Microsoft 365 ile Sıfır Güven dağıtım planı

Bu makalede, Microsoft 365 ile Sıfır Güven güvenliği oluşturmaya yönelik bir dağıtım planı sağlanır. Sıfır Güven, ihlali varsayan ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrulayan bir güvenlik modelidir. İsteğin nereden geldiğine veya hangi kaynağa eriştiğine bakılmaksızın, Sıfır Güven modeli bize "asla güvenme, her zaman doğrulama" öğretir.

Bu makaleyi bu posterle birlikte kullanın.

Ürün Açıklama
Microsoft 365 Sıfır Güven dağıtım planı i̇llustrasyonu.
PDF | Visio
Nisan 2025 güncelleştirildi		 İlgili çözüm kılavuzları

Sıfır Güven ilkeleri ve mimarisi

Sıfır Güven bir güvenlik stratejisidir. Bu bir ürün veya hizmet değil, aşağıdaki güvenlik ilkeleri kümesini tasarlama ve uygulama yaklaşımıdır.

Prensip Açıklama
Açıkça doğrula Her zaman kimlik doğrulama ve yetkilendirmeyi, mevcut tüm veri noktalarına göre yapın.
En az ayrıcalık erişimi kullan Just-In-Time ve Just-Enough-Access (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
İhlal varsay Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

Bu makaledeki yönergeler, Microsoft 365 özellikleri uygulayarak bu ilkeleri uygulamanıza yardımcı olur.

Sıfır Güven yaklaşımı, tüm dijital altyapıyı kapsar ve bütünleşik bir güvenlik felsefesi ve uçtan uca bir strateji oluşturur.

Bu çizim, Sıfır Güven katkıda bulunan birincil öğelerin bir gösterimini sağlar.

Sıfır Güven güvenlik mimarisini gösteren diyagram.

Çizimde:

  • Güvenlik politikası zorlaması, Sıfır Güven mimarisinin merkezinde yer alır. Bu, kullanıcı hesabı riskini, cihaz durumunu ve ayarladığınız diğer ölçütleri ve ilkeleri dikkate alan Koşullu Erişim ile çok faktörlü kimlik doğrulamasını içerir.
  • Kimlikler, cihazlar, veriler, uygulamalar, ağ ve diğer altyapı bileşenlerinin tümü uygun güvenlikle yapılandırılır. Bu bileşenlerin her biri için yapılandırılan ilkeler, genel Sıfır Güven stratejinizle koordine edilir. Örneğin, cihaz ilkeleri iyi durumdaki cihazlar için ölçütleri belirler ve Koşullu Erişim ilkeleri belirli uygulamalara ve verilere erişmek için sağlıklı cihazlar gerektirir.
  • Tehdit koruması ve zeka ortamı izler, mevcut riskleri ortaya çıkarır ve saldırıları düzeltmek için otomatik eylem gerçekleştirir.

Sıfır Güven hakkında daha fazla bilgi için bkz. Microsoft Sıfır Güven Rehberlik Merkezi.

Microsoft 365 için Sıfır Güven dağıtma

Microsoft 365, ortamınızda Sıfır Güven oluşturmanıza yardımcı olmak için kasıtlı olarak birçok güvenlik ve bilgi koruma özelliğiyle oluşturulur. Kuruluşunuzun kullandığı diğer SaaS uygulamalarına ve bu uygulamalar içindeki verilere erişimi korumak için özelliklerin çoğu genişletilebilir.

Bu çizim, Sıfır Güven özellikleri dağıtma işlemini temsil eder. Bu çalışma, Sıfır Güven benimseme çerçevesi Sıfır Güven iş senaryolarıyla uyumludur.

Beş kulvarda Microsoft 365 Sıfır Güven dağıtım planını gösteren diyagram.

Bu çizimde, dağıtım çalışması beş yüzme şeridine ayrılmıştır.

  • Güvenli uzaktan ve karma çalışma — Bu çalışma, kimlik ve cihaz korumasının temelini oluşturur.
  • bir ihlalden kaynaklanan iş hasarlarını önleme veya azaltma — Tehdit koruması, güvenlik tehditlerinin gerçek zamanlı izlenmesini ve düzeltilmesini sağlar. Defender for Cloud Apps, yapay zeka uygulamaları da dahil olmak üzere SaaS uygulamalarının bulunmasını sağlar ve veri korumasını bu uygulamalara genişletmenize olanak tanır.
  • Hassas iş verilerini tanımlama ve koruma — Veri koruma özellikleri, en değerli bilgilerinizi korumak için belirli veri türlerini hedefleyen gelişmiş denetimler sağlar.
  • Yapay zeka uygulamalarının ve verilerinin güvenliğini sağlama — Kuruluşunuzun yapay zeka uygulamalarını ve etkileşimde bulunan verileri hızla koruyun.
  • Mevzuat ve uyumluluk gereksinimlerini karşılayın — Kuruluşunuzu etkileyen düzenlemelere uyum sağlama yolundaki ilerlemenizi anlayın ve izleyin.

Bu makalede bulut kimliği kullandığınız varsayılır. Bu hedef için rehberliğe ihtiyacınız varsa bkz.: Microsoft 365 için kimlik altyapınızı kurma.

Tavsiye

Adımları ve uçtan uca dağıtım sürecini anladığınızda, Microsoft 365 yönetici merkezine oturum açtığınızda Microsoft Sıfır Güven güvenlik modelinizi ayarlamanız için gelişmiş dağıtım kılavuzunu kullanabilirsiniz. Bu kılavuz, standart ve ileri teknoloji yapılarına yönelik Sıfır Güven ilkeleri uygulama konusunda size yol gösterir.

Çalışma Aşaması 1 — Güvenli uzaktan ve hibrit çalışma

Uzak ve karma çalışmanın güvenliğini sağlamak için kimlik ve cihaz erişim korumasının yapılandırılması gerekir. Bu korumalar Sıfır Güven ilkesine katkıda bulunur açıkça doğrula.

Uzak ve karma çalışmanın güvenliğini sağlama işini üç aşamada gerçekleştirin.

1. Aşama — Başlangıç noktası kimliği ve cihaz erişim ilkelerini uygulama

Microsoft, bu kılavuzda Sıfır Güven için kapsamlı bir kimlik ve cihaz erişim ilkeleri kümesi önerir: Sıfır Güven kimlik ve cihaz erişim yapılandırmaları.

1. aşamada başlangıç noktası katmanını uygulayarak başlayın. Bu ilkeler, cihazların yönetime kaydedilmesini gerektirmez.

Başlangıç noktası seviyesinin Sıfır Güven kimlik ve erişim ilkelerini gösteren diyagram.

Ayrıntılı açıklayıcı yönergeler için Sıfır Güven kimlik ve cihaz erişim koruması gidin. Bu makale serisinde, kurumsal bulut uygulamaları ve hizmetlerinin, diğer SaaS hizmetlerinin ve Microsoft Entra uygulama ara sunucusu ile yayımlanan şirket içi uygulamaların Microsoft 365 erişiminin güvenliğini sağlamak için gereken kimlik ve cihaz erişimi ile ilgili ön koşullu yapılandırmalar ile birlikte bir dizi Microsoft Entra Koşullu Erişim, Microsoft Intune ve diğer ilkeler açıklanmaktadır.

İçerir Önkoşullar Şunları içermez:
Üç koruma düzeyi için önerilen kimlik ve cihaz erişim ilkeleri:
  • Başlangıç noktası
  • Kurumsal (önerilir)
  • Uzmanlaşmış

Ek öneriler:
  • Dış kullanıcılar (konuklar)
  • Microsoft Teams
  • SharePoint
 Microsoft E3 veya E5

Microsoft Entra ID'yi bu modlardan herhangi birinde kullanın:
  • Yalnızca bulut
  • Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
  • Geçiş kimlik doğrulamalı (PTA) hibrit
  • Federatif
 Yönetilen cihaz gerektiren politikalar için cihaz kaydı. Cihazları kaydetmek için bkz. Intune ile cihazları yönetme .

2. Aşama — Intune ile cihazları yönetime kaydetme

Ardından cihazlarınızı yönetime kaydedin ve daha gelişmiş denetimlerle korumaya başlayın.

Cihazları yönetime kaydetme hakkında ayrıntılı açıklayıcı yönergeler için bkz. Intune ile cihazları yönetme .

İçerir Önkoşullar Şunları içermez:
Intune ile cihazları kaydet:
  • Şirkete ait cihazlar
  • Otomatik pilot/otomatikleştirilmiş
  • Kayıt

İlkeleri yapılandırma:
  • Uygulama Koruma ilkeleri
  • Uyumluluk ilkeleri
  • Cihaz profili ilkeleri
 uç noktaları Microsoft Entra ID ile kaydetme Aşağıdakiler dahil olmak üzere bilgi koruma özelliklerini yapılandırma:
  • Hassas bilgi türleri
  • Etiketler
  • DLP ilkeleri

Bu özellikler için bkz . Kulvar 3 — Hassas iş verilerini tanımlama ve koruma (bu makalenin devamında).

Daha fazla bilgi için Microsoft Intune için Sıfır Güven bkz.

3. Aşama — Sıfır Güven kimlik ve cihaz erişim koruması ekleme: Kurumsal ilkeler

Yönetime kayıtlı cihazlarla artık uyumlu cihazlar gerektiren önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerinin tamamını uygulayabilirsiniz.

Ortak kimlik ve cihaz erişim ilkelerine dönün ve ilkeleri Kurumsal katmanına ekleyin.

Kurumsal (önerilen) katman için Sıfır Güven kimlik ve erişim ilkelerini gösteren diyagram

Daha fazla bilgi edinin: Uzak ve karma çalışmayı güvence altına almak için Sıfır Güven benimseme çerçevesi hakkında.

Kulvar 2 — bir ihlalden kaynaklanan iş hasarını önleme veya azaltma

Microsoft Defender XDR uç nokta, e-posta, uygulamalar ve kimlikler dahil olmak üzere Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden genişletilmiş bir algılama ve yanıt (XDR) çözümüdür. Ayrıca Microsoft Defender for Cloud Apps kuruluşların GenAI uygulamaları da dahil olmak üzere SaaS uygulamalarını tanımlamasına ve bunlara erişimi yönetmesine yardımcı olur.

Bir ihlalden kaynaklanan iş hasarını önlemek veya azaltmak için Microsoft Defender XDR, pilot olarak uygulanıp dağıtılarak kullanılabilir.

Sıfır Güven mimarisine Microsoft Defender XDR ekleme işlemini gösteren diyagram.

Pilot bölümüne gidin ve Microsoft Defender XDR bileşenlerini deneme ve dağıtma üzerine yöntemsel bir kılavuz için Microsoft Defender XDR'yi dağıtın.

İçerir Önkoşullar Şunları içermez:
Tüm bileşenler için değerlendirme ve pilot ortamı ayarlayın:
Tehditlere karşı korunun

Tehditleri araştırma ve yanıtlama		 Microsoft Defender XDR her bileşeni için mimari gereksinimleri hakkında bilgi edinmek için kılavuza bakın. Microsoft Entra ID Koruması bu çözüm kılavuzunda yer almıyor. Kulvar 1'e dahildir— Güvenli uzaktan ve hibrit çalışma.

Sıfır Güven benimseme çerçevesi bir ihlalden kaynaklanan iş hasarlarını önleme veya azaltma hakkında daha fazla bilgi edinin.

Kulvar 3 — Hassas iş verilerini tanımlama ve koruma

Microsoft Purview Bilgi Koruması'ı uygulayarak hassas bilgileri nereye giderse gitsin keşfetmenize, sınıflandırmanıza ve korumanıza yardımcı olun.

Microsoft Purview Bilgi Koruması özellikleri Microsoft Purview dahil edilir ve verilerinizi bilmeniz, verilerinizi korumanız ve veri kaybını önlemeniz için araçlar sağlar. Bu işe istediğiniz zaman başlayabilirsiniz.

Microsoft Purview Bilgi Koruması, belirli iş hedeflerinizi gerçekleştirmek için kullanabileceğiniz bir çerçeve, süreç ve özellikler sağlar.

Microsoft Purview Bilgi Koruması genel bakışını gösteren diyagram.

Bilgi korumasını planlama ve dağıtma hakkında daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması çözümü dağıtma.

Sıfır Güven benimseme çerçevesi hassas iş verilerini tanımlama ve koruma hakkında daha fazla bilgi edinin.

Yüzme Şeridi 4 — Güvenli yapay zeka uygulamaları ve verileri

Microsoft 365, kuruluşların yapay zeka uygulamalarını ve bu uygulamaların kullandığı verileri hızla güvenli bir şekilde korumalarına yardımcı olacak özellikler içerir.

Yapay zeka için Purview Veri Güvenliği Duruşu Yönetimi (DSPM) kullanarak başlayın. Bu araç, özellikle yapay zeka araçlarıyla etkileşim kuran hassas verileriniz olmak üzere yapay zekanın kuruluşunuzda nasıl kullanıldığına odaklanır. Yapay zeka için DSPM, ChatGPT Enterprise ve Google Gemini gibi Microsoft Copilots ve üçüncü taraf SaaS uygulamaları için daha derin içgörüler sağlar.

Aşağıdaki diyagramda, yapay zeka kullanımının verileriniz üzerindeki etkisine ilişkin toplu görünümlerden biri gösterilmektedir: Üretken yapay zeka uygulaması başına hassas etkileşimler.

Üretken yapay zeka uygulaması başına hassas etkileşimleri gösteren diyagram.

AI'de DSPM kullanarak şunları yapın:

  • Hassas veriler de dahil olmak üzere yapay zeka kullanımı hakkında görünürlük elde edin.
  • SharePoint fazla paylaşım denetimleriyle giderilebilen fazla paylaşım boşluklarını öğrenmek için veri değerlendirmelerini gözden geçirin.
  • Duyarlılık etiketleri ve veri kaybı önleme (DLP) ilkeleri için ilke kapsamınızda boşluklar bulun.

Defender for Cloud Apps, SaaS GenAI uygulamalarını ve kullanımını keşfetmeye ve yönetmeye yönelik bir diğer güçlü araçtır. Defender for Cloud Apps, kataloğa binden fazla yapay zekayla ilgili uygulama ekleyip kuruluşunuzda üretken yapay zeka uygulamalarının nasıl kullanıldığına ilişkin görünürlük sağlar ve bunları güvenli bir şekilde yönetmenize yardımcı olur.

bu araçlara ek olarak, Microsoft 365 yapay zekanın güvenliğini sağlamaya ve idare etmeye yönelik kapsamlı bir özellik kümesi sağlar. Bu özellikleri kullanmaya başlamayı öğrenmek için bkz. Yapay zeka uygulamalarını ve verilerini bulma, koruma ve yönetme .

Yapay zekayı koruma ve yönetme konusunda Microsoft 365 yeteneklerini gösteren diyagram.

Aşağıdaki tabloda, Yapay zeka kitaplığı için güvenlik daha fazla bilgiye bağlantılar içeren Microsoft 365 özellikleri listelenir.

Kapasite Daha fazla bilgi
SharePoint Gelişmiş Yönetim dahil olmak üzere, SharePoint aşırı paylaşım kontrolleri SharePoint fazla paylaşım denetimlerini uygula
Yapay zeka için DSPM Yapay zeka için (DSPM) ile yapay zeka kullanımı hakkında görünürlük elde edin
Yapay zeka için DSPM aracılığıyla verileri koruma
Duyarlılık etiketleri ve DLP ilkeleri Duyarlılık etiketleri ve DLP ilkelerindeki boşlukları belirlemeye devam edin
Insider Risk Management (IRM) — Riskli yapay zeka kullanım ilkesi şablonu Riskli yapay zeka şablonunu uygulama
Uyarlamalı koruma Insider Risk Management için Uyarlamalı Korumayı Yapılandırma
Defender for Cloud Uygulamaları Yapay zeka uygulamalarını keşfetme, tasdik etme ve engelleme
Yapay zeka uygulamalarının kullanımını önceliklendirme ve koruma
Uyumluluk riskine göre yapay zeka uygulamalarını yönetme
Purview Uyumluluk Yöneticisi Yapay zeka ile ilgili düzenlemeler için değerlendirme oluşturma ve yönetme
Purview İletişim Uyum Yönetimi Uygunsuz veya riskli etkileşimleri algılamaya veya gizli bilgilerin paylaşılmasına yardımcı olmak için üretken yapay zeka uygulamalarına girilen istemleri ve yanıtları analiz etme
Purview Veri Yaşam Döngüsü Yönetimi Yapay zeka araçlarında verilerin aşırı kullanım riskini azaltmak için artık tutmanız gerekmeyen içeriği proaktif olarak silin
eKeşif İstemlerde ve yanıtlarda anahtar sözcükleri arayın, eBulma servis talepleri içindeki sonuçları yönetin
Copilot ve yapay zeka etkinlikleri için denetim günlükleri Copilot etkileşimlerinin nasıl, ne zaman ve nerede gerçekleştiğini ve bu öğelerdeki duyarlılık etiketleri de dahil olmak üzere hangi öğelere erişildiğini belirleyin
Priva Gizlilik Değerlendirmeleri Oluşturduğunuz yapay zeka uygulamaları için gizlilik etkisi değerlendirmeleri başlatma

Kulvar 5 — Mevzuat ve uyumluluk gereksinimlerinin karşılanması

Kuruluşunuzun BT ortamının karmaşıklığından veya kuruluşunuzun boyutundan bağımsız olarak, işinizi etkileyebilecek yeni yasal gereksinimler sürekli olarak bir ekleniyor. Sıfır Güven bir yaklaşım genellikle, örneğin kişisel verilere erişimi denetlemeyi amaçlayanlar gibi uyumluluk düzenlemelerinin dayattığı bazı gereksinimleri aşıyor. Sıfır Güven bir yaklaşım uygulayan kuruluşlar, zaten bazı yeni koşulları karşıladıklarını veya uyumlu olmak için Sıfır Güven mimarilerini kolayca oluşturabileceklerini bulabilirler.

Microsoft 365, aşağıdakiler dahil olmak üzere mevzuat uyumluluğuna yardımcı olacak özellikler içerir:

  • Uyumluluk Yöneticisi
  • İçerik gezgini
  • Bekletme ilkeleri, duyarlılık etiketleri ve DLP ilkeleri
  • İletişim uyumluluğu
  • Veri yaşam döngüsü yönetimi
  • Priva Gizlilik Risk Yönetimi

Mevzuat ve uyumluluk gereksinimlerini karşılamak için aşağıdaki kaynakları kullanın.

Kaynak Daha fazla bilgi
Sıfır Güven benimseme çerçevesi — Mevzuat ve uyumluluk gereksinimlerini karşılayın Strateji tanımlama, planlama, benimseme ve idare gibi kuruluşunuzun izleyebildiği yöntemsel bir yaklaşımı açıklar.
Mevzuat uyumluluğu için yapay zeka uygulamalarını ve verilerini yönetme Yardımcı olacak belirli özellikler de dahil olmak üzere yeni ortaya çıkan yapay zeka ile ilgili düzenlemeler için mevzuat uyumluluğunu giderir.
Microsoft Priva ve Microsoft Purview riskleri değerlendirin ve Microsoft Priva ve Microsoft Purview kullanarak kuruluşunuzun ortamındaki kişisel verileri korumak için uygun eylemleri gerçekleştirin.

Sonraki Adımlar

Sıfır Güven rehberlik merkezini ziyaret ederek Sıfır Güven hakkında daha fazla bilgi edinin.

  • Last updated on