Koşullu Erişim ilkesinde konum koşulunu kullanma

Koşullu Erişim ilkeleri, karar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri birleştiren en temel if-then deyimidir. Bu sinyallerden biri konum.

Blog gönderisinde belirtildiği gibi IPv6 Microsoft Entra kimliğine geliyor, artık Microsoft Entra hizmetlerinde IPv6'yi destekliyoruz.

Kuruluşlar aşağıdaki gibi yaygın görevler için bu konumları kullanabilir:

• Şirket ağı dışındayken bir hizmete erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme.
• Kuruluşunuzun hiçbir zaman faaliyet göstermemesine neden olan belirli ülkelerden veya bölgelerden bir hizmete erişen kullanıcıların erişimini engelleme.

Bir istemcinin microsoft Authenticator uygulaması tarafından sağlanan Microsoft Entra kimliği veya GPS koordinatları için sağladığı genel IP adresi kullanılarak bulunan konum. Koşullu Erişim ilkeleri varsayılan olarak tüm IPv4 ve IPv6 adresleri için geçerlidir. IPv6 desteği hakkında daha fazla bilgi için Microsoft Entra Kimliği'nde IPv6 desteği makalesine bakın.

İpucu

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olması amaçlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Adlandırılmış konumlar

Konumlar, Koruma>Koşullu Erişim>Adlandırılmış konumları altında bulunur. Bu adlandırılmış ağ konumları kuruluşun yönetim merkezlerinin ağ aralıkları, VPN ağ aralıkları veya engellemek istediğiniz aralıklar gibi konumları içerebilir. Adlandırılmış konumlar, IPv4 ve IPv6 adres aralıkları veya ülkelere/bölgelere göre tanımlanır.

IPv4 ve IPv6 adres aralıkları

Adlandırılmış konumu IPv4/IPv6 adres aralıklarına göre tanımlamak için şunları sağlamanız gerekir:

• Konum için bir Ad .
• Bir veya daha fazla IP aralığı.
• İsteğe bağlı olarak Güvenilir konum olarak işaretle...

IPv4/IPv6 adres aralıkları tarafından tanımlanan adlandırılmış konumlar aşağıdaki sınırlamalara tabidir:

• En fazla 195 adlandırılmış konum yapılandırın.
• Adlandırılmış konum başına en fazla 2000 IP aralığı yapılandırın.
• Hem IPv4 hem de IPv6 aralıkları desteklenir.
• Bir aralıkta yer alan IP adreslerinin sayısı sınırlıdır. IP aralığı tanımlarken yalnızca /8'den büyük CIDR maskelerine izin verilir.

Güvenilen konumlar

Kuruluşunuzun genel ağ aralıkları gibi konumlar güvenilir olarak işaretlenebilir. Bu işaretleme, özellikler tarafından çeşitli şekillerde kullanılır.

• Koşullu Erişim ilkeleri bu konumları içerebilir veya dışlayabilir.
• Güvenilen adlandırılmış konumlardan yapılan oturum açma işlemleri, Microsoft Entra Kimlik Koruması risk hesaplamasının doğruluğunu artırarak, güvenilen olarak işaretlenmiş bir konumdan kimlik doğrulaması yapan kullanıcının oturum açma riskini azaltır.
• Güvenilir olarak işaretlenmiş konumlar silinemez. Silmeyi denemeden önce güvenilen gösterimi kaldırın.

Uyarı

Ağı biliyor ve güvenilir olarak işaretleseniz bile, uygulanan ilkelerin dışında tutmanız gerektiği anlamına gelmez. Açıkça Sıfır Güven mimarisinin temel ilkesi olduğunu doğrulayın. Sıfır Güven ve kuruluşunuzu yol gösteren ilkelere uygun hale getirmenin diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.

Ülkeler/bölgeler

Kuruluşlar, ülke/bölge konumunu IP adresine veya GPS koordinatlarına göre belirleyebilir.

Adlandırılmış konumu ülkeye/bölgeye göre tanımlamak için şunları sağlamanız gerekir:

• Konum için bir Ad .
• Konumu IP adresine veya GPS koordinatlarına göre belirlemeyi seçin.
• Bir veya daha fazla ülke/bölge ekleyin.
• İsteğe bağlı olarak Bilinmeyen ülkeleri/bölgeleri dahil etmeyi seçin.

Konumu IP adresine göre belirle'yi seçerseniz, sistem kullanıcının oturum açmakta olduğu cihazın IP adresini toplar. Bir kullanıcı oturum açtığında, Microsoft Entra kimliği kullanıcının IPv4 veya IPv6 adresini (3 Nisan 2023'den itibaren) bir ülke veya bölgeye çözümler ve eşleme düzenli aralıklarla güncelleştirilir. Kuruluşlar, iş yapmadıkları ülkelerden/bölgelerden gelen trafiği engellemek için ülkeler/bölgeler tarafından tanımlanan adlandırılmış konumları kullanabilir.

KONUMU GPS koordinatlarına göre belirle'yi seçerseniz kullanıcının mobil cihazında Microsoft Authenticator uygulamasının yüklü olması gerekir. Sistem, kullanıcının mobil cihazının GPS konumunu toplamak için saat başı kullanıcının Microsoft Authenticator uygulamasıyla iletişim kurar.

Kullanıcının Microsoft Authenticator uygulamasından konumunu ilk kez paylaşması gerektiğinde, kullanıcı uygulamada bir bildirim alır. Kullanıcının uygulamayı açması ve konum izinleri vermesi gerekir. Sonraki 24 saat boyunca, kullanıcı kaynağa erişmeye devam ediyorsa ve uygulamaya arka planda çalışma izni verildiyse, cihazın konumu saatte bir sessizce paylaşılır.

• 24 saat sonra kullanıcının uygulamayı açması ve bildirimi onaylaması gerekir.
• Microsoft Authenticator uygulamasında numara eşleştirme veya ek bağlam etkinleştirilmiş kullanıcılar bildirimleri sessizce almaz ve bildirimleri onaylamak için uygulamayı açmaları gerekir.

Kullanıcı GPS konumunu her paylaştığında uygulama jailbreak algılaması yapar (Intune MAM SDK'sı ile aynı mantığı kullanarak). Cihazın jailbreak uygulanmış olması durumunda konum geçerli kabul edilmez ve kullanıcıya erişim verilmez. Android'de Microsoft Authenticator uygulaması, jailbreak algılamayı kolaylaştırmak için Google Play Bütünlük API'sini kullanır. Google Play Bütünlük API'si kullanılamıyorsa istek reddedilir ve Koşullu Erişim ilkesi devre dışı bırakılmadığı sürece kullanıcı istenen kaynağa erişemez.

Not

Yalnızca rapor modunda GPS tabanlı adlandırılmış konumlara sahip bir Koşullu Erişim ilkesi, kullanıcıların oturum açmaları engellenmese bile GPS konumlarını paylaşmalarını ister.

GPS konumu parolasız kimlik doğrulama yöntemleriyle çalışmaz.

Birden çok Koşullu Erişim ilkesi, tümü uygulanmadan önce kullanıcılardan GPS konumlarını isteyebilir. Koşullu Erişim ilkelerinin uygulanma şekli nedeniyle, konum denetiminden geçen ancak başka bir ilkede başarısız olan bir kullanıcının erişimi reddedilebilir. İlke uygulama hakkında daha fazla bilgi için Koşullu Erişim ilkesi oluşturma makalesine bakın.

Önemli

Kullanıcılar, Microsoft Entra Kimliğinin Authenticator uygulamasında konumlarını denetlediğini haber veren her saat istem alabilir. Önizleme yalnızca bu davranışın kabul edilebilir olduğu veya erişimin belirli bir ülke/bölgeyle kısıtlanması gereken çok hassas uygulamaları korumak için kullanılmalıdır.

Bilinmeyen ülkeleri/bölgeleri dahil et

Bazı IP adresleri belirli bir ülke veya bölgeyle eşlenemez. Bu IP konumlarını yakalamak için Coğrafi konum tanımlarken bilinmeyen ülkeleri/bölgeleri ekle kutusunu işaretleyin. Bu seçenek, bu IP adreslerinin adlandırılmış konuma dahil edilmesi gerekip gerekmediğini seçmenize olanak tanır. Adlandırılmış konumu kullanan ilke bilinmeyen konumlara uygulanacaksa bu ayarı kullanın.

Konumları tanımlama

1. Microsoft Entra yönetim merkezinde en azından Koşullu Erişim Yöneticisi olarak oturum açın.
2. Koruma>Koşullu Erişim>Adlandırılmış konumlarına göz atın.
3. Yeni konum'u seçin.
4. Konumunuza bir ad verin.
5. Bu konumu veya Ülkeleri/Bölgeleri oluşturan, dışarıdan erişilebilen belirli IPv4 adres aralıklarını biliyorsanız IP aralıkları'nı seçin.
   1. IP aralıklarını sağlayın veya belirttiğiniz konum için Ülkeler/Bölgeler'i seçin.
      • Ülkeler/Bölgeler'i seçerseniz, isteğe bağlı olarak bilinmeyen alanları eklemeyi seçebilirsiniz.
6. Kaydet'i seçin

İlkedeki konum koşulu

Konum koşulunu yapılandırırken şunları ayırt edebilirsiniz:

• Herhangi bir konum
• Tüm güvenilen konumlar
• Tüm Ağ Erişim konumları
• Seçili konumlar

Herhangi bir konum

Varsayılan olarak, Herhangi bir konum seçildiğinde ilkenin tüm IP adreslerine uygulanmasına neden olur ve bu da İnternet'te herhangi bir adres anlamına gelir. Bu ayar, adlandırılmış konum olarak yapılandırdığınız IP adresleriyle sınırlı değildir. Herhangi bir konum'u seçtiğinizde, belirli konumları ilkenin dışında tutabilirsiniz. Örneğin, kapsamı şirket ağı dışında tüm konumlara ayarlamak için güvenilen konumlar dışındaki tüm konumlara bir ilke uygulayabilirsiniz.

Tüm güvenilen konumlar

Bu seçenek şunlar için geçerlidir:

• Güvenilen konum olarak işaretlenmiş tüm konumlar.
• Yapılandırıldıysa MFA Güvenilen IP'leri.

Çok faktörlü kimlik doğrulaması güvenilen IP'leri

Çok faktörlü kimlik doğrulamasının hizmet ayarlarının güvenilen IP'lerinin kullanılması artık önerilmez. Bu denetim yalnızca IPv4 adreslerini kabul eder ve yalnızca Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırma makalesinde ele alınan belirli senaryolar için kullanılmalıdır

Bu güvenilen IP'leri yapılandırdıysanız, konum koşulunun konum listesinde MFA Güvenilen IP'leri olarak gösterilirler.

Kiracımın tüm Ağ Erişimi konumları

Genel Güvenli Erişim önizleme özelliklerine erişimi olan kuruluşların, kuruluşunuzun güvenlik ilkelerine uygun kullanıcı ve cihazlardan oluşan başka bir konum listelenir. Daha fazla bilgi için Koşullu Erişim için Genel Güvenli Erişim sinyalini etkinleştirme bölümüne bakın. Kaynaklara erişim için uyumlu bir ağ denetimi gerçekleştirmek için Koşullu Erişim ilkeleriyle birlikte kullanılabilir.

Seçili konumlar

Bu seçenekle, bir veya daha fazla adlandırılmış konum seçebilirsiniz. Bu ayara sahip bir ilkenin uygulanabilmesi için kullanıcının seçili konumlardan herhangi birinden bağlanması gerekir. Adlandırılmış ağ listesini gösteren adlandırılmış ağ seçimi denetimini seçtiğinizde açılır. Liste, ağ konumunun güvenilir olarak işaretlenip işaretlenmediğini de gösterir.

IPv6 trafiği

Koşullu Erişim ilkeleri tüm IPv4 veIPv6 trafiği için geçerlidir (3 Nisan 2023'den itibaren).

Microsoft Entra Oturum açma etkinlik raporlarıyla IPv6 trafiğini tanımlama

Microsoft Entra oturum açma etkinlik raporlarına giderek kiracınızdaki IPv6 trafiğini bulabilirsiniz. Etkinlik raporunu açtıktan sonra "IP adresi" sütununu ekleyin ve alana iki nokta üst üste (:) ekleyin. Bu filtre, IPv6 trafiğini IPv4 trafiğinden ayırmaya yardımcı olur.

Ayrıca, rapordaki bir satıra tıklayıp oturum açma etkinliği ayrıntılarındaki "Konum" sekmesine giderek de istemci IP'sini bulabilirsiniz.

Not

Hizmet uç noktalarındaki IPv6 adresleri, trafiği işleme biçiminden dolayı hatalarla oturum açma günlüklerinde görünebilir. Hizmet uç noktalarının desteklenmediğini unutmayın. Kullanıcılar bu IPv6 adreslerini görüyorsa, hizmet uç noktasını sanal ağ alt ağ yapılandırmalarından kaldırın.

Bilmeniz gerekenler

Bulut proxy'leri ve VPN'ler

Bulutta barındırılan bir ara sunucu veya VPN çözümü kullandığınızda, bir ilke değerlendirilirken ip adresi Microsoft Entra kimliği proxy'nin IP adresidir. Kullanıcının genel IP adresini içeren X-Forwarded-For (XFF) üst bilgisi, güvenilir bir kaynaktan geldiği doğrulanmadığından kullanılmaz, bu nedenle IP adresi numaralandıran bir yöntem sunar.

Bir bulut ara sunucusu olduğunda, karma birleştirilmiş veya uyumlu Microsoft Entra cihaz gerektiren bir ilkeyi yönetmek daha kolay olabilir. Bulutta barındırılan ara sunucunuz veya VPN çözümünüz tarafından kullanılan IP adreslerinin listesini güncel tutmak neredeyse imkansız olabilir.

Kuruluşların adresteki bu değişikliği önlemek ve yönetimi basitleştirmek amacıyla kaynak IP geri yüklemesini etkinleştirmek için Genel Güvenli Erişim'i kullanmalarını öneririz.

Konum ne zaman değerlendirilir?

Koşullu Erişim ilkeleri aşağıdaki durumlarda değerlendirilir:

• Bir kullanıcı başlangıçta bir web uygulamasında, mobil uygulamada veya masaüstü uygulamasında oturum açar.
• Modern kimlik doğrulaması kullanan, yeni erişim belirteci almak için yenileme belirteci kullanan bir mobil veya masaüstü uygulaması. Varsayılan olarak bu denetim saatte bir kez yapılır.

Bu denetim, modern kimlik doğrulaması kullanan mobil ve masaüstü uygulamaları için ağ konumunun değiştirilmesinden sonra bir saat içinde konum değişikliği algılanır. Modern kimlik doğrulaması kullanmayan mobil ve masaüstü uygulamaları için ilke her belirteç isteğine uygulanır. İsteğin sıklığı uygulamaya göre değişebilir. Benzer şekilde, web uygulamaları için ilkeler ilk oturum açma sırasında uygulanır ve web uygulamasındaki oturumun ömrü için uygundur. Uygulamalar arasında oturum yaşam sürelerindeki farklılıklar nedeniyle, ilke değerlendirmesi arasındaki süre değişir. Uygulama her yeni oturum açma belirteci istediğinde ilke uygulanır.

Varsayılan olarak, Microsoft Entra kimliği saatlik olarak bir belirteç verir. Kullanıcılar şirket ağından taşındıktan sonra, ilke bir saat içinde modern kimlik doğrulaması kullanan uygulamalar için uygulanır.

Kullanıcı IP adresi

İlke değerlendirmesinde kullanılan IP adresi, kullanıcının genel IPv4 veya IPv6 adresidir. Özel ağdaki cihazlar için bu IP adresi intranetteki kullanıcının cihazının istemci IP adresi değildir; ağ tarafından genel İnternet'e bağlanmak için kullanılan adrestir.

Konumları ne zaman engelleyebilirsiniz?

Erişimi engellemek için konum koşulunu kullanan bir ilke kısıtlayıcı olarak kabul edilir ve kapsamlı test sonrasında dikkatli bir şekilde yapılmalıdır. Kimlik doğrulamasını engellemek için konum koşulunu kullanmanın bazı örnekleri şunlar olabilir:

• Kuruluşunuzun hiçbir zaman iş yapmadıkları ülkeleri/bölgeleri engelleme.
• Şu gibi belirli IP aralıklarını engelleme:
  • Güvenlik duvarı ilkesi değiştirilmeden önce bilinen kötü amaçlı IP'ler.
  • Son derece hassas veya ayrıcalıklı eylemler ve bulut uygulamaları için.
  • Muhasebe veya bordro uygulamalarına erişim gibi kullanıcıya özgü IP aralığına göre.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır ve aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya acil durum hesapları. Olası senaryolarda tüm yöneticiler kiracınızın dışında kilitlenir. Acil durum erişimi yönetim hesabınız, erişimi kurtarma adımlarını uygulamak üzere kiracıda oturum açmak için kullanılabilir.
  • Daha fazla bilgi Azure AD'da acil durum erişim hesaplarını yönetme makalesinde bulunabilir.
• Azure AD Connect Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimli olmayan hesaplardır. Bunlar normalde uygulamalara programlı erişim sağlayan arka uç hizmetleri tarafından kullanılır, ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA program aracılığıyla tamamlanmadığından, bunlar gibi hizmet hesapları hariç tutulmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak için iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa, bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Adlandırılmış konumları toplu olarak karşıya yükleme ve indirme

Adlandırılmış konumları oluşturduğunuzda veya güncelleştirdiğinizde, toplu güncelleştirmeler için IP aralıklarına sahip bir CSV dosyasını karşıya yükleyebilir veya indirebilirsiniz. Karşıya yükleme, listedeki IP aralıklarını dosyadaki bu aralıklarla değiştirir. Dosyanın her satırı CIDR biçiminde bir IP Adresi aralığı içerir.

API desteği ve PowerShell

Adlandırılmış konumlar için Graph API önizleme sürümü mevcuttur. Daha fazla bilgi için bkz. namedLocation API'sine bakın.

Sonraki adımlar

• Konum kullanarak örnek bir Koşullu Erişim ilkesi yapılandırın, Koşullu Erişim: Konuma göre erişimi engelleme makalesine bakın.