Aracılığıyla paylaş

Microsoft Entra Id'de korumalı eylemler ekleme, test veya kaldırma

  • Makale

Microsoft Entra Id'deki korumalı eylemler , kullanıcı bir eylem gerçekleştirmeye çalıştığında uygulanan Koşullu Erişim ilkeleri atanmış izinlerdir. Bu makalede korumalı eylemlerin nasıl ekleneceği, testleneceği veya kaldırılacağı açıklanır.

Dekont

Korumalı eylemlerin düzgün yapılandırıldığından ve uygulandığından emin olmak için aşağıdaki sırayla bu adımları gerçekleştirmelisiniz. Bu sırayı izlemezseniz, yeniden kimlik doğrulaması için yinelenen istekler alma gibi beklenmeyen davranışlarla karşılaşabilirsiniz.

Önkoşullar

Korumalı eylemleri eklemek veya kaldırmak için şunlara sahip olmanız gerekir:

1. Adım: Koşullu Erişim ilkesini yapılandırma

Korumalı eylemler koşullu erişim kimlik doğrulaması bağlamı kullanır, bu nedenle bir kimlik doğrulama bağlamı yapılandırmanız ve bunu bir Koşullu Erişim ilkesine eklemeniz gerekir. Kimlik doğrulama bağlamı olan bir ilkeniz zaten varsa sonraki bölüme atlayabilirsiniz.

  1. Microsoft Entra yönetim merkezinde oturum açın.

  2. Koruma>Koşullu Erişim>Kimlik Doğrulaması bağlamı>Kimlik doğrulaması bağlamı'ni seçin.

  3. Kimlik doğrulaması bağlamı ekle bölmesini açmak için Yeni kimlik doğrulama bağlamı'nı seçin.

  4. Bir ad ve açıklama girip Kaydet'i seçin.

    Screenshot of Add authentication context pane to add a new authentication context.

  5. Yeni ilke oluşturmak için İlkeler>Yeni ilke'yi seçin.

  6. Yeni bir ilke oluşturun ve kimlik doğrulama bağlamınızı seçin.

    Daha fazla bilgi için bkz . Koşullu Erişim: Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı.

    Screenshot of New policy page to create a new policy with an authentication context.

2. Adım: Korumalı eylemler ekleme

Koruma eylemleri eklemek için, Koşullu Erişim kimlik doğrulaması bağlamı kullanarak bir veya daha fazla izine Koşullu Erişim ilkesi atayın.

  1. Koruma>Koşullu Erişim>İlkeleri'ni seçin.

  2. Korumalı eyleminizle kullanmayı planladığınız Koşullu Erişim ilkesinin durumunun Kapalı veya Yalnızca Rapor değil Açık olarak ayarlandığından emin olun.

  3. Kimlik>Rolleri ve yöneticiler>Korumalı eylemler'i seçin.

    Screenshot of Add protected actions page in Roles and administrators.

  4. Yeni bir korumalı eylem eklemek için Korumalı eylemler ekle'yi seçin.

    Korumalı eylemler ekle devre dışıysa, Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rolüne atandığınızdan emin olun. Daha fazla bilgi için bkz . Korumalı eylemlerle ilgili sorunları giderme.

  5. Yapılandırılmış bir Koşullu Erişim kimlik doğrulaması bağlamı seçin.

  6. İzinleri seç'i seçin ve Koşullu Erişim ile korunacak izinleri seçin.

    Screenshot of Add protected actions page with permissions selected.

  7. Ekle'yi seçin.

  8. İşlem tamamlandığında Kaydet'i seçin.

    Yeni korumalı eylemler, korumalı eylemler listesinde görünür

3. Adım: Korumalı eylemleri test edin

Bir kullanıcı korumalı bir eylem gerçekleştirdiğinde Koşullu Erişim ilkesi gereksinimlerini karşılaması gerekir. Bu bölümde, bir ilkeyi karşılaması istenen bir kullanıcının deneyimi gösterilir. Bu örnekte kullanıcının Koşullu Erişim ilkelerini güncelleştirebilmesi için önce bir FIDO güvenlik anahtarıyla kimlik doğrulaması gerekir.

  1. İlkeyi karşılaması gereken bir kullanıcı olarak Microsoft Entra yönetim merkezinde oturum açın.

  2. Koruma>Koşullu Erişim'i seçin.

  3. Görüntülemek için bir Koşullu Erişim ilkesi seçin.

    Kimlik doğrulama gereksinimleri karşılanmamış olduğundan ilke düzenleme devre dışı bırakıldı. Sayfanın alt kısmında aşağıdaki not yer aldı:

    Düzenleme, ek bir erişim gereksinimiyle korunur. Yeniden kimlik doğrulaması yapmak için buraya tıklayın.

    Screenshot of a disabled Conditional Access policy with a note indicating to reauthenticate.

  4. Yeniden kimlik doğrulaması yapmak için buraya tıklayın'ı seçin.

  5. Tarayıcı Microsoft Entra oturum açma sayfasına yeniden yönlendirildiğinde kimlik doğrulama gereksinimlerini tamamlayın.

    Screenshot of a sign-in page to reauthenticate.

    Kimlik doğrulama gereksinimleri tamamlandıktan sonra ilke düzenlenebilir.

  6. İlkeyi düzenleyin ve değişiklikleri kaydedin.

    Screenshot of an enabled Conditional Access policy that can be edited.

Korumalı eylemleri kaldırma

Koruma eylemlerini kaldırmak için koşullu erişim ilkesi gereksinimlerini izinden kaldırın.

  1. Kimlik>Rolleri ve yöneticiler>Korumalı eylemler'i seçin.

  2. Atamayı kaldırma izni Koşullu Erişim ilkesini bulun ve seçin.

    Screenshot of Protected actions page with permission selected to remove.

  3. Araç çubuğunda Kaldır'ı seçin.

    Korumalı eylemi kaldırdıktan sonra, iznin Koşullu Erişim gereksinimi olmaz. İzine yeni bir Koşullu Erişim ilkesi atanabilir.

Microsoft Graph

Korumalı eylemler ekleme

Korumalı eylemler, bir izne kimlik doğrulama bağlamı değeri atanarak eklenir. Kiracıda kullanılabilen kimlik doğrulama bağlamı değerleri authenticationContextClassReference API'sine çağrılarak bulunabilir.

Kimlik doğrulama bağlamı, unifiedRbacResourceAction API beta uç noktası kullanılarak bir izne atanabilir:

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

Aşağıdaki örnek, izinde microsoft.directory/conditionalAccessPolicies/delete ayarlanan kimlik doğrulama bağlam kimliğinin nasıl alındığını gösterir.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

Özelliği isAuthenticationContextSettable true olarak ayarlanmış kaynak eylemleri kimlik doğrulama bağlamını destekler. Özelliğin authenticationContextId değerine sahip kaynak eylemleri, eyleme atanmış kimlik doğrulaması bağlam kimliğidir.

ve authenticationContextId özelliklerini görüntülemek isAuthenticationContextSettable için, kaynak eylemi API'sine istekte bulunurken select deyimine dahil edilmeleri gerekir.

Korumalı eylemlerle ilgili sorunları giderme

Belirti - Kimlik doğrulama bağlamı değeri seçilemiyor

Koşullu Erişim kimlik doğrulaması bağlamı seçmeye çalışırken seçilebilecek değer yoktur.

Screenshot of Add protected actions page with no authentication context to select.

Neden

Kiracıda Koşullu Erişim kimlik doğrulaması bağlam değeri etkinleştirilmedi.

Çözüm

Yeni bir kimlik doğrulama bağlamı ekleyerek kiracı için kimlik doğrulama bağlamını etkinleştirin. Uygulamada yayımla seçeneğinin işaretli olduğundan emin olun; böylece değer seçilebilir. Daha fazla bilgi için bkz . Kimlik doğrulama bağlamı.

Belirti - İlke tetiklenmiyor

Bazı durumlarda, korumalı bir eylem eklendikten sonra kullanıcılar beklendiği gibi istenmeyebilir. Örneğin, ilke çok faktörlü kimlik doğrulaması gerektiriyorsa, kullanıcı oturum açma istemini göremeyebilir.

Neden 1

Kullanıcı korumalı eylem için kullanılan Koşullu Erişim ilkelerine atanmadı.

Çözüm 1

Kullanıcıya ilke atandığını denetlemek için Koşullu Erişim Durum aracını kullanın. Aracı kullanırken, korumalı eylemle birlikte kullanılan kullanıcıyı ve kimlik doğrulama bağlamını seçin. Durum'u seçin ve beklenen ilkenin uygulanacak ilkeler tablosunda listelendiğini doğrulayın. İlke geçerli değilse, ilke kullanıcı atama koşulunu denetleyin ve kullanıcıyı ekleyin.

Neden 2

Kullanıcı daha önce ilkeyi karşılamıştır. Örneğin, aynı oturumun önceki bölümlerinde tamamlanan çok faktörlü kimlik doğrulaması.

Çözüm 2

Sorun gidermek için Microsoft Entra oturum açma olaylarını denetleyin. Oturum açma olayları, kullanıcının çok faktörlü kimlik doğrulamasını zaten tamamlayıp tamamlamadığı da dahil olmak üzere oturumla ilgili ayrıntıları içerir. Oturum açma günlükleriyle ilgili sorunları giderirken, bir kimlik doğrulama bağlamı istendiğinden emin olmak için ilke ayrıntıları sayfasını denetlemek de yararlı olur.

Belirti - İlke hiçbir zaman karşılanamadı

Koşullu Erişim ilkesinin gereksinimlerini gerçekleştirmeye çalıştığınızda, ilke hiçbir zaman karşılanmaz ve yeniden kimlik doğrulaması isteği almaya devam eder.

Neden

Koşullu Erişim ilkesi oluşturulmadı veya ilke durumu Kapalı veya Yalnızca rapor.

Çözüm

Yoksa Koşullu Erişim ilkesini oluşturun veya durumu Açık olarak ayarlayın.

Korumalı eylem ve yeniden kimlik doğrulama istekleri nedeniyle Koşullu Erişim sayfasına erişemiyorsanız, Koşullu Erişim sayfasını açmak için aşağıdaki bağlantıyı kullanın.

Belirti - Korumalı eylemler eklemeye erişim yok

Oturum açtığınızda korumalı eylemleri ekleme veya kaldırma izniniz yoktur.

Neden

Korumalı eylemleri yönetme izniniz yok.

Çözüm

Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rolüne atandığınızdan emin olun.

Belirti - Korumalı eylem gerçekleştirmek için PowerShell kullanılarak döndürülen hata

Korumalı bir eylem gerçekleştirmek için PowerShell kullanılırken bir hata döndürülür ve Koşullu Erişim ilkesini karşılamaya yönelik bir istem yoktur.

Neden

Microsoft Graph PowerShell, ilke istemlerine izin vermek için gereken adım adım kimlik doğrulamasını destekler. Azure ve Azure AD Graph PowerShell, adım adım kimlik doğrulaması için desteklenmez.

Çözüm

Microsoft Graph PowerShell kullandığınızdan emin olun.

Sonraki adımlar