Adult male programmer working on code at a modern desk setup with a large monitor.
Microsoft 365
Can Yıldız

Bitlis’teki bir devlet üniversitesi, 320 akademisyen + 280 idari personel + 3.600 öğrenci için MFA’i 6 ayda roll-out etti. “Akademisyen MFA istemez, talepte bulunacak” beklenirken sürpriz: en olumlu reaksiyon akademisyenlerden geldi. Bu yazı sahadaki teknik + iletişim notları.

MFA Nedir?

Multi-Factor Authentication = en az 2 farklı kategori kanıt:

Kategori Örnek
Bildiğin (knowledge) Şifre, PIN
Sahip olduğun (possession) Telefon, FIDO2 key, akıllı kart
Olduğun (inherence) Parmak izi, yüz, ses

MFA Yöntemleri (M365)

Yöntem Güvenlik UX
SMS / Voice OTP Düşük (SIM swap riski) Orta
Email OTP Düşük (mailbox compromise) Orta
Microsoft Authenticator notification Yüksek Çok iyi
Authenticator number matching Çok yüksek (anti-phish) İyi
OATH TOTP (Authy, Google Auth) Yüksek İyi
FIDO2 security key (Yubikey) En yüksek Hızlı
Windows Hello Çok yüksek Mükemmel
Passkey (FIDO2 in OS) Çok yüksek Mükemmel

Faz 1: Kullanıcı Segmentasyon

Grup Sayı Strateji
IT + admin 14 FIDO2 zorunlu (en güvenli)
Dekan + müdür 32 Authenticator app + telefon yedek
Akademisyen 320 Authenticator app
İdari personel 280 Authenticator app
Öğrenci 3.600 Authenticator app + SMS yedek

Faz 2: Conditional Access Politikaları (CA)

Policy 1: Admin için MFA + Compliant Device

Assign:
  - Users: Group "IT-Admins"
  - Cloud apps: All
Conditions:
  - Sign-in risk: Medium and above
Grant:
  - Require MFA
  - Require compliant device (Intune)
  - Require approved client app

Policy 2: Tüm Kullanıcı + MFA

Assign:
  - Users: All users (exclude breakglass account)
Conditions:
  - Cloud apps: All cloud apps
  - Locations: Any location (exclude trusted IPs - kampüs)
Grant:
  - Require MFA

Policy 3: Risky Sign-in Block

Assign:
  - Users: All
Conditions:
  - Sign-in risk: High
Grant:
  - Block access

Policy 4: Legacy Auth Block

Assign: All users
Conditions:
  - Client apps: Other clients (legacy auth)
Grant:
  - Block access (POP3, IMAP, eski SMTP)

Policy 5: Öğrenci Self-Service Password Reset

Conditional Access değil ama Entra ID ayarı: SSPR aktif (öğrencilerin parola sıfırlama IT yükünü azalt).

Breakglass (Acil Durum) Hesabı

2 adet acil durum hesabı:
  - emergency-1@uni.edu.tr (CA exclusion)
  - emergency-2@uni.edu.tr (CA exclusion)

Şartlar:
  - 64 karakter random şifre, kasada
  - MFA kayıt YOK (bilerek)
  - Global Admin role (PIM ile aktif değil, statik)
  - Aylık monitor (Sentinel rule: kullanılırsa critical alert)
  - Yıllık şifre rotation

Faz 3: Roll-out Stratejisi

Hafta Grup Yaklaşım
1-2 IT FIDO2 + Authenticator (önce kendileri)
3-4 Admin (32 kişi) 1-on-1 yardım, FIDO2 isteyene
5-8 Akademisyen (320) Departman bazlı eğitim seansları
9-12 İdari personel (280) Departman bazlı
13-20 Öğrenci (3.600) Kayıt sırasında zorunlu, kayıt sonrası 30 gün grace period
21-24 Tüm enforce (CA all-users) Grace period bitti, MFA zorunlu

İletişim Stratejisi

  • Rektör imzalı duyuru (üniversite resmi)
  • Departman bazlı 30 dk eğitim (canlı + kayıt)
  • “MFA Setup” rehberi (PDF + video)
  • İlk 30 gün ek destek hattı
  • Champion (her departmanda 1 yardımcı)

Authenticator App Setup Rehberi

Adımlar:
  1. Telefon Authenticator uygulamasını indir (App Store / Play)
  2. https://aka.ms/mfasetup → giriş yap
  3. "Add sign-in method" → Authenticator
  4. QR kodu telefondan scan et
  5. Test: telefon notification gel → onayla
  6. Yedek yöntem ekle (telefon SMS)
  7. Recovery code yazdır + sakla

Sorun Çözümü (FAQ)

Sorun Çözüm
Telefon kayboldu SSPR + MFA reset (IT yardım)
Yurtdışı seyahat (SIM aktif değil) Authenticator app çalışır (data/wifi yeter)
Eski telefon yeni telefon iOS: cloud backup. Android: manual re-register
Authenticator açılmıyor Recovery code → SSPR → re-register
“MFA prompt sürekli” “Don’t ask again 60 days” devam et

Sonuçlar (6 Ay)

Metrik Önce Sonra
MFA enabled user %~~12 (sadece IT) %~~99.7 (4.188/4.200)
Aylık compromised account incident ~~3-4 0 (son 4 ay)
Phishing’e tıklayıp credential vermek ~~aylık 8-12 ~~aylık 1-2 (MFA blokladı)
IT password reset bilet ~~aylık 240 ~~aylık 60 (SSPR)
Defender Secure Score (identity) 38 92

Sahada Düşülen Üç Tuzak

  1. SMS-only MFA: SIM swap saldırılarına açık. Authenticator app + FIDO2 öncelik.
  2. Breakglass hesap unutmak: CA misconfiguration → tüm tenant kilitlenir. Min 2 breakglass + monthly monitor.
  3. Eğitim olmadan zorunlu yapmak: Kullanıcı setup’ı kendisi yapamaz, IT bilet patlar. Önce eğitim + grace period.

CloudSpark olarak Microsoft 365 MFA roll-out, Conditional Access policy tasarımı, FIDO2 + Authenticator deployment, breakglass strateji ve roll-out iletişim planlaması için danışmanlık veriyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español