Azure AD Conditional Access – müasir şəxsiyyət idarəetmə sistemlərinin əsas funksiyalarından biri olub, istifadəçilərin resurslara çıxışını dinamik şərtlərə əsasən idarə edir. Risk əsaslı identifikasiya modeli isə Conditional Access ilə Azure AD Identity Protection-un inteqrasiyasından yaranır. Yəni sistem hər bir giriş cəhdinə və ya istifadəçiyə dair risk dəyərləndirməsi aparır və bu riskə uyğun avtomatik tədbir tətbiq edir. Məsələn, Azure AD müəyyən edə bilər ki, filan istifadəçinin daxilolma cəhdi şübhəlidir (çünki eyni istifadəçi 2 saat əvvəl başqa ölkədən daxil olmuşdu – “impossible travel” siqnalı). Bu halda Sign-in risk = Yüksək təyin olunur. Conditional Access qaydası da müəyyən edə bilər ki, əgər giriş riski yüksəkdirsə, istifadəçiyə əlavə identifikasiya (MFA) tələb et və ya ümumiyyətlə girişi blokla.
Azure AD risk anlayışı iki cürdür: İstifadəçi riski və Giriş (Sign-in) riski. İstifadəçi riski – bu hesabın komprimasiya olunma ehtimalıdır (məsələn, istifadəçinin parolu sızıbsa və ya darknet-də aşkarlanıbsa, user risk yüksək olur). Sign-in riski isə konkret login cəhdinin şübhəlilik dərəcəsidir (məsələn, anormal yer, cihaz və ya IP-dən daxilolma cəhdi). Azure AD Identity Protection maşın öyrənməsi və Microsoft Threat Intelligence məlumatları əsasında bu risk dəyərlərini Low/Medium/High şəklində təyin edir.
Risk əsaslı Conditional Access strateqiyasında biz belə qaydalar yaradırıq: Məsələn, “Əgər istifadəçinin risk səviyyəsi yüksəkdirsə, onu şifrəsini dəyişməyə məcbur et” və ya “Əgər giriş cəhdi riski orta və ya yuxarıdırsa, MFA tələb et, yüksəkdirsə, ümumiyyətlə blokla”. Belə bir model real vaxtda hər login zamanı Identity Protection-dan risk siqnalını alır və Conditional Access bunu şərt kimi yoxlayır. Nəticədə, yalnız riskli hallarda əlavə tədbirlər görülür, normal hallarda isə istifadəçi maneəsiz daxil olur. Bu, həm təhlükəsizliyi artırır, həm də istifadəçi təcrübəsini optimallaşdırır – çünki hər kəsə hər zaman MFA soruşulmur, ancaq riskli situasiyalarda soruşulur.
Azure AD Identity Protection risk signalları kimi müxtəlif siqnallar götürür: oğurlanmış şəxsiyyət (leaked credentials), botdan istifadə, atipik səyahət, şübhəli IP (Tor nodeları, zərərli IP-lər), qeyri-adi cihaz və s. Bunlardan biri aşkarlananda, məsələn “Impossible travel” (mümkünsüz səyahət) – eyni istifadəçi qısa zamanda iki uzaq coğrafiyadan daxil olmağa çalışıb – sistemi həmin loginə “High” risk verir. Biz də qayda məqalərıq ki, High risk sign-in -> Access Blocked. Və ya “Medium risk sign-in -> Require MFA”. Microsoft-un tövsiyəsi budur ki, riskli hallarda MFA mütləq tələb olunsun, çox yüksək risklərdə isə girişlər birbaşa blok olunsun.
Conditional Access vasitəsilə avtomatik risk remediation də etmək olur. Məsələn, “User risk high” olduqda qayda ilə “Require password change” seçirik. Bu halda, şübhəli hesab olanda (məsələn parolu sızıbsa) istifadəçi növbəti girişdə məcbur yeni parol təyin etməlidir, beləcə risk aradan qalxır. Azure AD bu prosesə “Self-remediation” deyir – yəni istifadəçi öz hesabını təmin edir, admin müdaxiləsi olmadan.
Risk əsaslı identifikasiya modellərinin real həyatda önəmi çoxdur. Məsələn, kiberhücumlardan biri – parol təxmin etmə hücumu. Conditional Access qaydası ilə “qısa zamanda çoxlu uğursuz login cəhdi olan hesab -> risk yüksəy -> blok et” demək olar. Bu, parol sındırma cəhdlərini risk modeli ilə avtomatik boğur. Başqa misal: istifadəçi adətən Bakıda giriş edir, ancaq indi birdən-birə Braziliyadan uğurlu giriş oldu (istifadəçi risk = High). Sistem bu hesabı “riskli istifadəçi” statusuna keçir və policy deyir ki, riskli istifadəçi növbəti dəfə mütləq şifrəni yeniləsin (və ya admin təftiş edib “Dismiss risk” deməlidir). Bu kimi yanaşmalar şirkətlərə Zero Trust strategiyasını tətbiq etməyə kömək edir: “Heç kimə tam etibar etmə, hər zaman yoxla.” Azure AD şərti giriş də məhz risk analizi ilə hər dəfə yoxlayır – cihaz compliance statusuna, istifadəçi rolu, lokasiyası və riskinə baxıb girişi ya təsdiq edir, ya da əlavə yoxlama tələb edir.
Toparlasaq, Azure AD Conditional Access ilə risk əsaslı identifikasiya modelləri qurmaq bulud kimliyinin mühafizəsini xeyli artırır. Bu model avtomatik olaraq davranış anomaliyalarını aşkarlayır və anında cavab verir (MFA, parol reseti, bloklama), nəticədə komprometləşmiş hesablarla ciddi ziyan yaranmamış mübarizə aparılır. Bu, xüsusən istifadəçi çoxluğu olan müəssisələr üçün effektivdir, çünki manuel müdaxilə olmadan sistem milyonlarla login arasından riskliləri ələyib onlara xüsusi yanaşır, digərlərini isə adi qaydada buraxır.
Şəkil: Azure AD şərti girişin risk əsaslı modeli – Burada istifadəçi, yer və cihaz kimi şərtlərlə yanaşı, Risk səviyyəsi (Identity Protection-dan “User risk” və “Sign-in risk”) də nəzərə alınır. Siyasət tələbləri riskdən asılı olaraq “MFA tələb et”, “Parolu dəyişməyi tələb et”, “Girişi blokla” kimi tədbirləri tetikleyir.