kimlik ve cihaz erişim yapılandırmalarını Sıfır Güven

Günümüzün iş gücü, geleneksel kurumsal ağ sınırlarının ötesinde mevcut olan uygulamalara ve kaynaklara erişim gerektirir. Kaynaklara erişimi yalıtmak ve kısıtlamak için ağ güvenlik duvarlarını ve sanal özel ağları (VPN) kullanan güvenlik mimarileri artık yeterli değildir.

Microsoft, bu yeni bilgi işlem dünyasına değinmek için şu yol gösterici ilkeleri temel alan Sıfır Güven güvenlik modelini kesinlikle önerir:

  • Açıkça doğrula: Her zaman tüm kullanılabilir veri noktalarına göre kimlik doğrulaması ve yetkilendirme. Bu doğrulama, Sıfır Güven kimlik ve cihaz erişim ilkelerinin oturum açma ve devam eden doğrulama açısından kritik öneme sahip olduğu yerdir.
  • En az ayrıcalık erişimi kullan: Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
  • İhlal olduğunu varsay: Patlama yarıçapını ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

Sıfır Güven genel mimarisi aşağıdadır:

Microsoft Sıfır Güven mimarisini gösteren diyagram.

Sıfır Güven kimlik ve cihaz erişim ilkeleri Aşağıdakileri için açıkça yol gösteren ilkeyi doğrulayın:

  • Kimlikler: Kimlik bir kaynağa erişmeye çalıştığında, güçlü kimlik doğrulamasıyla kimliği doğrulayın ve istenen erişimin uyumlu ve tipik olduğundan emin olun.
  • Cihazlar (uç nokta olarak da adlandırılır): Güvenli erişim için cihaz sistem durumu ve uyumluluk gereksinimlerini izleyin ve uygulayın.
  • Uygulamalar: Aşağıdakilere denetimler ve teknolojiler uygulayın:
    • Uygun uygulama içi izinlerden emin olun.
    • Gerçek zamanlı analize göre erişimi denetleme.
    • Anormal davranışları izleme
    • Kullanıcı eylemlerini denetleme.
    • Güvenli yapılandırma seçeneklerini doğrulayın.

Bu makale serisinde Microsoft Entra ID, Koşullu Erişim, Microsoft Intune ve diğer özellikleri kullanan bir dizi kimlik ve cihaz erişim yapılandırması ve ilkesi açıklanmaktadır. Bu yapılandırmalar ve ilkeler, Microsoft Entra uygulama ara sunucusuyla yayımlanan kurumsal bulut uygulamaları ve hizmetleri, diğer SaaS hizmetleri ve şirket içi uygulamalar için Microsoft 365'e Sıfır Güven erişim sağlar.

Sıfır Güven kimlik ve cihaz erişim ayarları ve ilkeleri üç katmanda önerilir:

  • Başlangıç noktası.
  • Kuruluş.
  • Yüksek düzeyde düzenlenmiş veya sınıflandırılmış verilere sahip ortamlar için özel güvenlik.

Bu katmanlar ve bunlara karşılık gelen yapılandırmalar verileriniz, kimlikleriniz ve cihazlarınız arasında tutarlı Sıfır Güven koruma düzeyleri sağlar. Bu özellikler ve bunların önerileri:

Kuruluşunuzun benzersiz gereksinimleri veya karmaşıklıkları varsa bu önerileri başlangıç noktası olarak kullanın. Ancak çoğu kuruluş bu önerileri öngörüldüğü gibi uygulayabilir.

Kuruluş için Microsoft 365'e yönelik kimlik ve cihaz erişim yapılandırmalarına hızlı bir genel bakış için bu videoyu izleyin.

Not

Microsoft, Office 365 abonelikleri için Enterprise Mobility + Security (EMS) lisansları da satar. EMS E3 ve EMS E5 özellikleri, Microsoft 365 E3 ve Microsoft 365 E5'tekilerle eşdeğerdir. Daha fazla bilgi için bkz . EMS planları.

Hedef kitle

Bu öneriler, Microsoft 365 bulut üretkenliği ve güvenlik hizmetleri hakkında bilgi sahibi olan kurumsal mimarlara ve BT uzmanlarına yöneliktir. Bu hizmetler Microsoft Entra Id (kimlik), Microsoft Intune (cihaz yönetimi) ve Microsoft Purview Bilgi Koruması (veri koruması) içerir.

Müşteri ortamı

Önerilen ilkeler, hem tamamen Microsoft bulutu içinde çalışan kurumsal kuruluşlar hem de karma kimlik altyapısına sahip müşteriler için geçerlidir. Karma kimlik yapısı, Microsoft Entra Id ile eşitlenmiş bir şirket içi Active Directory ormanıdır.

Önerilerimizin çoğu yalnızca aşağıdaki lisanslarla kullanılabilen hizmetlere dayanır:

  • Microsoft 365 E5.
  • E5 Güvenliği eklentisi ile Microsoft 365 E3.
  • EMS E5.
  • Microsoft Entra Id P2 lisansları.

Bu lisanslara sahip olmayan kuruluşlar için en azından tüm Microsoft 365 planlarına dahil olan güvenlik varsayılanlarını uygulamanızı öneririz.

Uyarılar

Kuruluşunuz, bu önerilen yapılandırmalardan ayrılan ilkeler uygulamanızı gerektiren belirli öneriler de dahil olmak üzere mevzuat veya diğer uyumluluk gereksinimlerine tabi olabilir. Bu yapılandırmalar, geçmişte kullanılamamış kullanım denetimlerini önerir. Güvenlik ve üretkenlik arasındaki dengeyi temsil ettiklerine inandığımız için bu denetimleri öneririz.

Çok çeşitli kuruluş koruma gereksinimlerini hesaba eklemek için elimizden geleni yaptık, ancak tüm olası gereksinimleri veya kuruluşunuzun tüm benzersiz yönlerini hesaba aktaramadık.

Üç koruma düzeyi

Çoğu kuruluşun güvenlik ve veri korumayla ilgili özel gereksinimleri vardır. Bu gereksinimler sektör segmentlerine ve kuruluşlardaki iş işlevlerine göre farklılık gösterir. Örneğin, hukuk departmanınız ve yöneticileriniz, diğer iş birimleri için gerekli olmayan e-posta yazışmaları etrafında ek güvenlik ve bilgi koruma denetimleri gerektirebilir.

Her endüstrinin kendi özel düzenlemeleri de vardır. Tüm olası güvenlik seçeneklerinin listesini veya sektör segmenti veya iş işlevi başına öneri sağlamaya çalışmıyoruz. Bunun yerine, gereksinimlerinizin ayrıntı düzeyine göre uygulanabilecek üç güvenlik ve koruma düzeyi için öneriler sağlıyoruz.

  • Başlangıç noktası: Tüm müşterilerin hem verileri hem de verilerinize erişen kimlikleri ve cihazları korumak için en düşük standardı oluşturmasını ve kullanmasını öneririz. Tüm kuruluşlar için başlangıç noktası olarak güçlü bir varsayılan koruma sağlamak için bu önerileri izleyebilirsiniz.
  • Kurumsal: Bazı müşteriler, daha yüksek düzeylerde korunması gereken bir veri alt kümesine sahiptir veya tüm verilerin daha yüksek bir düzeyde korunması gerekir. Microsoft 365 ortamınızdaki tüm veya belirli veri kümelerine daha fazla koruma uygulayabilirsiniz. Hassas verilere erişen kimlikleri ve cihazları benzer güvenlik düzeyleriyle korumanızı öneririz.
  • Özel güvenlik: Gerektiğinde, birkaç müşteri yüksek oranda sınıflandırılmış, ticari gizli diziler oluşturan veya düzenlenen az miktarda veriye sahiptir. Microsoft, bu müşterilerin kimlikler ve cihazlar için ek koruma dahil olmak üzere bu gereksinimleri karşılamasına yardımcı olacak özellikler sağlar.

Müşteri aralığını gösteren Güvenlik konisinin ekran görüntüsü.

Bu kılavuz, bu koruma düzeylerinin her biri için kimlikler ve cihazlar için Sıfır Güven korumanın nasıl uygulanabileceğinizi gösterir. Bu kılavuzu kuruluşunuz için en düşük düzeyde kullanın ve ilkeleri kuruluşunuzun özel gereksinimlerini karşılayacak şekilde ayarlayın.

Kimlikleriniz, cihazlarınız ve verileriniz arasında tutarlı koruma düzeyleri kullanmanız önemlidir. Örneğin, yöneticiler, liderler, yöneticiler ve diğerleri gibi öncelikli hesapları olan kullanıcılar için koruma, kimlikleri, cihazları ve eriştirdikleri veriler için aynı koruma düzeyini içermelidir.

Ayrıca, Microsoft 365'te depolanan bilgileri korumak için veri gizliliği düzenlemeleri için bilgi koruması dağıtma çözümüne bakın.

Güvenlik ve üretkenlik dengeleri

Herhangi bir güvenlik stratejisinin uygulanması, güvenlik ve üretkenlik arasında dengeyi sağlamayı gerektirir. Her kararın güvenlik, işlevsellik ve kullanım kolaylığı dengesini nasıl etkilediğini değerlendirmek yararlı olur.

Güvenlik triad dengeleme güvenliği, işlevselliği ve kullanım kolaylığı

Sağlanan öneriler aşağıdaki ilkeleri temel alır:

  • Kullanıcılarınızı tanıyıp güvenlik ve işlevsel gereksinimlerine karşı esnek olun.
  • Bir güvenlik ilkesini tam zamanında uygulayın ve bunun anlamlı olduğundan emin olun.

Sıfır Güven kimlik ve cihaz erişim korumasına yönelik hizmetler ve kavramlar

Kuruluş için Microsoft 365, büyük kuruluşlara herkesin yaratıcı olmasını ve güvenli bir şekilde birlikte çalışmasını sağlamak için tasarlanmıştır.

Bu bölümde, Sıfır Güven kimlik ve cihaz erişimi için önemli olan Microsoft 365 hizmetlerine ve özelliklerine genel bir bakış sağlanmaktadır.

Microsoft Entra Kimlik

Microsoft Entra ID, tam kapsamlı bir kimlik yönetimi özellikleri sunar. Erişimin güvenliğini sağlamak için bu özellikleri kullanmanızı öneririz.

Yetenek veya özellik Açıklama Lisanslama
Çok faktörlü kimlik doğrulaması (MFA) MFA, kullanıcıların kullanıcı parolası ve Microsoft Authenticator uygulamasından gelen bildirim veya telefon araması gibi iki doğrulama biçimi sağlamasını gerektirir. MFA, çalınan kimlik bilgilerinin ortamınıza erişmek için kullanılabilmesi riskini büyük ölçüde azaltır. Microsoft 365, MFA tabanlı oturum açma işlemleri için Microsoft Entra çok faktörlü kimlik doğrulama hizmetini kullanır. Microsoft 365 E3 veya E5
Koşullu Erişim Microsoft Entra Id, kullanıcı oturum açma koşullarını değerlendirir ve izin verilen erişimi belirlemek için Koşullu Erişim ilkelerini kullanır. Örneğin, bu kılavuzda hassas verilere erişim için cihaz uyumluluğu gerektiren bir Koşullu Erişim ilkesinin nasıl oluşturulacağını gösteririz. Bu, kendi cihazına ve çalınan kimlik bilgilerine sahip bir korsanın hassas verilerinize erişme riskini büyük ölçüde azaltır. Ayrıca cihazlardaki hassas verileri de korur çünkü cihazların sistem durumu ve güvenliği için belirli gereksinimleri karşılaması gerekir. Microsoft 365 E3 veya E5
Microsoft Entra grupları Koşullu Erişim ilkeleri, Intune ile cihaz yönetimi ve hatta kuruluşunuzdaki dosya ve sitelere yönelik izinler, kullanıcı hesaplarına veya Microsoft Entra gruplarına atamayı gerektirir. Uyguladığınız koruma düzeylerine karşılık gelen Microsoft Entra grupları oluşturmanızı öneririz. Örneğin, yönetici personeliniz büyük olasılıkla bilgisayar korsanları için daha yüksek değer hedefleridir. Bu nedenle, bu çalışanların kullanıcı hesaplarını bir Microsoft Entra grubuna eklemek ve bu grubu Koşullu Erişim ilkelerine ve erişim için daha yüksek koruma düzeyi uygulayan diğer ilkelere atamak mantıklıdır. Microsoft 365 E3 veya E5
Cihaz kaydı Cihaz için bir kimlik oluşturmak üzere bir cihazı Microsoft Entra Id'ye kaydedersiniz. Bu kimlik, kullanıcı oturum açtığında cihazın kimliğini doğrulamak ve etki alanına katılmış veya uyumlu bilgisayarlar gerektiren Koşullu Erişim ilkeleri uygulamak için kullanılır. Bu kılavuz için, etki alanına katılmış Windows bilgisayarlarını otomatik olarak kaydetmek için cihaz kaydını kullanırız. Cihaz kaydı, Cihazları Intune ile yönetmek için bir önkoşuldur. Microsoft 365 E3 veya E5
Microsoft Entra Kimlik Koruması Kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılamanıza ve otomatik düzeltme ilkesini düşük, orta ve yüksek oturum açma riskine ve kullanıcı riskine yapılandırmanıza olanak tanır. Bu kılavuz, çok faktörlü kimlik doğrulaması için Koşullu Erişim ilkelerini uygulamak için bu risk değerlendirmesine dayanır. Bu kılavuz, kullanıcıların hesapları için yüksek riskli etkinlik algılanırsa parolalarını değiştirmelerini gerektiren bir Koşullu Erişim ilkesi de içerir. E5 Güvenlik eklentisi, EMS E5 veya Microsoft Entra ID P2 lisansları ile Microsoft 365 E5, Microsoft 365 E3
Self servis parola sıfırlama (SSPR) Yöneticinin denetleyebileceği birden çok kimlik doğrulama yönteminin doğrulanmasını sağlayarak kullanıcılarınızın parolalarını güvenli bir şekilde ve yardım masası müdahalesi olmadan sıfırlamasına izin verin. Microsoft 365 E3 veya E5
Microsoft Entra parola koruması Bilinen zayıf parolaları ve bunların değişkenlerini ve kuruluşunuza özgü ek zayıf terimleri algılayın ve engelleyin. Varsayılan genel yasaklanmış parola listeleri, Bir Microsoft Entra kiracısında tüm kullanıcılara otomatik olarak uygulanır. Özel yasaklanmış parola listesinde ek girdiler tanımlayabilirsiniz. Kullanıcılar parolalarını değiştirdiğinde veya sıfırladığında, bu yasaklanmış parola listeleri güçlü parolaların kullanılmasını zorunlu kılmak için denetlenir. Microsoft 365 E3 veya E5

Intune ve Microsoft Entra nesneleri, ayarları ve alt hizmetleri dahil olmak üzere Sıfır Güven kimlik ve cihaz erişiminin bileşenleri aşağıdadır.

Sıfır Güven kimliği ve cihaz erişiminin bileşenleri

Microsoft Intune

Intune , Microsoft'un bulut tabanlı mobil cihaz yönetimi hizmetidir. Bu kılavuz, Intune ile Windows bilgisayarlarının cihaz yönetimini ve cihaz uyumluluk ilkesi yapılandırmalarını önerir. Intune, cihazların uyumlu olup olmadığını belirler ve bu verileri Koşullu Erişim ilkeleri uygularken kullanmak üzere Microsoft Entra Id'ye gönderir.

Intune uygulama koruması

Intune uygulama koruma ilkeleri, cihazları yönetime kaydederek veya kaydetmeden mobil uygulamalarda kuruluşunuzun verilerini korumak için kullanılabilir. Intune bilgilerin korunmasına yardımcı olur, çalışanlarınızın üretken olmaya devam etmesini sağlar ve veri kaybını önler. Uygulama düzeyinde ilkeler uygulayarak şirket kaynaklarına erişimi kısıtlayabilir ve verileri BT departmanınızın denetiminde tutabilirsiniz.

Bu kılavuzda, onaylı uygulamaların kullanımını zorunlu kılmak ve bu uygulamaların iş verilerinizle nasıl kullanılabileceğini belirlemek için önerilen ilkelerin nasıl oluşturulacağı gösterilir.

Microsoft 365

Bu kılavuz, Microsoft Teams, Exchange, SharePoint ve OneDrive gibi Microsoft 365 bulut hizmetlerine erişimi korumak için bir dizi ilkenin nasıl uygulandığını gösterir. Bu ilkeleri uygulamaya ek olarak, şu kaynakları kullanarak kiracınız için koruma düzeyini yükseltmenizi öneririz:

Kurumlar için Microsoft 365 Uygulamaları ile Windows 11 veya Windows 10

Kurumlar için Microsoft 365 Uygulamaları ile Windows 11 veya Windows 10, bilgisayarlar için önerilen istemci ortamıdır. Microsoft Entra hem şirket içi hem de Microsoft Entra kimliği için mümkün olan en sorunsuz deneyimi sağlamak üzere tasarlandığından Windows 11 veya Windows 10'u öneririz. Windows 11 veya Windows 10, Intune aracılığıyla yönetilebilen gelişmiş güvenlik özellikleri de içerir. Kurumlar için Microsoft 365 Uygulamaları, Office uygulaması lications'ın en son sürümlerini içerir. Bunlar, daha güvenli ve Koşullu Erişim için bir gereksinim olan modern kimlik doğrulamasını kullanır. Bu uygulamalar gelişmiş uyumluluk ve güvenlik araçlarını da içerir.

Bu özellikleri üç koruma düzeyine uygulama

Aşağıdaki tabloda, bu özelliklerin üç koruma düzeyinde kullanılmasına yönelik önerilerimiz özetlemektedir.

Koruma mekanizması Başlangıç noktası Kurumsal Özel güvenlik
MFA'yı zorunlu kılma Orta veya daha yüksek oturum açma riskinde Düşük veya daha yüksek oturum açma riskinde Tüm yeni oturumlarda
Parola değişikliğini zorunlu kılma Yüksek riskli kullanıcılar için Yüksek riskli kullanıcılar için Yüksek riskli kullanıcılar için
Intune uygulama korumasını zorunlu kılma Yes Evet Yes
Kuruluşa ait cihaz için Intune kaydını zorunlu kılma Uyumlu veya etki alanına katılmış bir bilgisayar iste, ancak kendi cihazlarını getir (KCG) telefonlara ve tabletlere izin ver Uyumlu veya etki alanına katılmış bir cihaz gerektirme Uyumlu veya etki alanına katılmış bir cihaz gerektirme

Cihaz sahipliği

Yukarıdaki tablo, birçok kuruluşun kuruluşa ait cihazların bir karışımını ve iş gücü genelinde mobil üretkenliği sağlamak için kişisel veya KCG'leri destekleme eğilimini yansıtır. Intune uygulama koruma ilkeleri, e-postanın hem kuruluşa ait cihazlarda hem de BYOD'lerde Outlook mobil uygulamasından ve diğer Office mobil uygulamalarından dışarı sızmaya karşı korunmasını sağlar.

Ek korumalar ve denetim uygulamak için kuruluşa ait cihazların Intune tarafından yönetilmesini veya etki alanına katılmasını öneririz. Veri duyarlılığına bağlı olarak, kuruluşunuz belirli kullanıcı popülasyonları veya belirli uygulamalar için BYOD'lere izin vermemeyi seçebilir.

Dağıtım ve uygulamalarınız

Microsoft Entra tümleşik uygulamalarınız için Sıfır Güven kimlik ve cihaz erişim yapılandırmasını yapılandırmadan ve dağıtmadan önce şunları yapmalısınız:

  • Kuruluşunuzda hangi uygulamaları kullanmak istediğinize karar verin.

  • Uygun koruma düzeylerini sağlayan ilke kümelerini belirlemek için bu uygulama listesini analiz edin.

    Her uygulama için ayrı ilke kümeleri oluşturmamalısınız çünkü bunların yönetimi zahmetli hale gelebilir. Microsoft, aynı kullanıcılar için aynı koruma gereksinimlerine sahip uygulamalarınızı gruplandırmanızı önerir.

    Örneğin, başlangıç noktası koruması için tüm kullanıcılar için tüm Microsoft 365 uygulamalarını içeren bir ilke kümesine sahip olun. İnsan kaynakları veya finans departmanları tarafından kullanılanlar gibi tüm hassas uygulamalar için ikinci bir ilke kümesine sahip olun ve bunları bu gruplara uygulayın.

Güvenli hale getirmek istediğiniz uygulamalar için ilke kümesini belirledikten sonra, ilkeleri kullanıcılara artımlı olarak dağıtın ve bu aradaki sorunları giderin. Örneğin:

  1. Tüm Microsoft 365 uygulamaları için kullanmayı planladığınız ilkeleri yapılandırın.
  2. Gerekli değişiklikleriyle yalnızca Exchange ekleyin, ilkeleri kullanıcılara dağıtın ve tüm sorunları çözebilirsiniz.
  3. Teams'i gerekli değişiklikleriyle ekleyin, ilkeleri kullanıcılara dağıtın ve tüm sorunları çözebilirsiniz.
  4. SharePoint'i gerekli değişiklikleriyle ekleyin, ilkeleri kullanıcılara dağıtın ve tüm sorunları çözebilirsiniz.
  5. Bu başlangıç noktası ilkelerini tüm Microsoft 365 uygulamalarını içerecek şekilde güvenle yapılandırana kadar kalan uygulamalarınızı eklemeye devam edin.

Benzer şekilde, hassas uygulamalarınız için ilke kümesini oluşturun ve her seferinde bir uygulama ekleyin. Tümü hassas uygulama ilkesi kümesine dahil edilene kadar tüm sorunları inceleyin.

Microsoft, bazı istenmeyen yapılandırmalara neden olabileceği için tüm uygulamalara uygulanan ilke kümeleri oluşturmamanızı önerir. Örneğin, tüm uygulamaları engelleyen ilkeler yöneticilerinizi Microsoft Entra yönetim merkezinden kilitleyebilir ve Microsoft Graph gibi önemli uç noktalar için dışlamalar yapılandırılamaz.

Sıfır Güven kimlik ve cihaz erişimini yapılandırma adımları

Sıfır Güven kimlik ve cihaz erişimini yapılandırma adımları

  1. Önkoşul kimlik özelliklerini ve ayarlarını yapılandırın.
  2. Ortak kimliği yapılandırın ve Koşullu Erişim ilkelerine erişin.
  3. Konuk ve dış kullanıcılar için Koşullu Erişim ilkelerini yapılandırın.
  4. Microsoft Teams, Exchange ve SharePoint gibi Microsoft 365 bulut uygulamaları ve Bulut için Microsoft Defender Uygulamaları ilkeleri için Koşullu Erişim ilkelerini yapılandırın.

kimlik ve cihaz erişimini Sıfır Güven yapılandırdıktan sonra, dikkate alınacak ek özelliklerin aşamalı denetim listesi için Microsoft Entra özellik dağıtım kılavuzuna bakın ve erişimi korumak, izlemek ve denetlemek için Microsoft Entra Kimlik Yönetimi.

Sonraki adım

Sıfır Güven kimlik ve cihaz erişim ilkelerini uygulamak için önkoşul çalışması