Koşullu Erişim nedir?

Modern güvenlik, bir kuruluşun ağ çevresini kullanıcı ve cihaz kimliğini içerecek şekilde genişletir. Kuruluşlar artık erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyaller kullanıyor. Microsoft Entra Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Koşullu Erişim, microsoft'un ilke kararlarını zorunlu kılma sırasında çeşitli kaynaklardan gelen sinyalleri dikkate alan Sıfır Güven ilke altyapısıdır.

Koşullu Erişim sinyalleri kavramının yanı sıra kuruluş ilkesini zorunlu kılma kararını gösteren diyagram.

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir; bir kullanıcı bir kaynağa erişmek istiyorsa, bir eylemi tamamlaması gerekir. Örneğin: Bir kullanıcı Microsoft 365 gibi bir uygulamaya veya hizmete erişmek istiyorsa erişim kazanmak için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.

Yöneticiler iki birincil hedefle karşı karşıyadır:

  • Kullanıcıları her yerde ve her zaman üretken olmaya teşvik etme
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim, erişim kararları alırken çeşitli kaynaklardan gelen sinyalleri dikkate alır.

Çeşitli kaynaklardan gelen sinyalleri toplayarak Sıfır Güven ilke altyapısı olarak Koşullu Erişim'i gösteren diyagram.

Bu sinyaller şunlardır:

  • Kullanıcı veya grup üyeliği
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara ve gruplara hedeflenebilir.
  • IP Konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek güvenilir IP adresi aralıkları oluşturabilir.
    • Yöneticiler, trafiğin engellenmesi veya trafiğe izin verilmesi için ülke/bölge IP aralıklarının tamamını belirtebilir.
  • Aygıt
    • Koşullu Erişim ilkeleri uygulanırken belirli platformlara sahip veya belirli bir durumla işaretlenmiş cihazlara sahip kullanıcılar kullanılabilir.
    • İlkeleri ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara hedeflemek için cihazlar için filtreler kullanın.
  • Uygulama
    • Belirli uygulamalara erişmeye çalışan kullanıcılar farklı Koşullu Erişim ilkelerini tetikleyebilir.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Microsoft Entra Kimlik Koruması ile sinyal tümleştirmesi, Koşullu Erişim ilkelerinin riskli kullanıcıları tanımlamasına ve düzeltmesine ve oturum açma davranışını düzeltmesine olanak tanır.
  • Bulut için Microsoft Defender Uygulamaları
    • Kullanıcı uygulaması erişiminin ve oturumlarının gerçek zamanlı olarak izlenmesine ve denetlenmeye olanak tanır. Bu tümleştirme, bulut ortamınızda yapılan erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Ortak kararlar

  • Erişimi engelle
    • En kısıtlayıcı karar
  • Erişim izni verme
    • Daha az kısıtlayıcı bir karar, aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilir:
      • Çok faktörlü kimlik doğrulaması gerektir
      • Kimlik doğrulaması gücü gerektir
      • Cihazın uyumlu olarak işaretlenmesini gerektir
      • Microsoft Entra karma birleştirilmiş cihazı gerektir
      • Onaylı istemci uygulaması gerektir
      • Uygulama koruma ilkesi gerektir
      • Parola değişikliği gerektir
      • Kullanım koşullarını zorunlu k

Yaygın olarak uygulanan ilkeler

Birçok kuruluşun, Koşullu Erişim ilkelerinin yardımcı olabileceği yaygın erişim endişeleri vardır:

  • Yönetici rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açma işlemleri engelleniyor
  • Güvenlik bilgileri kaydı için güvenilen konumlar gerektirme
  • Belirli konumlardan erişimi engelleme veya verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme

Yöneticiler sıfırdan ilke oluşturabilir veya portaldaki bir şablon ilkesinden veya Microsoft Graph API'sini kullanarak başlayabilir.

Yönetici deneyimi

Koşullu Erişim Yöneticisi rolüne sahip yöneticiler ilkeleri yönetebilir.

Koşullu Erişim, Microsoft Entra yönetim merkezinde Koruma>Koşullu Erişim altında bulunur.

Koşullu Erişim'e genel bakış sayfasının ekran görüntüsü.

  • Genel Bakış sayfası, ilke durumu, kullanıcılar, cihazlar ve uygulamaların yanı sıra öneriler içeren genel ve güvenlik uyarılarının özetini sağlar.
  • Kapsam sayfası, son yedi gün içinde Koşullu Erişim ilkesi kapsamı olan ve olmayan uygulamaların özetini sağlar.
  • İzleme sayfası, yöneticilerin ilke kapsamındaki olası boşlukları görmek için filtrelenebilen oturum açma grafiklerini görmelerini sağlar.

İlkeler sayfasındaki Koşullu Erişim ilkeleri, yöneticiler tarafından aktör, hedef kaynak, koşul, uygulanan denetim, durum veya tarih gibi öğelere göre filtrelenebilir. Bu filtreleme özelliği, yöneticilerin yapılandırmalarına göre belirli ilkeleri hızlı bir şekilde bulmasını sağlar.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.

Microsoft 365 İş Ekstra lisansı olan müşteriler de Koşullu Erişim özelliklerine erişebilir.

Risk tabanlı ilkeler, P2 lisansları gerektiren Microsoft Entra Kimlik Koruması erişimi gerektirir.

Koşullu Erişim ilkeleriyle etkileşim kuran diğer ürün ve özellikler, bu ürün ve özellikler için uygun lisanslama gerektirir.

Koşullu Erişim için gereken lisansların süresi dolduğunda ilkeler otomatik olarak devre dışı bırakılmaz veya silinmez. Bu, müşterilere güvenlik duruşlarında ani bir değişiklik olmadan Koşullu Erişim ilkelerinden geçiş yapma olanağı sağlar. Kalan ilkeler görüntülenebilir ve silinebilir, ancak artık güncelleştirilemez.

Güvenlik varsayılanları kimlikle ilgili saldırılara karşı korunmaya yardımcı olur ve tüm müşteriler tarafından kullanılabilir.

Sıfır Güven

Bu özellik, kuruluşların kimliklerini Sıfır Güven mimarisinin üç temel ilkesiyle uyumlu hale getirmelerine yardımcı olur:

  • Açıkça doğrula
  • En az ayrıcalık kullan
  • İhlal varsay

Sıfır Güven ve kuruluşunuzu kılavuz ilkelere hizalamanın diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.

Sonraki adımlar