Microsoft, kurumsal müşterileri için güvenlik önlemlerini artırıyor ve Microsoft 365 yönetim merkezine erişen tüm kullanıcılar için çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılıyor.
Politika, Şubat 2025’te başlayan daha yumuşak bir uygulamaya geçişin ardından 9 Şubat 2026’da tam olarak yürürlüğe girecek. Bu araçlara güvenen kuruluşların kesintileri önlemek için hemen harekete geçmesi gerekiyor.
Bu hamle, Microsoft’un, ihlaller için en önemli vektör olmaya devam eden kimlik bilgilerine dayalı saldırılara karşı agresif çabasının altını çiziyor. Şirketin Teknoloji Topluluğu bloguna göre, MFA’sı olmayan yöneticiler önümüzdeki aydan itibaren giriş engelleriyle karşılaşacak.
Kimlik avına, kimlik bilgileri doldurmaya, kaba kuvvet saldırılarına ve şifrelerin yeniden kullanımına karşı savunmanın altı çizilen gönderide, “MFA’nın uygulanması, hesabın ele geçirilmesi riskini önemli ölçüde azaltır” ifadesi yer alıyor.
Microsoft 365 Yöneticisi için MFA
Siber güvenlik uzmanları, özellikle kimlik tehditlerinin arttığı bir dönemde, MFA’yı uzun süredir sıfır güven mimarilerinin temel taşı olarak savunuyor. Microsoft’un Dijital Savunma Raporu, yalnızca 2025 yılında hizmetlerine yönelik günlük 300 milyondan fazla kimlik bilgisi doldurma girişiminin gerçekleştiğini kaydetti.
Genellikle Entra ID’nin zayıf noktalarından yararlanan fidye yazılımı kampanyaları tarafından hedef alınan yüksek ayrıcalıklı yönetici hesapları en çok fayda sağlayacak olanlardır.
Kiracıları, kullanıcıları ve uyumluluk süreçlerini yönetmek için kullanılan yönetim merkezi, hassas işlemleri yönetir. MFA olmadan çalınan bir parola, saldırganlara tanrısal bir erişim sağlar.
Yaptırım üç önemli portalı hedefliyor: portal.office.com/adminportal/home, admin.cloud.microsoft ve admin.microsoft.com. Kiracı düzeyinde MFA’nın etkinleştirilmediği eski kurulumlar, genel yöneticilerin tamamen kilitlenmesine neden olabilir.
Microsoft acil eylem çağrısında bulunuyor. Genel yöneticiler kurulumu MFA Sihirbazı’nı veya Learn.microsoft.com adresindeki ayrıntılı kılavuzu kullanarak başlatmalıdır. Bu, MFA’nın kuruluş çapında Microsoft Authenticator uygulaması anlık bildirimleri, SMS kodları veya donanım belirteçleri gibi entegre yöntemleri mümkün kılmasını sağlar.
Yönetim merkezine erişen bireysel kullanıcılar aka.ms/mfasetup adresinden yöntemleri doğrulayabilir veya ekleyebilir. Halihazırda yapılandırılmış olanların herhangi bir değişikliğe ihtiyacı yoktur ancak özellikle şirket içi Active Directory’yi Entra ID ile harmanlayan hibrit ortamlarda, hesapların bütünlük açısından denetlenmesi gerekir.
Kullanıma sunma aşamalıdır ancak güvenlik açıklarını yamalamak veya denetim günlüklerini incelemek gibi kritik görevler sırasında risk kesintilerini geciktirir. Microsoft, yeni kiracılar için güvenlik varsayılanları gibi daha geniş yükümlülüklere uyum sağlayarak uyumlu kullanıcıların sıfır kesinti süresi yaşamasını sağlar.
Bu politika, ayrıcalıklı erişim için genellikle MFA’nın gerekli olduğu SOC 2, HIPAA ve NIST gibi uyumluluk çerçevelerine de yayılır. Bulut ağırlıklı kuruluşlar için, Koşullu Erişim politikaları ve Ayrıcalıklı Kimlik Yönetiminin (PIM) yanı sıra savunmaları da destekler. Analistler, Power Platform yöneticileri gibi diğer yüksek riskli yüzeyler için de benzer yaptırımların uygulanacağını öngörüyor.
Tehditler geliştikçe ve yapay zeka destekli kimlik avı arttıkça, bu tür zorunluluklar yalnızca parola çağının sona erdiğinin sinyalini veriyor. Kuruluşlar artık MFA denetimlerine öncelik vermeli ve bunları yalnızca onay kutuları yerine uyumluluk kontrol noktaları olarak ele almalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
