Aracılığıyla paylaş

Yöneticiler için kimlik avına dayanıklı çok faktörlü kimlik doğrulaması gerektirme

  • Makale

Ayrıcalıklı yönetim rollerine atanan hesaplar, saldırganların sık sık hedefidir. Bu hesaplarda kimlik avına dayanıklı çok faktörlü kimlik doğrulaması (MFA) gerektirmek, bu hesapların tehlikeye atılması riskini azaltmanın kolay bir yoludur.

Dikkat

Kimlik avına dayanıklı çok faktörlü kimlik doğrulaması gerektiren bir ilke oluşturmadan önce, yöneticilerinizin uygun yöntemlerin kayıtlı olduğundan emin olun. Bu adımı tamamlamadan bu ilkeyi etkinleştirirseniz, kendinizi kiracınızın dışına kilitleme riskiyle karşı karşıyasınız. Yöneticiler, parolasız kimlik doğrulama yöntemlerini kaydetmek için Geçici Erişim Geçişi'ni yapılandırabilir veya Geçiş anahtarı kaydetme (FIDO2) içindeki adımları izleyebilir.

Microsoft, aşağıdaki rollerde kimlik avına dayanıklı çok faktörlü kimlik doğrulamasına en azından ihtiyaç duymanızı önerir:

  • Genel Yönetici
  • Uygulama Yöneticisi
  • Kimlik Doğrulama Yöneticisi
  • Faturalama Yöneticisi
  • Bulut Uygulaması Yöneticisi
  • Koşullu Erişim Yöneticisi
  • Exchange Yöneticisi
  • Yardım Masası Yöneticisi
  • Parola Yöneticisi
  • Ayrıcalıklı Kimlik Doğrulama Yöneticisi
  • Ayrıcalıklı Rol Yöneticisi
  • Güvenlik Yöneticisi
  • SharePoint Yöneticisi
  • Kullanıcı Yöneticisi

Kuruluşlar kendi gereksinimlerine göre rolleri dahil etmeyi veya hariç tutmayı seçebilir.

Kuruluşlar bu ilkeyi Privileged Identity Management (PIM) gibi özelliklerle ve rol etkinleştirme için MFA gerektirme özelliğiyle birlikte kullanabilir.

Kimlik doğrulama gücü

Bu makaledeki yönergeler, kuruluşunuzun kimlik doğrulama güçlü yanlarını kullanarak ortamınız için bir MFA ilkesi oluşturmanıza yardımcı olur. Microsoft Entra ID üç yerleşik kimlik doğrulaması gücü sağlar:

  • Çok faktörlü kimlik doğrulama gücü (daha az kısıtlayıcı)
  • Parolasız MFA gücü
  • Bu makalede kimlik avına dayanıklı MFA gücü (en kısıtlayıcı) önerilir

Yerleşik güçlü yönlerden birini kullanabilir veya gerektirmek istediğiniz kimlik doğrulama yöntemlerine göre özel bir kimlik doğrulama gücü oluşturabilirsiniz.

Dış kullanıcı senaryolarında, bir kaynak kiracısının kabul edebildiği MFA kimlik doğrulama yöntemleri, kullanıcının MFA'yı kendi ev kiracısında mı yoksa kaynak kiracısında mı tamamladığına bağlı olarak değişir. Daha fazla bilgi için bkz . Dış kullanıcılar için kimlik doğrulama gücü.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

  • İlkenin yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kilitlenir, acil durum erişimi yönetim hesabınız oturum açmak ve erişimi kurtarmak için adımlar atmak için kullanılabilir.
  • Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
    • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Uyarı

Dış kimlik doğrulama yöntemleri kullanıyorsanız, bunlar şu anda kimlik doğrulama gücüyle uyumsuz durumdadır ve Çok faktörlü kimlik doğrulaması izni gerektir denetimini kullanmanız gerekir.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>göz atın.
  3. Yeni ilke'yi seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

    1. Ekle'nin altında Dizin rolleri'ni seçin ve en azından daha önce listelenen rolleri seçin.

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri, yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.

    2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.

  6. Kaynaklar (eski adıyla bulut uygulamaları)Ekle> Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları')>
  7. Erişim denetimleri> altında Erişim ver'i seçin.
    1. Kimlik doğrulaması gücü gerektir'i ve ardından listeden Kimlik avına dayanıklı MFA gücü'ne tıklayın.
    2. Seç'i seçin.
  8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
  9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

İlgili içerik