Microsoft Teams’de Kimlik Doğrulama Modelleri ve Koşullu Erişim – Part I

185

Microsoft 365 içerisinde yer alan Microsoft Teams, sunduğu özellikleri ile kullanıcıların aktif kullandığı hizmetler arasında yer almaktadır. BT yöneticileri açısından kurumsal politikalar çerçevesinde güvenlik ve uyumluluk standartlarına göre kullanıcılara kullandırmaları ve yönetmeleri gerekir. Bu noktada Microsoft Teams, BT yöneticilerinin beklediği gelişmiş güvenlik ve uyumluluk yeteneklerini sunan Microsoft 365 hiper ölçekli, kurumsal düzeyde bulut üzerine inşa edilmiş uygulamadır. Haliyle BT yöneticilerine uçtan uca uyumluluk ve güvenlik araçları ve özellikleri sunmaktadır.

Güvenlik ve Uyumluluk noktasında kimlik doğrulaması en önemli noktalardan biridir. Bilindiği üzere Microsoft 365 ve Office 365’in sunduğu hizmetler kimlik doğrulama noktasında Azure Active Directory hizmetlerini ya da Single Sing On mimarilerinde lokal Active Directory hizmetlerini kullanır. Microsoft Teams kimlik modelleri olarak Cloud Identity, Synchronized Identity ve Federated Identity modellerini destekler. Cloud Identity, kullanıcıların Office 365 platformunda oluşturulduğu, yönetildiği ve Azure Active Directory’de saklandığı ve parola doğrulamalarının da Azure Active Directory tarafından yapıldığı kimlik modelidir. Synchronized Identity ise kimlik bilgilerinin on-premise Active Directory’de yönetildiği ancak AD Connect aracı ile bulut ortamına kimlik bilgilerinin ve parolaların senkron edildiği modeldir. Böylelikle kullanıcılar şirket içerisinde kullandıkları kimlik bilgileri ve parolaları ile bulut ortamında oturumlarını açarken, kimlik bilgileri Azure Active Directory tarafından doğrulanır. Federated Identity modelinde ise bulut platformundaki uygulamalara giriş yapıldığında ADFS hizmeti veya third-party kimlik sağlayıcıları ile kullanıcıların on-premise Active Directory tarafından kimlik doğrulaması yapılır. Bu modelde lokal Active Directory tarafından kimlik doğrulaması yapıldığı için kullanıcıların parolalarının senkron edilmesine gerek yoktur. Buradaki kimlik doğrulama modeline firmaların ihtiyaçlarına göre belirlenir.

Microsoft Teams, oturum açma deneyimini basit ve güvenli tutmak için Modern Authentication kullanır. Modern Authentication ile kullanıcılar Teams uygulamasına her seferinde kimlik bilgisi girmek zorunda kalmadıkları daha önce yapılan kimlik bilgilerinin uygulamanın açılması ile bilindiği işlemdir. Kullanıcılar Kullanıcılar için Modern Authentication deneyimi Windows ve Mac’te farklılıklar gösterdiği gibi Multi-Factor Authentication kullanımına göre de değişecektir. Windows kullanıcıları, Office 365 hesapları ile gelen Office uygulamalarında oturum açtıysa, Teams uygulaması başlattıklarında doğrudan uygulamaya yönlendirilirler. Kimlik bilgilerini girmelerine gerek yoktur. Diğer bir senaryo ise kullanıcılar, Office 365 hesapları ile başka bir yerde oturum açmamışlarsa, Teams uygulamasını başlattıklarında, MFA aktif ise o devreye girer ya da kimlik bilgileri ile oturumlarını açarlar. Mac kullanıcıları için ise durum biraz daha farklıdır. Kullanıcılar Teams uygulamasını başlattıklarında, kimlik bilgilerini Office 365 hesapları ile giriş yaptıkları Office uygulamalarında alamazlar. Kullanıcılar Microsoft Teams uygulamasına kimlik bilgilerini girdikten sonra, tekrar girmeleri gerekmez. Aynı bilgisayarda çalışırken Teams uygulaması otomatik olarak başlar.

Kimlik doğrulamanın yanı sıra kimlik yönetimin güvenliği de önemli noktalardan biridir. Office 365 planları bu noktada BT yöneticilerine Azure Active Directory içerisinde çeşitli araçlar sunmaktadır. Multi-Factor Authentication (MFA) teknolojisi bunlardan birisidir. Kullanıcılar MFA ile şifrelerini doğru girdikten sonra bir telefon görüşmesi, kısa mesaj ya da akıllı telefon uygulama bildiriminin onaylanması ile oturumlarını açarlar. Böylelikle kullanıcılar Office 365 hizmetlerine erişim sağlarken ikinci kimlik doğrulaması yaparlar. Multi-Factor Authentication, Microsoft Teams içeren herhangi Office 365 planı ile kullanılabilir.

Microsoft Teamsgüvenliğinde önemli noktalardan biri kaynaklara erişimde kimlik ve erişimdir. Kullanıcılar Microsoft Teams ile herhangi bir yerden çeşitli aygıt ve uygulamaları kullanarak kuruluşunuzun kaynaklarına erişebilirler. Bunun bir sonucu olarak, sadece bir kaynağa kimin erişebileceğine odaklanmak artık yeterli değildir. Güvenlik ve verimlilik arasındaki dengeyi sağlayarak bir kaynağa nasıl erişileceğinin de belirlenmesi gerekir. Bu noktada Azure Active Directory’nin sunduğu Koşullu Erişim özelliği kullanılır. Koşullu erişim, koşullara dayalı bulut uygulamalarınıza erişmek için firma kültürüne uygun kuralların belirlendiği Azure Active Directory özelliğidir. Koşullu erişim’de oturum açma riski, network konumu, cihaz yönetimi, kullanıcı uygulaması ile ilgili kriterler, kullanıcı ilk kimlik doğrulamasını tamamladıktan sonra uygulanır. Koşullu erişimde mantık, “Bu olay olduğunda, bu olsun” olarak düşünülebilir. Bu özelliği kullanmak için Azure Active Directory Premium lisansı gerekir.

Microsoft Teams ile Koşullu Erişim özelliğini kullanmak için Azure Active Directory’e girilir ve “Conditional Access” seçilir.

 

TeamsConditionalAccess_1

 

“New policy” ile yazılacak kural belirlenir. Burada kriterler ve koşulların belirlenmesinin yanı sıra hangi uygulama ya da uygulamalara veya kullanıcılara erişimde koşulların uygulanacağı da belirlenir.

 

TeamsConditionalAccess_2

 

“New Policy” ile devam edildiğinde yazılacak kurala isim verilir. Buradaki kuralın adı anlaşılır olması kolaylık sağlayacaktır. “Assignments” bölümünde ise “Users and groups”, “Cloud apps” ve “Conditions” başlıkları bulunur. “Users and groups” başlığı altında yazılacak kuralın hangi kullanıcılara uygulanacağı belirlenir. “Include” başlığı altında “None”, “All users” ve “Select users and groups” başlıkları yer alır. Böylelikle spesifik bir kullanıcı ya da gruba uygulanabileceği gibi herkese de yazılacak kural uygulanabilir. Directory’deki belirli role sahip kullanıcılara ya da misafir kullanıcılara uygulanması ile ilgili seçeneklerde yer almaktadır. Directorydeki belirli rolde yer alan kullanıcılara uygulanması senaryolarında yönetici rolündeki kişilerin mutlaka MFA kullanması zorunlu kılınabilir ya da bilindiği üzere Microsoft Teams uygulaması gibi bazı uygulamalara misafir kullanıcılarda giriş yapmaktadır. Buradaki “All guest users” seçeneği ile misafir kullanıcılara da koşul belirlenebilir. Bu seçenekler “preview” olarak kullanılmaktadır. “Exclude” başlığında ise belirli kullanıcılar ya da grouplar, directory üzerinde belirli role sahip kullanıcılar ya da misafir kullanıcılar hariç tutulabilir. Burada örnekte tüm Microsoft Teams kullanıcılarına uygulanacak koşullu erişim kuralı tanımlanacaktır. Bunun için “All users” seçeneği ile devam edilir.

 

TeamsConditionalAccess_3

 

 

“Assignments” seçeneklerinin altında yer alan “Cloud apps” seçeneği ile devam edildiğinde burada yazılacak kuralın uygulanacağı uygulama belirlenir. “Include” başlığı altında “None”, “All cloud apps” ve “Select apps” seçenekleri yer alır. Tüm bulut uygulamalarına, hiçbir bulut uygulamasına ya da seçilen bulut uygulamasına ilgili kuralın uygulaması seçilebilir. Buradaki örnek Microsoft Teams uygulamasına koşullu erişim olduğu için “Select apps” seçeneği ile ilerlenir ve ilgili uygulama seçilir. “Exclude” başlığında ise hariç tutulmak istenilen uygulama seçilir. Örneğin tüm bulut uygulamalarına uygula ancak Microsoft Teams’e uygulama gibi bir işlem yapılacaksa Include kısmında “All cloud apps” seçilirken Exclude bölümünde “Microsoft Teams” seçilir.

 

TeamsConditionalAccess_4

 

Yazılacak kuralın uygulanacağı kullanıcı/kullanıcıların ve uygulama/uygulamaların belirlenmesinin ardından ilgili koşulun yazılma işlemine geçilir. “Conditions” başlığı altında “Sign-in risk”, “Device platforms”, “Locations”, “Client apps”, “Device state” seçenekleri yer alır. “Sign-in risk”, Oturum açma işleminin bir kullanıcı hesabının meşru sahibi tarafından yapılmamış olma olasılığının (yüksek, orta veya düşük) göstergesidir. Azure AD, bir kullanıcının oturum açması sırasında oturum açma risk seviyesini hesaplar. Bu risk seviyesine göre de koşullar belirlenebilir. Buradaki risk seviyeleri “High”, “Medium”, “Low” ve “Not risk” olarak seviyelendirilir. Azure AD Identity Protection tarafından oturum açma riskleri algılanır. Bu koşulu kullanmak için Azure AD Identity Protection özelliği aktif edilmelidir.

 

TeamsConditionalAccess_5

 

“Device platform” arayüzünde ise uygulamaların çalışacağı cihazların işletim sistemleri belirlenir. Azure AD’de kullanıcılar bulut uygulamalarına mobil ya da kişisel cihazları dahil olmak üzere çok çeşitli cihazlarla erişim sağlar. Bu noktada BT ekipleri belirli cihazlarla bulut uygulamalarına erişim sağlamak isteyebilirler. Burada her işletim sistemine özgü kurallar yazılabildiği gibi, tüm cihazlara özel de kural yazılabilir. Varsayılanda tüm cihazlara yazılacak kural uygulanır. “Include” başlığı altında şekilde de görüldüğü üzere “Android”, “iOS”, “Windows Phone”, “Windows” ve “macOS” seçenekleri yer alır. “Exclude” bölümünde ise aynı seçenekler görüntülenecektir.

 

TeamsConditionalAccess_6

 

“Locations” seçeneği ile bulut uygulamalarına bağlantının nerede yapıldığına bağlı olarak koşullar belirlenir. Bilindiği üzere bulut uygulamalarına ve Azure AD’ye her yerden erişim söz konusudur. BT yöneticileri kontrolleri olmayan ağlardan erişmelerini engellemek ya da MFA gibi ek güvenlikler ile kısıtlamalar yapmak isteyebilir ya da belirli ülke ya da bölgelerden erişimi engellemek isteyebilir. Bu durumlarda “Locations” başlığı kullanılır. Bu başlık altında “Any location”, “All trusted locations”, “Selected locations” seçenekleri yer almaktadır. Bu başlıkların kullanılması ile belirli konumlardan erişimlere izin ya da yasaklar verilebilir. Lokasyon bilgilerinin belirlenmesi için ise “Conditional Access” bölümündeki “Named locations” bölümünden lokasyon bilgisi tanımlanmalıdır.

 

TeamsConditionalAccess_7

 

“Client apps” başlığı ile ise kullanıcıların erişim sağlayacakları uygulamalar belirlenir. Bilindiği üzere bulut uygulamalarına web tabanlı uygulamalar, mobil uygulamalar veya masaüstü uygulamaları gibi farklı uygulama türlerini kullanarak erişim sağlanabilir. Bu noktada belirli kısıtlamalar getirilecekse buradaki seçenekler kullanılmalıdır. “Browser” uygulamaları, SAML, WS-Federation veya OpenID Connect web SSO protokollerini kullanan web sitelerini içerir. “Mobile apps and desktop clients” başlığı altında yer alan “Modern authentication clients” Office masaüstü uygulamalarını ve telefon uygulamalarını içerir. “Other clients” seçeneği ise IMAP, MAPI, POP, SMTP ve modern kimlik doğrulama kullanmayan eski Office uygulamaları gibi posta protokolleriyle temel kimlik doğrulaması kullanan istemcileri içerir.

 

TeamsConditionalAccess_8

 

“Device state” başlığı bir ilkenin ek oturum güvenliği sağlamak için yalnızca yönetilmeyen bir aygıta uygulanması gerektiğinde kullanışlıdır. “Exclude” başlığında “Device Hybrid Azure AD joined” ve “Device marked as compliant” seçenekleri yer alır.

 

TeamsConditionalAccess_9

 

“Access controls” bölümünde ise koşul sağlanan durumlarda yapılacak kontrol belirlenir. Burada erişim yasaklanırken, belirli koşulları yapması durumunda erişime izin verilebilir. Örneğin Microsoft Teams uygulamasına girmesi için MFA’nın kullanımının zorunlu tutulması gibi durumlarda “Grant access” seçilir ve altında yer alan “Require multi-factor authentication” seçeneği işaretlenir. Onun dışında cihazın mutlaka compliant olma durumunda erişime “Require device to be marked as compliant” seçeneği ile izin verilir. “Require Hybrid Azure AD joined device” seçeneği ile de Azure AD’ye Hybrid katılma zorunlulu getirilebilir. “Require approved client app” ile aşağıdaki listede yer alan onaylanmış uygulama gereksinimi ile erişim sağlama zorunluluğu getirilebilir. Birden fazla kontrolle erişim sağlanmasının zorunlu olması durumunda ise “Require all selected controls” işaretlenmelidir. Seçilen kontrollerden sadece birinin sağlandığında erişim sağlanması durumunda ise “Require one of the selected controls” seçilmelidir.

  • Microsoft Intune Managed Browser
  • Microsoft PowerBI
  • Microsoft Invoicing
  • Microsoft Launcher
  • Microsoft Azure Information Protection
  • Microsoft Excel
  • Microsoft Kaizala
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft StaffHub
  • Microsoft Teams
  • Microsoft Visio
  • Microsoft Word
  • Microsoft To-Do
  • Microsoft Stream
  • Microsoft Edge

 

 

TeamsConditionalAccess_10

 

İlgili ayarların yapılmasının ardından kural aktif edilmelidir. Bunun için “Enable policy” seçeneği “On” olarak işaretlenir. Buradaki örnekte Microsoft Teams uygulamasına tüm kullanıcıların erişim sağlanması için mutlaka MFA kullanma zorunlulu getirilmiştir. Böylelikle kullanıcılar ister web arayüzünden ister masaüstü uygulamadan Microsoft Teams’e erişim sağlarken MFA’nın aktif edilme ve kullanma zorunlulu getirilmiştir.

 

TeamsConditionalAccess_11

CEVAP VER

Yorumunuzu girin !
İsminizi girin