|
Merhaba, 2017 yılından beri duyurusu yapılan Temel Kimlik Doğrulamayı Microsoft bu sene içinde kapatıyor. Orjinal Microsoft duyurusuna buradan erişebilirsiniz. Aslında konu sadece modern kimlik doğrulama ile bitmiyor 4 konu birbiri ile bağlantılı.
İlk Önce 1. Adım: Modern authentication nasıl açılır sahada bir kesintiye neden olur mu? Office 365 üzerinde admin center’a girin ve buradan – kuruluş ayarlarına – modern authentication menüsüne girin, sağ menüde açılan kutucuğu tikleyin. Alttaki kutucukların tiklerini şimdilik kaldırmayın. Bu tikleri kaldırırsanız; sahada "kesinlikle Klasik Authentication kullanılmasın" anlamına gelir ve kesintiye neden olur. Bu tikleri tüm sahanızda modern authentication kullanmayan sistem kalmadığından emin oılduğunuzda kaldırın. |
Şimdi 2. Adıma geçelim kullanıcılarımızın O365 portalına kaydolmalarını sağlayalım. Bunu yapmadan önce bir belge hazırlayın ve kullanıcılarınıza duyuru ile bu doküman adımlarını bildirin.
Bildirim örneğini aşağıdaki gibi yapabilirsiniz.
Bildiriyi yaptıktan sonra https://Portal.azure.com adresinizde oturum açın ve Azure Active Directory'e gidin buradan Password reset | Properties menüsüne gelin ve All seçeneğini seçin. (isterseniz selected ile AD gruplarından departman departmanda ilerleyebilirsiniz)
Örnek duyuru metnini aşağıdaki gibi hazırlayabilirsiniz.
|
Merhaba, 02.02.2022 (yarın) tarihinden itibaren O365 web portale girdiğinizde sizden telefon numaranızı kaydetmenizi isteyen bir ekran ile karşılaşacaksınız. Bu kayıt işleminden sonra kurumsal şifrenizi portal üzerinden kendiniz değiştirebileceksiniz. Not: Kurumsal şifreniz aşağıda belirtilen alanlar için geçerlidir.
Şifrenizi SMS ile sıfırlamak için önce cep telefonu numaranızı sisteme kaydettirmeniz gerekmektedir. Kayıt için https://office.com web sitesine gidin kullanıcı adı ve şifreniz ile oturum açın.
Gelen ekrandaki kutuya cep telefonu numaranızı girin.
Parolanızı unuttuğunuzda, şifre kullanım süresi bittiğinde veya hesabınız kilitlendiğinde aşağıdaki linkten şifrenizi sıfırlayabilirsiniz. Bu linki sık kullanılan yer imlerinize kaydedin ilerde gerekli olacaktır https://passwordreset.microsoftonline.com/ Gelen ekranda şifrenizi sıfırlamak istediğiniz hesabınızın mail adresinizi girin sisteme kayıt ettirdiğiniz telefon numaranızı girin.
Gelen SMS konu girin.
Yeni şifrenizi belirleyin. Yeni şifrenizi belirlerken 1 Büyük harf (B) Örnek şifreleri şu şekilde olabilir: Wh287-s2
Küçük bir bilgi: Gerek iş hayatınızda gerek özel hayatınızda şifreleriniz çok önemlidir. Bunun sebebi internette yapay zeka ile oluşturulmuş ülkelere özel password deneme listeleridir. Örneğin Türklere özel hazırlanmış özel listeler vardır. Türk isimleri, Doğum tarihleri ve özel kombinasyonlardan oluşan 2.000.000.000 kombinasyonlu listeler vardır. Gtx 3090 ekran kartına sahip sıradan bir bilgisayar şifre kırma makinesine çevrildiğinde saniyede hesabınıza 3.000.000 deneme yapabilir. Bu sebepten şifrelerinizi 45 günde bir değiştirmeniz gerekmektedir.
|
Şimdi 3. Adıma geçelim MFA’yı devreye almak. Bu işlemi diğer 2 adımdan yaklaşık iki ay sonra devreye almanızı öneririm. Devreye alırken Active Directory üzerinde MFA ya da SSPR adında bir grup oluşturun bu gruba üye yaptığınız kişilerde MFA devreye girecektir. Devreye alım işlemleri ile ilgili Microsoft’un yayımladığı videoyu izleyebilirsiniz.
https://Portal.azure.com üzerinden conditional access menüsüne girin ve yeni bir policy oluşturun ben burada adına MFA_All_Users ismini verdim ve MFA aktif olacak kişiler için sspr-test adında bir grup oluşturdum.
Güvenliğin tam olarak sağlanması için tüm cloud ürünlerinde MFA geçerli olsun. İsterseniz daha sonradan bazı uygulamaları exclude edebilirsiniz.
Hangi tür cihazlarda MFA devreye girsin derseniz yine bütün cihazlarda devreye girmesini şiddetle öneririm.
Birden fazla doğrulama yöntemi vardır biz burada MFA ile ilerleyeceğimiz için sadece MFA seçiyoruz.
Son olarak uygulama tarafında ek bir kısıtlama vermeden politikayı etkinleştiriyoruz.
Şimdi 4. Adıma geçelim aslında 3. Adımda yaptığımız gruplar ile burası ilişkili MFA’yı tüm sahaya yaymadan önce içerde sipariş, duyuru, acil durum bilgilendirmesi yapan sistem e-posta adreslerinin tespit edilip bir listesinin çıkartılması gerekiyor. Eğer bunu yapmazsanız içerde çok sıkıntı oluşturan çağrı kayıtları ile karşılaşabilirsiniz.
Örneğin müşteri siparişleri tarafınıza ulaşmaya bilir veya arıza yapmış bir sistemin bildirimi size düşmeyebilir. Ayrıca bu bildirim e-postaları kullanıcıların Outlook sistemlerine tanımlı ise bunların kaç kişi olduğunu tespit etmeniz gerekli çünkü bu kişilere ayarlarını nasıl yapacakları konusunda yardımcı olmanız gerekecek.
Microsoft makalesini buradan inceleyebilirsiniz.
Microsoft artık MFA uygulamaya zorlamakta ve modern Authentication olmayan sistemlerde SMS ile gelen kodu girebileceğiniz bir alan olmadığından SMTP ile e-posta atan uygulamalarınız sorun oluşturacak.
Bu sorunu aşmak için O365 hesapları ile smtp e-posta göndermeye çalıştığınızda kullanıcı adı ve şifre gönderiminde şifre yerine artık özel oluşturulan bir kod kullanmanız gerekmekte. Bunun bir avantajı da hesabın şifresi belirli bir günde değiştirilmek zorunda olsanız da bu kod’un bir son kullanım tarihi bulunmamakta. Bu kod sadece smtp mail gönderimi ve alımında kullanılabilir (Outlooklarda, mobil cihaz uygulamalarında da kullanılabilir) web panele erişim için kullanılamaz.
O365 SMTP e-posta gönderecek hesaplar için legacy applications using app passwords oluşturulması için Azure Active Directory veya O365 üzerinden MFA ayarlarının yapılmış olması gerekmekte. 3’üncü adımda nasıl yapılabileceğini anlatmıştım.
MFA yapılmış hesap ile oturum açıyoruz.
Kullanıcı oturum açtıktan sonra sağ üst köşeden hesabı görüntüle linkine tıklayın.
Güvenlik bilgileri – Metot ekle – uygulama parolasını seçin
Uygulama koduna bir isim veriyoruz
Size şifre yerine kullanabileceğiniz bir kod üretecektir smtp mail gönderecek programda bu kodu kullanabilirsiniz. Kod size bir kere gösterilir bir daha göremezsiniz bu sebepten bunu bir yere kaydetmelisiniz. Bu koddan her uygulama için ayrı ayrı üretebilirsiniz.
Ayrıca ortak e-posta hesaplarında MFA için birden fazla erişim sağlayacak Microsoft Authenticator uygulaması tanımlaması yapabilirsiniz. NOT: maksimum authenticator tanımlaması 5 kişiye kadar yapılabilmektedir.
Oluşturduğunuz App Password kullanımını test etmek için outlook üzerinde bir smtp tanımlaması yapabilirsiniz örnek yapılandırma aşağıdaki gibi olacaktır.
Biliyorum makale çok uzun oldu yaptık bir makale tam olsun bari...
Kullanıcılarınız MFA'ya geçtiklerinde daha sonradan ilave yöntemleri nasıl ekleyebilecekeri ve mevcut ekledikleri bilgileri nasıl değiştirip silebilecekleri konusunda dökümanlarda hazırlamalısınız.
Örnek bir dökümanı şu şekilde hazırlayabilirsiniz.
|
Microsoft, Google, Facebook vb… online platformlarda şifrelerin ele geçirilmesi sonucu çalınan hesapları önlemek için MFA önlemini almaya başlamışlardır. Cep telefonunuza gelen sms ile doğrulamaya ilave olarak Cep telefonuna kurulan Microsoft Authentication uygulamasını kullanabilirsiniz. Hesaplarda MFA kodu oluşturmak için Cep Telefonunuza Micrososft Authentication uygulamasını kurun.
Daha sonrasında MFA yapmak istediğiniz hesabınıza https://office.com üzerinden login olun.
Sağ üst köşeden yuvarlak içindeki isimlere tıklayın ve hesabımı görüntüleye basın -- Güvenlik bilgileri -- methot ekle menüsünden açılan listeden kimlik doğrulayıcı uygulamasını seçin.
İleri butonları ile QR koduna kadar gelin.
Telefonunuzdan Microsoft Authenticator uygulamasını açın ve + simgesi ile hesap ekle butonuna basın iş okul hesabını seçip QR kodu taratın
QR kodunu taradıktan sonra web sayfası üzerinde ileri butonuna basıyoruz. Telefonumuza onay vermemizi söyleyen bir uyarı gelecektir onay verince işlem tamamlanmış olacaktır.
Bundan sonraki süreçte farklı bir bilgisayar veya web tarayıcıdan bu hesaba girmek istediğinizde telefonunuzdan onay vermeniz gerekmekte. Bu vermiş olduğunuz onay o bilgisayar için 365 gün boyunca geçerli olacaktır yani size 365 gün boyunca bir daha MFA kodu sormayacaktır. Ayrıca yine bu menüden Varsayılan oturum açma yöntemizinizi değiştirebilirsiniz.
|
MFA hesaplarının belirli bir süre sonunda (365 gün veya daha kısa sürelerde) tekrarlanmasının ayarlarını aşağıdaki şekilde yapabilirsiniz.
İlave olarak belirlediğiniz ip bloklarında çalışan kullanıcılara hiçbir zaman mfa kodu sormamasınıda sağlayabilirsiniz. Örneğin: dış ip bloğunuz 85.84.82.99/32 gibi.
Ayrıca App password bazı hesaplarınızda çıkmıyor ise O365 tarafında mfa alanından kullanıcıya tıklayarak mfa'ya zorla demeniz gerekebilir.