Koşullu Erişim (Conditional Access), Microsoft Entra ID tarafından erişim kararları almak ve kurumsal politikaları uygulamak için kullanılan bir araçtır.
Koşullu Erişim (Conditional Access) politikaları, basitçe eğer-ise (if-then) ifadeleridir; bir kullanıcı bir kaynağa erişmek istiyorsa, bir eylem gerçekleştirmelidir.
Temel kimlik doğrulama (basic authentication), kullanıcıların çok faktörlü kimlik doğrulama gibi modern kimlik doğrulama mekanizmalarını desteklemeyen eski veya onaylanmamış e-posta istemcilerini kullanarak Exchange Online’a erişmesini sağlar.
Temel (eski) kimlik doğrulamanın engellenmesi, daha zayıf kimlik doğrulaması olan istemcilerin kullanımını engeller. Bu, e-posta hesabı kimlik bilgilerinin tehlikeye atılma riskini azaltır.
Bu kontrol, etkinleştirilmiş en az bir Koşullu Erişim (Conditional Access) politikasının eski kimlik doğrulamasını engellediğini doğrular.
Lisans gereksinimleri: Microsoft 365 Business Premium, Premium P1 ve P2.
Bu işlem bir çok posture check kontrolünde denetlenmektedir. Bu işlemi kurumunuzda yapmayı atlamayın.
portal.azure.com üzerinden Microsoft Entra ID alanına giriş yapalım.
Açılan sayfadan sayfayı aşağı indirerek Conditional Access menüsüne giriş sağlayalım.
Conditional Access sayfasından Policy Snapshot alanına giriş yapıp mevcut yazılmış politikalarımıza bakalım.
Açılan sayfanın sağ üst köşesinden + New Policy alanına giriş sağlayalım.
Politikamıza bir isim verelim, Assignments altında yer alan Users alanını açıp All user alanını seçelim. İlgili politikanın tüm kullanıcılara uygulanması gerektiğini belirtelim. Exclude alanında kullanıcı ve grupları seçin ve eski kimlik doğrulaması gerektiren hesapları hariç tutun (örneğin, kilitlemeyi önlemek için Adaptive Shield entegrasyon hesapları veya yönetici hesapları). Ben mevcut ortamımda exclude işlemi gerçekleştirmeyeceğim.
Target Resources (hedef kaynaklar) alanında, all resources (all cloud apps) alanını seçelim yine exclude alanında eski protokol erişimini geçici olarak sürdürmesi gereken bulut uygulamalarını belirtebilirsiniz. Bu genellikle önerilmez.
Conditions (koşul) sayfasında Client apps alnını seçelim configure menüsünü yes olarak belirtelim ve Legacy authentication cleint menüsü altında yer alan Exchange ActiveSync clients ve Other clients alanını aktifleştirelim. Other client (IMAP, POP ve ROPC gibi eski protokolleri içerir).Bu alanı done diyerek kapatalım.
Access controls menüsü altından Grant alanını seçip yukarıda belirttiğimiz koşulda uygulanacak işlemin Block access olması gerektiğini belirtelim.
Bu işlemde tamamlanması ile birlikte Create diyerek politikamızı oluşturabiliriz. Prod ortamda olduğum için ben politikayı ilk başta Report-only olarak oluturup biraz log toplamayı hedeflemekteyim. Kim nasıl gelmekte, neler etkilendiğini görmekte fayda var.
Create butonuna tıkladıktan sonra aşağıdaki gibi listemize yeni politiikamız yansıyacaktır.
Microsoft tarafından yayımlanmış aşağıdaki makaleyide kullanabilirsiniz.
Bu Koşullu Erişim Politikasının nasıl yapılandırılacağı hakkında daha fazla bilgi için Microsoft belgelerine bakın – https://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-block-legacy-authentication