Azure koşullu erişimini açıklama

  • 3 dakika

Koşullu Erişim, Microsoft Entra ID'nin kimlik sinyallerine göre kaynaklara erişime izin vermek (veya reddetmek) için kullandığı bir araçtır. Bu sinyaller arasında kullanıcının kim olduğu, kullanıcının nerede olduğu ve kullanıcının istek gönderdiği cihaz bulunabilir.

Koşullu Erişim yöneticisi, BT yöneticilerine şu konularda yardımcı olur:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlamak.
  • Kuruluşun varlıklarını korumak.

Koşullu Erişim ayrıca kullanıcılar için daha ayrıntılı çok faktörlü kimlik doğrulaması deneyimi sunar. Örneğin bilinen bir konumda bulunan kullanıcılardan ikinci kimlik doğrulaması faktörü istenmeyebilir. Ancak oturum açma sinyallerinin olağan dışı olması veya kullanıcının beklenmeyen bir konumda olması durumunda ikinci kimlik doğrulaması faktörü istenebilir.

Koşullu Erişim, oturum açma sırasında kullanıcıdan gelen sinyalleri toplar, bu sinyallere göre kararlar alır ve isteğe izin vererek ya da onu reddederek veya çok faktörlü kimlik doğrulaması yanıtı isteyerek bu kararı uygular.

Aşağıdaki diyagramda bu akış gösterilmektedir:

Diagram showing the conditional access flow of a signal leading to a decision, leading to enforcement.

Burada sinyal; kullanıcının konumu, kullanıcının cihazı veya kullanıcının erişmeye çalıştığı uygulama olabilir.

Bu sinyallere bağlı olarak kullanıcının her zamanki konumundan oturum açtığı tespit edilirse tam erişim verilebilir. Kullanıcının olağan dışı veya yüksek riskli olduğu belirlenen bir konumdan oturum açması durumunda erişim tamamen engellenebilir veya kullanıcı ikinci bir kimlik doğrulaması yöntemi sağladıktan sonra verilebilir.

Uygulama, kararı gerçekleştiren eylemdir. Örneğin erişime izin verilebilir veya kullanıcının ikinci bir kimlik doğrulama yöntemi sağlaması istenebilir.

Koşullu Erişim hangi durumlarda kullanılmalıdır?

Koşullu Erişim şunları yapmanız gerektiğinde faydalı olacaktır:

  • İstek sahibinin rolüne, konumuna veya ağına bağlı olarak uygulamaya erişmek için çok faktörlü kimlik doğrulaması (MFA) iste. Örneğin, yöneticiler için MFA gerektirebilir, ancak normal kullanıcılar veya şirket ağınızın dışından bağlanan kişiler için gerekli olmayabilir.
  • Hizmetlere yalnızca onaylı istemci uygulamaları aracılığıyla erişim sağlama. Örneğin, hangi e-posta uygulamalarının e-posta hizmetinize bağlanabileceğini sınırlayabilirsiniz.
  • Kullanıcıların uygulamanıza yalnızca yönetilen cihazlardan erişim sağlamasına izin verme. Yönetilen cihaz, güvenlik ve uyumluluk standartlarınıza uygun olan cihazdır.
  • Bilinmeyen veya beklenmeyen konumlardan erişim gibi güvenilmeyen kaynaklardan erişimi engelleme.