Microsoft Entra ID\'nin (eski adıyla Azure AD) Conditional Access (CA) motoru, M365 erişimini "kim, nereden, hangi cihazdan, hangi koşullarda" sorularına göre kontrol etmenin altyapısıdır. Güvenlik politikalarını kullanıcı bazında değil koşul bazında uygularsınız — basitleştirir, ölçeklenir. Bu yazıda KOBİ\'lerin ilk gün uygulayabileceği 10 hazır policy\'yi adım adım anlatıyoruz.
Lisans gereksinimi: Conditional Access için Microsoft Entra ID Premium P1 veya üzeri lisans gerek. Bu lisans şu planlara dahildir: M365 Business Premium ($22), E3 ($36), E5 ($57). M365 Business Basic/Standard\'da yok — Security Defaults kullanılır (sınırlı).
Conditional Access Çalışma Mantığı
Her CA politikası 3 bileşenden oluşur:
- Assignments (Kapsam): Kim için uygulanacak (kullanıcı/grup), hangi uygulamalar, koşullar (lokasyon, cihaz, risk).
- Access controls (Aksiyon): Erişimi engelle, MFA iste, uyumlu cihaz iste, sesion süresini kısıtla.
- Enable: Off, Report-only, On.
Best practice: Her yeni politikayı önce Report-only modda aktive et, 1-2 hafta gözlemle, sonra On\'a al.
10 Hazır Policy — KOBİ İçin
Policy 1: Tüm Kullanıcılar İçin MFA
Amaç: Tüm M365 girişlerinde MFA zorla.
- Users: All users (BREAK_GLASS hesabı hariç tut — acil durum)
- Cloud apps: All cloud apps
- Grant: Require multi-factor authentication
Policy 2: Yöneticiler İçin Sıkı MFA
Amaç: Global Admin, User Admin, Security Admin için her oturumda MFA.
- Users: Directory roles → Global Admin, Privileged Role Admin, Security Admin, vb. (16 rol)
- Grant: Require MFA + require compliant device + sign-in frequency 1 hour
Policy 3: Yasaklı Ülkeler — Erişimi Engelle
Amaç: Türkiye dışı + AB dışı ülkelerden (örn Çin, Rusya, İran) erişimi tamamen engelle.
- Conditions → Locations: Include "Geo-blocked countries" Named Location'ı oluştur, ülkeleri seç
- Grant: Block access
- Exception: Yöneticiler (seyahat) için ayrı policy
Policy 4: Eski Authentication Protokollerini Engelle
Amaç: Legacy IMAP/POP3/SMTP AUTH gibi MFA desteklemeyen protokollerle bağlantıyı kes.
- Conditions → Client apps: Other clients (Exchange ActiveSync legacy + Other clients legacy)
- Grant: Block access
Policy 5: BYOD (Kişisel Cihazdan) Web Erişim Kısıtla
Amaç: Çalışan kişisel telefonundan M365\'e girerken indirme/yazdırmayı engelle.
- Conditions → Device platforms: iOS, Android
- Conditions → Filter for devices: Not compliant
- Grant: Use app enforced restrictions (App Protection Policy + browser session control)
Policy 6: Yüksek Riskli Oturumda Erişimi Bloke Et
Amaç: Microsoft\'un AI risk skorunda "High" döndürdüğü oturumu engelle. (Entra ID P2 gerek)
- Conditions → Sign-in risk: High
- Grant: Block access
Policy 7: Orta Riskli Kullanıcıdan Parola Yenileme İste
Amaç: Parola sızdırma şüphesinde otomatik aksiyon.
- Conditions → User risk: Medium and above
- Grant: Require password change
Policy 8: Office 365 Yönetici Portalları İçin Cihaz Uyumu
Amaç: Admin Center, Exchange Admin, SharePoint Admin\'e sadece Intune-yönetilen, BitLocker'lı, antivirus aktif cihazdan giriş.
- Cloud apps: Microsoft Azure Management, M365 Admin Center, Exchange Online Admin
- Grant: Require compliant device
Policy 9: Sesion Süresi — Hassas Uygulamalarda 1 Saat
Amaç: SharePoint hassas siteler için kullanıcıdan 1 saatte bir yeniden kimlik doğrulama.
- Cloud apps: SharePoint Online (sensitivity label "Confidential" olan siteler)
- Session controls: Sign-in frequency: 1 hour + Persistent browser session: Never persistent
Policy 10: Guest Kullanıcılar İçin Sıkı MFA + Engelleme
Amaç: Davetli dış kullanıcılar için her oturumda MFA + Entra ID Free hesaplarından engelleme.
- Users: All guest and external users
- Grant: Require MFA + sign-in frequency: every time
Adım Adım Policy Oluşturma
- entra.microsoft.com → Protection → Conditional Access.
- New policy → ad ver (örn "CA01-Require MFA All Users").
- Assignments → Users: All users seç. Exclude: Break-glass hesabı + Service accounts.
- Cloud apps: All cloud apps
- Conditions: (varsa) — örn locations, device platforms.
- Access controls → Grant: Require multi-factor authentication.
- Enable: Report-only önce, 1-2 hafta sonra On.
- Save.
Break-Glass (Acil Durum) Hesabı — Kritik!
⚠ Önemli: CA politikalarınız yanlış yapılandırılırsa kendinizi de M365\'e kilitleyebilirsiniz. Her zaman 2 adet "break-glass" hesap tutun — Global Admin, çok güçlü uzun parola, MFA muaf (özellikle), tüm CA politikalarından hariç. Bu hesapları kasada/kilitli yerde saklayın, sadece acil durumda kullanın. Audit log\'da bu hesapların kullanımını izleyin.
Report-Only Modu — Test Yöntemi
Yeni policy\'yi Report-only\'de aktive ettiğinizde:
- Kullanıcılar normal şekilde giriş yapar
- Microsoft "bu policy ON olsaydı kim engellenecekti / MFA isteyecekti" raporu üretir
- Sign-in logs\'da "Conditional Access" sekmesinde Report-only sonuçları görünür
- 1-2 hafta gözlem sonrası policy\'yi On\'a alın
Sık Karşılaşılan Sorunlar
Sorun 1: "Bu uygulama Conditional Access desteklemiyor"
Sebep: Legacy uygulama OAuth 2.0 değil Basic Auth kullanıyor.
Çözüm: Uygulamayı Modern Auth'a yükselt (vendor güncellemesi) veya CA policy'den exclude et.
Sorun 2: MFA için telefon yok
Sebep: Kullanıcı henüz MFA kaydını tamamlamamış.
Çözüm: Self-service registration aktif olduğundan emin ol → kullanıcı ilk girişte Microsoft Authenticator kurar.
Sorun 3: VPN kullanıcıları sürekli engelleniyor
Sebep: VPN exit IP'leri "Yasaklı ülkeler" listesinde.
Çözüm: VPN public IP'lerini "Trusted Locations" listesine ekle veya policy'de exclude et.
Maliyet — KOBİ İçin Hesap
10 kullanıcılı bir KOBİ için CA gereksiniminin maliyeti:
- Mevcut M365 Business Standard: $12.50 × 10 = $125/ay = ~₺6.250/ay
- M365 Business Premium (CA dahil): $22 × 10 = $220/ay = ~₺11.000/ay
- Fark: $95/ay = ~₺4.750/ay
Premium\'a geçiş aynı zamanda Defender for Business + Intune + AIP getirir — sadece CA için değil, security stack tamamlanır.
🛡️ Conditional Access + Premium Geçiş
Microsoft Yetkili CSP olarak Business Standard\'dan Premium\'a upgrade + 10 CA policy yapılandırma + kullanıcı eğitimi tek paket. KVKK + ransomware koruması güçlenir.
Premium Upgrade →
İlgili Rehberler