Bir Koşullu Erişim ilkesinde, yönetici ilke kararlarını geliştirmek için bir veya daha fazla sinyalden yararlanabilir.
Ayrıntılı ve belirli Koşullu Erişim ilkeleri oluşturmak için birden çok koşul birleştirilebilir.
Kullanıcılar hassas bir uygulamaya eriştiğinde, yönetici aşağıdaki gibi erişim kararlarına birden çok koşulu hesaba katabilir:
Kimlik Koruması'ndan oturum açma riski bilgileri
Ağ konumu
Cihaz bilgileri
Kullanıcı riski
Kimlik Koruması'na erişimi olan yöneticiler, koşullu erişim ilkesinin bir parçası olarak kullanıcı riskini değerlendirebilir. Kullanıcı riski, belirli bir kimliğin veya hesabın risk altında olma olasılığını temsil eder. Kullanıcı riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.
Giriş riski
Kimlik Koruması'na erişimi olan yöneticiler, koşullu erişim ilkesinin bir parçası olarak oturum açma riskini değerlendirebilir. Oturum açma riski, belirli bir kimlik doğrulama isteğinin kimlik sahibi tarafından yapılmama olasılığını temsil eder. Oturum açma riski hakkında daha fazla bilgiyi Risk nedir ve Nasıl Yapılır: Risk ilkelerini yapılandırma ve etkinleştirme makalelerinde bulabilirsiniz.
İçeriden gelen risk
Microsoft Purview uyarlamalı korumasına erişimi olan yöneticiler, Microsoft Purview'dan gelen risk sinyallerini Koşullu Erişim ilkesi kararlarına dahil edebilir. Insider riski, Microsoft Purview'dan veri idaresi, veri güvenliği ve risk ve uyumluluk yapılandırmalarınızı dikkate alır. Bu sinyaller aşağıdaki gibi bağlamsal faktörleri temel alır:
Kullanıcı davranışı
Geçmiş desenler
Anomali algılamaları
Bu koşul, yöneticilerin erişimi engelleme, daha güçlü kimlik doğrulama yöntemleri gerektirme veya kullanım koşulları kabulü gerektirme gibi eylemler yapmak için Koşullu Erişim ilkelerini kullanmasına olanak tanır.
Bu işlevsellik, özellikle bir kuruluşun içinden kaynaklanan olası riskleri ele alan parametrelerin dahilini içerir. Yöneticiler, Insider Risk'i dikkate almak için Koşullu Erişim'i yapılandırarak erişim izinlerini kullanıcı davranışı, geçmiş desenler ve anomali algılama gibi bağlamsal faktörlere göre uyarlayabilir.
Koşullu Erişim, cihaz tarafından sağlanan kullanıcı aracısı dizeleri gibi bilgileri kullanarak cihaz platformunu tanımlar. Kullanıcı aracısı dizeleri değiştirilebildiği için bu bilgiler onaylanmamıştır. Cihaz platformu Microsoft Intune cihaz uyumluluk ilkeleriyle uyumlu bir şekilde veya blok deyiminin bir parçası olarak kullanılmalıdır. Varsayılan olarak tüm cihaz platformlarına uygulanır.
Koşullu Erişim aşağıdaki cihaz platformlarını destekler:
Android
iOS
Windows
Mac OS
Linux
Diğer istemciler koşulunu kullanarak eski kimlik doğrulamasını engellerseniz, cihaz platformu koşulunu da ayarlayabilirsiniz.
Yalnızca izin denetimleri olarak Onaylanan istemci uygulaması gerektir veya Uygulama koruma ilkesi gerektir denetimlerini seçerken ya da Seçili tüm denetimleri gerektir seçeneğini tercih ettiğinizde macOS veya Linux cihaz platformlarının seçilmesini desteklemiyoruz.
Önemli
Microsoft, desteklenmeyen cihaz platformları için bir Koşullu Erişim ilkenizin olmasını önerir. Örneğin, Chrome OS'den veya desteklenmeyen diğer istemcilerden şirket kaynaklarınıza erişimi engellemek istiyorsanız, herhangi bir cihazı içeren ve desteklenen cihaz platformlarını dışlayan ve Erişimi engelle olarak ayarlanmış bir Cihaz platformları koşuluyla bir ilke yapılandırmanız gerekir.
Varsayılan olarak, yeni oluşturulan tüm Koşullu Erişim ilkeleri, istemci uygulamaları koşulu yapılandırılmamış olsa bile tüm istemci uygulama türleri için geçerlidir.
Not
İstemci uygulamalarının koşullarının davranışları Ağustos 2020'de güncelleştirildi. Koşullu Erişim ilkeleriniz varsa, bunlar değişmeden kalır. Ancak, mevcut bir ilkeye tıklarsanız, Yapılandır geçiş düğmesi kaldırılır ve ilkenin uygulandığı istemci uygulamaları seçilir.
Önemli
Eski kimlik doğrulama istemcilerinden oturum açma işlemleri çok faktörlü kimlik doğrulamasını (MFA) desteklemez ve cihaz durumu bilgilerini geçirmez, bu nedenle MFA veya uyumlu cihazlar gerektirme gibi Koşullu Erişim verme denetimleri tarafından engellenir. Eski kimlik doğrulaması kullanması gereken hesaplarınız varsa, bu hesapları ilkenin dışında tutmanız veya ilkeyi yalnızca modern kimlik doğrulama istemcilerine uygulanacak şekilde yapılandırmanız gerekir.
Yapılandır iki durumlu düğmesi Evet olarak ayarlandığında işaretlenmiş öğeler için, Hayır olarak ayarlandığında ise modern ve eski kimlik doğrulama istemcileri de dahil olmak üzere tüm istemci uygulamaları için geçerli olur. Bu geçiş düğmesi, Ağustos 2020'den önce oluşturulmuş ilkelerde yer almaz.
Modern kimlik doğrulama istemcileri
Tarayıcı
Bunlar SAML, WS-Federation, OpenID Connect gibi protokolleri veya OAuth gizli istemcisi olarak kaydedilen hizmetleri kullanan web tabanlı uygulamaları içerir.
Mobil uygulamalar ve masaüstü istemcileri
Bu seçenek, Office masaüstü ve telefon uygulamaları gibi uygulamaları içerir.
Eski kimlik doğrulama istemcileri
Exchange ActiveSync istemcileri
Bu seçim, Exchange ActiveSync (EAS) protokolünün tüm kullanımını içerir.
İlke Exchange ActiveSync kullanımını engellediğinde, etkilenen kullanıcı tek bir karantina e-postası alır. Bu e-posta, hesaplarının neden engellendiği hakkında bilgi verir ve mümkün olduğunda düzeltme yönergeleri içerir.
Yöneticiler, Koşullu Erişim Microsoft Graph API'sini kullanarak yalnızca desteklenen platformlara (iOS, Android ve Windows gibi) ilke uygulayabilir.
Diğer istemciler
Bu seçenek, modern kimlik doğrulamasını desteklemeyen temel/eski kimlik doğrulama protokollerini kullanan istemcileri içerir.
SMTP - POP ve IMAP istemcisi tarafından e-posta iletileri göndermek için kullanılır.
Otomatik Bulma - Outlook ve EAS istemcileri tarafından Exchange Online'da posta kutularını bulmak ve bu posta kutularına bağlanmak için kullanılır.
Exchange Online PowerShell - Uzak PowerShell ile Exchange Online'a bağlanmak için kullanılır. Exchange Online PowerShell için Temel kimlik doğrulamasını engellerseniz, bağlanmak için Exchange Online PowerShell Modülünü kullanmanız gerekir. Yönergeler için bkz . Çok faktörlü kimlik doğrulaması kullanarak Exchange Online PowerShell'e bağlanma.
Exchange Web Services (EWS) - Outlook, Mac için Outlook ve üçüncü taraf uygulamalar tarafından kullanılan bir programlama arabirimi.
IMAP4 - IMAP e-posta istemcileri tarafından kullanılır.
HTTP üzerinden MAPI (MAPI/HTTP) - Outlook 2010 ve üzeri tarafından kullanılır.
Çevrimdışı Adres Defteri (OAB) - Outlook tarafından indirilen ve kullanılan adres listesi koleksiyonlarının bir kopyası.
Outlook Anywhere (HTTP üzerinden RPC) - Outlook 2016 ve önceki sürümler tarafından kullanılır.
Outlook Hizmeti - Windows 10 için Posta ve Takvim uygulaması tarafından kullanılır.
POP3 - POP e-posta istemcileri tarafından kullanılır.
Raporlama Web Hizmetleri - Exchange Online'da rapor verilerini almak için kullanılır.
Bu koşullar yaygın olarak şunlar için kullanılır:
Yönetilen cihaza ihtiyaç vardır
Eski kimlik doğrulamasını engelleme
Web uygulamalarını engelleme ama mobil veya masaüstü uygulamalarına izin verme
Desteklenen tarayıcılar
Bu ayar tüm tarayıcılarda çalışır. Ancak, uyumlu bir cihaz gereksinimi gibi bir cihaz ilkesini karşılamak için aşağıdaki işletim sistemleri ve tarayıcılar desteklenir. İşletim Sistemleri ve tarayıcılar temel desteğin dışında bu listede gösterilmez:
Bu tarayıcılar cihaz kimlik doğrulamasını destekleyerek cihazın bir ilkeye göre tanımlanmasına ve doğrulanmasına olanak tanır. Tarayıcı özel modda çalışıyorsa veya tanımlama bilgileri devre dışı bırakıldıysa cihaz denetimi başarısız olur.
Not
Edge 85+, cihaz kimliğini düzgün bir şekilde geçirmek için kullanıcının tarayıcıda oturum açmasını gerektirir. Aksi takdirde, Microsoft Çoklu Oturum Açma uzantısı olmadan Chrome gibi davranır. Bu oturum açma işlemi karma cihaz birleştirme senaryosunda otomatik olarak gerçekleşmeyebilir.
Safari, yönetilen bir cihazda cihaz tabanlı Koşullu Erişim için desteklenir, ancak Onaylı istemci uygulaması gerektiren veya Uygulama koruma ilkesi gerektiren koşullarını karşılayamaz. Microsoft Edge gibi yönetilen bir tarayıcı onaylı istemci uygulaması ve uygulama koruma ilkesi gereksinimlerini karşılar.
Üçüncü taraf MDM çözümüne sahip iOS'ta yalnızca Microsoft Edge tarayıcısı cihaz ilkesini destekler.
Firefox 91+ , cihaz tabanlı Koşullu Erişim için desteklenir, ancak "Microsoft, iş ve okul hesapları için Windows çoklu oturum açmasına izin ver" seçeneğinin etkinleştirilmesi gerekir.
Chrome 111+ cihaz tabanlı Koşullu Erişim için desteklenir, ancak "CloudApAuthEnabled" özelliğinin etkinleştirilmesi gerekir.
Windows 7'de iOS, Android ve macOS cihazları bir istemci sertifikası kullanılarak tanımlanır. Bu sertifika, cihaz kaydedildiğinde sağlanır. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Kullanıcının tarayıcıyı kullanmadan önce bu sertifikayı seçmesi gerekir.
Chrome desteği
Windows
Windows 10 Creators Update (sürüm 1703) veya sonraki sürümlerde Chrome desteği için Microsoft Çoklu Oturum Açma uzantısını yükleyin veya Chrome'un CloudAPAuthEnabled'ını etkinleştirin. Koşullu Erişim ilkesi windows platformları için cihaza özgü ayrıntılar gerektirdiğinde bu yapılandırmalar gereklidir.
CloudAPAuthEnabled ilkesini Chrome'da otomatik olarak etkinleştirmek için aşağıdaki kayıt defteri anahtarını oluşturun:
Microsoft Çoklu Oturum Açma uzantısını Chrome tarayıcılarına otomatik olarak dağıtmak için, Chrome'da ExtensionInstallForcelist ilkesini kullanarak aşağıdaki kayıt defteri anahtarını oluşturun:
Desteklenen mobil uygulamalar ve masaüstü istemcileri
Yöneticiler mobil uygulamalar ve masaüstü istemcilerini istemci uygulaması olarak seçebilir.
Bu ayarın, aşağıdaki mobil uygulamalardan ve masaüstü istemcilerinden yapılan erişim girişimleri üzerinde etkisi vardır:
İstemci uygulamaları
Hedef Hizmet
Platform
Dynamics CRM uygulaması
Dynamics CRM
Windows 10, Windows 8.1, iOS ve Android
Posta/Takvim/Kişiler uygulaması, Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile)
Exchange Online
Windows 10
Uygulamalar için MFA ve konum ilkesi. Cihaz tabanlı ilkeler desteklenmez.
Herhangi bir Uygulamalarım uygulama hizmeti
Android ve iOS
Microsoft Teams Hizmetleri - Bu istemci uygulaması Microsoft Teams'i destekleyen tüm hizmetleri ve tüm İstemci Uygulamalarını denetler - Windows Masaüstü, iOS, Android, WP ve web istemcisi
Microsoft Teams
Windows 10, Windows 8.1, Windows 7, iOS, Android ve macOS
Office 2016 (yalnızca Word, Excel, PowerPoint, OneNote).
SharePoint
Mac OS
Office 2019
SharePoint
Windows 10, macOS
Office mobil uygulamaları
SharePoint
Android, iOS
Office Yammer uygulaması
Yammer
Windows 10, iOS, Android
Outlook 2019
SharePoint
Windows 10, macOS
Outlook 2016 (macOS için Office)
Exchange Online
Mac OS
Outlook 2016, Outlook 2013 (modern kimlik doğrulaması ile), Skype Kurumsal (modern kimlik doğrulaması ile)
Exchange Online
Windows 8.1, Windows 7
Outlook mobil uygulaması
Exchange Online
Android, iOS
Power BI uygulaması
Power BI hizmeti
Windows 10, Windows 8.1, Windows 7, Android ve iOS
Skype İş için
Exchange Online
Android, iOS
Azure DevOps Services (eski adıyla Visual Studio Team Services veya VSTS) uygulaması
Azure DevOps Services (eski adıyla Visual Studio Team Services veya VSTS)
Windows 10, Windows 8.1, Windows 7, iOS ve Android
Exchange ActiveSync istemcileri
Yöneticiler yalnızca kullanıcılara veya gruplara ilke atarken Exchange ActiveSync istemcilerini seçebilir.
Tüm kullanıcılar, Tüm konuk ve dış kullanıcılar veya Dizin rolleri'nin seçilmesi, tüm kullanıcıların ilkeye tabi olmasını sağlar.
Yöneticiler Exchange ActiveSync istemcilerine atanmış bir ilke oluşturduğunda, ilkeye atanan tek bulut uygulaması Exchange Online olmalıdır.
Yöneticiler, Cihaz platformları koşulunu kullanarak bu ilkenin kapsamını belirli platformlara daraltabilir.
İlkeye atanan erişim denetimi Onaylı istemci uygulamasını gerektiriyorsa, kullanıcı Outlook mobil istemcisini yüklemeye ve kullanmaya yönlendirilir. Çok faktörlü kimlik doğrulaması, Kullanım Koşulları veya özel denetimlerin gerekli olması durumunda, etkilenen kullanıcılar engellenir çünkü temel kimlik doğrulaması bu denetimleri desteklemez.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
Diğer istemciler'i seçerek IMAP, MAPI, POP, SMTP ve modern kimlik doğrulaması kullanmayan eski Office uygulaması gibi posta protokolleriyle temel kimlik doğrulaması kullanan uygulamaları etkileyen bir koşul belirtebilirsiniz.
Cihaz durumu (kullanım dışı)
Bu koşul kullanım dışı bırakıldı. Müşteriler, daha önce cihaz durumu koşulu kullanılarak elde edilen senaryoları karşılamak için Koşullu Erişim ilkesindeki cihazlar için filtre koşulunu kullanmalıdır.
Önemli
Cihaz durumu ve cihazlar için filtreler Koşullu Erişim ilkesinde birlikte kullanılamaz. Cihazlar için filtreler, cihaz durumu bilgilerini hedefleme desteği sağlayan trustType ve isCompliant özellikleri aracılığıyla, daha ayrıntılı hedefleme sunar.
Cihazlar için filtreleme
Yöneticiler cihazlar için filtreyi bir koşul olarak yapılandırdığında, cihaz özelliklerinde bir kural ifadesi kullanarak bir filtreye göre cihazları dahil etmeyi veya hariç tutmayı seçebilir. Cihazlar için filtre için kural ifadesi, kural oluşturucu veya kural söz dizimi kullanılarak yazılabilir. Bu deneyim, gruplar için dinamik üyelik gruplarına yönelik kurallar için kullanılan deneyime benzer. Daha fazla bilgi için Koşullu Erişim: Cihazlar için Filtre makalesine bakın.
Kimlik doğrulama akışları (önizleme)
Kimlik doğrulama akışları, kuruluşunuzun belirli kimlik doğrulama ve yetkilendirme protokollerini ve vermelerini nasıl kullandığını denetler. Bu akışlar, paylaşılan cihazlar veya dijital tabela gibi yerel giriş cihazlarından yoksun olabilecek cihazlara sorunsuz bir deneyim sağlayabilir. Cihaz kodu akışı veya kimlik doğrulama aktarımı gibi aktarım yöntemlerini yapılandırmak için bu denetimi kullanın.
Koşullu Erişim, hangi kullanıcıların belirli etkinlikleri gerçekleştirebileceği, hangi kaynaklara erişebileceği ve verilerin ve sistemlerin güvenli olmasını nasıl sağlayabileceğiniz konusunda ayrıntılı bir denetim sağlar.
