Koşullu Erişim nedir?What is Conditional Access?

Modern güvenlik çevre birimi artık bir kuruluşun ağının ötesinde Kullanıcı ve cihaz kimliğini içerir.The modern security perimeter now extends beyond an organization's network to include user and device identity. Kuruluşlar bu kimlik sinyallerini, erişim denetimi kararlarının bir parçası olarak kullanabilir.Organizations can utilize these identity signals as part of their access control decisions.

Koşullu erişim, sinyalleri bir araya getirmek, kararlar almak ve kuruluş ilkelerini zorlamak için Azure Active Directory tarafından kullanılan araçtır.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Koşullu erişim, yeni kimlik temelli denetim düzlemi 'nin kalmadır.Conditional Access is at the heart of the new identity driven control plane.

Kavramsal koşullu sinyal ve zorlaması alma kararı

Koşullu erişim ilkeleri en basit deyişle, bir Kullanıcı bir kaynağa erişmek isterse, bir eylemi tamamlaması gerekir.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Örnek: bir bordro Yöneticisi, bordro uygulamasına erişmek istiyor ve bu uygulamaya erişmek için Multi-Factor Authentication gerçekleştirmek istiyor.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Yöneticiler iki birincil hedefle başlatılacaktır:Administrators are faced with two primary goals:

  • Kullanıcıların her yerde ve her zaman üretken olmasını sağlamaEmpower users to be productive wherever and whenever
  • Kuruluşun varlıklarını korumaProtect the organization's assets

Koşullu erişim ilkelerini kullanarak, kuruluşunuzun güvenliğini sağlamak için gerektiğinde doğru erişim denetimlerini uygulayabilir ve gerek duyulmadığında kullanıcının yolunu takip edebilirsiniz.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

Kavramsal koşullu erişim işlemi akışı

Koşullu erişim ilkeleri, ilk faktör kimlik doğrulaması tamamlandıktan sonra zorlanır.Conditional Access policies are enforced after the first-factor authentication has been completed. Koşullu erişim, kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi anlamak için bu olaylardan gelen sinyalleri kullanabilir.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Ortak sinyallerCommon signals

Bir ilke kararı verirken, Koşullu erişimin hesaba götürebileceğine ilişkin yaygın sinyaller aşağıdaki sinyalleri içerir:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Kullanıcı veya grup üyeliğiUser or group membership
    • İlkeler, yöneticilere erişim üzerinde ayrıntılı denetim sağlayan belirli kullanıcıları ve grupları hedefleyebilir.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP konumu bilgileriIP Location information
    • Kuruluşlar, ilke kararları verirken kullanılabilecek güvenilen IP adresi aralıkları oluşturabilir.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Yöneticiler, trafiği engellemek veya izin vermek için tüm ülke/bölge IP aralıklarını belirtebilir.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • CihazDevice
    • Belirli platformları olan veya belirli bir durumla işaretlenmiş kullanıcılar, koşullu erişim ilkelerini zorlarken kullanılabilir.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • UygulamaApplication
    • Belirli uygulamalara erişmeye çalışan kullanıcılar, farklı koşullu erişim ilkeleri tetikleyebilir.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Gerçek zamanlı ve hesaplanan risk algılamaReal-time and calculated risk detection
    • Azure AD Kimlik Koruması ile tümleştirme sinyalleri, koşullu erişim ilkelerinin riskli oturum açma davranışını belirlemesine izin verir.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. İlkeler daha sonra kullanıcıların, risk düzeylerini azaltmak için parola değişiklikleri veya çok faktörlü kimlik doğrulaması gerçekleştirmesine zorlayabilir veya bir yönetici el ile eylem yapana kadar erişim engellenir.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Kullanıcı uygulama erişiminin ve oturumlarının gerçek zamanlı olarak izlenebilmesini ve denetlenmesini, bulut ortamınızda gerçekleştirilen ve erişim üzerinde görünürlük ve denetim işlemlerini arttırmayı ve bu işlemleri ele almasını sağlar.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Yaygın kararlarCommon decisions

  • Erişimi engellemeBlock access
    • En kısıtlayıcı kararMost restrictive decision
  • Erişim vermeGrant access
    • En az kısıtlayıcı karar, aşağıdaki seçeneklerden birini veya birkaçını hala gerektirebilir:Least restrictive decision, can still require one or more of the following options:
      • Multi-Factor Authentication gerektirRequire multi-factor authentication
      • Cihazın uyumlu olarak işaretlenmesini gerektirRequire device to be marked as compliant
      • Karma Azure AD 'ye katılmış cihaz gerektirRequire Hybrid Azure AD joined device
      • Onaylanan istemci uygulaması gerektirRequire approved client app
      • Uygulama koruma ilkesi gerektir (Önizleme)Require app protection policy (preview)

Yaygın olarak uygulanan ilkelerCommonly applied policies

Birçok kuruluş, koşullu erişim ilkelerinin şu gibi yardımcı olabilecek yaygın erişim kaygılarına sahiptir:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Yönetici rollerine sahip kullanıcılar için Multi-Factor Authentication gerektirmeRequiring multi-factor authentication for users with administrative roles
  • Azure yönetim görevleri için Multi-Factor Authentication gerektirmeRequiring multi-factor authentication for Azure management tasks
  • Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açma işlemlerini engellemeBlocking sign-ins for users attempting to use legacy authentication protocols
  • Azure Multi-Factor Authentication kaydı için güvenilir konumlar gerektirmeRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Belirli konumlardan erişimi engelleme veya vermeBlocking or granting access from specific locations
  • Riskli oturum açma davranışlarını engellemeBlocking risky sign-in behaviors
  • Belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirmeRequiring organization-managed devices for specific applications

Müşteri örnek olay incelemeleriCustomer case studies

Diğer kuruluşların otomatik erişim denetimi kararları tanımlamak ve uygulamak için Azure AD koşullu erişimini nasıl kullandığını öğrenin.Discover how other organizations use Azure AD Conditional Access to define and implement automated access control decisions. Aşağıdaki öne çıkan hikayeler, bu müşteri ihtiyaçlarını nasıl karşıladığını gösterir.The following featured stories demonstrate how these customer needs are met.

Lisans gereksinimleriLicense requirements

Bu özelliğin kullanılması için Azure AD Premium P1 lisansı gerekir.Using this feature requires an Azure AD Premium P1 license. Gereksinimleriniz için doğru lisans bulmak için bkz. ücretsiz, temel ve Premium sürümlerin genel kullanıma sunulan özelliklerini karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Microsoft 365 iş lisanslarına sahip müşterilerin koşullu erişim özelliklerine de erişimi vardır.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Sonraki adımlarNext steps