Koşullu Erişim ilkesi oluşturma

Koşullu Erişim nedir makalesinde açıklandığı gibi Koşullu Erişim ilkesi, Atamalar ve Erişim denetimlerinin if-then deyimidir. Koşullu Erişim ilkesi, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir.

Bir kuruluş bu ilkeleri nasıl oluşturur? Ne gereklidir? Bunlar nasıl uygulanır?

Koşullu Erişim (Sinyaller + Kararlar + Zorlama = İlkeler)

Tek bir kullanıcıya her zaman birden çok Koşullu Erişim ilkesi uygulanabilir. Bu durumda, geçerli olan tüm ilkeler karşılanmalıdır. Örneğin, bir ilke çok faktörlü kimlik doğrulaması (MFA) gerektiriyorsa ve diğeri uyumlu bir cihaz gerektiriyorsa, MFA'yı tamamlamanız ve uyumlu bir cihaz kullanmanız gerekir. Tüm atamalar mantıksal olarak ANDed olur. Birden fazla atama yapılandırdıysanız, bir ilkeyi tetikleyebilmek için tüm atamaların karşılanması gerekir.

"Seçili denetimlerden birini gerektir" seçeneğinin belirlendiği bir ilke seçilirse, ilke gereksinimleri karşılandığında erişim verilir.

Tüm ilkeler iki aşamada zorlanır:

Atamalar

Atamalar bölümü Koşullu Erişim ilkesinin kim, ne ve nerede olduğunu denetler.

Kullanıcılar ve gruplar

Kullanıcılar ve gruplar , ilkenin dahil edeceği veya hariç tutacağı kişileri atar. Bu atama tüm kullanıcıları, belirli kullanıcı gruplarını, dizin rollerini veya dış konuk kullanıcıları içerebilir.

Bulut uygulamaları veya eylemleri

Bulut uygulamaları veya eylemleri , ilkeye tabi olacak bulut uygulamalarını, kullanıcı eylemlerini veya kimlik doğrulama bağlamlarını içerebilir veya dışlayabilir.

Koşullar

İlke birden çok koşul içerebilir.

Oturum açma riski

Azure AD Kimlik Koruması'na sahip kuruluşlarda, burada oluşturulan risk algılamaları Koşullu Erişim ilkelerinizi etkileyebilir.

Cihaz platformları

Birden çok cihaz işletim sistemi platformuna sahip kuruluşlar, farklı platformlarda belirli ilkeleri zorunlu kılmak isteyebilir.

Cihaz platformunu hesaplamak için kullanılan bilgiler, değiştirilebilen kullanıcı aracısı dizeleri gibi iyileştirilmiş olmayan kaynaklardan gelir.

Konumlar

Konum verileri IP coğrafi konum verileri tarafından sağlanır. Yöneticiler konumları tanımlamayı ve bazılarını kuruluşlarının ağ konumları gibi güvenilir olarak işaretlemeyi seçebilir.

İstemci uygulamaları

Kullanıcının bulut uygulamasına erişmek için kullanmakta olduğu yazılım. Örneğin, 'Tarayıcı' ve 'Mobil uygulamalar ve masaüstü istemcileri'. Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türlerine uygulanır.

İstemci uygulamaları koşulunun davranışı Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa bunlar değişmeden kalır. Ancak mevcut bir ilkeyi seçerseniz yapılandırma iki durumlu düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.

Cihaz durumu

Bu denetim, karma Azure AD birleştirilmiş veya Intune uyumlu olarak işaretlenmiş cihazları dışlamak için kullanılır. Bu dışlama, yönetilmeyen cihazları engellemek için yapılabilir.

Cihazlar için filtreleme

Bu denetim, belirli cihazların bir ilkedeki özniteliklerine göre hedeflenmesine olanak tanır.

Erişim denetimleri

Koşullu Erişim ilkesinin erişim denetimleri bölümü, bir ilkenin nasıl zorunlu kılınmasını denetler.

İzin verme

Grant , yöneticilere erişimi engellayabilecekleri veya verebilecekleri bir ilke zorlama aracı sağlar.

Erişimi engelleme

Erişimi engelle yalnızca bunu yapar, belirtilen atamalar altındaki erişimi engeller. Blok denetimi güçlüdür ve uygun bilgilerle kullanılmalıdır.

Erişim verme

Verme denetimi, bir veya daha fazla denetimin uygulanmasını tetikleyebilir.

  • Çok faktörlü kimlik doğrulaması gerektir
  • Cihazın uyumlu olarak işaretlenmesini gerektir (Intune)
  • Karma Azure AD katılmış cihaz gerektirme
  • Onaylı istemci uygulaması gerektir
  • Uygulama koruma ilkesi gerektir
  • Parola değişikliği gerektir
  • Kullanım koşullarını gerekli kılma

Yöneticiler, aşağıdaki seçenekleri kullanarak önceki denetimlerden birini veya seçilen tüm denetimleri zorunlu kılabilir. Birden çok denetim için varsayılan değer tümünün gerekli olmasıdır.

  • Tüm seçili denetimleri (denetim ve denetim) gerektir
  • Seçili denetimlerden birini gerektirme (denetim veya denetim)

Oturum

Oturum denetimleri deneyimi sınırlayabilir

  • Uygulama tarafından zorlanan kısıtlamaları kullanma
    • Şu anda yalnızca Exchange Online ve SharePoint Online ile çalışmaktadır.
    • Tam veya sınırlı erişim verme deneyimi denetimi sağlamak için cihaz bilgilerini geçirir.
  • Koşullu Erişim Uygulama Denetimi kullanın
    • Aşağıdaki gibi işlemler yapmak için Microsoft Defender for Cloud Apps sinyallerini kullanır:
      • Hassas belgelerin indirilmesini, kesilmesini, kopyalanmasını ve yazdırılmalarını engelleyin.
      • Riskli oturum davranışını izleyin.
      • Hassas dosyaların etiketlenmesi gerektir.
  • Oturum açma sıklığı
    • Modern kimlik doğrulaması için varsayılan oturum açma sıklığını değiştirme olanağı.
  • Kalıcı tarayıcı oturumu
    • Kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturumlarının açık kalmasına izin verir.
  • Sürekli erişim değerlendirmeyi özelleştirme
  • Dayanıklılık varsayılanlarını devre dışı bırakma

Basit ilkeler

Koşullu Erişim ilkesinin zorlanması için en azından aşağıdakileri içermesi gerekir:

  • İlkenin adı .
  • Atamalar
    • İlkenin uygulanacağı kullanıcılar ve/veya gruplar.
    • bulut uygulamaları veya ilkenin uygulanacağı eylemler.
  • Erişim denetimleri
    • Denetim verme veya engelleme

Boş Koşullu Erişim ilkesi

Ortak Koşullu Erişim ilkeleri makalesi, çoğu kuruluş için yararlı olacağını düşündüğümüz bazı ilkeler içerir.

Sonraki adımlar

Koşullu Erişim ilkesi oluşturma

Koşullu Erişim Durum aracını kullanarak oturum açma davranışının simülasyonunu oluşturma

Bulut tabanlı Azure AD Multi-Factor Authentication dağıtımı planlama

Intune ile cihaz uyumluluğunu yönetme

Microsoft Defender for Cloud Apps ve Koşullu Erişim