Aracılığıyla paylaş


Koşullu Erişim ilkesi oluşturma

Koşullu Erişim nedir makalesinde açıklandığı gibi, Koşullu Erişim ilkesi, Atamalar ve Erişim denetimlerinin if-then deyimidir. Koşullu Erişim ilkesi, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir.

Bir kuruluş bu ilkeleri nasıl oluşturur? Ne gereklidir? Bunlar nasıl uygulanır?

Koşullu Erişim sinyalleri kavramının yanı sıra kuruluş ilkesini zorunlu kılma kararını gösteren diyagram.

Tek bir kullanıcıya her zaman birden çok Koşullu Erişim ilkesi uygulanabilir. Bu durumda, uygulanan tüm ilkeler karşılanmalıdır. Örneğin, bir ilke çok faktörlü kimlik doğrulaması gerektiriyorsa ve diğeri uyumlu bir cihaz gerektiriyorsa, MFA'yı tamamlamanız ve uyumlu bir cihaz kullanmanız gerekir. Tüm atamalar mantıksal olarak ANDed'tir. Birden fazla atama yapılandırdıysanız, bir ilkeyi tetikleyebilmek için tüm atamaların karşılanması gerekir.

"Seçili denetimlerden birini gerektir" seçeneğinin belirlendiği bir ilke seçilirse, ilke gereksinimleri karşılandığında erişim verilir.

Tüm ilkeler iki aşamada uygulanır:

Atamalar

Atamalar bölümü, Koşullu Erişim ilkesinin kim, ne ve nerede olduğunu denetler.

Kullanıcılar ve gruplar

Kullanıcılar ve gruplar , uygulandığında ilkeyi dahil eden veya dışlayan kişileri atar. Bu atama tüm kullanıcıları, belirli kullanıcı gruplarını, dizin rollerini veya dış konuk kullanıcıları içerebilir.

Hedef kaynaklar

Hedef kaynaklar , ilkeye tabi olan bulut uygulamalarını, kullanıcı eylemlerini veya kimlik doğrulama bağlamlarını içerebilir veya dışlayabilir.

, IP adreslerini, coğrafyaları ve Genel Güvenli Erişim'in Koşullu Erişim ilkesi kararları ile uyumlu ağını içerir. Yönetici istrator'lar konumları tanımlamayı ve bazılarını kuruluşlarının birincil ağ konumları gibi güvenilir olarak işaretlemeyi seçebilir.

Koşullar

İlke birden çok koşul içerebilir.

Oturum açma riski

Microsoft Entra Kimlik Koruması olan kuruluşlarda, burada oluşturulan risk algılamaları Koşullu Erişim ilkelerinizi etkileyebilir.

Cihaz platformları

Birden çok cihaz işletim sistemi platformuna sahip kuruluşlar farklı platformlarda belirli ilkeleri zorunlu kabilir.

Cihaz platformunu hesaplamak için kullanılan bilgiler, değiştirilebilen kullanıcı aracısı dizeleri gibi onaylanmamış kaynaklardan gelir.

İstemci uygulamaları

Kullanıcının bulut uygulamasına erişmek için kullanmakta olduğu yazılım. Örneğin, 'Tarayıcı' ve 'Mobil uygulamalar ve masaüstü istemcileri'. Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türleri için geçerlidir.

Cihazlar için filtreleme

Bu denetim, belirli cihazların bir ilkedeki özniteliklerine göre hedeflenmesine olanak tanır.

Erişim denetimleri

Koşullu Erişim ilkesinin erişim denetimleri bölümü, bir ilkenin nasıl zorunlu kılınmasını denetler.

İzin ver

Grant , yöneticilere erişimi engelleyecekleri veya verebilecekleri bir ilke uygulama aracı sağlar.

Erişimi engelle

Erişimi engelle yalnızca bunu yapar, belirtilen atamalar altında erişimi engeller. Blok denetimi güçlüdür ve uygun bilgiyle kullanılmalıdır.

Erişim verme

Verme denetimi, bir veya daha fazla denetimin uygulanmasını tetikleyebilir.

  • Çok faktörlü kimlik doğrulaması gerektir
  • Cihazın uyumlu olarak işaretlenmesini gerektir (Intune)
  • Microsoft Entra karma birleştirilmiş cihazı gerektir
  • Onaylı istemci uygulaması gerektir
  • Uygulama koruma ilkesi gerektir
  • Parola değişikliği gerektir
  • Kullanım koşullarını gerekli kılma

Yönetici istrator'lar aşağıdaki seçenekleri kullanarak önceki denetimlerden birini veya seçilen tüm denetimleri zorunlu kılabilir. Birden çok denetim için varsayılan değer tümünün gerekli olmasıdır.

  • Seçili tüm denetimleri zorunlu k (denetim ve denetim)
  • Seçili denetimlerden birini iste (denetim veya denetim)

Oturum

Oturum denetimleri kullanıcıların deneyimini sınırlayabilir.

  • Uygulama tarafından zorlanan kısıtlamaları kullanın:
    • Şu anda yalnızca Exchange Online ve SharePoint Online ile çalışır.
    • Tam veya sınırlı erişim verme deneyiminin denetlenebilmesi için cihaz bilgilerini geçirir.
  • Koşullu Erişim Uygulama Denetimi'ni kullanın:
    • Bulut için Microsoft Defender Uygulamalarından gelen sinyalleri kullanarak aşağıdaki gibi işlemler yapar:
      • Hassas belgelerin indirilmesini, kesilmesini, kopyalanmasını ve yazdırilmesini engelleyin.
      • Riskli oturum davranışını izleyin.
      • Hassas dosyaların etiketlenmesi gerekir.
  • Oturum açma sıklığı:
    • Modern kimlik doğrulaması için varsayılan oturum açma sıklığını değiştirme olanağı.
  • Kalıcı tarayıcı oturumu:
    • Kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturum açmış durumda kalmasına izin verir.
  • Sürekli erişim değerlendirmesini özelleştirme
  • Dayanıklılık varsayılanlarını devre dışı bırakma

Basit ilkeler

Koşullu Erişim ilkesinin zorunlu kılınması için en azından aşağıdakileri içermesi gerekir:

  • İlkenin adı .
  • Atamalar
    • İlkenin uygulanacağı kullanıcılar ve/veya gruplar .
    • bulut uygulamaları veya ilkenin uygulanacağı eylemler .
  • Erişim denetimleri
    • Denetim verme veya engelleme

Boş Koşullu Erişim ilkesi

Yaygın Koşullu Erişim ilkeleri makalesi, çoğu kuruluş için yararlı olacağını düşündüğümüz bazı ilkeler içerir.