Microsoft, Perşembe günü Entra’nın küresel yöneticilerini, kullanıcıların yönetici portallarına erişimlerini kaybetmemelerini sağlamak amacıyla 15 Ekim’e kadar kiracıları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeleri konusunda uyardı.
Bu, Redmond’un yakın zamanda duyurduğu Güvenli Gelecek Girişimi’nin (SFI) bir parçasıdır ve tüm Azure oturum açma girişimleri için zorunlu MFA’yı uygulayarak Azure hesaplarının kimlik avı ve ele geçirme girişimlerine karşı korunmasını sağlamayı amaçlamaktadır.
MFA gerekliliğine hazırlanmak için daha fazla zamana ihtiyaç duyan yöneticiler, her kiracı için yürürlüğe girme tarihini 15 Ağustos ile 15 Ekim tarihleri arasında, yani 15 Nisan 2025’e erteleyebilir.
Ancak, “uygulamanın başlangıç tarihini erteleyerek, Azure portalı gibi Microsoft hizmetlerine erişen hesaplar tehdit aktörleri için oldukça değerli hedefler olduğundan, ekstra risk alırsınız,” diye uyardı Redmond. “Tüm kiracıların bulut kaynaklarını güvence altına almak için hemen MFA kurmasını öneriyoruz.”
Microsoft, tüm Entra küresel yöneticilerine e-posta ve Azure Hizmet Durumu Bildirimleri aracılığıyla 60 günlük önceden bildirimler göndererek, uygulamanın başlangıç tarihini ve ekim ayına kadar almaları gereken eylemleri hatırlattı.
MFA etkinleştirilmezse ve uygulamanın Ekim ayına kadar ertelenmesi yönünde bir talep olmazsa, kullanıcıların Yönetim portallarında (yani Entra ve Intune yönetim merkezleri ve Azure portalı) oturum açarak Oluşturma, Okuma, Güncelleme veya Silme (CRUD) işlemlerini gerçekleştirmeden önce MFA’yı ayarlamaları gerekecektir.
Windows 365 Cloud PC gibi Intune yönetim merkezi üzerinden erişilen herhangi bir hizmete erişmeye çalışırken de MFA gerekecektir.
Microsoft, 2025’in başlarında Azure PowerShell, CLI, mobil uygulama ve Altyapı Kodu (IaC) araçlarına erişmek isteyenler için Azure oturum açma işlemlerinde MFA’yı zorunlu kılmaya da başlayacak.
“Ekim ayından itibaren Azure portalında, Microsoft Entra yönetim merkezinde ve Intune yönetim merkezinde oturum açmak için MFA gerekecek. Uygulama kademeli olarak dünya çapındaki tüm kiracılar için geçerli olacak,” dedi Baş Ürün Yöneticisi Naj Shahid ve Azure Compute Baş Ürün Yöneticisi Bill DeForeest.
“2025 yılı başlarından itibaren Azure CLI, Azure PowerShell, Azure mobil uygulaması ve Altyapı Kodu (IaC) araçları için oturum açma sırasında MFA’nın kademeli olarak uygulanması başlayacak.”
Yöneticiler, kimlik doğrulama yöntemleri kayıt raporunu veya bu PowerShell betiğini kullanarak kiracılarında MFA’ya kimlerin kaydolduğunu izleyebilir ve tüm kullanıcı tabanındaki MFA durumu hakkında hızlı bir rapor alabilir.
Bu haftanın hatırlatması, Mayıs ayında yapılan ve Azure’da kaynakları yönetmek için oturum açan tüm kullanıcılar için MFA’nın zorunlu kılınacağına dair duyurunun ve Kasım ayında yapılan ve Microsoft yönetici portallarında (örneğin Entra, Microsoft 365, Exchange ve Azure) oturum açan tüm yöneticiler, tüm bulut uygulamalarındaki kullanıcılar ve yüksek riskli oturum açma işlemleri için MFA’yı gerektiren Koşullu Erişim politikalarının yürürlüğe girmesine ilişkin duyurunun ardından geldi.
Microsoft’un yaptığı bir araştırmaya göre, MFA, kullanıcı hesaplarına siber saldırılara karşı güçlü bir koruma sağlıyor. Çünkü MFA etkinleştirilmiş hesapların %99,99’u saldırı girişimlerine direniyor ve saldırganlar çalıntı kimlik bilgilerini kullanarak hesaplara erişmeye çalıştığında bile saldırı riskini %98,56 oranında azaltıyor.
“Amacımız yüzde 100 çok faktörlü kimlik doğrulaması. Resmi çalışmaların çok faktörlü kimlik doğrulamasının hesap ele geçirme riskini yüzde 99’dan fazla azalttığını gösterdiği göz önüne alındığında, kimlik doğrulaması yapan her kullanıcı bunu modern güçlü kimlik doğrulamasıyla yapmalıdır,” Microsoft Kimlik Güvenliği Başkan Yardımcısı Alex Weinert Kasım ayında böyle söyledi.
Microsoft’un sahibi olduğu GitHub da MFA benimsenmesini artırma çabalarının bir parçası olarak Ocak ayında tüm aktif geliştiriciler için iki faktörlü kimlik doğrulamayı (2FA) zorunlu kılmaya başladı.