Koşullu Erişim: Hedef kaynaklar

Hedef kaynaklar (eski adıyla Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı), Koşullu Erişim ilkesindeki önemli sinyallerdir. Koşullu Erişim ilkeleri, yöneticilerin belirli uygulamalara, hizmetlere, eylemlere veya kimlik doğrulama bağlamlarına denetim atamasına olanak tanır.

• Yöneticiler yerleşik Microsoft uygulamalarını ve galeri, galeri dışı uygulamalar ve Uygulama Ara Sunucusu aracılığıyla yayımlanan uygulamalar da dahil olmak üzere tüm Microsoft Entra tümleşik uygulamalarını içeren uygulamalar veya hizmetler listesinden seçim yapabilir.
• Yöneticiler, ilkeyi bir bulut uygulamasına değil, Güvenlik bilgilerini kaydetme veya Cihazları kaydetme veya cihazlara katılma gibi bir kullanıcı eylemine göre tanımlamayı seçebilir ve koşullu erişimin bu eylemlere yönelik denetimleri zorunlu kılabilmesini sağlar.
• Yöneticiler, gelişmiş işlevsellik için Genel Güvenli Erişim'den trafik iletme profillerini hedefleyebilir.
• Yöneticiler, uygulamalarda ek bir güvenlik katmanı sağlamak için kimlik doğrulama bağlamını kullanabilir.

Microsoft bulut uygulamaları

Mevcut Microsoft bulut uygulamalarının çoğu, aralarından seçim yapabileceğiniz uygulamalar listesine dahil edilmiştir.

Yöneticiler bu Microsoft bulut uygulamalarına koşullu erişim ilkesi atayabilir. Office 365 ve Windows Azure Hizmet Yönetimi API' gibi bazı uygulamalar birden çok ilgili alt uygulama veya hizmet içerir.

Önemli

Koşullu Erişim için kullanılabilen uygulamalar bir ekleme ve doğrulama işleminden geçer. Bu uygulamalar tüm Microsoft uygulamalarını içermez. Çoğu uygulama, ilkenin doğrudan uygulanmasına yönelik olmayan arka uç hizmetleridir. Eksik bir uygulama arıyorsanız, belirli bir uygulama ekibine başvurabilir veya UserVoice üzerinden bir istekte bulunabilirsiniz.

Office 365

Microsoft 365, Exchange, SharePoint ve Microsoft Teams gibi bulut tabanlı üretkenlik ve işbirliği hizmetleri sağlar. Microsoft 365 bulut hizmetleri sorunsuz ve işbirliğine dayalı deneyimler sağlamak için kapsamlı bir şekilde tümleşiktir. Microsoft Teams gibi bazı uygulamaların SharePoint veya Exchange gibi diğer uygulamalara bağımlılıkları olduğundan bu tümleştirme ilke oluştururken kafa karışıklığına neden olabilir.

Office 365 paketi, bu hizmetlerin tümünü aynı anda hedeflemeyi mümkün kılar. Hizmet bağımlılıklarıyla ilgili sorunları önlemek için tek tek bulut uygulamalarını hedeflemek yerine yeni Office 365 paketini kullanmanızı öneririz.

Bu uygulama grubunu hedeflemek, tutarsız ilkeler ve bağımlılıklar nedeniyle ortaya çıkabilecek sorunları önlemeye yardımcı olur. Örneğin: Exchange Online uygulaması posta, takvim ve kişi bilgileri gibi geleneksel Exchange Online verilerine bağlıdır. İlgili meta veriler arama gibi farklı kaynaklar aracılığıyla gösterilebilir. Tüm meta verilerin hedeflenen şekilde korunduğundan emin olmak için, yöneticilerin Office 365 uygulamasına ilkeler ataması gerekir.

Yöneticiler, Tüm Office 365 paketini veya belirli Office 365 bulut uygulamalarını Koşullu Erişim ilkesinden dışlayabilir.

Eklenen tüm hizmetlerin eksiksiz listesi Koşullu Erişim Office 365 uygulama paketine eklenen uygulamalar makalesinde bulunabilir.

Windows Azure Hizmet Yönetim API’si

Windows Azure Hizmet Yönetimi API uygulamasını hedeflediğinizde, yakından bağlı bir dizi hizmete verilen belirteçler için ilke uygulanır. Bu gruplandırmada aşağıdaki uygulama kimlikleri yer alır:

• Azure Resource Manager
• Microsoft Entra yönetim merkezini de kapsayan Azure portal
• Azure Data Lake
• Application Insights API
• Log Analytics API

İlke Azure yönetim portalına uygulandığından ve API, hizmetler veya Azure API hizmeti bağımlılığı olan istemciler dolaylı olarak etkilenebilir. Örnek:

• Azure CLI
• Azure Data Factory portalı
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Azure Service Bus
• Azure SQL Veritabanı
• Azure Synapse
• Klasik dağıtım modeli API'leri
• Microsoft 365 yönetim merkezi
• Microsoft IoT Central
• SQL Yönetilen Örnek
• Visual Studio abonelikleri yönetici portalı

Not

Windows Azure Hizmet Yönetimi API'si uygulaması, Azure Resource Manager API'sini çağıran Azure PowerShell için geçerlidir. Microsoft Graph API'siniçağıran Microsoft Graph PowerShelliçin geçerli değildir.

Microsoft Azure Hizmet Yönetimi API'si için örnek ilke ayarlama hakkında daha fazla bilgi edinmek üzere Koşullu Erişim: Azure yönetimi için MFA gerektirme bölümüne bakın.

İpucu

Azure Kamu için Azure Kamu Bulut Yönetimi API'sini hedeflemeniz gerekir.

Microsoft Yönetici Portalları

Koşullu Erişim ilkesi, Microsoft Yönetici Portalları bulut uygulamasını hedeflediğinde, ilke aşağıdaki Microsoft yönetim portallarının uygulama kimliklerine verilen belirteçler için uygulanır:

• Azure portal
• Exchange yönetim merkezi
• Microsoft 365 yönetim merkezi
• Microsoft 365 Defender portalı
• Microsoft Entra yönetim merkezi
• Microsoft Intune yönetim merkezi
• Microsoft Purview uyumluluk portalı
• Microsoft Teams yönetim merkezi

Listeye sürekli olarak daha fazla yönetim portalı eklemeye devam ediyoruz.

Not

Microsoft Yönetici Portalları uygulaması, yalnızca listelenen yönetici portallarında etkileşimli oturum açma işlemleri için geçerlidir. Microsoft Graph veya Azure Resource Manager API'leri gibi temel alınan kaynak veya hizmetlerde oturum açma işlemleri bu uygulama kapsamında değildir. Bu kaynaklar Windows Azure Service Management API uygulaması tarafından korunur. Bu gruplandırma, müşterilerin API'leri ve PowerShell'i kullanan otomasyonu etkilemeden yöneticiler için MFA benimseme yolculuğunda ilerlemesini sağlar. Hazır olduğunuzda Microsoft, yöneticilerin kapsamlı koruma için her zaman MFA gerçekleştirmesini gerektiren bir ilkesi kullanmanızı önerir.

Diğer uygulamalar

Yöneticiler Microsoft Entra'ya kayıtlı her uygulamayı Koşullu Erişim ilkelerine ekleyebilir. Söz konusu uygulamalar şunları içerebilir:

• Microsoft Entra uygulama ara sunucusu üzerinden yayımlanan uygulamalar
• Galeriden eklenen uygulamalar
• Galeride yer almayan özel uygulamalar
• Uygulama teslim denetleyicileri ve ağlar üzerinden yayımlanan eski uygulamalar
• Parola tabanlı çoklu oturum açma kullanan uygulamalar

Not

Koşullu Erişim ilkesi bir hizmete erişim gereksinimlerini belirlediğinden, bunu bir istemci (genel/yerel) uygulamasına uygulayamazsınız. Başka bir deyişle, ilke doğrudan bir istemci (genel/yerel) uygulamasında ayarlı değildir, ancak bir istemci bir hizmeti çağırdığında uygulanır. Örneğin, SharePoint hizmetinde ayarlanan bir ilke, SharePoint'i çağıran tüm istemciler için geçerlidir. Exchange'e uygulanan bir ilke Outlook istemcisi kullanılarak e-postaya erişim girişimine uygulanır. Bu nedenle istemci (genel/yerel) uygulamalar uygulama seçicide seçilebilir değildir ve Koşullu Erişim seçeneği kiracınızda kayıtlı istemci (genel/yerel) uygulamanın uygulama ayarlarında kullanılamaz.

Bazı uygulamalar seçicide hiç gösterilmez. Bu uygulamaları Koşullu Erişim ilkesine eklemenin tek yolu Tüm kaynakları (eski adıyla 'Tüm bulut uygulamaları') dahil etmektir.

Farklı istemci türleri için Koşullu Erişimi anlama

Koşullu Erişim, istemcinin kimlik belirteci isteyen gizli bir istemci olması dışında istemcilere değil kaynaklara uygulanır.

• Herkese açık istemci
  • Genel istemciler, masaüstünde Microsoft Outlook gibi cihazlarda veya Microsoft Teams gibi mobil uygulamalarda yerel olarak çalışan istemcilerdir.
  • Koşullu Erişim ilkeleri genel istemcinin kendisi için geçerli değildir, ancak genel istemciler tarafından istenen kaynaklara göre uygulanır.
• Gizli istemci
  • Koşullu Erişim, istemci tarafından istenen kaynaklara ve kimlik belirteci isterse gizli istemcinin kendisine uygulanır.
  • Örneğin: Outlook Web Mail.Read ve Files.Readkapsamlar için belirteç isterse, Koşullu Erişim Exchange ve SharePoint için ilkeler uygular. Ayrıca, Outlook Web kimlik belirteci isterse, Koşullu Erişim Outlook Web için ilkeleri de uygular.

Microsoft Entra yönetim merkezinden bu istemci türleri için oturum açma günlüklerini görüntülemek için:

1. Microsoft Entra Yönetim Merkezi'ne en az Rapor Okuyucusuolarak oturum açın.
2. Kimlik>Sağlık İzleme &>Oturum açma günlüklerinegöz atın.
3. İstemci kimlik bilgisi türü için bir filtre ekleyin.
4. Oturum açmada kullanılan istemci kimlik bilgilerine göre belirli bir günlük kümesini görüntülemek için filtreyi ayarlayın.

Daha fazla bilgi için Genel istemci ve gizli istemci uygulamalarımakalesine bakın.

Tüm kaynaklar

Uygulama dışlamaları olmadan Tüm kaynaklara (eski adıyla 'Tüm bulut uygulamaları') Koşullu Erişim ilkesi uygulanması, ilkenin Genel Güvenli Erişim trafik iletme profilleri dahil olmak üzere web sitelerinden ve hizmetlerden gelen tüm belirteç istekleri için zorunlu tutulmasına neden olur. Bu seçenek, Windows Azure Active Directory (00000002-0000-0000-c000-00000-00000000000) gibi Koşullu Erişim ilkesinde ayrı olarak hedeflenemeyen uygulamaları içerir.

Önemli

Microsoft, tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektir bölümünde açıklanan gibi tüm kullanıcıları ve tüm kaynakları (uygulama dışlamaları olmadan) hedefleyen temel çok faktörlü kimlik doğrulama ilkesi oluşturmanızı önerir.

Tüm kaynaklar ilkesinde uygulama dışlaması olduğunda Koşullu Erişim davranışı

herhangi bir uygulama ilkenin dışında tutulursa, kullanıcı erişimini yanlışlıkla engellememek için, bazı düşük ayrıcalık kapsamları ilke zorlamasının dışında tutulur. Bu yetkilendirmeler, Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) ve Microsoft Graph (00000003-0000-0000-c000-000000000000) gibi temel Graph API'lere yapılan çağrılara izin verir, bu da kimlik doğrulaması kapsamında uygulamalar tarafından yaygın olarak kullanılan kullanıcı profili ve grup üyeliği bilgilerine erişim sağlar. Örneğin: Outlook Exchange için bir belirteç istediğinde, geçerli kullanıcının temel hesap bilgilerini görüntüleyebilmek için User.Read kapsamını da ister.

Çoğu uygulamanın benzer bir bağımlılığı vardır. Bu nedenle, Tüm kaynaklar ilkesinde uygulama dışlaması olduğunda bu düşük ayrıcalık kapsamları otomatik olarak dışlanır. Bu düşük ayrıcalık kapsamı dışlamaları, temel kullanıcı profili ve grup bilgilerinin ötesinde veri erişimine izin vermez. Dışlanan kapsamlar aşağıdaki gibi listelenir, uygulamaların bu izinleri kullanması için onay yine de gereklidir.

• Yerel istemciler ve Tek sayfalı uygulamalar (SPA) aşağıdaki düşük ayrıcalık kapsamlarına erişebilir:
  • Azure AD Graph: email, offline_access, openid, profile, User.Read
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
• Gizli istemciler, Tüm kaynaklar ilkesinden dışlanmışsa aşağıdaki düşük ayrıcalık kapsamlarına erişebilir:
  • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All,User.ReadBasic.All
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Bahsedilen kapsamlar hakkında daha fazla bilgi için bkz. Microsoft Graph izin referansı ve Microsoft kimlik platformunda kapsamlar ve izinler.

Dizin bilgilerini koruma

Uygulama dışlamaları olmadan önerilen temel MFA ilkesi iş nedeniyle yapılandırılamıyorsa, kuruluşunuzun güvenlik ilkesi dizinle ilgili düşük ayrıcalık kapsamları (User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden) içermelidir. Alternatif olarak, Windows Azure Active Directory (000000002-00000-0000-c0000-00000000000) hedefleyen ayrı bir Koşullu Erişim ilkesi oluşturmaktır. Windows Azure Active Directory (Azure AD Graph olarak da adlandırılır), kullanıcılar, gruplar ve uygulamalar gibi dizinde depolanan verileri temsil eden bir kaynaktır. Windows Azure Active Directory kaynağı Tüm kaynaklar dahildir, ancak aşağıdaki adımlar kullanılarak Koşullu Erişim ilkelerine ayrı ayrı hedeflenebilir:

1. Öznitelik Tanımı Yöneticisi Microsoft Entra yönetim merkezinde oturum açın ve öznitelik atama yöneticisi .
2. Koruması>Özel güvenlik öznitelikleriüzerine göz atın.
3. Yeni bir öznitelik kümesi ve öznitelik tanımı oluşturun. Daha fazla bilgi için bkz. Microsoft Entra IDözel güvenlik özniteliği tanımlarını ekleme veya devre dışı bırakma.
4. Identity>Applications>Enterprise applicationsadresine gidin.
5. Uygulama türü filtresini kaldırın ve 00000002-0000-0000-c000-000000000000 ile başlayan Uygulama Kimliği arayın.
6. Windows Azure Active Directory >>ekleseçin.
7. İlkede kullanmayı planladığınız öznitelik kümesini ve öznitelik değerini seçin.
8. Koruması>Koşullu Erişim>İlkelerigidin.
9. Var olan bir ilkeyi oluşturun veya değiştirin.
10. Hedef kaynaklar>Kaynaklar (eski adı bulut uygulamaları)>'i dahil et, >'i seçin,'u seçin.>Filtreyi düzenle.
11. Filtreyi daha önceki öznitelik kümenizi ve tanımınızı içerecek şekilde ayarlayın.
12. Politikayı kaydet

Genel Güvenli Erişim ile tüm internet kaynakları

Genel Güvenli Erişim ile tüm internet kaynakları seçeneği, yöneticilerin Microsoft Entra İnternet Erişimi İnternet erişimi trafik iletme profilinihedeflemesine olanak tanır.

Genel Güvenli Erişim'deki bu profiller, yöneticilerin trafiğin Microsoft Entra İnternet Erişimi ve Microsoft Entra Özel Erişim üzerinden nasıl yönlendirileceğine yönelik tanımlama ve denetleme olanağı sağlar. Trafik iletme profilleri cihazlara ve uzak ağlara atanabilir. Bu trafik profillerine Koşullu Erişim ilkesi uygulama örneği için, Koşullu Erişim ilkelerini Microsoft 365 trafik profiline uygulama makalesine bakın.

Bu profiller hakkında daha fazla bilgi için Genel Güvenli Erişim trafik iletme profilleri makalesine bakın.

Kullanıcı eylemleri

Kullanıcı eylemleri, kullanıcının gerçekleştirdiği görevlerdir. Koşullu Erişim şu anda iki kullanıcı eylemini destekler:

• Güvenlik bilgilerini kaydetme: Bu kullanıcı eylemi, koşullu erişim ilkesinin, birleşik kayıt için etkinleştirilen kullanıcıların güvenlik bilgilerini kaydetmeye çalıştığında zorunlu tutmasına olanak tanır. Daha fazla bilgiyi Birleşik güvenlik bilgileri kaydı makalesinde bulabilirsiniz.

Not

Yöneticiler, kullanıcı eylemlerini hedefleyen bir ilke uygulayarak güvenlik bilgilerini kaydetme sürecini başlattığında, eğer kullanıcı hesabı Microsoft kişisel hesabı (MSA)bir konuk olarak tanımlanmışsa, ve 'Çok faktörlü kimlik doğrulaması gerektir' denetimini kullanıyorsa, MSA kullanıcısı güvenlik bilgilerini kuruluşa kaydetmek durumundadır. Konuk kullanıcı Googlegibi başka bir sağlayıcıdan geliyorsa erişim engellenir.

• Cihazları kaydetme veya cihazlara katılma: Bu kullanıcı eylemi, kullanıcılar cihazları Microsoft Entra Id'ye kaydettirdiğinde veya birleştirdiğinde yöneticilerin Koşullu Erişim ilkesini zorunlu kılabilmesini sağlar. Şu anda mevcut olan kiracı genelinde bir ilke yerine cihazları kaydetmek veya birleştirmek için çok faktörlü kimlik doğrulamasını yapılandırmada ayrıntı düzeyi sağlar. Bu kullanıcı eylemiyle ilgili üç önemli nokta vardır:
  • Require multifactor authentication bu kullanıcı eylemiyle kullanılabilen tek erişim denetimidir ve diğer tüm erişim denetimi devre dışı bırakılır. Bu kısıtlama, Microsoft Entra cihaz kaydına bağımlı olan veya Microsoft Entra cihaz kaydı için geçerli olmayan erişim denetimleriyle çakışmaları önler.
  • Client apps, Filters for devicesve Device state koşulları, Koşullu Erişim ilkelerini zorunlu kılmak için Microsoft Entra cihaz kaydına bağımlı olduklarından bu kullanıcı eylemiyle kullanılamaz.

Uyarı

Koşullu Erişim ilkesi Cihazları kaydet veya katılgerekir. Aksi takdirde, bu kullanıcı eylemine sahip Koşullu Erişim ilkeleri düzgün bir şekilde uygulanmaz. Bu cihaz ayarı hakkında daha fazla bilgi Için Bkz . Cihaz ayarlarını yapılandırma.

Kimlik doğrulama bağlamı

Kimlik doğrulama bağlamı, uygulamalardaki verilerin ve eylemlerin güvenliğini artırmak için kullanılabilir. Bu uygulamalar kendi özel uygulamalarınız, özel iş kolu (LOB) uygulamaları, SharePoint gibi uygulamalar veya Bulut Uygulamaları için Microsoft Defender tarafından korunan uygulamalar olabilir.

Örneğin, bir kuruluş sharepoint sitelerinde öğle yemeği menüsü veya gizli barbekü sosu tarifi gibi dosyaları tutabilir. Herkesin öğle yemeği menü sitesine erişimi olabilir, ancak gizli barbekü sosu tarifi sitesine erişimi olan kullanıcıların yönetilen bir cihazdan erişmesi ve belirli kullanım koşullarını kabul etmeleri gerekebilir.

Kimlik doğrulama bağlamı kullanıcılarla veya iş yükü kimlikleriyle çalışır, ancak aynı Koşullu Erişim ilkesinde çalışmaz.

Kimlik doğrulama bağlamlarını yapılandırma

Kimlik doğrulama bağlamları Korumayönetilir.

Yeni kimlik doğrulama bağlamı'ı seçerek yeni kimlik doğrulama bağlam tanımları oluşturun. Kuruluşlar toplam 99 kimlik doğrulama bağlamı tanımı c1-c99 ile sınırlıdır. Aşağıdaki öznitelikleri yapılandırın:

• Görünen ad , Microsoft Entra Id'de ve kimlik doğrulama bağlamlarını kullanan uygulamalarda kimlik doğrulama bağlamını tanımlamak için kullanılan addır. Gereken kimlik doğrulama bağlamlarının sayısını azaltmak için güvenilir cihazlar gibi kaynaklar arasında kullanılabilecek adlar öneririz. Azaltılmış bir kümeye sahip olmak, yeniden yönlendirme sayısını sınırlar ve son kullanıcı deneyimine daha iyi bir son kullanıcı deneyimi sağlar.
• Açıklama , yöneticiler ve kaynaklara kimlik doğrulama bağlamları uygulayanlar tarafından kullanılan ilkeler hakkında daha fazla bilgi sağlar.
• İşaretlendiğinde Uygulamalarda yayımla onay kutusu, kimlik doğrulama bağlamını uygulamalara duyurur ve atanmak üzere kullanılabilir hale getirir. İşaretlenmediyse, kimlik doğrulama bağlamı aşağı akış kaynaklarda kullanılamaz.
• Kimlik salt okunurdur ve isteğe özgü kimlik doğrulaması bağlam tanımları için belirteçlerde ve uygulamalarda kullanılır. Sorun giderme ve geliştirme kullanım örnekleri için burada listelenmiştir.

Koşullu Erişim ilkesine ekle

Yöneticiler, Koşullu Erişim ilkelerindeki Yayımlanan kimlik doğrulama bağlamlarını Atamalarseçebilir ve Bu ilkenin ne için> seçebilir.

Kimlik doğrulama bağlamı silme

Bir kimlik doğrulama bağlamı sildiğinizde, bu bağlamı kullanmaya devam eden uygulama olmadığından emin olun. Aksi takdirde uygulama verilerine erişim artık korunmaz. Kimlik doğrulama bağlamı Koşullu Erişim ilkelerinin uygulandığı durumlar için oturum açma günlüklerini denetleyerek bu önkoşulu onaylayabilirsiniz.

Kimlik doğrulama bağlamlarını silmek için atanmış Koşullu Erişim ilkeleri olmaması ve uygulamalarda yayımlanmaması gerekir. Bu gereksinim, hala kullanımda olan bir kimlik doğrulama bağlamının yanlışlıkla silinmesini önlemeye yardımcı olur.

Kimlik doğrulama bağlamlarıyla kaynakları etiketleme

Uygulamalarda kimlik doğrulama bağlamı kullanımı hakkında daha fazla bilgi için aşağıdaki makalelere bakın.

• Microsoft Teams, Microsoft 365 grupları ve SharePoint sitelerindeki içeriği korumak için duyarlılık etiketlerini kullanma
• Bulut için Microsoft Defender Uygulamaları
• Özel uygulamalar

Sonraki adımlar

• Koşullu Erişim: Koşullar
• Koşullu Erişim ortak ilkeleri
• İstemci uygulama bağımlılıkları