Modern bir işletmede ortalama 80+ farklı SaaS uygulaması kullanılıyor. Her birinde ayrı kullanıcı adı/parola olması hem güvenlik hem operasyon zorluğudur. Microsoft Entra ID (eski Azure AD) ile Single Sign-On (SSO) ve Conditional Access kurarak hem güvenliği artırırsınız hem kullanıcı deneyimini iyileştirirsiniz. Bu rehberde adım adım kurulumu anlatıyoruz.

SSO ve Conditional Access Nedir?

Single Sign-On (SSO)

Kullanıcı bir kez kimlik doğrular, sonra tüm bağlı uygulamalara şifre girmeden erişir:

  • Sabah Microsoft 365'e giriş yap
  • Salesforce, Slack, Zoom, Asana, vb. otomatik açılır
  • Tek hesap = tek şifre = tek MFA

Conditional Access

"Şu durumda erişimi izin ver / engelle / MFA iste" mantığıyla çalışan akıllı politikalar:

  • "Türkiye'den erişimde MFA iste, yurt dışından erişimi engelle"
  • "Sadece kayıtlı/uyumlu cihazlardan giriş yapılabilsin"
  • "Yöneticiler için her erişimde MFA zorunlu"
  • "Riskli kullanıcı tespitinde otomatik şifre sıfırlama"

Lisans Gereksinimi

LisansSSOConditional Access
M365 Business Basic / StandardSınırlı (10 SaaS)
M365 Business PremiumTamTam
M365 E3 / E5TamTam + Risk-based (Identity Protection)
Entra ID P1 (standalone)TamTam
Entra ID P2 (standalone)TamRisk-based + Privileged Identity Mgmt

Pratik olarak Business Premium veya E3 yeterlidir.

Bölüm 1: SSO Kurulumu

Adım 1: Entra ID Admin Center'a Erişim

  1. entra.microsoft.com
  2. Microsoft 365 admin hesabıyla giriş yap
  3. Sol menü > "Applications" > "Enterprise applications"

Adım 2: Yeni Uygulama Ekleme

  1. "+ New application"
  2. "Browse Microsoft Entra Gallery" — Salesforce, Slack, Zoom gibi 4.500+ önceden yapılandırılmış SaaS
  3. Uygulamayı seç (örn: Salesforce)
  4. "Create" — uygulama Entra ID'ye eklenir

Adım 3: SAML SSO Yapılandırması

  1. Eklenen uygulamada > "Single sign-on" sekmesi
  2. "SAML" seç
  3. Microsoft tarafı:
    • Identifier (Entity ID): Salesforce'un sağladığı URL
    • Reply URL: https://salesforce.com/sso
  4. Salesforce tarafı:
    • Microsoft'un verdiği SAML metadata XML'i Salesforce'a yükle
    • X.509 sertifika import et
  5. Test SSO yap

Adım 4: Kullanıcılara Atama

  1. Uygulama > "Users and groups"
  2. "+ Add user/group" — hangi kullanıcılar SSO ile erişebilir
  3. Tek tek değil, grup atama önerilir ("Pazarlama Ekibi" → tüm pazarlama kullanıcıları SSO ile Salesforce'a erişir)

Adım 5: Otomatik Provisioning (Opsiyonel)

Kullanıcı Entra'da oluşturulduğunda otomatik olarak SaaS'ta da hesap açılması için:

  1. Uygulama > "Provisioning" sekmesi
  2. "Automatic" seç
  3. SaaS API token gir
  4. Atribute mapping yapılandır (mail, isim, departman → SaaS field'ları)
  5. Çalışan ayrılınca otomatik deprovisioning de aktive edilebilir

Popüler SaaS Uygulamaları SSO Yapılandırması

  • Salesforce: Built-in SAML, kolay kurulum
  • Slack: Pro plan ile SSO, Microsoft Entra entegrasyonu hazır
  • Zoom: Business plan ile SSO
  • HubSpot: Enterprise plan ile SSO
  • Asana: Business/Enterprise ile SSO
  • Atlassian (Jira/Confluence): SAML SSO
  • GitHub Enterprise: SAML SSO
  • AWS: AWS SSO + Entra ID federation

Bölüm 2: Conditional Access Kurulumu

İlk Kural: Tüm Yöneticilere MFA Zorunlu

  1. Entra admin > "Protection" > "Conditional Access"
  2. "+ Create new policy"
  3. Name: "Yöneticilere MFA"
  4. Assignments:
    • Users: "Directory roles" > "Global Administrator", "Security Administrator"
    • Cloud apps: "All cloud apps"
  5. Access controls > Grant: "Require multi-factor authentication"
  6. "Enable policy" → On
  7. "Create"

İkinci Kural: Yurt Dışından Erişimi Engelle (veya MFA İste)

  1. "+ Create new policy"
  2. Name: "Yurt Dışı Erişim"
  3. Assignments > Conditions > Locations:
    • Configure: Yes
    • "Include any location"
    • "Exclude all trusted locations" + "Türkiye"
  4. Önce: "Türkiye haricinde herhangi bir yer" — bu şartla:
    • Block (engelle), VEYA
    • Require MFA + Require approved client app

Türkiye'yi "Named location" olarak Locations > Named locations menüsünden tanımlayın (countries+regions=Turkey).

Üçüncü Kural: Yalnızca Uyumlu Cihazlardan Giriş

Cihaz Intune ile yönetiliyor ve uyumlu olarak işaretliyse erişim ver:

  1. Name: "Sadece Uyumlu Cihazlar"
  2. Users: All users (yöneticileri exclude et test için)
  3. Cloud apps: M365 dahil tüm
  4. Grant: "Require device to be marked as compliant"
  5. "Or": "Require Hybrid Azure AD joined device"

Dördüncü Kural: Eski Auth Engellenir

Legacy authentication (POP/IMAP/SMTP basic auth) phishing'e açıktır:

  1. Name: "Block Legacy Auth"
  2. Conditions > Client apps:
    • "Exchange ActiveSync clients"
    • "Other clients"
  3. Grant: "Block access"

Beşinci Kural: Riskli Kullanıcı için MFA + Şifre Sıfırlama

Identity Protection P2 gerekli:

  1. Name: "Yüksek Risk Kullanıcı"
  2. Conditions > User risk: "High"
  3. Grant:
    • Require multi-factor authentication
    • Require password change

Test Süreci: Report-Only Mode

Yeni Conditional Access politikalarını doğrudan "On" yapma — kullanıcıları kilitleme riski yüksek. Önce Report-only:

  • Politika oluşturulur, "Report-only" modunda çalışır
  • 1-2 hafta gerçek trafikle test edilir (Sign-in logs > Conditional Access tab)
  • Kaç kullanıcı etkilenirdi raporlanır
  • Beklenmeyen etki yoksa "On" yapılır

Sıkça Karşılaşılan Sorunlar

1. Kullanıcı MFA Aşamasında Kilitleniyor

  • Eski telefon kayıtlı, yenisi yok
  • Çözüm: Self-service password reset + MFA reset (Entra > Users > User > Authentication methods)

2. SaaS Login Loop'a Giriyor

  • SAML reply URL yanlış
  • Sertifika süresi dolmuş
  • Çözüm: SAML config kontrol, sertifika yenile

3. Mobil Outlook Çalışmıyor

  • Modern auth açık değil veya legacy auth bloke edildi
  • Çözüm: Outlook mobile app kullan (eski Mail/Exchange ActiveSync yerine)

4. VPN Sonrası MFA Tekrar İsteniyor

  • Trusted IP listesine VPN exit IP eklenmemiş
  • Çözüm: Named locations > VPN IP'sini ekle

Kullanıcı Eğitimi

SSO ve Conditional Access kurulumunun başarısı kullanıcı uyumuna bağlıdır:

  • Microsoft Authenticator uygulaması kurma rehberi
  • "Bana Niye MFA Soruluyor?" FAQ
  • Şifremi unuttum self-service rehber
  • Yeni cihaz ekleme rehberi (My Account portal)

Ölçüm: Başarı Metrikleri

  • SSO kullanım oranı: Kaç SaaS uygulaması SSO ile erişiliyor (hedef: %90+)
  • Phishing saldırı başarısı: MFA sonrası %0'a yakın
  • Şifre sıfırlama bilet sayısı: Self-service ile %70 azalır
  • Risky sign-in yakalama: Identity Protection raporlarından
SSO + Conditional Access, modern güvenliğin temelidir. Yıllık yaklaşık 200 saat IT support tasarrufu, %99 phishing engelleme, kullanıcı deneyiminde ciddi iyileşme sağlar. Microsoft 365 Business Premium ile temel kurulum mümkündür, daha gelişmiş senaryolar için E3 önerilir.

Microsoft 365 SSO + Conditional Access kurulumu için Microsoft Defender, Intune Cihaz Yönetimi hizmetlerimizi inceleyin. Lisans seçimi için iş planları ya da kurumsal danışmanlık için iletişim. KVKK uyumlu yapılandırma için KVKK Aydınlatma Metnimizi inceleyin.