Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genel bakış
Koşullu Erişim ilkesinde, yöneticiler ilke kararlarını geliştirmek için bir veya daha fazla sinyal kullanır.
Yöneticiler belirli, ayrıntılı Koşullu Erişim ilkeleri oluşturmak için birden çok koşulu birleştirir.
Kullanıcılar hassas bir uygulamaya eriştiğinde, yöneticiler erişim kararlarında aşağıdakiler gibi birden çok koşulu göz önünde bulundurabilir:
- Microsoft Entra ID Protection'dan risk bilgileri
- Ağ konumu
- Cihaz bilgileri
Acenta Riski (Önizleme)
Kimlik Koruması'na erişimi olan yöneticiler, koşullu erişim ilkesinin bir parçası olarak aracı riskini değerlendirebilir. Bir ajanın ele geçirilme olasılığını gösteren ajan riski.
Kullanıcı riski
Kimlik Koruması'na erişimi olan yöneticiler, koşullu erişim ilkesinin bir parçası olarak kullanıcı riskini değerlendirebilir. Kullanıcı riski, bir kimliğin veya hesabın gizliliğinin tehlikeye atılmış olma olasılığını gösterir. Kullanıcı riski hakkında daha fazla bilgi için bkz. Risk nedir ve Risk ilkelerini yapılandırma ve etkinleştirme.
Giriş riski
Kimlik Koruması'na erişimi olan yöneticiler, koşullu erişim ilkesinin bir parçası olarak oturum açma riskini değerlendirebilir. Oturum açma riski, kimlik doğrulaması isteğinin kimlik sahibi tarafından yapılmama olasılığını gösterir. Risk nedir ve risk ilkelerini nasıl yapılandırıp etkinleştireceğiniz makalelerinde oturum açma riski hakkında daha fazla bilgi edinin.
İçeriden gelen risk
Microsoft Purview uyarlamalı korumasına erişimi olan yöneticiler, Microsoft Purview'dan gelen risk sinyallerini Koşullu Erişim ilkesi kararlarına dahil edebilir. Insider riski, Microsoft Purview'dan veri idaresi, veri güvenliği ve risk ve uyumluluk yapılandırmalarınızı dikkate alır. Bu sinyaller aşağıdakiler gibi bağlamsal faktörleri temel alır:
- Kullanıcı davranışı
- Geçmiş desenler
- Anomali algılamaları
Bu koşul, yöneticilerin erişimi engelleme, daha güçlü kimlik doğrulama yöntemleri gerektirme veya kullanım koşulları kabulü gerektirme gibi eylemler yapmak için Koşullu Erişim ilkelerini kullanmasına olanak tanır.
Bu işlevsellik, özellikle kuruluş içinden kaynaklanan olası riskleri ele alan parametreler içerir. İç riski göz önünde bulundurmak için Koşullu Erişim'in yapılandırılması, yöneticilerin erişim izinlerini kullanıcı davranışı, geçmiş desenler ve anomali algılama gibi bağlamsal faktörlere göre uyarlamasına olanak tanır.
Daha fazla bilgi için bkz. Insider risk tabanlı ilkeyi yapılandırma ve etkinleştirme.
Cihaz platformları
Koşullu Erişim, cihaz tarafından sağlanan kullanıcı aracısı dizeleri gibi bilgileri kullanarak cihaz platformunu tanımlar. Kullanıcı aracısı dizeleri değiştirilebildiği için bu bilgiler doğrulanmamıştır. Microsoft Intune cihaz uyumluluk ilkeleriyle veya blok ifadesinin bir parçası olarak cihaz platformunu kullanın. Varsayılan olarak, tüm cihaz platformları için geçerlidir.
Koşullu Erişim şu cihaz platformlarını destekler:
- Android
- Ios
- Windows
- Mac OS
- Linux işletim sistemi
Diğer istemciler koşulunu kullanarak eski kimlik doğrulamasını engellerseniz, cihaz platformu koşulunu da ayarlayabilirsiniz.
Tek izin denetimleri olarak Onaylı istemci uygulaması gerektir veya Uygulama koruma ilkesi gerektir'i seçtiğinizde veya Tüm seçili denetimleri gerektir'i seçtiğinizde macOS veya Linux cihaz platformlarının seçilmesi desteklenmez.
Önemli
Microsoft, desteklenmeyen cihaz platformları için koşullu erişim ilkesi oluşturmanızı önerir. Örneğin, Chrome OS veya desteklenmeyen diğer istemcilerden şirket kaynaklarına erişimi engellemek için, herhangi bir cihazı içeren, desteklenen cihaz platformlarını dışlayan ve "Erişim izni" kontrolünü "Erişimi engelle" olarak ayarlayan bir Cihaz platformları koşuluyla bir ilke yapılandırın.
Yerleşimler
İstemci uygulamaları
Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türleri için geçerlidir.
Not
İstemci uygulamalarının koşullarının davranışları Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak mevcut bir ilkeyi seçerseniz, Yapılandır anahtarı kaldırılır ve ilkenin uygulandığı istemci yazılımları seçilir.
Önemli
Eski kimlik doğrulama istemcilerinden gelen oturum açma işlemleri çok faktörlü kimlik doğrulamasını (MFA) desteklemez ve cihaz durumu bilgilerini geçirmez, bu nedenle MFA veya uyumlu cihazlar gerektirme gibi Koşullu Erişim verme denetimleri tarafından engellenirler. Eski kimlik doğrulaması kullanması gereken hesaplarınız varsa, bu hesapları ilkenin dışında tutmanız veya ilkeyi yalnızca modern kimlik doğrulama istemcilerine uygulanacak şekilde yapılandırmanız gerekir.
Yapılandır iki durumlu düğmesi Evet olarak ayarlandığında işaretlenmiş öğeler için, Hayır olarak ayarlandığında ise modern ve eski kimlik doğrulama istemcileri de dahil olmak üzere tüm istemci uygulamaları için geçerli olur. Bu geçiş düğmesi, Ağustos 2020'den önce oluşturulmuş ilkelerde yer almaz.
- Modern kimlik doğrulama istemcileri
- Tarayıcı
- Bu istemciler SAML, WS-Federation, OpenID Connect gibi protokolleri veya OAuth gizli istemcisi olarak kaydedilen hizmetleri kullanan web tabanlı uygulamaları içerir.
- Mobil uygulamalar ve masaüstü istemcileri
- Bu seçenek, Office masaüstü ve telefon uygulamaları gibi uygulamaları içerir.
- Tarayıcı
- Eski kimlik doğrulama istemcileri
- Exchange ActiveSync istemcileri
- Bu seçim, Exchange ActiveSync (EAS) protokolünün tüm kullanımını içerir. İlke Exchange ActiveSync kullanımını engellediğinde, etkilenen kullanıcı tek bir karantina e-postası alır. Bu e-posta, engellenme nedenleri hakkında bilgi sağlar ve mümkünse düzeltme yönergelerini içerir.
- Yöneticiler, Koşullu Erişim Microsoft Graph API'sini kullanarak yalnızca desteklenen platformlara (iOS, Android ve Windows gibi) ilke uygulayabilir.
- Diğer istemciler
- Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
- SMTP - POP ve IMAP istemcileri tarafından e-posta iletileri göndermek için kullanılır.
- Otomatik Bulma - Outlook ve EAS istemcileri tarafından Exchange Online'da posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
- Exchange Online PowerShell - Uzak PowerShell ile Exchange Online'a bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz, bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz . Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e bağlanma.
- Exchange Web Services (EWS) - Outlook, Mac için Outlook ve Microsoft dışı uygulamalar tarafından kullanılan bir programlama arabirimi.
- IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
- HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 ve üzeri tarafından kullanılır.
- Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
- Outlook Anywhere (HTTP üzerinden RPC) - Outlook 2016 ve önceki sürümler tarafından kullanılır.
- Outlook Hizmeti - Windows 10 için Posta ve Takvim uygulaması tarafından kullanılır.
- POP3 - POP e-posta istemcileri tarafından kullanılır.
- Raporlama Web Hizmetleri - Exchange Online'da rapor verilerini almak için kullanılır.
- Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
- Exchange ActiveSync istemcileri
Bu koşullar yaygın olarak şunlar için kullanılır:
- Yönetilen cihaza ihtiyaç vardır
- Eski kimlik doğrulamasını engelleme
- Web uygulamalarını engelleme ama mobil veya masaüstü uygulamalarına izin verme
Desteklenen tarayıcılar
Bu ayar tüm tarayıcılarda çalışır. Ancak, uyumlu bir cihaz gereksinimi gibi bir cihaz ilkesini karşılamak için aşağıdaki işletim sistemleri ve tarayıcılar desteklenir. İşletim Sistemleri ve tarayıcılar temel desteğin dışında bu listede gösterilmez:
| İşletim Sistemleri | Tarayıcılar |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| Ios | Microsoft Edge, Safari (notlara bakın) |
| Android | Microsoft Edge, Chrome |
| Mac OS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Linux Masaüstü | Microsoft Edge |
Bu tarayıcılar cihaz kimlik doğrulamasını destekleyerek cihazın bir ilkeye göre tanımlanmasına ve doğrulanmasına olanak tanır. Tarayıcı özel modda çalışıyorsa veya tanımlama bilgileri devre dışı bırakıldıysa cihaz denetimi başarısız olur.
Not
Microsoft Edge 85+, cihaz kimliğini düzgün bir şekilde geçirmek için kullanıcının tarayıcıda oturum açmasını gerektirir. Aksi takdirde, Microsoft Çoklu Oturum Açma uzantısı olmadan Chrome gibi davranır. Bu oturum açma işlemi karma cihaz birleştirme senaryosunda otomatik olarak gerçekleşmeyebilir.
Safari, yönetilen bir cihazda cihaz tabanlı Koşullu Erişim için desteklenir, ancak Onaylı istemci uygulaması gerektiren veya Uygulama koruma ilkesi gerektiren koşullarını karşılayamaz. Microsoft Edge gibi yönetilen bir tarayıcı, onaylanan istemci uygulaması ve uygulama koruma ilkesi gereksinimlerini karşılar. Microsoft dışı MDM çözümlerine sahip iOS'ta cihaz ilkesini yalnızca Microsoft Edge tarayıcısı destekler.
Firefox 91+ , cihaz tabanlı Koşullu Erişim için desteklenir, ancak "Microsoft, iş ve okul hesapları için Windows çoklu oturum açmasına izin ver" seçeneğinin etkinleştirilmesi gerekir.
Chrome 111+ cihaz tabanlı Koşullu Erişim için desteklenir, ancak "CloudApAuthEnabled" özelliğinin etkinleştirilmesi gerekir.
Kurumsal SSO eklentisini kullanan macOS cihazları, Google Chrome'da SSO ve cihaz tabanlı Koşullu Erişimi desteklemek için Microsoft Çoklu Oturum Açma uzantısını gerektirir.
Firefox tarayıcısını kullanan macOS cihazlarının macOS sürüm 10.15 veya üzerini çalıştırması ve Microsoft Enterprise SSO eklentisinin uygun şekilde yüklenmiş ve yapılandırılmış olması gerekir.
Tarayıcıda neden bir sertifika istemi görüyorum?
Windows 7'de iOS, Android ve macOS cihazları bir istemci sertifikası kullanılarak tanımlanır. Bu sertifika, cihaz kaydedildiğinde sağlanır. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Kullanıcının tarayıcıyı kullanmadan önce bu sertifikayı seçmesi gerekir.
Chrome desteği
Windows
Windows 10 Creators Update (sürüm 1703) veya sonraki sürümlerde Chrome desteği için Microsoft Çoklu Oturum Açma uzantısını yükleyin veya Chrome'un CloudAPAuthEnabled'ını etkinleştirin. Koşullu Erişim ilkesi windows platformları için cihaza özgü ayrıntılar gerektirdiğinde bu yapılandırmalar gereklidir.
CloudAPAuthEnabled ilkesini Chrome'da otomatik olarak etkinleştirmek için aşağıdaki kayıt defteri anahtarını oluşturun:
- Yol:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Ad:
CloudAPAuthEnabled - Değer:
0x00000001 - MülkiyetTürü:
DWORD
Microsoft Çoklu Oturum Açma uzantısını Chrome tarayıcılarına otomatik olarak dağıtmak için, Chrome'da ExtensionInstallForcelist ilkesini kullanarak aşağıdaki kayıt defteri anahtarını oluşturun:
- Yol:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Ad:
1 - Tür:
REG_SZ (String) - Veri:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Windows 8.1 ve 7'de Chrome desteği için aşağıdaki kayıt defteri anahtarını oluşturun:
- Yol:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Ad:
1 - Tür:
REG_SZ (String) - Veri:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Mac OS
Kurumsal SSO eklentisini kullanan macOS cihazları, Google Chrome'da SSO ve cihaz tabanlı Koşullu Erişimi desteklemek için Microsoft Çoklu Oturum Açma uzantısını gerektirir.
Google Chrome'un MDM tabanlı dağıtımları ve uzantı yönetimi için Mac'te Chrome tarayıcısını ayarlama ve ExtensionInstallForcelist belgelerine bakın.
Desteklenen mobil uygulamalar ve masaüstü istemcileri
Yöneticiler mobil uygulamaları ve masaüstü istemcilerini istemci uygulaması olarak seçebilir.
Bu ayarın, aşağıdaki mobil uygulamalardan ve masaüstü istemcilerinden yapılan erişim girişimleri üzerinde etkisi vardır:
| İstemci uygulamaları | Hedef Hizmet | Platforma |
|---|---|---|
| Dynamics CRM uygulaması | Dynamics CRM | Windows 10, Windows 8.1, iOS ve Android |
| Posta/Takvim/Kişiler uygulaması, Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile) | Exchange Online | Windows 10 |
| Uygulamalar için MFA ve konum ilkesi. Cihaz tabanlı ilkeler desteklenmez. | Herhangi bir Uygulamalarım uygulama hizmeti | Android ve iOS |
| Microsoft Teams Hizmetleri - Bu istemci uygulaması Microsoft Teams'i destekleyen tüm hizmetleri ve tüm İstemci Uygulamalarını denetler - Windows Masaüstü, iOS, Android, WP ve web istemcisi | Microsoft Ekipleri | Windows 10, Windows 8.1, Windows 7, iOS, Android ve macOS |
| Office 2016 uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi | SharePoint | Windows 8.1, Windows 7 |
| Office 2016 uygulamaları, Evrensel Office uygulaması, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi | SharePoint Online | Windows 10 |
| Office 2016 (yalnızca Word, Excel, PowerPoint, OneNote). | SharePoint | Mac OS |
| Ofis 2019 | SharePoint | Windows 10, Mac os işletim sistemi |
| Office mobil uygulamaları | SharePoint | Android, iOS işletim sistemi |
| Office Yammer uygulaması | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, Mac os işletim sistemi |
| Outlook 2016 (macOS için Office) | Exchange Online | Mac OS |
| Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile), Skype Kurumsal (modern kimlik doğrulaması ile) | Exchange Online | Windows 8.1, Windows 7 |
| Outlook mobil uygulaması | Exchange Online | Android, iOS işletim sistemi |
| Power BI uygulaması | Power BI hizmeti | Windows 10, Windows 8.1, Windows 7, Android ve iOS |
| Skype İş için | Exchange Online | Android, iOS işletim sistemi |
| Azure DevOps Services (eski adıyla Visual Studio Team Services veya VSTS) uygulaması | Azure DevOps Services (eski adıyla Visual Studio Team Services veya VSTS) | Windows 10, Windows 8.1, Windows 7, iOS ve Android |
Exchange ActiveSync istemcileri
- Yöneticiler yalnızca kullanıcılara veya gruplara ilke atarken Exchange ActiveSync istemcilerini seçebilir. Tüm kullanıcılar, Tüm konuk ve dış kullanıcılar veya Dizin rolleri'nin seçilmesi, tüm kullanıcıların ilkeye tabi olmasını sağlar.
- Yöneticiler Exchange ActiveSync istemcilerine atanmış bir ilke oluşturduğunuzda, ilkeye atanan tek bulut uygulaması Exchange Online olmalıdır.
- Yöneticiler , Cihaz platformları koşulunu kullanarak bu ilkenin kapsamını belirli platformlara daraltabilir.
İlkeye atanan erişim denetimi Onaylı istemci uygulamasını gerektiriyorsa, kullanıcı Outlook mobil istemcisini yüklemeye ve kullanmaya yönlendirilir. Çok faktörlü kimlik doğrulaması, Kullanım Koşulları veya özel denetimlerin gerekli olması durumunda, etkilenen kullanıcılar engellenir çünkü temel kimlik doğrulaması bu denetimleri desteklemez.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Koşullu Erişim ile eski kimlik doğrulamasını engelleme
- Koşullu Erişim ile onaylı istemci uygulamaları gerektirme
Diğer istemciler
Diğer istemciler'i seçerek IMAP, MAPI, POP, SMTP ve modern kimlik doğrulaması kullanmayan eski Office uygulaması gibi posta protokolleriyle temel kimlik doğrulaması kullanan uygulamaları etkileyen bir koşul belirtebilirsiniz.
Cihaz durumu (kullanım dışı)
Artık önerilmeyen bir koşuldur. Müşteriler, daha önce cihaz durumu koşulu kullanılarak elde edilen senaryoları karşılamak için Koşullu Erişim ilkesindeki Cihazlar için Filtre uygula koşulunu kullanmalıdır.
Önemli
Cihaz durumu ve cihazlar için filtreler Koşullu Erişim ilkesinde birlikte kullanılamaz. Cihazlara yönelik filtreler, trustType ve isCompliant özellikleri aracılığıyla cihaz durumu bilgilerini hedefleme desteği de dahil olmak üzere daha ayrıntılı hedefleme sağlar.
Cihazlar için filtreleme
Yöneticiler cihazlar için filtreyi bir koşul olarak yapılandırdığında, cihaz özelliklerinde bir kural ifadesi kullanarak bir filtreye göre cihazları dahil edebilir veya dışlayabilirler. Kural oluşturucusunu veya kural söz dizimini kullanarak cihazlar için filtre için kural ifadesi yazabilirsiniz. Bu işlem, dinamik üyelik grupları için kurallar için kullanılan işlemle benzerdir. Daha fazla bilgi için bkz. Koşullu Erişim: Cihazlar için filtreleme.
Kimlik doğrulama akışları (önizleme)
Kimlik doğrulama akışları, kuruluşunuzun belirli kimlik doğrulama ve yetkilendirme protokollerini ve vermelerini nasıl kullandığını denetler. Bu akışlar, paylaşılan cihazlar veya dijital tabela gibi yerel girişi olmayan cihazlar için sorunsuz bir deneyim sağlayabilir. Cihaz kodu akışı veya kimlik doğrulama aktarımı gibi aktarım yöntemlerini yapılandırmak için bu denetimi kullanın.