Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Genel bakış
Jeton süresi dolması ve yenileme, sektördeki standart bir mekanizmadır. Outlook gibi bir istemci uygulaması Exchange Online gibi bir hizmete bağlandığında, API istekleri OAuth 2.0 erişim belirteçleri kullanılarak yetkilendirilmiştir. Varsayılan olarak, erişim belirteçleri süresi dolduğunda bir saat geçerlidir. İstemci, bunları yenilemek için Microsoft Entra'ya yönlendirilir. Bu yenileme dönemi, kullanıcı erişimi için ilkeleri yeniden değerlendirme fırsatı sağlar. Örneğin: Koşullu Erişim ilkesi nedeniyle veya kullanıcı dizinde devre dışı bırakıldığından belirteç yenilenmeyebilir.
Müşteriler, bir kullanıcı için koşullar değiştiğinde ve ilke değişikliklerinin ne zaman uygulandığında arasındaki gecikmeyle ilgili endişelerini ifade eder. Microsoft, daha az belirteç ömrüne yönelik "kör nesne" yaklaşımını denedi, ancak riskleri ortadan kaldırmadan kullanıcı deneyimlerini ve güvenilirliğini düşürdüğünü buldu.
İlke ihlallerine veya güvenlik sorunlarına zamanında yanıt vermek için belirteci veren Microsoft Entra ile bağlı olan taraf (açıklanmış uygulama) arasında bir "konuşma" gerekir. Bu iki yönlü konuşma iki önemli özellik sağlar. Bağlı olan taraf, ağ konumu gibi özelliklerin ne zaman değiştiğini görebilir ve belirteç verene söyleyebilir. Ayrıca jeton vericisine, hesap güvenliğinin ihlali, devre dışı bırakılması veya diğer hususlar nedeniyle ilgili olan tarafa belirli bir kullanıcı için jetonları kullanmayı durdurmasını belirten bir yol sunar. Bu konuşmanın mekanizması, Open ID Sürekli Erişim Değerlendirme Profili 'ni (CAEP) temel alan bir endüstri standardı olan sürekli erişim değerlendirmesidir (CAE). Kritik olay değerlendirmesinin amacı, yanıtın gerçek zamanlıya yakın olmasıdır; ancak olay yayılma süresi nedeniyle 15 dakikaya kadar gecikme gözlemlenebilir. Buna karşılık, IP konumları politika zorlaması anında uygulanmaktadır.
Sürekli erişim değerlendirmesinin ilk uygulaması Exchange, Teams ve SharePoint Online'a odaklanır.
Uygulamalarınızı CAE kullanmaya hazırlamak için Uygulamalarınızda Sürekli Erişim Değerlendirmesi özellikli API'leri nasıl kullanacağınızı görmek için buraya bakın.
Temel avantajlar
- Kullanıcı sonlandırma veya parola değiştirme/sıfırlama: Kullanıcı oturumu iptali neredeyse gerçek zamanlı olarak uygulanır.
- Ağ konumu değişikliği: Koşullu Erişim konum ilkeleri neredeyse gerçek zamanlı olarak uygulanır.
- Koşullu Erişim konum ilkeleriyle, güvenilir ağ dışındaki bir makineye belirteç aktarımı engellenebilir.
Senaryolar
Sürekli erişim değerlendirmesi, kritik olay değerlendirmesi ve Koşullu Erişim ilkesi değerlendirmesini oluşturan iki senaryo vardır.
Kritik olay değerlendirmesi
Sürekli erişim değerlendirmesi, Exchange Online, SharePoint Online ve Teams gibi hizmetlerin kritik Microsoft Entra olaylarına abone olması etkinleştirilerek uygulanır. Bu olaylar daha sonra gerçek zamanlıya yakın bir şekilde değerlendirilebilir ve zorunlu kılınabilir. Kritik olay değerlendirmesi Koşullu Erişim ilkelerine bağımlı olmadığından herhangi bir kiracıda kullanılabilir. Şu anda aşağıdaki olaylar değerlendirilir:
- Kullanıcı Hesabı silindi veya devre dışı bırakıldı
- Kullanıcının parolası değiştirildi veya sıfırlandı
- Kullanıcı için çok faktörlü kimlik doğrulaması etkinleştirildi
- Yönetici, bir kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder
- Microsoft Entra Kimlik Koruması tarafından algılanan yüksek kullanıcı riski
Bu işlem, kullanıcıların kritik bir olaydan sonra dakikalar içinde Microsoft 365 istemci uygulamalarından kurumsal SharePoint Online dosyalarına, e-postasına, takvimine veya görevlerine ve Teams'e erişimini kaybetmesine neden olan senaryoyu etkinleştirir.
Not
SharePoint Online kullanıcı riski olaylarını desteklemez.
Koşullu Erişim ilkesi değerlendirmesi
Exchange Online, SharePoint Online, Teams ve MS Graph, hizmetin kendi içinde değerlendirme için temel Koşullu Erişim ilkelerini eşitleyebilir.
Bu işlem, kullanıcıların ağ konumu değiştikten hemen sonra Microsoft 365 istemci uygulamalarından veya SharePoint Online'dan dosyalara, e-postalara, takvime veya görevlere erişimini kaybettiği senaryoyu etkinleştirir.
Not
Tüm istemci uygulaması ve kaynak sağlayıcısı bileşimleri desteklenmez. Aşağıdaki tablolara bakın. Bu tablonun ilk sütunu, web tarayıcısı aracılığıyla başlatılan web uygulamalarını (yani PowerPoint'in web tarayıcısında başlatılmasını) ifade eder. Kalan dört sütun, açıklanan her platformda çalışan yerel uygulamalara başvurur. Ayrıca, "Office" terimi Word, Excel ve PowerPoint'i kapsar.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| Exchange Online | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| Office web uygulamaları | Office Win32 uygulamaları | iOS için Office | Android için Office | Mac için Office | |
|---|---|---|---|---|---|
| SharePoint Online | Desteklenmiyor * | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| Exchange Online | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| OneDrive web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | Desteklenir | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenmiyor |
| Takımlar webi | Teams Win32 | Microsoft Teams iOS uygulaması | Android için Teams | Teams Mac (Türkçe) | |
|---|---|---|---|---|---|
| Teams Hizmeti | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
| SharePoint Online | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
| Exchange Online | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
* Koşullu Erişim ilkesi ayarlandığında Office web uygulamaları için belirteç ömrü 1 saate indirilir.
Not
Teams birden çok hizmetten oluşur, aramalar ve sohbet hizmetleri IP tabanlı Koşullu Erişim ilkelerine uymaz.
Sürekli erişim değerlendirmesi, Exchange Online için Azure Kamu kiracılarında (GCC High ve DOD) de kullanılabilir.
İstemci Özellikleri
İstemci tarafı talep sınaması
Sürekli erişim değerlendirmesi öncesinde, süresi dolmamış olduğu sürece istemciler erişim belirtecini önbelleğinden yeniden yürütecek. CAE ile bir kaynak sağlayıcısı, süresi dolmamış bir belirteci/jeton’u reddedebilir. önbelleğe alınmış belirteçlerin süresi dolmamış olsa bile istemcileri önbelleklerini atlamaları konusunda bilgilendirmek için talep sınaması adlı bir mekanizma belirtecin reddedildiğini ve Microsoft Entra tarafından yeni bir erişim belirteci verilmesi gerektiğini gösterir. CAE'nin talep itirazını anlaması için bir istemci güncelleştirmesi gereklidir. Aşağıdaki uygulamaların en son sürümleri talep sınamasını destekler:
| İnternet | Win32 | Ios | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| Takım | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| Ofis | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
| OneDrive (İngilizce) | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Belirteç ömrü
Risk ve ilke gerçek zamanlı olarak değerlendirildiğinden, sürekli erişim değerlendirmesini kullanan oturumlar üzerinde anlaşma sağlayan istemciler artık statik erişim belirteci yaşam süresi ilkelerine bağımlı değildir. Bu değişiklik, CAE kullanan oturumlarda anlaşma sağlayan istemciler için yapılandırılabilir belirteç ömrü ilkesine uygun olmadığı anlamına gelir.
CaE oturumlarında belirteç ömrü 28 saate kadar uzun ömürlü olur. Kritik olaylar ve politika değerlendirmesi, yalnızca rastgele bir zaman aralığından ziyade iptal süreçlerini belirler. Bu değişiklik, güvenlik duruşunu etkilemeden uygulamaların kararlılığını artırır.
CAE özellikli istemciler kullanmıyorsanız, varsayılan erişim belirtecinizin ömrü 1 saat kalır. Varsayılan değer yalnızca erişim belirteci ömrünüzü Yapılandırılabilir Belirteç Ömrü (CTL) özelliğiyle yapılandırdıysanız değişir.
Örnek akış diyagramları
Kullanıcı iptali olay akışı
- CAE özellikli bir istemci, bazı kaynaklar için erişim belirteci almak üzere kimlik bilgileri veya yenileme belirtecini Microsoft Entra'ya sunar.
- İstemciye diğer nesnelerle birlikte bir erişim belirteci döndürülür.
- Yönetici, kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder, ardından Microsoft Entra'dan kaynak sağlayıcısına bir iptal olayı gönderilir.
- Kaynak sağlayıcısına bir erişim belirteci sunulur. Kaynak sağlayıcısı belirtecin geçerliliğini değerlendirir ve kullanıcı için herhangi bir iptal olayı olup olmadığını denetler. Kaynak sağlayıcısı, kaynağa erişim izni vermek veya vermemeye karar vermek için bu bilgileri kullanır.
- Bu durumda, kaynak sağlayıcısı erişimi reddeder ve istemciye bir 401+ talep sınaması gönderir.
- CAE özellikli istemci, 401+talep sınamasını anlar. Önbellekleri atlar ve 1. adıma geri döner ve yenileme belirtecini ve talep sınamasını Microsoft Entra'ya geri gönderir. Microsoft Entra daha sonra tüm koşulları yeniden değerlendirir ve kullanıcıdan bu durumda yeniden kimlik doğrulamasını ister.
Kullanıcı Durum Değişiklik Akışı
Aşağıdaki örnekte, Koşullu Erişim Yöneticisi yalnızca belirli IP aralıklarından erişime izin vermek için konum tabanlı bir Koşullu Erişim ilkesi yapılandırdı:
- CAE özellikli bir istemci, bazı kaynaklar için erişim belirteci almak üzere kimlik bilgileri veya yenileme belirtecini Microsoft Entra'ya sunar.
- Microsoft Entra, kullanıcının ve istemcinin koşulları karşılayıp karşılamadığını görmek için tüm Koşullu Erişim ilkelerini değerlendirir.
- İstemciye diğer nesnelerle birlikte bir erişim belirteci döndürülür.
- Kullanıcı izin verilen bir IP aralığından dışarı taşınır.
- İstemci, izin verilen bir IP aralığının dışından kaynak sağlayıcısına bir erişim belirteci sunar.
- Kaynak sağlayıcısı belirtecin geçerliliğini değerlendirir ve Microsoft Entra'dan senkronize edilmiş yer politikasını değerlendirir.
- Bu durumda, kaynak sağlayıcısı erişimi reddeder ve istemciye bir 401+ talep sınaması gönderir. İstemci, izin verilen bir IP aralığından gelmediği için sorun yaşıyor.
- CAE özellikli istemci, 401+talep sınamasını anlar. Önbellekleri atlar ve 1. adıma geri döner ve yenileme belirtecini ve talep sınamasını Microsoft Entra'ya geri gönderir. Microsoft Entra tüm koşulları yeniden değerlendirir ve bu durumda erişimi reddeder.
IP adresi değişiklikleri için istisna ve istisnanın nasıl kapatılacağı
Yukarıdaki 8. adımda, Microsoft Entra koşulları yeniden değerlendirdiğinde, Microsoft Entra tarafından algılanan yeni konum izin verilen IP aralığının dışında olduğundan erişimi reddeder. Her zaman böyle değildir. Bazı karmaşık ağ topolojileri nedeniyle, kimlik doğrulama isteği, kaynak sağlayıcısı tarafından alınan erişim isteği izin verilmeyen bir IP adresinden geldikten sonra bile izin verilen bir çıkış IP adresinden gelebilir. Bu koşullar altında Microsoft Entra, istemcinin izin verilen bir konumda olmaya devam ettiğini ve erişim verilmesi gerektiğini yorumlar. Bu nedenle Microsoft Entra, belirteç süresi dolana kadar kaynakta IP adresi denetimlerini askıya alan bir saatlik bir belirteç gönderir. Microsoft Entra, IP adresi denetimlerini zorunlu kılmaya devam eder.
Genel Güvenli Erişim aracılığıyla Microsoft 365 dışı kaynaklara trafik gönderiyorsanız kaynak sağlayıcıları kullanıcının kaynak IP adresinin farkında değildir çünkü kaynak IP geri yükleme şu anda bu kaynaklar için desteklenmemektedir. Bu durumda, kullanıcı güvenilen IP konumundaysa (Microsoft Entra tarafından görüldüğü gibi), Microsoft Entra belirteç süresi dolana kadar kaynakta IP adresi denetimlerini askıya alan bir saatlik bir belirteç gönderir. Microsoft Entra, bu kaynaklar için IP adresi denetimlerini doğru şekilde uygulamaya devam eder.
Standart mod ve Katı mod. Bu özel durum kapsamında erişim izni verilmesi (yani Microsoft Entra Kimliği tarafından algılanan izin verilen bir konum ile kaynak sağlayıcısı tarafından algılanan izin verilmemiş konum karşılaştırıldığında), kritik kaynaklara erişimi sürdürerek kullanıcı üretkenliğini korur. Bu, standart konum uygulamasıdır. Öte yandan, kararlı ağ topolojileri altında çalışan ve bu özel durumu kaldırmak isteyen yöneticiler Katı Konum Zorlama (Genel Önizleme) kullanabilir.
CAE'yi etkinleştirme veya devre dışı bırakma
CAE ayarı Koşullu Erişim'e taşındı. Yeni CAE müşterileri Koşullu Erişim ilkelerini oluştururken doğrudan CAE'ye erişebilir ve ayarını değiştirebilir. Öte yandan mevcut müşterilerden bazılarının Koşullu Erişim aracılığıyla CAE'ye erişebilmek için önce geçiş işlemi yapması gerekir.
Migrasyon
Güvenlik altında CAE ayarlarını daha önce yapılandıran müşterilerin, ayarları yeni bir Koşullu Erişim ilkesine geçirmesi gerekir.
Aşağıdaki tabloda, önceden yapılandırılmış CAE ayarlarına göre her müşteri grubunun geçiş deneyimi açıklanmaktadır.
| Mevcut CAE Ayarı | Geçiş Gerekli mi? | CAE için Otomatik Olarak Etkinleştirildi | Beklenen Geçiş Deneyimi |
|---|---|---|---|
| Eski deneyimde hiçbir şeyi konfigüre etmemiş yeni kiracılar. | Hayır | Evet | Eski CAE ayarı, bu müşterilerin büyük olasılıkla genel kullanılabilirlik öncesinde deneyimi görmediklerinden dolayı gizlenmiştir. |
| Eski deneyime sahip tüm kullanıcılar için açıkça etkinleştirilen kiracılar. | Hayır | Evet | Eski CAE ayarı gri renkte. Bu müşteriler bu ayarı tüm kullanıcılar için açıkça etkinleştirdiğinden geçiş yapmalarına gerek yoktur. |
| Eski deneyimi etkin bir şekilde kullanarak kiracıları içerisinde bazı kullanıcıları açıkça etkinleştiren kiracılar. | Evet | Hayır | Eski CAE ayarları gri renktedir. Migrate butonuna tıklamak, CAE'den kopyalanan kullanıcılar ve gruplar hariç tutulurken Tüm kullanıcılar'ı içeren yeni Koşullu Erişim ilkesi sihirbazını başlatır. Ayrıca, yeni Sürekli erişim değerlendirmesi için Oturum denetimini Devre Dışı olarak ayarlar. |
| Önizlemeyi açıkça devre dışı bırakmış kiracılar. | Evet | Hayır | Eski CAE ayarları gri renktedir. Geçiş'e tıklanmasıyla, yeni Koşullu Erişim ilkesi sihirbazını, Tüm kullanıcılar'ı içeren başlatır ve yeni Sürekli erişim değerlendirmesi Oturum denetimini Devre Dışı olarak ayarlar. |
Oturum denetimi olarak sürekli erişim değerlendirmesi hakkında daha fazla bilgi, Sürekli erişim değerlendirmesini özelleştirme bölümünde bulunabilir.
Sınırlamalar
Grup üyeliği ve Politika güncellemesi etkinleşme zamanı
Koşullu Erişim ilkelerinde ve yöneticiler tarafından yapılan grup üyeliğinde yapılan değişikliklerin etkili olması bir gün kadar sürebilir. Gecikme, Microsoft Entra ile Exchange Online ve SharePoint Online gibi kaynak sağlayıcıları arasındaki çoğaltmadan kaynaklanır. İlke güncelleştirmeleri için bazı iyileştirmeler yapılır ve bu da gecikmeyi iki saate indirir. Ancak, henüz tüm senaryoları kapsamaz.
Koşullu Erişim ilkesi veya grup üyeliği değişikliklerinin belirli kullanıcılara hemen uygulanması gerektiğinde iki seçeneğiniz vardır.
- Belirtilen kullanıcının tüm yenileme belirteçlerini iptal etmek için revoke-mgusersign PowerShell komutunu çalıştırın.
- Güncelleştirilmiş ilkelerin hemen uygulandığından emin olmak için kullanıcının oturumunu iptal etmek için kullanıcı profili sayfasında "Oturumu İptal Et"i seçin.
IP adresi varyasyonu ve IP adresi paylaşılan veya bilinmeyen çıkış IP'lerine sahip ağlar
Modern ağlar genellikle uygulamalar için bağlantıyı ve ağ yollarını farklı şekilde iyileştirir. Bu iyileştirme genellikle kimlik sağlayıcınız ve kaynak sağlayıcılarınız tarafından görüldüğü gibi bağlantıların yönlendirme ve kaynak IP adreslerinin çeşitlemelerine neden olur. Bu bölünmüş yol veya IP adresi çeşitlemesi, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere birden çok ağ topolojisinde gözlemleyebilirsiniz:
- Şirket içi ve bulut tabanlı proxy'ler.
- Sanal özel ağ (VPN) uygulamaları, bölünmüş tünel gibi.
- Yazılım tanımlı geniş alan ağı (SD-WAN) dağıtımları.
- SNAT kullananlar gibi yük dengeli veya yedekli ağ çıkışı ağ topolojileri.
- Belirli uygulamalar için doğrudan İnternet bağlantısına izin veren şube ofis dağıtımları.
- IPv6 istemcilerini destekleyen ağlar.
- Uygulama veya kaynak trafiğini kimlik sağlayıcısına gelen trafikten farklı şekilde işleyen diğer topolojiler.
Müşteriler, IP çeşitlemelerine ek olarak aşağıdaki ağ çözümlerini ve hizmetlerini de kullanır:
- Diğer müşterilerle paylaşılabilen IP adreslerini kullanın. Örneğin, çıkış IP adreslerinin müşteriler arasında paylaşıldığı bulut tabanlı ara sunucu hizmetleri.
- Kolayca çeşitli veya tanımlanamaz IP adresleri kullanın. Örneğin, büyük kurumsal senaryolar veya bölünmüş VPN ve yerel çıkış ağ trafiği gibi kullanılan büyük, dinamik çıkış IP adresi kümeleri olan topolojiler.
Çıkış IP adreslerinin sık değişebileceği veya paylaşıldığı ağlar Microsoft Entra Koşullu Erişim ve Sürekli Erişim Değerlendirmesi'ni (CAE) etkileyebilir. Bu değişkenlik, bu özelliklerin çalışma şeklini ve önerilen yapılandırmalarını etkileyebilir. Bölünmüş Tünel, bir ortam Bölünmüş Tünel VPN En İyi Yöntemleri kullanılarak yapılandırıldığında da beklenmeyen bloklara neden olabilir. Routing Optimize Edilmiş IP'lerin Güvenilen IP/VPN üzerinden yönlendirilmesi, yetersiz_claims veya Anlık IP Yaptırım kontrolü başarısız oldu ile ilgili blokları önlemek için gerekebilir.
Aşağıdaki tabloda, farklı ağ dağıtımları ve kaynak sağlayıcıları (RP) türleri için Koşullu Erişim ve CAE özellik davranışları ve önerileri özetlenmiştir:
| Ağ Türü | Örnek | Microsoft Entra tarafından görülen IP'ler | RP tarafından görülen IP'ler | Geçerli Koşullu Erişim Yapılandırması (Güvenilen Adlandırılmış Konum) | CAE uygulatma | CAE erişim belirteci | Öneriler |
|---|---|---|---|---|---|---|---|
| 1. Çıkış IP'leri hem Microsoft Entra hem de tüm RP trafiği için ayrılmış ve numaralandırılabilir | Tüm ağ trafiği, Microsoft Entra'ya ve Relying Parties'e 1.1.1.1 ve/veya 2.2.2.2 üzerinden yönlendirilir. | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Kritik Olaylar IP konumu Değişiklikleri |
Uzun ömürlü – 28 saate kadar | Koşullu Erişim Adlandırılmış Konumları tanımlandığında, Microsoft Entra ve tüm RP tarafından görülen tüm olası çıkış IP'lerini içerdiklerinden emin olun. |
| 2. Egress IP'leri Microsoft Entra için ayrılmış ve numaralandırılabilir, ancak RP trafiği için değildir. | Ağ trafiği, Microsoft Entra'ya 1.1.1.1 üzerinden çıkış yapar. RP trafiği x.x.x.x üzerinden çıkar | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Kritik Olaylar | Varsayılan erişim belirteci ömrü – 1 saat | Güvenliği zayıflatabileceğinden dolayı, ayrılmış olmayan veya numaralandırılamayan çıkış IP'lerini (x.x.x.x) Güvenilen Adlandırılmış Konum Koşullu Erişim kurallarına eklemeyin. |
| 3. Çıkış IP'leri ayrılmış/paylaşılmamış veya hem Microsoft Entra hem de RP trafiği için numaralandırılamaz | Microsoft Entra'ya ağ trafiği y.y.y.y üzerinden çıkar. RP trafiği x.x.x.x aracılığıyla dışarıya çıkar. | y.y.y.y | x.x.x.x | YOK -IP Koşullu Erişim ilkeleri/Güvenilen Konumlar yapılandırılmadı | Kritik Olaylar | Uzun ömürlü – 28 saate kadar | Adanmış olmayan veya numaralandırılmamış çıkış IP'lerini (x.x.x.x/y.y.y.y) Güvenli Adlandırılmış Konum Koşullu Erişim kurallarına eklemeyin, çünkü bu güvenliği zayıflatabilir. |
Kimlik ve kaynak sağlayıcılarına bağlanan istemciler tarafından kullanılan ağlar ve ağ hizmetleri, modern eğilimlere yanıt olarak gelişmeye ve değişmeye devam eder. Bu değişiklikler, temel alınan IP adreslerini kullanan Koşullu Erişim ve CAE yapılandırmalarını etkileyebilir. Bu yapılandırmalara karar verirken, teknolojideki gelecekteki değişiklikleri ve planınızdaki tanımlı adres listesinin durumunu göz önünde bulundurun.
Desteklenen konum ilkeleri
CAE yalnızca IP tabanlı adlandırılmış konumlar hakkında içgörüye sahiptir. CAE'nin MFA güvenilen IP'leri veya ülke/bölge tabanlı konumlar gibi diğer konum koşulları hakkında içgörüleri yoktur. Bir kullanıcı MFA güvenilen IP'sinden, MFA Güvenilen IP'lerini içeren güvenilir konumdan veya ülke/bölge konumundan geldiğinde, kullanıcı farklı bir konuma geçtikten sonra CAE uygulanmaz. Bu gibi durumlarda, Microsoft Entra anlık IP zorlama denetimi olmadan bir saatlik erişim belirteci sağlar.
Önemli
Konum ilkelerinizin sürekli erişim değerlendirmesiyle gerçek zamanlı olarak uygulanmasını istiyorsanız, yalnızca IP tabanlı Koşullu Erişim konum koşulunu kullanın ve kimlik sağlayıcınız ve kaynak sağlayıcınız tarafından görülebilen hem IPv4 hem de IPv6 dahil olmak üzere tüm IP adreslerini yapılandırın. Microsoft Entra çok faktörlü kimlik doğrulamasının hizmet ayarları sayfasında bulunan ülke/bölge konum koşullarını veya güvenilen IPs özelliğini kullanmayın.
Adlandırılmış konum sınırlamaları
Konum ilkelerinde belirtilen tüm IP aralıklarının toplamı 5.000'i aştığında, CAE gerçek zamanlı olarak kullanıcı değişikliği konum akışını zorlayamaz. Bu durumda, Microsoft Entra bir saatlik CAE belirteci verir. CAE, istemci konumu değişiklik olaylarının yanı sıra diğer tüm olayları ve ilkeleri uygulamaya devam etmektedir. Bu değişiklikle, diğer olaylar neredeyse gerçek zamanlı olarak değerlendirildiğinden, geleneksel bir saatlik belirteçlere kıyasla daha güçlü bir güvenlik duruşu sürdürmeye devam edebilirsiniz.
Office ve Web Hesabı Yöneticisi ayarları
| Office güncelleştirme kanalı | DisableADALatopWAMOverride | AADWAM'i Devre Dışı Bırak |
|---|---|---|
| Altı Aylık Kurumsal Kanal | Etkin veya 1 olarak ayarlanırsa CAE desteklenmez. | Etkin veya 1 olarak ayarlanırsa CAE desteklenmez. |
| Geçerli Kanal veya Aylık Kurumsal Kanal |
CAE, ayar ne olursa olsun desteklenir | CAE, ayar ne olursa olsun desteklenir |
Office güncelleştirme kanallarının açıklaması için bkz. Microsoft 365 Uygulamaları için güncelleştirme kanallarına genel bakış. Öneri, kuruluşların Web Hesabı Yöneticisi'ni (WAM) devre dışı bırakmamasıdır.
Office uygulamalarında eşzamanlı yazma
Aynı anda birden çok kullanıcı bir belge üzerinde işbirliği yaparken, CAE ilke değişikliği olaylarını temel alarak belgeye erişimini hemen iptal etmeyebilir. Bu durumda, kullanıcı aşağıdakilerden sonra erişimi tamamen kaybeder:
- Belge kapatılıyor
- Office uygulaması kapatma
- Koşullu Erişim IP ilkesi ayarlandığında 1 saat sonra
Bu süreyi daha da azaltmak için, SharePoint Yöneticisi bir ağ konumu ilkesi yapılandırarak SharePoint Online ve Microsoft OneDrive'da depolanan belgeler için birlikte yazma oturumlarının maksimum ömrünü kısaltabilir. Bu yapılandırma değiştirildikten sonra, birlikte yazma oturumlarının maksimum ömrü 15 dakikaya indirilir ve SharePoint Online PowerShell komutu Set-SPOTenant –IPAddressWACTokenLifetime kullanılarak daha fazla ayarlanabilir.
Kullanıcı devre dışı bırakıldıktan sonra etkinleştir
Devre dışı bırakıldıktan hemen sonra bir kullanıcıyı etkinleştirirseniz, hesabın aşağı akış Microsoft hizmetleri etkin olarak tanınması için biraz gecikme olur.
- SharePoint Online ve Teams genellikle 15 dakikalık gecikme süresine sahiptir.
- Exchange Online genellikle 35-40 dakika gecikmeye sahiptir.
Anında iletme bildirimleri
Anında bildirimler yayımlanmadan önce bir IP adresi ilkesi değerlendirilmez. Push bildirimleri harici olduğundan ve değerlendirilebilecek ilişkili bir IP adresine sahip olmadığından bu senaryo mevcuttur. Kullanıcı, örneğin Outlook'taki bir e-postayı içeren bu anında bildirimleri seçerse, e-posta görüntülenmeden önce CAE IP adresi ilkeleri zorunlu olarak uygulanır. Anında iletme bildirimleri, IP adresi ilkesi tarafından korunmayan bir ileti önizlemesi görüntüler. Diğer tüm CAE denetimleri, anında iletme bildirimi gönderilmeden önce yapılır. Bir kullanıcı veya cihazın erişimi kaldırılırsa, zorlama belgelenen süre içinde gerçekleşir.
Konuk kullanıcılar
CAE, Konuk kullanıcı hesaplarını desteklemez. CAE iptal durumları ve IP tabanlı Koşullu Erişim ilkeleri anlık olarak uygulanmaz.
CAE ve Oturum Açma Sıklığı
Oturum Açma Sıklığı, CAE ile veya CAE olmadan tanınır.