Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sürekli Erişim Değerlendirmesi (CAE), ilke değişikliklerine ve kullanıcı riskine göre gerçek zamanlı erişim denetimi sağlamak için tasarlanmış bir güvenlik özelliğidir. CAE, oturum geçerliliğini sürekli değerlendirerek erişim ilkelerinin neredeyse gerçek zamanlı olarak uygulanmasını sağlar. İlke değişikliği, kullanıcı riski güncelleştirmesi veya başka bir kritik güvenlik olayı gerçekleştiğinde CAE, kullanıcı erişiminin her zaman en son güvenlik gereksinimlerine uygun olduğundan emin olarak belirteçleri iptal edebilir veya yenileyebilir. Geleneksel olarak Entra ID CAE, her iş yükünün özel kitaplıkları benimsemesini gerektirir ve yalnızca birinci taraf uygulamalarla sınırlıdır.
Uygulama Ara Sunucusu için CAE, CAE'nin avantajlarını, uygulamanın CAE'nin farkında olmasını gerektirmeden uygulama ara sunucusu aracılığıyla yayımlanan şirket içi uygulamalara genişletir.
Uygulama Ara Sunucusu için CAE'nin avantajları (önizleme)
Uygulama Ara Sunucusu için CAE kritik kimlik ve güvenlik olaylarına yanıt verir, böylece yöneticiler erişimi hemen sınırlayabilir. Zorlamanın neredeyse gerçek zamanlı olarak gerçekleştiği yaygın tetikleyiciler şunlardır:
- Kullanıcı sonlandırma veya parola değiştirme/sıfırlama — Kullanıcı oturumları ve yenileme belirteçleri, erişimin devam etmesini önlemek için neredeyse gerçek zamanlı olarak iptal edilir.
- Ağ konumu değişikliği — Koşullu Erişim konum ilkeleri, kullanıcının ağ bağlamı değiştiğinde neredeyse gerçek zamanlı olarak yeniden değerlendirilir ve uygulanır.
- Güvenilen ağ dışındaki bir makineye belirteç dışarı aktarma — Koşullu Erişim konum ilkeleri, belirteç kullanımını engelleyebilir veya güvenilmeyen makinelerden erişimi engellemek için ek denetimler gerektirebilir.
Uygulama Ara Sunucusu (önizleme) için CAE'nin nasıl çalıştığını anlama
Uygulama Ara Sunucusu için CAE'yi etkinleştirdiğinizde, istek ve zorlama akışı aşağıdaki gibi devam eder:
- Kullanıcı, Uygulama Ara Sunucusu aracılığıyla şirket içi uygulamaya erişim isteğinde bulunur.
- Entra ID isteği doğrular.
- Başarılı kimlik doğrulamasından sonra kullanıcı genellikle 60-90 dakika geçerli olan erişim belirteçlerini alır.
- CAE, ilke değişiklikleri, risk sinyalleri ve iptal olayları için etkin oturumu sürekli olarak değerlendirir.
- Bir tetikleyici oluşursa (örneğin, parola sıfırlama, hesap devre dışı bırakma veya yükseltilmiş risk), CAE oturumu iptal eder ve kullanıcının yeniden oturum açmasını gerektirir.
Bu iş akışı, uygulama değişikliklerine gerek kalmadan yayımlanan uygulamalar için erişim ilkelerinin neredeyse gerçek zamanlı olarak uygulanmasını sağlar.
CAE yeniden kimlik doğrulamasını tetikleyen Microsoft Entra Id sinyalleri
Uygulama Ara Sunucusu, bu olaylar için Microsoft Entra Id'den neredeyse gerçek zamanlı sinyaller alır:
- Kullanıcı hesabı silinir veya devre dışı bırakılır.
- Kullanıcının parolası değiştirilir veya sıfırlanır.
- Çok faktörlü kimlik doğrulaması (MFA) kullanıcı için etkinleştirilir.
- Yönetici, kullanıcı için tüm yenileme belirteçlerini iptal eder.
- Microsoft Entra ID Protection, yüksek kullanıcı riskini algılar.
Uygulama Ara Sunucusu bu sinyallerden herhangi birini aldığında, kullanıcıdan yeniden kimlik doğrulamasını ister. Yeniden kimlik doğrulaması başarılı olursa, kullanıcı Uygulama Ara Sunucusu aracılığıyla yayımlanan kaynaklara yeniden erişim kazanır.
Uygulama Ara Sunucusu için CAE'yi devre dışı bırakma (önizleme)
Belirli Uygulama Ara Sunucusu uygulamaları için CAE'yi devre dışı bırakma
Microsoft Graph'te uygulamanın onPremisesPublishing ayarlarını güncelleştirerek tek tek Uygulama Ara Sunucusu uygulamaları için Sürekli Erişim Değerlendirmesi'ni (CAE) devre dışı bırakabilirsiniz.
HTTP isteği
PATCH https://graph.microsoft.com/beta/applications/{objectId}/onPremisesPublishing
Content-Type: application/json
{
"isContinuousAccessEvaluationEnabled": false
}
Yanıt
HTTP/1.1 204 No Content
Microsoft Graph'ı uygulamayı güncelleştirme izni olan bir hesapla veya uygulamayla çağırdığınızdan emin olun (örneğin, Application.ReadWrite.All).
Kiracının tamamı için CAE'yi devre dışı bırakma
Kiracı genelinde CAE davranışı, Microsoft Entra ID Koşullu Erişim tarafından denetlenir. CAE, varsayılan olarak onu destekleyen tüm uygulamalar için etkindir. CAE'yi tüm hizmetler için devre dışı bırakmak için Koşullu Erişim yapılandırmanızı güncelleştirin. Adımlar için Koşullu Erişim belgelerine bakın.
Uyarı
Koşullu Erişim'de Katı Zorlama'yı etkinleştirmediğiniz ve Uygulama Ara Sunucusu uygulamasına uygulamadığınız sürece CAE fırsatçıdır. Katı olmayan bir ilkeyle, Uygulama Ara Sunucusu yeniden kimlik doğrulamasında normal erişim belirteci verme işlemine geri dönebilir. Bu geri dönüş davranışı nedeniyle kiracı genelinde CAE'yi devre dışı bırakmak nadiren gereklidir.
Bilinen sınırlamalar
Bilinen sorunlar ve sınırlamalar hakkında ayrıntılı bilgi için bkz. Uygulama ara sunucusu SSS.