Çok faktörlü kimlik doğrulama (MFA), Microsoft'un raporlarına göre %99.9 hesap saldırısını engeller. Microsoft 365'te MFA aktif değilse, çalışanlarınızın sızdırılmış şifrelerinin BEC dolandırıcılığa veya veri ihlaline dönüşmesi sadece zaman meselesidir. Bu rehberde yöneticiler için MFA kurulumunu 4 adımda anlatıyoruz.
MFA Nedir, Neden Kritik?
MFA, kullanıcının giriş için 2 farklı kanıt sunmasını gerektirir:
- Bildiği bir şey: Şifre
- Sahip olduğu bir şey: Telefonu (Authenticator app, SMS) veya hardware token
Saldırgan şifrenizi çalsa bile telefonunuza erişemez → giriş engellenir.
Adım 1 — MFA Aktivasyon Yöntemini Seç
Microsoft 365'te 3 ana yöntem:
A. Security Defaults (En Hızlı)
Tek tıkla tüm tenant için MFA + temel güvenlik politikaları aktif olur.
- Avantaj: 1 dakika kurulum
- Dezavantaj: Granular kontrol yok (her kullanıcıya aynı politika)
- Kim için: 1-50 kullanıcılı KOBİ
B. Per-User MFA (Klasik)
Her kullanıcı için MFA tek tek açılır.
- Avantaj: Belirli kullanıcılar için aktif
- Dezavantaj: Yönetimi zor, modern best practice değil
- Kim için: Eski yapıdan geçişler için geçici
C. Conditional Access (Önerilen)
Koşula göre MFA: "Sadece şirket dışı IP'den geliyorsa MFA iste".
- Avantaj: Kullanıcı dostu, granular
- Dezavantaj: Azure AD Premium P1 lisansı şart (Microsoft 365 Business Premium dahil)
- Kim için: 50+ kullanıcılı kurum
Adım 2 — Security Defaults ile Aktivasyon (KOBİ İçin)
- Microsoft Entra Admin Center'a giriş (entra.microsoft.com)
- Identity → Overview → "Properties" sekmesi
- "Manage security defaults" → "Enabled" → Save
- 14 gün içinde tüm kullanıcılar Authenticator app kurmaya yönlendirilir
Kullanıcılar İçin Setup Süreci
- Microsoft 365'e ilk girişten sonra "More information required" ekranı
- "Microsoft Authenticator" uygulamasını telefona yükle
- QR kodu tara → hesap eklenir
- Test girişi → 6 haneli kod onayla
- Backup yöntem: SMS veya alternative phone
Adım 3 — Conditional Access ile Granular Kontrol
Daha esnek senaryolar:
Senaryo 1: Sadece şirket dışı IP'den MFA
- Entra Admin Center → Protection → Conditional Access
- "+ Create new policy"
- Name: "MFA from outside corporate network"
- Users: All users (admin'leri exclude et)
- Cloud apps: All cloud apps
- Conditions → Locations → Include → All locations / Exclude → "Trusted IPs" (şirket IP'leri)
- Grant → "Require multi-factor authentication"
- Enable → On
Sonuç: Şirket içinden giriş = MFA yok, dış = MFA zorunlu. Kullanıcı dostu.
Senaryo 2: Riski yüksek girişlerde MFA
Azure AD risk-based:
- Conditional Access → New policy
- Conditions → Sign-in risk → "High" + "Medium"
- Grant → "Require multi-factor authentication"
Sonuç: Anormal davranış (yeni ülke, anormal saat) tespit edilince MFA zorunlu.
Adım 4 — MFA Yöntem Seçenekleri
| Yöntem |
Güvenlik |
Kullanım Kolaylığı |
| Microsoft Authenticator App (önerilen) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
| Authenticator Push (number matching) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| SMS | ⭐⭐⭐ | ⭐⭐⭐⭐ |
| Phone call | ⭐⭐⭐ | ⭐⭐⭐ |
| FIDO2 hardware token (YubiKey) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Tavsiye: Authenticator app + SMS backup. Üst düzey yöneticiler için FIDO2 token.
SMS Risk Uyarısı
SMS-based MFA, SIM swap saldırılarına açık. Kullanıcının numarası başka SIM'e taşınınca SMS oraya düşer. Microsoft Authenticator app'i şiddetle önerir.
Yaygın Hatalar
- Tüm admin'lere MFA kapatmak: En riskli hesaplar admin'ler! MFA sürekli açık olmalı.
- Sadece yöneticiye MFA: Standart kullanıcılar da hedef. Tenant geneli zorunlu olmalı.
- Backup yöntem tek: Telefon kaybedildiğinde alternatif yoksa kullanıcı kilitlenir. En az 2 method tanımla.
- App Password'leri açık bırakmak: Modern Auth ile gereksiz, kapatın.
Sıkça Sorulan Sorular
MFA aktif edince kullanıcılar her girişte mi kod isteyecek?
Hayır. "Remember device" 60 gün, aynı cihazdan tekrar istemez. Yeni cihaz veya şüpheli login'de tekrar.
Authenticator app yerine başka yöntem alabilir mi?
Evet. Google Authenticator, Authy, 1Password gibi TOTP destekleyen tüm app'ler kullanılabilir.
Telefonu kaybettim, ne yapmalı?
IT yöneticisi MFA'i sıfırlar. Backup phone/email varsa kullanıcı kendisi yapabilir (Self-Service Password Reset).
MFA Outlook'u yavaşlatır mı?
Hayır. Modern Authentication ile arka planda çalışır, kullanıcı 60 gün boyunca yeniden girmek zorunda değil.
KVKK'da MFA zorunlu mu?
Doğrudan değil ama madde 12 "uygun teknik tedbirler" için MFA standart sayılır. Denetimde sorulur.
Sonuç
Microsoft 365'te MFA opsiyonel değil zorunlu. Security Defaults ile 1 dakikada aktif edilir, KOBİ için yeterlidir. 50+ kullanıcı için Conditional Access ile granular kontrol önerilir.
MFA aktivasyonu, Conditional Access tasarımı ve kullanıcı eğitimi için ücretsiz danışmanlık alın.
İlgili rehber: Azure AD / Entra ID giriş ekranında AADSTS50058, AADSTS50074, AADSTS530003 gibi hata kodları görüyorsanız AADSTS Hata Kodları 2026 — 14 Azure AD Hatasının Çözüm Rehberi'ne göz atın. MFA, Conditional Access, uygulama consent ve Intune compliance ipuçları detaylı.
İlgili rehber: Conditional Access politikalarının (Block Legacy Auth, Trusted Locations, Risk-based, Privileged Role Protection) sıfırdan kurulumu, "What If" tool ile etki analizi ve "break-glass" admin koruması için Conditional Access Politika Rehberi blog yazısını okuyun. 6 politika örneği + PowerShell ile yönetim detaylı.
Sorunu Çözmek İçin Zaman Harcamak İstemiyor musun?
SLA'lı Hizmet
Bu rehberdeki adımlar her zaman işe yaramayabilir; bazen Microsoft 365 tenant'ında yönetici müdahalesi veya bir uzmanın bağlanması gerekir. KOBİ Başlangıç paketimiz (5-25 kullanıcı) ortalama 4 saatte ticket yanıtı, Standart ise sınırsız ticket + telefon desteği sunar. Aylık abonelik, tek seferlik fatura tuzağı yok.
Başlangıç · 5-25 kullanıcı
Standart · 25-100 · En Popüler
Premium · 100+ · 7/24 + TAM