Koşullu Erişim ilkesi oluşturma

Koşullu Erişim nedir makalesinde açıklandığı gibi, Koşullu Erişim ilkesi, Atamalar ve Erişim denetimlerinin if-then deyimidir. Koşullu Erişim ilkesi, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri bir araya getirir.

Bir kuruluş bu ilkeleri nasıl oluşturur? Ne gereklidir? Bunlar nasıl uygulanır?

Tek bir kullanıcıya her zaman birden çok Koşullu Erişim ilkesi uygulanabilir. Bu durumda, uygulanan tüm ilkeler karşılanmalıdır. Örneğin, bir ilke çok faktörlü kimlik doğrulaması gerektiriyorsa ve diğeri uyumlu bir cihaz gerektiriyorsa, MFA'yı tamamlamanız ve uyumlu bir cihaz kullanmanız gerekir. Tüm atamalar mantıksal olarak ANDed'tir. Birden fazla atama yapılandırdıysanız, bir ilkeyi tetikleyebilmek için tüm atamaların karşılanması gerekir.

"Seçili denetimlerden birini gerektir" seçeneğinin belirlendiği bir ilke seçilirse, ilke gereksinimleri karşılandığında erişim verilir.

Tüm ilkeler iki aşamada uygulanır:

• 1. Aşama: Oturum ayrıntılarını toplama
  • İlke değerlendirmesi için gerekli olacak ağ konumu ve cihaz kimliği gibi oturum ayrıntılarını toplayın.
  • İlke değerlendirmesinin 1. aşaması, yalnızca rapor modunda etkin ilkeler ve ilkeler için gerçekleşir.
• 2. Aşama: Zorlama
  • 1. aşamada toplanan oturum ayrıntılarını kullanarak karşılanmamış gereksinimleri belirleyin.
  • Erişimi engelleyecek şekilde yapılandırılmış bir ilke varsa, engelleme izni denetimiyle zorlama burada durur ve kullanıcı engellenir.
  • İlke karşılanana kadar kullanıcıdan 1. aşama boyunca karşılanmamış daha fazla verme denetimi gereksinimlerini aşağıdaki sırayla tamamlaması istenir:
    1. Çok faktörlü kimlik doğrulaması
    2. Cihaz uyumlu olarak işaretlenecek
    3. Microsoft Entra hibrite katılmış cihaz
    4. Onaylanan istemci uygulaması
    5. Uygulama koruması ilkesi
    6. Parola değiştirme
    7. Kullanım koşulları
    8. Özel denetimler
  • Tüm verme denetimleri karşılandıktan sonra oturum denetimlerini uygulayın (Uygulama Zorunlu, Bulut için Microsoft Defender Uygulamalar ve belirteç Ömrü)
  • İlke değerlendirmesinin 2. aşaması tüm etkin ilkeler için gerçekleşir.

Atamalar

Atamalar bölümü, Koşullu Erişim ilkesinin kim, ne ve nerede olduğunu denetler.

Kullanıcılar ve gruplar

Kullanıcılar ve gruplar , ilkenin dahil edeceği veya dışlanacağı kişileri atar. Bu atama tüm kullanıcıları, belirli kullanıcı gruplarını, dizin rollerini veya dış konuk kullanıcıları içerebilir.

Bulut uygulamaları veya eylemleri

Bulut uygulamaları veya eylemleri , ilkeye tabi olacak bulut uygulamalarını, kullanıcı eylemlerini veya kimlik doğrulama bağlamlarını içerebilir veya dışlayabilir.

Koşullar

İlke birden çok koşul içerebilir.

Oturum açma riski

Microsoft Entra Kimlik Koruması olan kuruluşlarda, burada oluşturulan risk algılamaları Koşullu Erişim ilkelerinizi etkileyebilir.

Cihaz platformları

Birden çok cihaz işletim sistemi platformuna sahip kuruluşlar, farklı platformlarda belirli ilkeleri zorunlu kılmak isteyebilir.

Cihaz platformunu hesaplamak için kullanılan bilgiler, değiştirilebilen kullanıcı aracısı dizeleri gibi onaylanmamış kaynaklardan gelir.

Yerleşimler

Konumlar IP adreslerini, coğrafyaları ve Genel Güvenli Erişim'in uyumlu ağını Koşullu Erişim ilkesi kararlarına bağlar. Yönetici istrator'lar konumları tanımlamayı ve bazılarını kuruluşlarının birincil ağ konumları gibi güvenilir olarak işaretlemeyi seçebilir.

İstemci uygulamaları

Kullanıcının bulut uygulamasına erişmek için kullanmakta olduğu yazılım. Örneğin, 'Tarayıcı' ve 'Mobil uygulamalar ve masaüstü istemcileri'. Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türlerine uygulanır.

İstemci uygulamaları koşulunun davranışı Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak mevcut bir ilkeyi seçerseniz yapılandırma iki durumlu düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.

Cihazlar için filtreleme

Bu denetim, belirli cihazların bir ilkedeki özniteliklerine göre hedeflenmesine olanak tanır.

Erişim denetimleri

Koşullu Erişim ilkesinin erişim denetimleri bölümü, bir ilkenin nasıl zorunlu kılınmasını denetler.

İzin ver

Grant , yöneticilere erişimi engelleyecekleri veya verebilecekleri bir ilke uygulama aracı sağlar.

Erişimi engelle

Erişimi engelle yalnızca bunu yapar, belirtilen atamalar altında erişimi engeller. Blok denetimi güçlüdür ve uygun bilgiyle kullanılmalıdır.

Erişim verme

Verme denetimi, bir veya daha fazla denetimin uygulanmasını tetikleyebilir.

• Çok faktörlü kimlik doğrulaması gerektir
• Cihazın uyumlu olarak işaretlenmesini gerektir (Intune)
• Microsoft Entra karma birleştirilmiş cihazı gerektir
• Onaylı istemci uygulaması gerektir
• Uygulama koruma ilkesi gerektir
• Parola değişikliği gerektir
• Kullanım koşullarını gerekli kılma

Yönetici istrator'lar aşağıdaki seçenekleri kullanarak önceki denetimlerden birini veya seçilen tüm denetimleri zorunlu kılabilir. Birden çok denetim için varsayılan değer tümünün gerekli olmasıdır.

• Seçili tüm denetimleri zorunlu k (denetim ve denetim)
• Seçili denetimlerden birini iste (denetim veya denetim)

Oturum

Oturum denetimleri deneyimi sınırlayabilir

• Uygulama tarafından zorlanan kısıtlamaları kullanma
  • Şu anda yalnızca Exchange Online ve SharePoint Online ile çalışır.
  • Tam veya sınırlı erişim verme deneyiminin denetlenebilmesi için cihaz bilgilerini geçirir.
• Koşullu Erişim Uygulama Denetimini Kullanma
  • Bulut için Microsoft Defender Uygulamalarından gelen sinyalleri kullanarak aşağıdaki gibi işlemler yapar:
    • Hassas belgelerin indirilmesini, kesilmesini, kopyalanmasını ve yazdırilmesini engelleyin.
    • Riskli oturum davranışını izleyin.
    • Hassas dosyaların etiketlenmesi gerekir.
• Oturum açma sıklığı
  • Modern kimlik doğrulaması için varsayılan oturum açma sıklığını değiştirme olanağı.
• Kalıcı tarayıcı oturumu
  • Kullanıcıların tarayıcı pencerelerini kapatıp yeniden açtıktan sonra oturum açmış durumda kalmasına izin verir.
• Sürekli erişim değerlendirmesini özelleştirme
• Dayanıklılık varsayılanlarını devre dışı bırakma

Basit ilkeler

Koşullu Erişim ilkesinin zorunlu kılınması için en azından aşağıdakileri içermesi gerekir:

• İlkenin adı .
• Atamalar
  • İlkenin uygulanacağı kullanıcılar ve/veya gruplar .
  • bulut uygulamaları veya ilkenin uygulanacağı eylemler .
• Erişim denetimleri
  • Denetim verme veya engelleme

Yaygın Koşullu Erişim ilkeleri makalesi, çoğu kuruluş için yararlı olacağını düşündüğümüz bazı ilkeler içerir.

Sonraki adımlar

Koşullu Erişim ilkesi oluşturma

Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.

Bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulama dağıtımı planlama

Intune ile cihaz uyumluluğunu yönetme

uygulamaları ve koşullu erişimi Bulut için Microsoft Defender