Koşullu Erişimi Açıklama

  • 6 dakika

Koşullu Erişim, kimliği doğrulanmış kullanıcıların verilere veya diğer varlıklara erişmesine izin vermeden önce ek bir güvenlik katmanı sağlayan bir Microsoft Entra Id özelliğidir. Koşullu Erişim, Microsoft Entra Id'de oluşturulan ve yönetilen ilkeler aracılığıyla uygulanır. Koşullu Erişim ilkesi, kaynaklara (uygulamalar ve veriler) erişim yetkisi verme kararlarını otomatikleştirmek için kullanıcı, konum, cihaz, uygulama ve risk gibi sinyalleri analiz eder.

Image showing Conditional Access policy flow. Signals are used to decide whether to allow or block access to apps and data.

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir. Örneğin Koşullu Erişim ilkesi, bir kullanıcının belirli bir gruba ait olması durumunda bir uygulamada oturum açmak için çok faktörlü kimlik doğrulaması sağlaması gerektiğini belirtebilir.

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Koşullu erişim ilkesi bileşenleri

Microsoft Entra Id'deki bir koşullu erişim ilkesi, atamalar ve erişim denetimleri olmak üzere iki bileşenden oluşur.

Screen capture showing the two components of a conditional access policy, the assignments and the access controls.

Atamalar

Koşullu erişim ilkesi oluştururken, yöneticiler atamalar aracılığıyla hangi sinyallerin kullanılacağını belirleyebilir. İlkenin atamalar bölümü Koşullu Erişim ilkesinin kim, ne, nerede ve ne zaman olduğunu denetler. Tüm atamalar mantıksal olarak ANDed'tir. Birden fazla atama yapılandırdıysanız, bir ilkeyi tetikleyebilmek için tüm atamaların karşılanması gerekir. Atamalardan bazıları şunlardır:

  • Kullanıcılar ve gruplar , ilkenin dahil edeceği veya dışlanacağı kişileri atar. Bu atama tüm kullanıcıları, belirli kullanıcı gruplarını, dizin rollerini veya dış konuk kullanıcıları içerebilir. Bu atama, kiracınızda kayıtlı tek kiracılı hizmet sorumlularını (uygulamaları) da içerebilir.
  • Bulut uygulamaları veya eylemleri , ilkeye tabi olan bulut uygulamalarını, kullanıcı eylemlerini veya kimlik doğrulama bağlamlarını içerebilir veya dışlayabilir. Bulut için Microsoft Defender koşullu erişimle tümleştirilmesi, bulut ortamınızda gerçekleştirilen erişim ve etkinlikler üzerinde gerçek zamanlı görünürlük ve denetim sağlar.
  • Koşullar , ilkenin nereye ve ne zaman uygulanacağını tanımlar. Ayrıntılı ve belirli Koşullu Erişim ilkeleri oluşturmak için birden çok koşul birleştirilebilir. Bazı koşullar şunlardır:
    • Oturum açma riski ve kullanıcı riski. Microsoft Entra Kimlik Koruması ile tümleştirme, Koşullu Erişim ilkelerinin dizindeki kullanıcı hesaplarıyla ilgili şüpheli eylemleri tanımlamasını ve bir ilkeyi tetiklemesini sağlar. Oturum açma riski, belirli bir oturum açma veya kimlik doğrulama isteğinin kimlik sahibi tarafından yetkilendirilmiyor olma olasılığıdır. Kullanıcı riski, belirli bir kimliğin veya hesabın tehlikeye atılmış olma olasılığıdır.
    • Cihazlar platformu. Bir cihazda çalışan işletim sistemi ile karakterize edilen cihaz platformu, Koşullu Erişim ilkeleri uygulanırken kullanılabilir.
    • IP konumu bilgileri. Kuruluşlar, ilke kararları alırken kullanılabilecek güvenilir IP adresi aralıkları tanımlayabilir. Ayrıca, yöneticiler bir ülkenin/bölgenin IP aralığının tamamından gelen trafiği engellemeyi veya trafiğe izin vermeyi tercih edebilir.
    • İstemci uygulamaları. Tarayıcılar, mobil uygulamalar, masaüstü istemcileri dahil olmak üzere kullanıcının bulut uygulamasına erişmek için kullandığı istemci uygulamaları, erişim ilkesi kararında da kullanılabilir.
    • Cihazlar için filtreler. Kuruluşlar, cihazlara yönelik filtreleri kullanarak cihaz özelliklerine göre ilkeleri zorunlu kılabilir. Örneğin, bu seçenek ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara ilke hedeflemek için kullanılabilir.

Temelde, atamalar bölümü Koşullu Erişim ilkesinin kim, ne ve nerede olduğunu denetler.

Erişim denetimleri

Koşullu Erişim ilkesi uygulandığında erişimi engelleme, erişim verme, ek doğrulama ile erişim izni verme veya sınırlı bir deneyim sağlamak için oturum denetimi uygulama konusunda bilinçli bir karara ulaşılır. Karar, Koşullu Erişim ilkesinin erişim denetimleri bölümü olarak adlandırılır ve bir ilkenin nasıl zorunlu kılınmasını tanımlar. Yaygın kararlar şunlardır:

  • Erişimi engelle
  • Erişim izni verin. Yönetici istrator'lar ek denetim olmadan erişim verebilir veya erişim izni verirken bir veya daha fazla denetimi zorunlu kılmayı seçebilir. Erişim vermek için kullanılan denetimlere örnek olarak kullanıcıların çok faktörlü kimlik doğrulaması gerçekleştirmesi, kaynağa erişmek için belirli kimlik doğrulama yöntemleri gerektirmesi, cihazların belirli uyumluluk ilkesi gereksinimlerini karşılaması, parola değişikliği gerektirmesi ve daha fazlası verilebilir. Tam liste için Koşullu Erişim ilkesinde denetim verme bölümüne bakın.
  • Oturum. Bir Koşullu Erişim ilkesinde yönetici, belirli bulut uygulamalarında sınırlı deneyimler sağlamak için oturum denetimlerinden yararlanabilir. Örneğin Koşullu Erişim Uygulama Denetimi, hassas belgelerin indirme, kesme, kopyalama ve yazdırma özelliklerini engellemek veya hassas dosyaların etiketlenmesi için Bulut için Microsoft Defender Uygulamalarından gelen sinyalleri kullanır. Diğer oturum denetimleri, belirli uygulamalar için kullanıcılara cihaz durumuna bağlı olarak sınırlı veya tam deneyim sağlamak için cihaz bilgilerini kullanan oturum açma sıklığı ve uygulama tarafından zorunlu kılınan kısıtlamaları içerir. Tam liste için Koşullu Erişim ilkesindeki Oturum denetimleri bölümüne bakın.

Özetle, atamalar bölümü Koşullu Erişim ilkesinin kim, ne ve nerede olduğunu denetlerken, erişim denetimleri bölümü bir ilkenin nasıl zorunlu kılınmasını denetler.