Koşullu Erişim, kullanıcılarınızın şirket kaynaklarına bağlanırken bir takım şartları karşılaması veya karşılamaması neticesinde ekstra bir uygulamaya tabi olarak oturum açabilmesi veya tamamen engellenmesi amacıyla oluşturulan bir güvenlik politikasıdır. Bu güvenlik politikasını cihaz, kullanıcı, lokasyon veya IP gibi parametreleri temel alarak oluşturabilirsiniz. Azure AD, oturum açma isteği gönderen cihazdan bu sinyalleri (cihaz bilgisi, konumu vs.) alır ve sizin oluşturduğunuz koşullara uygunluğuna göre belirlediğiniz oturum açma aksiyonunu uygular. Böylece şirket kaynaklarına erişimi güvenlik açısından bir seviye daha yukarıya taşımış olursunuz. Bu aşamada dilerseniz Zero-Trust prensibi ile tüm erişimlere MFA gibi bir ekstra doğrulama yöntemi uygulayabilir veya izin verdiğiniz koşulları sağlayan cihazları bu politikadan hariç tutabilirsiniz.
Mobil çalışan sayısının oldukça yoğun olduğu bu dönemde kullanıcılarınızın bir çok cihazdan ve lokasyondan bağlandığını düşünürsek bu da olası güvenlik problemlerini tetiklemekte. Ayrıca bu durum var olan şüpheli oturum açmaları da tespit etmenizi zorlaştıracaktır. Örneğin sabit bir çalışanın hangi lokasyondan veya cihazdan oturum açacağını yüksek oranda kestirebilirsiniz.
Eğer şüpheli bir işlem varsa Azure Active Directory üzerinden Oturum açma günlükleri’ni kontrol edebilirsiniz. Gördüğünüz gibi hep Adalar’dayım 😊
Kullanıcı beklenen konumlardan/cihazlardan başarılı bir şekilde oturum açmışsa diğer unsurlara göz atabilirsiniz.
Fakat mobil kullanıcılarda tablo böyle olmuyor. Birden fazla lokasyonda ve cihazda oturum açmalar görüntüleyebiliyorsunuz. Bu durumda kullanıcıları arayıp teyit etmek çok olası ve şık bir yaklaşım değil. Bunun yerine Azure AD üzerinden Koşullu Erişim oluşturarak bu süreci daha otomatize ve güvenli hale getirebilirsiniz.
Koşullu Erişim lisans gereksinimi:
Koşullu Erişim kullanabilmeniz için Azure Active Directory Premium 1 ve 2 lisansınızın olması gerekmektedir. Ayrıca bu lisansı içeren M365 paketlerine sahipseniz de Koşullu Erişim kullanabilirsiniz.
Koşullu erişimi nasıl uygularım?
Azure Active Directory Yönetim Merkezi’ne oturum açtığınızda Güvenlik menüsünden Koşullu Erişim’i bulabilirsiniz.
Koşullu Erişim ilkesini oluşturmadan önce örnek senaryomuzu belirleyelim. Örn: Türkiye konumunda IOS cihaz ile oturum açıldığında MFA ile doğrulama gereksin.
Bunun için önce Adlandırılmış konumlar başlığından Türkiye konumunu tanımlayacağız. Ülke konumu seçeneğine tıklayıp açılan menüde konuma isim vererek aşağıdaki listeden Türkiye’yi seçiyoruz.
Ardından Koşullu Erişim başlığında Yeni İlke Oluştur seçeneğine tıklayalım. İlkeye bir isim verdikten sonra ilkenin uygulanacağı kullanıcı kapsamını belirleyelim. Burada herhangi bir kullanıcı veya grup da seçilebilir fakat ben Tüm kullanıcıları seçiyorum. Bu ilke dışında tutmak istediğiniz bir kullanıcı varsa Dışla seçeneği ile bu kullanıcı veya grupları belirtebilirsiniz.
Bulut uygulamaları veya eylemleri bölümünde ilkenin hangi bulut kaynağına erişilirken uygulanacağını seçiyoruz. Yine tüm bulut uygulamalarını seçebilirsiniz fakat ben yalnızca Office 365 SharePoint Online’ı seçiyorum.
Koşullar kısmında Cihaz Platformları başlığı altında IOS platformunu ve Konumlar başlığı altında daha önce tanımladığım Türkiye konumunu seçiyorum. Böylece Türkiye’den IOS cihazlar ile gerçekleştirilen oturum açma istekleri bu politikaya maruz kalacak.
Erişim İzni Verme başlığında Erişimi engelle ve Erişim izni ver ana seçenekleri bulunmakta. Burada Erişim izni ver seçeneğinin altında ek gereksinimler sunabiliyoruz. Örneğin biz “Erişime izin ver fakat MFA ile doğrulama gerektir” diyoruz.
Son olarak Oturum başlığında kullanıcı oturumlarına dair bazı seçenekler bulunmakta. Ben Oturum açma sıklığını aktif hale getireceğim. Kullanıcıların doğrulama gerçekleştirdikleri cihazlarda 30 Gün boyunca tekrar doğrulama gerekmeyecek. Fakat 30 günün ardından tekrar kimlik doğrulaması ile oturum açmaları istenecek.
Özetle ilkemiz aşağıdaki gibi görünmektedir.
İlkeyi oluşturmak istediğinizde yanlış planlamalar ve olası kullanıcı erişim kesintilerine yol açmamak adına varsayılan olarak Yalnızca Rapor modunda çalışacaktır. Ben direkt aktif etmek istediğim için Açık seçeneğini de işaretliyorum.
Koşullu Erişim ilkesini uyguladıktan sonra yine Koşullu Erişim menüsü içerisinden de Oturum açma günlüklerine göz atabilirsiniz.
Umarım Koşullu Erişim ve kullanımı hakkında bilgi edinmeniz için faydalı bir yazı olmuştur. Konuyla ilgili herhangi bir sorunuz olursa yorum kısmından paylaşabilirsiniz.