Kiracınızdaki Yüksek Riskli AI Agent'ları Nasıl Engellersiniz?

AI agent'lar, kullanıcıların farkına bile varmadan tenant'ınıza erişim sağlayabiliyor. Bu senaryo, kimlik yönetimi tarafında ciddi bir boşluk oluşturuyor çünkü agent'lar klasik kullanıcı hesapları gibi davranıyor. Microsoft Entra ID Conditional Access, bu agent'ların risk seviyesine göre erişimini kontrol altına almanızı sağlıyor.

Bunu yapılandırmak için Microsoft Entra admin center'a gidin ve Entra ID > Conditional Access > Policies yolunu izleyin. New policy butonuna tıkladıktan sonra karşınıza gelen ekranda birkaç kritik ayar var.

İlk olarak policy'ye açıklayıcı bir isim verin. Ekip içinde tutarlılık sağlamak için CA13-* prefix kullanmak yaygın bir pratik. Ardından Users or agents (Preview) bölümüne geçin ve Agents (Preview) seçeneğini işaretleyin. Include kısmında All agent identities (Preview) seçeneğini seçtiğinizden emin olun. Target resources altında Resources (formerly cloud apps) seçeneğini açıp All resources (formerly 'All cloud apps') seçimi yapın.

Şimdi gelelim asıl kontrol noktasına. Conditions bölümünde Agent risk (Preview) seçeneğine tıklayın. Configure kısmını Yes olarak açın ve risk seviyesini High olarak ayarlayın. Bu ayar, yalnızca yüksek riskli agent'ları hedefliyor. Done butonuyla koşulu onaylayın.

Son adım Grant kontrolü. Grant bölümüne girin, Block access seçeneğini işaretleyin ve Select ile onaylayın. Policy'nin hemen canlıya alınması yerine ilk aşamada Report-only modunu tercih edin. Bu sayede policy'nin kime ve neye etki edeceğini gerçek engel olmadan görebilirsiniz. Testler tamamlandığında Enable policy ayarını On konumuna alın ve Create butonuna basın.

Konfigürasyonda aklınızda bulundurmanız gereken birkaç nokta var. Policy'nin tam olarak devreye girmesi 5-10 dakika sürebilir; hemen sonuç beklemeyin. Erişim hâlâ engellenmiyorsa Enable policy durumunun gerçekten On olduğunu kontrol edin, Report-only modunda çalışıyor olabilir. Tüm agent'lar yerine spesifik birkaç agent'ı hedeflemek istiyorsanız, o agent'ların kimlik bilgilerine göre ayrı policy'ler oluşturmanız gerekiyor. Etki analizi için Sign-in logs ve Conditional Access assessment araçlarını kullanın.