Azure Multi-Factor Authentication (Azure MFA), kullanıcıların oturum açma taleplerini karşılarken, verilere ve uygulamalara erişimi korumaya da yardımcı olur. Telefon görüşmesi, SMS veya mobil uygulama bildirimi ve bir kerelik parolalar gibi çeşitli kolay doğrulama seçenekleri aracılığıyla güçlü kimlik doğrulaması olanağı sunarak kullanıcıların istedikleri yöntemi seçmelerine olanak tanır. Hem şirket içinde hem de bulutta kullanılarak, çevrimiçi Microsoft hizmetlerine, Azure Active Directory bağlantılı SaaS uygulamalarına, iş kolu uygulamalarına ve uzaktan erişim uygulamalarına erişmeye yönelik güvenlik özellikleri eklenebilir.
Bu makalemizde de Exchange Server 2019 üzerinde yani local bir sistem içerisinde Azure MFA kurulum ve konfigürasyonundan bahsedeceğiz.
Azure MFA servisi fiyatlandırmasına aşağıdaki linkten ulaşabilirsiniz.
https://azure.microsoft.com/tr-tr/pricing/details/multi-factor-authentication/
Hali hazırda aşağıdaki Office 365 paketlerini kullanıyorsanız Azure MFA servisine ek bir ücret ödemeden local sistemler içerisinde kullanabilirsiniz. Bu paketlerden birine sahip değilseniz bu paketleri kullanıcı bazlı olarak aylık veya yıllık şeklinde kiralayabilirsiniz.
· Azure AD Plan 1
· Azure AD Plan 2
· Microsoft 365 Business
· Microsoft 365 E3
· Microsoft 365 E5
· Microsoft 365 F1
· Office 365 Enterprise Mobility + Security E3
· Office 365 Enterprise Mobility + Security E5
· EA Agreement
1 Ekim 2018 itibaren geçerli olmak üzere artık Azure MFA Standalone olarak kullanılamayacak.
Azure MFA servisini kullanmak için gereksinimlerimizi belirttik. Peki Azure MFA servisini Exchange Server üzerinden neden kullanmalıyız? Ülkemizde halen Exchange Server kullanan firmalar var ve bir çok firmanın Outlook Web Access (OWA) ve Exchange Admin Center (ECP) panellerine dışarıdan erişim yapılabilmekte. Durum böyle olduğunda aslında local AD içerisindeki kimlik bilgilerinizi dış dünyaya açmış oluyorsunuz. Şirket dışından maillerine erişmek isteyen personel veya Exchange adminleri olabilir. Bu noktada ise gerçek kullanıcıların sisteme bağlanıp bağlanmadığını kontrol etmek için Azure MFA ile kullanıcı kimliğini ikinci kez doğrulayarak sisteme erişimlerini güvenli bir şekilde sağlayabilirsiniz.
O zaman Exchange Server 2019 üzerinde Azure MFA servisini etkinleştirme işlemlerine geçebiliriz.
İlk olarak Azure AD planımızın yukarıda belirtmiş olduğumuz Azure AD Plan 1 veya Azure AD Plan 2 seviyesine getirmek için gerekli lisans alımların gerçekleştiriyoruz. Sonrasında Azure yönetim paneline Owner yetkisine sahip kullanıcı hesabı ile giriş yaptıktan sonra arama bölümüne Azure Active Directory yazarak, Services başlığının altındaki Azure Active Directory seçeneğini seçiyoruz.
Resim 01
Azure AD servisinin içerisine geldiğimizde sol taraftaki menü içerisinden “MFA” seçeneğini seçiyoruz.
Resim 02
“MFA” detaylarına geldiğimizde yine sol taraftaki menü içerisinden “Server Settings” seçeneğini seçip, “Azure MFA Server” uygulamasını “Exchange” sunucusuna indiriyoruz.
Resim 03
Resim 04
Resim 05
İndirme işlemi tamamlandıktan sonra kurulum dosyasını çalıştırıp, “I Agree” seçeneğini seçtikten sonra kurulum adımlarına devam ediyoruz.
Resim 06
Azure MFA Server uygulamasının sunucu içerisinde hangi dosya dizini içerisine kurulacağını belirtiyoruz.
Resim 07
Resim 08
Kurulumu bitirmek için “Finish” butonuna tıklıyoruz.
Resim 09
Azure MFA Server uygulamasını neden Exchange Server üzerine kuruduğumuza gelecek olursak, Azure MFA Server’ ın Exchange Server’ a ait Virtual Directory bilgilerini erişmesi gerektiğinden kurulumu Exchange Server üzerine gerçekleştiriyoruz.
Azure MFA Server’ımızı kendi aboneliğimize bağlayabilmek için Azure MFA Server' a ait aktivasyon kimlik bilgilerini alıyoruz. Bu kimlik bilgisindeki şifre 10 dakikada bir değişti için aktivasyon işlemini kimlik bilgisi üretildikten sonra hemen yapılması gerekiyor. Yoksa tekrardan yeni aktivasyon kimlik bilgisi oluşturmanız gerekli.
Resim 10
Aktivasyon işlemi sırasında Exchange sunucunun aşağıdaki URL ve IP adreslerine erişimini sağlamanız ve Azure MFA servisini kullandığınız sürece bu URL ve IP adreslerine daime erişiyor olması gerekmektedir.
Resim 11
Network tarafında da gerekli izinleri verdikten sonra yukarı oluşturulan Azure MFA Server' a ait aktivasyon kimlik bilgilerini “Email” ve “Password” alanlarına girip, “Activate” butonuna tıklıyoruz.
Resim 12
Aktivasyon işlemi gerçekleştiriliyor.
Resim 13
Active Directory içerisinde MFA sunucularımızın yer alacağı bir grup oluşturuyoruz. Buradaki amaç HA yapısını sağlamak.
Resim 14
Status bölümünden Azure MFA Server’ımızın aktif olduğunu ve versiyonunu görebiliyoruz. Versiyonu belirli aralıklarla güncellemenizi tavsiye ederim.
Resim 15
MFA Server üzerinde kullanıcı kimliğini doğrulamak için mobil telefon numarasının AD üzerinde mobile attribute içerisine girilmesi gerekiyor. İstenilirse mobile attribute yerine farklı bir attribute içerisine yazılan değerlerde kullanılabilir. Girilen telefon numarasının format “+905xxxxxxxxx” şeklinde olmalıdır.
Resim 16
AD üzerinde kullanıcılara mobil numara girme işlemlerini tamamlandıktan sonra kullanıcıların MFA Server üzerine otomatik olarak gelmesi için MFA Server Provider üzerinde “Synchronization” özelliğini aktif ediyoruz. Bunun için “Directory Integration” bölümüne gelip, sağ taraftaki “Synchronization” sekmesine gelip, “Add” butonuna tıklıyoruz.
Resim 17
Gelen pencerede eşitlenmesini istediğimiz grubun üyelerini burada seçiyoruz.
Resim 18
Resim 19
“Synchronize Now” butonuna tıklıyoruz. Bu ekranda “Synchronization” işleminin ne kadar sıklıkla yapılacağını da belirtebiliyoruz. Varsayılan değer 5 dakika olarak atanmış durumda.
Resim 20
Resim 21
Sol taraftaki menü içerisinden “Users” bölümüne geliyoruz ve sync ettiğimiz kullanıcıların hemen buraya geldiğini görebilmekteyiz. Eklediğimiz kullanıcı veya kullanıcılarda MFA servisinin çalışıp, çalışmadığını kullanıcıyı seçtikten sonra “Test…” butonuna basarak kontrol edebiliriz.
Resim 22
Test edeceğimiz kullanıcının AD logon bilgilerini girdikten sonra gelen aramada “#” tuşuna bastıktan sonra MFA servisinin çalıştığını görmüş oluyoruz.
Resim 23
Resim 24
Resim 25
Azure MFA Provider tarafında MFA yapılabilmesi için AD üzerindeki gerekli ayarları ve Azure MFA tarafındaki gereksinimleri tamamladık. Burada dikkat edilmesi gereken nokta Azure MFA Provider uygulamasının Exchange Server üzerine kurulması gerektiği. Çünkü IIS servisi üzerinde ayarlar yapılacağı için Azure MFA Provider’ ın IIS üzerindeki Exchange ait Virtual Directory dizinlerini görebilmesi gerekiyor.
“IIS Authentication” menüsüne geldikten sonra “Enable IIS authentication” seçeneğini aktif edip, “Native Module” sekmesine gelerek, Exchange Server tarafında hangi virtual directory üzerinden giriş olma işlemi sırasında Azure MFA servisinin kullanılacağını seçiyoruz. Bu makalemizde sadece OWA ve ECP için MFA kullanılsın diye ayar yaptık.
Resim 26
Ardından “HTTP” menüsü içerisine gelerek Exchange Serverımıza ait Base URL’I buraya yazıyoruz.
Resim 27
Burada dikkat edilmesi gereken nokta tüm kullanıcılarınızda MFA uygulamayacaksınız “Require Multi-Factor Authentication user match” seçeneğini işaretlememeniz gerekiyor. Eğer işaretlerseniz tüm kullanıcılarınızı MFA yapmaya zorlayacak.
Resim 28
Azure MFA Provider üzerinde tüm gerekli ayarlamaları tamamladık. Şimdi OWA üzerinde üzerinden sisteme giriş yapmayı deniyoruz.
Resim 29
Kullanıcı hesap bilgilerini girdikten sonra OWA’nın hemen açılmaması gerekiyor. Telefonunuza gelen çağrıyı yanıtladıktan sonra OWA üzerinden mailboxınıza ulaşım sağlayabiliyorsunuz.
Resim 30
Resim 31
Bu makalemizde de Exchange Server 2019 üzerinde yani local bir sistem içerisinde Azure MFA kurulum ve konfigürasyonunun nasıl yapılacağını gösterdik. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek dileğiyle.