Microsoft 365 ve Azure’da Zorunlu MFA: 2026 Yol Haritası ve Passkey Geçişi
04.05.2026
11:25
Xen Bilişim
Microsoft, 2024'ten itibaren Azure ve Microsoft 365 yönetim portallarında çok faktörlü kimlik doğrulamayı (MFA) zorunlu hâle getirmeye başladı. 2026 Mayıs itibariyle Faz 1 (yönetim portalları) tüm tenant'larda devrede; Faz 2 (Azure CLI, PowerShell, REST API) Ekim 2025'te başladı ve nihai erteleme 1 Temmuz 2026'da bitiyor. Buna ek olarak Entra Passkey desteği Windows üzerinde GA aşamasına girdi. Geçen iki ay içinde aynı soruyu beş kez aldım: "Tenant'ımız hâlâ MFA zorlanmadan çalışıyor; ne kadar zamanımız var ve neye geçmeliyiz?"
Bu yazı, KOBİ ve orta ölçekli BT yöneticilerine yönelik somut bir 30-60-90 günlük geçiş planı. Ayrıca Türkiye'de KVKK ile çakışan tarafı ve 2026 ceza tarifesini de net rakamlarla ele alacağız.
Microsoft Zorunlu MFA Takvimi: 2026 İtibariyle Nerede Duruyoruz?
Microsoft'un resmi takvimini taze rakamlarla özetleyelim:
Faz
Kapsam
Başlangıç
Faz 1
Azure portal, Entra admin center, Intune admin center
Ekim 2024 (kademeli)
Faz 1 (M365)
Microsoft 365 admin center
Şubat 2025 (kademeli)
Faz 2
Azure CLI, PowerShell, mobil uygulama, IaC, REST API, Azure SDK
1 Ekim 2025 (en geç 1 Temmuz 2026)
Pratik anlamı: Şu an Azure portal'a şifreyle giren bir Global Administrator hesabınız varsa, çoğu tenant'ta zaten engelleniyorsunuz. Eğer hâlâ giriş yapabiliyorsanız, ya tenant'ınız henüz dalgaya alınmamış (yakında alınacak) ya da daha önceden MFA Conditional Access ile zorlanmış demektir. Phase 2 ertelemesini 1 Temmuz 2026'ya kadar talep edebilirsiniz, ama erteleme tek başına çözüm değil — geçişi yapmanız gerekiyor.
Per-User MFA, Security Defaults ve Conditional Access — Hangisini Seçmeliyim?
Sahada en sık karşılaştığım kafa karışıklığı bu üçü arasındaki seçim:
Security Defaults — Microsoft'un sunduğu ücretsiz, "tek tıkla MFA" anahtarı. Entra ID Free lisansı yetiyor. Bütün kullanıcılar için zorunlu, istisnalar yok. KOBİ'ler için makul bir başlangıç.
Per-user MFA — Eski usul, kullanıcı bazlı açma/kapama. Yönetimi zor, raporlama yetersiz. Kullanmayın — Microsoft Conditional Access'e taşımanızı öneriyor.
Conditional Access — Entra ID P1/P2 lisansı gerektirir (Microsoft 365 Business Premium / E3 / E5 ile dahil gelir). Cihaz uyumluluğu, lokasyon, risk skoru, oturum kontrolü gibi sinyaller üzerinden detaylı politikalar kurarsınız. 30+ kullanıcılı organizasyonlar için doğru tercih.
Microsoft, Conditional Access politikası varsa istisnalara yine saygı duyduğunu söylüyor; ancak 2026'dan itibaren kimlik korumalı kullanıcı listesi dahi Faz 2 zorunluluğundan muaf değil. Acil erişim (break-glass) hesaplarınızı bile Passkey (FIDO2) veya sertifika tabanlı kimlik doğrulamaya geçirmeniz gerekiyor.
Phishing'e Dirençli MFA: Passkey ve FIDO2 Neden Standart Oluyor?
SMS ile gelen 6 haneli kod, Authenticator app push bildirimi — bunlar MFA "var" diyebilmenizi sağlıyor ama 2024-2025 boyunca ortaya çıkan AiTM (Adversary-in-the-Middle) phishing kit'leri (EvilProxy, Tycoon 2FA gibi) bu yöntemleri rutin olarak by-pass'liyor. Phishing'e dirençli MFA dediğimizde aslında iki standart vardır:
Passkey (FIDO2) — özel anahtar cihazda kalır, sahte alan adında çalışmaz. Microsoft Authenticator iOS/Android, Windows Hello, donanım anahtarları (YubiKey vs.) destekler.
Sertifika tabanlı kimlik doğrulama (CBA) — özellikle akıllı kart kullanan kamu/finans sektörü için.
Microsoft, 2026'da Entra Passkey desteğini Windows üzerinde GA aşamasına aldı; iOS/Android Authenticator zaten passkey'i destekliyor. Yöneltmemiz gereken soru şu: Yeni alacağımız MFA yöntemleri AiTM phishing'e dayanıyor mu? SMS ve voice call cevap "hayır", push bildirimi "kısmen", Passkey ve FIDO2 "evet".
Türkiye Bağlamı: KVKK 2026 Cezaları ve MFA Uyumu
27 Kasım 2025 Resmî Gazete'de yayımlanan %25,49'luk yeniden değerleme oranı sonrası 2026 KVKK idari para ceza aralıkları:
İhlal Türü
Alt - Üst Sınır (TL)
Veri güvenliği yükümlülüğü ihlali (Md. 12)
256.357 – 17.092.242
Veri ihlali bildirim eksikliği (72 saat kuralı)
50.000 – 1.000.000
Aydınlatma yükümlülüğü
5.000 – 100.000
VERBIS kayıt eksikliği
20.000 – 1.000.000
KVKK Kurulu son iki yılın yayımlı kararlarında en çok "yeterli teknik tedbir alınmaması" nedeniyle ceza kesti — bunlar arasında çok faktörlü kimlik doğrulamanın uygulanmaması açıkça geçiyor. Yani Microsoft sizden değil, KVKK Kurulu da sizden MFA bekliyor. Bir veri ihlali yaşadığınızda denetimde "MFA aktif değildi" demek, ceza üst sınırına çekilmenizin en hızlı yolu.
30-60-90 Günlük Geçiş Planı
Müvekkillerimle uyguladığım pratik takvim:
İlk 30 gün — Envanter ve Hızlı Kazanımlar:
Tüm Global Administrator hesaplarını listele; her birine Authenticator app + Passkey ata
Per-user MFA aktif kullanıcıları çıkar ve Conditional Access politikası taslağı hazırla
Acil erişim (break-glass) hesabı için FIDO2 donanım anahtarı sipariş et — kasada saklanacak
Microsoft 365 admin center'a giren tüm hesapların MFA durumunu Sign-in logs üzerinden raporla
30-60 gün — Conditional Access ve Pilot:
"Require MFA for all users" politikasını rapor modunda aç → 14 gün etki gözle
15-20 kişilik pilot grupta phishing'e dirençli MFA (Passkey) zorla
Üçüncü taraf SaaS uygulamaları için (Salesforce, HubSpot, vs.) federation kontrol et
Service hesaplarını managed identity / service principal'a taşı (kullanıcı hesabı ile otomasyon koşturma)
60-90 gün — Tam Devreye Alma:
Tüm kullanıcılar için Conditional Access enforce moduna al
Authentication strength politikası: yöneticiler için sadece phishing-resistant kabul
Sign-in log'ları Defender for Cloud Apps veya Sentinel'e yönlendir
KVKK envanterini ve VERBIS kaydını "MFA uygulanıyor" notuyla güncelle
Sıkça Sorulan Sorular
Microsoft 365 Business Standard lisansım var, Conditional Access kullanabilir miyim?
Hayır. Conditional Access için Entra ID P1 gerekir; bu da Microsoft 365 Business Premium, E3 veya E5'te bulunur. Business Standard lisansındaysanız Security Defaults ile başlayın, sonra upgrade'i değerlendirin.
SMS'le MFA hâlâ kabul ediliyor mu?
Microsoft tarafında "MFA gereksinimi" karşılanıyor olarak sayılır, evet. Ama AiTM phishing'e karşı çok zayıf — yöneticiler için kesinlikle SMS'ten Authenticator app veya Passkey'e geçin.
B2B misafir hesapları (guest users) için zorunlu MFA geçerli mi?
Evet. Misafirin ana tenant'ı veya kaynak tenant MFA'yı sağlamalı. Eğer cross-tenant access ayarlı değilse, dış misafirlerin ana firmasının MFA claim göndermesi şart.
Passkey'i kaybedersem ne olur?
Best practice: kullanıcı başına 2 yöntem kayıtlı tut (1 birincil cihaz Passkey + 1 yedek FIDO2 anahtar veya Authenticator app). Tek yedek bırakmak self-service şifre/MFA sıfırlamayı imkânsız kılar.
Hibrit ortamım var (on-prem AD + Entra), ekstra yapmam gereken bir şey var mı?
Federation servisi (ADFS) kullanıyorsanız, federated IdP'nizin multipleauthn claim'i göndermesi gerekiyor. Aksi halde Microsoft tarafı MFA gerçekleşmemiş sayar.
Sonuç: Erteleme Yerine Plan Yapın
2026, "MFA zorunlu mu olacak" tartışmasının kapandığı yıl. Faz 2 ertelemesini 1 Temmuz 2026'ya çekebilirsiniz ama bu sadece zaman kazandırır — kalıcı çözüm Conditional Access + Passkey'e geçiştir. KVKK denetimleri ile çakıştığında ek motivasyon zaten hazır: yeterli teknik tedbir kalemi içinde MFA, 256 bin TL'den başlayan ceza kalkanı.
Xen Bilişim olarak Microsoft Solutions Partner statümüzle Conditional Access tasarımı, Passkey rollout'u ve KVKK uyum dokümantasyonunu eşzamanlı yürütüyoruz. Geçişi gözden geçirmek ya da pilot başlatmak isterseniz iletişime geçin.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Microsoft, 2024'ten itibaren Azure ve Microsoft 365 yönetim portallarında çok faktörlü kimlik doğrulamayı (MFA) zorunlu hâle getirmeye başladı. 2026 Mayıs itibariyle Faz 1 (yönetim portalları) tüm tenant'larda devrede; Faz 2 (Azure CLI, PowerShell, REST API) Ekim 2025'te başladı ve nihai erteleme 1 Temmuz 2026'da bitiyor. Buna ek olarak Entra Passkey desteği Windows üzerinde GA aşamasına girdi. Geçen iki ay içinde aynı soruyu beş kez aldım: "Tenant'ımız hâlâ MFA zorlanmadan çalışıyor; ne kadar zamanımız var ve neye geçmeliyiz?"
Bu yazı, KOBİ ve orta ölçekli BT yöneticilerine yönelik somut bir 30-60-90 günlük geçiş planı. Ayrıca Türkiye'de KVKK ile çakışan tarafı ve 2026 ceza tarifesini de net rakamlarla ele alacağız.
Microsoft Zorunlu MFA Takvimi: 2026 İtibariyle Nerede Duruyoruz?
Microsoft'un resmi takvimini taze rakamlarla özetleyelim:
Faz
Kapsam
Başlangıç
Faz 1
Azure portal, Entra admin center, Intune admin center
Ekim 2024 (kademeli)
Faz 1 (M365)
Microsoft 365 admin center
Şubat 2025 (kademeli)
Faz 2
Azure CLI, PowerShell, mobil uygulama, IaC, REST API, Azure SDK
1 Ekim 2025 (en geç 1 Temmuz 2026)
Pratik anlamı: Şu an Azure portal'a şifreyle giren bir Global Administrator hesabınız varsa, çoğu tenant'ta zaten engelleniyorsunuz. Eğer hâlâ giriş yapabiliyorsanız, ya tenant'ınız henüz dalgaya alınmamış (yakında alınacak) ya da daha önceden MFA Conditional Access ile zorlanmış demektir. Phase 2 ertelemesini 1 Temmuz 2026'ya kadar talep edebilirsiniz, ama erteleme tek başına çözüm değil — geçişi yapmanız gerekiyor.
Per-User MFA, Security Defaults ve Conditional Access — Hangisini Seçmeliyim?
Sahada en sık karşılaştığım kafa karışıklığı bu üçü arasındaki seçim:
Security Defaults — Microsoft'un sunduğu ücretsiz, "tek tıkla MFA" anahtarı. Entra ID Free lisansı yetiyor. Bütün kullanıcılar için zorunlu, istisnalar yok. KOBİ'ler için makul bir başlangıç.
Per-user MFA — Eski usul, kullanıcı bazlı açma/kapama. Yönetimi zor, raporlama yetersiz. Kullanmayın — Microsoft Conditional Access'e taşımanızı öneriyor.
Conditional Access — Entra ID P1/P2 lisansı gerektirir (Microsoft 365 Business Premium / E3 / E5 ile dahil gelir). Cihaz uyumluluğu, lokasyon, risk skoru, oturum kontrolü gibi sinyaller üzerinden detaylı politikalar kurarsınız. 30+ kullanıcılı organizasyonlar için doğru tercih.
Microsoft, Conditional Access politikası varsa istisnalara yine saygı duyduğunu söylüyor; ancak 2026'dan itibaren kimlik korumalı kullanıcı listesi dahi Faz 2 zorunluluğundan muaf değil. Acil erişim (break-glass) hesaplarınızı bile Passkey (FIDO2) veya sertifika tabanlı kimlik doğrulamaya geçirmeniz gerekiyor.
Phishing'e Dirençli MFA: Passkey ve FIDO2 Neden Standart Oluyor?
SMS ile gelen 6 haneli kod, Authenticator app push bildirimi — bunlar MFA "var" diyebilmenizi sağlıyor ama 2024-2025 boyunca ortaya çıkan AiTM (Adversary-in-the-Middle) phishing kit'leri (EvilProxy, Tycoon 2FA gibi) bu yöntemleri rutin olarak by-pass'liyor. Phishing'e dirençli MFA dediğimizde aslında iki standart vardır:
Passkey (FIDO2) — özel anahtar cihazda kalır, sahte alan adında çalışmaz. Microsoft Authenticator iOS/Android, Windows Hello, donanım anahtarları (YubiKey vs.) destekler.
Sertifika tabanlı kimlik doğrulama (CBA) — özellikle akıllı kart kullanan kamu/finans sektörü için.
Microsoft, 2026'da Entra Passkey desteğini Windows üzerinde GA aşamasına aldı; iOS/Android Authenticator zaten passkey'i destekliyor. Yöneltmemiz gereken soru şu: Yeni alacağımız MFA yöntemleri AiTM phishing'e dayanıyor mu? SMS ve voice call cevap "hayır", push bildirimi "kısmen", Passkey ve FIDO2 "evet".
Türkiye Bağlamı: KVKK 2026 Cezaları ve MFA Uyumu
27 Kasım 2025 Resmî Gazete'de yayımlanan %25,49'luk yeniden değerleme oranı sonrası 2026 KVKK idari para ceza aralıkları:
İhlal Türü
Alt - Üst Sınır (TL)
Veri güvenliği yükümlülüğü ihlali (Md. 12)
256.357 – 17.092.242
Veri ihlali bildirim eksikliği (72 saat kuralı)
50.000 – 1.000.000
Aydınlatma yükümlülüğü
5.000 – 100.000
VERBIS kayıt eksikliği
20.000 – 1.000.000
KVKK Kurulu son iki yılın yayımlı kararlarında en çok "yeterli teknik tedbir alınmaması" nedeniyle ceza kesti — bunlar arasında çok faktörlü kimlik doğrulamanın uygulanmaması açıkça geçiyor. Yani Microsoft sizden değil, KVKK Kurulu da sizden MFA bekliyor. Bir veri ihlali yaşadığınızda denetimde "MFA aktif değildi" demek, ceza üst sınırına çekilmenizin en hızlı yolu.
30-60-90 Günlük Geçiş Planı
Müvekkillerimle uyguladığım pratik takvim:
İlk 30 gün — Envanter ve Hızlı Kazanımlar:
Tüm Global Administrator hesaplarını listele; her birine Authenticator app + Passkey ata
Per-user MFA aktif kullanıcıları çıkar ve Conditional Access politikası taslağı hazırla
Acil erişim (break-glass) hesabı için FIDO2 donanım anahtarı sipariş et — kasada saklanacak
Microsoft 365 admin center'a giren tüm hesapların MFA durumunu Sign-in logs üzerinden raporla
30-60 gün — Conditional Access ve Pilot:
"Require MFA for all users" politikasını rapor modunda aç → 14 gün etki gözle
15-20 kişilik pilot grupta phishing'e dirençli MFA (Passkey) zorla
Üçüncü taraf SaaS uygulamaları için (Salesforce, HubSpot, vs.) federation kontrol et
Service hesaplarını managed identity / service principal'a taşı (kullanıcı hesabı ile otomasyon koşturma)
60-90 gün — Tam Devreye Alma:
Tüm kullanıcılar için Conditional Access enforce moduna al
Authentication strength politikası: yöneticiler için sadece phishing-resistant kabul
Sign-in log'ları Defender for Cloud Apps veya Sentinel'e yönlendir
KVKK envanterini ve VERBIS kaydını "MFA uygulanıyor" notuyla güncelle
Sıkça Sorulan Sorular
Microsoft 365 Business Standard lisansım var, Conditional Access kullanabilir miyim?
Hayır. Conditional Access için Entra ID P1 gerekir; bu da Microsoft 365 Business Premium, E3 veya E5'te bulunur. Business Standard lisansındaysanız Security Defaults ile başlayın, sonra upgrade'i değerlendirin.
SMS'le MFA hâlâ kabul ediliyor mu?
Microsoft tarafında "MFA gereksinimi" karşılanıyor olarak sayılır, evet. Ama AiTM phishing'e karşı çok zayıf — yöneticiler için kesinlikle SMS'ten Authenticator app veya Passkey'e geçin.
B2B misafir hesapları (guest users) için zorunlu MFA geçerli mi?
Evet. Misafirin ana tenant'ı veya kaynak tenant MFA'yı sağlamalı. Eğer cross-tenant access ayarlı değilse, dış misafirlerin ana firmasının MFA claim göndermesi şart.
Passkey'i kaybedersem ne olur?
Best practice: kullanıcı başına 2 yöntem kayıtlı tut (1 birincil cihaz Passkey + 1 yedek FIDO2 anahtar veya Authenticator app). Tek yedek bırakmak self-service şifre/MFA sıfırlamayı imkânsız kılar.
Hibrit ortamım var (on-prem AD + Entra), ekstra yapmam gereken bir şey var mı?
Federation servisi (ADFS) kullanıyorsanız, federated IdP'nizin multipleauthn claim'i göndermesi gerekiyor. Aksi halde Microsoft tarafı MFA gerçekleşmemiş sayar.
Sonuç: Erteleme Yerine Plan Yapın
2026, "MFA zorunlu mu olacak" tartışmasının kapandığı yıl. Faz 2 ertelemesini 1 Temmuz 2026'ya çekebilirsiniz ama bu sadece zaman kazandırır — kalıcı çözüm Conditional Access + Passkey'e geçiştir. KVKK denetimleri ile çakıştığında ek motivasyon zaten hazır: yeterli teknik tedbir kalemi içinde MFA, 256 bin TL'den başlayan ceza kalkanı.
Xen Bilişim olarak Microsoft Solutions Partner statümüzle Conditional Access tasarımı, Passkey rollout'u ve KVKK uyum dokümantasyonunu eşzamanlı yürütüyoruz. Geçişi gözden geçirmek ya da pilot başlatmak isterseniz iletişime geçin.
Telefon : 0850 259 5949
