Ortak Koşullu Erişim ilkesi: Tüm kullanıcılar için uyumlu bir cihaz, Microsoft Entra karma katılmış cihaz veya çok faktörlü kimlik doğrulaması gerektirme

Microsoft Intune'u dağıtan kuruluşlar, aşağıdakiler gibi uyumluluk gereksinimlerini karşılayan cihazları tanımlamak için cihazlarından döndürülen bilgileri kullanabilir:

• Kilidini açmak için PIN gerektirme
• Cihaz şifrelemesi gerektirme
• En düşük veya en yüksek işletim sistemi sürümü gerektirme
• Cihaz gerektirmek jailbreak veya kök erişim iznine sahip değildir

İlke uyumluluk bilgileri, Koşullu Erişim'in kaynaklara erişim izni verme veya erişimi engelleme kararı aldığı Microsoft Entra Kimliği'ne gönderilir. Intune kullanarak kuruluşunuzdaki kaynaklara erişime izin vermek için cihazlarda kurallar ayarlama makalesinde cihaz uyumluluk ilkeleri hakkında daha fazla bilgi bulabilirsiniz

Microsoft Entra karma katılmış bir cihaz gerektirmek, cihazlarınıza zaten Microsoft Entra karma katılmış olmasına bağlıdır. Daha fazla bilgi için Microsoft Entra karma katılımını yapılandırma makalesine bakın.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimli olmayan hesaplardır. Bunlar normalde uygulamalara programlı erişim sağlayan arka uç hizmetleri tarafından kullanılır, ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA program aracılığıyla tamamlanmadığından bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak için iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, çok faktörlü kimlik doğrulaması gerektirecek bir Koşullu Erişim ilkesi oluşturmaya, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesine veya Microsoft Entra karmasına katılmış olmasına yardımcı olur.

1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.
2. Koruma>Koşullu Erişim'e göz atın.
3. Yeni ilke oluştur'u seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Ekle'nin altında Tüm kullanıcılar'ı seçin.
   2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
6. Hedef kaynaklar>Bulut uygulamaları>dahil et'in altında Tüm bulut uygulamaları'nı seçin.
   1. Belirli uygulamaları ilkenizin dışında tutmanız gerekiyorsa Dışlanan bulut uygulamalarını seçin altındaki Dışla sekmesinden bunları seçebilir ve Seç'i seçebilirsiniz.
7. Erişim'in altında İzin Ver'i denetler>.
   1. Çok faktörlü kimlik doğrulaması gerektir, Cihazın uyumlu olarak işaretlenmesini gerektir ve Microsoft Entra karma katılmış cihazı gerektir'i seçin
   2. Birden çok denetim için Seçili denetimlerden birini gerektir'i seçin.
   3. Seç'i seçin.
8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Not

Yukarıdaki adımları kullanarak Cihazın Tüm kullanıcılar ve Tüm bulut uygulamaları için uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini zorunlu kılması, Intune kaydını ve Microsoft Intune Web Şirket Portalı uygulamasına erişimi engellemez.

Bilinen davranış

Windows 7, iOS, Android, macOS ve bazı üçüncü taraf web tarayıcılarında Microsoft Entra Id, cihaz Microsoft Entra ID ile kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Son kullanıcının tarayıcıyı kullanmaya devam etmeden önce bu sertifikayı seçmesi gerekir.

Abonelik etkinleştirme

Kullanıcıların Windows'un bir sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan ve erişimi denetlemek için Koşullu Erişim ilkelerini kullanan kuruluşların Dışlanan Bulut Uygulamalarını Seç'i kullanarak aşağıdaki bulut uygulamalarından birini Koşullu Erişim ilkelerinden dışlamaları gerekir:

• Evrensel Mağaza Hizmeti API'leri ve Web Uygulaması, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• İş İçin Windows Mağazası, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Uygulama kimliği her iki örnekte de aynı olsa da, bulut uygulamasının adı kiracıya bağlıdır.

Koşullu Erişim ilkelerindeki dışlamaları yapılandırma hakkında daha fazla bilgi için bkz . Uygulama dışlamaları.

Bir cihaz uzun bir süre çevrimdışı olduğunda, bu Koşullu Erişim dışlaması yapılmadığında cihaz otomatik olarak yeniden etkinleştirilmeyebilir. Bu Koşullu Erişim dışlama ayarının ayarlanması, Abonelik Etkinleştirme'nin sorunsuz bir şekilde çalışmaya devam etmesini sağlar.

KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2'den başlayarak, Abonelik Etkinleştirme'nin yeniden etkinleştirilmesi gerektiğinde kullanıcılardan bildirim bildirimiyle kimlik doğrulaması istenir. Bildirimde aşağıdaki ileti gösterilir:

Hesabınız kimlik doğrulaması gerektiriyor

Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.

Ayrıca Etkinleştirme bölmesinde aşağıdaki ileti görüntülenebilir:

Bilgilerinizi doğrulamak için lütfen iş veya okul hesabınızda oturum açın.

Kimlik doğrulaması istemi genellikle bir cihaz uzun bir süre çevrimdışı olduğunda oluşur. Bu değişiklik, KB5034848 veya sonraki bir sürüme sahip Windows 11, sürüm 23H2 için Koşullu Erişim ilkesinde dışlama gereksinimini ortadan kaldırır. Bildirim yoluyla kullanıcı kimlik doğrulaması istemi istenmiyorsa, Koşullu Erişim ilkesi windows 11, sürüm 23H2 ve KB5034848 veya sonraki sürümlerle kullanılabilir.

Sonraki adımlar

Koşullu Erişim şablonları

Koşullu Erişim yalnızca rapor modunu kullanarak efekti belirleme

Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.

Cihaz uyumluluk ilkeleri Microsoft Entra ID ile çalışır