Koşullu Erişim: Koşullar

Bir Koşullu Erişim ilkesinde yönetici, ilke kararlarını geliştirmek için risk, cihaz platformu veya konum gibi koşullardan gelen sinyalleri kullanabilir.

Koşullu Erişim ilkesi tanımlama ve koşulları belirtme

Ayrıntılı ve belirli Koşullu Erişim ilkeleri oluşturmak için birden çok koşul birleştirilebilir.

Örneğin, bir yönetici hassas bir uygulamaya erişirken, çok faktörlü kimlik doğrulaması gibi diğer denetimlere ek olarak Kimlik Koruması'ndan ve konumdan oturum açma riski bilgilerini erişim kararlarına katabilir.

Oturum açma riski

Kimlik Koruması'na erişimi olan müşteriler için, oturum açma riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Oturum açma riski, belirli bir kimlik doğrulama isteğinin kimlik sahibi tarafından yetkilendirilmemesi olasılığını temsil eder. Oturum açma riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.

Kullanıcı riski

Kimlik Koruması'na erişimi olan müşteriler için, kullanıcı riski Koşullu Erişim ilkesinin bir parçası olarak değerlendirilebilir. Kullanıcı riski, belirli bir kimliğin veya hesabın risk altında olma olasılığını temsil eder. Kullanıcı riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.

Cihaz platformları

Cihaz platformu, cihazda çalıştırılan işletim sistemi tarafından tanımlanır. Azure AD, kullanıcı aracısı dizeleri gibi cihaz tarafından sağlanan bilgileri kullanarak platformu tanımlar. Kullanıcı aracısı dizeleri değiştirilebildiği için bu bilgiler onaylanmamıştır. Cihaz platformu Microsoft Intune cihaz uyumluluk ilkeleriyle uyumlu bir şekilde veya blok deyiminin bir parçası olarak kullanılmalıdır. Varsayılan olarak tüm cihaz platformlarına uygulanır.

Azure AD Koşullu Erişim aşağıdaki cihaz platformlarını destekler:

  • Android
  • iOS
  • Windows
  • Mac OS
  • Linux

Diğer istemciler koşulunu kullanarak eski kimlik doğrulamasını engellerseniz, cihaz platformu koşulunu da ayarlayabilirsiniz.

Önemli

Microsoft, desteklenmeyen cihaz platformları için bir Koşullu Erişim ilkenizin olmasını önerir. Örneğin, Chrome işletim sisteminden veya diğer desteklenmeyen istemcilerden şirket kaynaklarınıza erişimi engellemek istiyorsanız, herhangi bir cihazı içeren ve desteklenen cihaz platformlarını hariç tutan ve Erişimi engelle olarak ayarlanmış bir Cihaz platformları koşuluyla bir ilke yapılandırmanız gerekir.

Konumlar

Bir konumu koşul olarak yapılandırırken, kuruluşlar konumları dahil etmeyi veya hariç tutmayı seçebilir. Bu adlandırılmış konumlar genel IPv4 ağ bilgilerini, ülke veya bölgeyi, hatta belirli ülke veya bölgelerle eşleşmeyen bilinmeyen alanları içerebilir. Yalnızca IP aralıkları güvenilir bir konum olarak işaretlenebilir.

Herhangi bir konumu eklerken, bu seçenek yalnızca yapılandırılmış adlandırılmış konumları değil, İnternet'te herhangi bir IP adresini içerir. Herhangi bir konumu seçerken, yöneticiler tüm güvenilir veya seçili konumları dışlama seçeneğini belirleyebilir.

Örneğin, bazı kuruluşlar kullanıcıları fiziksel merkezleri gibi güvenilir bir konumda ağa bağlıyken çok faktörlü kimlik doğrulaması gerektirmemeyi tercih edebilir. Yöneticiler herhangi bir konumu içeren ancak merkez ağları için seçilen konumları dışlayan bir ilke oluşturabilir.

Konumlar hakkında daha fazla bilgi için Bkz. Azure Active Directory Koşullu Erişim'de konum koşulu nedir?

İstemci uygulamaları

Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulaması türlerine uygulanır.

Not

İstemci uygulamaları koşulunun davranışı Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak var olan bir ilkeye tıklarsanız yapılandırma iki durumlu düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.

Önemli

Eski kimlik doğrulama istemcilerinden gelen oturum açma işlemleri MFA'yı desteklemez ve cihaz durumu bilgilerini Azure AD geçirmez, bu nedenle MFA veya uyumlu cihazlar gerektirme gibi Koşullu Erişim verme denetimleri tarafından engellenirler. Eski kimlik doğrulamasını kullanması gereken hesaplarınız varsa, bu hesapları ilkenin dışında tutmanız veya ilkeyi yalnızca modern kimlik doğrulama istemcilerine uygulanacak şekilde yapılandırmanız gerekir.

Yapılandır iki durumlu düğmesi Evet olarak ayarlandığında işaretlenmiş öğeler için, Hayır olarak ayarlandığında ise modern ve eski kimlik doğrulama istemcileri de dahil olmak üzere tüm istemci uygulamaları için geçerli olur. Bu iki durumlu düğme Ağustos 2020'den önce oluşturulmuş ilkelerde gösterilmez.

  • Modern kimlik doğrulama istemcileri
    • Tarayıcı
      • Bunlar SAML, WS-Federation, OpenID Connect gibi protokolleri veya OAuth gizli istemcisi olarak kaydedilen hizmetleri kullanan web tabanlı uygulamaları içerir.
    • Mobil uygulamalar ve masaüstü istemcileri
      • Bu seçenek, Office masaüstü ve telefon uygulamaları gibi uygulamaları içerir.
  • Eski kimlik doğrulama istemcileri
    • İstemcileri Exchange ActiveSync
      • Bu seçim, Exchange ActiveSync (EAS) protokolünün tüm kullanımını içerir.
      • İlke Exchange ActiveSync kullanımını engellediğinde, etkilenen kullanıcı tek bir karantina e-postası alır. ile birlikte gelen bu e-posta, bunların neden engellendiği hakkında bilgi sağlar ve mümkünse düzeltme yönergelerini içerir.
      • Yöneticiler koşullu erişim Microsoft Graph API aracılığıyla yalnızca desteklenen platformlara (iOS, Android ve Windows gibi) ilke uygulayabilir.
    • Diğer istemciler
      • Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
        • Kimliği doğrulanmış SMTP - POP ve IMAP istemcilerinin e-posta iletileri göndermek için kullandığı.
        • Otomatik Bulma - outlook ve EAS istemcileri tarafından Exchange Online posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
        • Exchange Online PowerShell - Uzak PowerShell ile Exchange Online bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz. Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e bağlanma.
        • Exchange Web Services (EWS) - Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.
        • IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
        • HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 ve üzeri tarafından kullanılır.
        • Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
        • Her Yerden Outlook (HTTP üzerinden RPC) - Outlook 2016 ve önceki sürümler tarafından kullanılır.
        • Outlook Hizmeti - Posta ve Takvim uygulaması tarafından Windows 10 için kullanılır.
        • POP3 - POP e-posta istemcileri tarafından kullanılır.
        • Raporlama Web Hizmetleri - Exchange Online rapor verilerini almak için kullanılır.

Bu koşullar genellikle yönetilen cihaz gerektiğinde, eski kimlik doğrulamasını engellerken ve web uygulamalarını engellerken ancak mobil veya masaüstü uygulamalarına izin verilirken kullanılır.

Desteklenen tarayıcılar

Bu ayar tüm tarayıcılarla çalışır. Ancak uyumlu bir cihaz gereksinimi gibi bir cihaz ilkesini karşılamak için aşağıdaki işletim sistemleri ve tarayıcılar desteklenir. Temel destekten düşmüş olan İşletim Sistemleri ve tarayıcılar şu listede gösterilmez:

İşletim Sistemleri Browsers (Tarayıcılar)
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (notlara bakın)
Android Microsoft Edge, Chrome
Mac OS Edge, Chrome, Safari Microsoft

Bu tarayıcılar cihaz kimlik doğrulamasını destekleyerek cihazın bir ilkeye göre tanımlanmasına ve doğrulanmasına olanak tanır. Tarayıcı özel modda çalışıyorsa veya tanımlama bilgileri devre dışı bırakılmışsa cihaz denetimi başarısız olur.

Not

Edge 85+, cihaz kimliğini düzgün bir şekilde geçirmek için kullanıcının tarayıcıda oturum açmasını gerektirir. Aksi takdirde, hesap uzantısı olmadan Chrome gibi davranır. Bu oturum açma işlemi Karma Azure AD Katılma senaryosunda otomatik olarak gerçekleşmeyebilir.

Safari, cihaz tabanlı Koşullu Erişim için desteklenir, ancak Onaylı istemci uygulaması gerektir veya Uygulama koruma ilkesi gerektir koşullarını karşılayabilir. Microsoft Edge gibi bir yönetilen tarayıcı onaylı istemci uygulaması ve uygulama koruma ilkesi gereksinimlerini karşılar. 3. taraf MDM çözümüne sahip iOS'ta yalnızca Edge tarayıcısı Microsoft cihaz ilkesini destekler.

Firefox 91+, cihaz tabanlı Koşullu Erişim için desteklenir, ancak "Microsoft, iş ve okul hesapları için Windows çoklu oturum açmasına izin ver" seçeneğinin etkinleştirilmesi gerekir.

Tarayıcıda neden bir sertifika istemi görüyorum?

Windows 7, iOS, Android ve macOS Azure AD, cihaz Azure AD kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Kullanıcının tarayıcıyı kullanmadan önce bu sertifikayı seçmesi gerekir.

Chrome desteği

Windows 10 Creators Update (sürüm 1703) veya sonraki sürümlerde Chrome desteği için Windows Hesapları veya Office uzantılarını yükleyin. Koşullu Erişim ilkesi cihaza özgü ayrıntılar gerektirdiğinde bu uzantılar gereklidir.

Bu uzantıyı Chrome tarayıcılarına otomatik olarak dağıtmak için aşağıdaki kayıt defteri anahtarını oluşturun:

  • Yol HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Ad 1
  • Tür REG_SZ (Dize)
  • Veri ppnbnpeolgkicgegkbkbkjmhlideopiji;https://clients2.google.com/service/update2/crx

Windows 8.1 ve 7'de Chrome desteği için aşağıdaki kayıt defteri anahtarını oluşturun:

  • Yol HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Ad 1
  • Tür REG_SZ (Dize)
  • Veri {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Desteklenen mobil uygulamalar ve masaüstü istemcileri

Kuruluşlar mobil uygulamaları ve masaüstü istemcilerini istemci uygulaması olarak seçebilir.

Bu ayar, aşağıdaki mobil uygulamalardan ve masaüstü istemcilerinden yapılan erişim girişimlerini etkiler:

İstemci uygulamaları Hedef Hizmet Platform
Dynamics CRM uygulaması Dynamics CRM Windows 10, Windows 8.1, iOS ve Android
Posta/Takvim/Kişiler uygulaması, Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile) Exchange Online Windows 10
Uygulamalar için MFA ve konum ilkesi. Cihaz tabanlı ilkeler desteklenmez. Herhangi bir Uygulamalarım uygulama hizmeti Android ve iOS
teams hizmetlerini Microsoft - bu istemci uygulaması, Microsoft Teams'i destekleyen tüm hizmetleri ve tüm İstemci Uygulamalarını denetler - Windows Masaüstü, iOS, Android, WP ve web istemcisi Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android ve macOS
Office 2016 uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi SharePoint Windows 8.1, Windows 7
Office 2016 uygulamaları, Evrensel Office uygulamaları, Office 2013 (modern kimlik doğrulaması ile), OneDrive eşitleme istemcisi SharePoint Online Windows 10
Office 2016 (yalnızca Word, Excel, PowerPoint, OneNote). SharePoint Mac OS
Office 2019 SharePoint Windows 10, macOS
Office mobil uygulamaları SharePoint Android, iOS
Office Yammer uygulaması Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (macOS için Office) Exchange Online Mac OS
Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile), Skype Kurumsal (modern kimlik doğrulaması ile) Exchange Online Windows 8.1, Windows 7
Outlook mobil uygulaması Exchange Online Android, iOS
Power BI uygulaması Power BI hizmeti Windows 10, Windows 8.1, Windows 7, Android ve iOS
Skype Kurumsal Exchange Online Android, iOS
Visual Studio Team Services uygulaması Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS ve Android

İstemcileri Exchange ActiveSync

  • Kuruluşlar, kullanıcılara veya gruplara ilke atarken yalnızca Exchange ActiveSync istemcilerini seçebilir. Tüm kullanıcılar, Tüm konuk ve dış kullanıcılar veya Dizin rolleri'nin seçilmesi, tüm kullanıcıların ilkeye tabi olmasını sağlar.
  • Exchange ActiveSync istemcilerine atanmış bir ilke oluştururken, ilkeye atanan tek bulut uygulaması Exchange Online olmalıdır.
  • Kuruluşlar , Cihaz platformları koşulunu kullanarak bu ilkenin kapsamını belirli platformlara daraltabilir.

İlkeye atanan erişim denetimi Onaylı istemci uygulaması gerektir'i kullanıyorsa, kullanıcı Outlook mobil istemcisini yüklemeye ve kullanmaya yönlendirilir. Çok faktörlü kimlik doğrulaması, Kullanım koşulları veya özel denetimlerin gerekli olması durumunda, etkilenen kullanıcılar engellenir çünkü temel kimlik doğrulaması bu denetimleri desteklemez.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Diğer istemciler

Diğer istemciler'i seçerek, IMAP, MAPI, POP, SMTP gibi posta protokolleriyle temel kimlik doğrulaması kullanan uygulamaları ve modern kimlik doğrulaması kullanmayan eski Office uygulamalarını etkileyen bir koşul belirtebilirsiniz.

Cihaz durumu (kullanım dışı)

Bu önizleme özelliği kullanım dışı bırakıldı. Müşteriler, daha önce cihaz durumu (önizleme) koşulu kullanılarak elde edilen senaryoları karşılamak için Koşullu Erişim ilkesindeki Cihazlar için filtre uygula koşulunu kullanmalıdır.

Cihaz durumu koşulu, karma Azure AD katılmış ve/veya Microsoft Intune uyumluluk ilkesiyle uyumlu olarak işaretlenmiş cihazları kuruluşun Koşullu Erişim ilkelerinin dışında tutmak için kullanılmıştır.

Örneğin, Microsoft Azure Management bulut uygulamasına erişen tüm kullanıcılar( Cihaz Karma Azure AD katılmış ve Cihaz uyumlu olarak işaretlenmiş ve Erişim denetimleri için Engelle hariç tüm cihaz durumu dahil).

  • Bu örnek, yalnızca karma Azure AD katılmış veya uyumlu olarak işaretlenmiş cihazlardan azure yönetimi Microsoft erişimine izin veren bir ilke oluşturur.

Yukarıdaki senaryo, aşağıdaki device.trustType -eq "ServerAD" -veya device.isCompliant -eq True ve Erişim denetimleri için Engelle kuralını kullanarak dışlama modunda cihazlar için filtre uygula koşuluyla Microsoft Azure Yönetim bulut uygulamasına erişen tüm kullanıcılar kullanılarak yapılandırılabilir.

  • Bu örnek, Microsoft Azure Management bulut uygulamasına yönetilmeyen veya uyumlu olmayan cihazlardan erişimi engelleyen bir ilke oluşturur.

Önemli

Cihaz durumu ve cihazlar için filtreler Koşullu Erişim ilkesinde birlikte kullanılamaz. Cihazlar için filtreler, ve isCompliant özelliği aracılığıyla trustType cihaz durumu bilgilerini hedefleme desteği de dahil olmak üzere daha ayrıntılı hedefleme sağlar.

Cihazlar için filtreleme

Koşullu Erişim'de cihazlar için filtre adlı yeni bir isteğe bağlı koşul vardır. Cihazlar için filtreyi bir koşul olarak yapılandırırken, kuruluşlar cihaz özelliklerinde bir kural ifadesi kullanarak bir filtreye göre cihazları dahil etmeyi veya hariç tutmayı seçebilir. Cihazlar için filtre için kural ifadesi, kural oluşturucu veya kural söz dizimi kullanılarak yazılabilir. Bu deneyim, gruplar için dinamik üyelik kuralları için kullanılan deneyime benzer. Daha fazla bilgi için Koşullu Erişim: Cihazlar için filtreleme (önizleme) makalesine bakın.

Sonraki adımlar