Aracılığıyla paylaş

Koşullu Erişim: Cihazlar için filtreleme

Yöneticiler Koşullu Erişim ilkeleri oluşturduğunuzda, ortamlarındaki belirli cihazları hedefleme veya dışlama özelliği yaygın bir görevdir. Cihazlar için koşul filtresi, yöneticilere belirli cihazları hedefleme olanağı sağlar. Yöneticiler, Koşullu Erişim ilkelerinizdeki diğer kullanılabilir atama koşullarının yanı sıra cihaz filtreleri için desteklenen işleçleri ve özellikleri kullanabilir.

Koşullu Erişim ilkesi koşullarında cihaz için filtre oluşturma

Genel senaryolar

Kuruluşların artık cihazlar için filtre koşulu kullanarak etkinleştirebileceği birden çok senaryo vardır. Aşağıdaki senaryolarda bu yeni koşulun nasıl kullanılacağına ilişkin örnekler verilmiştir.

  • Ayrıcalıklı kaynaklara erişimi kısıtlayın. Bu örnekte, aşağıdaki kullanıcıdan Windows Azure Hizmet Yönetimi API'sine erişime izin vermek istediğinizi varsayalım:
    • Ayrıcalıklı bir rol atanır.
    • Çok faktörlü kimlik doğrulaması tamamlandı.
    • Yetkilendirilmiş veya güvenli yönetici iş istasyonları ve uyumlu olarak kanıtlanan bir cihazdadır.
    • Bu senaryo için kuruluşlar iki Koşullu Erişim ilkesi oluşturur:
      • İlke 1: Yönetici rolüne sahip tüm kullanıcılar, Windows Azure Hizmet Yönetimi API bulut uygulamasına erişiyor ve erişim denetimleri kapsamında erişim izni verilir, ancak çok faktörlü kimlik doğrulaması gereklidir ve cihazın uyumlu olarak işaretlenmesi gerekir.
      • İlke 2: Yönetici yetkisi olan tüm kullanıcılar, SAW değerine eşit device.extensionAttribute1 kural ifadesi kullanan cihazlar için bir filtre hariç, Windows Azure Hizmet Yönetimi API bulut uygulamasına erişirken, erişim denetimleri için Engelle. Microsoft Entra cihaz nesnesinde extensionAttributes'i güncelleştirme hakkında bilgi edinin.
  • Desteklenmeyen bir İşletim Sistemi çalıştıran cihazlardan kuruluş kaynaklarına erişimi engelleyin. Bu örnekte, Windows 10'dan eski Windows işletim sistemi sürümünden kaynaklara erişimi engellemek istediğinizi varsayalım. Bu senaryo için kuruluşlar aşağıdaki Koşullu Erişim ilkesini oluşturur:
    • Kural ifadesinin device.operatingSystem == 'Windows' ve device.operatingSystemVersion startsWith '10.0' geçerli olduğu cihazlar hariç tüm kaynaklara erişen tüm kullanıcılar Erişim denetimleri tarafından engellenmelidir.
  • Belirli cihazlardaki belirli hesaplar için çok faktörlü kimlik doğrulaması gerektirmez. Bu örnekte, Teams Telefonlar veya Surface Hub cihazları gibi belirli cihazlarda hizmet hesaplarını kullanırken çok faktörlü kimlik doğrulaması gerektirmemek istediğinizi varsayalım. Bu senaryo için kuruluşlar aşağıdaki iki Koşullu Erişim ilkesi oluşturur:
    • İlke 1: Hizmet hesapları hariç tüm kullanıcılar, tüm kaynaklara erişim ve Erişim denetimleri için Erişim ver, ancak çok faktörlü kimlik doğrulaması gerektirir.
    • Politika 2: Yalnızca hizmet hesaplarını içeren grupları dahil ederek kullanıcıları ve grupları seçin, tüm kaynaklara erişim sağlayın, cihazlar için cihaz.extensionAttribute2 TeamsPhoneDevice'e eşit değil şeklinde kural ifadesi kullanarak bir filtre dahil etmeyin ve Erişim kontrolleri için Engelleme.

Uyarı

Microsoft Entra Id, cihaz filtresi kurallarını değerlendirmek için cihaz kimlik doğrulamasını kullanır. Microsoft Entra Id ile kaydı kaldırılmış bir cihaz için tüm cihaz özellikleri null değer olarak kabul edilir ve cihaz dizinde olmadığından cihaz öznitelikleri belirlenemez. Kayıtlı olmayan cihazlar için ilkeleri hedeflemenin en iyi yolu, yapılandırılan filtre kuralı geçerli olacağından negatif işlecini kullanmaktır. Pozitif bir işleç kullanacaksanız, filtre kuralı yalnızca dizinde bir cihaz varsa ve yapılandırılan kural cihazdaki öznitelikle eşleştiğinde geçerli olur.

Koşullu Erişim ilkesi oluşturma

Cihazlar için filtre, Koşullu Erişim ilkesi oluşturulurken isteğe bağlı bir denetimdir.

Aşağıdaki adımlar, Yaygın senaryolar altındaki ilk senaryoyu desteklemek için iki Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

İlke 1: Yönetici rolüne sahip tüm kullanıcılar, Windows Azure Hizmet Yönetimi API bulut uygulamasına erişiyor ve erişim denetimleri kapsamında erişim izni verilir, ancak çok faktörlü kimlik doğrulaması gereklidir ve cihazın uyumlu olarak işaretlenmesi gerekir.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.
  3. Yeni ilke'yi seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

    1. Ekle'nin altında Dizin rolleri'ni seçin, sonra adında yönetici olan tüm roller'i seçin.

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri, [yönetim birimi kapsamlı](../role-based-access-control/manage-roles-portal.md) roller veya özel roller dahil olmak üzere diğer rol türleri için uygulanmaz.

    2. Dışla altında, Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil erişim veya olağanüstü durum hesaplarını seçin.

    3. Bitti'yi seçin.

  6. Hedef kaynaklar altında>> ile Kaynakları seç öğelerini seçin, > seçeneğini seçin ve Seç deyin.
  7. Erişim denetimleri> altında Erişim izni ver, Çok faktörlü kimlik doğrulaması gerektir ve Cihazın uyumlu olarak işaretlenmesini gerektir, ardından Seç düğmesini seçin.
  8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Açık olarak ayarlayın.
  9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Politika 2: Yönetici rolüne sahip tüm kullanıcılar, cihazlar için kural ifadesi device.extensionAttribute1 eşittir SAW ve erişim kontrolleri için, Engelle seçeneğini kullanan bir filtre hariç tutarak, Windows Azure Hizmet Yönetimi API bulut uygulamasına erişiyor.

  1. Yeni ilke'yi seçin.
  2. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  3. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

    1. " Ekle altında, Dizin Rolleri ve ardından adında yönetici olan tüm rolleri seçin"

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri, yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.

    2. Dışla altında, Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil erişim veya olağanüstü durum hesaplarını seçin.

    3. Bitti'yi seçin.

  4. Hedef kaynaklar altında>> ile Kaynakları seç öğelerini seçin, > seçeneğini seçin ve Seç deyin.
  5. Koşullar altında, cihazlar için filtre uygulayın.
    1. Yapılandır seçeneğini Evet olarak değiştirin.
    2. Kuralla eşleşen Cihazlar'ı Filtrelenmiş cihazları ilkenin dışında tut olarak ayarlayın.
    3. özelliğini ExtensionAttribute1olarak, işlecini olarak Equals ve değerini olarak SAWayarlayın.
    4. Bitti'yi seçin.
  6. Erişim denetimleri>İzin Verme seçeneğine gidin, Erişimi engelle seçeneğine tıklayın, ardından Seç düğmesine tıklayın.
  7. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Açık olarak ayarlayın.
  8. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Uyarı

Uyumlu cihazlar gerektiren ilkeler, mac, iOS ve Android'de kullanıcılardan, cihaz uyumluluğu zorunlu tutulmasa bile ilke değerlendirmesi sırasında bir cihaz sertifikası seçmelerini isteyebilir. Cihaz uyumlu hale gelene kadar bu istemler yinelenebilir.

Öznitelik değerlerini ayarlama

Uzantı özniteliklerini ayarlamak, Microsoft Graph API'sini aracılığıyla mümkün hale getirmektedir. Cihaz özniteliklerini ayarlama hakkında daha fazla bilgi için Cihazı güncelleştirme makalesine bakın.

Cihazlar için filtreleme Graph API'si

Cihaz filtresi API'sine Microsoft Graph v1.0 uç noktasından erişilebilir ve uç noktası https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/kullanılarak erişilebilir. Yeni bir Koşullu Erişim ilkesi oluştururken cihazlar için bir filtre yapılandırabilir veya mevcut bir ilkeyi cihazlar için filtre koşulunu yapılandıracak şekilde güncelleştirebilirsiniz. Mevcut bir ilkeyi güncelleştirmek için, var olan bir ilkenin ilke kimliğini ekleyerek ve aşağıdaki istek gövdesini yürüterek Microsoft Graph v1.0 uç noktasında bir düzeltme eki çağrısı yapabilirsiniz. Buradaki örnek, SAW cihazları olarak işaretlenmeyen cihazları hariç tutarak cihazlar için bir koşul filtresi yapılandırmayı göstermektedir. Kural söz dizimi birden fazla tek ifadeden oluşabilir. Söz dizimi hakkında daha fazla bilgi edinmek için Microsoft Entra ID'deki gruplar için dinamik üyelik grubu kuralları başlığına bakın.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Filtreler için desteklenen işleçler ve cihaz özellikleri

Koşullu Erişimde cihazlar koşulu için filtre ile kullanılabilecek cihaz özellikleri şunlardır.

Önemli

Microsoft, Koşullu Erişim'de Cihazlar için Filtre uygula koşulu kullanılırken en az bir sistem tanımlı veya yönetici tarafından yapılandırılabilir cihaz özelliğinin kullanılmasını önerir.

Uyarı

Microsoft Entra Id, cihaz filtresi kurallarını değerlendirmek için cihaz kimlik doğrulamasını kullanır. Microsoft Entra Id ile kaydı kaldırılmış bir cihaz için tüm cihaz özellikleri null değer olarak kabul edilir ve cihaz dizinde olmadığından cihaz öznitelikleri belirlenemez. Kayıtlı olmayan cihazlar için ilkeleri hedeflemenin en iyi yolu, yapılandırılan filtre kuralı geçerli olacağından negatif işlecini kullanmaktır. Pozitif bir işleç kullanacaksanız, filtre kuralı yalnızca dizinde bir cihaz varsa ve yapılandırılan kural cihazdaki öznitelikle eşleştiğinde geçerli olur.

Desteklenen cihaz öznitelikleri Sistem tanımlı veya yönetici yapılandırılmış Desteklenen operatörler Desteklenen değerler Örnek
cihazKimliği Evet Eşittir, Eşit Değildir, İçinde, İçinde Değil GUID olan geçerli bir aygıt kimliği (device.deviceid -eq "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb")
ekran adı Hayır Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Herhangi bir dize (device.displayName -contains "ABC")
cihaz sahipliği Evet Eşittir, Eşit Değildir Desteklenen değerler, kendi cihazlarını getir için "Kişisel" ve şirkete ait cihazlar için "Şirket"tir (device.deviceOwnership -eq "Şirket")
kayitProfilAdi Evet Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Bu, Microsoft Intune tarafından cihazın kayıt sırasında kaydedildiği profile göre ayarlanır. Bu, Microsoft Intune yöneticisi tarafından oluşturulan ve cihaza uygulanan Windows Autopilot, Apple Otomatik Cihaz Kaydı (ADE) veya Google kayıt profiliyle eşleşen bir dize değeridir. (device.enrollmentProfileName -startsWith "Otomatik Pilot Profili")
Uyumlu mı Evet Eşittir, Eşit Değildir Desteklenen değerler uyumlu cihazlar için "True" ve uyumlu olmayan cihazlar için "False" değerleridir (device.isCompliant -eq "Doğru")
üretici Hayır Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Herhangi bir dize (cihaz.üretici -başlıyo "Microsoft")
mdmAppId Evet Eşittir, Eşit Değildir, İçinde, İçinde Değil Geçerli bir MDM uygulama kimliği (device.mdmAppId -in ["0000111-aaaa-2222-bbbb-3333cccc4444"])
örnek Hayır Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Herhangi bir dize (cihaz.modeli -içermez "Surface")
işletim sistemi Evet Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Geçerli bir işletim sistemi (Windows, iOS veya Android gibi) (cihaz.işletimSistemi -eq "Windows")
işletim sistemi sürümü Evet Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil Geçerli bir işletim sistemi sürümü (Windows 7 için 6.1, Windows 8 için 6.2 veya Windows 10 ve Windows 11 için 10.0 gibi) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
fizikselKimlikler Evet İçerir, İçermez Örnek olarak, tüm Windows Autopilot cihazları ZTDId'yi (içeri aktarılan tüm Windows Autopilot cihazlarına atanan benzersiz bir değer) cihaz physicalIds özelliğinde depolar. (device.physicalIds -contains "[ZTDId]:değer")
profilTürü Evet Eşittir, Eşit Değildir Cihaz için ayarlanmış geçerli bir profil türü. Desteklenen değerler şunlardır: RegisteredDevice (varsayılan), SecureVM (Microsoft Entra oturum açma özelliği etkin Azure'daki Windows VM'leri için kullanılır), Yazıcı (yazıcılar için kullanılır), Paylaşılan (paylaşılan cihazlar için kullanılır), IoT (IoT cihazları için kullanılır) (device.profileType -eq "Yazıcı")
sistemEtiketleri Evet İçerir, İçermez Sistem tarafından cihaza uygulanan etiketlerin listesi. Desteklenen değerlerden bazıları şunlardır: AzureResource (Microsoft Entra oturum açma özelliği etkinleştirilmiş Azure'daki Windows VM'leri için kullanılır), M365Managed (Microsoft Yönetilen Masaüstü kullanılarak yönetilen cihazlar için kullanılır), MultiUser (paylaşılan cihazlar için kullanılır) (device.systemLabels -contains "M365Managed")
güven türü Evet Eşittir, Eşit Değildir Cihazlar için geçerli bir kayıtlı durum. Desteklenen değerler şunlardır: AzureAD (Microsoft Entra'ya katılmış cihazlar için kullanılır), ServerAD (Microsoft Entra karma katılmış cihazlar için kullanılır), Çalışma Alanı (Microsoft Entra kayıtlı cihazlar için kullanılır) (device.trustType -eq "ServerAD")
uzantıÖzniteliği1-15 Evet Eşittir, Eşit Değil, İle Başlar, İle Başlamaz, İle Biter, İle Bitmez, İçerir, İçermez, İçinde, İçinde Değil extensionAttributes1-15, müşterilerin cihaz nesneleri için kullanabileceği özniteliklerdir. Müşteriler extensionAttributes1 ile 15 arasında herhangi bir uzantıyı özel değerlerle güncelleştirebilir ve Koşullu Erişim'deki cihazlar için filtre koşulunda kullanabilir. Herhangi bir dize değeri kullanılabilir. (device.extensionAttribute1 -eq "SAW")

Uyarı

Koşullu Erişim ilkesi değerlendirmesi sırasında extensionAttributes1-15'te bir değerin mevcut olabilmesi için cihazların Microsoft Intune tarafından yönetiliyor, uyumlu veya Microsoft Entra hibrit katılımlı olması gerekir.

Uyarı

Karmaşık kurallar oluştururken veya cihaz kimlikleri için deviceid gibi çok fazla bağımsız tanımlayıcı kullanırken, "Filtre kuralı için en fazla uzunluk 3072 karakterdir" ifadesini aklınızda bulundurun.

Uyarı

Contains ve NotContains işleçleri öznitelik türlerine bağlı olarak farklı çalışır. operatingSystem ve model gibi dize öznitelikleri için Contains işleci, belirtilen bir alt dizenin özniteliğin içinde olup olmadığını belirtir. ve physicalIdssystemLabels gibi Contains dize koleksiyonu öznitelikleri için işleç, belirtilen bir dizenin koleksiyondaki tüm dizelerden biriyle eşleşip eşleşmediğini belirtir.

Cihazlar için filtreli politika davranışı

Koşullu Erişim'deki cihaz filtresi koşulu, ilkeyi Microsoft Entra Id'deki kayıtlı bir cihazın cihaz özniteliklerine göre değerlendirir ve bu nedenle ilkenin hangi koşullarda uygulandığını veya uygulanmadığını anlamak önemlidir. Aşağıdaki tabloda, cihazlar için bir filtre koşulu yapılandırıldığında gösterilen davranış gösterilmektedir.

Cihazların durumu için filtre Cihaz kayıt durumu Cihaz filtresi Uygulandı
Pozitif operatörlerle (Equals, StartsWith, EndsWith, Contains, In) dahil etme/çıkarma modu ve herhangi bir özelliğin kullanımı Kayıtlı olmayan cihaz Hayır
Pozitif işleçler (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 dışındaki özniteliklerin kullanımı ile dahil etme/dışlama modu. Kayıtlı cihaz Evet, ölçütler karşılanırsa
Pozitif işleçlerle dahil etme/çıkartma modu (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 gibi özniteliklerin kullanımı. Intune tarafından yönetilen kayıtlı cihaz Evet, ölçütler karşılanırsa
Pozitif işleçlerle dahil etme/çıkartma modu (Equals, StartsWith, EndsWith, Contains, In) ve extensionAttributes1-15 gibi özniteliklerin kullanımı. Kayıtlı cihaz Intune tarafından yönetilmiyor Evet, ölçütler karşılanırsa. extensionAttributes1-15 kullanıldığında, cihaz uyumluysa veya Microsoft Entra karmaya katılmışsa ilke uygulanır
Olumsuz işleçlerle dahil etme/dışlama modu (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) ve herhangi bir özniteliğin kullanımı Kayıtlı olmayan cihaz Evet
Negatif operatörlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) ekleme/çıkarma modu ve extensionAttributes1-15 hariç herhangi bir özelliğin kullanımı. Kayıtlı cihaz Evet, ölçütler karşılanırsa
Negatif operatörlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil/hariç tutma modu ve extensionAttributes1-15 dahil olmak üzere herhangi bir özelliğin kullanımı. Intune tarafından yönetilen kayıtlı cihaz Evet, ölçütler karşılanırsa
Negatif operatörlerle (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dahil/hariç tutma modu ve extensionAttributes1-15 dahil olmak üzere herhangi bir özelliğin kullanımı. Kayıtlı cihaz Intune tarafından yönetilmiyor Evet, ölçütler karşılanırsa. extensionAttributes1-15 kullanıldığında, cihaz uyumluysa veya Microsoft Entra karmaya katılmışsa ilke uygulanır

İlgili içerik