Microsoft Entra ile Kurumsal Kimlik Yönetimi: Sıfır Güven Rehberi
Bulut odaklı çalışma ortamlarında ağ çevresi artık güvenlik sınırı değildir — kimlik, yeni güvenlik çevresidir. Microsoft Entra ürün ailesi, Sıfır Güven (Zero Trust) prensipleri üzerine inşa edilmiş kapsamlı bir kimlik ve erişim yönetimi ekosistemi sunar. Bu rehber, koşullu erişimden ayrıcalıklı kimlik yönetimine, parolasız doğrulamadan Copilot öncesi kimlik hijyenine kadar tüm kritik bileşenleri ele almaktadır.
Sıfır Güven (Zero Trust) Nedir?
Geleneksel güvenlik modelleri, kurumsal ağın sınırlarını bir kale duvarı gibi korumaya dayanıyordu: içeride olanlar güvenilir, dışarıda olanlar güvenilmezdi. Hibrit çalışma, bulut hizmetleri, kişisel cihaz kullanımı ve yapay zeka uygulamalarının yaygınlaşmasıyla bu model temelden çökmüştür. Çalışanlar ofis dışından bağlanmakta, veriler birden fazla bulut platformunda yaşamakta ve saldırganlar çalıntı kimlik bilgileriyle "içerideymiş" gibi hareket etmektedir.
Sıfır Güven, bu gerçekliğe yanıt olarak ortaya çıkan bir güvenlik mimarisidir. Temel felsefesi şudur: hiçbir kullanıcıya, cihaza veya ağa varsayılan olarak güvenme; her erişim talebini doğrula.
Microsoft'un Sıfır Güven çerçevesi üç temel prensip üzerine inşa edilmiştir:
Açıkça Doğrula (Verify Explicitly)
Her kimlik doğrulama ve yetkilendirme kararı, mevcut tüm veri noktalarına dayalı olarak alınmalıdır. Kullanıcı kimliği, cihaz durumu, konum, uygulama, veri hassasiyeti ve anormallik sinyalleri birlikte değerlendirilir. Tek bir faktöre dayalı güven artık kabul edilemez.
En Az Ayrıcalık İlkesi (Least Privilege Access)
Kullanıcı erişimi, Tam Zamanında (Just-In-Time / JIT) ve Yeterli Erişim (Just-Enough-Access / JEA) yaklaşımlarıyla sınırlandırılmalıdır. Risk tabanlı uyarlanabilir politikalar ve veri koruma mekanizmaları, erişimi sürekli minimum düzeyde tutar.
İhlal Varsayımı (Assume Breach)
Güvenlik mimarisi, bir ihlalin zaten gerçekleşmiş olabileceği varsayımıyla tasarlanmalıdır. Patlama yarıçapı (blast radius) minimize edilmeli, erişim segmentasyonu uygulanmalı, uçtan uca şifreleme doğrulanmalı ve analitik araçlarla sürekli görünürlük sağlanmalıdır.
2026 itibarıyla Microsoft'un güncel çerçevesi, bu prensipleri kimlik, uç nokta, veri, uygulama, altyapı ve ağ olmak üzere altı temel katmanda uygular. Kimlik katmanı, bu mimarinin temel taşıdır — çünkü bir saldırganın ağınıza erişmesinin en yaygın yolu, güvenliği aşılmış bir kimliktir.
Microsoft Entra Ürün Ailesi
Microsoft, kimlik ve erişim yönetimi çözümlerini "Entra" markası altında birleştirmiştir. Azure Active Directory'nin evriminden çok daha fazlası olan Entra ailesi, bulut çağının kimlik ihtiyaçlarını karşılayan kapsamlı bir ekosistem sunmaktadır.
Microsoft Entra ID
Eski adıyla Azure Active Directory olan Entra ID, ekosistemin çekirdek bileşenidir. Bulut tabanlı kimlik ve erişim yönetimi hizmeti olarak tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA), koşullu erişim politikaları ve uygulama yönetimi sunar.
Entra ID iki lisans katmanında sunulmaktadır:
| Özellik | Entra ID P1 | Entra ID P2 | |
|---|---|---|---|
| Koşullu erişim | Temel politikalar | Gelişmiş risk tabanlı politikalar | |
| MFA | Standart MFA | Risk tabanlı MFA | |
| Kimlik koruması | — | Entra ID Protection (risk algılama) | |
| Ayrıcalıklı erişim yönetimi | — | PIM (Privileged Identity Management) | |
| Erişim gözden geçirmeleri | — | Otomatik erişim gözden geçirmeleri | |
| Uygunluk yönetimi | — | Entitlement Management | |
| Dahil olduğu lisans | Microsoft 365 E3 | Microsoft 365 E5 |
Microsoft Entra ID Protection
Makine öğrenimi tabanlı risk algılama ve otomatik düzeltme hizmeti sunar. Her oturum açma girişimi, gerçek zamanlı olarak yüzlerce sinyal üzerinden analiz edilir: alışılmadık konum, imkânsız seyahat, bilinen saldırı kalıpları, sızdırılmış kimlik bilgileri ve daha fazlası. Tespit edilen riskler, otomatik olarak koşullu erişim politikalarını tetikleyerek MFA isteyebilir, oturumu engelleyebilir veya parola sıfırlama zorunluluğu getirebilir.
Microsoft Entra ID Governance
Kimlik yaşam döngüsü yönetimini otomatikleştiren bu bileşen, erişim paketleri, otomatik erişim gözden geçirmeleri ve yaşam döngüsü iş akışları sunar. Bir çalışan departman değiştirdiğinde veya şirketten ayrıldığında, erişim hakları otomatik olarak güncellenir veya kaldırılır.
Microsoft Entra Permissions Management
Çoklu bulut ortamlarında (Azure, AWS, Google Cloud) aşırı ayrıcalıklı kimlikleri tespit eden ve düzelten bir hizmettir. Kuruluşların bulut altyapılarındaki izin risklerini görünür kılarak en az ayrıcalık ilkesinin uygulanmasını sağlar.
Microsoft Entra Verified ID
Merkezi olmayan kimlik standartlarına dayalı doğrulanabilir kimlik bilgileri oluşturma ve doğrulama hizmeti sunar. Dijital diploma, sertifika veya çalışan kimliği gibi bilgilerin güvenli ve gizlilik korumalı biçimde paylaşılmasını mümkün kılar.
Microsoft Entra External ID
Müşteriler, iş ortakları ve tedarikçiler gibi dış kullanıcıların kimlik yönetimini sağlar. B2B iş birliği ve müşteriye yönelik (B2C) kimlik senaryolarını tek bir platformda birleştirir. Azure AD B2C'nin Mayıs 2025 itibarıyla yeni müşterilere kapatılmasıyla, Entra External ID bu alandaki birincil çözüm haline gelmiştir.
Microsoft Entra Internet Access ve Private Access
Güvenli ağ erişimi hizmetleri olarak, geleneksel VPN'lere alternatif sunar. Internet Access, SaaS uygulamalarına ve internet trafiğine güvenli erişim sağlarken; Private Access, şirket içi uygulamalara VPN'siz erişimi mümkün kılar.
Microsoft Entra Agent ID
2025 yılında tanıtılan en yeni bileşenlerden biri olan Agent ID, yapay zeka ajanlarının kimliklerini yönetmek ve güvenliğini sağlamak için tasarlanmıştır. Copilot ve diğer yapay zeka aracılarının erişim haklarını kontrol altında tutar.
Koşullu Erişim Politikaları Tasarlama
Koşullu erişim, Sıfır Güven mimarisinin uygulama katmanıdır. Her erişim talebini, bağlamsal sinyallere dayalı olarak değerlendirir ve uygun erişim kararını otomatik olarak uygular. Etkili koşullu erişim tasarımı, güvenlik ile kullanıcı deneyimi arasındaki dengeyi sağlar.
Sinyal Değerlendirme Modeli
Koşullu erişim politikaları, aşağıdaki sinyalleri birlikte değerlendirir:
| Sinyal Kategorisi | Değerlendirilen Faktörler | |
|---|---|---|
| Kullanıcı kimliği | Kullanıcı/grup üyeliği, roller, risk düzeyi | |
| Cihaz durumu | Uyumluluk, işletim sistemi, yönetim durumu | |
| Konum | IP aralığı, ülke, bilinen/bilinmeyen ağ | |
| Uygulama | Erişilen uygulama ve veri hassasiyeti | |
| Oturum riski | Gerçek zamanlı risk sinyalleri, anormallikler | |
| İstemci uygulaması | Modern kimlik doğrulama desteği |
Katmanlı Politika Mimarisi
Microsoft, koşullu erişim politikalarını üç koruma katmanında yapılandırmayı önerir:
Başlangıç Noktası (Starting Point): Tüm kullanıcılar için geçerli temel kontroller.- Tüm kullanıcılar için MFA zorunluluğu
- Eski kimlik doğrulama protokollerinin engellenmesi
- Yüksek riskli oturum açma işlemleri için ek doğrulama
- Yönetilen ve uyumlu cihaz zorunluluğu
- Uyumlu olmayan cihazlardan sınırlı erişim
- Oturum süresi kısıtlamaları
- Yalnızca yönetilen cihazlardan erişim
- Kimlik doğrulama gücü gereksinimleri (phishing-resistant MFA)
- Gerçek zamanlı oturum kontrolleri
Koşullu Erişim What If API
2025 yılında kullanıma sunulan What If API, politikaların uygulamaya alınmadan önce test edilmesini mümkün kılar. Belirli bir kullanıcı, cihaz ve uygulama senaryosu için hangi politikaların devreye gireceğini simüle edebilirsiniz. Bu araç, politika çakışmalarını ve istenmeyen engellemeleri önlemede kritik rol oynar.
Conditional Access Optimization Agent
Microsoft'un yapay zeka destekli bir diğer yeniliği olan Optimization Agent, mevcut koşullu erişim politikalarını sürekli analiz eder. Politika kapsamındaki boşlukları, gereksiz kuralları ve yeni tehditlere karşı güncellenmesi gereken politikaları proaktif olarak tespit eder.
En İyi Uygulamalar
- Yalnızca rapor modunda başlayın: Yeni politikaları önce "report-only" modunda etkinleştirerek etkisini izleyin.
- Acil durum erişim hesapları oluşturun: En az iki "break glass" hesabı, koşullu erişim politikalarından muaf tutulmalıdır.
- Adlandırma standardı belirleyin: Politika adlandırmada tutarlı bir yapı (örn: CA001-AllUsers-AllApps-MFA) kullanın.
- Politika sayısını optimize edin: Az sayıda kapsamlı politika, çok sayıda dar kapsamlı politikadan daha yönetilebilirdir.
Çok Faktörlü Kimlik Doğrulama (MFA) Stratejisi
MFA, Sıfır Güven mimarisinin en temel yapı taşıdır. Microsoft'un verilerine göre MFA, hesap ele geçirme saldırılarının yüzde 99,9'undan fazlasını engeller. Ancak tüm MFA yöntemleri eşit güvenlik sunmaz; modern strateji, kimlik avına dirençli (phishing-resistant) yöntemlere geçişi hedeflemelidir.
MFA Yöntemlerinin Güvenlik Hiyerarşisi
| Yöntem | Güvenlik Düzeyi | Phishing Direnci | Kullanıcı Deneyimi | |
|---|---|---|---|---|
| SMS/Sesli arama | Düşük | Hayır | Kolay | |
| Microsoft Authenticator (bildirim) | Orta | Kısmi | İyi | |
| Microsoft Authenticator (passkey) | Yüksek | Evet | Çok iyi | |
| FIDO2 güvenlik anahtarı | Çok Yüksek | Evet | İyi | |
| Windows Hello for Business | Çok Yüksek | Evet | Mükemmel | |
| Platform Credential for macOS | Çok Yüksek | Evet | Mükemmel |
Parolasız Kimlik Doğrulamaya Geçiş
Parolasız yöntemler yalnızca daha güvenli değil, aynı zamanda daha hızlıdır. Araştırmalar, passkey ile oturum açmanın yaklaşık 8 saniye sürdüğünü, parola tabanlı oturum açmanın ise ortalama 24 saniye aldığını göstermektedir. Bu, kullanıcı başına günde birden fazla oturum açma işlemi düşünüldüğünde, yılda önemli bir verimlilik kazanımına dönüşür.
Microsoft'un önerdiği parolasız geçiş stratejisi dört aşamadan oluşur:
- Hazırlık: Mevcut kimlik doğrulama yöntemlerinin envanterini çıkarın, kullanıcı segmentasyonu yapın.
- Pilot: Teknolojiye yatkın bir kullanıcı grubuyla FIDO2 veya Windows Hello pilotunu başlatın.
- Genişletme: Başarılı pilotun ardından departman bazında yaygınlaştırın.
- Eliminasyon: Parola kullanımını kademeli olarak devre dışı bırakın, yalnızca phishing-resistant yöntemlere izin verin.
Kimlik Doğrulama Gücü (Authentication Strength)
Entra ID'nin kimlik doğrulama gücü özelliği, koşullu erişim politikalarında belirli kaynaklara erişim için gereken MFA yöntemini belirlemenizi sağlar. Örneğin, hassas finansal verilere erişim için yalnızca FIDO2 veya Windows Hello kabul edilirken, genel uygulamalar için Authenticator bildirimi yeterli olabilir.
Ayrıcalıklı Erişim Yönetimi (PIM)
Ayrıcalıklı hesaplar, saldırganlar için en değerli hedeflerdir. Global Administrator, Exchange Administrator veya SharePoint Administrator gibi roller, ele geçirildiğinde tüm organizasyonun güvenliğini tehlikeye atabilir. Privileged Identity Management (PIM), bu riski minimize etmek için tasarlanmış kritik bir Entra ID Governance bileşenidir.
PIM Temel Yetenekleri
Tam Zamanında Erişim (Just-In-Time Access): Yönetici rolleri kalıcı olarak atanmaz; kullanıcılar ihtiyaç duyduklarında sınırlı süreyle rol aktivasyonu talep eder. Varsayılan aktivasyon süresi 8 saattir ve organizasyona göre yapılandırılabilir. Onay Tabanlı Aktivasyon: Kritik roller için aktivasyon, belirlenen onaylayanların onayını gerektirebilir. Böylece tek bir kişinin kendi başına yüksek ayrıcalıklı erişim elde etmesi engellenir. MFA Zorunluluğu: Rol aktivasyonu sırasında çok faktörlü kimlik doğrulama veya belirli bir kimlik doğrulama gücü gerektirilebilir. Zaman Sınırlı Erişim: Başlangıç ve bitiş tarihleri belirlenebilen erişim atamaları, geçici projelerde veya denetim süreçlerinde kontrollü yetkilendirme sağlar. Denetim ve Raporlama: Tüm rol aktivasyonları, onaylar ve erişim değişiklikleri denetim günlüğüne kaydedilir. Bu kayıtlar, uyumluluk denetimleri ve güvenlik soruşturmaları için kritik kanıt sağlar.PIM Yapılandırma Önerileri
| Rol Kategorisi | Aktivasyon Süresi | Onay Gereksinimi | MFA Gereksinimi | |
|---|---|---|---|---|
| Global Administrator | Maksimum 2 saat | Evet (çift onay) | Phishing-resistant | |
| Exchange Administrator | Maksimum 4 saat | Evet | MFA zorunlu | |
| SharePoint Administrator | Maksimum 4 saat | Evet | MFA zorunlu | |
| User Administrator | Maksimum 8 saat | Hayır | MFA zorunlu | |
| Application Administrator | Maksimum 4 saat | Duruma göre | MFA zorunlu | |
| Security Reader | Maksimum 8 saat | Hayır | MFA zorunlu |
PIM for Groups
PIM, yalnızca yönetici rolleriyle sınırlı değildir. PIM for Groups özelliği ile güvenlik grupları ve Microsoft 365 gruplarına üyelik de tam zamanında yönetilebilir. Bu, özellikle hassas kaynaklara erişimi olan gruplarda (örn. finans verileri erişim grubu) sürekli üyelik yerine ihtiyaç bazlı erişim sağlar.
Erişim Gözden Geçirmeleri (Access Reviews)
PIM'in tamamlayıcısı olan erişim gözden geçirmeleri, mevcut rol atamalarının periyodik olarak doğrulanmasını sağlar. Yöneticiler veya kaynak sahipleri, belirlenen aralıklarla erişim haklarını gözden geçirir ve artık gerekli olmayanları kaldırır. Bu süreç, zaman içinde biriken ayrıcalık genişlemesini (privilege creep) önler.
Copilot Öncesi Kimlik Hijyeni
Microsoft 365 Copilot, kullanıcının erişim izinlerine dayalı olarak içerik üretir. Bu, mevcut izin yapısındaki her açığın yapay zeka aracılığıyla katlanarak büyüyeceği anlamına gelir. Copilot dağıtımından önce kimlik ve erişim hijyenini sağlamak, sadece güvenlik değil, başarılı bir yapay zeka benimsemesi için zorunludur.
Aşırı Paylaşım (Oversharing) Sorunu
Copilot öncesi en kritik risk, aşırı paylaşım sorunudur. Yaygın aşırı paylaşım kalıpları şunlardır:
- Hassasiyet etiketi olmayan siteler: İçeriklerin sınıflandırılmamış olması, Copilot'un hangi verilere erişmemesi gerektiğini belirleyememesine neden olur.
- "Dış kullanıcılar hariç herkes" izni: SharePoint sitelerinde varsayılan olarak kullanılan bu izin, organizasyondaki herkese erişim verir — Copilot dahil. Bu konudaki detaylı analiz için EEEU Güvenlik Rehberi makalemize başvurabilirsiniz.
- Bozuk izin kalıtımı: Alt site ve klasörlerdeki izin kalıtımının bozulması, beklenmeyen erişim genişlemelerine yol açar.
- Varsayılan paylaşım ayarları: "Bağlantıya sahip herkes" gibi geniş paylaşım varsayılanları, veri sızıntısı riskini artırır.
Copilot Hazırlığı için Kimlik Kontrol Listesi
Microsoft'un önerdiği üç aşamalı yaklaşım:
Aşama 1 — Pilot (Opsiyonel):- Düşük riskli sitelerde kontrolleri doğrulayın
- SharePoint Advanced Management ile veri erişim yönetişimi raporlarını çalıştırın
- Aşırı paylaşılan siteleri tespit edin
- Copilot'u yaygınlaştırırken aşırı paylaşım risklerini düzeltin
- Microsoft Purview hassasiyet etiketlerini uygulayın
- Kısıtlı içerik bulma ve kısıtlı erişim kontrollerini etkinleştirin
- Otomatik politikalarla sürekli yönetişim kurun
- Site yaşam döngüsü yönetimi ile etkin olmayan içerikleri arşivleyin
- Düzenli erişim gözden geçirmeleri planlayın
Sıfır Güven ve Copilot Entegrasyonu
Copilot güvenliği, yedi katmanlı bir koruma modeli gerektirir:
- Kullanıcı izinleri: En az ayrıcalık ilkesine göre yapılandırılmış SharePoint, OneDrive ve Teams izinleri
- Kimlik ve erişim: Koşullu erişim politikaları ile Copilot erişiminin koşullandırılması
- Cihaz yönetimi: Yalnızca uyumlu cihazlardan Copilot erişimi
- Tehdit koruması: Microsoft Defender for Cloud Apps ile Copilot etkileşimlerinin izlenmesi
- Veri koruma: Hassasiyet etiketleri ile sınıflandırılmış veri erişimi
- Uygulama koruması: Uygulama koruma politikaları
- Denetim ve izleme: Copilot denetim günlükleri ile aktivite takibi
Kimlik güvenliği konusunda derinlemesine bilgi için Kimlik Güvenlik Rehberi makalemizi incelemenizi öneririz.
Uygulama Kontrol Listesi
Aşağıdaki kontrol listesi, Microsoft Entra ile Sıfır Güven kimlik yönetimi uygulamasının kritik adımlarını öncelik sırasına göre sunmaktadır.
Faz 1: Temel Güvenlik (0–30 Gün)
| Adım | Eylem | Öncelik | |
|---|---|---|---|
| 1 | Tüm kullanıcılar için MFA'yı etkinleştirin | Kritik | |
| 2 | Eski kimlik doğrulama protokollerini engelleyin | Kritik | |
| 3 | En az iki acil durum erişim hesabı oluşturun | Kritik | |
| 4 | Güvenlik varsayılanlarını gözden geçirin | Yüksek | |
| 5 | Entra ID Protection'ı etkinleştirin (E5) | Yüksek | |
| 6 | Self-servis parola sıfırlamayı yapılandırın | Orta |
Faz 2: Gelişmiş Kontroller (30–90 Gün)
| Adım | Eylem | Öncelik | |
|---|---|---|---|
| 7 | Koşullu erişim politikalarını tasarlayın ve rapor modunda etkinleştirin | Kritik | |
| 8 | PIM'i yönetici rolleri için yapılandırın | Kritik | |
| 9 | Cihaz uyumluluk politikalarını tanımlayın | Yüksek | |
| 10 | Parolasız kimlik doğrulama pilotunu başlatın | Yüksek | |
| 11 | Erişim gözden geçirme döngülerini başlatın | Orta | |
| 12 | Misafir kullanıcı erişim politikalarını sıkılaştırın | Orta |
Faz 3: Olgunlaştırma (90–180 Gün)
| Adım | Eylem | Öncelik | |
|---|---|---|---|
| 13 | Koşullu erişim politikalarını zorunlu moda geçirin | Kritik | |
| 14 | Parolasız kimlik doğrulamayı yaygınlaştırın | Yüksek | |
| 15 | Entra Permissions Management ile bulut izinlerini denetleyin | Orta | |
| 16 | Kimlik yaşam döngüsü otomasyonunu yapılandırın | Orta | |
| 17 | Copilot öncesi erişim hijyenini tamamlayın | Yüksek | |
| 18 | Sürekli izleme ve raporlama altyapısını kurun | Orta |
Faz 4: Sürekli Operasyon
| Adım | Eylem | Sıklık | |
|---|---|---|---|
| 19 | Koşullu erişim politikalarını gözden geçirin | Aylık | |
| 20 | PIM rol atamalarını denetleyin | Çeyreklik | |
| 21 | Erişim gözden geçirmelerini yürütün | Çeyreklik | |
| 22 | Kimlik risk raporlarını analiz edin | Haftalık | |
| 23 | Parolasız geçiş ilerlemesini izleyin | Aylık | |
| 24 | Entra Connect sürümünü güncelleyin (30 Eylül 2026 son tarih) | Planlı |
Azure AD'den Entra ID'ye Geçiş Notları
Azure Active Directory, Microsoft Entra ID olarak yeniden markalaşmış olsa da, geçiş yalnızca bir isim değişikliği değildir. Organizasyonların dikkat etmesi gereken noktalar:
- Entra Connect güncellemesi: 30 Eylül 2026 tarihine kadar sürüm 2.5.79.0 veya üzeri yüklenmesi zorunludur.
- API ve komut dosyası güncellemeleri: Azure AD Graph API kullanılıyorsa Microsoft Graph'a geçiş planlanmalıdır.
- Lisanslama terminolojisi: Azure AD P1/P2 artık Entra ID P1/P2 olarak anılmaktadır; işlevsellik aynıdır.
- Yönetim portalı: Azure portalı yerine Entra admin center kullanılması önerilir.
Sıfır Güven kimlik yönetimi, bir defaya mahsus bir proje değil, sürekli gelişen bir güvenlik disiplinidir. Microsoft Entra ürün ailesi, bu disiplinin teknik altyapısını sunar; ancak başarı, teknoloji kadar organizasyonel kararlılık, süreç olgunluğu ve sürekli iyileştirme taahhüdü gerektirir. Bugün atılacak her adım — MFA etkinleştirmeden koşullu erişim politikası tasarlamaya, PIM yapılandırmadan Copilot hazırlığına kadar — organizasyonun güvenlik duruşunu güçlendiren bir yatırımdır.
Sıkça Sorulan Sorular
Microsoft Entra nedir?
Microsoft Entra, Microsoft'un kimlik ve erişim yönetimi çözümlerini tek bir marka altında birleştiren ürün ailesidir. Entra ID (eski adıyla Azure Active Directory), Entra ID Protection, Entra ID Governance, Permissions Management, Verified ID ve External ID gibi bileşenlerden oluşur. Bulut çağının kimlik ihtiyaçlarını karşılayan kapsamlı bir ekosistem sunarak tek oturum açma, çok faktörlü kimlik doğrulama, koşullu erişim ve ayrıcalıklı erişim yönetimi gibi yetenekler sağlar.
Azure AD ile Microsoft Entra ID arasındaki fark nedir?
Azure Active Directory, Microsoft Entra ID olarak yeniden markalaşmıştır; temel işlevsellik aynı kalmıştır. Ancak geçiş yalnızca bir isim değişikliği değildir: Entra Connect sürüm 2.5.79.0 veya üzeri 30 Eylül 2026'ya kadar güncellenmeli, Azure AD Graph API kullanılıyorsa Microsoft Graph'a geçiş planlanmalı ve yönetim portalı olarak Entra admin center tercih edilmelidir. Lisanslama terminolojisi de Azure AD P1/P2 yerine artık Entra ID P1/P2 olarak anılmaktadır.
Sıfır Güven (Zero Trust) nasıl uygulanır?
Sıfır Güven uygulaması aşamalı bir süreçtir. İlk 30 günde tüm kullanıcılar için MFA etkinleştirilmeli, eski kimlik doğrulama protokolleri engellenmeli ve acil durum erişim hesapları oluşturulmalıdır. 30–90 gün arasında koşullu erişim politikaları tasarlanmalı ve PIM yapılandırılmalıdır. 90–180 gün arasında politikalar zorunlu moda geçirilir ve parolasız kimlik doğrulama yaygınlaştırılır. Süreç, sürekli izleme ve periyodik gözden geçirmelerle devam eder.
MFA (Çok Faktörlü Kimlik Doğrulama) zorunlu mu?
Evet, MFA Sıfır Güven mimarisinin en temel yapı taşıdır ve Microsoft verilerine göre hesap ele geçirme saldırılarının %99,9'undan fazlasını engeller. Ancak tüm MFA yöntemleri eşit güvenlik sunmaz; SMS/sesli arama düşük güvenlik sunarken, FIDO2 güvenlik anahtarları ve Windows Hello for Business kimlik avına dirençli en yüksek güvenlik seviyesini sağlar. Modern strateji, phishing-resistant yöntemlere geçişi hedeflemelidir.
PIM (Privileged Identity Management) nedir ve neden gereklidir?
PIM, ayrıcalıklı hesapların güvenliğini sağlamak için tasarlanmış bir Entra ID Governance bileşenidir. Yönetici rollerinin kalıcı olarak atanması yerine, kullanıcıların ihtiyaç duyduklarında sınırlı süreyle rol aktivasyonu talep etmesini sağlar (Just-In-Time Access). Kritik roller için onay mekanizması, MFA zorunluluğu ve zaman sınırlı erişim gibi kontroller sunar. PIM, ayrıcalıklı hesapların ele geçirilmesi durumunda oluşabilecek hasarı minimize ederek organizasyonun güvenlik duruşunu güçlendirir.