Microsoft Entra ID, modern Identity and Access Management (IAM) çözümlerinin merkezinde yer alarak kurumsal güvenlik mimarisinin omurgasını oluşturuyor. Geleneksel kimlik doğrulama yaklaşımlarının modern saldırı vektörleri karşısında yetersiz kalması, kimlik temelli güvenlik anlayışını esas alan bulut tabanlı çözümlerin önemini her geçen gün artırıyor. Microsoft Entra ID tam da bu noktada, kimlik yönetimini sadece bir erişim aracı olmaktan çıkarıp güvenlik mimarisinin merkezine konumlandırıyor.
Microsoft, Temmuz 2023'te Azure Active Directory markasını Microsoft Entra ID olarak değiştirdi ve aynı zamanda Microsoft Entra ürün ailesini de tanıttı. Bu yeniden markalama, ürünün teknik altyapısını veya API'lerini değiştirmedi. Değişen şey, Microsoft'un kimlik platformunu artık sadece Azure dünyasına ait bir dizin hizmeti olarak değil; çalışan, müşteri, iş ortağı, iş yükü ve AI ajanı gibi tüm kimlik türlerini kapsayan birleşik bir platform olarak konumlandırmasıdır.
Bulut tabanlı servislerin yaygınlaşması, organizasyonların Hybrid veya tamamen Cloud tabanlı yapılara yönelmesini kaçınılmaz hale getirirken kimliklerin korunması da giderek daha büyük bir meydan okuma haline geliyor. Geleneksel Active Directory (AD) modeline dayanan yapılar modern güvenlik ihtiyaçlarına tam anlamıyla yanıt veremediği için Identity-as-a-Service (IDaaS) çözümlerine duyulan ihtiyaç artıyor. Microsoft Entra ID, bu boşluğu doldurarak hem kurum içi kaynakların hem de Software-as-a-Service (SaaS) uygulamalarının ve diğer bulut tabanlı hizmetlerin güvenli erişimini yönetmeyi sağlar.
Kimlik doğrulama ve erişim yönetimi söz konusu olduğunda güvenlik ve kullanım kolaylığı dengesini sağlamak kritik bir mesele haline geliyor. Microsoft Entra ID, Single Sign-On (SSO) ile kullanıcıların birden fazla uygulamaya tek bir kimlik doğrulamasıyla güvenli şekilde erişmesini sağlarken Multi-Factor Authentication (MFA) desteğiyle hesap güvenliğini önemli ölçüde artırıyor. Tek bir parola ile farklı sistemlere erişim sağlamak siber saldırganların işini kolaylaştırırken Microsoft Entra ID'nin sunduğu Conditional Access mekanizması sayesinde kullanıcıların kimlik doğrulama süreçleri bağlamsal risk analizine tabi tutuluyor. Böylece belirli cihazlardan, konumlardan veya riskli oturum açma girişimlerinden gelen talepler ek doğrulama gerektirecek şekilde yönetilebiliyor.
Klasik güvenlik yaklaşımlarının yetersiz kaldığı bir dünyada Zero Trust prensiplerine uygun bir kimlik yönetimi kaçınılmaz hale geliyor. Microsoft Entra ID, kimlik doğrulama sürecini sadece parolalarla değil davranış analizi, cihaz uyumluluğu ve risk sinyalleri gibi farklı parametrelerle destekleyerek güvenliği bir üst seviyeye taşıyor. Microsoft Entra ID Protection, kullanıcı oturum açma davranışlarını makine öğrenmesi ile analiz ederek Sign-in Risk ve User Risk sinyalleri üretirken Privileged Identity Management (PIM), yüksek yetkiye sahip hesapların kontrolünü Just-in-Time (JIT) erişim modeli ile sıkılaştırıyor.
Kimlik yönetimi sadece erişimi doğrulamakla sınırlı değil, aynı zamanda kimlerin hangi kaynaklara erişebileceğini belirlemek ve gereksiz erişimleri önlemek de en az kimlik doğrulama kadar önemli. Microsoft Entra ID'nin sunduğu Access Reviews, Entitlement Management ve Lifecycle Workflows özellikleri, kullanıcı ve grup erişim yetkilerini düzenli aralıklarla gözden geçirmeye ve gereksiz yetkilendirmeleri ortadan kaldırmaya imkan tanıyor. Self-Service Password Reset (SSPR) gibi kullanıcı odaklı özellikler ise hesap yönetimini hem daha güvenli hem de daha pratik hale getiriyor.
Kurumların siber güvenlik tehditlerine karşı proaktif bir yaklaşım benimsemesi gerektiği artık bir zorunluluk. Microsoft Entra ID, geleneksel kimlik yönetimi çözümlerine kıyasla daha kapsamlı, esnek ve güvenli bir yapı sunarak kimlikleri sadece doğrulanan bir erişim bileşeni olmaktan çıkarıp güvenlik stratejisinin temel unsurlarından biri haline getiriyor.
Son olarak Microsoft Entra ID, kullanıcı kimliklerinin ve kimlik bilgilerinin korunmasına otomatik şekilde yardımcı olmak ve erişim yönetimi gereksinimlerinizi karşılamak için size güçlü araçlar sunar.
Microsoft Entra Ürün Ailesi
Microsoft Entra ID, daha geniş bir ürün ailesinin temel bileşenidir ancak yapboz parçalarından sadece biridir. Microsoft, Entra çatısı altında insan kimliklerinden iş yükü kimliklerine, müşteri kimliklerinden AI ajan kimliklerine kadar geniş bir yelpazeye yayılan bir ürün portföyü sunar. Aşağıdaki tablo, 2026 itibarıyla Microsoft Entra ürün ailesinin tüm bileşenlerini ve ana kullanım senaryolarını özetler.
|
Ürün |
Kapsam ve Kullanım Senaryosu |
|
Microsoft Entra ID |
Ürün ailesinin temel bileşeni olup çalışanlar, cihazlar ve uygulamalar için bulut tabanlı kimlik ve erişim yönetimi sağlar. Microsoft 365, Azure ve binlerce entegre SaaS uygulaması için kimlik doğrulama ve yetkilendirme motorudur. |
|
Microsoft Entra External ID |
Misafir kullanıcıların yer aldığı B2B iş birliği senaryoları ile müşteriye yönelik uygulamaların yer aldığı B2C senaryolarını tek bir modern CIAM çatısı altında birleştirir. Azure AD B2C'nin halefi olarak konumlanır. |
|
Microsoft Entra ID Protection |
Sign-in Risk ve User Risk sinyallerini makine öğrenmesi ile gerçek zamanlı ve Offline modda analiz eder. Risk tabanlı Conditional Access politikalarını besler. Microsoft Entra ID P2 lisansı kapsamındadır. |
|
Microsoft Entra ID Governance |
Kimlik yaşam döngüsü yönetimi, Access Packages tabanlı Entitlement Management, gelişmiş Access Reviews, Lifecycle Workflows ve Separation of Duties yetenekleri sunar. P1 ve P2 üzerine ek lisans ile alınır. |
|
Microsoft Entra Verified ID |
W3C standartlarına dayalı Verifiable Credentials ve Decentralized Identifiers (DID) yapısı sunar. Eğitim, KYC ve dijital diploma gibi senaryolarda kullanılır. Temel issuance ve verification yetenekleri tüm Entra ID aboneliklerinde ücretsizdir. Face Check özelliği Entra Suite kapsamındadır. |
|
Microsoft Entra Internet Access |
Microsoft'un Secure Service Edge (SSE) çözümünün internet trafiğine yönelik bileşenidir. Web filtreleme, kötü amaçlı içerik koruması ve internet erişiminin Conditional Access ile değerlendirilmesini sağlar. |
|
Microsoft Entra Private Access |
SSE çözümünün özel uygulamalara yönelik bileşenidir. VPN bağımlılığını azaltarak Zero Trust Network Access (ZTNA) modeli ile On-Premises ve özel bulut uygulamalarına Conditional Access tabanlı erişim sağlar. |
|
Microsoft Entra Workload ID |
Uygulamalar, servisler ve Container'lar gibi insan olmayan iş yükü kimlikleri için kimlik ve erişim yönetimi sağlar. Workload ID Premium lisansı ile Conditional Access ve Access Reviews iş yüklerine de uygulanabilir. |
|
Microsoft Entra Agent ID |
AI ajanları için kimlik ve güvenlik çerçevesidir. İlk önizlemesi Mayıs 2025'te yayınlandı, genişletilmiş Public Preview ise Ignite 2025'te duyuruldu. Otonom ve kullanıcı benzeri ajanlara Microsoft Entra üzerinde dijital kimlik kazandırır, Least Privilege erişim ile Audit Trail sağlar. Agent ID, Microsoft'un Agent 365 kontrol düzleminin bir parçasıdır. |
Microsoft Entra Permissions Management, eski adıyla CloudKnox, Multi-Cloud Cloud Infrastructure Entitlement Management (CIEM) çözümü olarak Azure, AWS ve GCP için sunuluyordu. Microsoft bu ürünü 1 Nisan 2025 itibarıyla yeni Enterprise Agreement ve direkt müşterilere, 1 Mayıs 2025 itibarıyla da yeni CSP müşterilerine satışa kapatmıştır. Ürün nihai olarak 1 Kasım 2025 tarihinde tamamen emekliye ayrılmıştır. CIEM yetenekleri ise Microsoft Defender for Cloud tarafındaki Defender CSPM planı kapsamında devam etmektedir. Yeni Multi-Cloud erişim yönetimi projelerinde bu emekli ürün referans alınmamalıdır.
Microsoft Entra ID'yi kimler kullanır?
Microsoft Entra ID, kurumunuzun çalışanlarına ve rollerine göre farklı avantajlar sağlar.
✅ BT yöneticileri, iş gereksinimlerine göre uygulamalara ve uygulama kaynaklarına erişimi denetlemek için Microsoft Entra ID'yi kullanır. Örneğin bir BT yöneticisi olarak önemli kurumsal kaynaklara erişirken Multi-Factor Authentication (MFA) gerektirmek için Microsoft Entra ID'yi kullanabilirsiniz. Ayrıca Microsoft Entra ID'yi mevcut On-Premises Active Directory'niz ile Microsoft 365 dahil bulut uygulamalarınız arasında User Provisioning işlemini otomatikleştirmek için de kullanabilirsiniz.
User Provisioning teknik terminolojisinin tam bir Türkçe karşılığını vermek zor. Belki provizyonlama olarak çevrilebilir ancak bu, size pek bir şey ifade etmeyecektir. Şu şekilde açıklamak daha anlaşılabilir olacaktır.
Günümüzde işletmeler ve kurumlar giderek daha fazla On-Premises ve bulut uygulamalarının bir karışımı haline geliyor. Kullanıcıların hem On-Premises hem de buluttaki uygulamalara erişmesi gerekiyor. Bu farklı uygulamalarda, hem On-Premises hem de bulut ortamlarında tek bir kimliğe sahip olma ihtiyacı doğuyor. Provizyonlama, belirli koşullara göre bir nesne oluşturma, nesneyi güncel tutma ve koşullar artık karşılanmadığında nesneyi silme işlemidir. Örneğin kuruluşunuza yeni bir kullanıcı katıldığında bu kullanıcı IK sistemine girilir. Bu noktada provizyonlama ile bulutta, On-Premises Active Directory'de ve kullanıcının erişmesi gereken farklı uygulamalarda ilgili bir kullanıcı hesabı oluşturulabilir. Bu, kullanıcının işe başlamasına ve ilk günden ihtiyaç duyduğu uygulamalara ve sistemlere erişmesine olanak tanır.
✅ Uygulama geliştiricileri, Microsoft Entra ID'yi bir kullanıcının mevcut kimlik bilgileriyle çalışan uygulamalara Single Sign-On (SSO) özelliği tanımlamalarına yardımcı olan standartlara dayalı bir Authentication Provider olarak kullanabilir. Microsoft Entra ID; OAuth 2.0, OpenID Connect (OIDC), SAML 2.0 ve WS-Federation gibi endüstri standardı protokolleri destekler. Geliştiriciler ayrıca kurumsal verileri kullanarak kişiselleştirilmiş deneyimler oluşturmak için Microsoft Graph API üzerinden Microsoft Entra ID'ye erişebilir.
✅ Microsoft 365, Office 365, Azure ve Dynamics 365 abonelik sahipleri otomatik olarak bir Microsoft Entra Tenant'a sahip olduğundan, bu hizmetlerin tüm aboneleri zaten Microsoft Entra ID kullanır.
Microsoft Entra ID lisansları nelerdir?
Microsoft 365 veya Microsoft Azure gibi Microsoft Online iş hizmetleri, oturum açma etkinlikleri ile kimliklerinizi korumaya yardımcı olmak için Microsoft Entra ID'yi kullanır. Herhangi bir Microsoft Online iş hizmetine abone olursanız otomatik ve ücretsiz olarak Microsoft Entra ID'ye erişebilirsiniz. Microsoft Entra ID yönetimi için Microsoft Entra admin center veya Azure portal bağlantılarını kullanabilirsiniz.
Microsoft Entra ID Free seviyesinin üzerine Microsoft Entra ID P1 veya P2 lisanslarını ekleyerek gelişmiş güvenlik ve yönetim özelliklerine erişebilirsiniz. Microsoft Entra ücretli lisansları, mevcut ücretsiz dizininizin üzerine dahil edilir.
✔ Microsoft Entra ID Free, kullanıcı ve grup yönetimi, On-Premises dizin senkronizasyonu, temel raporlar, bulut kullanıcıları için Self-Service parola değişikliği ve Azure, Microsoft 365 ile binlerce popüler Software-as-a-Service (SaaS) uygulamasında Single Sign-On sağlar. Free seviyesinde MFA yalnızca Security Defaults üzerinden tüm kullanıcılara aynı şekilde uygulanır. Granüler MFA politikaları için Conditional Access gerekir ve bu yetenek P1 lisansından itibaren mevcuttur.
✔ Microsoft Entra ID P1, Free özelliklerine ek olarak hibrit kullanıcılarınızın hem On-Premises hem de bulut kaynaklarına güvenli erişimini sağlar. Bu lisans seviyesinde Conditional Access, Dynamic Groups, Self-Service Group Management, Microsoft Identity Manager (MIM), Microsoft Entra Application Proxy ve On-Premises kullanıcılar için Password Writeback destekli Self-Service Password Reset (SSPR) özellikleri kullanılabilir. P1 lisansı; Microsoft 365 E3, Microsoft 365 Business Premium, Microsoft 365 F1/F3 ve Enterprise Mobility + Security E3 planları kapsamında otomatik olarak gelir.
✔ Microsoft Entra ID P2, Free ve P1 özelliklerine ek olarak Microsoft Entra ID Protection ve Privileged Identity Management (PIM) özelliklerini sunar. Identity Protection ile risk tabanlı Conditional Access politikaları yapılandırılabilir. Bu kapsamda Sign-in Risk Policy ve User Risk Policy tanımlanabilir. PIM ile Microsoft Entra rollerine, Azure kaynak rollerine ve PIM for Groups senaryolarına Just-in-Time (JIT) ve süreli erişim sağlanabilir. P2 lisansı; Microsoft 365 E5, Enterprise Mobility + Security E5 ve Microsoft Defender Suite gibi paketler kapsamında gelir.
✔ Microsoft Entra ID Governance, P1 ve P2 müşterileri için sunulan gelişmiş kimlik yönetişimi yetenekleri içeren ayrı bir lisanstır. Bu lisans Access Packages üzerinden Entitlement Management, gelişmiş Access Reviews, Lifecycle Workflows, Separation of Duties ve diğer kurumsal yönetişim senaryolarını kapsar. M365 E5 müşterileri Entra ID Governance Step Up lisansı ile P2 üzerine ek özellikler ekleyebilir.
✔ Microsoft Entra Suite, Microsoft Entra ürün ailesini tek bir paket altında birleştiren modern bir lisanstır. Entra Suite; Microsoft Entra Private Access, Microsoft Entra Internet Access, Microsoft Entra ID Protection, Microsoft Entra ID Governance ve Face Check dahil Microsoft Entra Verified ID Premium bileşenlerini içerir. Bu paket, Zero Trust mimarisini hem kimlik hem de ağ erişim katmanında uçtan uca uygulamak isteyen organizasyonlara yöneliktir. Entra Suite'in ön koşulu P1 veya P1 içeren bir M365 planıdır.
✔ Microsoft Entra Workload ID Premium, Service Principal'lar ve uygulamalar için Conditional Access, Access Reviews ve Identity Protection yeteneklerini sağlayan bağımsız bir lisanstır. İş yükü kimliği başına aylık ücretlendirilir ve herhangi bir M365 planı, EM+S paketi veya Entra Suite kapsamında yer almaz.
✔ Customer Identity and Access Management (CIAM) senaryolarınız için Microsoft Entra External ID'yi kullanmanız önerilir. External ID, müşteriye yönelik uygulamalarınız için modern kimlik ve erişim yönetimi çözümleri sunar ve Monthly Active Users (MAU) faturalandırma modeli ile kullanılır. İlk 50.000 MAU ücretsizdir.
Microsoft 365 SKU'ları ile Microsoft Entra ID lisans seviyeleri arasındaki eşleme şu şekildedir. Microsoft 365 E3, Microsoft 365 Business Premium ve Microsoft 365 F1/F3 planları Microsoft Entra ID P1 lisansını içerir. Microsoft 365 E5 ile EM+S E5 planları Microsoft Entra ID P2 lisansını içerir. 9 Mart 2026 tarihinde duyurulan ve 1 Mayıs 2026 tarihinde kullanıma sunulan Microsoft 365 E7 ise Frontier Suite markası altında Microsoft 365 E5, Microsoft 365 Copilot, Microsoft Agent 365 ve Microsoft Entra Suite bileşenlerini tek bir SKU altında birleştirir. Bu yönüyle tam Microsoft Entra Suite kapsamını içeren en üst kurumsal lisans seviyesidir.
Azure AD B2C,
1 Mayıs 2025 itibarıyla yeni müşterilere satışa kapatılmıştır. Bu tarihten önce
B2C Tenant oluşturmuş mevcut müşteriler en az
Mayıs 2030 taarihine kadar hizmetlerini kullanmaya devam edebilir.
B2C Premium P2 lisansı
15 Mart 2026 itibarıyla emekliye ayrılmış olup mevcut P2 Tenant'lar otomatik olarak
P1 seviyesine geçirilmiştir. Yeni CIAM projeleri için
Microsoft Entra External ID kullanılması gerekir.
Bu lisansların güncel fiyatlandırma seçenekleri için Microsoft Entra Planları ve Fiyatlandırması sayfasına göz atabilirsiniz.
Cihaz modellerinin kavramsal çerçevesini gördükten sonra, derinlemesine incelemeye geçmeden önce bu cihazların üzerinde çalıştığı kullanıcı kimliğinin Microsoft Entra ID tarafından nasıl doğrulandığını netleştirmek gerekir. Seçilen kimlik doğrulama modeli, birazdan inceleyeceğimiz cihaz Join senaryolarındaki SSO ve Primary Refresh Token davranışını da doğrudan etkiler.
Microsoft Entra ID Authentication Yöntemleri
Microsoft Entra ID, kuruluşların hibrit kimlik mimarisine uygun olarak farklı kimlik doğrulama modellerini destekler. Doğru kimlik doğrulama yönteminin seçimi; güvenlik gereksinimleri, mevcut altyapı, uyumluluk gereksinimleri ve operasyonel karmaşıklık açısından kritik bir mimari karardır. Bu seçim yalnızca kullanıcı deneyimini değil; kimlik doğrulamanın hangi noktada gerçekleştiğini, hangi bileşenlerin tek hata noktası haline geldiğini ve Microsoft Entra ID Protection ile Conditional Access gibi modern güvenlik yeteneklerinin ne ölçüde kullanılabileceğini de doğrudan belirler.
Yöntemleri anlamanın en sağlam yolu, onları iki temel kategoriye ayırmaktır. Birinci kategori, bulut tarafından yönetilen kimlik doğrulama anlamına gelen Managed Authentication modelidir. Bu modelde parola doğrulamanın sonucunu Microsoft Entra ID üretir ve Password Hash Synchronization (PHS) ile Pass-through Authentication (PTA) bu kategoriye girer. İkinci kategori, federasyon tabanlı kimlik doğrulama anlamına gelen Federated Authentication modelidir. Bu modelde Microsoft Entra ID, doğrulama işlemini Active Directory Federation Services veya üçüncü taraf bir Identity Provider gibi harici ve güvenilen bir sisteme devreder.
Kimlik doğrulama yöntemi Tenant genelinde değil, doğrulanmış her Domain için ayrı ayrı yapılandırılır. Bir Domain ya Managed ya da Federated durumdadır. Federated bir Domain'de tüm oturum açma istekleri federasyon servisine yönlendirildiği için Microsoft Entra ID doğrudan parola doğrulaması yapmaz. Bu nedenle PHS, PTA ve Federated Authentication, parola tabanlı oturum açmada parolanın nerede doğrulandığını belirleyen birincil yöntemlerdir ve aynı Domain için aynı anda birincil yöntem olarak çalışamazlar.
Seamless SSO ise bu birincil yöntemlerin yerine geçmez. Kurum ağı içindeki kullanıcılara Kerberos ile şeffaf oturum açma deneyimi ekleyen tamamlayıcı bir katmandır ve hem PHS hem de PTA ile birlikte kullanılabilir. Certificate-Based Authentication ile Windows Hello, FIDO2 ve Microsoft Authenticator gibi Passwordless yöntemler ise kullanıcının doğrudan Microsoft Entra ID'ye kimlik doğrulamasını sağlayan alternatif kimlik bilgisi türleridir. Bu yöntemler parola doğrulama yoluna bağımlı olmadan çalışır ve Microsoft, Phishing-Resistant bu yöntemlere geçişi Zero Trust kapsamında öncelikli olarak önerir.
PHS, kimlik doğrulama anında On-Premises altyapıya bağımlı olmadığı için Microsoft tarafından varsayılan ve en dayanıklı seçenek olarak önerilir. PTA veya Federated Authentication kullanan ortamlarda dahi PHS, senkronizasyonu açık tutularak bir yedek olarak konumlandırılabilir. Ancak bu yedeğe geçiş otomatik değildir ve Tenant seviyesinde manuel bir işlem gerektirir. Ayrıca hem PHS hem de PTA, UPN dışında alternatif bir oturum açma kimliği ile oturum açmayı da destekler.
Federasyondan bulut tabanlı kimlik doğrulamaya geçişte Microsoft, kademeli bir göç için Staged Rollout yeteneğini sunar. Staged Rollout ile seçili kullanıcı grupları, Domain'in tamamı dönüştürülmeden önce PHS veya PTA'ya taşınarak Managed Authentication kontrollü şekilde test edilebilir. Yeni eklenen bir grupta en fazla 200 kullanıcı anında güncellenir, mevcut bir grupta yapılan değişikliklerin yansıması ise 24 saati bulabilir. Nested ve Dynamic Group üyelikleri Staged Rollout için desteklenmez. Geçiş tamamlandığında Staged Rollout yapılandırmasının kapatılması gerekir.
Microsoft Entra ID'nin desteklediği başlıca kimlik doğrulama yöntemleri aşağıda özetlenmiştir.
1- Cloud-Only Authentication
Cloud-Only modelde kullanıcılar doğrudan Microsoft Entra ID üzerinde oluşturulur ve On-Premises Active Directory'den senkronize edilmez. Bu model, Cloud-native kuruluşlar veya Active Directory altyapısı bulunmayan ortamlar için en sade kimlik mimarisidir ve Microsoft Entra Connect Sync ya da Cloud Sync gibi bir senkronizasyon bileşenine gerek bırakmaz. Bu modelde Password Policy doğrudan Microsoft Entra ID tarafından yönetilir. Parola uzunluğu ve Complexity kuralları özelleştirilemez. Parola en az 8, en fazla 256 karakter olmalı ve büyük harf, küçük harf, rakam ve sembol gruplarından en az üçünü içermelidir. Parola süresi Tenant'ın oluşturulma tarihine bağlıdır. 2021 sonrasındaki Tenant'larda parolalar varsayılan olarak süresiz, 2021 öncesinde ise 90 gündür. Bu değer Domain seviyesinde Get-MgDomain ile görüntülenip Update-MgDomain ile değiştirilir, tek bir kullanıcının parolasının hiç dolmaması ise Update-MgUser ile DisablePasswordExpiration atanarak sağlanır.
Kimlik doğrulamanın tamamen bulutta yapılması; Conditional Access, Microsoft Entra ID Protection, Multi-Factor Authentication (MFA), Self-Service Password Reset ve Passwordless gibi modern güvenlik yeteneklerinin hiçbir hibrit bileşene gerek olmadan kullanılmasını sağlar. Bu yapı cihaz tarafında Microsoft Entra Joined senaryosuyla örtüşür, çünkü her ikisinde de kimlik yalnızca bulutta var olur ve cihazlar On-Premises Active Directory'ye Join edilmeden doğrudan Microsoft Entra ID'ye katılır.
2- Password Hash Synchronization (PHS)
PHS, hibrit kimlik mimarilerinde en yaygın kullanılan ve Microsoft'un da varsayılan olarak önerdiği kimlik doğrulama yöntemidir. Bu modelde On-Premises Active Directory'deki kullanıcı parolalarının hash bilgileri, ek bir hash dönüşümü ile birlikte Microsoft Entra ID'ye senkronize edilir. Microsoft, parola hash'ini doğrudan göndermek yerine MD4 hash değerini per-user salt ile birleştirip PBKDF2 fonksiyonuna verir ve 1000 iterasyonluk PBKDF2-HMAC-SHA256 işleminin sonucunu Microsoft Entra ID'ye iletir. Orijinal MD4 hash değeri hiçbir zaman buluta gönderilmez.
PHS'in en büyük avantajı, kimlik doğrulama anında On-Premises altyapıya bağımlı olmamasıdır. Bu da hem yüksek erişilebilirlik hem de On-Premises kesintilere karşı dayanıklılık sağlar. Ayrıca PHS, Microsoft Entra ID Protection kapsamındaki Leaked Credentials Detection özelliğinin çalışabilmesi için zorunlu bir gereksinimdir.
3- Pass-through Authentication (PTA)
PTA modelinde Microsoft Entra ID, kimlik doğrulama isteğini On-Premises Active Directory'ye yönlendirir ve parola doğrulama işlemi On-Premises tarafında gerçekleşir. Bu işlem, kurumsal ağ içerisinde konuşlandırılan PTA Authentication Agent bileşenleri üzerinden yürütülür. PTA, parola hash bilgisinin buluta gönderilmesinin uygunluk veya politika açısından kabul edilemediği senaryolarda tercih edilir.
PTA seçiminde yüksek erişilebilirlik için en az 3 PTA Authentication Agent'ın farklı sunucularda konuşlandırılması Microsoft tarafından önerilir. PTA, otomatik olarak PHS'e failover yapmaz. Bu, kritik bir mimari detaydır. Failover senaryosunda PHS'e geçiş, Tenant seviyesinde manuel bir işlem gerektirir.
PTA, Microsoft Entra Domain Services ve Microsoft Entra Cloud Sync senaryolarını desteklemez. Bu senaryolar Microsoft Entra Connect Sync üzerinden PHS ile yapılandırılmalıdır.
4- Federated Authentication (AD FS)
Federated modelde Microsoft Entra ID, kimlik doğrulama isteğini bir Federation Provider'a yönlendirir. Bunun en yaygın örneği Active Directory Federation Services'tir. Federation Provider, kimlik doğrulama işlemini gerçekleştirir ve sonucu SAML veya WS-Federation token'ı olarak Microsoft Entra ID'ye iletir. Bu model; Smart Card tabanlı kimlik doğrulama, üçüncü taraf MFA çözümleri veya UPN dışı bir attribute ile oturum açma gibi gelişmiş senaryolar için tercih edilebilir.
Ancak Federated modelin operasyonel maliyeti yüksek olup AD FS sunucularının yüksek erişilebilirlik, sertifika yönetimi ve patch yönetimi gerektirmesi nedeniyle Microsoft, son yıllarda PHS veya PTA'ya geçişi açıkça önermektedir. Üstelik AD FS, Microsoft Entra ID Protection ve Conditional Access gibi modern güvenlik yeteneklerinin tam potansiyelinden yararlanmayı kısıtlar.
5- Seamless Single Sign-On
Seamless SSO, kurum içinden gelen kullanıcıların Kerberos ile şeffaf şekilde Microsoft Entra ID'ye oturum açmasını sağlar. PHS ve PTA ile birlikte kullanılabilir ve özellikle Windows 7 ile Windows 8.1 gibi eski istemcilerde sorunsuz oturum açma deneyimi sunar. Windows 10 ve sonrası ile Windows Server 2016 ve sonrası için Microsoft, Seamless SSO yerine Primary Refresh Token (PRT) tabanlı SSO mekanizmasını önerir. PRT, Microsoft Entra Joined ve Microsoft Entra Hybrid Joined cihazlarda otomatik olarak çalışır. Bu nedenle bu makalede ele alınan cihaz Join modelleri ile Seamless SSO doğrudan ilişkilidir. Daha derin bir inceleme için Entra ID Seamless SSO: Kerberos Tabanlı Kimlik Doğrulama Katmanı makaleme göz atabilirsiniz.
Seamless SSO etkinleştirildiğinde Active Directory üzerinde AZUREADSSOACC adında bir Computer Account oluşturulur. Bu hesabın Kerberos decryption key değeri otomatik olarak yenilenmez ve Microsoft, bu anahtarın en az 30 günde bir manuel olarak değiştirilmesini önerir. AZUREADSSOACC hesabı ve PTA Authentication Agent sunucuları, Control Plane yani Tier 0 varlıkları olarak sıkılaştırılmalıdır. Ayrıca istemci tarafında https://autologon.microsoftazuread-sso.com adresinin Intranet Zone'a eklenmesi için GPO yapılandırması gerekir.
6- Microsoft Entra Certificate-Based Authentication
Microsoft Entra CBA, kullanıcıların X.509 sertifikalarıyla doğrudan Microsoft Entra ID üzerinden oturum açmasını sağlar ve daha önce bunun için gereken Active Directory Federation Services (AD FS) bağımlılığını ortadan kaldırır. CBA ücretsiz bir özelliktir, ancak Conditional Access üzerinden MFA veya Authentication Strength koşulu olarak zorunlu kılmak lisanslı bir Microsoft Entra ID sürümü gerektirir. Yapılandırma iki bağlamaya dayanır. Username Binding, sertifikadaki bir alanı kullanıcıyı bulmak için bir kullanıcı attribute'una eşler. SKI veya SHA1PublicKey gibi benzersiz alanları certificateUserIds değerine eşleyen high-affinity binding daha güvenlidir ve önerilir, PrincipalName gibi yeniden kullanılabilir alanları userPrincipalName değerine eşleyen low-affinity binding ise daha zayıftır. Authentication Binding ise kimlik doğrulamanın Single-Factor mı yoksa Multi-Factor mı sayılacağını belirler. Varsayılan Single-Factor olmakla birlikte, sertifikanın Issuer veya Policy OID alanına göre belirli sertifikalar Multi-Factor olarak tanımlanabilir.
Oturum açarken kullanıcı sertifikasını seçer ve Microsoft Entra ID bunu kullanıcı hesabıyla eşleştirir. Bunun için sertifikayı veren CA'ların Tenant'ta güvenilir olarak tanımlı olması gerekir. İptal kontrolü için CA'ya bir CRL tanımlanmalıdır. CRL tanımlı değilse iptal kontrolü yapılmaz ve iptal edilmiş sertifikalar engellenmez, CRL tanımlı ama erişilemiyorsa kimlik doğrulama başarısız olur. CBA; FIDO2 Security Key ve Windows Hello for Business ile birlikte Phishing-Resistant yöntemlerden biridir ve Conditional Access'in Authentication Strength yeteneğiyle zorunlu kılınabilir.
7- Passwordless Authentication
Microsoft Entra ID, parolayı tamamen ortadan kaldıran birkaç kimlik doğrulama yöntemini destekler. Başlıcaları Windows Hello for Business, Microsoft Authenticator Passwordless Phone Sign-in, FIDO2 Security Key ve Passkey (FIDO2) yöntemleridir. Bu yöntemler parola yerine public/private key pair kullanır. Private key, cihazın TPM, Windows Hello container ya da güvenlik anahtarı gibi güvenli donanımında kalır ve dışarı çıkmaz. Microsoft Entra ID yalnızca public key bilgisini sakladığı için ağ üzerinde çalınabilecek paylaşılan bir sır taşınmaz. Burada önemli bir ayrım vardır. Microsoft'un Phishing-Resistant saydığı yöntemler Windows Hello for Business, FIDO2 Security Key, Passkey (FIDO2) ve Certificate-Based Authentication'dır, Microsoft Authenticator içindeki Passkey'ler de bu kapsamdadır. Microsoft Authenticator Passwordless Phone Sign-in ise parolasızdır ancak Phishing-Resistant kategoride yer almaz.
Passkey'ler device-bound veya synced olabilir. Public preview olarak sunulan Microsoft Entra Passkeys on Windows özelliği, Microsoft Entra Joined veya Registered olmayan Windows cihazlarda dahi Windows Hello container üzerinden Phishing-Resistant oturum açmayı mümkün kılar. Tüm bu yöntemler Authentication Methods Policy ile etkinleştirilir ve Conditional Access'in Authentication Strength yeteneğiyle zorunlu kılınabilir. Yeni kullanıcıların ilk Passwordless kimlik bilgisini hiç parola kullanmadan kaydetmesi için Temporary Access Pass kullanılabilir. Microsoft, Passwordless ve Phishing-Resistant yöntemlerin yaygınlaştırılmasını Zero Trust kapsamında en önemli adımlardan biri olarak konumlandırır.
Kullanıcı kimliğinin nerede ve nasıl doğrulandığını netleştirdiğimize göre, artık bu kimliklerin üzerinde çalıştığı cihazların Microsoft Entra ID ile nasıl ilişkilendirildiğini ve her bir Join modelinin teknik karşılığını ayrıntılı şekilde inceleyebiliriz.
Microsoft Entra ID'deki özellikler nelerdir?
Microsoft Entra ID lisansınızı seçtikten sonra aşağıdaki tabloda yer alan özelliklerin bazılarına veya tümüne erişim elde edersiniz.
|
Özellik |
Açıklama |
|
Application Management |
Microsoft Entra Application Proxy, Single Sign-On (SSO), My Apps portalı ve Software-as-a-Service (SaaS) uygulama entegrasyonlarını kullanarak bulut ve şirket içi uygulamalarınızı yönetirsiniz. SAML, OAuth 2.0 ve OpenID Connect protokolleri desteklenir. |
|
Authentication |
Microsoft Entra Self-Service Password Reset (SSPR), Multi-Factor Authentication (MFA), özel yasaklı parola listesi sunan Password Protection, Smart Lockout, Authentication Methods Policy ve Windows Hello, Microsoft Authenticator, FIDO2 gibi Passwordless authentication yönetimini gerçekleştirirsiniz. |
|
Microsoft Identity Platform |
Tüm Microsoft kimlikleriyle oturum açan uygulamalar oluşturup Microsoft Graph, diğer Microsoft API'leri veya özel API'leri çağırmak için Access Token, Refresh Token ve ID Token alırsınız. OAuth 2.0 Authorization Code with PKCE, Client Credentials, Device Code ve On-Behalf-Of gibi authentication flow'ları desteklenir. |
|
Business-to-Business (B2B) Collaboration |
Kendi kurumsal verileriniz üzerindeki kontrolünüzü korurken misafir kullanıcılarınızı ve harici iş ortaklarınızı yönetirsiniz. B2B Collaboration, Microsoft Entra External ID ürün ailesi altında yer alır. |
|
Microsoft Entra External ID |
Müşteriye yönelik uygulamalarınız için modern Customer Identity and Access Management (CIAM) çözümü sunar. Kullanıcı kaydolma, oturum açma ve profil yönetimi akışlarını özelleştirebilirsiniz. Google ve Facebook gibi sosyal kimlik sağlayıcıları entegrasyonunu destekler. Azure AD B2C'nin modern halefidir. |
|
Conditional Access |
Kullanıcı, cihaz, lokasyon, uygulama, Sign-in Risk ve User Risk sinyallerini değerlendirerek bulut uygulamalarınıza erişimi politika tabanlı yönetirsiniz. MFA gerekliliği, uyumlu cihaz ve hibrit join zorunluluğu gibi Grant Controls ile app-enforced restrictions ve Continuous Access Evaluation gibi Session Controls ile koşullu erişim politikaları zenginleştirilebilir. |
|
Device Management |
Bulut veya On-Premises cihazlarınızın kurumsal verilerinize nasıl erişeceğini Microsoft Entra Join, Microsoft Entra Hybrid Join ve Microsoft Entra Registered modelleri üzerinden yönetirsiniz. Microsoft Intune entegrasyonu ile cihaz uyumluluğunu Conditional Access üzerinden zorlayabilirsiniz. |
|
Microsoft Entra Domain Services |
Domain Controller dağıtmadan yönetilen bir Domain üzerinden Azure VM'lerinizi Domain'e ekler ve grup ilkeleri ile LDAP gibi geleneksel AD servislerinden yararlanırsınız. Microsoft Entra Domain Services, Microsoft Entra ID üzerinden senkronize edilen kullanıcıları ve grupları kendi yönetilen Domain'ine yansıtır. |
|
Enterprise Users |
Group-Based Licensing ile lisans atamalarını otomatikleştirir, uygulama erişimini yönetir, gruplar ile yönetici rollerini kullanarak Role-Based Access Control (RBAC) ayarlarsınız. |
|
Hybrid Identity |
Konumdan bağımsız olarak tüm kaynaklara kimlik doğrulama ve yetkilendirme için tek bir kullanıcı kimliği sağlamak üzere Microsoft Entra Connect Sync, Microsoft Entra Cloud Sync ve Microsoft Entra Connect Health'i kullanırsınız. |
|
Microsoft Entra ID Governance |
Çalışan, iş ortağı, satıcı, hizmet ve uygulama erişim yönetişimini Access Packages tabanlı Entitlement Management, Access Reviews, Lifecycle Workflows ve Separation of Duties yetenekleri ile sağlarsınız. |
|
Microsoft Entra ID Protection |
Kuruluşunuzun kimliklerini etkileyen risk sinyallerini makine öğrenmesi ile gerçek zamanlı ve Offline modda tespit eder, Sign-in Risk ve User Risk değerlendirmesi yapar, risk tabanlı Conditional Access politikalarını yapılandırır ve otomatik remediation eylemlerini uygularsınız. |
|
Managed Identities for Azure Resources |
Azure hizmetlerinize Microsoft Entra ID destekli tüm kimlik doğrulama hizmetlerine kimlik doğrulayabilen otomatik yönetilen bir kimlik sağlarsınız. System-Assigned ve User-Assigned olmak üzere iki tür Managed Identity desteklenir. Azure Key Vault, Azure Storage ve Azure SQL Database gibi Microsoft Entra ID entegrasyonlu hizmetlerle kullanılır. |
|
Privileged Identity Management (PIM) |
Kurumunuzdaki yüksek yetkili rollere erişimi Just-in-Time (JIT) modeli ile yönetir, denetler ve izlersiniz. Eligible Assignment, Active Assignment, Time-Bound Assignment, Approval Workflow ve Access Review yetenekleri sunar. Microsoft Entra rollerini, Azure kaynak rollerini ve PIM for Groups senaryolarını kapsar. |
|
Monitoring and Health |
Sign-in logs, Audit logs, Provisioning logs ve Microsoft Entra Connect Health üzerinden ortamınızdaki güvenlik ve kullanım modelleri hakkında bilgi edinirsiniz. Microsoft Sentinel ve Microsoft Defender XDR ile log ingestion ve korelasyon yapabilirsiniz. |
|
Workload Identities |
Service Principal ve Managed Identity gibi insan olmayan kimliklere bir kimlik verirsiniz. Microsoft Entra Workload ID Premium lisansı ile Conditional Access, Identity Protection ve Access Reviews bu iş yükü kimliklerine de uygulanabilir. |
Hybrid Identity Mimarisi
Hibrit kimlik mimarisi, Microsoft'un On-Premises Active Directory ile bulut tabanlı Microsoft Entra ID arasında köprü kurmak için sunduğu iki temel senkronizasyon aracını kapsar. Bu araçlar, kullanıcıların hem On-Premises hem de bulut kaynaklarına aynı kimlik bilgileriyle erişebilmesini sağlar.
1- Microsoft Entra Connect Sync
Microsoft Entra Connect Sync, eski adıyla Azure AD Connect, On-Premises tarafında konuşlandırılan ve geniş kapsamlı senkronizasyon yeteneklerine sahip klasik senkronizasyon aracıdır. Senkronizasyon motoru On-Premises tarafında çalışır, dolayısıyla kompleks filtreleme, attribute transformation ve gelişmiş senaryolar için yüksek esneklik sunar. PHS, PTA, Federated Authentication ve Password Writeback gibi geniş bir özellik setini destekler.
Microsoft, tüm Microsoft Entra Connect Sync kurulumlarının en geç 30 Eylül 2026 tarihine kadar 2.5.79.0 veya daha yeni bir sürüme yükseltilmesini zorunlu tutmaktadır. Bu tarihten sonra eski sürümler arka uç hizmet sıkılaştırmaları nedeniyle senkronizasyon yapmayacaktır.
2- Microsoft Entra Cloud Sync
Microsoft Entra Cloud Sync, On-Premises tarafında yalnızca hafif bir Provisioning Agent çalıştıran ve senkronizasyon motorunu bulutta barındıran modern bir mimari sunar. Cloud Sync; daha hızlı senkronizasyon döngüleri, yüksek erişilebilirlik için aktif-aktif agent desteği, multi-forest disconnected senaryolar ve buluttan merkezi yapılandırma gibi avantajlar sağlar. Ancak Connect Sync kadar kapsamlı bir attribute filtering ve transformation özelliği sunmaz.
Microsoft, yeni hibrit kimlik dağıtımlarında ve özellikle multi-forest senaryolarda Cloud Sync'i öncelikli seçenek olarak konumlandırmaktadır. Mevcut Connect Sync kurulumlarının yanı sıra Cloud Sync de aynı Tenant'a paralel olarak kullanılabilir, ancak aynı kullanıcı kümeleri için değil.
Microsoft Entra Cloud Sync, Pass-through Authentication senaryosunu desteklemez. Buna karşılık Self-Service Password Reset için Password Writeback, cloud provisioning agent 1.1.977.0 ve sonrası ile Cloud Sync üzerinde desteklenir. Dolayısıyla PTA gerektiren dağıtımlar için Microsoft Entra Connect Sync kullanılması zorunludur. Cloud Sync ayrıca gelişmiş attribute filtering, attribute transformation ve Federated Authentication kurulumu gibi Connect Sync'e özgü bazı senaryoları da kapsamaz.
Teknik Kavramlar
Microsoft Entra ID'yi daha iyi anlamak için aşağıdaki teknik kavramları gözden geçirmenizi öneririm. Bu kavramları karşınıza genellikle İngilizce çıkacağı için özellikle Türkçeleştirmedim.
|
Teknik Kavram |
Açıklama |
|
Identity |
Kimlik doğrulaması için kullanılan bir kavramdır. Kimlik; kullanıcı adı ve parolası olan bir kullanıcı, gizli anahtar veya sertifika aracılığıyla kimlik doğrulayan bir uygulama veya servis olabilir. |
|
Account |
Kendisiyle ilişkilendirilmiş verilere sahip bir kimliktir. Kimliğiniz olmadan bir hesabınız olamaz. |
|
Microsoft Entra Account |
Microsoft Entra ID veya Microsoft 365 gibi başka bir Microsoft bulut hizmeti aracılığıyla oluşturulan bir kimliktir. Bu kimlikler Microsoft Entra ID'de saklanır ve kuruluşunuzun bulut hizmeti abonelikleri tarafından erişilebilir. Bu hesap, bazen Work or School Account olarak da adlandırılır. |
|
Microsoft Account (MSA) |
Outlook, OneDrive, Xbox LIVE veya Microsoft 365 Family gibi tüketici odaklı Microsoft ürünlerine erişim sağlayan kişisel hesaplardır. MSA, Microsoft tarafından işletilen Consumer Identity Account sisteminde saklanır ve Work or School Account ile karıştırılmamalıdır. |
|
Microsoft Entra Tenant |
Microsoft Entra ID'nin özel ve güvenilir bir örneğidir. Kuruluşunuz bir Microsoft bulut hizmeti aboneliğine kaydolduğunda Tenant otomatik olarak oluşturulur. Microsoft Azure, Microsoft Intune veya Microsoft 365 abonelikleri bu Tenant ile ilişkilendirilir. Bir Microsoft Entra Tenant tek bir kuruluşu temsil eder. |
|
Tenant ID |
Microsoft Entra Tenant'ın benzersiz tanımlayıcısıdır. GUID formatında olup Microsoft kimlik platformuna yapılan tüm token isteklerinde authority URL'inin parçası olarak kullanılır. |
|
Microsoft Entra Directory |
Microsoft Entra Tenant'ın veri deposudur. Dizin; Tenant'ın kullanıcılarını, gruplarını, uygulamalarını, cihazlarını ve diğer kimlik nesnelerini içerir. |
|
Custom Domain |
Her yeni Microsoft Entra Tenant'ı, tenantname.onmicrosoft.com formatında bir initial Domain ile birlikte gelir. Bu initial Domain'e ek olarak kuruluşunuzun sahip olduğu Domain'leri de doğrulayarak Tenant'a ekleyebilirsiniz. Custom Domain ekleyerek firat.boyan@firatboyan.com gibi kullanıcılarınızın aşina olduğu User Principal Name (UPN) değerleri oluşturabilirsiniz. |
|
Application Object |
Microsoft Entra ID'de bir uygulamayı temsil eden global nesnedir. Uygulamanın kimlik bilgilerini, yönlendirme URI'larını ve API izinlerini barındırır. Tek bir Application Object, kayıtlı olduğu Tenant'ta tanımlıdır ve diğer Tenant'larda kullanılması için her Tenant'ta bir Service Principal oluşturulur. |
|
Service Principal |
Bir Application Object'in bir Microsoft Entra Tenant'ında çalıştırılabilir somut örneğidir. Service Principal, uygulamaya bir Tenant kapsamında kimlik kazandırır ve uygulamanın o Tenant'taki kaynaklara erişim izinlerini barındırır. |
|
Managed Identity |
Azure kaynakları için otomatik olarak yönetilen ve secret değerlerinin elle yönetilmesini ortadan kaldıran bir Service Principal türüdür. İki türü vardır. System-Assigned, yaşam döngüsü bağlı olduğu kaynağa göre yönetilen türdür. User-Assigned ise bağımsız bir yaşam döngüsüne sahiptir ve birden çok kaynak tarafından paylaşılabilir. |
|
Single Tenant Application |
Yalnızca tek bir Microsoft Entra Tenant'taki kullanıcılarla kimlik doğrulayan uygulama kaydıdır. Uygulamanın audience yapılandırması Tenant'a özel olarak ayarlanır. |
|
Multi-Tenant Application |
Herhangi bir Microsoft Entra Tenant'taki kullanıcılarla kimlik doğrulayan uygulama kaydıdır. Genellikle SaaS uygulama sağlayıcıları tarafından kullanılır ve Service Principal her hedef Tenant'ta consent süreci ile oluşturulur. |
|
Microsoft Identity Platform |
Microsoft Entra ID üzerine kurulu olup OAuth 2.0, OpenID Connect, SAML 2.0 ve WS-Federation protokollerini destekleyen modern geliştirici platformudur. Microsoft Authentication Library (MSAL), Microsoft Graph SDK ve Microsoft Identity Web kütüphaneleri bu platformun parçalarıdır. |
|
Access Token |
Korunan bir kaynağa erişim için kullanılan kısa ömürlü token'dır. Genellikle JWT formatındadır, varsayılan olarak 60 ila 90 dakika geçerlidir ve hedef kaynağın audience claim'i ile ilişkilendirilir. |
|
Refresh Token |
Süresi dolan Access Token'ları yenilemek için kullanılan uzun ömürlü token'dır. Conditional Access ve Continuous Access Evaluation gibi güvenlik mekanizmaları ile iptal edilebilir. |
|
ID Token |
OpenID Connect protokolünün ürettiği ve kullanıcının kimliğini istemci uygulamaya bildiren JWT formatında bir token'dır. |
|
Primary Refresh Token (PRT) |
Microsoft Entra Joined ve Microsoft Entra Hybrid Joined cihazlarda Single Sign-On'u sağlayan özel bir token türüdür. Cihaz seviyesinde kimlik durumunu temsil eder. |
|
Azure Subscription |
Azure bulut hizmetleri için faturalandırma birimidir. Bir kuruluşun birden fazla Azure aboneliği olabilir. Abonelikler kredi kartı, fatura veya Enterprise Agreement (EA) gibi farklı ödeme modelleri ile ilişkilendirilebilir. Her abonelik bir Microsoft Entra Tenant ile güven ilişkisi kurar. |
|
Owner (Azure RBAC) |
Erişim yönetimi dahil tüm Azure kaynaklarını yönetme yetkisi sunan modern Azure Role-Based Access Control rolüdür. Owner rolü, Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan modern yetkilendirme sistemi üzerine kuruludur. |
|
Account Administrator |
Klasik abonelik yöneticisi rolüdür ve kavramsal olarak bir Azure aboneliğinin faturalama sahibidir. Bu rol bir hesaptaki tüm abonelikleri yönetmenizi sağlar. Microsoft, modern Azure ortamlarında bu klasik rol modeli yerine Azure RBAC kullanılmasını önerir. |
|
Service Administrator |
Klasik abonelik yöneticisi rolüdür ve erişim dahil tüm Azure kaynaklarını yönetmenizi sağlar. Bu rol, abonelik kapsamında Owner rolüne atanmış bir kullanıcının erişimine eşdeğerdir. Modern yaklaşım Azure RBAC'tir. |
|
Microsoft Entra Global Administrator |
Microsoft Entra Tenant'ını oluşturan kişiye otomatik olarak atanan en yetkili roldür. Birden fazla Global Administrator rolüne sahip hesap olabilir. Microsoft, bu rolün asgariye indirilmesini, mümkün olduğunca PIM ile Eligible Assignment olarak yapılandırılmasını ve FIDO2 veya Windows Hello ile Phishing-Resistant MFA korunmasını önerir. |
|
Business-to-Business (B2B) Collaboration |
Kendi kurumsal verileriniz üzerindeki kontrolünüzü korurken misafir kullanıcılarınızı ve harici iş ortaklarınızı Microsoft Entra External ID üzerinden yönetirsiniz. |
Microsoft Entra ID Yönetim Araçları
Microsoft Entra ID, hem yönetici dostu GUI hem de güçlü API ve script tabanlı arayüzler üzerinden yönetilebilir. Modern dağıtımlarda otomasyon ve Infrastructure-as-Code (IaC) yaklaşımları için API tabanlı erişim ön plana çıkar.
1- Microsoft Entra admin center
Microsoft Entra admin center, Microsoft Entra ürün ailesinin yönetimi için modern, birleştirilmiş web tabanlı portaldır. Eskiden Azure portal üzerinden yapılan kimlik yönetimi işlemleri için Microsoft, Entra admin center'ı birincil yönetim arayüzü olarak konumlandırmıştır. Azure portal üzerinden de Microsoft Entra ID yönetimi mümkündür ancak modern özellikler ve Entra Suite bileşenleri için admin center kullanımı önerilir.
2- Microsoft Graph API
Microsoft Graph, Microsoft 365 ve Microsoft Entra ID dahil tüm Microsoft bulut hizmetleri için birleştirilmiş REST API Endpoint'idir. Microsoft Graph üzerinden kullanıcı, grup, cihaz, uygulama, Conditional Access politikası ve birçok Microsoft Entra nesnesi programatik olarak yönetilebilir. Microsoft, eski Azure AD Graph API'ını emekliye ayırmıştır ve tüm yeni geliştirmelerin Microsoft Graph üzerinde yapılması gerekir.
3- Microsoft Graph PowerShell SDK
Microsoft Graph PowerShell SDK, Microsoft Graph API'ının PowerShell tabanlı modülüdür. Eskiden kullanılan MSOnline ve AzureAD modülleri Microsoft tarafından emekliye ayrılmıştır ve bu modüller yerine artık Microsoft.Graph modülünün kullanılması zorunludur.
MSOnline ve AzureAD PowerShell modülleri, Azure AD Graph API'ın emekliye ayrılması nedeniyle artık desteklenmez. Mevcut script'lerinizi Microsoft.Graph PowerShell SDK'ya geçirmeniz gerekir. Microsoft Graph PowerShell SDK, modüler yapısı sayesinde Microsoft.Graph.Users ve Microsoft.Graph.Groups gibi yalnızca ihtiyaç duyduğunuz alt modülleri yüklemenize de imkan tanır.
4- Azure CLI
Azure CLI üzerinden de Microsoft Entra ID nesneleri yönetilebilir. az ad komut ailesi kullanıcı, grup, Service Principal ve uygulama kaydı işlemleri için temel yetenekleri sunar. Ancak gelişmiş Microsoft Entra senaryoları için Microsoft Graph PowerShell SDK genellikle daha kapsamlı bir seçenektir.
Sonuç
Microsoft Entra ID, modern güvenlik ihtiyaçlarına yanıt veren güçlü bir Identity and Access Management (IAM) çözümü sunuyor. Kullanıcı kimliklerinin güvenliğini artırırken erişim kontrollerini merkezi bir noktadan yönetme imkanı sağlıyor. Single Sign-On (SSO), Conditional Access, Multi-Factor Authentication (MFA) ve Privileged Identity Management (PIM) gibi kritik özellikler sayesinde kimlik tabanlı güvenlik politikaları daha esnek ve güçlü hale geliyor.
Geleneksel kimlik yönetimi çözümlerine kıyasla Zero Trust prensiplerine daha uyumlu olan Microsoft Entra ID, hem On-Premises hem de bulut ortamlarında tutarlı bir güvenlik modeli oluşturmayı mümkün kılıyor. Güvenli erişimi sağlarken aynı zamanda Self-Service Password Reset (SSPR) gibi kullanıcı dostu yetenekler sunarak yönetim süreçlerini de önemli ölçüde kolaylaştırıyor.
Gelişen tehditlere karşı Microsoft Entra ID Protection ile proaktif güvenlik önlemleri alırken, Access Reviews, Entitlement Management ve Lifecycle Workflows gibi araçlarla erişim haklarını sürekli kontrol altında tutmak mümkün. Organizasyonlar kimlik tabanlı saldırılara karşı çok daha hazırlıklı hale gelirken yönetim süreçlerini de optimize edebiliyor.
Microsoft, kimlik ve erişim yönetimini tek bir çözüm altında konumlandırmak isteyen kurumlar için Microsoft Entra Suite'i de sunuyor. Bu paket; Private Access, Internet Access, ID Protection, ID Governance ve Verified ID Premium bileşenlerini bir araya getirerek hem kimlik hem de ağ erişim katmanında Zero Trust mimarisinin uçtan uca uygulanmasına imkan tanıyor.
Microsoft Entra ürün ailesi artık sadece Microsoft Entra ID değil; External ID, ID Governance, ID Protection, Verified ID, Workload ID, Private Access, Internet Access ve yeni AI ajan kimliği çözümü Agent ID bileşenleri ile genişlemiş bir platforma dönüşmüş durumda. Bu kapsam, kimlik yönetiminin artık sadece çalışan kimliği değil; müşteri, iş ortağı, iş yükü ve AI ajan kimliklerini de içeren bütünsel bir disiplin haline geldiğini gösteriyor.
Kimlik güvenliğinin iş sürekliliği açısından ne kadar kritik olduğu düşünüldüğünde Microsoft Entra ID'nin sunduğu imkanlar geleceğe yönelik sağlam bir temel oluşturuyor.
Faydalı olması dileğiyle...
Makale ile ilgili düşüncelerinizi ve sorularınızı aşağıdaki yorum kısmında paylaşmaktan çekinmeyin. Her katkı, içeriğin daha fazla kişiye ulaşmasını ve daha faydalı bir tartışma ortamı oluşmasını sağlar.