass Kullanıcının MFA için kullandığı cep telefonuna erişimi yoksa burada tanımlanan süre içerisinde MFA’yi atlamasını sağlayabilirsiniz. Örneğin telefonunu kaybedeb bir kullanıcı için 1 saat belirleyip yeni bir telefonda MFA ile otantike olmasını sağlayabilirsiniz.

Multi Factor Authentication One Time Baypass min - 10 Adımda Azure Multi-Factor Authentication (MFA) Phone Call Settings: Kullanıcının aranacağı telefon numarasını seçebilir, karşılama, fraud ve çeliştli senaryolar için özelleştirilmiş sesli mesajları bu bölümden uplaod edebilirsiniz. Mp3 ve Wav dosyası desteklemektedir.

Multi Factor Authentication Phone Call Settings min - 10 Adımda Azure Multi-Factor Authentication (MFA)

MFA Monitoring ve Raporlama

Azure portal üzerinden MFA için sign-ins bölümüne girerek tüm başarılı ve hatalı girişlere tek bir panelden ulaşabilir ve raporlayabilrsiniz.

Azure MFA monitoring - 10 Adımda Azure Multi-Factor Authentication (MFA)oturum açma ayrıntılarına tüm detayları ile ulaşmanız da mümkün. Varsayılan olarak 30 gün saklanan bu dataları azure storage account’a bağlanayarak daha uzun süre saklayabilirsiniz.

Azure MFA Raporlama - 10 Adımda Azure Multi-Factor Authentication (MFA)detaylı kullanım örnekleri ve sorularınız için bana iletişim adresim ya da yorum yaparak ulaşabilirsiniz, umarım faydalı bir yazı olmuştur, farklı bir konuda görüşmek üzere.

Sending
User Review
4.5 (4 votes)

Yorum Bırakın

This site uses Akismet to reduce spam. Learn how your comment data is processed.