Koşullu Erişim nedir?

Modern güvenlik çevresi, bir kuruluşun ağ çevresinin ötesine geçerek kullanıcı ve cihaz kimliğini içerir. Kuruluşlar artık erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyaller kullanıyor. Microsoft Entra Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Koşullu Erişim, microsoft'un ilke kararlarını zorunlu kılma sırasında çeşitli kaynaklardan gelen sinyalleri dikkate alan Sıfır Güven ilke altyapısıdır.

Diagram showing concept of Conditional Access signals plus decision to enforce organizational policy.

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir; bir kullanıcı bir kaynağa erişmek istiyorsa, bir eylemi tamamlaması gerekir. Örneğin: Bir kullanıcı Microsoft 365 gibi bir uygulamaya veya hizmete erişmek istiyorsa erişim kazanmak için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.

Yöneticiler iki ana hedefle karşılaşır:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlama
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim, erişim kararları alırken çeşitli kaynaklardan gelen sinyalleri dikkate alır.

Diagram showing Conditional Access as the Zero Trust policy engine aggregating signals from various sources.

Bu sinyaller şunlardır:

  • Kullanıcı veya grup üyeliği
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara ve gruplara hedeflenebilir.
  • IP Konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek güvenilir IP adresi aralıkları oluşturabilir.
    • Yönetici istrator'lar trafiğin engellenmesi veya trafiğe izin verilmesi için ülke/bölge IP aralıklarının tamamını belirtebilir.
  • Aygıt
    • Koşullu Erişim ilkeleri uygulanırken belirli platformlara sahip veya belirli bir durumla işaretlenmiş cihazlara sahip kullanıcılar kullanılabilir.
    • İlkeleri ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara hedeflemek için cihazlar için filtreler kullanın.
  • Uygulama
    • Belirli uygulamalara erişmeye çalışan kullanıcılar farklı Koşullu Erişim ilkelerini tetikleyebilir.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Microsoft Entra Kimlik Koruması ile sinyal tümleştirmesi, Koşullu Erişim ilkelerinin riskli kullanıcıları tanımlamasına ve düzeltmesine ve oturum açma davranışını düzeltmesine olanak tanır.
  • Bulut için Microsoft Defender Uygulamaları
    • Kullanıcı uygulaması erişiminin ve oturumlarının gerçek zamanlı olarak izlenmesine ve denetlenmeye olanak tanır. Bu tümleştirme, bulut ortamınızda yapılan erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Yaygın kararlar

  • Erişimi engelle
    • En kısıtlayıcı karar
  • Erişim izni verme
    • Daha az kısıtlayıcı bir karar, aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilir:
      • Çok faktörlü kimlik doğrulaması gerektir
      • Kimlik doğrulaması gücü gerektir
      • Cihazın uyumlu olarak işaretlenmesini gerektirme
      • Microsoft Entra karma birleştirilmiş cihazı gerektir
      • Onaylı istemci uygulaması gerektir
      • Uygulama koruma ilkesi gerektir
      • Parola değişikliği gerektir
      • Kullanım koşullarını gerekli kılma

Yaygın olarak uygulanan ilkeler

Birçok kuruluşun, Koşullu Erişim ilkelerinin yardımcı olabileceği yaygın erişim endişeleri vardır:

  • Yönetici rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulaması protokollerini kullanmayı deneyen kullanıcıların oturum açma işlemlerini engelleme
  • Güvenlik bilgileri kaydı için güvenilen konumlar gerektirme
  • Belirli konumlardan erişimi engelleme veya erişime izin verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazları zorunlu tutma

Yönetici istrator'lar sıfırdan ilke oluşturabilir veya portaldaki bir şablon ilkesinden veya Microsoft Graph API'sini kullanarak başlayabilir.

Yönetici deneyimi

ile Yönetici istrators Koşullu Erişim Yönetici istrator rolü ilkeleri yönetebilir.

Koşullu Erişim, Microsoft Entra yönetim merkezinde Koruma>Koşullu Erişim altında bulunur.

Screenshot of the Conditional Access overview page.

  • Genel Bakış sayfası, ilke durumu, kullanıcılar, cihazlar ve uygulamaların yanı sıra öneriler içeren genel ve güvenlik uyarılarının özetini sağlar.
  • Kapsam sayfası, son yedi gün içinde Koşullu Erişim ilkesi kapsamı olan ve olmayan uygulamaların özetini sağlar.
  • İzleme sayfası, yöneticilerin ilke kapsamındaki olası boşlukları görmek için filtrelenebilen oturum açma grafiklerini görmelerini sağlar.

İlkeler sayfasındaki Koşullu Erişim ilkeleri, yöneticiler tarafından aktör, hedef kaynak, koşul, uygulanan denetim, durum veya tarih gibi öğelere göre filtrelenebilir. Bu filtreleme özelliği, yöneticilerin yapılandırmalarına göre belirli ilkeleri hızlı bir şekilde bulmasını sağlar.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Microsoft 365 Business Premium lisansı olan müşteriler Koşullu Erişim özelliklerine de erişebilir.

Risk tabanlı ilkeler, P2 lisansları gerektiren Kimlik Koruması'na erişim gerektirir.

Koşullu Erişim ilkeleriyle etkileşim kuran diğer ürün ve özellikler, bu ürün ve özellikler için uygun lisanslama gerektirir.

Koşullu Erişim için gereken lisansların süresi dolduğunda ilkeler otomatik olarak devre dışı bırakılmaz veya silinmez. Bu, müşterilere güvenlik duruşlarında ani bir değişiklik olmadan Koşullu Erişim ilkelerinden geçiş yapma olanağı sağlar. Kalan ilkeler görüntülenebilir ve silinebilir, ancak artık güncelleştirilemez.

Güvenlik varsayılanları kimlikle ilgili saldırılara karşı korunmaya yardımcı olur ve tüm müşteriler tarafından kullanılabilir.

Sıfır Güven

Bu özellik, kuruluşların kimliklerini Sıfır Güven mimarisinin üç temel ilkesiyle uyumlu hale getirmelerine yardımcı olur:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Sıfır Güven ve kuruluşunuzu kılavuz ilkelere hizalamanın diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.

Sonraki adımlar