Koşullu Erişim nedir?What is Conditional Access?

Bulutu kullanan kuruluşlar için en önemli konu güvenliktir.Security is a top concern for organizations using the cloud. Bulut kaynaklarınızı yönetmek söz konusu olduğunda, bulut güvenliğinin temel etmenlerinden biri güvenlik ve kimliktir.A key aspect of cloud security is identity and access when it comes to managing your cloud resources. Mobil ve bulut öncelikli bir dünyada kullanıcılar, kuruluşunuzun kaynaklarına erişmek için farklı konumlardan farklı cihazlar ve uygulamalar kullanabilir.In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. Bunun sonucunda artık yalnızca bir kaynağa erişim sağlayabilecek kullanıcılara odaklanmak yeterli değildir.As a result of this, just focusing on who can access a resource is not sufficient anymore. Güvenlik ve üretkenlik arasındaki dengeyi kurmak için, erişim denetimi kararı sırasında bir kaynağa erişim şeklini de dikkate almanız gerekir.To master the balance between security and productivity, you also need to factor how a resource is accessed into an access control decision. Azure Active Directory (Azure AD) koşullu erişim ile bu gereksinimleri karşılayabilirsiniz.With Azure Active Directory (Azure AD) Conditional Access, you can address this requirement. Koşullu erişim, Azure Active Directory için kullanılan bir özelliktir.Conditional Access is a capability of Azure Active Directory. Koşullu erişimle koşullara göre bulut uygulamalarınıza erişen için otomatik erişim denetimi kararları uygulayabilirsiniz.With Conditional Access, you can implement automated access control decisions for accessing your cloud apps that are based on conditions.

Koşullu erişim ilkeleri, ilk-faktörlü kimlik doğrulaması tamamlandıktan sonra uygulanır.Conditional Access policies are enforced after the first-factor authentication has been completed. Bu nedenle, koşullu erişim, hizmet reddi (DoS) saldırıları gibi senaryolar için ilk satırı savunma olarak tasarlanmamıştır, ancak bu olaylar (örneğin, oturum açma risk düzeyini, konum isteği ve benzeri) gelen sinyalleri erişimini belirlemek için kullanabilir.Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

Denetim

Bu makalede, Azure AD'de ile koşullu erişim kavramsal genel bakış sunulmaktadır.This article provides you with a conceptual overview of Conditional Access in Azure AD.

Genel senaryolarCommon scenarios

Mobil ve bulut öncelikli bir dünyada Azure Active Directory cihazlarda, uygulamalarda ve hizmetlerde tüm konumlardan çoklu oturum açma özelliğinin kullanılmasını sağlar.In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. Cihaz kullanımı (KCG dahil), kuruluş ağı dışında çalışma ve üçüncü taraf SaaS uygulamaları arttıkça iki hedefle karşılaşırsınız:With the proliferation of devices (including BYOD), work off corporate networks, and third-party SaaS apps, you are faced with two opposing goals:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlamaEmpower users to be productive wherever and whenever
  • Kuruluş varlıklarını her zaman koruma altında tutmaProtect the corporate assets at any time

Koşullu erişim ilkelerini kullanarak, gerekli koşullar altında doğru erişim denetimlerini uygulayabilirsiniz.By using Conditional Access policies, you can apply the right access controls under the required conditions. Azure AD koşullu erişim, değilken, kullanıcınızın şekilde dışında kalır ve gerekli ek güvenlik sağlar.Azure AD Conditional Access provides you with added security when needed and stays out of your user’s way when it isn’t.

Koşullu erişim ile yardımcı olabilecek bazı genel erişim konuları aşağıda verilmiştir:Following are some common access concerns that Conditional Access can help you with:

  • Oturum açma riski : Azure AD kimlik koruması, oturum açma riskleri algılar.Sign-in risk: Azure AD Identity Protection detects sign-in risks. Oturum açma riskinin kötü niyetli bir kullanıcıyı işaret ettiği durumda erişimi nasıl sınırlarsınız?How do you restrict access if a detected sign-in risk indicates a bad actor? Oturumun açma işleminin doğru kullanıcı tarafından gerçekleştirilmiş olduğuna dair daha kuvvetli bir kanıta ihtiyaç duyarsanız ne olur?What if you would like to get stronger evidence that a sign-in was performed by the legitimate user? Şüpheleriniz, belirli kullanıcıların bir uygulamaya erişimini engelleyecek kadar kuvvetliyse ne yapmalısınız?What if your doubts are strong enough to even block specific users from accessing an app?
  • Ağ konumu : Azure AD her yerden erişilebilir.Network location: Azure AD is accessible from anywhere. BT departmanınızın denetimi altında olmayan bir ağ konumundan erişim girişimi gerçekleştirilirse ne olur?What if an access attempt is performed from a network location that is not under the control of your IT department? Kullanıcı adı ve parola bileşimi, kuruluş ağınızdan yapılan erişim denemelerinde kimliğinizi kanıtlamaya yeterli olabilir.A username and password combination might be good enough as proof of identity for access attempts from your corporate network. Peki dünya üzerindeki diğer beklenmeyen ülkelerden veya bölgelerden başlatılan erişim girişimleri için daha kuvvetli bir kimlik kanıtına ihtiyaç duyuyorsanız?What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? Belirli konumlardan erişim girişimlerini tamamen engellemek isterseniz ne yapmalısınız?What if you even want to block access attempts from certain locations?
  • Cihaz Yönetimi : Azure AD'de, bulut uygulamaları dahil olmak üzere mobil cihazları hem de kişisel cihazları geniş aralığından kullanıcılar erişebilir.Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. Peki ya erişim denemelerinin yalnızca BT departmanınız tarafından yönetilen cihazlardan gerçekleştirilmesini isterseniz?What if you demand that access attempts should only be performed with devices that are managed by your IT department? Peki ya belirli cihaz türlerinin ortamınızdaki bulut uygulamalarına erişmesini engellemek isterseniz?What if you even want to block certain device types from accessing cloud apps in your environment?
  • İstemci uygulaması : Günümüzde, çok sayıda bulut uygulamaları, web tabanlı uygulamalar, mobil uygulamalar ve Masaüstü uygulamaları gibi farklı uygulama türlerini kullanarak erişebilirsiniz.Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. Peki bilinen sorunlara yol açan türde bir istemci uygulaması kullanılarak erişim girişimi gerçekleştirilirse ne olur?What if an access attempt is performed using a client app type that causes known issues? Belirli uygulama türleri için BT departmanınız tarafından yönetilen bir cihazı şart koşmak istiyorsanız ne yapmalısınız?What if you require a device that is managed by your IT department for certain app types?

Bu soruları ve yanıtları ilgili genel erişim senaryoları için Azure AD koşullu erişim temsil eder.These questions and the related answers represent common access scenarios for Azure AD Conditional Access. Koşullu erişim, ilke tabanlı bir yaklaşım kullanarak erişimi senaryoları işlemenizi sağlayan Azure Active Directory için kullanılan bir özelliktir.Conditional Access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

Koşullu erişim ilkeleriConditional Access policies

Koşullu erişim ilkesi şu biçimi kullanarak bir access senaryosunun bir tanımı şöyledir:A Conditional Access policy is a definition of an access scenario using the following pattern:

Denetim

Bu ortaya çıktığında, ilkenizin tetiklenme nedenini tanımlar.When this happens defines the reason for triggering your policy. Neden, karşılanan bir koşul grubu ile belirlenir.This reason is characterized by a group of conditions that have been satisfied. Azure AD koşullu erişimi'nde, iki atama koşullar özel bir rol oynar:In Azure AD Conditional Access, the two assignment conditions play a special role:

Bu iki koşul, bir koşullu erişim ilkesini zorunlu değildir.These two conditions are mandatory in a Conditional Access policy. Bu iki zorunlu koşula ek olarak, erişim girişiminin gerçekleştirilme şeklini açıklayan ek koşullar da kullanabilirsiniz.In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. Mobil cihazların veya kuruluş ağınızın dışındaki konumların kullanılması, yaygın örnekler arasında sayılabilir.Common examples are using mobile devices or locations that are outside your corporate network. Daha fazla bilgi için Azure Active Directory koşullu erişim koşulları.For more information, see Conditions in Azure Active Directory Conditional Access.

Erişim denetimleri koşullarla bir koşullu erişim ilkesini temsil eder.The combination of conditions with your access controls represents a Conditional Access policy.

Denetim

Azure AD koşullu erişim ile nasıl yetkili kullanıcıların Denetim bulut uygulamalarınızda erişebilirsiniz.With Azure AD Conditional Access, you can control how authorized users can access your cloud apps. Erişim denemesi nasıl gerçekleştirildiğini tabanlı bir bulut uygulaması için erişim denemesi ek erişim denetimleri uygulamak amacı, bir koşullu erişim ilkesi var.The objective of a Conditional Access policy is to enforce additional access controls on an access attempt to a cloud app based on how an access attempt is performed.

Bulut uygulamalarınıza erişimi korumak için ilke tabanlı bir yaklaşım kullanmak, ortamınızın ilke gereksinimlerini işin teknik boyutu konusunda kaygılanmadan bu makalede ana hatları belirlenen yapıyı kullanarak belirlemeye başlamanızı sağlar.A policy-based approach to protect access to your cloud apps enables you to start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

Azure AD koşullu erişim ve şirket dışı kimlik doğrulamasıAzure AD Conditional Access and federated authentication

Koşullu erişim ilkeleri sorunsuz bir şekilde iş şirket dışı kimlik doğrulaması.Conditional Access policies work seamlessly with federated authentication. Desteklenen tüm koşullar ve denetimleri ve ilke etkin kullanıcı oturum açma kullanarak işlemleri için nasıl uygulanacağını içine görünürlük bu desteğiyle Azure AD raporlama.This support includes all supported conditions and controls and visibility into how policy is applied to active user sign-ins using Azure AD reporting.

Azure AD ile federe kimlik doğrulaması, Azure AD kullanıcı kimliği doğrulamalarının tümünün güvenilen bir kimlik doğrulama hizmeti tarafından halledilmesi anlamına gelir.Federated authentication with Azure AD means that a trusted authentication service handles user authentication to Azure AD. Güvenilen bir kimlik doğrulama hizmeti; örneğin Active Directory Federasyon Hizmetleri (AD FS) ya da başka bir Federasyon Hizmetidir.A trusted authentication service is, for example, Active Directory Federation Services (AD FS), or any other federation service. Bu yapılandırmada birincil kullanıcı kimlik doğrulaması hizmette gerçekleştirilir, sonra bireysel uygulamalarda oturum için Azure AD kullanılır.In this configuration, primary user authentication is performed at the service and then Azure AD is used to sign into individual applications. Azure AD koşullu erişim, kullanıcının eriştiği uygulamaya erişim verilmeden önce uygulanır.Azure AD Conditional Access is applied before access is granted to the application the user is accessing.

Yapılandırılmış koşullu erişim ilkesi, çok faktörlü kimlik doğrulaması gerektirdiğinde, Azure mfa'yı kullanarak Azure AD varsayılan olarak.When the configured Conditional Access policy requires multi-factor authentication, Azure AD defaults to using Azure MFA. MFA için federasyon hizmetini kullanıyorsanız, PowerShell'de -SupportsMFA değerini $true yaparak Azure AD'yi MFA gerektiğinde federasyon hizmetine yönlenecek şekilde yapılandırabilirsiniz.If you use the federation service for MFA, you can configure Azure AD to redirect to the federation service when MFA is needed by setting -SupportsMFA to $true in PowerShell. Bu ayar, Azure AD tarafından wauth= http://schemas.microsoft.com/claims/multipleauthn kullanılarak gönderilen MFA sınama isteğini destekleyen federe kimlik doğrulama hizmetleri içindir.This setting works for federated authentication services that support the MFA challenge request issued by Azure AD using wauth= http://schemas.microsoft.com/claims/multipleauthn.

Kullanıcı federe kimlik doğrulama hizmetinde oturum açtıktan sonra Azure AD, cihaz uyumluluğu ya da uygulamanın onaylanmış olması gibi diğer ilke gereksinimlerini halleder.After the user has signed in to the federated authentication service, Azure AD handles other policy requirements such as device compliance or an approved application.

Lisans gereksinimleriLicense requirements

Bu özelliği kullanarak bir Azure AD Premium P1 lisansı gerektirir.Using this feature requires an Azure AD Premium P1 license. Gereksinimleriniz için doğru lisans bulmak için bkz: ücretsiz, temel ve Premium sürümler genel kullanıma sunulan özellikleri karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Müşterilerle Microsoft 365 işletme lisanslarını ayrıca koşullu erişim özelliklerini erişime sahip olursunuz.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Sonraki adımlarNext steps

Koşullu erişim, ortamınızda uygulama hakkında bilgi edinmek için bkz: Azure Active Directory'de koşullu erişim dağıtımınızı planlama.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.