Koşullu Erişim nedir?

  • Makale
  • Okumak için 2 dakika

Modern güvenlik çevresi artık kullanıcı ve cihaz kimliğini içerecek şekilde kuruluşun ağını aşıyor. Kuruluşlar, erişim denetimi kararlarının bir parçası olarak kimlik temelli sinyalleri kullanabilir.

Koşullu Erişim, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir. Azure AD Koşullu Erişim, yeni kimlik temelli denetim düzleminin merkezindedir.

Kavramsal Koşullu sinyal artı zorlama alma kararı

Koşullu Erişim ilkeleri en basitleri if-then deyimleridir. Kullanıcı bir kaynağa erişmek istiyorsa bir eylemi tamamlaması gerekir. Örnek: Bordro yöneticisi bordro uygulamasına erişmek ister ve bu uygulamaya erişmek için çok faktörlü kimlik doğrulaması yapması gerekir.

Yöneticiler iki birincil hedefle karşı karşıyadır:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlama
  • Kuruluşun varlıklarını koruma

Kuruluşunuzun güvenliğini sağlamak için gerektiğinde doğru erişim denetimlerini uygulamak için Koşullu Erişim ilkelerini kullanın.

Kavramsal Koşullu Erişim işlem akışı

Önemli

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olmak üzere tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Yaygın sinyaller

Koşullu Erişim'in ilke kararı alırken dikkate alabildiği yaygın sinyaller aşağıdaki sinyalleri içerir:

  • Kullanıcı veya grup üyeliği
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcılara ve gruplara hedeflenebilir.
  • IP Konumu bilgileri
    • Kuruluşlar, ilke kararları alırken kullanılabilecek güvenilir IP adresi aralıkları oluşturabilir.
    • Yöneticiler trafiği engellemek veya trafiğe izin vermek için tüm ülkelerin/bölgelerin IP aralıklarını belirtebilir.
  • Cihaz
    • Belirli platformlara sahip cihazlara sahip veya belirli bir durumla işaretlenmiş kullanıcılar, Koşullu Erişim ilkeleri uygulanırken kullanılabilir.
    • ayrıcalıklı erişim iş istasyonları gibi belirli cihazlara ilke hedeflemek için cihazlar için filtreler kullanın.
  • Uygulama
    • Belirli uygulamalara erişmeye çalışan kullanıcılar farklı Koşullu Erişim ilkelerini tetikleyebilir.
  • Gerçek zamanlı ve hesaplanan risk algılama
    • Azure AD Kimlik Koruması ile sinyal tümleştirmesi, Koşullu Erişim ilkelerinin riskli oturum açma davranışını tanımlamasına olanak tanır. İlkeler daha sonra kullanıcıları parolalarını değiştirmeye, risk düzeylerini azaltmak için çok faktörlü kimlik doğrulaması yapmaya veya yönetici el ile eyleme geçene kadar erişimi engellemeye zorlayabilir.
  • Microsoft Defender for Cloud Apps
    • Kullanıcı uygulaması erişiminin ve oturumlarının gerçek zamanlı olarak izlenip denetlenerek bulut ortamınızda yapılan erişim ve etkinlikler üzerinde görünürlüğü ve denetimi artırır.

Yaygın kararlar

  • Erişimi engelleme
    • En kısıtlayıcı karar
  • Erişim verme
    • En az kısıtlayıcı karar, yine de aşağıdaki seçeneklerden birini veya daha fazlasını gerektirebilir:
      • Çok faktörlü kimlik doğrulaması gerektirme
      • Cihazın uyumlu olarak işaretlenmesini gerektir
      • Karma Azure AD birleştirilmiş cihaz gerektirme
      • Onaylı istemci uygulaması gerektir
      • Uygulama koruma ilkesi iste (önizleme)

Yaygın olarak uygulanan ilkeler

Birçok kuruluşun , Koşullu Erişim ilkelerinin yardımcı olabileceği yaygın erişim endişeleri vardır:

  • Yönetim rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
  • Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açmaları engelleme
  • Azure AD Multi-Factor Authentication kaydı için güvenilen konumlar gerektirme
  • Belirli konumlardan erişim engelleme veya erişim verme
  • Riskli oturum açma davranışlarını engelleme
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme

Lisans gereksinimleri

Bu özelliği kullanmak için Azure AD Premium P1 lisansı gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Azure AD genel kullanıma sunulan özelliklerini karşılaştırma.

Microsoft 365 İş Ekstra lisansı olan müşteriler de Koşullu Erişim özelliklerine erişebilir.

Risk tabanlı ilkeler, bir Azure AD P2 özelliği olan Kimlik Koruması'na erişim gerektirir.

Koşullu Erişim ilkeleriyle etkileşim kurabilecek diğer ürün ve özellikler, bu ürün ve özellikler için uygun lisanslama gerektirir.

Sonraki adımlar