Modern bir işletmede ortalama 80+ farklı SaaS uygulaması kullanılıyor. Her birinde ayrı kullanıcı adı/parola olması hem güvenlik hem operasyon zorluğudur. Microsoft Entra ID (eski Azure AD) ile Single Sign-On (SSO) ve Conditional Access kurarak hem güvenliği artırırsınız hem kullanıcı deneyimini iyileştirirsiniz. Bu rehberde adım adım kurulumu anlatıyoruz.
SSO ve Conditional Access Nedir?
Single Sign-On (SSO)
Kullanıcı bir kez kimlik doğrular, sonra tüm bağlı uygulamalara şifre girmeden erişir:
- Sabah Microsoft 365'e giriş yap
- Salesforce, Slack, Zoom, Asana, vb. otomatik açılır
- Tek hesap = tek şifre = tek MFA
Conditional Access
"Şu durumda erişimi izin ver / engelle / MFA iste" mantığıyla çalışan akıllı politikalar:
- "Türkiye'den erişimde MFA iste, yurt dışından erişimi engelle"
- "Sadece kayıtlı/uyumlu cihazlardan giriş yapılabilsin"
- "Yöneticiler için her erişimde MFA zorunlu"
- "Riskli kullanıcı tespitinde otomatik şifre sıfırlama"
Lisans Gereksinimi
| Lisans | SSO | Conditional Access |
| M365 Business Basic / Standard | Sınırlı (10 SaaS) | — |
| M365 Business Premium | Tam | Tam |
| M365 E3 / E5 | Tam | Tam + Risk-based (Identity Protection) |
| Entra ID P1 (standalone) | Tam | Tam |
| Entra ID P2 (standalone) | Tam | Risk-based + Privileged Identity Mgmt |
Pratik olarak Business Premium veya E3 yeterlidir.
Bölüm 1: SSO Kurulumu
Adım 1: Entra ID Admin Center'a Erişim
- entra.microsoft.com aç
- Microsoft 365 admin hesabıyla giriş yap
- Sol menü > "Applications" > "Enterprise applications"
Adım 2: Yeni Uygulama Ekleme
- "+ New application"
- "Browse Microsoft Entra Gallery" — Salesforce, Slack, Zoom gibi 4.500+ önceden yapılandırılmış SaaS
- Uygulamayı seç (örn: Salesforce)
- "Create" — uygulama Entra ID'ye eklenir
Adım 3: SAML SSO Yapılandırması
- Eklenen uygulamada > "Single sign-on" sekmesi
- "SAML" seç
- Microsoft tarafı:
- Identifier (Entity ID): Salesforce'un sağladığı URL
- Reply URL: https://salesforce.com/sso
- Salesforce tarafı:
- Microsoft'un verdiği SAML metadata XML'i Salesforce'a yükle
- X.509 sertifika import et
- Test SSO yap
Adım 4: Kullanıcılara Atama
- Uygulama > "Users and groups"
- "+ Add user/group" — hangi kullanıcılar SSO ile erişebilir
- Tek tek değil, grup atama önerilir ("Pazarlama Ekibi" → tüm pazarlama kullanıcıları SSO ile Salesforce'a erişir)
Adım 5: Otomatik Provisioning (Opsiyonel)
Kullanıcı Entra'da oluşturulduğunda otomatik olarak SaaS'ta da hesap açılması için:
- Uygulama > "Provisioning" sekmesi
- "Automatic" seç
- SaaS API token gir
- Atribute mapping yapılandır (mail, isim, departman → SaaS field'ları)
- Çalışan ayrılınca otomatik deprovisioning de aktive edilebilir
Popüler SaaS Uygulamaları SSO Yapılandırması
- Salesforce: Built-in SAML, kolay kurulum
- Slack: Pro plan ile SSO, Microsoft Entra entegrasyonu hazır
- Zoom: Business plan ile SSO
- HubSpot: Enterprise plan ile SSO
- Asana: Business/Enterprise ile SSO
- Atlassian (Jira/Confluence): SAML SSO
- GitHub Enterprise: SAML SSO
- AWS: AWS SSO + Entra ID federation
Bölüm 2: Conditional Access Kurulumu
İlk Kural: Tüm Yöneticilere MFA Zorunlu
- Entra admin > "Protection" > "Conditional Access"
- "+ Create new policy"
- Name: "Yöneticilere MFA"
- Assignments:
- Users: "Directory roles" > "Global Administrator", "Security Administrator"
- Cloud apps: "All cloud apps"
- Access controls > Grant: "Require multi-factor authentication"
- "Enable policy" → On
- "Create"
İkinci Kural: Yurt Dışından Erişimi Engelle (veya MFA İste)
- "+ Create new policy"
- Name: "Yurt Dışı Erişim"
- Assignments > Conditions > Locations:
- Configure: Yes
- "Include any location"
- "Exclude all trusted locations" + "Türkiye"
- Önce: "Türkiye haricinde herhangi bir yer" — bu şartla:
- Block (engelle), VEYA
- Require MFA + Require approved client app
Türkiye'yi "Named location" olarak Locations > Named locations menüsünden tanımlayın (countries+regions=Turkey).
Üçüncü Kural: Yalnızca Uyumlu Cihazlardan Giriş
Cihaz Intune ile yönetiliyor ve uyumlu olarak işaretliyse erişim ver:
- Name: "Sadece Uyumlu Cihazlar"
- Users: All users (yöneticileri exclude et test için)
- Cloud apps: M365 dahil tüm
- Grant: "Require device to be marked as compliant"
- "Or": "Require Hybrid Azure AD joined device"
Dördüncü Kural: Eski Auth Engellenir
Legacy authentication (POP/IMAP/SMTP basic auth) phishing'e açıktır:
- Name: "Block Legacy Auth"
- Conditions > Client apps:
- "Exchange ActiveSync clients"
- "Other clients"
- Grant: "Block access"
Beşinci Kural: Riskli Kullanıcı için MFA + Şifre Sıfırlama
Identity Protection P2 gerekli:
- Name: "Yüksek Risk Kullanıcı"
- Conditions > User risk: "High"
- Grant:
- Require multi-factor authentication
- Require password change
Test Süreci: Report-Only Mode
Yeni Conditional Access politikalarını doğrudan "On" yapma — kullanıcıları kilitleme riski yüksek. Önce Report-only:
- Politika oluşturulur, "Report-only" modunda çalışır
- 1-2 hafta gerçek trafikle test edilir (Sign-in logs > Conditional Access tab)
- Kaç kullanıcı etkilenirdi raporlanır
- Beklenmeyen etki yoksa "On" yapılır
Sıkça Karşılaşılan Sorunlar
1. Kullanıcı MFA Aşamasında Kilitleniyor
- Eski telefon kayıtlı, yenisi yok
- Çözüm: Self-service password reset + MFA reset (Entra > Users > User > Authentication methods)
2. SaaS Login Loop'a Giriyor
- SAML reply URL yanlış
- Sertifika süresi dolmuş
- Çözüm: SAML config kontrol, sertifika yenile
3. Mobil Outlook Çalışmıyor
- Modern auth açık değil veya legacy auth bloke edildi
- Çözüm: Outlook mobile app kullan (eski Mail/Exchange ActiveSync yerine)
4. VPN Sonrası MFA Tekrar İsteniyor
- Trusted IP listesine VPN exit IP eklenmemiş
- Çözüm: Named locations > VPN IP'sini ekle
Kullanıcı Eğitimi
SSO ve Conditional Access kurulumunun başarısı kullanıcı uyumuna bağlıdır:
- Microsoft Authenticator uygulaması kurma rehberi
- "Bana Niye MFA Soruluyor?" FAQ
- Şifremi unuttum self-service rehber
- Yeni cihaz ekleme rehberi (My Account portal)
Ölçüm: Başarı Metrikleri
- SSO kullanım oranı: Kaç SaaS uygulaması SSO ile erişiliyor (hedef: %90+)
- Phishing saldırı başarısı: MFA sonrası %0'a yakın
- Şifre sıfırlama bilet sayısı: Self-service ile %70 azalır
- Risky sign-in yakalama: Identity Protection raporlarından
SSO + Conditional Access, modern güvenliğin temelidir. Yıllık yaklaşık 200 saat IT support tasarrufu, %99 phishing engelleme, kullanıcı deneyiminde ciddi iyileşme sağlar. Microsoft 365 Business Premium ile temel kurulum mümkündür, daha gelişmiş senaryolar için E3 önerilir.
Microsoft 365 SSO + Conditional Access kurulumu için Microsoft Defender, Intune Cihaz Yönetimi hizmetlerimizi inceleyin. Lisans seçimi için iş planları ya da kurumsal danışmanlık için iletişim. KVKK uyumlu yapılandırma için KVKK Aydınlatma Metnimizi inceleyin.