Office 365′de Kullanıcı Parolalarının Yönetimi

Office 365′de Kullanıcı Parolalarının Yönetimi

by Ezgi CAN, 12 Haziran 2017

Office 365 platformunda oluşturulan kullanıcılar, portallarına giriş yapabilmeleri adına kimlik doğrulamasından geçerler. Bu kimlik doğrulamalarındak parolalar farklı methodlar ile yönetilebilmektedir.Birinci method bulutta olan kullanıcıların kimlik doğrulamasın arkada Azure Active Directory tarafından yapılmasıdır.. Zaten Office 365 alt yapısına bakıldığında Azure Active Directry üzerine oturtulmuş Office 365 hizmeteri vardır. Bu methotta lokal ortamdan bağımsız Office 365 tarafından oluşturulmuş parola yönetimi ve kimlik doğrulaması söz konusudur. İkinci yöntem ise lokalde bulunan Active Directory kullanıcılarının senkron edilmesi sırasında parolalarının da Office 365 platformuna gönderilmesi olacaktır. Bu yöntemde yine kimlik doğrulama Office 365 tarafından yapılacaktır ancak kullanıcılar lokal Active Directory’deki parolalarını kullanacaklardır. Diğer bir method ise firmada Single Sign On bir yapı kurularak kimlik doğrulamalarının direkt lokaldeki directory servisi ile yapmaları olacaktır. Bunların hepsi firma ihtiyaçlarına göre şekillenmesi gereken yöntemlerdir.

Burada Office 365’de oluşturulan ve kimlik doğrulaması yine Office 365 platformunda yapılan bulut kullanıcılarına ait parolaların yönetimi anlatılacaktır. Parola yönetimi IT yöneticileri tarafından yapılmakla beraber istenilmesi durumunda Password Administrators rolüne atanan bir kullanıcı tarafından da yapılabilmektedir. Parola yönetiminden kasıt parolaların resetlenmesi, expire sürelerinin ayarlanması ya da parolaların karmaşık olup olmayacağı ile ilgili klasik IT ekiplerinin yapmış oldukları ayarlardır.

Parola expire kuralı: Varsayılanda Office 365 kullanıcıları için uygulanan bir parola expire kuralı vardır. Bu kuralda kullanıcıların aynı parolaları 90 gün boyunca kullanabilmekte, 90 gün sonunda değiştirmeleri gerekmektedir. Ayrıca kuralda kullanıcılar parola değiştirmeleri gerektiği süreden 14 gün önce parola sürelerinin dolmak üzere olduklarına dair uyarılırlar. Firma güvenlik politikaları gereğince bu kuraldaki süreler değiştirilebilir. Kural ile ilgili ayarlar Office 365’in arayüzünden yapılabileceği gibi powershell komutları ile de düzenlenebilmektedir.

Şekildeki arayüzde Office 365 admin center bölümünde “Service Settings” başlığı altında yer alan “Passwords” seçeneği ile parola expire süresina ait varolan kural görünmektedir. Bu arayüze Office 365 Admin Center’da yer alan “Users” başlığı altından da erişilebilinmektedir.


Firmalar şirket politikaları gereği bu değerleri değiştirmek isteyebilirler. Parolaların expire sürelerine dair verilebilcek değer aralığı 14 ile 730 olması gerekirken, kullanıcıları parolaların son kullanım gününe dair uyarması değer aralığı ise 1 ile 30 arasında olması gerekmektedir. “Days before password expire” kullanıcın parolasının son kullanım gününe dair değerin girildiği bölüm iken, “Days before user is notified that their password will expire” ise kullanıcıyı parola süresinin dolmak üzere olduğuna dair kullanıcıyı kaç gün önceden uyaracağının belirlendiği bölümdür.


Parola süresi ile ilgili powershell komutları

Parola expire kuralına ait ayarlar Office 365 portalından yapılabileceği gibi Windows Azure Active Directory Module for Powershell ile de yapılabilmektedir. Bunun için kullanılması gereken komut şablonu aşağıdaki gibidir:

Set-MsolPasswordPolicy -DomainName “domainname” –ValidityPeriod “numberofdays” -NotificationDays “numberofdays

Varsayılanda kullanılan kural ayarlarını gözlemlemek için ise “<I>Get-MsolPasswordPolicy”</I><I> </I>komutu kullanılmalıdır.

Kullanıcıların parola expire sürelerini kapatmak istenilmesi durumunda ise Windows Azure Active Directory Module for Powershell ile ilgili komut çalıştırılarak yapılmalıdır. Office 365 portalında bu ayarın yapılabileceğine dair arayüz bulunmamaktadır. Parola expire süresi, kullanıcıya özel yapılabilineceği gibi tüm kullanıcılar içinde ayarlanabilir.

Tek bir kullanıcı için parola süresinin kapatılması istenildiinde aşağıdaki komut şablonu kullanılmalıdır.

Set-MsolUser -UserPrincipalName “userprincipalname” –PasswordNeverExpires $true

Tüm kullanıcılar için parola süresinin kapatılması istenildiinde aşağıdaki komut şablonu kullanılmalıdır.

Get-MsolUser | Set-MsolUser –PasswordNeverExpires $true

Tüm kullanıcılar için kapatılmış olan parola süresi bazı kullanıcılar için açılmak istenilirse ya da önceden parola süresi kapatılan kullanıcılara dair yeniden parola süresini açmak için aşağıdaki parola şablonu kullanılmalıdır:

Set-MsolUser -UserPrincipalName “userprincipalname” –PasswordNeverExpires $false

Office 365’de yer alan tüm kullanıcılar için parola sürelerinin açılması için ise aşağıdaki komut şablonu kullanılmalıdır:

Get-MsolUser | Set-MsolUser –PasswordNeverExpires $false

Parola sürelerine ait yapılan ayarlamalar sonucunda hangi kullanıcıda parola süresi kapatılmış hangi kullanıcı da parola süresi açık gibi gözlemleme yapılmak istenilebilir. Spesifik bir kullanıcıya ait ayarın gözlemlenmesi için aşağıdaki şablon kullanılmalıdır:

Get-MsolUser -UserPrincipalName “userprincipalname” | Select PasswordNeverExpires

Tüm kullanıcıların parola sürelerine dair bilgi alınmak istenildiğinde ise aşağıdaki komut şablonu kullanılmalıdır:

Get-MsolUser | Select UserPrincipalName, PasswordNeverExpires

Kullanıcı parolalarının değiştirilmesi: Office 365’de açılan bir kullanıcıya otomatik olarak geçici parola atanacaktır. Geçici parolalar, kullanıcıların ilk oturum açması ile beraber değiştirilmesi zorunlu kılınan parolalardır.
Kullanıcı parolalarının resetleme işlemi Office 365 portalından yapılabileceği gibi powershell komutları ile de gerçekleştirilir. Aynı zamanda lokal active directoryden parolaya dair herhangi bir senaryo yok ise ya da SSO yok ise kullanıcılar kendileri de Office 365 portallarından kendi parolalarını resetleyebilmektedir. Şekildeki arayüzde kullanıcı portalı ve parola restleyebileceği arayüz görülmektedir.


Şekildeki arayüzde Office 365 portalında kullanıcıların parolaların resetlenmesi için izlenecek yol gösterilmiştir. “Reset Password” denilerek devam edildiği durumda, kullanıcıyı mail adresi girmesi gereken sihirbaz karşılacaktır. Yeni parola oluşturulunca burada girilen mail adresine kullanıcı adı ve parolanın olduğu bir mail atılacaktır.


Powershell ile Kullanıcı Parolasını Değiştirme

Office 365’de yeni kullanıcı oluşturulması ile beraber otomatik kullanıcıya geçici parola atanır. İstenilirse yeni kullanıcı oluşturulurken bu parolanın yönetici tarafından belirlenmesi mümkündür. Aşağıdaki powershell komut şablonu ile bunu yapmak mümkündür:

New-MsolUser -DisplayName “Ezgi Can” -FirstName “Ezgi” -LastName “Can” -UserPrincipalName ezgi.can@ecec0.onmicrosoft.com -Department IT -UsageLocation TR -Password TempP@@sW0rd
-LicenseAssignment ecec0:ENTERPRISEPACK

Bunun dışında varolan kullanıcıların parolaları değiştirilmek istenildiğinde aşağıdaki komut şablonu kullanılmalıdır:

Set-MsolUserPassword –UserPrincipalName “userprincipalname” –NewPassword “newpassword”

Strong Password ile ilgili Powershell Komutları

Office 365’de varsayılanda parolaların karmaşık olması şart koşulmuştur. Buradaki karmaşıklıktan kasıt;

· Parolalar mutlaka küçük harf, büyük harf, sembol ya da rakam parametrelerinden üç tanesine sahip olmalıdır.

· Parola oluştururken aralık ya da tab kullanılmamalıdır.

· Parolalar 8 ile 16 karakterler arasında olmalıdır.

· Parolalar kullanıcı adlarını içermemelidir.

Şirketler kullanıcı kolaylalıkları adına bazı durumlarda parola karmaşıklığını kapatmak isteyebilirler. Bunu Office 365 portalından gerçekleştiremezler. Bunun için ilgili powershell komutu kullanılmalıdır. Aşağıdaki komut şablonunda da görüldüğü üzere bu işlem kullanıcı başına gerçekleştirlebilen bir işlemdir. Toplu olarak yapılması gerektiği durumlarda CSV dosyaları üzerinden ilgili parametrelerin bir döngüye sokularak parola karmaşıklığı kapatılabilir.

Set-MsolUser -UserPrincipalName “userprincipalname” –StrongPasswordRequired $false