Microsoft Entra Haziran 2026 Güncellemeleri: Yeni Özellikler ve Yönetimsel Değişiklikler

Giriş

Microsoft Entra (eski adıyla Azure Active Directory) Haziran 2026 güncellemeleri, kurumsal BT altyapılarında güvenlik ve yönetilebilirlik açısından önemli iyileştirmeler sunuyor. Bu güncellemeler arasında Linux masaüstleri için kimlik avına karşı dirençli çok faktörlü kimlik doğrulama (MFA) desteği, Windows'ta parola anahtarı (passkey) entegrasyonunun genişletilmesi ve Self-Service Password Reset (SSPR) için yeni kimlik doğrulama yöntemleri yer alıyor. Ayrıca, Conditional Access kurallarının kimlik bilgisi kaydı sırasında uygulanması ve silinmiş cihaz nesnelerinin kurtarılması için halka açık önizleme desteği de ekleniyor. Bu makalede, bu değişikliklerin teknik detayları ve günlük yönetim süreçlerine etkileri detaylandırılacaktır.

Linux Masaüstlerinde Kimlik Avına Karşı Dirençli MFA

Sorun ve Çözüm

Geleneksel MFA yöntemleri (SMS, uygulama tabanlı doğrulama) kimlik avı saldırılarına karşı hassas olabiliyor. Haziran 2026 güncellemeleriyle birlikte, Microsoft Entra artık Linux masaüstlerinde FIDO2 sertifikaları kullanılarak kimlik avına karşı dirençli MFA desteği sunuyor. Bu özellik, WebAuthn standardını temel alıyor ve yerel cihaz kimlik doğrulamasını zorunlu kılıyor.

Uygulama Adımları

1. Gereksinimleri Kontrol Et:

   • Linux dağıtımınızın FIDO2 uyumlu olduğundan emin olun (örneğin: Ubuntu 22.04+, RHEL 9+).
   • Kullanıcıların Windows Hello for Business veya harici FIDO2 cihazlarına (örneğin: YubiKey) erişimi olmalıdır.

2. Microsoft Entra'da Politika Oluşturma:

   # Azure Portal üzerinden Conditional Access politikası oluşturun
   # Politika adı: "Linux Masaüstleri için FIDO2 MFA"
   # Kullanıcı grupları: Linux kullanıcıları
   # Bulut uygulamaları: Linux masaüstü erişimi
   # Koşullar:
   #   - Cihaz platformu: Linux
   #   - Kullanıcı riski: Düşük/Orta/Yüksek (uygun seviye seçin)
   # Erişim kontrolleri:
   #   - Erişim: Blokla
   #   - Kontrol: FIDO2 sertifikası gerektir
   

3. Linux Sisteminde Ayarları Yapılandırma:

   Linux masaüstlerinde pam_fido2 modülünü kurun ve yapılandırın:

   # Depoyu ekleyin (Ubuntu örneği)
   sudo apt update
   sudo apt install -y pam-fido2
   
   # FIDO2 cihazını kaydedin
   fido2-cred -M /etc/fido2-creds/user1
   
   # PAM yapılandırmasını güncelleyin
   sudo nano /etc/pam.d/common-auth
   # Aşağıdaki satırı ekleyin:
   auth    sufficient      pam_fido2.so
   

4. Test ve Doğrulama:

   Kullanıcıların Linux masaüstlerine bağlanırken FIDO2 cihazıyla kimlik doğrulamasını zorunlu kılın. Hata durumlarını Microsoft Entra Identity Protection ve Linux sistem logları üzerinden izleyin.

⚠️ Uyarı: FIDO2 cihazlarının kaybolması durumunda yedekleme stratejisi oluşturun. Kullanıcıların en az iki farklı FIDO2 cihazı kullanmaları önerilir.

Windows'ta Parola Anahtarı Desteğinin Genişletilmesi

Sorun ve Çözüm

Parola anahtarları (passkeys), kullanıcıların parola kullanmadan güvenli kimlik doğrulama yapmalarını sağlar. Haziran 2026 güncellemeleriyle birlikte, Microsoft Entra artık Windows 10/11 sistemlerinde parola anahtarı desteğini genişleterek, yerel hesaplar ve Microsoft hesabı olmayan kullanıcılar için de kullanılabilir hale getiriyor. Bu özellik, Windows Hello ve üçüncü taraf FIDO2 cihazlarıyla entegre çalışıyor.

Uygulama Adımları

1. Parola Anahtarı Politikasını Etkinleştirme:

   # Microsoft Entra ID'de parola anahtarı politikasını yapılandırın
   # Azure Portal → Microsoft Entra ID → Security → Authentication methods → Passwordless
   
   # Aşağıdaki komut PowerShell ile de yapılabilir:
   Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
   $params = @{
     displayName = "Windows Parola Anahtarı Politikası"
     isOrganizationDefault = $true
     policyType = "passwordless"
     allowedCredentials = @("fido2")
   }
   New-MgPolicy -BodyParameter $params
   

2. Kullanıcıların Parola Anahtarlarını Kaydetmesi:

   Kullanıcılar aşağıdaki adımları izleyerek parola anahtarlarını kaydedebilir:

   1. Windows Ayarları → Hesaplar → Giriş seçenekleri → Parola anahtarı ekle.
   2. FIDO2 cihazını takın ve PIN girin.
   3. Kaydetme işlemini tamamlayın.

3. Uygulama için Conditional Access Politikası:

   Parola anahtarlarını zorunlu kılmak için bir Conditional Access politikası oluşturun:

   # Politika adı: "Parola Anahtarı Zorunlu"
   # Kullanıcı grupları: Tüm kullanıcılar
   # Bulut uygulamaları: Tüm uygulamalar
   # Erişim kontrolleri:
   #   - Erişim: Blokla
   #   - Kontrol: Parola anahtarı gerektir
   

💡 İpucu: Parola anahtarları, kullanıcı deneyimini iyileştirirken güvenliği artırır. Kullanıcı eğitimi için Microsoft Learn dokümantasyonunu önerin.

Self-Service Password Reset (SSPR) Kimlik Doğrulama Yöntemlerinde Değişiklikler

Sorun ve Çözüm

SSPR, kullanıcıların kendi parolalarını sıfırlamalarına olanak tanır. Haziran 2026 güncellemeleriyle birlikte, SSPR artık güvenilir cihazlar ve Microsoft Authenticator uygulaması dışında, parola anahtarları ve FIDO2 cihazları ile de kimlik doğrulaması yapabiliyor. Bu değişiklik, kullanıcıların daha güvenli ve kullanıcı dostu yöntemlerle kimlik doğrulaması yapmalarını sağlıyor.

Uygulama Adımları

1. SSPR Politikasını Güncelleme:

   # Azure Portal → Microsoft Entra ID → Security → Authentication methods → Self-service password reset
   
   # Aşağıdaki seçenekleri etkinleştirin:
   #   - Parola anahtarı
   #   - FIDO2 cihazı
   #   - Güvenilir cihazlar (gerekirse)
   #   - Microsoft Authenticator uygulaması
   
   # PowerShell ile de yapılabilir:
   Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
   $params = @{
     displayName = "SSPR Gelişmiş Politikası"
     isOrganizationDefault = $true
     registrationEnforcement = @{
       authenticationMethod = @("password", "fido2", "trustedDevice", "microsoftAuthenticator")
     }
   }
   Update-MgPolicy -PolicyId "" -BodyParameter $params
   

2. Kullanıcıların Yeni Yöntemlerle Kaydolması:

   Kullanıcılar SSPR portalına giriş yaptıklarında, yeni kimlik doğrulama yöntemlerini kaydedebilirler:

   1. SSPR portalına gidin (https://passwordreset.microsoftonline.com).
   2. Kimlik doğrulama yöntemi olarak parola anahtarı veya FIDO2 cihazı seçin.
   3. Talimatları izleyerek cihazı kaydedin.

3. Test ve İzleme:

   SSPR işlemlerinin başarısını Microsoft Entra Identity Protection ve Azure Monitor üzerinden izleyin. Hata durumlarında kullanıcılara destek sağlayın.

Conditional Access Politikalarının Kimlik Bilgisi Kaydı Sırasında Uygulanması

Sorun ve Çözüm

Daha önce, Conditional Access politikaları yalnızca uygulama erişimi sırasında uygulanıyordu. Haziran 2026 güncellemeleriyle birlikte, bu politikalar artık kimlik bilgisi kaydı (credential registration) sırasında da uygulanabiliyor. Bu özellik, kuruluşların kimlik bilgisi kaydı sırasında güvenlik kontrollerini zorunlu kılmalarını sağlıyor ve potansiyel saldırıları erken aşamada engellemeyi mümkün kılıyor.

Uygulama Adımları

1. Politika Oluşturma:

   # Politika adı: "Kimlik Bilgisi Kaydı Güvenliği"
   # Kullanıcı grupları: Tüm kullanıcılar
   # Bulut uygulamaları: Microsoft Entra ID
   # Koşullar:
   #   - Olay türü: Kimlik bilgisi kaydı
   # Erişim kontrolleri:
   #   - Erişim: Blokla
   #   - Kontrol: MFA gerektir
   

2. Politikanın Etkinleştirilmesi:

   Politikayı Azure Portal üzerinden etkinleştirin ve test edin. Hataları Conditional Access logları üzerinden inceleyin.

Silinmiş Cihaz Nesnelerinin Kurtarılması (Halka Açık Önizleme)

Sorun ve Çözüm

Kuruluşlar, yanlışlıkla silinen cihaz nesnelerini kurtarmak için genellikle Microsoft destek ekibine başvurmak zorunda kalıyordu. Haziran 2026 güncellemeleriyle birlikte, Microsoft Entra artık silinmiş cihaz nesnelerini kurtarma özelliğini halka açık önizleme olarak sunuyor. Bu özellik, yöneticilerin silinmiş cihazları kolayca kurtarmalarını ve cihaz kayıtlarını yeniden etkinleştirmelerini sağlıyor.

Uygulama Adımları

1. Önizleme Özelliğini Etkinleştirme:

   Azure Portal → Microsoft Entra ID → Devices → Device settings → Preview features → "Recover deleted device objects" seçeneğini etkinleştirin.

2. Silinmiş Cihazları Görüntüleme:

   # PowerShell kullanarak silinmiş cihazları listeleyin
   Connect-MgGraph -Scopes "Device.Read.All, Device.ReadWrite.All"
   Get-MgDevice -Filter "deleted eq true" -All
   

3. Cihazı Kurtarma:

   # Silinmiş bir cihazı kurtarmak için:
   Restore-MgDevice -DeviceId ""
   

4. Doğrulama:

   Kurtarılan cihazın Microsoft Entra ID ve Intune üzerinden yeniden kullanılabilir hale geldiğini doğrulayın.

⚠️ Uyarı: Kurtarma işlemi, cihazın tüm kayıtlarını ve yapılandırmalarını geri yükler. Kurtarma öncesi yedekleme önerilir.

Sonuç ve Öneriler

Microsoft Entra Haziran 2026 güncellemeleri, kuruluşların güvenlik duruşunu önemli ölçüde iyileştirirken, kullanıcı deneyimini de basitleştiriyor. Bu değişiklikleri uygulamak için aşağıdaki adımları izleyin:

1. Yeni özellikleri test ortamında deneyin ve kullanıcı geri bildirimlerini toplayın.
2. Güvenlik politikalarını güncelleyin ve kullanıcıları eğitin.
3. İzleme ve loglama stratejilerini gözden geçirin.
4. Olası kesintileri minimize etmek için değişiklikleri aşamalı olarak uygulayın.

Bu güncellemelerle birlikte, Microsoft Entra, modern BT altyapılarında güvenlik ve yönetilebilirlik açısından yeni standartlar belirliyor. Kuruluşların bu özellikleri benimseyerek, hem güvenlik hem de kullanıcı deneyimi açısından önemli kazanımlar elde etmeleri mümkün olacaktır.