Office 365 Multi Factor Authentication (MFA)

Office 365 Ürünleri ile birlikte sahip olduğumuz, ancak pek kullanılmayan ya da anlatılmayan MFA ile ilgili; hem içeriği hem de uygulamaları ile ilgili bilgileri bulabileceğiniz bir yazı hazırlamak için başlıyorum yazıma. Bu kaynak içerisinde, Windows Azure ile ilgili de kısa bilgiler bulabileceksiniz. Windows Azure ile ilgili daha detaylı MFA bilgilerini, ayrı bir yazıda paylaşıyor olacağım. Bu yazıda daha çok Office 365 tarafında değineceğim.

Nedir Bu MFA?

Çoklu kimlik doğrulama özelliği olan MFA pek çok ürün için ortak kullanılan bir kavramdır. Aynı One Time Password OTP gibi. Buradaki amaç bir sisteme erişmek için kullanacağınız kimlik doğrulama yöntemlerini çeşitlendirmektir. Örneğin mail okumak, SSL VPN ile şirket ağına bağlanmak veya banka hesabınıza erişmek için.

Örneğin Web mail, yani internet üzerinden mail hizmeti sunan bir sisteminiz var. Buna çalışanlarınız veya müşterileriniz kullanıcı adı ve şifre ile giriyor, ancak siz istiyorsunuz ki ek bir veya birden çok kimlik doğrulama olsun, işte tam burada MFA  devreye giriyor. Vasco veya Microsoft gibi firmaların size sunduğu ürünler sayesinde sistemlerinizi kullanıcı adı ve şifre sorgusundan farklı olarak SMS gönderimi, veya akıllı telefona yüklenen bir uygulama ile şifre üretme veya kayıtlı cep telefonuna bir çağrı gelmesi ve sizin bir tuşa basmanız gibi ek günvelik ( kimlik doğrulama ) önlemleri sunar.

 

Konumuz olan Multi Factor Authentication (MFA) aslında arka tarafında Azure dan bir destek alıyor.(Office 365 tarafından söz ettiğimiz için böyle söylüyoruz. Azure dan bahsediyor olsaydık, zaten Azure üzerindeki bir PaaS Marifeti dememiz gerekirdi.) Yani aslında bu cümlede çıkartılabilir; Azure üzerinde kullanabildiğimiz MFA Platformuna, biz Office 365 ile ücretsiz sahip olabiliyoruz. (Bazı özelliklerine)

MFA var olan Office 365 Platformunuza ikinci bir kimlik doğrulama katmanı ekler. Bunun için ayrı bir para ödemessiniz. Eğer O365 kullanıcısı iseniz, zaten MFA marifetinden faydalanabilirsiniz anlamına gelir bu.

Bu MFA katmanını birkaç farklı yöntemle de kullanabilirsiniz. Yazının devamında bu yöntemlere de değiniyor olacağız.

Hangi Office 365 Planlarında/Ürünlerinde Bulunur?

MFA, Office 365 Ürünleri ile ücretsiz geliyor dedik. Bunu biraz daha detaylandırıyor olursak;

Planlar;

Ücretsiz Office 365 Paketi Üyeliklerinde (Trial E3)

Kurumsal Planlar (E Paketleri)

Orta Ölçekli İşletme Paketi

Akademik Planlar (A Paketleri)

 

Not: “Ücretsiz Office 365 Paketi Üyeliklerinde” diye yazdığımız satır Nonprofits ürünler olarak geçer. Yani kar amacı güdülmeyen, deneme sürümleridir.

E3 ün bu sürümü, genelde “voice dışında her şeyi yaparsınız” diye anlatılır. Ancak bu Trial paket ile ilgili de yapamadığınız bazı şeyler var. Bu da kaynaklarda çok fazla paylaşılmıyor.

Sonuç olarak yapamadığınız şeyler; Office365 ProPlus, Office Mobile, Advanced Email (Arşivleme, yasal uyumluluk gibi), eDiscovery, Voicemail, BI (Business Intelligence) dir.

 

MFA yı, Office 365 Small Business ve Office 365 Dedicated Planlar (Exchange Online Dedicated, SharePoint Online Dedicated gibi) içermez.

 

Masaüstü Uygulamaları için Office 365 MFA (Outlook)

 

MFA katmanı, Federe edilmemiş yapılarda, Office Uygulamaları için henüz kullanılabilir değildir. Yakın zamanda bununla ilgili bir güncelleme gelmesi bekleniyor.

 

(MAPI/HTTP Gereksinimi vardır)

 

ADFS yapınız varsa, yani federe bir yapı kullanıyorsanız, sorun yok demektir. MFA ‘yı Office Masaüstü uygulamalarında da kullanabilirsiniz.

 

Office 365 MFA İçeriği Nelerdir?

 

 

MFA nın Kullanım Senaryoları ve Destek Durumu;

 

Yazının başında da kısaca değindiğim gibi MFA nın destek durumları ya da kullanım senaryonuza göre yapabiliteleri var. Bağzı gereksinimlerinizde Windows Azure MFA kullanmanız gerekebiliyor.

 

Yukarıda MFA nın Özelliklerini ve Office 365 ile Azure MFA tarafında hanglerinin desteklendiğini paylaştım.

 

Aşağıda ise, hangi senaryoda, hangi MFA ürününe ihtiyacım var sorusuna cevap verecek bir tablo paylaşıyorum.

 

  

MFA Seçenekleri

 

Multi-Factor Authentication Apps:

 

MFA Mobile Uygulaması Windows Phone, Android, iOS cihazlarda kullanılabilir durumdadır. İlgili cihazın mağazasında ücretsiz olarak indirilebilir. Bu uygulama kurulum sırasında bir doğrulama kodu ile sizin cihazınızı tanır ve uygulamayı etkinleştirir. Bu uygulamanın Tek seferlik şifre üretme ya da hesabınız ile giriş yapmaya çalıştığınızda uyarı verme gibi yetenekleri vardır.

 

MFA Apps > Bilgilendirmeli Servis

 

MFA Apps ‘in bu alternatifi ile kullanıcı, bir giriş işlemi yapıldığı zaman telefonunda “push notification” ile bir uyarı alır. (Hesabınıza giriş yapılıyor. Bu siz misini? Gibi) siz Mobile cihazınızdan “Evet benim” ya da “Hayır Sahte bir giriş” diye cevap vererek, girişin başarıyla gerçekleşmesini ya da engellenmesini sağlayabilirsiniz.

 

MFA Apps > Tek Seferlik Şifre Servisi

 

 

MFA Apps ‘in bu alternatifi ile kullanıcı, OneTimePassword (OTP) tek seferlik bir şifre üreterek (toen mantığı ile) sizin için üretilen bu şifre ile uygulamanıza/portalınıza giriş sağlamanızı sağlar.

 

Otomatik Arama

 

Bu alternatifi seçerek yapacağınız konfigürasyonda, sizden alınan cep telefonuna bir arama gelir. Siz bu aramada # tuşuna basarak girişi onaylarsınız. Eger girişi siz yapmıyorsanız bu aramaya tepki vermeden girişin başarısız olmasını sağlayabilirsiniz.

 

SMS ile Doğrulama

 

Aslında bu metod dai MFA nın OTP si ile aynı mantıkda. Tek farkı password ‘ü MFA App yaratmıyor. Yaratılan password size SMS olarak geliyor. Genel SMS de ki passwordü kullanarak girişi sağlayabilirsiniz.

 

Bu bölümde, genel olarak MFA tarafının ne işe yaradığı, hangi konularda, nasıl kullanıldığını ve hangi metod lar ile kullanabileceğimize değinmeye çalıştım.

 

Peki biz bu MFA yı nasıl kullanacağız birazdan bundan bahsedelim.

 

Office 365 Portalı üzerinde MFA yı aktif ederek işimize başlamamız gerekir. Hemen şu bilgininde altını çizelim. Office 365 tenant ınızada ki tüm kullanıcılar MFA kullanmak zorunda değildir. Siz isterseniz yönetici seviyesindeki kişilere ya da yalnızca satış departmanındaki özel kişilere MFA kullandırabilirsiniz. Buda bence önemli bir not.

 

Office 365 Portalıma logon olduğumda, kullanıcıları gördüğüm ekranda yer alan “Set Multi-factor authenticayion requirements” kısmındaki “Set ıp” linkine tıklayarak MFA kurulumuma başlıyorum.

 

 

 

Portal direk olarak size, MFA yı aktif etmek istediğiniz kullanıcıları soracaktır. Aşağıdaki görselden de göreceğiniz gibi, birden fazla kullanıcı seçebilirsiniz. Zaten kullanıcıların MFA durumlarınıda bu ekrandan görebilirsiniz.

 

Not: Bulk update dediği; eşer elinizde kullanıcı bilgisi ve mfa durumunu içeren bir CSV dosyası varsa bunu direk olarak import edebilirsiniz. Size örnek bir csv dosyasıda sunan “bulk update” butonu, kullanıcı sayısı çok olan işletmelerde hayat kurtarabilir.

 

Bulk Update ekranı:

 

 

 

 

Biz devam edelim; kendi kullanıcımı seçerek Enable diyorum ve MFA ayarlarımı yapmaya başlıyorum.

 

Enable dediğinizde size MFA ile ilgili adımları önceden okuyabileceğiniz bazı link veriyor ayrıca kullanıcının web den logon olamayacağını, önceden aka.ms üzerinden register olması gerekeceği ile ilgili bilgiler veriliyor.

Enable diyerek bunu aktif hale getiriyorum.

 

Update oldu.

 

Artık kullanıcımı tıkladığımda sağ tarafta enforce ve Manage user linki görüyorum .

Enforce: bu enable işlemini aktif hale getirmenizi onaylayan bir liktir aslında. Tıkladığınızda MFA yı force eder ve sadece manage user settings ‘i görürsünüz.

 

 

Mage User Settings ile de iki şey yapabilirsiniz.

Birincisi; seçili olan kullanıcının tekrar iletişim metodu seçmesini sağlayabilirsiniz. Mesela ben MFA aktivasyonundan sonra Mobile Apps ı seçtim ama artık sms le otantike olmak istiyorum. İşte o zaman bunu seçmem gerekir.

İkincisi ise; daha once uretilen passwordleri sıfırlayabilirim.

 

Mfa aktivasyonundan sonrakiler kısa bilgilerdi aslında. Siz enforce ettikden sonra, kullanıcı logon olduğunda aşağıdaki gibi bir durumla karşılacaktır.

Portal.microsoftonline.com üzerinden kullanıcı adı ve şifremi girdim. Sonuç aşağıdaki gibi oldu.

 

Set it up now diyorum ve aşağıdaki ekran ile karşılaşıyorum. Bu ilk bağlantıda çıkan bir ekrandır. Benim MFA yı hangi metodla kullanmak istediğimi soruyor. Ben de telefon numaramı ya da ne istiyorsam o metodu seçip konfigürasyonumu tamamlıyorum. Aranmak isteyebilirim ya da SMS atılmasını isteyebilirim. Bunları zaten yazımızın basında incelemiştik.

 

Bu metotları da farklı yazılar ile açıklamaya çalışacağım.

 

 

İyi çalışmalar

Exit mobile version