Microsoft Entra Id'deki korumalı eylemler nelerdir?
Microsoft Entra Id'deki korumalı eylemler, Koşullu Erişim ilkeleri atanmış izinlerdir. Bir kullanıcı korumalı bir eylem gerçekleştirmeye çalıştığında, önce gerekli izinlere atanan Koşullu Erişim ilkelerini karşılaması gerekir. Örneğin, yöneticilerin Koşullu Erişim ilkelerini güncelleştirmesine izin vermek için, önce Kimlik Avına dayanıklı MFA ilkesini karşılamalarını zorunlu kılabilirsiniz.
Bu makalede, korumalı eyleme ve bunları kullanmaya başlamaya genel bir bakış sağlanır.
Korumalı eylemler neden kullanılır?
Ek bir koruma katmanı eklemek istediğinizde korumalı eylemleri kullanırsınız. Korumalı eylemler, güçlü Koşullu Erişim ilkesi koruması gerektiren izinlere, kullanılan rolden veya kullanıcıya nasıl izin verildiğinden bağımsız olarak uygulanabilir. İlke zorlaması, kullanıcı oturum açma veya kural etkinleştirme sırasında değil, korumalı eylemi gerçekleştirmeyi denediğinde gerçekleştiğinden, kullanıcılardan yalnızca gerektiğinde istenir.
Hangi ilkeler genellikle korumalı eylemlerle kullanılır?
Tüm hesaplarda, özellikle ayrıcalıklı rollere sahip hesaplarda çok faktörlü kimlik doğrulaması kullanmanızı öneririz. Korumalı eylemler ek güvenlik gerektirmek için kullanılabilir. Burada bazı yaygın ve daha güçlü Koşullu Erişim ilkeleri yer alır.
- Parolasız MFA veya Kimlik Avına dayanıklı MFA gibi daha güçlü MFA kimlik doğrulaması güçlü yanları,
- Koşullu Erişim ilkesi cihaz filtrelerini kullanarak ayrıcalıklı erişim iş istasyonları.
- Koşullu Erişim oturum açma sıklığı oturum denetimlerini kullanarak daha kısa oturum zaman aşımları.
Korumalı eylemlerle hangi izinler kullanılabilir?
Koşullu Erişim ilkeleri sınırlı izin kümesine uygulanabilir. Korumalı eylemleri aşağıdaki alanlarda kullanabilirsiniz:
- Koşullu Erişim ilkesi yönetimi
- Kiracılar arası erişim ayarları yönetimi
- Ağ konumlarını tanımlayan özel kurallar
- Korumalı eylem yönetimi
İlk izin kümesi aşağıdadır:
| İzin | Açıklama |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Koşullu Erişim ilkeleri için temel özellikleri güncelleştirme |
| microsoft.directory/conditionalAccessPolicies/create | Koşullu Erişim ilkeleri oluşturma |
| microsoft.directory/conditionalAccessPolicies/delete | Koşullu Erişim ilkelerini silme |
| microsoft.directory/conditionalAccessPolicies/basic/update | Koşullu erişim ilkeleri için temel özellikleri güncelleştirme |
| microsoft.directory/conditionalAccessPolicies/create | Koşullu erişim ilkeleri oluşturma |
| microsoft.directory/conditionalAccessPolicies/delete | Koşullu erişim ilkelerini silme |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Kiracılar arası erişim ilkesinin izin verilen bulut uç noktalarını güncelleştirme |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Varsayılan kiracılar arası erişim ilkesinin Microsoft Entra B2B işbirliği ayarlarını güncelleştirme |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Bağlan/update | Varsayılan kiracılar arası erişim ilkesinin Microsoft Entra B2B doğrudan bağlantı ayarlarını güncelleştirme |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Varsayılan kiracılar arası erişim ilkesinin bulutlar arası Teams toplantı ayarlarını güncelleştirin. |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Varsayılan kiracılar arası erişim ilkesinin kiracı kısıtlamalarını güncelleştirin. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | İş ortakları için kiracılar arası erişim ilkesinin Microsoft Entra B2B işbirliği ayarlarını güncelleştirin. |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Bağlan/update | İş ortakları için kiracılar arası erişim ilkesinin Microsoft Entra B2B doğrudan bağlantı ayarlarını güncelleştirin. |
| microsoft.directory/crossTenantAccessPolicy/partners/create | İş ortakları için kiracılar arası erişim ilkesi oluşturun. |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | İş ortakları için kiracılar arası erişim ilkesinin bulutlar arası Teams toplantı ayarlarını güncelleştirin. |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | İş ortakları için kiracılar arası erişim ilkesini silin. |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | İş ortakları için kiracılar arası erişim ilkesinin kiracı kısıtlamalarını güncelleştirin. |
| microsoft.directory/namedLocations/basic/update | Ağ konumlarını tanımlayan özel kuralların temel özelliklerini güncelleştirme |
| microsoft.directory/namedLocations/create | Ağ konumlarını tanımlayan özel kurallar oluşturma |
| microsoft.directory/namedLocations/delete | Ağ konumlarını tanımlayan özel kuralları silme |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 rol tabanlı erişim denetimi (RBAC) kaynak eylemlerinin Koşullu Erişim kimlik doğrulaması bağlamını güncelleştirme |
Korumalı eylemler Privileged Identity Management rol etkinleştirme ile karşılaştırıldığında nasıldır?
Ayrıcalıklı Kimlik Yönetimi rol etkinleştirme işlemine Koşullu Erişim ilkeleri de atanabilir. Bu özellik yalnızca kullanıcı bir rolü etkinleştirdiğinde ilke zorlamaya olanak tanır ve en kapsamlı korumayı sağlar. Korumalı eylemler, yalnızca kullanıcı koşullu erişim ilkesi atanmış izinler gerektiren bir eylem gerçekleştirdiğinde uygulanır. Korumalı eylemler, kullanıcı rolünden bağımsız olarak yüksek etki izinlerinin korunmasına olanak tanır. Ayrıcalıklı Kimlik Yönetimi rolü etkinleştirme ve korumalı eylemler daha güçlü bir kapsam için birlikte kullanılabilir.
Korumalı eylemleri kullanma adımları
Not
Korumalı eylemlerin düzgün yapılandırıldığından ve uygulandığından emin olmak için aşağıdaki sırayla bu adımları gerçekleştirmelisiniz. Bu sırayı izlemezseniz, yeniden kimlik doğrulaması için yinelenen istekler alma gibi beklenmeyen davranışlarla karşılaşabilirsiniz.
İzinleri denetleme
Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rollerinin atandığını denetleyin. Aksi takdirde, uygun rolü atamak için yöneticinize danışın.
Koşullu Erişim ilkesini yapılandırma
Koşullu Erişim kimlik doğrulaması bağlamı ve ilişkili bir Koşullu Erişim ilkesi yapılandırın. Korumalı eylemler, Microsoft Entra izinleri gibi bir hizmetteki ayrıntılı kaynaklar için ilke zorlamaya olanak tanıyan bir kimlik doğrulama bağlamı kullanır. Başlangıç olarak parolasız MFA gerektirmek ve acil durum hesabını hariç tutmak iyi bir ilkedir. Daha fazla bilgi edinin
Korumalı eylemler ekleme
Seçili izinlere Koşullu Erişim kimlik doğrulaması bağlam değerleri atayarak korumalı eylemler ekleyin. Daha fazla bilgi edinin
Korumalı eylemleri test edin
Kullanıcı olarak oturum açın ve korumalı eylemi gerçekleştirerek kullanıcı deneyimini test edin. Koşullu Erişim ilkesi gereksinimlerini karşılamanız istenmelidir. Örneğin, ilke çok faktörlü kimlik doğrulaması gerektiriyorsa oturum açma sayfasına yönlendirilmeli ve güçlü kimlik doğrulaması istenmelidir. Daha fazla bilgi edinin
Korumalı eylemler ve uygulamalarla ne olur?
Bir uygulama veya hizmet bir koruma eylemi gerçekleştirmeye çalışırsa, gerekli Koşullu Erişim ilkesini işleyebilmelidir. Bazı durumlarda kullanıcının müdahale edip ilkeyi karşılaması gerekebilir. Örneğin, çok faktörlü kimlik doğrulamasını tamamlamak için gerekli olabilir. Aşağıdaki uygulamalar korumalı eylemler için adım adım kimlik doğrulamasını destekler:
- Microsoft Entra yönetim merkezindeki eylemler için Microsoft Entra yönetici deneyimleri
- Microsoft Graph PowerShell
- Graph Gezgini
Bazı bilinen ve beklenen sınırlamalar vardır. Korumalı bir eylem gerçekleştirmeye çalışırlarsa aşağıdaki uygulamalar başarısız olur.
- Azure PowerShell
- Azure AD PowerShell
- Microsoft Entra yönetim merkezinde yeni kullanım koşulları sayfası veya özel denetim oluşturma. Yeni kullanım koşulları sayfaları veya özel denetimler Koşullu Erişim'e kaydedilir, bu nedenle Koşullu Erişim oluşturma, güncelleştirme ve silme eylemlerine tabidir. Koşullu Erişim oluşturma, güncelleştirme ve silme eylemlerinden ilke gereksiniminin geçici olarak kaldırılması, yeni bir kullanım koşulları sayfası veya özel denetim oluşturulmasına olanak sağlar.
Kuruluşunuz korumalı bir eylem gerçekleştirmek için Microsoft Graph API'sini çağıran bir uygulama geliştirdiyse, adım adım kimlik doğrulamasını kullanarak talep sınamasını işlemeye yönelik kod örneğini gözden geçirmeniz gerekir. Daha fazla bilgi için bkz . Koşullu Erişim kimlik doğrulaması bağlamı için geliştirici kılavuzu.
En iyi yöntemler
Korumalı eylemleri kullanmaya yönelik bazı en iyi yöntemler aşağıdadır.
Acil durum hesabınız var
Korumalı eylemler için Koşullu Erişim ilkelerini yapılandırırken, ilkenin dışında tutulan bir acil durum hesabına sahip olduğunuzdan emin olun. Bu, yanlışlıkla kilitlenmeye karşı bir azaltma sağlar.
Kullanıcı ve oturum açma riski ilkelerini Koşullu Erişim'e taşıma
Koşullu Erişim izinleri, Microsoft Entra Kimlik Koruması risk ilkelerini yönetirken kullanılmaz. Kullanıcı ve oturum açma riski ilkelerini Koşullu Erişim'e taşımanızı öneririz.
Adlandırılmış ağ konumlarını kullanma
Çok faktörlü kimlik doğrulaması güvenilen IP'leri yönetildiğinde adlandırılmış ağ konumu izinleri kullanılmaz. Adlandırılmış ağ konumlarını kullanmanızı öneririz.
Kimlik veya grup üyeliğine göre erişimi engellemek için korumalı eylemleri kullanmayın
Korumalı eylemler, korumalı eylem gerçekleştirmek için erişim gereksinimi uygulamak için kullanılır. Yalnızca kullanıcı kimliğine veya grup üyeliğine dayalı olarak bir iznin kullanımını engellemeye yönelik değildir. Belirli izinlere erişimi olan kişiler yetkilendirme kararıdır ve rol ataması tarafından denetlenmelidir.
Lisans gereksinimleri
Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.