Aracılığıyla paylaş

Koşullu Erişim Nedir?

Modern güvenlik, bir kuruluşun ağ çevresini kullanıcı ve cihaz kimliğini içerecek şekilde genişletir. Kuruluşlar artık erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyaller kullanıyor. Microsoft Entra Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Koşullu Erişim, microsoft'un Zero Trust ilke altyapısıdır ilke kararlarını zorunlu kılma sırasında çeşitli kaynaklardan gelen sinyalleri dikkate alır.

Koşullu Erişim sinyalleri kavramının yanı sıra kuruluş ilkesini zorunlu kılma kararını gösteren diyagram.

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir : Kullanıcı bir kaynağa erişmek istiyorsa, bir eylemi tamamlaması gerekir. Örneğin: Kullanıcı Microsoft 365 gibi bir uygulamaya veya hizmete erişmek istiyorsa erişim kazanmak için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.

Yöneticiler iki birincil hedefle karşı karşıyadır:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlama
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak ve üretkenliği engellememek için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ön cephe savunması olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim, erişim kararları almak için çeşitli kaynaklardan gelen sinyalleri kullanır.

Çeşitli kaynaklardan gelen sinyalleri toplayan Zero Trust ilke altyapısı olarak Koşullu Erişimi gösteren diyagram.

Bu sinyallerden bazıları şunlardır:

  • Kullanıcı, grup veya aracı
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara, gruplara ve aracılara (Önizleme) hedeflenebilir.
    • Aracı kimlikleri ve aracı kullanıcıları desteği, Zero Trust ilkelerini yapay zeka iş yüklerine genişletir.
  • IP konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek IP adresi aralıkları oluşturabilir.
    • Yöneticiler, trafiğin engellenmesi veya trafiğe izin verilmesi için ülke/bölge IP aralıklarının tamamını belirtebilir.
  • Cihaz
    • Koşullu Erişim ilkeleri uygulanırken belirli platformlara sahip veya belirli bir durumla işaretlenmiş cihazlara sahip kullanıcılar kullanılabilir.
    • İlkeleri ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara hedeflemek için cihazlar için filtreler kullanın.
  • Application
    • Kullanıcılar belirli uygulamalara erişmeye çalıştığında farklı Koşullu Erişim ilkelerini tetikleyin.
    • Geleneksel bulut uygulamalarına, şirket içi uygulamalara ve aracı kaynaklarına ilkeler uygulayın.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Riskli kullanıcıları, oturum açma davranışını ve aracı etkinliklerini tanımlamak ve düzeltmek için Microsoft Entra ID Protection sinyallerini tümleştirir.
  • Microsoft Defender for Cloud Apps
    • Kullanıcı uygulaması erişimini ve oturumlarını gerçek zamanlı olarak izler ve denetler. Bu tümleştirme, bulut ortamınızdaki erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Ortak kararlar

  • Erişimi engelleme en kısıtlayıcı karardır.
  • Erişim izni ver
  • Aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilecek daha az kısıtlayıcı bir karar:
    • Çok faktörlü kimlik doğrulaması gerektir
    • Doğrulama gücü gerektir
    • Cihazın uyumlu olarak işaretlenmesini gerektir
    • Karma birleştirilmiş Microsoft Entra cihazı gerektir
    • Onaylı bir istemci uygulaması gerektir
    • Uygulama koruma politikası gerekli kılın
    • Parola değişikliği gerektir
    • Kullanım koşullarını gerekli kılma

Yaygın olarak uygulanan ilkeler

Birçok kuruluş, Koşullu Erişim ilkelerinin konusunda yardımcı olabileceğiyaygın erişim endişelerine sahiptir:

  • Yönetici rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açmaları engelleme
  • Güvenlik bilgileri kaydı için güvenilen konumlar gerektirme
  • Belirli konumlardan erişimi engelleme veya erişime izin verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazları zorunlu tutma

Yöneticiler sıfırdan ilke oluşturabilir veya portalda veya Microsoft Graph API kullanarak bir şablon ilkesiyle başlayabilir.

Yönetici deneyimi

En az Güvenlik Okuyucusu rolüne sahip yöneticiler, Microsoft Entra yönetim merkezinde Koşullu Erişim'i bulabilir>Microsoft Entra Entra ID>Conditional Access altında.

  • Genel Bakış sayfasında, Koşullu Erişim ilkeleriyle ilgili son etkinliklerin özeti gösterilir. Burada kaç politikanın etkinleştirildiğini veya yalnızca rapor amacıyla olduğunu, ajan ve kullanıcı etkinliğini, uygulamaları, cihazları ve öneriler içeren genel güvenlik uyarılarını görebilirsiniz. Koşullu Erişim'e genel bakış sayfasının ekran görüntüsü.

  • Kapsam sekmesinde, son yedi gün içinde Koşullu Erişim ilkesi kapsamı olan ve olmayan uygulamaların özeti gösterilir. Uygulama ilkesi kapsamını gösteren Koşullu Erişim kapsamı sekmesinin ekran görüntüsü.

  • İlkeler sayfasında, kiracınızdaki tüm ilkeler, yalnızca rapor amaçlı ilkeler ve (varsa) Koşullu Erişim İyileştirme Aracısı tarafından oluşturulan ilkeler dahil olmak üzere listelenir. Burada filtreleme, "Durum" senaryolarını görüntüleme ve yeni ilke oluşturma seçenekleri sağlanır. Koşullu Erişim ilkeleri liste sayfasının ekran görüntüsü.

Koşullu Erişim İyileştirme Aracısı

Microsoft Security Copilot içeren Conditional Access Optimization Agent, Zero Trust ilkelerine ve Microsoft en iyi yöntemlerine göre yeni ilkeler ve mevcut ilkelerde değişiklik önerir. Tek tıklamayla, koşullu erişim ilkesini otomatik olarak güncelleştirmek veya oluşturmak için öneriyi uygulayın. Ajansın en az bir MS Entra ID P1 lisansına ve güvenlik işlem birimlerine (SCU) ihtiyacı vardır.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak amacıyla, Microsoft Entra ID'nin genel kullanıma sunulan özelliklerini karşılaştırın göz atın.

Microsoft 365 Business Premium lisansları olan müşteriler de Koşullu Erişim özelliklerini kullanabilir.

Koşullu Erişim ilkeleriyle etkileşim kuran diğer ürün ve özellikler için Microsoft Entra Workload ID, Microsoft Entra ID Protection ve Microsoft Purview gibi ürün ve özellikler için uygun lisanslama gerekir.

Koşullu Erişim için gereken lisansların süresi dolduğunda ilkeler otomatik olarak devre dışı bırakılmaz veya silinmez. Bu zarif durum, müşterilerin güvenlik duruşlarında ani bir değişiklik olmadan Koşullu Erişim ilkelerinden geçiş yapmasını sağlar. Kalan ilkeleri görüntüleyebilir ve silebilirsiniz, ancak güncelleştiremezsiniz.

Güvenlik varsayılanları kimlikle ilgili saldırılara karşı korunmaya yardımcı olur ve tüm müşteriler tarafından kullanılabilir.

Zero Trust

Bu özellik kuruluşların id varlıklarını Zero Trust mimarisinin üç temel ilkesiyle uyumlu hale getirmelerine yardımcı olur:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Zero Trust hakkında daha fazla bilgi edinmek ve kuruluşunuzu yol gösteren ilkelere uygun hale getirmenin diğer yolları hakkında daha fazla bilgi edinmek için bkz. Zero Trust Rehberlik Merkezi.

Sonraki adımlar

Koşullu Erişim dağıtımınızı planlama

  • Last updated on