Office 365 Password Less Authentication – Bölüm 1

Parola doğrulaması, gelişen kurumsal güvenlik ortamı boyunca her zaman zor olmuştur. Temel veri güvenliğimizi sağlayabilmek adına bir hesaba erişim için bir parola ve hesabı saldırganlardan korumak için bir güvenlik bariyeri olması gerekiyor. Gelişen teknolojiler ile beraber artık hesap sahibi ile saldırgan arasındaki farkı ayırt etmek için, kuruluşların korunma amacıyla yalnızca parola kullanmanın ötesine geçmeleri gerekmektedir.

Aslında geçmişe bakarsak önce çalışanlarımızın kimliğini güvence altına almak için ilk olarak akıllı kartlarla çok faktörlü kimlik doğrulamaya başladık. Başlangıçta, güvenli hale getirmek için fiziksel akıllı kartlar kullandık, ancak insanlara sorunsuz bir kullanıcı deneyimi sağlamadı. Ek olarak, bu aynı zamanda her donanım cihazında uygulanması zor olan bir kart okuyucuyu gerektiriyordu ve ayrıca akıllı kartların kaybolması veya unutulması durumu vardı. Sonra, gelişen teknoloji ile beraber daha iyi bir deneyime kavuşmak adına, biyometri kullanmaya başladık. Bu sefer insanlar kimliklerini doğrulamak için parmak izi, iris taraması, yüz tanıma kullanmaya başladı.

Çok faktörlü kimlik doğrulama (MFA) – örneğin, bir pin ve parola veya biyometrik – kuruluşlar için daha güvenli bir yöntem sundu. Giderek daha karmaşık hale gelen erişim ortamları ve her zamankinden daha fazla erişim noktası olan BT ekipleri, kullanıcıların kaynaklara bağlandığı her yerde akıllı kartlar, SMS ve daha fazlası gibi çok faktörlü kimlik doğrulama seçenekleri eklemek için her türlü nedene sahipler. Şifrelerin ötesine giderek ortamınıza MFA ekleyerek, kullanıcıların kaynaklarınıza daha güvenli erişmesini sağlayabilirsiniz. Bununla birlikte, uygulamaya bağlı olarak MFA ayrıca kullanıcı deneyimi ile ilgili artan karmaşıklığı engellemekle beraber BT ekiplerinin güvenlik tedbirlerini artırırken kesintisiz bir kullanıcı deneyimi sunmaktadır.

Aşağıdaki tablo ‘da güncel olarak kullanılan kimlik doğrulama yöntemlerine göre hangi authentication yönteminin ne kadar güvenli olduğunu bulabilirsiniz.

Office 365’in ne kadar büyüdüğüne bu kısımda detaylı değinmeyeceğim ama 2019 ilk çeyreğinde açıklanan rakamlarda yaklaşık 155 milyona yakın aktif kullanıcı olduğu açıklandı. Rakama baktığınız zaman ciddi bir kullanım söz konusu hal böyle olunca da her geçen güvenlik önlemleri daha da sıkılaştırılmaya ve gelen talepler doğrultusunda geliştirilmeye devam etmektedir. Office 365 kullanan müşterilerde her zaman son kullanıcı ve Admin’lerde MFA açılmasını şiddetle önermekteyim çünkü birçok defa MFA olmayan account’ların çalındığına ve dışarı SPAM mail yağmuruna tutulduğuna şahit oldum IT ekipleri genelde uğraşmamak adına bu seçeneği pek değerlendirmiyorlar fakat başa bir olay gelince de nasıl güvenliği arttırırız diye bu sefer dönüp dolaşıp bu özellikleri mecbur kullanmaya başlıyorlar.

Office 365 üzerinde MFA özelliğini son kullanıcı tarafında enable ettikten sonra authentication için temelde 3 seçeneğiniz bulunmaktadır.

1-Mobile telefona SMS

2-Masa veya cep telefonuna arama

3-Microsoft Authenticator uygulaması

Bu 3 seçenekten özellikle en kolayı ve kullanıcı deneyimini arttıran ise 3.seçenek olan Microsoft Mobile Authenticator uygulamasıdır. Microsoft Authenticator uygulaması Android ve iOS için kullanılabilir durumdadır. Zaten tüm kullanıcılarımızda mobil telefon olduğu için entegre etmesi ve kullanması da bir o kadar kolay olmaktadır. Office 365 üzerinde MFA özelliğini aktif edip, sonrasında Authentication yöntemini belirledikten sonra aslında kullanıcı Portal’a giriş yaparken her zamanki gibi kullanıcı adı ve şifresini girmekte daha sonra karşısına seçtiği Authentication yöntemine göre ek bir doğrulama ekranı getirmektedir. Burada ya telefona gelen SMS kodunu girmekte veya gelen aramayı yanıtlamakta ya da Mobile Authenticator üzerindeki doğrulama kodunu login ekranına girerek Portala ulaşmaktadır.

Her 3 seçenekte de görebileceğiniz üzere login ekranında hem kullanıcı adını hem şifresini girmekte daha sonra MFA karşısına çıkmaktadır. İşte bu kısımda kullanıcılarımızın ilk ekranda şifresini girmesi gene bizler adına hem kullanıcı deneyimini düşürmekte hem de ek bir tehdit getirmektedir. Çünkü girdiği şifrenin arka planda kaydolması veya çalınması durumunda belki o şifreyi öğrenen kişinin kullanıcının kullandığı başka kaynaklara da erişilebiliyor olabileceği anlamına gelmektedir.

İşte bu noktada Microsoft’un yeni sunmuş olduğu çözümün ismi ise “Password Less Authentication” olarak geçmektedir. Yani parola’sız authentication
Parola’sız kimlik doğrulama, bu kısaca değindiğimiz gibi, parolayı güvenli bir alternatifle değiştiren çok faktörlü bir kimlik doğrulama biçimidir. Bu çözüm ile Microsoft işletmelerin parolalardan kurtulmalarını ve daha rahat ve daha güvenli bir deneyime geçmelerini temelde amaçlamıştır. İdeal olarak, şifresiz kimlik doğrulamasıyla, yüksek güvenlikli organizasyonel gereksinimleri karşılayan gelecekteki bir kimlik doğrulama ekosistemine sahip olabilirsiniz veya farklı kimlik doğrulama cihazları arasında gizlilik, kullanılabilirlik ve birlikte çalışabilirlik kazanabilirsiniz. Özetlemek gerekirse son kullanıcıların günlük yaşamlarında asla şifrelerle uğraşmaları gerekmemelidir.

Hadi gelin uygulama yaparak Office 365 üzerinde “Password Less Authentication” özelliğini nasıl aktifleştireceğimize ve kullanacağımıza bir göz atalım.

İlk etapta ilgili özelliği Office 365 Tenantımız ile ilişkili Azure Active Directory’miz üzerinde etkinleştirmemiz gerekmektedir. Burada önemli olan kısım ben bu yazıyı yazdığım tarih itibari ile bu özelliğin henüz Preview’de olduğunuz unutmayınız.

Azure Active Directory’e connection kurabilmemiz adına öncelikle Windows’umuz üzerine Azure AD connection modülünü kurmamız gerekmektedir.Powershell (Administrator olarak) üzerinden aşağıdaki komut setini sırasıyla çalıştırınız.

Install-PackageProvider Nuget -Force

Install-Module -Name PowerShellGet -Force

Uninstall-Module AzureADPreview

Install-Module -Name AzureADPreview -force -AllowClobber

Import-Module AzureADPreview

Modüle kurulumu bittikten sonra Powershell’i kapatınız ve tekrar açınız. Aşağıdaki komutu çalıştırarak Office 365 Global Admin yetkisine sahip kullanıcı bilgilerinizi girerek login olunuz.

Connect-AzureAD



Aşağıdaki komut ile Password Less Authentication özelliğini Tenantımız üzerinde aktif ediyoruz.

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‘{“AuthenticatorAppSignInPolicy”:{“Enabled”:true}}’ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn


Bir sonraki adımda ise kullanıcılarda MFA özelliğini enable etmeniz veya enable durumda ise Microsoft Authenticator yazılımını kurmanız gerekmektedir.

Kullanıcılarda MFA özeliğinin aktif edilmesi;

Office 365 üzerinde Active Users bölümünü açtıktan sonra More seçeneği altındaki “Multi Factor Authentication setup” seçeneğini seçiyoruz.

MFA bölümünden hangi kullanıcılarımız MFA özelliğini kullanacaksa kullanıcılarımızı seçerek MFA özelliğini enable ediyoruz.




Admin olarak yapmamız gereken işlemler bu kadar şimdi hadi kullanıcı tarafında bu özelliği nasıl kullanacağımıza ikinci bölümde bir göz atalım.

Exit mobile version