Sıfır Güven kimlik ve cihaz erişimi yapılandırmaları

Bir kuruluşun teknoloji kaynaklarına ve hizmetlerine erişimi yalıtmak ve kısıtlamak için ağ güvenlik duvarlarına ve sanal özel ağlara (VPN) dayanan güvenlik mimarileri, geleneksel kurumsal ağ sınırlarının ötesindeki uygulamalara ve kaynaklara düzenli olarak erişim gerektiren bir iş gücü için artık yeterli değildir.

Microsoft, bu yeni bilgi işlem dünyasını ele almak için aşağıdaki yol gösterici ilkeleri temel alan Sıfır Güven güvenlik modelini kesinlikle önerir:

  • Açıkça doğrula

    Kullanılabilir tüm veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme. Burada, oturum açma ve sürekli doğrulama için Sıfır Güven kimlik ve cihaz erişim ilkeleri çok önemlidir.

  • En az ayrıcalık erişimi kullan

    Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.

  • İhlal varsay

    Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmaları geliştirmek için analizi kullanın.

Sıfır Güven genel mimarisi aşağıdadır.

Microsoft Sıfır Güven mimarisi

Sıfır Güven kimlik ve cihaz erişim ilkeleri aşağıdakiler için Açıkça yönlendiren doğrulama ilkesini ele alın:

  • Kimlik

    Bir kimlik bir kaynağa erişmeye çalıştığında, güçlü kimlik doğrulamasıyla bu kimliği doğrulayın ve istenen erişimin uyumlu ve tipik olduğundan emin olun.

  • Cihazlar (uç noktalar olarak da adlandırılır)

    Güvenli erişim için cihaz durumu ve uyumluluk gereksinimlerini izleyin ve uygulayın.

  • Uygulamalar

    Gölge BT'yi keşfetmek, uygun uygulama içi izinleri sağlamak, gerçek zamanlı analize göre geçit erişimi sağlamak, anormal davranışları izlemek, kullanıcı eylemlerini denetlemek ve güvenli yapılandırma seçeneklerini doğrulamak için denetimler ve teknolojiler uygulayın.

Bu makale serisinde, kurumsal bulut uygulamaları ve hizmetleri, diğer SaaS hizmetleri ve ile yayımlanan şirket içi uygulamalar için Microsoft 365'e Sıfır Güven erişimine yönelik bir dizi kimlik ve cihaz erişimi önkoşul yapılandırması ve bir dizi Azure Active Directory (Azure AD) Koşullu Erişim, Microsoft Intune ve diğer ilkeler açıklanmaktadır Azure AD Uygulama Ara Sunucusu.

Sıfır Güven kimlik ve cihaz erişim ayarları ve ilkeleri üç katmanda önerilir: başlangıç noktası, kurumsal ve yüksek oranda düzenlenmiş veya sınıflandırılmış verilere sahip ortamlar için özel güvenlik. Bu katmanlar ve bunlara karşılık gelen yapılandırmalar verileriniz, kimlikleriniz ve cihazlarınız arasında tutarlı Sıfır Güven koruma düzeyleri sağlar.

Bu özellikler ve bunların önerileri:

Kuruluşunuzun benzersiz ortam gereksinimleri veya karmaşıklıkları varsa, başlangıç noktası olarak bu önerileri kullanın. Ancak çoğu kuruluş bu önerileri öngörüldüğü gibi uygulayabilir.

Kuruluş için Microsoft 365 kimlik ve cihaz erişim yapılandırmalarına hızlı bir genel bakış için bu videoyu izleyin.


Not

Microsoft ayrıca Office 365 abonelikleri için Enterprise Mobility + Security (EMS) lisansları da satar. EMS E3 ve EMS E5 özellikleri, Microsoft 365 E3 ve Microsoft 365 E5 özellikleriyle eşdeğerdir. Ayrıntılar için bkz. EMS planları .

Hedeflenen hedef kitle

Bu öneriler, Azure AD (kimlik), Microsoft Intune (cihaz yönetimi) ve Microsoft Purview Bilgi Koruması (veri koruması) gibi Microsoft 365 bulut üretkenliği ve güvenlik hizmetlerini bilen kurumsal mimarlara ve BT uzmanlarına yöneliktir.

Müşteri ortamı

Önerilen ilkeler, hem tamamen Microsoft bulutu içinde çalışan kurumsal kuruluşlar hem de Azure AD bir kiracıyla eşitlenmiş bir şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ormanı olan karma kimlik altyapısına sahip müşteriler için geçerlidir.

Sağlanan önerilerin çoğu yalnızca Microsoft 365 E5, Microsoft 365 E3 E5 Güvenlik eklentisi, EMS E5 veya Azure AD Premium P2 lisanslarıyla kullanılabilen hizmetlere dayanır.

Microsoft, bu lisanslara sahip olmayan kuruluşlar için en azından tüm Microsoft 365 planlarına dahil olan güvenlik varsayılanlarını uygulamanızı önerir.

Uyarılar

Kuruluşunuz, bu önerilen yapılandırmalardan farklı ilkeler uygulamanızı gerektirebilecek belirli öneriler de dahil olmak üzere yasal düzenlemelere veya diğer uyumluluk gereksinimlerine tabi olabilir. Bu yapılandırmalar, geçmişte kullanılamayan kullanım denetimlerini önerir. Güvenlik ve üretkenlik arasındaki dengeyi temsil ettiğine inandığımız için bu denetimleri öneririz.

Çok çeşitli kuruluş koruma gereksinimlerini hesaba eklemek için elimizden geleni yaptık, ancak olası tüm gereksinimleri veya kuruluşunuzun tüm benzersiz yönlerini hesaba aktaramadık.

Üç koruma katmanı

Çoğu kuruluşun güvenlik ve veri korumasıyla ilgili belirli gereksinimleri vardır. Bu gereksinimler sektör segmentlerine ve kuruluşlardaki iş işlevlerine göre farklılık gösterir. Örneğin, hukuk departmanınız ve yöneticileriniz e-posta yazışmaları etrafında diğer iş birimleri için gerekli olmayan ek güvenlik ve bilgi koruma denetimleri gerektirebilir.

Her endüstrinin kendi özel düzenlemeleri de vardır. Tüm olası güvenlik seçeneklerinin listesini ya da sektör segmenti veya iş işlevi başına öneri sağlamak yerine, gereksinimlerinizin ayrıntı düzeyine göre uygulanabilecek üç farklı güvenlik ve koruma düzeyi için öneriler sağlanmıştır.

  • Başlangıç noktası: Tüm müşterilerin hem verileri hem de verilerinize erişen kimlikleri ve cihazları korumak için en düşük standardı oluşturmasını ve kullanmasını öneririz. Tüm kuruluşlar için başlangıç noktası olarak güçlü bir varsayılan koruma sağlamak için bu önerileri izleyebilirsiniz.
  • Kurumsal: Bazı müşteriler, daha yüksek düzeylerde korunması gereken bir veri alt kümesine sahiptir veya tüm verilerin daha yüksek düzeyde korunmasını gerektirebilir. Microsoft 365 ortamınızdaki tüm veya belirli veri kümelerine daha fazla koruma uygulayabilirsiniz. Benzer güvenlik düzeyleriyle hassas verilere erişen kimlikleri ve cihazları korumanızı öneririz.
  • Özel güvenlik: Gerektiğinde, birkaç müşteri yüksek oranda sınıflandırılmış, ticari gizli diziler oluşturan veya düzenlenen az miktarda veriye sahiptir. Microsoft, bu müşterilerin kimlikler ve cihazlar için ek koruma da dahil olmak üzere bu gereksinimleri karşılamasına yardımcı olacak özellikler sağlar.

Güvenlik konisi

Bu kılavuz, bu koruma düzeylerinin her biri için kimlikler ve cihazlar için Sıfır Güven korumayı nasıl uygulayabileceğinizi gösterir. Bu kılavuzu kuruluşunuz için en düşük düzeyde kullanın ve ilkeleri kuruluşunuzun özel gereksinimlerini karşılayacak şekilde ayarlayın.

Kimlikleriniz, cihazlarınız ve verileriniz arasında tutarlı koruma düzeyleri kullanmanız önemlidir. Örneğin, yöneticiler, liderler, yöneticiler ve diğerleri—gibi öncelikli hesapları—olan kullanıcılar için koruma, kimlikleri, cihazları ve erişdikleri veriler için aynı koruma düzeyini içermelidir.

Ayrıca, Microsoft 365'te depolanan bilgileri korumak için veri gizliliği düzenlemeleri için bilgi koruma dağıtma çözümüne bakın.

Güvenlik ve üretkenlik dengeleri

Herhangi bir güvenlik stratejisinin uygulanması, güvenlik ve üretkenlik arasında dengeyi sağlamayı gerektirir. Her kararın güvenlik, işlevsellik ve kullanım kolaylığı dengesini nasıl etkilediğini değerlendirmek yararlı olur.

Güvenlik triad dengeleme güvenliği, işlevselliği ve kullanım kolaylığı

Sağlanan öneriler aşağıdaki ilkelere dayanır:

  • Kullanıcılarınızı tanıyıp güvenlik ve işlevsel gereksinimlerine karşı esnek olun.
  • Tam zamanında bir güvenlik ilkesi uygulayın ve bunun anlamlı olduğundan emin olun.

Sıfır Güven kimliği ve cihaz erişim korumasına yönelik hizmetler ve kavramlar

Kuruluş için Microsoft 365, büyük kuruluşlar için herkesin yaratıcı olmasını ve güvenli bir şekilde birlikte çalışmasını sağlamak için tasarlanmıştır.

Bu bölümde, Sıfır Güven kimliği ve cihaz erişimi için önemli olan Microsoft 365 hizmetlerine ve özelliklerine genel bir bakış sağlanır.

Azure AD

Azure AD, tam bir kimlik yönetimi özellikleri paketi sağlar. Erişimin güvenliğini sağlamak için bu özellikleri kullanmanızı öneririz.

Yetenek veya özellik Açıklama Lisanslama
Çok faktörlü kimlik doğrulaması (MFA) MFA, kullanıcıların kullanıcı parolası ve Microsoft Authenticator uygulamasından bir bildirim veya telefon araması gibi iki doğrulama biçimi sağlamasını gerektirir. MFA, çalınan kimlik bilgilerinin ortamınıza erişmek için kullanılabilmesi riskini büyük ölçüde azaltır. Microsoft 365, MFA tabanlı oturum açma işlemleri için Azure AD Multi-Factor Authentication hizmetini kullanır. Microsoft 365 E3 veya E5
Koşullu Erişim Azure AD, kullanıcı oturum açma koşullarını değerlendirir ve izin verilen erişimi belirlemek için Koşullu Erişim ilkelerini kullanır. Örneğin, bu kılavuzda hassas verilere erişim için cihaz uyumluluğu gerektiren bir Koşullu Erişim ilkesinin nasıl oluşturulacağını gösteririz. Bu, kendi cihazına ve çalınan kimlik bilgilerine sahip bir korsanın hassas verilerinize erişme riskini büyük ölçüde azaltır. Ayrıca cihazlardaki hassas verileri de korur çünkü cihazların sistem durumu ve güvenliği için belirli gereksinimleri karşılaması gerekir. Microsoft 365 E3 veya E5
grupları Azure AD Koşullu Erişim ilkeleri, Intune ile cihaz yönetimi ve hatta kuruluşunuzdaki dosya ve sitelere yönelik izinler, kullanıcı hesaplarına veya Azure AD gruplarına atamayı kullanır. Uyguladığınız koruma düzeylerine karşılık gelen Azure AD grupları oluşturmanızı öneririz. Örneğin, yönetici personeliniz korsanlar için büyük olasılıkla daha yüksek değer hedefleridir. Bu nedenle, bu çalışanların kullanıcı hesaplarını bir Azure AD grubuna eklemek ve bu grubu Koşullu Erişim ilkelerine ve erişim için daha yüksek bir koruma düzeyini zorlayan diğer ilkelere atamak mantıklıdır. Microsoft 365 E3 veya E5
Cihaz kaydı Bir cihazı Azure AD kaydederek cihaz için bir kimlik oluşturursunuz. Bu kimlik, kullanıcı oturum açtığında cihazın kimliğini doğrulamak ve etki alanına katılmış veya uyumlu bilgisayarlar gerektiren Koşullu Erişim ilkelerini uygulamak için kullanılır. Bu kılavuz için, etki alanına katılmış Windows bilgisayarlarını otomatik olarak kaydetmek için cihaz kaydını kullanırız. Cihaz kaydı, Intune cihazları yönetmek için bir önkoşuldur. Microsoft 365 E3 veya E5
Azure AD Kimlik Koruması Kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılamanıza ve otomatik düzeltme ilkesini düşük, orta ve yüksek oturum açma riski ile kullanıcı riski olarak yapılandırmanıza olanak tanır. Bu kılavuz, çok faktörlü kimlik doğrulaması için Koşullu Erişim ilkelerini uygulamak için bu risk değerlendirmesine dayanır. Bu kılavuz, hesaplarında yüksek riskli etkinlik algılandığında kullanıcıların parolalarını değiştirmelerini gerektiren bir Koşullu Erişim ilkesi de içerir. Microsoft 365 E5, E5 Güvenlik eklentisi, EMS E5 veya Azure AD Premium P2 lisanslarıyla Microsoft 365 E3
Kendi kendine parola sıfırlama (SSPR) Yöneticinin denetleyebileceği birden çok kimlik doğrulama yönteminin doğrulanmasını sağlayarak kullanıcılarınızın parolalarını güvenli bir şekilde ve yardım masası müdahalesi olmadan sıfırlamasına izin verin. Microsoft 365 E3 veya E5
Parola koruması Azure AD Bilinen zayıf parolaları ve bunların değişkenlerini ve kuruluşunuza özgü ek zayıf terimleri algılayın ve engelleyin. Varsayılan genel yasaklanmış parola listeleri, Azure AD kiracıdaki tüm kullanıcılara otomatik olarak uygulanır. Özel yasaklanmış parola listesinde ek girdiler tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanımını zorunlu kılmak için denetlenir. Microsoft 365 E3 veya E5

Intune ve Azure AD nesneleri, ayarları ve alt hizmetleri de dahil olmak üzere Sıfır Güven kimliğin ve cihaz erişiminin bileşenleri aşağıdadır.

Sıfır Güven kimliği ve cihaz erişiminin bileşenleri

Microsoft Intune

Intune, Microsoft'un bulut tabanlı mobil cihaz yönetimi hizmetidir. Bu kılavuz, Intune ile Windows bilgisayarlarının cihaz yönetimini ve cihaz uyumluluk ilkesi yapılandırmalarını önerir. Intune cihazların uyumlu olup olmadığını belirler ve bu verileri Koşullu Erişim ilkeleri uygulanırken kullanılacak Azure AD gönderir.

Uygulama korumasını Intune

Intune uygulama koruma ilkeleri, cihazları yönetime kaydederek veya kaydetmeden mobil uygulamalarda kuruluşunuzun verilerini korumak için kullanılabilir. Intune bilgilerin korunmasına, çalışanlarınızın üretken olmaya devam etmelerine ve veri kaybını önlemeye yardımcı olur. Uygulama düzeyinde ilkeler uygulayarak şirket kaynaklarına erişimi kısıtlayabilir ve verileri BT departmanınızın denetiminde tutabilirsiniz.

Bu kılavuzda, onaylı uygulamaların kullanımını zorunlu kılmak ve bu uygulamaların iş verilerinizle nasıl kullanılabileceğini belirlemek için önerilen ilkelerin nasıl oluşturulacağı gösterilmektedir.

Microsoft 365

Bu kılavuz, Microsoft Teams, Exchange, SharePoint ve OneDrive gibi Microsoft 365 bulut hizmetlerine erişimi korumak için bir dizi ilkenin nasıl uygulandığını gösterir. Bu ilkeleri uygulamaya ek olarak, aşağıdaki kaynakları kullanarak kiracınız için koruma düzeyini yükseltmenizi öneririz:

Kurumlar için Microsoft 365 Uygulamaları ile Windows 11 veya Windows 10

Kurumlar için Microsoft 365 Uygulamaları ile Windows 11 veya Windows 10 bilgisayarlar için önerilen istemci ortamıdır. Azure hem şirket içi hem de Azure AD için mümkün olan en sorunsuz deneyimi sağlamak üzere tasarlandığından Windows 11 veya Windows 10 öneririz. Windows 11 veya Windows 10, Intune aracılığıyla yönetilebilen gelişmiş güvenlik özellikleri de içerir. Kurumlar için Microsoft 365 Uygulamaları, Office uygulamalarının en son sürümlerini içerir. Bunlar, daha güvenli ve Koşullu Erişim gereksinimi olan modern kimlik doğrulamasını kullanır. Bu uygulamalar ayrıca gelişmiş uyumluluk ve güvenlik araçları içerir.

Bu özellikleri korumanın üç katmanına uygulama

Aşağıdaki tabloda, bu özelliklerin üç koruma katmanında kullanılmasına yönelik önerilerimiz özetlemektedir.

Koruma mekanizması Başlangıç noktası Enterprise Özel güvenlik
MFA'yı zorunlu kılma Orta veya üst düzey oturum açma riskinde Düşük veya daha yüksek oturum açma riskinde Tüm yeni oturumlarda
Parola değişikliğini zorunlu kılma Yüksek riskli kullanıcılar için Yüksek riskli kullanıcılar için Yüksek riskli kullanıcılar için
Intune uygulama korumasını zorunlu kılma Evet Evet Evet
Kuruluşa ait cihaz için Intune kaydını zorunlu kılma Uyumlu veya etki alanına katılmış bir bilgisayar iste, ancak kendi cihazlarını getir (KCG) telefon ve tabletlere izin ver Uyumlu veya etki alanına katılmış bir cihaz gerektirme Uyumlu veya etki alanına katılmış bir cihaz gerektirme

Cihaz sahipliği

Yukarıdaki tablo, birçok kuruluşun kuruluşa ait cihazların yanı sıra iş gücü genelinde mobil üretkenliği sağlamak için kişisel veya BYOD'ların bir karışımını destekleme eğilimini yansıtır. Intune uygulama koruma ilkeleri, e-postanın hem kuruluşa ait cihazlarda hem de BYOD'lerde Outlook mobil uygulamasından ve diğer Office mobil uygulamalarından dışarı sızmaya karşı korunmasını sağlar.

Ek korumalar ve denetim uygulamak için kuruluşa ait cihazların Intune veya etki alanına katılmış olarak yönetilmesini öneririz. Veri duyarlılığına bağlı olarak, kuruluşunuz belirli kullanıcı popülasyonları veya belirli uygulamalar için BYOD'lere izin vermemeyi seçebilir.

Dağıtım ve uygulamalarınız

Azure AD tümleşik uygulamalarınız için Sıfır Güven kimlik ve cihaz erişim yapılandırmasını yapılandırmadan ve dağıtmadan önce şunları yapmalısınız:

  • Kuruluşunuzda hangi uygulamaları kullanmak istediğinize karar verin.

  • Uygun koruma düzeylerini sağlayan ilke kümelerini belirlemek için bu uygulama listesini analiz edin.

    Her biri uygulama için ayrı ilke kümeleri oluşturmamalısınız çünkü bunların yönetimi zahmetli hale gelebilir. Microsoft, aynı kullanıcılar için aynı koruma gereksinimlerine sahip uygulamalarınızı gruplandırmanızı önerir.

    Örneğin, başlangıç noktası koruması için tüm kullanıcılarınız için tüm Microsoft 365 uygulamalarını ve insan kaynakları veya finans departmanları tarafından kullanılanlar gibi tüm hassas uygulamalar için ikinci bir ilke kümesini içeren bir ilke kümeniz olabilir ve bunları bu gruplara uygulayabilirsiniz.

Güvenli hale getirmek istediğiniz uygulamalar için ilke kümesini belirledikten sonra, ilkeleri kullanıcılarınıza artımlı olarak dağıtın ve bu aradaki sorunları giderin.

Örneğin, yalnızca Exchange için tüm Microsoft 365 uygulamalarınız için kullanılacak ilkeleri Exchange için ek değişikliklerle yapılandırın. Bu ilkeleri kullanıcılarınıza dağıtıp tüm sorunları çözebilirsiniz. Ardından, ek değişiklikleriyle Teams'i ekleyin ve bunu kullanıcılarınıza dağıtin. Ardından, SharePoint'i ek değişiklikleriyle ekleyin. Bu başlangıç noktası ilkelerini tüm Microsoft 365 uygulamalarını içerecek şekilde güvenle yapılandırana kadar kalan uygulamalarınızı eklemeye devam edin.

Benzer şekilde, hassas uygulamalarınız için ilke kümesini oluşturun ve tek seferde bir uygulama ekleyin ve hepsi hassas uygulama ilke kümesine dahil edilene kadar tüm sorunları gözden geçirin.

Microsoft, bazı istenmeyen yapılandırmalara neden olabileceği için tüm uygulamalar için geçerli olan ilke kümeleri oluşturmamanızı önerir. Örneğin, tüm uygulamaları engelleyen ilkeler yöneticilerinizi Azure portal ve dışlamalar Microsoft Graph gibi önemli uç noktalar için yapılandırılamaz.

Sıfır Güven kimliği ve cihaz erişimini yapılandırma adımları

Sıfır Güven kimliği ve cihaz erişimini yapılandırma adımları

  1. Önkoşul kimlik özelliklerini ve ayarlarını yapılandırın.
  2. Ortak kimliği yapılandırın ve Koşullu Erişim ilkelerine erişin.
  3. Konuk ve dış kullanıcılar için Koşullu Erişim ilkelerini yapılandırın.
  4. Microsoft Teams, Exchange ve SharePoint—gibi Microsoft 365 bulut uygulamaları—ve Microsoft Defender for Cloud Apps ilkeleri için Koşullu Erişim ilkelerini yapılandırın.

Sıfır Güven kimlik ve cihaz erişimini yapılandırdıktan sonra, göz önünde bulundurmanız ve erişimi korumak, izlemek ve denetlemek için Kimlik İdaresi'ni Azure AD ek özelliklerin aşamalı denetim listesi için Azure AD özellik dağıtım kılavuzuna bakın.

Sonraki adım

Sıfır Güven kimlik ve cihaz erişim ilkelerini uygulamak için önkoşul çalışması