Dış Kimlikler için Kimlik Doğrulaması ve Koşullu Erişim

Dış kullanıcı kuruluşunuzdaki kaynaklara eriştiğinde, kimlik doğrulama akışı işbirliği yöntemi (B2B işbirliği veya B2B doğrudan bağlantı), kullanıcının kimlik sağlayıcısı (dış Azure AD kiracısı, sosyal kimlik sağlayıcısı vb.), Koşullu Erişim ilkeleri ve hem kullanıcının ev kiracısında hem de kiracı barındırma kaynaklarında yapılandırılan kiracılar arası erişim ayarları tarafından belirlenir.

Bu makalede, kuruluşunuzdaki kaynaklara erişen dış kullanıcılar için kimlik doğrulama akışı açıklanmaktadır. Kuruluşlar dış kullanıcıları için birden çok Koşullu Erişim ilkesi uygulayabilir. Bu ilkeler kiracı, uygulama veya tek tek kullanıcı düzeyinde tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildiği şekilde uygulanabilir.

Dış Azure AD kullanıcıları için kimlik doğrulama akışı

Aşağıdaki diyagramda, bir Azure AD kuruluşu diğer Azure AD kuruluşlarından kullanıcılarla kaynak paylaştığında kimlik doğrulama akışı gösterilmektedir. Bu diyagramda, kullanıcının kaynaklara erişip erişemediğini belirlemek için kiracılar arası erişim ayarlarının çok faktörlü kimlik doğrulaması (MFA) gibi Koşullu Erişim ilkeleriyle nasıl çalıştığı gösterilir. Bu akış, 6. adımda belirtilmedikçe hem B2B işbirliği hem de B2B doğrudan bağlantı için geçerlidir.

Kiracılar arası kimlik doğrulama işlemini gösteren diyagram.

Adım Açıklama
1 Fabrikam'dan (kullanıcının ana kiracısı) bir kullanıcı Contoso'daki bir kaynakta ( kaynak kiracısı) oturum açmayı başlatır.
2 Oturum açma sırasında, Azure AD güvenlik belirteci hizmeti (STS) Contoso'nun Koşullu Erişim ilkelerini değerlendirir. Ayrıca kiracılar arası erişim ayarlarını (Fabrikam'ın giden ayarları ve Contoso'nun gelen ayarları) değerlendirerek Fabrikam kullanıcısının erişim izni olup olmadığını denetler.
3 Azure AD Contoso'nun gelen güven ayarlarını denetleerek Contoso'nun Fabrikam'dan MFA'ya ve cihaz taleplerine (cihaz uyumluluğu, karma Azure AD katılmış durum) güvenip güvenmediğini denetler. Aksi takdirde 6. adıma atlayın.
4 Contoso, Fabrikam'dan gelen MFA ve cihaz taleplerine güveniyorsa, Azure AD kullanıcının MFA'yı tamamlayıp tamamlamadığının göstergesi için kullanıcının kimlik doğrulama oturumunu denetler. Contoso Fabrikam'daki cihaz bilgilerine güveniyorsa Azure AD kimlik doğrulama oturumunda cihaz durumunu (uyumlu veya karma Azure AD katılmış) belirten bir talep arar.
5 MFA gerekliyse ancak tamamlanmamışsa veya bir cihaz talebi sağlanmazsa, Azure AD gerektiğinde kullanıcının ana kiracısında MFA ve cihaz sınamaları oluşturur. Fabrikam'da MFA ve cihaz gereksinimleri karşılandığında, kullanıcının Contoso'daki kaynağa erişimine izin verilir. Denetimler karşılanamazsa erişim engellenir.
6 Hiçbir güven ayarı yapılandırılmadığında ve MFA gerekli olduğunda, B2B işbirliği kullanıcılarından kaynak kiracısında karşılamaları gereken MFA istenir. B2B doğrudan bağlantı kullanıcıları için erişim engellenir. Cihaz uyumluluğu gerekiyorsa ancak değerlendirilemiyorsa, hem B2B işbirliği hem de B2B doğrudan bağlantı kullanıcıları için erişim engellenir.

Daha fazla bilgi için dış kullanıcılar için Koşullu Erişim bölümüne bakın.

Azure AD olmayan dış kullanıcılar için kimlik doğrulama akışı

Azure AD kuruluş, dış kullanıcılarla kaynakları Azure AD dışında bir kimlik sağlayıcısıyla paylaştığında, kimlik doğrulama akışı kullanıcının kimlik doğrulamasını bir kimlik sağlayıcısıyla mı yoksa e-postayla tek seferlik geçiş kodu kimlik doğrulamasıyla mı olduğuna bağlıdır. Her iki durumda da kaynak kiracısı hangi kimlik doğrulama yönteminin kullanılacağını belirler ve kullanıcıyı kimlik sağlayıcısına yönlendirir veya tek seferlik geçiş kodu gönderir.

Örnek 1: Azure AD olmayan bir dış kullanıcı için kimlik doğrulama akışı ve belirteci

Aşağıdaki diyagramda, dış kullanıcı Google, Facebook veya federasyon SAML/WS-Fed kimlik sağlayıcısı gibi Azure AD olmayan bir kimlik sağlayıcısından gelen bir hesapla oturum açtığında kimlik doğrulama akışı gösterilmektedir.

Dış dizinden B2B konuk kullanıcıları için Kimlik Doğrulama akışını gösteren diyagram.)

Adım Açıklama
1 B2B konuk kullanıcısı bir kaynağa erişim isteğinde bulunur. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yönlendirir.
2 Kaynak kiracısı kullanıcıyı dış olarak tanımlar ve kullanıcıyı B2B konuk kullanıcısının IdP'sine yönlendirir. Kullanıcı IdP'de birincil kimlik doğrulaması gerçekleştirir.
3 Yetkilendirme ilkeleri B2B konuk kullanıcısının IdP'sinde değerlendirilir. Kullanıcı bu ilkeleri karşılarsa, B2B konuk kullanıcının IdP'si kullanıcıya bir belirteç verir. Kullanıcı, belirteçle kaynak kiracısına geri yönlendirilir. Kaynak kiracı belirteci doğrular ve kullanıcıyı Koşullu Erişim ilkelerine göre değerlendirir. Örneğin kaynak kiracısı, kullanıcının Azure Active Directory (AD) MFA'sını gerçekleştirmesini gerektirebilir.
4 Gelen kiracılar arası erişim ayarları ve Koşullu Erişim ilkeleri değerlendirilir. Tüm ilkeler karşılanırsa, kaynak kiracısı kendi belirtecini gönderir ve kullanıcıyı kaynağına yönlendirir.

Örnek 2: Tek seferlik geçiş kodu kullanıcısı için kimlik doğrulama akışı ve belirteci

Aşağıdaki diyagramda, e-posta tek seferlik geçiş kodu kimlik doğrulaması etkinleştirildiğinde ve dış kullanıcının kimliğinin Azure AD, Microsoft hesabı (MSA) veya sosyal kimlik sağlayıcısı gibi başka yollarla doğrulanmamış olduğu akış gösterilmektedir.

Tek seferlik geçiş koduna sahip B2B konuk kullanıcıları için Kimlik doğrulama akışını gösteren diyagram.

Adım Açıklama
1 Kullanıcı başka bir kiracıdaki bir kaynağa erişim isteğinde bulunur. Kaynak, kullanıcıyı güvenilir bir IdP olan kaynak kiracısına yönlendirir.
2 Kaynak kiracısı kullanıcıyı bir kerelik dış e-posta geçiş kodu (OTP) kullanıcısı olarak tanımlar ve kullanıcıya OTP içeren bir e-posta gönderir.
3 Kullanıcı OTP'yi alır ve kodu gönderir. Kaynak kiracı, kullanıcıyı Koşullu Erişim ilkelerine göre değerlendirir.
4 Tüm Koşullu Erişim ilkeleri karşılandıktan sonra kaynak kiracısı bir belirteç gönderir ve kullanıcıyı kaynağına yönlendirir.

Dış kullanıcılar için Koşullu Erişim

Kuruluşlar dış B2B işbirliği ve B2B doğrudan bağlantı kullanıcıları için koşullu erişim ilkelerini tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildikleri şekilde uygulayabilir. Kiracılar arası erişim ayarlarının kullanıma sunulmasıyla birlikte, dış Azure AD kuruluşlarından gelen MFA ve cihaz taleplerine de güvenebilirsiniz. Bu bölümde, kuruluşunuzun dışındaki kullanıcılara Koşullu Erişim uygulamak için dikkat edilmesi gereken önemli noktalar açıklanmaktadır.

Dış kullanıcı türlerine Koşullu Erişim ilkeleri atama (önizleme)

Not

Bu bölümde Azure Active Directory'nin önizleme özelliği açıklanmaktadır. Önizlemeler hakkında daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Koşullu Erişim ilkesini yapılandırırken, ilkeyi uygulamak istediğiniz dış kullanıcı türleri üzerinde ayrıntılı denetime sahipsiniz. Dış kullanıcılar, kimlik doğrulama yöntemine (şirket içinde veya dışarıdan) ve kuruluşunuzla (konuk veya üye) ilişkilerine göre kategorilere ayrılır.

  • B2B işbirliği konuk kullanıcıları - Genellikle konuk olarak kabul edilen kullanıcıların çoğu bu kategoriye girer. Bu B2B işbirliği kullanıcısı bir dış Azure AD kuruluşunda veya dış kimlik sağlayıcısında (sosyal kimlik gibi) bir hesaba sahiptir ve kuruluşunuzda konuk düzeyinde izinlere sahiptir. Azure AD dizininizde oluşturulan kullanıcı nesnesinin UserType'ının Konuk Türü vardır. Bu kategori, davet edilen ve self servis kaydolmayı kullanan B2B işbirliği kullanıcılarını içerir.
  • B2B işbirliği üyesi kullanıcılar - Bu B2B işbirliği kullanıcısı, bir dış Azure AD kuruluşunda veya dış kimlik sağlayıcısında (sosyal kimlik gibi) bir hesaba ve kuruluşunuzdaki kaynaklara üye düzeyinde erişime sahiptir. Bu senaryo, kullanıcıların daha büyük bir kuruluşun parçası olarak kabul edildiği ve kuruluşun diğer kiracılarındaki kaynaklara üye düzeyinde erişime ihtiyaç duyduğu birden çok kiracıdan oluşan kuruluşlarda yaygındır. Kaynak Azure AD dizininde oluşturulan kullanıcı nesnesinin UserType of Member öğesi vardır.
  • B2B doğrudan bağlantı kullanıcıları - Kaynaklarınıza B2B doğrudan bağlantı üzerinden erişebilen dış kullanıcılar, belirli Microsoft uygulamalara (şu anda paylaşılan kanallar Microsoft Teams Bağlantı) çoklu oturum açma erişimine izin veren başka bir Azure AD kuruluşuyla karşılıklı, iki yönlü bir bağlantıdır. B2B doğrudan bağlantı kullanıcıları Azure AD kuruluşunuzda iletişim durumu yoktur, ancak bunun yerine uygulamanın içinden yönetilir (örneğin, Teams paylaşılan kanal sahibi tarafından).
  • Yerel konuk kullanıcılar - Yerel konuk kullanıcıların dizininizde yönetilen kimlik bilgileri vardır. B2B işbirliği kullanılabilir Azure AD önce, Kullanıcı Türü kullanıcı nesnesini Konuk olarak ayarlayarak, dağıtımcılar, tedarikçiler, satıcılar ve diğer kişilerle iç kimlik bilgileri ayarlayarak ve bunları konuk olarak belirleyerek işbirliği yapmak yaygın bir durumdu.
  • Hizmet sağlayıcısı kullanıcıları - Kuruluşunuz için bulut hizmeti sağlayıcısı olarak hizmet veren kuruluşlar (Microsoft Graph iş ortağına özgü yapılandırmadaki isServiceProvider özelliği doğrudur).
  • Diğer dış kullanıcılar - Yukarıdaki kategorilere dahil olmayan, ancak kuruluşunuzun iç üyeleri olarak kabul edilmeyen tüm kullanıcılar için geçerlidir; başka bir deyişle, Azure AD aracılığıyla şirket içinde kimlik doğrulaması yapmazlar ve kaynak Azure AD dizininde oluşturulan kullanıcı nesnesinin UserType üyesi yoktur.

Koşullu Erişim kullanıcı atamaları hakkında daha fazla bilgi edinin.

dış kullanıcılar Azure AD için MFA

Azure AD kiracılar arası senaryoda, kaynak kuruluşu tüm konuk ve dış kullanıcılar için MFA veya cihaz uyumluluğu gerektiren Koşullu Erişim ilkeleri oluşturabilir. Genellikle bir kaynağa erişen B2B işbirliği kullanıcısının kaynak kiracısıyla Azure AD MFA'sını ayarlaması gerekir. Ancak Azure AD artık diğer Azure AD kiracılarından gelen MFA taleplerine güvenme olanağı sunuyor. MFA güvenini başka bir kiracıyla etkinleştirmek, B2B işbirliği kullanıcıları için oturum açma işlemini kolaylaştırır ve B2B doğrudan bağlantı kullanıcıları için erişim sağlar.

Gelen güven ayarlarınızı B2B işbirliğinden veya B2B doğrudan bağlantı kullanıcısının ana kiracısından MFA taleplerini kabul edecek şekilde yapılandırdıysanız Azure AD kullanıcının kimlik doğrulama oturumunu denetler. Oturumda MFA ilkelerinin kullanıcının ana kiracısında zaten karşılandığını belirten bir talep varsa, kullanıcıya paylaşılan kaynağınızda sorunsuz oturum açma izni verilir.

MFA güveni etkin değilse, B2B işbirliği kullanıcıları ve B2B doğrudan bağlantı kullanıcıları için kullanıcı deneyimi farklıdır:

  • B2B işbirliği kullanıcıları: Kaynak kuruluşu kullanıcının ana kiracısıyla MFA güvenini etkinleştirmediyse, kullanıcıya kaynak kuruluşundan bir MFA sınaması sunulur. (Akış, Azure AD olmayan dış kullanıcılar için MFA akışıyla aynıdır.)

  • B2B doğrudan bağlantı kullanıcıları: Kaynak kuruluşu, kullanıcının ana kiracısıyla MFA güvenini etkinleştirmediyse, kullanıcının kaynaklara erişmesi engellenir. B2B'nin bir dış kuruluşla doğrudan bağlanmasına izin vermek istiyorsanız ve Koşullu Erişim ilkeleriniz MFA gerektiriyorsa, gelen güven ayarlarınızı kuruluştan gelen MFA taleplerini kabul etmek için yapılandırmanız gerekir .

MFA için gelen güven ayarlarını yapılandırma hakkında daha fazla bilgi edinin.

Azure AD olmayan dış kullanıcılar için MFA

Azure AD olmayan dış kullanıcılar için kaynak kiracısı her zaman MFA'nın sorumluluğundadır. Aşağıda tipik bir MFA akışı örneği verilmiştir. Bu senaryo, Microsoft Hesabı (MSA) veya sosyal kimlik de dahil olmak üzere tüm kimlikler için çalışır. Bu akış, ev Azure AD kuruluşlarında güven ayarlarını yapılandırmadığınız Azure AD dış kullanıcılar için de geçerlidir.

  1. Fabrikam adlı bir şirketteki yönetici veya bilgi çalışanı Contoso adlı başka bir şirketten bir kullanıcıyı Fabrikam'ın uygulamasını kullanmaya davet eder.

  2. Fabrikam'ın uygulaması erişim sırasında Azure AD MFA gerektirecek şekilde yapılandırılmıştır.

  3. Contoso'dan B2B işbirliği kullanıcısı Fabrikam'ın uygulamasına erişmeye çalıştığında, Azure AD MFA sınamasını tamamlaması istenir.

  4. Konuk kullanıcı daha sonra Fabrikam ile Azure AD MFA'sını ayarlayabilir ve seçenekleri belirleyebilir.

Fabrikam, Azure AD MFA'Azure AD destekleyen yeterli premium Azure AD lisansına sahip olmalıdır. Contoso'dan gelen kullanıcı daha sonra Fabrikam'dan bu lisansı tüketir. B2B lisansı hakkında bilgi için bkz. dış kimlikler Azure AD için faturalama modeli.

Not

MFA, öngörülebilirliği sağlamak için kaynak kiracısı ile tamamlanır. Konuk kullanıcı oturum açtığında, arka planda kaynak kiracı oturum açma sayfasının ve ön planda kendi ev kiracısı oturum açma sayfasının ve şirket logosunun görüntülendiğini görür.

B2B işbirliği kullanıcıları için MFA sıfırlama (yazım denetleme) Azure AD

Aşağıdaki PowerShell cmdlet'leri, B2B işbirliği kullanıcılarından MFA kaydının kanıtını almak veya istemek için kullanılabilir.

  1. Azure AD’ye bağlanın:

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Tüm kullanıcıları yazım denetleme yöntemleriyle alın:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Örnek:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Belirli bir kullanıcının yazım denetleme yöntemlerini yeniden ayarlamasını istemek için Azure AD MFA yöntemini sıfırlayın, örneğin:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Dış kullanıcılar için kimlik doğrulama gücü ilkeleri

Kimlik doğrulama gücü , dış kullanıcının kaynaklarınıza erişmek için tamamlaması gereken çok faktörlü kimlik doğrulama (MFA) yöntemlerinin belirli bir bileşimini tanımlamanızı sağlayan bir Koşullu Erişim denetimidir. Dış kullanıcılar için kimlik avına dayanıklı yöntem gibi belirli kimlik doğrulama yöntemlerini zorlayabildiğiniz için bu denetim özellikle kuruluşunuzdaki hassas uygulamalara dış erişimi kısıtlamak için kullanışlıdır.

Ayrıca, işbirliği yaptığınız veya bağlandığınız farklı konuk veya dış kullanıcı türlerine kimlik doğrulama gücü uygulayabilirsiniz. Bu, B2B işbirliğinize, B2B doğrudan bağlantınıza ve diğer dış erişim senaryolarınıza özgü kimlik doğrulama gücü gereksinimlerini zorunlu kabileceğiniz anlamına gelir.

Azure AD üç yerleşik kimlik doğrulama gücü sağlar:

  • Çok faktörlü kimlik doğrulama gücü
  • Parolasız MFA gücü
  • Kimlik avına dayanıklı MFA gücü

Bu yerleşik güçlü yönlerden birini kullanabilir veya gerekli olmasını istediğiniz kimlik doğrulama yöntemlerini temel alan özel bir kimlik doğrulama gücü ilkesi oluşturabilirsiniz.

Not

Şu anda yalnızca Azure AD ile kimlik doğrulaması yapan dış kullanıcılara kimlik doğrulaması gücü ilkeleri uygulayabilirsiniz. Tek seferlik e-posta geçiş kodu, SAML/WS-Fed ve Google federasyon kullanıcıları için MFA izni denetimini kullanarak MFA'yı gerekli kılabilir.

Dış Azure AD kullanıcılarına kimlik doğrulama gücü ilkesi uyguladığınızda, dış kullanıcının MFA'yı nerede ve nasıl gerçekleştirmesi gerektiğini belirlemek için ilke, kiracılar arası erişim ayarlarınızdaki MFA güven ayarlarıyla birlikte çalışır. Azure AD bir kullanıcı önce kendi ev Azure AD kiracısında kendi hesabını kullanarak kimlik doğrulaması yapar. Daha sonra bu kullanıcı kaynağınıza erişmeye çalıştığında Azure AD kimlik doğrulama gücü Koşullu Erişim ilkesini uygular ve MFA güvenini etkinleştirip etkinleştirmediğinize bakın.

Dış kullanıcı senaryolarında, kimlik doğrulama gücünü yerine getirmek için kabul edilebilir kimlik doğrulama yöntemleri, kullanıcının kendi ev kiracısında veya kaynak kiracısında MFA'yı tamamlayıp tamamlamadığına bağlı olarak değişir. Aşağıdaki tabloda her kiracıda kabul edilebilir yöntemler gösterilir. Kaynak kiracısı dış Azure AD kuruluşlarından gelen taleplere güvenmeyi tercih ettiyse, MFA karşılaması için yalnızca aşağıdaki "Ev kiracısı" sütununda listelenen talepler kaynak kiracı tarafından kabul edilir. Kaynak kiracı MFA güvenini devre dışı bırakmışsa, dış kullanıcının "Kaynak kiracısı" sütununda listelenen yöntemlerden birini kullanarak kaynak kiracısında MFA'yı tamamlaması gerekir.

Tablo 1. Dış kullanıcılar için kimlik doğrulama gücü MFA yöntemleri
Kimlik doğrulama yöntemi Ev kiracısı Kaynak kiracısı
İkinci faktör olarak SMS
Sesli arama
Authenticator anında iletme bildirimini Microsoft
Authenticator telefon oturumunu Microsoft
OATH yazılım belirteci
OATH donanım belirteci
FIDO2 güvenlik anahtarı
İş İçin Windows Hello

Dış kullanıcılara veya konuklara kimlik doğrulama gücü gereksinimlerini uygulayan bir Koşullu Erişim ilkesi yapılandırmak için bkz . Koşullu Erişim: Dış kullanıcılar için kimlik doğrulama gücü gerektirme.

Dış Azure AD kullanıcıları için kullanıcı deneyimi

Kimlik doğrulama gücü ilkeleri, dış kullanıcının MFA'yi nerede ve nasıl gerçekleştirmesi gerektiğini belirlemek için kiracılar arası erişim ayarlarınızdaki MFA güven ayarlarıyla birlikte çalışır.

İlk olarak, Azure AD bir kullanıcı kendi kiracısında kendi hesabıyla kimlik doğrulaması yapar. Daha sonra bu kullanıcı kaynağınıza erişmeye çalıştığında Azure AD kimlik doğrulama gücü Koşullu Erişim ilkesini uygular ve MFA güvenini etkinleştirip etkinleştirmediğinize bakın.

  • MFA güveni etkinleştirildiyse, Azure AD kullanıcının kimlik doğrulama oturumunu kontrol ederek kullanıcının ana kiracısında MFA'nın yerine getirildiğini belirten bir talep olup olmadığını denetler. (Bir dış kullanıcının ev kiracısında tamamlandığında MFA karşılaması için kabul edilebilir kimlik doğrulama yöntemleri için bkz. Tablo 1 .) Oturumda, kullanıcının ana kiracısında MFA ilkelerinin zaten karşılandığını belirten bir talep varsa ve yöntemler kimlik doğrulama gücü gereksinimlerini karşılıyorsa, kullanıcıya erişim izni verilir. Aksi takdirde, Azure AD kullanıcıya kabul edilebilir bir kimlik doğrulama yöntemi kullanarak giriş kiracısında MFA'yı tamamlama sınaması sunar. MFA yönteminin ev kiracısında etkinleştirilmesi ve kullanıcının buna kaydolabilmesi gerekir.
  • MFA güveni devre dışı bırakılırsa Azure AD kullanıcıya kabul edilebilir bir kimlik doğrulama yöntemi kullanarak kaynak kiracısında MFA'yı tamamlama sınaması sunar. (Dış kullanıcı tarafından MFA yerine getirilmesi için kabul edilebilir kimlik doğrulama yöntemleri için bkz . Tablo 1 .)

Kullanıcı MFA'yı tamamlayamıyorsa veya bir Koşullu Erişim ilkesi (uyumlu cihaz ilkesi gibi) kaydolmasını engelliyorsa erişim engellenir.

Cihaz uyumluluğu ve karma Azure AD birleştirilmiş cihaz ilkeleri

Kuruluşlar, koşullu erişim ilkelerini kullanarak kullanıcıların cihazlarının Microsoft Intune tarafından yönetilmesini gerektirebilir. Dış kullanıcı yönetilmeyen cihazını kaynak kuruluşuna kaydedemediğinden bu tür ilkeler dış kullanıcı erişimini engelleyebilir. Cihazlar yalnızca kullanıcının ev kiracısı tarafından yönetilebilir.

Ancak, yönetilen cihazlara ihtiyaç duymaya devam ederken dış kullanıcıların engellemesini kaldırmak için cihaz güven ayarlarını kullanabilirsiniz. Kiracılar arası erişim ayarlarınızda, kullanıcının cihazının cihaz uyumluluk ilkelerini karşılayıp karşılamadığı veya karma Azure AD katılmış olduğu konusunda dış kullanıcının ana kiracısından gelen taleplere güvenmeyi seçebilirsiniz. Tüm Azure AD kuruluşlar veya tek tek kuruluşlar için cihaz güveni ayarlarını ayarlayabilirsiniz.

Cihaz güven ayarları etkinleştirildiğinde Azure AD kullanıcının kimlik doğrulama oturumda cihaz talebi olup olmadığını denetler. Oturum, ilkelerin kullanıcının ana kiracısında zaten karşılandığını belirten bir cihaz talebi içeriyorsa, dış kullanıcıya paylaşılan kaynağınızda sorunsuz oturum açma izni verilir.

Önemli

  • Dış kullanıcının ev kiracısından cihaz uyumluluğu veya karma Azure AD birleştirilmiş durumuyla ilgili taleplere güvenmediğiniz sürece, dış kullanıcıların yönetilen cihazları kullanmasını gerektiren Koşullu Erişim ilkelerinin uygulanmasını önermeyiz.

Cihaz filtreleri

Dış kullanıcılar için Koşullu Erişim ilkeleri oluştururken, bir ilkeyi Azure AD kayıtlı bir cihazın cihaz özniteliklerine göre değerlendirebilirsiniz. Cihazlar için filtre koşulunu kullanarak, koşullu erişim ilkelerinizde desteklenen işleçleri ve özellikleri ve diğer kullanılabilir atama koşullarını kullanarak belirli cihazları hedefleyebilirsiniz.

Cihaz filtreleri, diğer kuruluşlarda yönetilen cihazlarda temel ilkeler için kiracılar arası erişim ayarlarıyla birlikte kullanılabilir. Örneğin, cihazları belirli bir cihaz özniteliğine göre bir dış Azure AD kiracısından engellemek istediğinizi varsayalım. Aşağıdakileri yaparak cihaz özniteliği tabanlı bir ilke ayarlayabilirsiniz:

  • Kiracılar arası erişim ayarlarınızı bu kuruluştan gelen cihaz taleplerine güvenecek şekilde yapılandırın.
  • Filtreleme için kullanmak istediğiniz cihaz özniteliğini desteklenen cihaz uzantısı özniteliklerinden birine atayın.
  • Bu özniteliği içeren cihazlara erişimi engelleyen bir cihaz filtresiyle Koşullu Erişim ilkesi oluşturun.

Koşullu Erişim ile cihazlar için filtreleme hakkında daha fazla bilgi edinin.

Mobil uygulama yönetim ilkeleri

Dış kullanıcılar için uygulama koruma ilkesi gerektirmenizi önermiyoruz. Onaylı istemci uygulamaları gerektir ve Uygulama koruma ilkeleri gerektir gibi Koşullu Erişim verme denetimleri, cihazın kaynak kiracısına kaydedilmesini gerektirir. Bu denetimler yalnızca iOS ve Android cihazlara uygulanabilir. Kullanıcının cihazı yalnızca kendi ev kiracısı tarafından yönetilebildiği için, bu denetimler dış konuk kullanıcılara uygulanamaz.

Konum Tabanlı Koşullu Erişim

Davet eden kuruluş, iş ortağı kuruluşlarını tanımlayan güvenilir bir IP adresi aralığı oluşturabiliyorsa, IP aralıklarını temel alan konum tabanlı ilke zorunlu kılınabilir.

İlkeler coğrafi konumlara göre de zorunlu kılınabilir.

Risk tabanlı Koşullu Erişim

Dış konuk kullanıcı izin denetimini karşılarsa Oturum açma riski ilkesi zorlanır. Örneğin, bir kuruluş orta veya yüksek oturum açma riski için Azure AD Multi-Factor Authentication gerektirebilir. Ancak, bir kullanıcı daha önce kaynak kiracısında Azure AD Multi-Factor Authentication'a kaydolmadıysa, kullanıcı engellenir. Bu, kötü amaçlı kullanıcıların meşru bir kullanıcının parolasını tehlikeye atmaları durumunda kendi Azure AD Multi-Factor Authentication kimlik bilgilerini kaydetmelerini önlemek için yapılır.

Ancak Kullanıcı riski ilkesi kaynak kiracısında çözümlenemez. Örneğin, yüksek riskli dış konuk kullanıcılar için parola değişikliğine ihtiyacınız varsa, kaynak dizinindeki parolaların sıfırlanamadığından bu kullanıcılar engellenir.

Koşullu Erişim istemci uygulamaları koşulu

İstemci uygulamaları koşulları , B2B konuk kullanıcıları için diğer kullanıcı türleriyle aynı şekilde davranır. Örneğin, konuk kullanıcıların eski kimlik doğrulama protokollerini kullanmasını engelleyebilirsiniz.

Koşullu Erişim oturum denetimleri

Oturum denetimleri , B2B konuk kullanıcıları için diğer kullanıcı türleriyle aynı şekilde davranır.

Kimlik koruması ve kullanıcı riski ilkeleri

Kimlik Koruması, Azure AD kullanıcılar için güvenliği aşılmış kimlik bilgilerini algılar ve gizliliği tehlikeye girmiş olabilecek kullanıcı hesaplarını "risk altında" olarak işaretler. Kaynak kiracısı olarak, riskli oturum açmaları engellemek için dış kullanıcılara kullanıcı riski ilkeleri uygulayabilirsiniz. Dış kullanıcı için kullanıcı riski kendi giriş dizininde değerlendirilir. Bu kullanıcılar için gerçek zamanlı oturum açma riski, kaynağa erişmeye çalıştıklarında kaynak dizininde değerlendirilir. Ancak, bir dış kullanıcının kimliği kendi giriş dizininde bulunduğundan, sınırlamalar şunlardır:

  • Bir dış kullanıcı parola sıfırlamayı zorlamak için Kimlik Koruması kullanıcı risk ilkesini tetiklerse, kaynak kuruluşunda parolasını sıfırlanamadığından engellenir.
  • Risk değerlendirmesi dış kullanıcının giriş dizininde gerçekleştiğinden kaynak kuruluşun riskli kullanıcılar raporu dış kullanıcıları yansıtmaz.
  • B2B kullanıcısının giriş dizinine erişimi olmadığından, kaynak kuruluştaki yöneticiler riskli bir dış kullanıcıyı kapatamaz veya düzeltemez.

Azure AD'da kuruluşunuzun tüm dış kullanıcılarını içeren bir grup oluşturarak dış kullanıcıların risk tabanlı ilkelerden etkilenmesini önleyebilirsiniz. Ardından, bu grubu yerleşik Kimlik Koruması kullanıcı riskiniz ve oturum açma riski ilkeleriniz ve bir koşul olarak oturum açma riski kullanan Koşullu Erişim ilkeleriniz için bir dışlama olarak ekleyin.

Daha fazla bilgi için bkz. Kimlik Koruması ve B2B kullanıcıları.

Sonraki adımlar

Daha fazla bilgi için aşağıdaki makaleleri inceleyin: