[toc]Merhaba, bu yazımda Azure Multi-Factor Authentication implemetasyonu ve yönetiminden bahsedeceğim. Biraz uzun bir yazı olduğu için, konu başlıklarını maddeler halinde aşağıda paylaşıyorum, dilerseniz direkt olarak aradığınız konu başlığına ulaşabilirsiniz.
Başta Office 365 ve Azure olmak üzere, bir çok ortamda ikinci bir katman ekleyerek oturum açma işlemlerinin güvenliğini arttıran bu kimlik doğrulama modeline, Azure MFA adını vermekteyiz. Eğer mevcutta bir Office 365 tenantınız var ise Azure Multi-Factor Authentication ile ilgili ayarlara Azure Active Directory > güvenlik > MFA bölümünden erişebilirsiniz. Tüm detayları bölümler halinde görseller ile açıklayacağım.
[su_label type=”warning”]Azure MFA Lisans Modelleri[/su_label]
Aşağıdaki tabloda görüldüğü gibi MFA farklı ürün aileleri içerisinde de bazı özelliklerle gelirken, tek başına P1 ve P2 paketi olarak da satın alınabiliyor. İlk model, yönetici accountu olan bir office 365 ve Azure aboneliği, bu abonelik tipinde yöneticilerin 2FA kullanımına izin verilirken bazı basic özellikler de içerisinde geliyor. Daha ileri düzey güvenlik önlemleri için (conditional Acces vb) premium 1 ya da premium 2 paketi tercih edebilirsiniz.
[su_label type=”warning”]Azure MFA Aktivasyonu[/su_label]
Yukarıdaki temellere göre Azure Multi-Factor Authentication’a abonelik tipinize uygun olarak Azure Active Directory > güvenlik > MFA bölümünden erişebilirsiniz. Office 365 kullanıcısı dahi olsanız bu bölümü direkt yönetebilirsiniz. Dilerseniz Office 365 üzerinden Kullanıcılar > Aktif kullanıcılar > Sağ kısımda yer alan üç nokta bölümünden > Setup MFA menüsüne ulaşabilirsiniz.
Açılan menüden, tek tek ya da toplu olarak MFA’i aktif edebilirsiniz. Yukarıda yer alan roles bölümünden sadece yöneticiler için de aktivasyon sağlamak mümkün olacaktır.
[su_label type=”info”]Enforce:[/su_label]Modern kimlik doğrulamayı desteklemeyen, Outlook 2007 -2010 – 2013 gibi sürümler ya da IOS 11 öncesi sürümler için erişimi enforce ederek durdurabilirsiniz. Enforce edildiğinde tüm bu cihazlarda oturum sonlanacak ve erişim için application passwords‘e ihtiyaç duyulacaktır. Bu konuya daha sonra deytineceğim.
[su_label type=”info”]Service settings:[/su_label]Bu menüde ise, kullanıcıların hangi doğrulama yöntemlerini kullanacağını, Modern kimlik doğrulamayı desteklemeyen neler yapması gerektiğini, MFA aktif olamayacak güvenli ip adreslerini ve remember multi-factor authentication (learn more) seçeneğinde ise, aynı cihazda MFA doğrulamasının kaç gün geçerli olacağı gibi ayarları yapılandırabilirsiniz.
MFA aktif edildiğinde kullanıcı ilk login ekranı aşağıdaki gibi gelecektir. Burada yazan bilgileri doldurarak, MFA aktivasyonunu tamamlayabilirsiniz.
[su_label type=”info”]Telefon Tanımlama:[/su_label]Eğer telefon numaranızı tanımlamadıysanız ya da değiştirmek isterseniz bunu Office 365 My Accounts bölümünden yapabilmeniz mümkün.
[su_label type=”warning”]Azure Multi-Factor Authentication Uygulama Parolaları[/su_label]
[su_label type=”info”]App Passwords:[/su_label]Uygulama şirelerini de aynı menü içerisinden aktif edebilirsiniz. Yukarıda da bahsettiğim gibi, MFA desteklemeyen eski uygulamalar Outlook 2010 vb. MFA etkinleştirildiği ve Enforce edildiği noktada oturum açabilmek için uygulama şifrelerine ihtiyaç duyacaktır.
daha ileri seviye MFA özellikleri için Azure Active Directorty p1 ve p2 konusunda değineceğim.
[su_label type=”warning”]Azure AD Premium Özellikleri [/su_label]
İhtiyacınıza göre aşağıdaki uyumluluklara uygun olarak istediğiniz feature’ı satın alabilirsiniz, P1 ve P2 özellikleri ek olarak EMS paketinde de sunulmaktadır, benim EMS paketim olduğu için bu paket üzerinden örneklendireceğim.
[su_label type=”warning”]Azure AD Kullanıcı lisans ataması[/su_label]
Azure AD üzerinde lisans eklemek için portal.azure.com sayfasından yararlanabilirsiniz. P2 paketini 1 ay süre ile deneyebileceğiniz gibi, EMS için demo talep edebilir ya da direkt satın alma işlemi sağlayabilirsiniz.
Önemli: AD lisansı atarken, kullanıcıların Location yani ülkeleri belirtilmediyse bu konuyla ilgili “License not assigned” hatası alabilirsiniz. İlk olarak Azure AD ya da O365 kullanıcıları için ülke belirtmeli ve sonrasında lisans ataması yapmalısınız.
[su_label type=”warning”]Azure Active Directory Conditional Access[/su_label]
Koşullu erişim seçeneği kullancıların oturum açtıkları bölge ya da ip adresine göre servislere erişimini denetleyen bir özellikltir. Böylelikle şifre ve 2FA dışında kullanıcılar için cihaz, ip, lokasyon gibi ileri seviye tanımlamalar yaparak, güvenliği daha ileri bir seviyey taşıyabilirsiniz.
[su_label type=”info”]Sign-in Risks:[/su_label]Bu policynin atalı olduğu kullanıcılar için risk düzeyleri belirleyebilirsiniz, bu özelliğe farklı bir yazımda deyineceğim.
[su_label type=”info”]Device Platforms:[/su_label] Bu bölümde, condition belirleyeceğiniz uygulamaları seçebilirsiniz. Örneğin IOS için condition belirleyip Android için bunu atlatabilirsiniz.
[su_label type=”info”]Locations:[/su_label]Kullanıcıların hangi bölgeden erişim sağlayabileceğini özelleştirebilirsiniz.
[su_label type=”info”]Cloud Apps:[/su_label] Bu condition ile hangi uygulamara MFA uygulanacağını özelleştirebilirsinz.
[su_label type=”info”]Client Apps:[/su_label]Kullanıcı atarafında hangi servis ya da uygulamaların bu hizmetlere erişebileceğini seçebilirsiniz. Sadece browser tabanda MFA’i açarak diğer uygulamalar için devre dışı bırakabilirsiniz.
[su_label type=”info”]Grent Access:[/su_label]Son olarak verilecek yetki aşağıdaki gibidir, dilerseniz bu adımı da özelleştirebilirsiniz.
[su_label type=”warning”]Azure Multi-Factor Authentication Yapılandırma[/su_label]
Bu bölümde ise, MFA ayarlarını tek tek inceleyerek hangi görevleri yerine getirdiğine bakacağız. Buradaki özelliklerin bazıları Cloud base MFA için geçerli olsa da, bazı servisler On-premises için geçelirid ve yeni tenantlarda MFA on-prem seçeneği 2019 Haziran itibariyle kaldırılmıştır, bu nedenle bu detaylara değinmeyeceğim.
[su_label type=”info”]Cache Rules:[/su_label] MFA ile authentice olan cihazlar için Cache kuralları oluşturabilirsiniz. Radius ya da VPN gibi ek istek ve sınırları bu bölümden belirleyebilirsiniz.
[su_label type=”info”]Notifications:[/su_label] Bu condition MFA server için geçerli bir özelliktir, on-prem bir MFA server kullanıyorsanız bildirimleri bu seçenek ile aktif konuma getirebilirsiniz.
[su_label type=”info”]OATH Tokens:[/su_label] 3rd party doğrulama sağlanacak cihazlar için OATH Token’ları upload edebileceğiniz bölümdür. 5’ten fazla cihaz kullanıyorsanız, destekli vendorlara ait OATH Token’ları kullanabilirsiniz.
[su_label type=”info”]Account Lockout:[/su_label] İlk seçenek sadece PIN ile login olan MFA server kullanıcılar için geçerlidir, 3. seçenek ise, bloklandığı anda ne kadar süre ile aktif hale geleceğini belirleyebilirsiniz.
[su_label type=”info”]Block Users:[/su_label] Kullanıcının giriş bilgilerini süresiz olarak kilitler. Cihaz çalınmaları ya da kayıp gibi durumlarda bu özelliği aktif hale getirebilirsiniz.
[su_label type=”info”]Fraud Alerts:[/su_label] Sahtekarlık denemeleri, kullanıcı hesabına bir deneme geldiğinde bildirim gelmesini ve daha fazla MFA Authentication uygulamasını sağlayabilirsiniz.
[su_label type=”info”] One Time Bypass[/su_label] Kullanıcının MFA için kullandığı cep telefonuna erişimi yoksa burada tanımlanan süre içerisinde MFA’yi atlamasını sağlayabilirsiniz. Örneğin telefonunu kaybedeb bir kullanıcı için 1 saat belirleyip yeni bir telefonda MFA ile otantike olmasını sağlayabilirsiniz.
[su_label type=”info”] Phone Call Settings:[/su_label] Kullanıcının aranacağı telefon numarasını seçebilir, karşılama, fraud ve çeliştli senaryolar için özelleştirilmiş sesli mesajları bu bölümden uplaod edebilirsiniz. Mp3 ve Wav dosyası desteklemektedir.
[su_label type=”warning”]MFA Monitoring ve Raporlama[/su_label]
Azure portal üzerinden MFA için sign-ins bölümüne girerek tüm başarılı ve hatalı girişlere tek bir panelden ulaşabilir ve raporlayabilrsiniz.
oturum açma ayrıntılarına tüm detayları ile ulaşmanız da mümkün. Varsayılan olarak 30 gün saklanan bu dataları azure storage account’a bağlanayarak daha uzun süre saklayabilirsiniz.
detaylı kullanım örnekleri ve sorularınız için bana iletişim adresim ya da yorum yaparak ulaşabilirsiniz, umarım faydalı bir yazı olmuştur, farklı bir konuda görüşmek üzere.
