Önemli bir güvenlik hareketinde Microsoft, 26 Ağustos 2025’te Azure portalına ve ilgili idari merkezlere oturum açan tüm hesaplar için zorunlu multifaktör kimlik doğrulaması (MFA) gerektireceğini duyurdu.
İlk olarak 2024’te tanıtılan politika, Azure ve Microsoft 365 yönetici portallarında ek bir kimlik doğrulama katmanı uygulayarak hesap uzlaşmasını önemli ölçüde azaltmayı amaçlamaktadır.
Ekim 2024’ten itibaren Azure Portal, Microsoft Entra Yönetici Merkezi ve Microsoft Intune Admin Center tabelaları, herhangi bir oluşturma, okuma, güncelleme veya silme işlemi için MFA gerektirecektir.
CLI, Powershell, Mobile ve IAC Tools’da tam uygulama, 1 Ekim 2025’te idari güvenliği önemli ölçüde güçlendiriyor.
Microsoft Research, MFA’nın hesap uzlaşma saldırılarının yüzde 99,2’sini engellediğini ve bunu yetkisiz erişime karşı en etkili savunmalardan biri haline getirdiğini gösteriyor.
Yıllarca isteğe bağlı MFA sunan Microsoft, artık kritik yönetimsel erişim noktaları için varsayılan olarak uygulayacak. Duyuru, şirketin müşterileri için bulut kaynaklarını koruma taahhüdünün altını çiziyor.
İcra kapsamı
Uygulama iki aşamada yayılıyor:
Aşama 1 (Ekim 2024 – Şubat 2025)
- Tüm CRUD işlemleri için Azure Portal Oturum Açma.
- Tüm CRUD işlemleri için Microsoft Entra Yönetici Merkezi oturum açın.
- Tüm CRUD işlemleri için Microsoft Intune Admin Center oturum açın.
- Microsoft 365 Yönetici Merkezi Oturum Açma Gereksinimleri Şubat 2025’te başlar.
Faz 1 henüz Azure CLI, Azure Powershell, Azure Mobil Uygulaması, Kod (IAC) araçları olarak altyapı veya REST API uç noktalarını kapsamaz.
Aşama 2 (1 Ekim 2025)
- Azure Cli ve Azure Powershell, işlemleri oluşturmak, güncellemek ve silmek için.
- Azure Mobil Uygulaması Oluşturma, Güncelleme ve Sil İşlemleri için Mobil Uygulama.
- İşlemler oluşturmak, güncellemek ve silmek için IAC araçları ve dinlenme API uç noktaları.
- Salt okunan işlemler muaftır.
Komut dosyası otomasyonu için kullanıcı hesaplarına dayanan yöneticiler, 2. aşama uygulama başladığında bozulmayı önlemek için yönetilen kimlikler veya hizmet müdürleri gibi iş yükü kimliklerine geçmelidir.
Etkilenen uygulamalar ve zaman çizelgeleri
| Uygulama Adı | Uygulama Başlangıç |
|---|---|
| Azure Portalı | 2024’ün ikinci yarısı |
| Microsoft Entra Yönetici Merkezi | 2024’ün ikinci yarısı |
| Microsoft Intune Admin Center | 2024’ün ikinci yarısı |
| Microsoft 365 Yönetici Merkezi | Şubat 2025 |
| Azure Cli & Powershell | 1 Ekim 2025 |
| Azure Mobil Uygulaması | 1 Ekim 2025 |
| IAC Tools & Rest API | 1 Ekim 2025 |
Yukarıda listelenen uygulamalara erişen tüm kullanıcı hesapları, uygulama üzerine MFA’yı tamamlamalıdır.
Break-Cam ve Acil Durum Erişim Hesapları da MFA gerektirir; Kuruluşlar, bu kritik hesaplar için passeyler (FIDO2) veya sertifika tabanlı kimlik doğrulama yapılandırmaya teşvik edilir. İş yükü kimlikleri etkilenmez, ancak kullanıcı tabanlı hizmet hesapları uymalıdır.
OAuth 2.0 Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) akışı MFA ile uyumsuzdur. MSAl’ın ROPC API’lerini kullanan uygulamalar etkileşimli veya sertifika tabanlı akışlara geçmelidir.
Geliştiriciler, güvenen herhangi bir kodu güncellemelidir. AcquireTokenByUsernamePassword veya UsernamePasswordCredential Azure kimliğinde, Microsoft’un .NET, Go, Java, Node.js ve Python için geçiş kılavuzlarını takip edin.
Microsoft, yüksek değerli idari hesapları güvence altına almak ve artan kimlik temelli saldırı tehdidini azaltmak için anında MFA benimsemesini şiddetle önermektedir.
Kuruluşlar:
- Microsoft Entra Kimlik Portalı üzerinden MFA yapılandırmasının doğrulanması.
- Koşullu erişim politikalarının uygulanması veya güncellenmesi (Entra ID P1/P2 gerektirir).
- Koşullu erişim mevcut değilse güvenlik varsayılanlarını etkinleştirme.
- Kullanıcı tabanlı hizmet hesaplarının iş yükü kimliklerine taşınması.
Uygulamadan sonra, Azure Portal pankartları yöneticileri gerekli MFA’yı bilgilendirecek ve oturum açma günlükleri MFA zorluklarını belirleyecektir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.