Microsoft Entra ID\'nin (eski adıyla Azure AD) Conditional Access (CA) motoru, M365 erişimini "kim, nereden, hangi cihazdan, hangi koşullarda" sorularına göre kontrol etmenin altyapısıdır. Güvenlik politikalarını kullanıcı bazında değil koşul bazında uygularsınız — basitleştirir, ölçeklenir. Bu yazıda KOBİ\'lerin ilk gün uygulayabileceği 10 hazır policy\'yi adım adım anlatıyoruz.

Lisans gereksinimi: Conditional Access için Microsoft Entra ID Premium P1 veya üzeri lisans gerek. Bu lisans şu planlara dahildir: M365 Business Premium ($22), E3 ($36), E5 ($57). M365 Business Basic/Standard\'da yok — Security Defaults kullanılır (sınırlı).

Conditional Access Çalışma Mantığı

Her CA politikası 3 bileşenden oluşur:

  1. Assignments (Kapsam): Kim için uygulanacak (kullanıcı/grup), hangi uygulamalar, koşullar (lokasyon, cihaz, risk).
  2. Access controls (Aksiyon): Erişimi engelle, MFA iste, uyumlu cihaz iste, sesion süresini kısıtla.
  3. Enable: Off, Report-only, On.

Best practice: Her yeni politikayı önce Report-only modda aktive et, 1-2 hafta gözlemle, sonra On\'a al.

10 Hazır Policy — KOBİ İçin

Policy 1: Tüm Kullanıcılar İçin MFA

Amaç: Tüm M365 girişlerinde MFA zorla.

  • Users: All users (BREAK_GLASS hesabı hariç tut — acil durum)
  • Cloud apps: All cloud apps
  • Grant: Require multi-factor authentication

Policy 2: Yöneticiler İçin Sıkı MFA

Amaç: Global Admin, User Admin, Security Admin için her oturumda MFA.

  • Users: Directory roles → Global Admin, Privileged Role Admin, Security Admin, vb. (16 rol)
  • Grant: Require MFA + require compliant device + sign-in frequency 1 hour

Policy 3: Yasaklı Ülkeler — Erişimi Engelle

Amaç: Türkiye dışı + AB dışı ülkelerden (örn Çin, Rusya, İran) erişimi tamamen engelle.

  • Conditions → Locations: Include "Geo-blocked countries" Named Location'ı oluştur, ülkeleri seç
  • Grant: Block access
  • Exception: Yöneticiler (seyahat) için ayrı policy

Policy 4: Eski Authentication Protokollerini Engelle

Amaç: Legacy IMAP/POP3/SMTP AUTH gibi MFA desteklemeyen protokollerle bağlantıyı kes.

  • Conditions → Client apps: Other clients (Exchange ActiveSync legacy + Other clients legacy)
  • Grant: Block access

Policy 5: BYOD (Kişisel Cihazdan) Web Erişim Kısıtla

Amaç: Çalışan kişisel telefonundan M365\'e girerken indirme/yazdırmayı engelle.

  • Conditions → Device platforms: iOS, Android
  • Conditions → Filter for devices: Not compliant
  • Grant: Use app enforced restrictions (App Protection Policy + browser session control)

Policy 6: Yüksek Riskli Oturumda Erişimi Bloke Et

Amaç: Microsoft\'un AI risk skorunda "High" döndürdüğü oturumu engelle. (Entra ID P2 gerek)

  • Conditions → Sign-in risk: High
  • Grant: Block access

Policy 7: Orta Riskli Kullanıcıdan Parola Yenileme İste

Amaç: Parola sızdırma şüphesinde otomatik aksiyon.

  • Conditions → User risk: Medium and above
  • Grant: Require password change

Policy 8: Office 365 Yönetici Portalları İçin Cihaz Uyumu

Amaç: Admin Center, Exchange Admin, SharePoint Admin\'e sadece Intune-yönetilen, BitLocker'lı, antivirus aktif cihazdan giriş.

  • Cloud apps: Microsoft Azure Management, M365 Admin Center, Exchange Online Admin
  • Grant: Require compliant device

Policy 9: Sesion Süresi — Hassas Uygulamalarda 1 Saat

Amaç: SharePoint hassas siteler için kullanıcıdan 1 saatte bir yeniden kimlik doğrulama.

  • Cloud apps: SharePoint Online (sensitivity label "Confidential" olan siteler)
  • Session controls: Sign-in frequency: 1 hour + Persistent browser session: Never persistent

Policy 10: Guest Kullanıcılar İçin Sıkı MFA + Engelleme

Amaç: Davetli dış kullanıcılar için her oturumda MFA + Entra ID Free hesaplarından engelleme.

  • Users: All guest and external users
  • Grant: Require MFA + sign-in frequency: every time

Adım Adım Policy Oluşturma

  1. entra.microsoft.comProtectionConditional Access.
  2. New policy → ad ver (örn "CA01-Require MFA All Users").
  3. Assignments → Users: All users seç. Exclude: Break-glass hesabı + Service accounts.
  4. Cloud apps: All cloud apps
  5. Conditions: (varsa) — örn locations, device platforms.
  6. Access controls → Grant: Require multi-factor authentication.
  7. Enable: Report-only önce, 1-2 hafta sonra On.
  8. Save.

Break-Glass (Acil Durum) Hesabı — Kritik!

⚠ Önemli: CA politikalarınız yanlış yapılandırılırsa kendinizi de M365\'e kilitleyebilirsiniz. Her zaman 2 adet "break-glass" hesap tutun — Global Admin, çok güçlü uzun parola, MFA muaf (özellikle), tüm CA politikalarından hariç. Bu hesapları kasada/kilitli yerde saklayın, sadece acil durumda kullanın. Audit log\'da bu hesapların kullanımını izleyin.

Report-Only Modu — Test Yöntemi

Yeni policy\'yi Report-only\'de aktive ettiğinizde:

  • Kullanıcılar normal şekilde giriş yapar
  • Microsoft "bu policy ON olsaydı kim engellenecekti / MFA isteyecekti" raporu üretir
  • Sign-in logs\'da "Conditional Access" sekmesinde Report-only sonuçları görünür
  • 1-2 hafta gözlem sonrası policy\'yi On\'a alın

Sık Karşılaşılan Sorunlar

Sorun 1: "Bu uygulama Conditional Access desteklemiyor"

Sebep: Legacy uygulama OAuth 2.0 değil Basic Auth kullanıyor.

Çözüm: Uygulamayı Modern Auth'a yükselt (vendor güncellemesi) veya CA policy'den exclude et.

Sorun 2: MFA için telefon yok

Sebep: Kullanıcı henüz MFA kaydını tamamlamamış.

Çözüm: Self-service registration aktif olduğundan emin ol → kullanıcı ilk girişte Microsoft Authenticator kurar.

Sorun 3: VPN kullanıcıları sürekli engelleniyor

Sebep: VPN exit IP'leri "Yasaklı ülkeler" listesinde.

Çözüm: VPN public IP'lerini "Trusted Locations" listesine ekle veya policy'de exclude et.

Maliyet — KOBİ İçin Hesap

10 kullanıcılı bir KOBİ için CA gereksiniminin maliyeti:

  • Mevcut M365 Business Standard: $12.50 × 10 = $125/ay = ~₺6.250/ay
  • M365 Business Premium (CA dahil): $22 × 10 = $220/ay = ~₺11.000/ay
  • Fark: $95/ay = ~₺4.750/ay

Premium\'a geçiş aynı zamanda Defender for Business + Intune + AIP getirir — sadece CA için değil, security stack tamamlanır.

🛡️ Conditional Access + Premium Geçiş Microsoft Yetkili CSP olarak Business Standard\'dan Premium\'a upgrade + 10 CA policy yapılandırma + kullanıcı eğitimi tek paket. KVKK + ransomware koruması güçlenir. Premium Upgrade →

İlgili Rehberler