Koşullu Erişim: Koşullar
Bir Koşullu Erişim ilkesinde yönetici, ilke kararlarını geliştirmek için risk, cihaz platformu veya konum gibi koşullardan gelen sinyalleri kullanabilir.
Ayrıntılı ve belirli Koşullu Erişim ilkeleri oluşturmak için birden çok koşul birleştirilebilir.
Örneğin, bir yönetici hassas bir uygulamaya erişirken, çok faktörlü kimlik doğrulaması gibi diğer denetimlere ek olarak Kimlik Koruması'ndan ve konumdan oturum açma riski bilgilerini erişim kararlarına katabilir.
Oturum açma riski
Kimlik Koruması'na erişimi olan müşteriler için, oturum açma riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Oturum açma riski, belirli bir kimlik doğrulama isteğinin kimlik sahibi tarafından yetkilendirilmemesi olasılığını temsil eder. Oturum açma riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.
Kullanıcı riski
Kimlik Koruması'na erişimi olan müşteriler için, kullanıcı riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Kullanıcı riski, belirli bir kimliğin veya hesabın risk altında olma olasılığını temsil eder. Kullanıcı riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.
Cihaz platformları
Cihaz platformu, cihazda çalıştırılan işletim sistemi tarafından tanımlanır. Azure AD, kullanıcı aracısı dizeleri gibi cihaz tarafından sağlanan bilgileri kullanarak platformu tanımlar. Kullanıcı aracısı dizeleri değiştirilebildiği için bu bilgiler onaylanmamıştır. Cihaz platformu Microsoft Intune cihaz uyumluluk ilkeleriyle uyumlu bir şekilde veya blok deyiminin bir parçası olarak kullanılmalıdır. Varsayılan olarak tüm cihaz platformlarına uygulanır.
Azure AD Koşullu Erişim aşağıdaki cihaz platformlarını destekler:
- Android
- iOS
- Windows
- Mac OS
- Linux
Diğer istemciler koşulunu kullanarak eski kimlik doğrulamasını engellerseniz, cihaz platformu koşulunu da ayarlayabilirsiniz.
Yalnızca onaylanan istemci uygulaması gerektir veya Uygulama koruma ilkesi iste'yi seçerken veya Seçili tüm denetimleri gerektir'i seçtiğinizde macOS veya Linux cihaz platformlarının seçilmesini desteklemiyoruz.
Önemli
Microsoft, desteklenmeyen cihaz platformları için bir Koşullu Erişim ilkenizin olmasını önerir. Örneğin, Chrome işletim sisteminden veya diğer desteklenmeyen istemcilerden şirket kaynaklarınıza erişimi engellemek istiyorsanız, herhangi bir cihazı içeren ve desteklenen cihaz platformlarını hariç tutan ve Erişimi engelle olarak ayarlanmış bir Cihaz platformları koşuluyla bir ilke yapılandırmanız gerekir.
Konumlar
Bir konumu koşul olarak yapılandırırken, kuruluşlar konumları dahil etmeyi veya hariç tutmayı seçebilir. Bu adlandırılmış konumlar genel IPv4 veya IPv6 ağ bilgilerini, ülke veya bölgeyi, hatta belirli ülke veya bölgelerle eşleşmeyen bilinmeyen alanları içerebilir. Yalnızca IP aralıkları güvenilir bir konum olarak işaretlenebilir.
Herhangi bir konumu eklerken, bu seçenek yalnızca yapılandırılmış adlandırılmış konumları değil, İnternet'te herhangi bir IP adresini içerir. Herhangi bir konumu seçerken, yöneticiler tüm güvenilir veya seçili konumları dışlama seçeneğini belirleyebilir.
Örneğin, bazı kuruluşlar kullanıcıları fiziksel merkezleri gibi güvenilir bir konumda ağa bağlıyken çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Yöneticiler herhangi bir konumu içeren ancak merkez ağları için seçilen konumları dışlayan bir ilke oluşturabilir.
Konumlar hakkında daha fazla bilgi için Bkz. Azure Active Directory Koşullu Erişim'de konum koşulu nedir?
İstemci uygulamaları
Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulaması türlerine uygulanır.
Not
İstemci uygulamaları koşulunun davranışı Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak var olan bir ilkeye tıklarsanız yapılandırma iki durumlu düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.
Önemli
Eski kimlik doğrulama istemcilerinden gelen oturum açma işlemleri MFA'yı desteklemez ve cihaz durumu bilgilerini Azure AD geçirmez, bu nedenle MFA veya uyumlu cihazlar gerektirme gibi Koşullu Erişim verme denetimleri tarafından engellenirler. Eski kimlik doğrulamasını kullanması gereken hesaplarınız varsa, bu hesapları ilkenin dışında tutmanız veya ilkeyi yalnızca modern kimlik doğrulama istemcilerine uygulanacak şekilde yapılandırmanız gerekir.
Yapılandır iki durumlu düğmesi Evet olarak ayarlandığında işaretlenmiş öğeler için, Hayır olarak ayarlandığında ise modern ve eski kimlik doğrulama istemcileri de dahil olmak üzere tüm istemci uygulamaları için geçerli olur. Bu iki durumlu düğme Ağustos 2020'den önce oluşturulmuş ilkelerde gösterilmez.
- Modern kimlik doğrulama istemcileri
- Tarayıcı
- Bunlar SAML, WS-Federation, OpenID Connect gibi protokolleri veya OAuth gizli istemcisi olarak kaydedilen hizmetleri kullanan web tabanlı uygulamaları içerir.
- Mobil uygulamalar ve masaüstü istemcileri
- Bu seçenek, Office masaüstü ve telefon uygulamaları gibi uygulamaları içerir.
- Tarayıcı
- Eski kimlik doğrulama istemcileri
- İstemcileri Exchange ActiveSync
- Bu seçim, Exchange ActiveSync (EAS) protokolünün tüm kullanımını içerir.
- İlke Exchange ActiveSync kullanımını engellediğinde, etkilenen kullanıcı tek bir karantina e-postası alır. ile birlikte gelen bu e-posta, bunların neden engellendiği hakkında bilgi sağlar ve mümkünse düzeltme yönergelerini içerir.
- Yöneticiler, Koşullu Erişim Microsoft Graph API aracılığıyla yalnızca desteklenen platformlara (iOS, Android ve Windows gibi) ilke uygulayabilir.
- Diğer istemciler
- Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
- SMTP - POP ve IMAP istemcisi tarafından e-posta iletileri göndermek için kullanılır.
- Otomatik Bulma - outlook ve EAS istemcileri tarafından Exchange Online posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
- Exchange Online PowerShell - Uzak PowerShell ile Exchange Online bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz. Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e bağlanma.
- Exchange Web Services (EWS) - Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.
- IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
- HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 ve üzeri tarafından kullanılır.
- Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
- Her Yerden Outlook (HTTP üzerinden RPC) - Outlook 2016 ve önceki sürümler tarafından kullanılır.
- Outlook Hizmeti - Posta ve Takvim uygulaması tarafından Windows 10 için kullanılır.
- POP3 - POP e-posta istemcileri tarafından kullanılır.
- Raporlama Web Hizmetleri - Exchange Online rapor verilerini almak için kullanılır.
- Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
- İstemcileri Exchange ActiveSync
Bu koşullar genellikle yönetilen cihaz gerektiğinde, eski kimlik doğrulamasını engellerken ve web uygulamalarını engellerken ancak mobil veya masaüstü uygulamalarına izin verilirken kullanılır.
Desteklenen tarayıcılar
Bu ayar tüm tarayıcılarla çalışır. Ancak uyumlu bir cihaz gereksinimi gibi bir cihaz ilkesini karşılamak için aşağıdaki işletim sistemleri ve tarayıcılar desteklenir. Temel destekten düşmüş olan İşletim Sistemleri ve tarayıcılar şu listede gösterilmez:
| İşletim Sistemleri | Browsers (Tarayıcılar) |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (notlara bakın) |
| Android | Microsoft Edge, Chrome |
| Mac OS | Microsoft Edge, Chrome, Safari |
Bu tarayıcılar cihaz kimlik doğrulamasını destekleyerek cihazın bir ilkeye göre tanımlanmasına ve doğrulanmasına olanak tanır. Tarayıcı özel modda çalışıyorsa veya tanımlama bilgileri devre dışı bırakılmışsa cihaz denetimi başarısız olur.
Not
Edge 85+, cihaz kimliğini düzgün bir şekilde geçirmek için kullanıcının tarayıcıda oturum açmasını gerektirir. Aksi takdirde, hesap uzantısı olmadan Chrome gibi davranır. Bu oturum açma işlemi Karma Azure AD Katılma senaryosunda otomatik olarak gerçekleşmeyebilir.
Safari, yönetilen bir cihazda cihaz tabanlı Koşullu Erişim için desteklenir, ancak Onaylı istemci uygulaması gerektir veya Uygulama koruma ilkesi gerektir koşullarını karşılayabilir. Microsoft Edge gibi bir yönetilen tarayıcı onaylı istemci uygulaması ve uygulama koruma ilkesi gereksinimlerini karşılar. 3. taraf MDM çözümüne sahip iOS'ta yalnızca Microsoft Edge tarayıcısı cihaz ilkesini destekler.
Firefox 91+ cihaz tabanlı Koşullu Erişim için desteklenir, ancak "Microsoft, iş ve okul hesapları için Windows çoklu oturum açmasına izin ver" seçeneğinin etkinleştirilmesi gerekir.
Tarayıcıda neden bir sertifika istemi görüyorum?
Windows 7, iOS, Android ve macOS Azure AD, cihaz Azure AD kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Kullanıcının tarayıcıyı kullanmadan önce bu sertifikayı seçmesi gerekir.
Chrome desteği
Windows 10 Creators Update (sürüm 1703) veya sonraki sürümlerde Chrome desteği için Windows Hesaplarını veya Office uzantılarını yükleyin. Koşullu Erişim ilkesi cihaza özgü ayrıntılar gerektirdiğinde bu uzantılar gereklidir.
Bu uzantıyı Chrome tarayıcılarına otomatik olarak dağıtmak için aşağıdaki kayıt defteri anahtarını oluşturun:
- Yol HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- Ad 1
- tür REG_SZ (Dize)
- Veriler ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Windows 8.1 ve 7'deki Chrome desteği için aşağıdaki kayıt defteri anahtarını oluşturun:
- Yol HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- Ad 1
- tür REG_SZ (Dize)
- Veri {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Desteklenen mobil uygulamalar ve masaüstü istemcileri
Kuruluşlar mobil uygulamaları ve masaüstü istemcilerini istemci uygulaması olarak seçebilir.
Bu ayar, aşağıdaki mobil uygulamalardan ve masaüstü istemcilerinden yapılan erişim girişimlerini etkiler:
| İstemci uygulamaları | Hedef Hizmet | Platform |
|---|---|---|
| Dynamics CRM uygulaması | Dynamics CRM | Windows 10, Windows 8.1, iOS ve Android |
| Posta/Takvim/Kişiler uygulaması, Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile) | Exchange Online | Windows 10 |
| Uygulamalar için MFA ve konum ilkesi. Cihaz tabanlı ilkeler desteklenmez. | Herhangi bir Uygulamalarım uygulama hizmeti | Android ve iOS |
| Microsoft Teams Hizmetleri - bu istemci uygulaması Microsoft Teams'i ve tüm İstemci Uygulamalarını destekleyen tüm hizmetleri denetler - Windows Masaüstü, iOS, Android, WP ve web istemcisi | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android ve macOS |
| Office 2016 uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi | SharePoint | Windows 8.1, Windows 7 |
| Office 2016 uygulamaları, Evrensel Office uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi | SharePoint Online | Windows 10 |
| Office 2016 (yalnızca Word, Excel, PowerPoint, OneNote). | SharePoint | Mac OS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Office mobil uygulamaları | SharePoint | Android, iOS |
| Office Yammer uygulaması | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (macOS için Office) | Exchange Online | Mac OS |
| Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile), Skype Kurumsal (modern kimlik doğrulaması ile) | Exchange Online | Windows 8.1, Windows 7 |
| Outlook mobil uygulaması | Exchange Online | Android, iOS |
| Power BI uygulaması | Power BI hizmeti | Windows 10, Windows 8.1, Windows 7, Android ve iOS |
| Skype Kurumsal | Exchange Online | Android, iOS |
| Visual Studio Team Services uygulaması | Visual Studio Team Services | Windows 10, Windows 8.1, Windows 7, iOS ve Android |
İstemcileri Exchange ActiveSync
- Kuruluşlar, ilkeyi kullanıcılara veya gruplara atarken yalnızca Exchange ActiveSync istemcilerini seçebilir. Tüm kullanıcılar, Tüm konuk ve dış kullanıcılar veya Dizin rolleri'nin seçilmesi, tüm kullanıcıların ilkeye tabi olmasını sağlar.
- Exchange ActiveSync istemcilerine atanmış bir ilke oluştururken, ilkeye atanan tek bulut uygulaması Exchange Online olmalıdır.
- Kuruluşlar , Cihaz platformları koşulunu kullanarak bu ilkenin kapsamını belirli platformlara daraltabilir.
İlkeye atanan erişim denetimi Onaylı istemci uygulamasını gerektir seçeneğini kullanıyorsa, kullanıcı Outlook mobil istemcisini yüklemeye ve kullanmaya yönlendirilir. Çok Faktörlü Kimlik Doğrulaması, Kullanım Koşulları veya özel denetimler gerektiğinde, temel kimlik doğrulaması bu denetimleri desteklemediğinden etkilenen kullanıcılar engellenir.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Koşullu Erişim ile eski kimlik doğrulamasını engelleme
- Koşullu Erişim ile onaylı istemci uygulamaları gerektirme
Diğer istemciler
Diğer istemciler'i seçerek IMAP, MAPI, POP, SMTP gibi posta protokolleriyle temel kimlik doğrulaması kullanan uygulamaları ve modern kimlik doğrulaması kullanmayan eski Office uygulamalarını etkileyen bir koşul belirtebilirsiniz.
Cihaz durumu (kullanım dışı)
Bu önizleme özelliği kullanım dışı bırakıldı. Müşteriler, daha önce cihaz durumu (kullanım dışı) koşulu kullanılarak elde edilen senaryoları karşılamak için Koşullu Erişim ilkesindeki Cihazlar için filtre uygula koşulunu kullanmalıdır.
Cihaz durumu koşulu, karma Azure AD katılmış olan ve/veya Microsoft Intune uyumluluk ilkesiyle uyumlu olarak işaretlenmiş cihazları kuruluşun Koşullu Erişim ilkelerinin dışında tutmak için kullanılmıştır.
Örneğin, Microsoft Azure Yönetim bulut uygulamasına erişen tüm kullanıcılar, Cihaz Karma Azure AD katılma hariç tüm cihaz durumu ve Uyumlu olarak işaretlenmiş Cihaz ve Erişim denetimleri için Engelle dahil.
- Bu örnek yalnızca karma Azure AD katılmış veya uyumlu olarak işaretlenmiş cihazlardan Microsoft Azure Yönetimi'ne erişim izni veren bir ilke oluşturur.
Yukarıdaki senaryo, aşağıdaki device.trustType -eq "ServerAD" -veya device.isCompliant -eq True kuralı ve Erişim denetimleri için Engelle kuralı kullanılarak Dışlama modunda Cihazlar için filtre uygula koşuluyla Microsoft Azure Yönetim bulut uygulamasına erişen tüm kullanıcılar kullanılarak yapılandırılabilir.
- Bu örnek, Yönetilmeyen veya uyumlu olmayan cihazlardan Microsoft Azure Yönetim bulut uygulamasına erişimi engelleyen bir ilke oluşturur.
Önemli
Cihaz durumu ve cihazlar için filtreler Koşullu Erişim ilkesinde birlikte kullanılamaz. Cihazlar için filtreler, ve isCompliant özelliği aracılığıyla trustType cihaz durumu bilgilerini hedefleme desteği de dahil olmak üzere daha ayrıntılı hedefleme sağlar.
Cihazlar için filtreleme
Koşullu Erişim'de cihazlar için filtre adlı yeni bir isteğe bağlı koşul vardır. Cihazlar için filtreyi bir koşul olarak yapılandırırken, kuruluşlar cihaz özelliklerinde bir kural ifadesi kullanarak bir filtreye göre cihazları dahil etmeyi veya hariç tutmayı seçebilir. Cihazlar için filtre için kural ifadesi, kural oluşturucu veya kural söz dizimi kullanılarak yazılabilir. Bu deneyim, gruplar için dinamik üyelik kuralları için kullanılan deneyime benzer. Daha fazla bilgi için Koşullu Erişim: Cihazlar için filtreleme makalesine bakın.