Koşullu Erişim nedir?

Modern güvenlik çevresi artık kullanıcı ve cihaz kimliğini içerecek şekilde kuruluşun ağını aşıyor. Kuruluşlar, erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyalleri kullanabilir.

Koşullu Erişim karar almak için sinyalleri bir araya getirir ve kurumuş ilkelerini zorunlu tutar. Azure AD Koşullu Erişim, yeni kimlik temelli denetim düzleminin merkezinde yer alır.

Kavramsal Koşullu sinyal artı zorlama alma kararı

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir. Kullanıcı bir kaynağa erişmek istiyorsa bir eylemi tamamlaması gerekir. Örnek: Bordro yöneticisi bordro uygulamasına erişmek ister ve buna erişmek için çok faktörlü kimlik doğrulaması yapması gerekir.

Yöneticiler iki temel hedefle karşı karşıyadır:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlama
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Kavramsal Koşullu Erişim işlem akışı

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim'in ilke kararı alırken dikkate alabildiği yaygın sinyaller aşağıdaki sinyalleri içerir:

  • Kullanıcı veya grup üyeliği
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara ve gruplara hedeflenebilir.
  • IP Konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek güvenilir IP adresi aralıkları oluşturabilir.
    • Yöneticiler trafiğin engellenmesi veya trafiğe izin verilmesi için ülkelerin/bölgelerin IP aralıklarının tamamını belirtebilir.
  • Cihaz
    • Koşullu Erişim ilkeleri zorunlu kılma sırasında belirli platformlara sahip cihazlara sahip veya belirli bir durumla işaretlenmiş kullanıcılar kullanılabilir.
    • Ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara ilke hedeflemek için cihazlara yönelik filtreler kullanın.
  • Uygulama
    • Belirli uygulamalara erişmeye çalışan kullanıcılar farklı Koşullu Erişim ilkelerini tetikleyebilir.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Azure AD Kimlik Koruması ile sinyal tümleştirmesi, Koşullu Erişim ilkelerinin riskli oturum açma davranışını belirlemesine olanak tanır. İlkeler daha sonra kullanıcıları parolalarını değiştirmeye, risk düzeylerini azaltmak için çok faktörlü kimlik doğrulaması yapmaya veya yönetici el ile eyleme geçene kadar erişimi engellemeye zorlayabilir.
  • Microsoft Defender for Cloud Apps
    • Kullanıcı uygulaması erişiminin ve oturumlarının gerçek zamanlı olarak izlenip denetlenerek bulut ortamınızda yapılan erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Yaygın kararlar

  • Erişimi engelleme
    • En kısıtlayıcı karar
  • Erişim verme
    • En az kısıtlayıcı karar, yine de aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilir:
      • Çok faktörlü kimlik doğrulaması gerektir
      • Cihazın uyumlu olarak işaretlenmesini gerektirme
      • Hibrit Azure AD'ye katılmış cihaz gerektirme
      • Onaylı istemci uygulaması gerektir
      • Uygulama koruma ilkesi iste (önizleme)

Yaygın olarak uygulanan ilkeler

Birçok kuruluş , Koşullu Erişim ilkelerinin yardımcı olabileceği yaygın erişim kaygılarına sahiptir:

  • Yönetim rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açmaları engelleme
  • Azure AD Multi-Factor Authentication kaydı için güvenilir konumlar gerektirme
  • Belirli konumlardan erişimi engelleme veya verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme

Lisans gereksinimleri

Bu özelliği kullanmak için Azure AD Premium P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Azure AD'nin genel olarak sağlanan özelliklerini karşılaştırma.

Microsoft 365 Business Premium lisansı olan müşteriler Koşullu Erişim özelliklerine de erişebilir.

Risk tabanlı ilkeler, bir Azure AD P2 özelliği olan Kimlik Koruması'na erişim gerektirir.

Koşullu Erişim ilkeleriyle etkileşim kurabilecek diğer ürünler ve özellikler, söz konusu ürün ve özellikler için uygun lisanslama gerektirir.

Koşullu Erişim için gereken lisansların süresi dolduğunda, müşteriler güvenlik duruşlarında ani bir değişiklik yapmadan Koşullu Erişim ilkelerinden geçiş yapabilecekleri için ilkeler otomatik olarak devre dışı bırakılmaz veya silinmez. Kalan ilkeler görüntülenebilir ve silinebilir ancak artık güncelleştirilemez.

Güvenlik varsayılanları kimlikle ilgili saldırılara karşı korunmaya yardımcı olur ve tüm müşteriler tarafından kullanılabilir.

Sonraki adımlar