Koşullu Erişim: Cihazlar için filtreleme

  • Makale

Koşullu Erişim ilkeleri oluştururken, yöneticiler ortamlarındaki belirli cihazları hedefleme veya dışlama olanağını istedi. Cihazlar için filtreleme yöneticilere bu özelliği getirir. Artık cihaz filtreleri için desteklenen işleçleri ve özellikleri ve Koşullu Erişim ilkelerinizdeki diğer kullanılabilir atama koşullarını kullanarak belirli cihazları hedefleyebilirsiniz.

Koşullu Erişim ilkesi koşullarında cihaz için filtre oluşturma

Genel senaryolar

Kuruluşların artık cihazlar için filtre koşulu kullanarak etkinleştirebileceği birden çok senaryo vardır. Aşağıdaki senaryolarda bu yeni koşulun nasıl kullanılacağına ilişkin örnekler verilmiştir.

  • Ayrıcalıklı kaynaklara erişimi kısıtlama. Bu örnekte, ayrıcalıklı genel yönetici rolü atanmış, çok faktörlü kimlik doğrulamasından memnun olan ve ayrıcalıklı veya güvenli yönetici iş istasyonları olan ve uyumlu olarak kanıtlanan bir cihazdan erişen bir kullanıcıdan Microsoft Azure Yönetimi'ne erişime izin vermek istediğinizi varsayalım. Bu senaryo için kuruluşlar iki Koşullu Erişim ilkesi oluşturur:
    • İlke 1: Genel Yönetici dizin rolüne sahip tüm kullanıcılar, Microsoft Azure Yönetimi bulut uygulamasına erişiyor ve Erişim denetimleri için Erişim ver, ancak çok faktörlü kimlik doğrulaması gerektiriyor ve cihazın uyumlu olarak işaretlenmesini gerektiriyor.
    • İlke 2: Genel Yönetici dizin rolüne sahip tüm kullanıcılar, device.extensionAttribute1 kural ifadesi kullanan cihazlara yönelik bir filtre hariç olmak üzere Microsoft Azure Yönetim bulut uygulamasına erişirken SAW'e eşittir ve Erişim denetimleri için Engelle. Microsoft Entra cihaz nesnesinde extensionAttributes'i güncelleştirmeyi öğrenin.
  • Desteklenmeyen bir İşletim Sistemi çalıştıran cihazlardan kuruluş kaynaklarına erişimi engelleyin. Bu örnekte, Windows 10'den eski Windows işletim sistemi sürümünden kaynaklara erişimi engellemek istediğinizi varsayalım. Bu senaryo için kuruluşlar aşağıdaki Koşullu Erişim ilkesini oluşturur:
    • Device.operatingSystem kural ifadesi kullanan cihazlar için bir filtre hariç olmak üzere tüm bulut uygulamalarına erişen tüm kullanıcılar, Windows ve device.operatingSystemVersion'a eşittir"10.0" ile erişim denetimleri için Engelle'yi başlatır.
  • Belirli cihazlardaki belirli hesaplar için çok faktörlü kimlik doğrulaması gerektirmez. Bu örnekte, Teams telefonlar veya Surface Hub cihazları gibi belirli cihazlarda hizmet hesaplarını kullanırken çok faktörlü kimlik doğrulaması gerektirmemek istediğinizi varsayalım. Bu senaryo için kuruluşlar aşağıdaki iki Koşullu Erişim ilkesi oluşturur:
    • İlke 1: Hizmet hesapları hariç tüm kullanıcılar, tüm bulut uygulamalarına erişim ve Erişim denetimleri için Erişim ver, ancak çok faktörlü kimlik doğrulaması gerektirir.
    • İlke 2: Kullanıcıları ve grupları seçin ve yalnızca hizmet hesaplarını içeren grubu dahil edin, tüm bulut uygulamalarına erişin; device.extensionAttribute2 kural ifadesi kullanan cihazlar için bir filtre hariç olmak üzere TeamsPhoneDevice ve Erişim denetimleri için Engelle.

Not

Microsoft Entra kimliği, cihaz filtresi kurallarını değerlendirmek için cihaz kimlik doğrulamasını kullanır. Microsoft Entra Kimliği ile kaydı kaldırılmış bir cihaz için, tüm cihaz özellikleri null değerler olarak kabul edilir ve cihaz dizinde olmadığından cihaz öznitelikleri belirlenemez. Kayıtlı olmayan cihazlar için ilkeleri hedeflemenin en iyi yolu, yapılandırılmış filtre kuralı geçerli olacağından negatif işleci kullanmaktır. Pozitif bir işleç kullanmanız gerekiyorsa, filtre kuralı yalnızca dizinde bir cihaz varsa ve yapılandırılan kural cihazdaki öznitelikle eşleştiğinde geçerli olur.

Koşullu Erişim ilkesi oluşturma

Koşullu Erişim ilkesi oluştururken cihazlar için filtre uygulama isteğe bağlı bir denetimdir.

Aşağıdaki adımlar, Ortak senaryolar altındaki ilk senaryoyu desteklemek için iki Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

İlke 1: Genel Yönetici dizin rolüne sahip tüm kullanıcılar, Microsoft Azure Yönetimi bulut uygulamasına erişiyor ve Erişim denetimleri için Erişim ver, ancak çok faktörlü kimlik doğrulaması gerektiriyor ve cihazın uyumlu olarak işaretlenmesini gerektiriyor.

  1. Microsoft Entra yönetim merkezinde en azından Koşullu Erişim Yöneticisi olarak oturum açın.
  2. Koruma>Koşullu Erişim'e göz atın.
  3. Yeni ilke oluştur'u seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.

    1. Ekle'nin altında Dizin rolleri'ni ve ardından Genel Yönetici'yi seçin.

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri , yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.

    2. Dışla'nın altındaKullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya acil durum hesaplarını seçin.

    3. Bitti seçeneğini belirleyin.

  6. Hedef kaynaklar>Bulut uygulamalarıSeç uygulamaları'nın>> altında Microsoft Azure Yönetimi'ni ve seç'i seçin.
  7. Erişim denetimleri>Ver'in altında Erişim ver, Çok faktörlü kimlik doğrulaması gerektir ve Cihazın uyumlu olarak işaretlenmesini gerektir'i ve ardından Seç'i seçin.
  8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'iAçık olarak ayarlayın.
  9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

İlke 2: Genel Yönetici dizin rolüne sahip tüm kullanıcılar, device.extensionAttribute1 kural ifadesi kullanan cihazlara yönelik bir filtre hariç olmak üzere Microsoft Azure Yönetim bulut uygulamasına erişirken SAW'e eşittir ve Erişim denetimleri için Engelle.

  1. Yeni ilke oluştur'u seçin.
  2. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  3. Atamalar'ın altında Kullanıcılar veya iş yükü kimlikleri'ne tıklayın.

    1. Ekle'nin altında Dizin rolleri'ni ve ardından Genel Yönetici'yi seçin.

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri , yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.

    2. Dışla'nın altındaKullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimi veya acil durum hesaplarını seçin.

    3. Bitti seçeneğini belirleyin.

  4. Hedef kaynaklar>Bulut uygulamalarıSeç uygulamaları'nın>> altında Microsoft Azure Yönetimi'ni ve seç'i seçin.
  5. Koşullar'ın altında Cihazlar için filtreleyin.
    1. Yapılandır'ıEvet olarak değiştirin.
    2. Kuralla eşleşen Cihazlar'ıFiltrelenen cihazları ilkeden dışla olarak ayarlayın.
    3. özelliğini ExtensionAttribute1olarak, işlecini olarak Equals ve değerini olarak SAWayarlayın.
    4. Bitti seçeneğini belirleyin.
  6. Erişim denetimleri>Ver'in altında Erişimi engelle'yi ve ardından Seç'i seçin.
  7. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'iAçık olarak ayarlayın.
  8. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Uyarı

Uyumlu cihazlar gerektiren ilkeler, mac, iOS ve Android kullanıcılarının ilke değerlendirmesi sırasında cihaz uyumluluğu zorunlu tutulmasa bile bir cihaz sertifikası seçmelerini isteyebilir. Cihaz uyumlu hale gelene kadar bu istemler yinelenebilir.

Öznitelik değerlerini ayarlama

Uzantı özniteliklerinin ayarlanması Graph API aracılığıyla mümkün hale getirilir. Cihaz özniteliklerini ayarlama hakkında daha fazla bilgi için Cihazı güncelleştirme makalesine bakın.

Cihazlar Graph API için filtreleme

Cihazlar için filtre API'sine Microsoft Graph v1.0 uç noktasından erişilebilir ve uç noktası https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/kullanılarak erişilebilir. Yeni bir Koşullu Erişim ilkesi oluştururken cihazlar için filtre yapılandırabilir veya mevcut bir ilkeyi cihazlar için filtre koşulunu yapılandıracak şekilde güncelleştirebilirsiniz. Mevcut bir ilkeyi güncelleştirmek için, var olan bir ilkenin ilke kimliğini ekleyerek ve aşağıdaki istek gövdesini yürüterek Microsoft Graph v1.0 uç noktasında bir düzeltme eki çağrısı yapabilirsiniz. Buradaki örnekte, SAW cihazları olarak işaretlenmemiş cihazlar hariç cihaz koşulu için bir filtre yapılandırma gösterilmektedir. Kural söz dizimi birden fazla tek ifadeden oluşabilir. Söz dizimi hakkında daha fazla bilgi edinmek için bkz. Microsoft Entra kimliğindeki gruplar için dinamik üyelik kuralları.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Filtreler için desteklenen işleçler ve cihaz özellikleri

Aşağıdaki cihaz öznitelikleri Koşullu Erişim'deki cihazlar için filtre koşuluyla kullanılabilir.

Not

Microsoft Entra kimliği, cihaz filtresi kurallarını değerlendirmek için cihaz kimlik doğrulamasını kullanır. Microsoft Entra Kimliği ile kaydı kaldırılmış bir cihaz için, tüm cihaz özellikleri null değerler olarak kabul edilir ve cihaz dizinde olmadığından cihaz öznitelikleri belirlenemez. Kayıtlı olmayan cihazlar için ilkeleri hedeflemenin en iyi yolu, yapılandırılmış filtre kuralı geçerli olacağından negatif işleci kullanmaktır. Pozitif bir işleç kullanmanız gerekiyorsa, filtre kuralı yalnızca dizinde bir cihaz varsa ve yapılandırılan kural cihazdaki öznitelikle eşleştiğinde geçerli olur.

Desteklenen cihaz öznitelikleri Desteklenen işleçler Desteklenen değerler Örnek
deviceId Equals, NotEquals, In, NotIn GUID olan geçerli bir deviceId (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-00000000000000")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Herhangi bir dize (device.displayName -contains "ABC")
deviceOwnership Eşittir, NotEquals Desteklenen değerler, kendi cihazlarını getir için "Kişisel" ve şirkete ait cihazlar için "Şirket" değerleridir (device.deviceOwnership -eq "Şirket")
isCompliant Eşittir, NotEquals Desteklenen değerler uyumlu cihazlar için "True" ve uyumlu olmayan cihazlar için "False" değerleridir (device.isCompliant -eq "True")
üretici Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Herhangi bir dize (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn Geçerli bir MDM uygulama kimliği (device.mdmAppId -in ["0000000a-0000-0000-c000-00000000000000"]
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Herhangi bir dize (device.model -notContains "Surface")
Operatingsystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Geçerli bir işletim sistemi (Windows, iOS veya Android gibi) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Geçerli bir işletim sistemi sürümü (Windows 7 için 6.1, Windows 8 için 6.2 veya Windows 10 ve Windows 11 için 10.0 gibi) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
fiziksel kimlikler Contains, NotContains Örnek olarak, tüm Windows Autopilot cihazları ZTDId'yi (içeri aktarılan tüm Windows Autopilot cihazlarına atanan benzersiz bir değer) cihaz physicalIds özelliğinde depolar. (device.physicalIds -contains "[ZTDId]:value")
profileType Eşittir, NotEquals Cihaz için ayarlanmış geçerli bir profil türü. Desteklenen değerler şunlardır: RegisteredDevice (varsayılan), SecureVM (Azure'da Microsoft Entra oturum açma özelliği etkin Windows VM'leri için kullanılır), Yazıcı (yazıcılar için kullanılır), Paylaşılan (paylaşılan cihazlar için kullanılır), IoT (IoT cihazları için kullanılır) (device.profileType -eq "Yazıcı")
systemLabels Contains, NotContains Sistem tarafından cihaza uygulanan etiketlerin listesi. Desteklenen değerlerden bazıları şunlardır: AzureResource (Azure'da Microsoft Entra oturum açma özelliği etkinleştirilmiş Windows VM'leri için kullanılır), M365Managed (Microsoft Yönetilen Masaüstü kullanılarak yönetilen cihazlar için kullanılır), MultiUser (paylaşılan cihazlar için kullanılır) (device.systemLabels -contains "M365Managed")
trustType Eşittir, NotEquals Cihazlar için geçerli bir kayıtlı durum. Desteklenen değerler şunlardır: AzureAD (birleştirilmiş Microsoft Entra cihazlar için kullanılır), ServerAD (karma birleştirilmiş cihazlar Microsoft Entra için kullanılır), Çalışma Alanı (kayıtlı Microsoft Entra cihazlar için kullanılır) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15, müşterilerin cihaz nesneleri için kullanabileceği özniteliklerdir. Müşteriler extensionAttributes1 ile 15 arasındaki uzantılardan herhangi birini özel değerlerle güncelleştirebilir ve Koşullu Erişim'deki cihazlar için filtre koşulunda kullanabilir. Herhangi bir dize değeri kullanılabilir. (device.extensionAttribute1 -eq "SAW")

Not

Karmaşık kurallar oluştururken veya cihaz kimlikleri için deviceid gibi çok fazla bağımsız tanımlayıcı kullanırken,"Filtre kuralı için uzunluk üst sınırı 3072 karakterdir" ifadesini aklınızda bulundurun.

Not

Contains ve NotContains işleçleri öznitelik türlerine bağlı olarak farklı çalışır. ve modelContains gibi operatingSystem dize öznitelikleri için işleci, belirtilen alt dizenin özniteliğinde olup olmadığını gösterir. ve systemLabelsContains gibi physicalIds dize koleksiyonu öznitelikleri için işleci, belirtilen dizenin koleksiyondaki tüm dizelerden biriyle eşleşip eşleşmediğini gösterir.

Cihazlar için filtre ile ilke davranışı

Koşullu Erişim'deki cihaz filtresi koşulu, kayıtlı bir cihazın Microsoft Entra kimliğindeki cihaz özniteliklerine göre ilkeyi değerlendirir ve bu nedenle ilkenin hangi koşullarda uygulandığını veya uygulanmadığını anlamak önemlidir. Aşağıdaki tabloda, cihazlar için bir filtre koşulu yapılandırıldığındaki davranış gösterilmektedir.

Cihazlar için filtre koşulu Cihaz kayıt durumu Cihaz filtresi Uygulandı
Pozitif işleçlerle (Equals, StartsWith, EndsWith, Contains, In) dahil et/dışla modu ve tüm özniteliklerin kullanımı Kayıtlı olmayan cihaz No
Pozitif işleçler (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 dışında özniteliklerin kullanımı ile dahil etme/dışlama modu Kayıtlı cihaz Evet, ölçütler karşılanırsa
Pozitif işleçler (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 gibi özniteliklerin kullanımı ile dahil/dışlama modu Intune tarafından yönetilen kayıtlı cihaz Evet, ölçütler karşılanırsa
Pozitif işleçler (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 gibi özniteliklerin kullanımı ile dahil/dışlama modu Kayıtlı cihaz Intune tarafından yönetilmiyor Evet, ölçütler karşılanırsa. extensionAttributes1-15 kullanıldığında, cihaz uyumluysa veya karma katılmış Microsoft Entra ilke uygulanır
Negatif işleçlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil etme/dışlama modu ve özniteliklerin kullanımı Kayıtlı olmayan cihaz Yes
Negatif işleçlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil etme/dışlama modu ve extensionAttributes1-15 hariç tüm özniteliklerin kullanımı Kayıtlı cihaz Evet, ölçütler karşılanırsa
Negatif işleçlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil etme/dışlama modu ve extensionAttributes1-15 gibi özniteliklerin kullanımı Intune tarafından yönetilen kayıtlı cihaz Evet, ölçütler karşılanırsa
Negatif işleçlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil etme/dışlama modu ve extensionAttributes1-15 gibi özniteliklerin kullanımı Kayıtlı cihaz Intune tarafından yönetilmiyor Evet, ölçütler karşılanırsa. extensionAttributes1-15 kullanıldığında, cihaz uyumluysa veya karma katılmış Microsoft Entra ilke uygulanır

Sonraki adımlar