Aracılığıyla paylaş

Koşullu Erişim: Ağ ataması

Yöneticiler, karar verme sürecindeki diğer koşullarla birlikte belirli ağ konumlarını sinyal olarak hedefleyen ilkeler oluşturabilir. İlke yapılandırmalarının bir parçası olarak bu ağ konumlarını dahil edebilir veya dışlayabilirler. Bu ağ konumları genel IPv4 veya IPv6 ağ bilgilerini, ülkeleri veya bölgeleri, belirli ülke veya bölgelerle eşleşmeyen bilinmeyen alanları veya Genel Güvenli Erişim uyumlu ağı içerebilir.

Koşullu Erişim sinyallerini ve kuruluş ilkesini zorunlu kılma kararını gösteren diyagram.

Not veya Dipnot (depending on context)

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, hizmet reddi (DoS) saldırıları gibi senaryolar için kuruluşun ön savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Kuruluşlar aşağıdaki gibi yaygın görevler için bu konumları kullanabilir:

  • Şirket ağı dışındayken bir hizmete erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme.
  • Kuruluşunuzun hiçbir zaman faaliyet göstermeyecekleri belirli ülkelerden erişimi engelleme.

Kullanıcının konumu, genel IP adresi veya Microsoft Authenticator uygulaması tarafından sağlanan GPS koordinatları kullanılarak belirlenir. Koşullu Erişim ilkeleri varsayılan olarak tüm konumlara uygulanır.

İpucu

Konum koşulu taşındı ve olarak yeniden adlandırıldı. Başlangıçta, bu koşul hem Atama düzeyinde hem de Koşullar altında görünür.

Güncelleştirmeler veya değişiklikler her iki konumda da görünür. İşlevsellik aynı kalır ve Konum'u kullanan mevcut politikalar değişiklik yapılmadan çalışmaya devam eder.

Koşullu Erişim ilkesindeki ağ atama koşulunu gösteren ekran görüntüsü.

Politika içinde yapılandırıldığında

Konum koşulunu yapılandırırken şunları ayırt edebilirsiniz:

  • Herhangi bir ağ veya konum
  • Tüm güvenilen ağlar ve konumlar
  • Tüm Uyumlu Ağ konumları
  • Seçili ağlar ve konumlar

Herhangi bir ağ veya konum

Herhangi bir konum seçildiğinde, internet üzerindeki adresler de dahil olmak üzere tüm IP adreslerine bir ilke uygulanır. Bu ayar, adlandırılmış konumlar olarak ayarladığınız IP adresleriyle sınırlı değildir. Herhangi bir konum'u seçtiğinizde, belirli konumları bir ilkeden hariç tutabilirsiniz. Örneğin, kapsamı şirket ağı dışındaki konumlara sınırlamak için güvenilen konumlar dışındaki tüm konumlara bir ilke uygulayın.

Tüm güvenilen ağlar ve konumlar

Bu seçenek şunlar için geçerlidir:

  • Güvenilen konumlar olarak işaretlenmiş tüm konumlar.
  • Yapılandırılmışsa, güvenilir IP'ler için çok faktörlü kimlik doğrulaması.

Çok faktörlü kimlik doğrulama güvenilen IP'ler

Çok faktörlü kimlik doğrulamasının hizmet ayarlarının güvenilen IP'ler bölümünün kullanılması önerilmez. Bu denetim yalnızca IPv4 adreslerini kabul eder ve Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırma makalesinde ele alınan belirli senaryolar için tasarlanmıştır.

Bu güvenilen IP'leri yapılandırdıysanız, konum koşulunun konum listesinde MFA Güvenilen IP'leri olarak gösterilirler.

Tüm Uyumlu Ağ konumları

Global Secure Access özelliklerine erişimi olan kuruluşlar, kuruluşunuzun güvenlik politikalarına uyan kullanıcılardan ve cihazlardan oluşan başka bir konumu listelenmiş olarak görür. Daha fazla bilgi için bkz: Koşullu Erişim için Genel Güvenli Erişim sinyalini etkinleştirme. Kaynaklara erişim için uyumlu bir ağ denetimi gerçekleştirmek için Koşullu Erişim ilkeleriyle birlikte kullanın.

Seçili ağlar ve konumlar

Bu seçenekle, bir veya daha fazla adlandırılmış konum seçin. Bu ayara sahip bir ilkenin uygulanabilmesi için kullanıcının seçili konumlardan birinden bağlanması gerekir. Seç'i seçtiğinizde, tanımlı konumların bir listesi açılır. Bu liste adı, türü ve ağ konumunun güvenilir olarak işaretlenip işaretlenmediğini gösterir.

Bu konumlar nasıl tanımlanır?

Konumlar, Microsoft Entra yönetim merkezinde, Entra Id>Koşullu Erişim>Adlandırılmış konumlar'ın altındadır. En az Koşullu Erişim Yöneticisi rolüne sahip yöneticiler adlandırılmış konumlar oluşturabilir ve güncelleştirebilir.

Microsoft Entra yönetim merkezindeki adlandırılmış konumların ekran görüntüsü.

Adlandırılmış konumlar, bir kuruluşun genel merkez ağ aralıklarını, VPN ağ aralıklarını veya engellemek istediğiniz aralıkları içerebilir. Adlandırılmış konumlar IPv4 adres aralıklarını, IPv6 adres aralıklarını veya ülkeleri içerir.

IPv4 ve IPv6 adres aralıkları

Genel IPv4 veya IPv6 adres aralıklarına göre adlandırılmış bir konum tanımlamak için şunları sağlayın:

  • Konum için bir Ad.
  • Bir veya daha fazla genel IP aralığı.
  • İsteğe bağlı olarak Güvenilen konum olarak işaretle.

IPv4 veya IPv6 adres aralıkları tarafından tanımlanan adlandırılmış konumlar aşağıdaki sınırlamalara sahiptir:

  • En fazla 195 adet adlandırılmış konum.
  • Adlandırılmış konum başına en fazla 2000 IP aralığı.
  • Bir IP aralığı tanımlarken yalnızca /8'den büyük CIDR maskelerine izin verilir.

Özel ağdaki cihazlar için IP adresi, kullanıcının intranetteki cihazının istemci IP adresi değildir (10.55.99.3 gibi), ağ tarafından genel İnternet'e bağlanmak için kullanılan adrestir (198.51.100.3 gibi).

Güvenilen konumlar

Yöneticiler, kuruluşunuzun genel ağ aralıkları gibi IP tabanlı konumları güvenilir olarak işaretleyebilir. Bu işaretleme, özellikler tarafından çeşitli şekillerde kullanılır.

  • Koşullu Erişim ilkeleri bu konumları içerebilir veya dışlayabilir.
  • Güvenilen adlandırılmış konumlardan yapılan oturum açma işlemleri, Microsoft Entra Kimlik Koruması risk hesaplamasının doğruluğunu artırır.

Güvenilir olarak işaretlenen konumlar, önce güvenilen atama kaldırılmadan silinemez.

Ülkeler

Kuruluşlar, IP adresi veya GPS koordinatlarına göre coğrafi bir ülke veya bölge konumunu belirleyebilir.

Ülke veya bölgeye göre adlandırılmış bir konum tanımlamak için aşağıdakileri yapın:

  • Konum için bir Ad belirtin.
  • Konumu IP adresine veya GPS koordinatlarına göre belirlemeyi seçin.
  • Bir veya daha fazla ülke/bölge ekleyin.
  • İsteğe bağlı olarak Bilinmeyen ülkeleri/bölgeleri dahil et'i seçin.

Ülkeleri kullanarak yeni konum oluşturma işleminin ekran görüntüsü.

Konumu IP adresine göre belirle'yi seçerken, Microsoft Entra Id kullanıcının IPv4 veya IPv6 adresini düzenli aralıklarla güncelleştirilen eşleme tablosuna göre bir ülke veya bölgeye çözümler.

Konum belirleme özelliğini GPS koordinatlarıyla kullanmak için kullanıcıların mobil cihazlarında Microsoft Authenticator uygulamasının yüklü olması gerekir. Sistem, mobil cihazın GPS konumunu toplamak için saatte bir kez kullanıcının Microsoft Authenticator uygulamasıyla iletişim kurar.

  • Kullanıcının Microsoft Authenticator uygulamasından konumunu ilk kez paylaşması gerektiğinde, uygulamada bir bildirim alır. Kullanıcının uygulamayı açması ve konum izinleri vermesi gerekir. Sonraki 24 saat boyunca, kullanıcı kaynağa erişmeye devam ediyorsa ve uygulamaya arka planda çalışma izni verildiyse cihazın konumu saatte bir kez sessizce paylaşılır.
  • 24 saat sonra kullanıcının uygulamayı açması ve bildirimi onaylaması gerekir.
  • Kullanıcı GPS konumunu her paylaştığında uygulama, Microsoft Intune MAM SDK'sı ile aynı mantığı kullanarak jailbreak algılaması yapar. Cihaza jailbreak uygulanmışsa konum geçerli kabul edilmez ve kullanıcıya erişim verilmez.
    • Android'de Microsoft Authenticator uygulaması, jailbreak algılamayı kolaylaştırmak için Google Play Bütünlük API'sini kullanır. Google Play Bütünlük API'si kullanılamıyorsa istek reddedilir ve Koşullu Erişim ilkesi devre dışı bırakılmadığı sürece kullanıcı istenen kaynağa erişemez. Microsoft Authenticator uygulaması hakkında daha fazla bilgi için Microsoft Authenticator uygulaması hakkında sık sorulan sorular makalesine bakın.
  • Kullanıcılar, iOS ve Android cihazlar tarafından bildirilen GPS konumunu değiştirebilir. Sonuç olarak Microsoft Authenticator uygulaması, kullanıcı uygulamanın yüklü olduğu mobil cihazın gerçek GPS konumundan farklı bir konum kullandığında kimlik doğrulamalarını reddeder. Cihazlarının konumunu değiştiren kullanıcılar, GPS konum tabanlı ilkeler için bir reddetme iletisi alır.
  • Döndürülen ülke kodu, cihaz platformu API'sine bağlıdır: Örneğin, bir platform Porto Riko için ABD'yi bildirirken, başka bir platform PR'yi bildirebilir.

Not veya Dipnot (depending on context)

Yalnızca rapor modunda GPS tabanlı adlandırılmış konumlara sahip bir Koşullu Erişim ilkesi, kullanıcıların oturum açmaları engellenmese bile GPS konumlarını paylaşmalarını ister.

GPS konumu, yalnızca MFA anında iletme bildirimleri de etkinleştirildiğinde parolasız telefon oturum açma ile kullanılabilir. Kullanıcılar oturum açmak için Microsoft Authenticator'ı kullanabilir, ancak GPS konumlarını paylaşmak için sonraki MFA anında iletme bildirimlerini de onaylamaları gerekir.

GPS konumu, yalnızca parolasız kimlik doğrulama yöntemleri ayarlandığında çalışmaz.

Birden çok Koşullu Erişim ilkesi, tümü uygulanmadan önce kullanıcılardan GPS konumlarını isteyebilir. Koşullu Erişim ilkelerinin uygulanma şekli nedeniyle, konum denetimini geçen ancak başka bir ilkeyi başarısız olan bir kullanıcıya erişim reddedilebilir. İlke uygulama hakkında daha fazla bilgi için Koşullu Erişim ilkesi oluşturma makalesine bakın.

Önemli

Kullanıcılar, Microsoft Entra ID'nin Authenticator uygulamasında konumlarını denetlediğini bildiren her saat başı istemler alabilir. Bu özellik yalnızca bu davranışın kabul edilebilir olduğu veya belirli bir ülke/bölge için erişimin kısıtlanması gereken çok hassas uygulamaları korumak için kullanılmalıdır.

Bilinmeyen ülkeleri/bölgeleri dahil et

Bazı IP adresleri belirli bir ülke veya bölgeyle eşlenemez. Bu IP konumlarını yakalamak için Coğrafi konum tanımlarken Bilinmeyen ülkeleri/bölgeleri dahil et kutusunu seçin. Bu seçenek, bu IP adreslerinin adlandırılmış konuma dahil edilmesi gerekip gerekmediğini seçmenize olanak tanır. Adlandırılmış konumu kullanan ilke bilinmeyen konumlara uygulanacaksa bu ayarı kullanın.

Silinen konumları geri yükleme

Koşullu Erişim ilkesi veya konumu silinirse, 30 günlük geçici silme süresi içinde geri yüklenebilir. Koşullu Erişim ilkelerini ve adlandırılmış konumları geri yükleme hakkında daha fazla bilgi için Silmelerden kurtarma makalesine bakın.

Sık sorulan sorular

Graph API desteği var mı?

Adlandırılmış konumlar için Graph API desteği kullanılabilir. Daha fazla bilgi için namedLocation API'sine bakın.

Bulut ara sunucusu veya VPN kullanırsam ne olur?

Bulutta barındırılan bir ara sunucu veya VPN çözümü kullandığınızda, ilkeyi değerlendirirken Microsoft Entra Id'nin kullandığı IP adresi ara sunucu ip adresidir. Kullanıcının genel IP adresini içeren X-Forwarded-For (XFF) üst bilgisi, güvenilir bir kaynaktan geldiği doğrulanmadığından kullanılmaz. Bu doğrulama eksikliği, bir IP adresinin sahte olmasına izin verebilir.

Bir bulut proxy'si olduğunda, Microsoft Entra karmasına katılmış veya uyumlu bir cihaz gerektiren bir ilke yönetmek daha kolay olabilir. Bulutta barındırılan proxy'niz veya VPN çözümünüz tarafından kullanılan IP adreslerinin up-totarihli bir listesini tutmak neredeyse imkansızdır.

Kuruluşların adreste bu değişikliği önlemek ve yönetimi basitleştirmek için kaynak IP geri yüklemesini etkinleştirmek için Genel Güvenli Erişim'i kullanmalarını öneririz.

Bir konum ne zaman değerlendirilir?

Koşullu Erişim ilkeleri aşağıdaki durumlarda değerlendirilir:

  • Kullanıcı başlangıçta bir web uygulamasında, mobil uygulamada veya masaüstü uygulamasında oturum açar.
  • Modern kimlik doğrulaması kullanan bir mobil veya masaüstü uygulaması, yeni erişim belirteci almak için yenileme belirteci kullanır. Varsayılan olarak, bu denetim saatte bir kez gerçekleşir.

Bu denetim, modern kimlik doğrulaması kullanan mobil ve masaüstü uygulamaları için ağ konumunun değiştirilmesinden sonra bir saat içinde konum değişikliği algılandığından kaynaklanır. Modern kimlik doğrulaması kullanmayan mobil ve masaüstü uygulamaları için ilke her belirteç isteği için geçerlidir. İsteğin sıklığı uygulamaya göre değişebilir. Benzer şekilde, web uygulamaları için ilkeler ilk oturum açmada uygulanır ve web uygulamasındaki oturumun ömrü için uygundur. Uygulamalar arasında oturum ömrü farklılıkları nedeniyle, ilke değerlendirmesi arasındaki süre değişir. Uygulama her yeni oturum açma belirteci istediğinde ilke uygulanır.

Varsayılan olarak, Microsoft Entra Id belirteçleri saatlik olarak verir. Kullanıcılar şirket ağından taşındıktan sonra, ilke modern kimlik doğrulaması kullanan uygulamalar için bir saat içinde uygulanır.

Konumları ne zaman engelleyebilirsiniz?

Erişimi engellemek için konum koşulunu kullanan bir ilke kısıtlayıcı olarak kabul edilir ve kapsamlı test sonrasında dikkatli bir şekilde yapılmalıdır. Kimlik doğrulamasını engellemek için konum koşulunu kullanmanın bazı örnekleri şunlar olabilir:

  • Kuruluşunuzun hiçbir zaman iş görmediği ülkeleri/bölgeleri engelleme.
  • Aşağıdakiler gibi belirli IP aralıklarını engelleme:
    • Bir güvenlik duvarı ilkesi değiştirilmeden önce bilinen kötü amaçlı IP'ler.
    • Son derece hassas veya ayrıcalıklı eylemler ve bulut uygulamaları.
    • Muhasebe veya bordro uygulamalarına erişim gibi kullanıcıya özgü IP aralığına göre.

İlgili içerik

  • Konum kullanarak örnek bir Koşullu Erişim ilkesi yapılandırın.
  • Last updated on