Koşullu Erişim: Kullanıcılar, gruplar, aracılar ve iş yükü kimlikleri

Genel bakış

Koşullu Erişim ilkesi, karar sürecindeki sinyallerden biri olarak kullanıcı, grup, aracı veya iş yükü kimlik atamasını içerir. Bu kimlikler Koşullu Erişim ilkelerine dahil edilebilir veya dışlanabilir. Microsoft Entra ID tüm ilkeleri değerlendirir ve erişim vermeden önce tüm gereksinimlerin karşılanmasını sağlar.

Kullanıcıları dahil et

Bu liste genellikle koşullu erişim ilkesinde bir kuruluşun hedef aldığı tüm kullanıcıları içerir.

Koşullu Erişim ilkesi oluştururken aşağıdaki seçenekler kullanılabilir.

• Hiç kimse
  • Hiçbir kullanıcı seçilmedi
• Tüm kullanıcılar
  • B2B konukları da dahil olmak üzere dizindeki tüm kullanıcılar.
• Kullanıcıları ve grupları seçme
  • Konuk veya dış kullanıcılar
    • Bu seçim Koşullu Erişim ilkelerini belirli konuk veya dış kullanıcı türlerine ve bu kullanıcıları içeren kiracılara hedeflemenizi sağlar. Seçilebilen birkaç farklı konuk veya dış kullanıcı türü vardır ve birden çok seçim yapılabilir:
      • B2B işbirliği konuk kullanıcıları
      • B2B işbirliği üyesi kullanıcılar
      • B2B doğrudan bağlantı kullanıcıları
      • Yerel konuk kullanıcılar, örneğin konuk olarak ayarlanmış kullanıcı türü özniteliğiyle ev kiracısına ait tüm kullanıcılar
      • Hizmet sağlayıcısı kullanıcıları, örneğin bir Bulut Çözümü Sağlayıcısı (CSP)
      • Diğer dış kullanıcılar veya diğer kullanıcı türü seçimleri tarafından temsil edilmeyen kullanıcılar
    • Seçilen kullanıcı türleri için bir veya daha fazla kiracı belirtilebilir veya tüm kiracıları belirtebilirsiniz.
  • Dizin Yetkileri
    • Yöneticilerin ilke atamasını belirlemek için belirli yerleşik dizin rollerini seçmesine izin verir. Örneğin kuruluşlar, etkin olarak ayrıcalıklı bir rol atanmış kullanıcılar üzerinde daha kısıtlayıcı bir ilke oluşturabilir. Yönetim birimi kapsamlı roller ve özel roller de dahil olmak üzere diğer rol türleri desteklenmez.
      • Koşullu Erişim, yöneticilerin kullanım dışı olarak listelenen bazı rolleri seçmesine olanak tanır. Bu roller temel alınan API'de görünmeye devam eder ve yöneticilerin bu rollere ilke uygulamasına izin veririz.
  • Kullanıcılar ve gruplar
    • Belirli kullanıcı kümelerinin hedeflenmesine izin verir. Örneğin, bulut uygulaması olarak bir İk uygulaması seçildiğinde kuruluşlar İk departmanının tüm üyelerini içeren bir grup seçebilir. Grup, dinamik veya atanmış güvenlik ve dağıtım grupları da dahil olmak üzere Microsoft Entra ID herhangi bir kullanıcı grubu türü olabilir. İlke, iç içe kullanıcılara ve gruplara uygulanır.

Önemli

Koşullu Erişim İlkesi'ne hangi kullanıcıların ve grupların dahil olacağını seçerken, koşullu erişim ilkesine doğrudan eklenebilen tek tek kullanıcı sayısı sınırı vardır. Koşullu Erişim ilkesine birçok bireysel kullanıcının eklenmesi gerekiyorsa, bunları bir gruba yerleştirin ve grubu ilkeye atayın.

Kullanıcılar veya gruplar 2048'den fazla gruba aitse, erişimleri engellenebilir. Bu sınır hem doğrudan hem de iç içe grup üyeliği için geçerlidir.

Uyarı

Koşullu Erişim stratejileri, bir yönetim birimine sınırlı bir dizin rolüne atanmış kullanıcıları veya doğrudan bir nesneye sınırlı, örneğin özel roller üzerinden, dizin rolünü kapsamına alan kullanıcıları desteklemez.

Not

İlkeleri B2B doğrudan bağlantı dış kullanıcılarına hedeflerken, bu ilkeler, B2B doğrudan bağlantı için uygun olan ve Teams veya SharePoint Online'a erişen B2B işbirliği kullanıcılarına uygulanır. Aynı durum B2B işbirliği dış kullanıcılarını hedefleyen ilkeler için de geçerlidir. Bu, Teams paylaşılan kanallarına erişen kullanıcıların kiracıda konuk kullanıcı varlığı varsa B2B işbirliği ilkelerine sahip olduğu anlamına gelir.

Kullanıcıları dışlama

Kuruluşlar bir kullanıcı veya grubu dahil edip dışladığında, kullanıcı veya grup ilkenin dışında tutulur. Dışlama eylemi, ilkedeki ekleme eylemini geçersiz kılar. Dışlamalar genellikle acil durum erişim hesapları veya yetkilendirilmiş hesaplar için kullanılır. Acil durum erişim hesapları ve bunların neden önemli olduğu hakkında daha fazla bilgiyi aşağıdaki makalelerde bulabilirsiniz:

• Microsoft Entra ID
• Microsoft Entra ID

Koşullu Erişim ilkesi oluştururken dışlama için aşağıdaki seçenekler kullanılabilir.

• Konuk veya dış kullanıcılar
  • Bu seçim, Koşullu Erişim ilkelerini belirli konuk veya dış kullanıcı türlerine ve bu tür kullanıcıları içeren belirli kiracılara hedeflemek için kullanılabilecek çeşitli seçenekler sağlar. Seçilebilen birkaç farklı konuk veya dış kullanıcı türü vardır ve birden çok seçim yapılabilir:
    • B2B işbirliği konuk kullanıcıları
    • B2B işbirliği üyesi kullanıcılar
    • B2B doğrudan bağlantı kullanıcıları
    • Yerel konuk kullanıcılar, örneğin konuk olarak ayarlanmış kullanıcı türü özniteliğiyle ev kiracısına ait tüm kullanıcılar
    • Hizmet sağlayıcısı kullanıcıları, örneğin bir Bulut Çözümü Sağlayıcısı (CSP)
    • Diğer dış kullanıcılar veya diğer kullanıcı türü seçimleri tarafından temsil edilmeyen kullanıcılar
  • Seçilen kullanıcı türleri için bir veya daha fazla kiracı belirtilebilir veya tüm kiracıları belirtebilirsiniz.
• Dizin Yetkileri
  • Yöneticilerin atamayı belirlemek için kullanılan belirli Microsoft Entra dizin rollerini seçmesine izin verir.
• Kullanıcılar ve gruplar
  • Belirli kullanıcı kümelerinin hedeflenmesine izin verir. Örneğin, bulut uygulaması olarak bir İk uygulaması seçildiğinde kuruluşlar İk departmanının tüm üyelerini içeren bir grup seçebilir. Grup, dinamik veya atanmış güvenlik ve dağıtım grupları dahil olmak üzere Microsoft Entra ID herhangi bir grup türü olabilir. İlke, iç içe kullanıcılara ve gruplara uygulanır.

Yönetici kilitlenmesini önleme

Yönetici kilitlenmesini önlemek için , Tüm kullanıcılara ve Tüm uygulamalara uygulanan bir ilke oluştururken aşağıdaki uyarı görüntülenir.

Kendinizi kilitlemeyin! İlkeyi küçük bir kullanıcı kümesine uygulayarak beklendiği gibi davrandığını doğrulayın. Ayrıca en az bir yöneticiyi bu ilkenin dışında tutun. Bu, hala erişiminiz olmasını ve bir değişiklik gerekiyorsa ilkeyi güncelleştirebilmenizi sağlar. Etkilenen kullanıcıları ve uygulamaları gözden geçirin.

Varsayılan olarak, ilke geçerli kullanıcıyı dışlamak için bir seçenek sağlar, ancak yönetici aşağıdaki görüntüde gösterildiği gibi bu seçeneği geçersiz kılabilir.

Kendinizi kilitli bulursanız, bkz. Kilitliyseniz ne yapmalısınız?.

Dış iş ortağı erişimi

Dış kullanıcıları hedefleyen Koşullu Erişim ilkeleri, ayrıntılı yönetici ayrıcalıkları gibi hizmet sağlayıcısı erişimini etkileyebilir. Ayrıntılı yönetici ayrıcalıklarına (GDAP) giriş bölümünde daha fazla bilgi edinin. Hizmet sağlayıcısı kiracılarını hedeflemeye yönelik ilkeler için Konuk veya dış kullanıcılar seçim seçeneklerinde bulunan Hizmet sağlayıcısı kullanıcı dış kullanıcı türünü kullanın.

Aracılar (Önizleme)

Aracılar, Microsoft Entra ID içinde yapay zeka aracıları için benzersiz tanımlama ve kimlik doğrulama özellikleri sağlayan birinci sınıf hesaplardır. Bu nesneleri hedefleyen Koşullu Erişim ilkeleri, Koşullu Erişim ve aracı kimlikleri makalesinde ele alınan belirli önerilere sahiptir

İlkenin kapsamı şöyle olabilir:

• Tüm temsilci kimlikleri
• Kullanıcı olarak davranan aracıları seçme
• Özniteliklere göre aracı kimliklerini seçme
• Bireysel ajan kimliklerini seçin

İş yükü kimlikleri

İş yükü kimliği, bazen kullanıcı bağlamında bir uygulamanın veya hizmet sorumlusunun kaynaklara erişmesine izin veren bir kimliktir. Koşullu Erişim ilkeleri, kiracınızda kayıtlı tek kiracı hizmet sorumlularına uygulanabilir. Microsoft olmayan SaaS ve çok kiracılı uygulamalar kapsam dışındadır. Yönetilen kimlikler ilke kapsamında değildir.

Kuruluşlar, ilkeye dahil edilecek veya ilkenin dışında tutulacak belirli iş yükü kimliklerini hedefleyebilir.

Daha fazla bilgi için iş yükü kimlikleri için Koşullu Erişim makalesine bakın.

Sonraki adımlar

• Koşullu Erişim: Hedef kaynaklar
• Koşullu Erişim ortak ilkeleri