Aracılığıyla paylaş

Koşullu Erişim Nedir?

Modern güvenlik, bir kuruluşun ağ çevresini kullanıcı ve cihaz kimliğini içerecek şekilde genişletir. Kuruluşlar artık erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyaller kullanıyor. Microsoft Entra Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Koşullu Erişim, microsoft'un ilke kararlarını zorunlu kılma sırasında çeşitli kaynaklardan gelen sinyalleri dikkate alan Sıfır Güven ilke altyapısıdır.

Koşullu Erişim sinyalleri kavramının yanı sıra kuruluş ilkesini zorunlu kılma kararını gösteren diyagram.

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir : Kullanıcı bir kaynağa erişmek istiyorsa, bir eylemi tamamlaması gerekir. Örneğin: Bir kullanıcı Microsoft 365 gibi bir uygulamaya veya hizmete erişmek istiyorsa erişim kazanmak için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.

Yöneticiler iki birincil hedefle karşı karşıyadır:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlama
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak ve üretkenliği engellememek için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ön cephe savunması olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim, erişim kararları almak için çeşitli kaynaklardan gelen sinyalleri kullanır.

Çeşitli kaynaklardan gelen sinyalleri toplayan Sıfır Güven ilke altyapısı olarak Koşullu Erişimi gösteren Diyagramı.

Bu sinyallerden bazıları şunlardır:

  • Kullanıcı, grup veya aracı
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara, gruplara ve aracılara (Önizleme) hedeflenebilir.
    • Aracı kimlikleri ve aracı kullanıcıları desteği, Sıfır Güven ilkelerini yapay zeka iş yüklerine genişletir.
  • IP konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek IP adresi aralıkları oluşturabilir.
    • Yöneticiler, trafiğin engellenmesi veya trafiğe izin verilmesi için ülke/bölge IP aralıklarının tamamını belirtebilir.
  • Cihaz
    • Koşullu Erişim ilkeleri uygulanırken belirli platformlara sahip veya belirli bir durumla işaretlenmiş cihazlara sahip kullanıcılar kullanılabilir.
    • İlkeleri ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara hedeflemek için cihazlar için filtreler kullanın.
  • Application
    • Kullanıcılar belirli uygulamalara erişmeye çalıştığında farklı Koşullu Erişim ilkelerini tetikleyin.
    • Geleneksel bulut uygulamalarına, şirket içi uygulamalara ve aracı kaynaklarına ilkeler uygulayın.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Riskli kullanıcıları, oturum açma davranışını ve aracı etkinliklerini tanımlamak ve düzeltmek için Microsoft Entra ID Protection'dan gelen sinyalleri tümleştirir.
  • Microsoft Defender Cloud Uygulamaları için
    • Kullanıcı uygulaması erişimini ve oturumlarını gerçek zamanlı olarak izler ve denetler. Bu tümleştirme, bulut ortamınızdaki erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Ortak kararlar

  • Erişimi engelleme en kısıtlayıcı karardır.
  • Erişim izni ver
  • Aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilecek daha az kısıtlayıcı bir karar:
    • Çok faktörlü kimlik doğrulaması gerektir
    • Doğrulama gücü gerektir
    • Cihazın uyumlu olarak işaretlenmesini gerektir
    • Microsoft Entra hibrit katılımlı cihaz gerektirir
    • Onaylı bir istemci uygulaması gerektir
    • Uygulama koruma politikası gerekli kılın
    • Parola değişikliği gerektir
    • Kullanım koşullarını gerekli kılma

Yaygın olarak uygulanan ilkeler

Birçok kuruluş, Koşullu Erişim ilkelerinin konusunda yardımcı olabileceğiyaygın erişim endişelerine sahiptir:

  • Yönetici rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açmaları engelleme
  • Güvenlik bilgileri kaydı için güvenilen konumlar gerektirme
  • Belirli konumlardan erişimi engelleme veya erişime izin verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazları zorunlu tutma

Yöneticiler sıfırdan ilke oluşturabilir veya portalda veya Microsoft Graph API'sini kullanarak bir şablon ilkesiyle başlayabilir.

Yönetici deneyimi

En azından Güvenlik Okuyucusu rolüne sahip yöneticiler, Microsoft Entra yönetim merkezinde EntraId>Koşullu Erişim altında Koşullu Erişim'i bulabilir.

Koşullu Erişim'e genel bakış sayfasının ekran görüntüsü.

  • Genel Bakış sayfasında ilke durumunun, aracıların, kullanıcıların, cihazların ve uygulamaların özeti ile öneriler içeren genel ve güvenlik uyarıları gösterilir.
  • Kapsam sayfasında, son yedi gün içinde Koşullu Erişim ilkesi kapsamı olan ve olmayan uygulamaların özeti gösterilir.

İlkeler sayfasında, yöneticiler koşullu erişim ilkelerini aktör, hedef kaynak, koşul, uygulanan denetim, durum veya tarih gibi öğelere göre filtreleyebilir. Bu filtreleme, yöneticilerin yapılandırmalarına göre belirli ilkeleri hızla bulmasını sağlar.

Koşullu Erişim iyileştirme aracısı

Microsoft Security Copilot ile Koşullu Erişim iyileştirme aracısı (önizleme), Sıfır Güven ilkelerine ve Microsoft'un en iyi yöntemlerine göre yeni ilkeler ve değişiklikler önerir. Tek tıklamayla, koşullu erişim ilkesini otomatik olarak güncelleştirmek veya oluşturmak için öneriyi uygulayın. Yazılım aracının en azından Microsoft Entra ID P1 lisansına ve güvenlik işlem birimlerine (SCU) ihtiyacı vardır.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Microsoft 365 İş Ekstra lisansına sahip müşteriler Koşullu Erişim özelliklerini de kullanabilir.

Koşullu Erişim ilkeleriyle etkileşim kuran diğer ürün ve özellikler için Microsoft Entra İş Yükü Kimliği, Microsoft Entra ID Koruması ve Microsoft Purview gibi ürün ve özellikler için uygun lisanslama gerekir.

Koşullu Erişim için gereken lisansların süresi dolduğunda ilkeler otomatik olarak devre dışı bırakılmaz veya silinmez. Bu zarif durum, müşterilerin güvenlik duruşlarında ani bir değişiklik olmadan Koşullu Erişim ilkelerinden geçiş yapmasını sağlar. Kalan ilkeleri görüntüleyebilir ve silebilirsiniz, ancak güncelleştiremezsiniz.

Güvenlik varsayılanları kimlikle ilgili saldırılara karşı korunmaya yardımcı olur ve tüm müşteriler tarafından kullanılabilir.

Sıfır Güven

Bu özellik, kuruluşların kimliklerini Sıfır Güven mimarisinin üç temel ilkesiyle uyumlu hale getirmelerine yardımcı olur:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Sıfır Güven ve kuruluşunuzu kılavuz ilkelere hizalamanın diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.

Sonraki adımlar

Koşullu Erişim dağıtımınızı planlama

  • Last updated on