Koşullu Erişim: Uygulamalar için filtre uygulama
Şu anda Koşullu Erişim ilkeleri tüm uygulamalara veya tek tek uygulamalara uygulanabilir. Çok sayıda uygulaması olan kuruluşlar bu işlemi birden çok Koşullu Erişim ilkesinde yönetmekte zorlanabilir.
Koşullu Erişim için uygulama filtreleri, kuruluşların hizmet sorumlularını özel özniteliklerle etiketlemesine olanak sağlar. Bu özel öznitelikler daha sonra Koşullu Erişim ilkelerine eklenir. Uygulamalar için filtreler belirteç verme çalışma zamanında değerlendirilir. Sık sorulan bir soru, uygulamaların çalışma zamanında mı yoksa yapılandırma zamanında mı atandığıdır.
Bu belgede, özel bir öznitelik kümesi oluşturacak, uygulamanıza özel bir güvenlik özniteliği atayacak ve uygulamanın güvenliğini sağlamak için bir Koşullu Erişim ilkesi oluşturacaksınız.
Rol atama
Özel güvenlik öznitelikleri güvenliğe duyarlıdır ve yalnızca temsilci kullanıcılar tarafından yönetilebilir. Aşağıdaki rollerden biri veya daha fazlası, bu öznitelikleri yöneten veya raporlayan kullanıcılara atanmalıdır.
Rol adı | Açıklama |
---|---|
Öznitelik Atama Yöneticisi | Desteklenen Microsoft Entra nesnelerine özel güvenlik öznitelik anahtarları ve değerleri atayın. |
Öznitelik Atama Okuyucusu | Desteklenen Microsoft Entra nesneleri için özel güvenlik özniteliği anahtarlarını ve değerlerini okuyun. |
Öznitelik Tanımı Yöneticisi | Özel güvenlik özniteliklerinin tanımını tanımlayın ve yönetin. |
Öznitelik Tanımı Okuyucusu | Özel güvenlik özniteliklerinin tanımını okuyun. |
Bu öznitelikleri dizin kapsamında yöneten veya raporlayan kullanıcılara uygun rolü atayın. Ayrıntılı adımlar için bkz . Rol atama.
Önemli
Varsayılan olarak, Genel Yönetici ve diğer yönetici rollerinin özel güvenlik özniteliklerini okuma, tanımlama veya atama izinleri yoktur.
Özel güvenlik öznitelikleri oluşturma
Aşağıdaki Öznitelik kümesini ve Yeni öznitelikleri eklemek için Microsoft Entra Id'de özel güvenlik öznitelikleri ekleme veya devre dışı bırakma makalesindeki yönergeleri izleyin.
- ConditionalAccessTest adlı bir Öznitelik kümesi oluşturun.
- Birden çok değerin atanmasına izin veren ve Yalnızca önceden tanımlanmış değerlerin atanmasına izin veren policyRequirement adlı yeni öznitelikler oluşturun. Aşağıdaki önceden tanımlanmış değerleri ekleriz:
- legacyAuthAllowed
- blockGuestUsers
- requireMFA
- requireCompliantDevice
- requireHybridJoinedDevice
- requireCompliantApp
Not
Uygulamalar için Koşullu Erişim filtreleri yalnızca "string" türünde özel güvenlik öznitelikleriyle çalışır. Özel Güvenlik Öznitelikleri Boole veri türünün oluşturulmasını destekler, ancak Koşullu Erişim İlkesi yalnızca "dizeyi" destekler.
Koşullu Erişim ilkesi oluşturma
- Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yöneticisi ve Öznitelik Tanımı Okuyucusu olarak oturum açın.
- Koruma>Koşullu Erişim'e göz atın.
- Yeni ilke'yi seçin.
- İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
- Ekle'nin altında Tüm kullanıcılar'ı seçin.
- Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
- Bitti'yi seçin.
- Hedef kaynaklar'ın altında aşağıdaki seçenekleri belirleyin:
- Bu ilkenin Bulut uygulamalarına ne uygulanacağı seçin.
- Kaynak seç'i dahil edin.
- Filtreyi düzenle'yi seçin.
- Yapılandır'ı Evet olarak ayarlayın.
- Daha önce oluşturduğumuz policyRequirement adlı Özniteliği seçin.
- İşleci İçerir olarak ayarlayın.
- Değer'i requireMFA olarak ayarlayın.
- Bitti'yi seçin.
- Erişim denetimleri>Ver'in altında Erişim ver, Çok faktörlü kimlik doğrulaması gerektir'i ve Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.
Özel öznitelikleri yapılandırma
1. Adım: Örnek uygulama ayarlama
Hizmet sorumlusu kullanan bir test uygulamanız varsa bu adımı atlayabilirsiniz.
Bir işin veya Windows hizmetinin kullanıcı kimliği yerine uygulama kimliğiyle nasıl çalışabileceğini gösteren örnek bir uygulama ayarlayın. Hızlı Başlangıç: Belirteç alma makalesindeki yönergeleri izleyin ve bu uygulamayı oluşturmak için bir konsol uygulamasının kimliğini kullanarak Microsoft Graph API'sini çağırın.
2. Adım: Uygulamaya özel güvenlik özniteliği atama
Kiracınızda listelenen bir hizmet sorumlunuz yoksa hedeflenemez. Office 365 paketi, bu tür hizmet sorumlularından birine örnektir.
- Microsoft Entra yönetim merkezinde en azından Koşullu Erişim Yöneticisi~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) ve Öznitelik Atama Yöneticisi olarak oturum açın.
- Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
- Özel güvenlik özniteliği uygulamak istediğiniz hizmet sorumlusunu seçin.
- Özel güvenlik özniteliklerini yönet'in>altında Atama ekle'yi seçin.
- Öznitelik kümesi'nin altında ConditionalAccessTest'i seçin.
- Öznitelik adı'nın altında policyRequirement öğesini seçin.
- Atanan değerler'in altında Değer ekle'yi seçin, listeden requireMFA'yı ve ardından Bitti'yi seçin.
- Kaydet'i seçin.
3. Adım: İlkeyi test edin
İlkenin uygulanacağı kullanıcı olarak oturum açın ve uygulamaya erişirken MFA'nın gerekli olup olmadığını test edin.
Diğer senaryolar
- Eski kimlik doğrulamasını engelleme
- Uygulamalara dış erişimi engelleme
- Uyumlu cihaz veya Intune uygulama koruma ilkeleri gerektirme
- Belirli uygulamalar için oturum açma sıklığı denetimlerini zorunlu tutma
- Belirli uygulamalar için ayrıcalıklı erişim iş istasyonu gerektirme
- Yüksek riskli kullanıcılar ve belirli uygulamalar için oturum denetimleri gerektir
İlgili içerik
Koşullu Erişim yalnızca rapor modunu kullanarak efekti belirleme