Sürekli erişim değerlendirmesi
Belirteç süre sonu ve yenileme, sektördeki standart bir mekanizmadır. Outlook gibi bir istemci uygulaması Exchange Online gibi bir hizmete bağlandığında, API istekleri OAuth 2.0 erişim belirteçleri kullanılarak yetkilendirilmiştir. Varsayılan olarak, erişim belirteçleri süresi dolduğunda bir saat geçerlidir. İstemci, bunları yenilemek için Microsoft Entra'ya yönlendirilir. Bu yenileme dönemi, kullanıcı erişimi için ilkeleri yeniden değerlendirme fırsatı sağlar. Örneğin: Koşullu Erişim ilkesi nedeniyle veya kullanıcı dizinde devre dışı bırakıldığından belirteci yenilememeyi seçebiliriz.
Müşteriler, bir kullanıcı için koşullar değiştiğinde ve ilke değişikliklerinin ne zaman uygulandığında arasındaki gecikmeyle ilgili endişelerini ifade eder. Microsoft, daha az belirteç ömrüne yönelik "kör nesne" yaklaşımını denedi, ancak riskleri ortadan kaldırmadan kullanıcı deneyimlerini ve güvenilirliğini düşürdüğünü buldu.
İlke ihlallerine veya güvenlik sorunlarına zamanında yanıt vermek için belirteci veren Microsoft Entra ile bağlı olan taraf (açıklanmış uygulama) arasında bir "konuşma" gerekir. Bu iki yönlü konuşma bize iki önemli özellik sunar. Bağlı olan taraf, ağ konumu gibi özelliklerin ne zaman değiştiğini görebilir ve belirteç verene söyleyebilir. Ayrıca belirteç verene, hesap güvenliğinin aşılması, devre dışı bırakılması veya diğer endişeler nedeniyle bağlı olan tarafa belirli bir kullanıcı için belirteçlere saygı duymayı durdurmasını söylemenin bir yolunu sunar. Bu konuşmanın mekanizması, Open ID Sürekli Erişim Değerlendirme Profili 'ni (CAEP) temel alan bir endüstri standardı olan sürekli erişim değerlendirmesidir (CAE). Kritik olay değerlendirmesinin amacı yanıtın gerçek zamanlıya yakın olmasıdır, ancak olay yayma süresi nedeniyle 15 dakikaya kadar gecikme gözlemlenebilir; ancak IP konumları ilke zorlaması anında oluşturulduğunda.
Sürekli erişim değerlendirmesinin ilk uygulaması Exchange, Teams ve SharePoint Online'a odaklanır.
Uygulamalarınızı CAE kullanmaya hazırlamak için bkz . Uygulamalarınızda Sürekli Erişim Değerlendirmesi özellikli API'leri kullanma.
Temel avantajlar
- Kullanıcı sonlandırma veya parola değiştirme/sıfırlama: Kullanıcı oturumu iptali neredeyse gerçek zamanlı olarak uygulanır.
- Ağ konumu değişikliği: Koşullu Erişim konum ilkeleri neredeyse gerçek zamanlı olarak uygulanır.
- Koşullu Erişim konum ilkeleriyle, güvenilen ağ dışındaki bir makineye belirteç dışarı aktarma işlemi engellenebilir.
Senaryolar
Sürekli erişim değerlendirmesi, kritik olay değerlendirmesi ve Koşullu Erişim ilkesi değerlendirmesini oluşturan iki senaryo vardır.
Kritik olay değerlendirmesi
Sürekli erişim değerlendirmesi, Exchange Online, SharePoint Online ve Teams gibi hizmetlerin kritik Microsoft Entra olaylarına abone olması etkinleştirilerek uygulanır. Bu olaylar daha sonra gerçek zamanlıya yakın bir şekilde değerlendirilebilir ve zorunlu kılınabilir. Kritik olay değerlendirmesi Koşullu Erişim ilkelerine bağımlı olmadığından herhangi bir kiracıda kullanılabilir. Şu anda aşağıdaki olaylar değerlendirilir:
- Kullanıcı Hesabı silindi veya devre dışı bırakıldı
- Kullanıcının parolası değiştirildi veya sıfırlandı
- Kullanıcı için çok faktörlü kimlik doğrulaması etkinleştirildi
- Yönetici, bir kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder
- Microsoft Entra Kimlik Koruması tarafından algılanan yüksek kullanıcı riski
Bu işlem, kullanıcıların kritik bir olaydan sonra dakikalar içinde Microsoft 365 istemci uygulamalarından kurumsal SharePoint Online dosyalarına, e-postasına, takvimine veya görevlerine ve Teams'e erişimini kaybetmesine neden olan senaryoyu etkinleştirir.
Not
SharePoint Online kullanıcı riski olaylarını desteklemez.
Koşullu Erişim ilkesi değerlendirmesi
Exchange Online, SharePoint Online, Teams ve MS Graph, hizmetin kendi içinde değerlendirme için temel Koşullu Erişim ilkelerini eşitleyebilir.
Bu işlem, kullanıcıların ağ konumu değiştikten hemen sonra Microsoft 365 istemci uygulamalarından veya SharePoint Online'dan dosyalara, e-postalara, takvime veya görevlere erişimini kaybettiği senaryoyu etkinleştirir.
Not
Tüm istemci uygulaması ve kaynak sağlayıcısı bileşimleri desteklenmez. Aşağıdaki tablolara bakın. Bu tablonun ilk sütunu web tarayıcısı aracılığıyla başlatılan web uygulamalarını (yani, PowerPoint web tarayıcısında başlatıldı) ifade ederken, kalan dört sütunda açıklanan her platformda çalışan yerel uygulamalar yer alır. Ayrıca, "Office" başvuruları Word, Excel ve PowerPoint'i kapsar.
Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
---|---|---|---|---|---|
SharePoint Online | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Exchange Online | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Office web uygulamaları | Office Win32 uygulamaları | iOS için Office | Android için Office | Mac için Office | |
---|---|---|---|---|---|
SharePoint Online | Desteklenmiyor * | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Exchange Online | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
OneDrive web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
---|---|---|---|---|---|
SharePoint Online | Desteklenir | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenmiyor |
Teams web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
---|---|---|---|---|---|
Teams Hizmeti | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
SharePoint Online | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
Exchange Online | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir | Kısmen desteklenir |
* Koşullu Erişim ilkesi ayarlandığında Office web uygulamaları için belirteç ömrü 1 saate indirilir.
Not
Teams birden çok hizmetten oluşur ve bu çağrılar ve sohbet hizmetleri IP tabanlı Koşullu Erişim ilkelerine uymaz.
Sürekli erişim değerlendirmesi, Exchange Online için Azure Kamu kiracılarında (GCC High ve DOD) de kullanılabilir.
İstemci Özellikleri
İstemci tarafı talep sınaması
Sürekli erişim değerlendirmesi öncesinde, süresi dolmamış olduğu sürece istemciler erişim belirtecini önbelleğinden yeniden yürütecek. CAE ile, bir kaynak sağlayıcısının süresi dolmadığında belirteci reddedebileceği yeni bir servis talebi tanıtıyoruz. Önbelleğe alınan belirteçlerin süresi dolmamış olsa da istemcileri önbelleklerini atlamaları konusunda bilgilendirmek için belirtecin reddedildiğini ve Microsoft Entra tarafından yeni bir erişim belirtecinin verilmesi gerektiğini belirten talep sınaması adlı bir mekanizmaya yer verdik. CAE, talep sınamasını anlamak için bir istemci güncelleştirmesi gerektirir. Aşağıdaki uygulamaların en son sürümleri talep sınamasını destekler:
Web | Win32 | iOS | Android | Mac | |
---|---|---|---|---|---|
Outlook | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Teams | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Office | Desteklenmiyor | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
OneDrive | Desteklenir | Desteklenir | Desteklenir | Desteklenir | Desteklenir |
Belirteç ömrü
Risk ve ilke gerçek zamanlı olarak değerlendirildiğinden, sürekli erişim değerlendirmesini kullanan oturumlar üzerinde anlaşma sağlayan istemciler artık statik erişim belirteci yaşam süresi ilkelerine bağımlı değildir. Bu değişiklik, CAE kullanan oturumlarda anlaşma sağlayan istemciler için yapılandırılabilir belirteç ömrü ilkesine uygun olmadığı anlamına gelir.
CaE oturumlarında belirteç ömrü 28 saate kadar uzun ömürlü olur. Yalnızca rastgele bir zaman aralığı değil, kritik olaylar ve ilke değerlendirme iptali. Bu değişiklik, güvenlik duruşunu etkilemeden uygulamaların kararlılığını artırır.
CAE özellikli istemciler kullanmıyorsanız, varsayılan erişim belirtecinizin ömrü 1 saat kalır. Varsayılan değer yalnızca Erişim belirteci ömrünüzü Yapılandırılabilir Belirteç Ömrü (CTL) önizleme özelliğiyle yapılandırdıysanız değişir.
Örnek akış diyagramları
Kullanıcı iptali olay akışı
- CAE özellikli bir istemci, Microsoft Entra'ya bazı kaynaklar için erişim belirteci isteyen kimlik bilgileri veya yenileme belirteci sunar.
- İstemciye diğer yapıtlarla birlikte bir erişim belirteci döndürülür.
- Yönetici, kullanıcı için tüm yenileme belirteçlerini açıkça iptal eder, ardından Microsoft Entra'dan kaynak sağlayıcısına bir iptal olayı gönderilir.
- Kaynak sağlayıcısına bir erişim belirteci sunulur. Kaynak sağlayıcısı belirtecin geçerliliğini değerlendirir ve kullanıcı için herhangi bir iptal olayı olup olmadığını denetler. Kaynak sağlayıcısı, kaynağa erişim izni vermek veya vermemeye karar vermek için bu bilgileri kullanır.
- Bu durumda, kaynak sağlayıcısı erişimi reddeder ve istemciye bir 401+ talep sınaması gönderir.
- CAE özellikli istemci, 401+talep sınamasını anlar. Önbellekleri atlar ve 1. adıma geri döner ve yenileme belirtecini ve talep sınamasını Microsoft Entra'ya geri gönderir. Microsoft Entra daha sonra tüm koşulları yeniden değerlendirir ve kullanıcıdan bu durumda yeniden kimlik doğrulamasını ister.
Kullanıcı koşulu değişiklik akışı
Aşağıdaki örnekte, Koşullu Erişim Yöneticisi yalnızca belirli IP aralıklarından erişime izin vermek için konum tabanlı bir Koşullu Erişim ilkesi yapılandırdı:
- CAE özellikli bir istemci, Microsoft Entra'ya bazı kaynaklar için erişim belirteci isteyen kimlik bilgileri veya yenileme belirteci sunar.
- Microsoft Entra, kullanıcının ve istemcinin koşulları karşılayıp karşılamadığını görmek için tüm Koşullu Erişim ilkelerini değerlendirir.
- İstemciye diğer yapıtlarla birlikte bir erişim belirteci döndürülür.
- Kullanıcı izin verilen bir IP aralığından dışarı taşınır.
- İstemci, izin verilen bir IP aralığının dışından kaynak sağlayıcısına bir erişim belirteci sunar.
- Kaynak sağlayıcısı belirtecin geçerliliğini değerlendirir ve Microsoft Entra'dan eşitlenen konum ilkesini denetler.
- Bu durumda, kaynak sağlayıcısı erişimi reddeder ve istemciye bir 401+ talep sınaması gönderir. İzin verilen bir IP aralığından gelmediğinden istemciye meydan okutabilirsiniz.
- CAE özellikli istemci, 401+talep sınamasını anlar. Önbellekleri atlar ve 1. adıma geri döner ve yenileme belirtecini ve talep sınamasını Microsoft Entra'ya geri gönderir. Microsoft Entra tüm koşulları yeniden değerlendirir ve bu durumda erişimi reddeder.
IP adresi varyasyonları için özel durum ve özel durum nasıl kapatılır
Yukarıdaki 8. adımda, Microsoft Entra koşulları yeniden değerlendirdiğinde, Microsoft Entra tarafından algılanan yeni konum izin verilen IP aralığının dışında olduğundan erişimi reddeder. Her zaman böyle değildir. Bazı karmaşık ağ topolojileri nedeniyle, kimlik doğrulama isteği, kaynak sağlayıcısı tarafından alınan erişim isteği izin verilmeyen bir IP adresinden geldikten sonra bile izin verilen bir çıkış IP adresinden gelebilir. Bu koşullar altında Microsoft Entra, istemcinin izin verilen bir konumda olmaya devam ettiğini ve erişim verilmesi gerektiğini yorumlar. Bu nedenle Microsoft Entra, belirteç süresi dolana kadar kaynakta IP adresi denetimlerini askıya alan bir saatlik bir belirteç gönderir. Microsoft Entra, IP adresi denetimlerini zorunlu kılmaya devam eder.
Genel Güvenli Erişim aracılığıyla Microsoft 365 dışı kaynaklara trafik gönderiyorsanız kaynak sağlayıcıları kullanıcının kaynak IP adresinin farkında değildir çünkü kaynak IP geri yükleme şu anda bu kaynaklar için desteklenmemektedir. Bu durumda, kullanıcı güvenilen IP konumundaysa (Microsoft Entra tarafından görüldüğü gibi), Microsoft Entra belirteç süresi dolana kadar kaynakta IP adresi denetimlerini askıya alan bir saatlik bir belirteç gönderir. Microsoft Entra, bu kaynaklar için IP adresi denetimlerini doğru şekilde zorlamaya devam eder.
Standart ve Katı mod karşılaştırması. Bu özel durum kapsamında erişim izni verilmesi (yani kaynak sağlayıcısı tarafından izin verilmeyen bir konum algılanan Microsoft Entra KIMLIĞI arasında algılanan izin verilen bir konum), kritik kaynaklara erişimi koruyarak kullanıcı üretkenliğini korur. Bu, standart konum zorlamadır. Öte yandan, kararlı ağ topolojileri altında çalışan ve bu özel durumu kaldırmak isteyen yöneticiler Katı Konum Zorlama (Genel Önizleme) kullanabilir.
CAE'yi etkinleştirme veya devre dışı bırakma
CAE ayarı Koşullu Erişim'e taşındı. Yeni CAE müşterileri Koşullu Erişim ilkelerini oluştururken doğrudan CAE'ye erişebilir ve ayarını değiştirebilir. Öte yandan mevcut müşterilerden bazılarının Koşullu Erişim aracılığıyla CAE'ye erişebilmek için önce geçiş işlemi yapması gerekir.
Geçiş
Güvenlik altında CAE ayarlarını daha önce yapılandıran müşterilerin, ayarları yeni bir Koşullu Erişim ilkesine geçirmesi gerekir.
Aşağıdaki tabloda, önceden yapılandırılmış CAE ayarlarına göre her müşteri grubunun geçiş deneyimi açıklanmaktadır.
Mevcut CAE Ayarı | Geçiş Gerekli mi? | CAE için Otomatik Etkinleştirildi | Beklenen Geçiş Deneyimi |
---|---|---|---|
Eski deneyimde hiçbir şey yapılandırmamış yeni kiracılar. | Hayır | Evet | Eski CAE ayarı, bu müşterilerin büyük olasılıkla genel kullanılabilirlik öncesinde deneyimi görmemiş olması durumunda gizlenir. |
Eski deneyime sahip tüm kullanıcılar için açıkça etkinleştirilen kiracılar. | Hayır | Evet | Eski CAE ayarı gri renkte. Bu müşteriler bu ayarı tüm kullanıcılar için açıkça etkinleştirdiğinden geçiş yapmalarına gerek yoktur. |
Kiracılarında bazı kullanıcıları eski deneyimle açıkça etkinleştiren kiracılar. | Yes | Hayır | Eski CAE ayarları gri renktedir. Geçir'e tıklanması, CAE'den kopyalanan kullanıcıları ve grupları dışlarken Tüm kullanıcılar'ı içeren yeni Koşullu Erişim ilkesi sihirbazını başlatır. Ayrıca yeni Sürekli erişim değerlendirmesini özelleştir Oturum denetimini Devre Dışı olarak ayarlar. |
Önizlemeyi açıkça devre dışı bırakmış kiracılar. | Yes | Hayır | Eski CAE ayarları gri renktedir. Geçiş'e tıklanması, Tüm kullanıcılar'ı içeren yeni Koşullu Erişim ilkesi sihirbazını başlatır ve yeni Sürekli erişim değerlendirmesini özelleştir Oturum denetimini Devre Dışı olarak ayarlar. |
Oturum denetimi olarak sürekli erişim değerlendirmesi hakkında daha fazla bilgi, Sürekli erişim değerlendirmesini özelleştirme bölümünde bulunabilir.
Sınırlamalar
Grup üyeliği ve İlke güncelleştirme geçerlilik süresi
Koşullu Erişim ilkelerinde ve yöneticiler tarafından yapılan grup üyeliğinde yapılan değişikliklerin etkili olması bir gün kadar sürebilir. Gecikme, Microsoft Entra ile Exchange Online ve SharePoint Online gibi kaynak sağlayıcıları arasındaki çoğaltmadan kaynaklanır. İlke güncelleştirmeleri için bazı iyileştirmeler yapıldı ve bu da gecikmeyi iki saate indirdi. Ancak, henüz tüm senaryoları kapsamaz.
Koşullu Erişim ilkesi veya grup üyeliği değişikliklerinin belirli kullanıcılara hemen uygulanması gerektiğinde iki seçeneğiniz vardır.
- Belirtilen kullanıcının tüm yenileme belirteçlerini iptal etmek için revoke-mgusersign PowerShell komutunu çalıştırın.
- Güncelleştirilmiş ilkelerin hemen uygulandığından emin olmak için kullanıcının oturumunu iptal etmek için kullanıcı profili sayfasında "Oturumu İptal Et"i seçin.
IP adresi varyasyonu ve IP adresi paylaşılan veya bilinmeyen çıkış IP'lerine sahip ağlar
Modern ağlar genellikle uygulamalar için bağlantıyı ve ağ yollarını farklı şekilde iyileştirir. Bu iyileştirme genellikle kimlik sağlayıcınız ve kaynak sağlayıcılarınız tarafından görüldüğü gibi bağlantıların yönlendirme ve kaynak IP adreslerinin çeşitlemelerine neden olur. Bu bölünmüş yol veya IP adresi çeşitlemesi, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere birden çok ağ topolojisinde gözlemleyebilirsiniz:
- Şirket içi ve bulut tabanlı proxy'ler.
- Bölünmüş tünel gibi sanal özel ağ (VPN) uygulamaları.
- Yazılım tanımlı geniş alan ağı (SD-WAN) dağıtımları.
- SNAT kullananlar gibi yük dengeli veya yedekli ağ çıkışı ağ topolojileri.
- Belirli uygulamalar için doğrudan İnternet bağlantısına izin veren şube ofis dağıtımları.
- IPv6 istemcilerini destekleyen ağlar.
- Uygulama veya kaynak trafiğini kimlik sağlayıcısına gelen trafikten farklı şekilde işleyen diğer topolojiler.
Müşteriler, IP çeşitlemelerine ek olarak aşağıdaki ağ çözümlerini ve hizmetlerini de kullanır:
- Diğer müşterilerle paylaşılabilen IP adreslerini kullanın. Örneğin, çıkış IP adreslerinin müşteriler arasında paylaşıldığı bulut tabanlı ara sunucu hizmetleri.
- Kolayca çeşitli veya tanımlanamaz IP adresleri kullanın. Örneğin, büyük kurumsal senaryolar veya bölünmüş VPN ve yerel çıkış ağ trafiği gibi kullanılan büyük, dinamik çıkış IP adresi kümeleri olan topolojiler.
Çıkış IP adreslerinin sık değiştirilebileceği veya paylaşıldığı ağlar, Microsoft Entra Koşullu Erişimi ve Devam Erişim Değerlendirmesi'ni (CAE) etkileyebilir. Bu değişkenlik, bu özelliklerin çalışma şeklini ve önerilen yapılandırmalarını etkileyebilir. Bölünmüş Tünel, bir ortam Bölünmüş Tünel VPN En İyi Yöntemleri kullanılarak yapılandırıldığında da beklenmeyen bloklara neden olabilir. insufficient_claims veya Anlık IP Zorlama denetimiyle ilgili blokların başarısız olmasını önlemek için Güvenilen IP/VPN aracılığıyla Yönlendirme İyileştirilmiş IP'ler gerekebilir.
Aşağıdaki tabloda, farklı ağ dağıtımları ve kaynak sağlayıcıları (RP) türleri için Koşullu Erişim ve CAE özellik davranışları ve önerileri özetlenmiştir:
Ağ Türü | Örnek | Microsoft Entra tarafından görülen IP'ler | RP tarafından görülen IP'ler | Geçerli Koşullu Erişim Yapılandırması (Güvenilen Adlandırılmış Konum) | CAE zorlaması | CAE erişim belirteci | Öneriler |
---|---|---|---|---|---|---|---|
1. Çıkış IP'leri hem Microsoft Entra hem de tüm RP trafiği için ayrılmış ve numaralandırılabilir | Tümü Microsoft Entra'ya ve IP'lere yönelik ağ trafiği 1.1.1.1 ve/veya 2.2.2.2 üzerinden çıkışlar | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
Kritik Olaylar IP konumu Değişiklikleri |
Uzun ömürlü – 28 saate kadar | Koşullu Erişim Adlandırılmış Konumları tanımlanmışsa, tüm olası çıkış IP'lerini (Microsoft Entra ve tüm RP tarafından görülür) içerdiklerinden emin olun |
2. Çıkış IP'leri Microsoft Entra için ayrılmış ve numaralandırılabilir, ancak RP trafiği için değil | Microsoft Entra'ya ağ trafiği 1.1.1.1 üzerinden çıkışlar. x.x.x.x üzerinden RP trafiği çıkışı | 1.1.1.1 | x.x.x.x | 1.1.1.1 | Kritik Olaylar | Varsayılan erişim belirteci ömrü – 1 saat | Güvenliği zayıflatabileceği için Güvenilen Adlandırılmış Konum Koşullu Erişim kurallarına ayrılmış olmayan veya sayısız çıkış IP'leri (x.x.x.x) eklemeyin |
3. Çıkış IP'leri ayrılmış/paylaşılmamış veya hem Microsoft Entra hem de RP trafiği için numaralandırılamaz | Microsoft Entra'ya ağ trafiği x.x üzerinden y.y.y. RP trafik çıkışları aracılığıyla çıkışlar | y.y.y.y | x.x.x.x | YOK -IP Koşullu Erişim ilkeleri/Güvenilen Konumlar yapılandırılmadı | Kritik Olaylar | Uzun ömürlü – 28 saate kadar | Güvenli Adlandırılmış Konum Koşullu Erişim kurallarına ayrılmış olmayan veya sayısız çıkış IP'leri (x.x.x.x.x/y.y.y.y) eklemeyin çünkü güvenliği zayıflatabilir |
Kimlik ve kaynak sağlayıcılarına bağlanan istemciler tarafından kullanılan ağlar ve ağ hizmetleri, modern eğilimlere yanıt olarak gelişmeye ve değişmeye devam eder. Bu değişiklikler, temel alınan IP adreslerini kullanan Koşullu Erişim ve CAE yapılandırmalarını etkileyebilir. Bu yapılandırmalara karar verirken, teknolojideki gelecekteki değişiklikleri ve planınızdaki tanımlı adres listesinin durumunu göz önünde bulundurun.
Desteklenen konum ilkeleri
CAE yalnızca IP tabanlı adlandırılmış konumlar hakkında içgörüye sahiptir. CAE'nin MFA güvenilen IP'leri veya ülke/bölge tabanlı konumlar gibi diğer konum koşulları hakkında içgörüleri yoktur. Bir kullanıcı MFA güvenilen IP'sinden, MFA Güvenilen IP'lerini içeren güvenilir konumdan veya ülke/bölge konumundan geldiğinde, kullanıcı farklı bir konuma geçtikten sonra CAE uygulanmaz. Bu gibi durumlarda, Microsoft Entra anlık IP zorlama denetimi olmadan bir saatlik erişim belirteci sağlar.
Önemli
Konum ilkelerinizin sürekli erişim değerlendirmesiyle gerçek zamanlı olarak uygulanmasını istiyorsanız, yalnızca IP tabanlı Koşullu Erişim konum koşulunu kullanın ve kimlik sağlayıcınız ve kaynak sağlayıcınız tarafından görülebilen hem IPv4 hem de IPv6 dahil olmak üzere tüm IP adreslerini yapılandırın. Microsoft Entra çok faktörlü kimlik doğrulamasının hizmet ayarları sayfasında bulunan ülke/bölge konum koşullarını veya güvenilen IPs özelliğini kullanmayın.
Adlandırılmış konum sınırlamaları
Konum ilkelerinde belirtilen tüm IP aralıklarının toplamı 5.000'i aştığında, CAE gerçek zamanlı olarak kullanıcı değişikliği konum akışını zorlayamaz. Bu durumda, Microsoft Entra bir saatlik CAE belirteci oluşturur. CAE, istemci konumu değişiklik olaylarının yanı sıra diğer tüm olayları ve ilkeleri zorlamaya devam eder. Bu değişiklikle, diğer olaylar neredeyse gerçek zamanlı olarak değerlendirildiğinden, geleneksel bir saatlik belirteçlere kıyasla daha güçlü bir güvenlik duruşu sürdürmeye devam edebilirsiniz.
Office ve Web Hesabı Yöneticisi ayarları
Office güncelleştirme kanalı | DisableADALatopWAMOverride | DisableAADWAM |
---|---|---|
Altı Aylık Kurumsal Kanal | Etkin veya 1 olarak ayarlanırsa CAE desteklenmez. | Etkin veya 1 olarak ayarlanırsa CAE desteklenmez. |
Geçerli Kanal veya Aylık Kurumsal Kanal |
CAE, ayar ne olursa olsun desteklenir | CAE, ayar ne olursa olsun desteklenir |
Office güncelleştirme kanallarının açıklaması için bkz. Microsoft 365 Uygulamaları için güncelleştirme kanallarına genel bakış. Öneri, kuruluşların Web Hesabı Yöneticisi'ni (WAM) devre dışı bırakmamasıdır.
Office uygulaması'lerde birlikte yazma
Aynı anda birden çok kullanıcı bir belge üzerinde işbirliği yaparken, CAE ilke değişikliği olaylarını temel alarak belgeye erişimini hemen iptal etmeyebilir. Bu durumda, kullanıcı aşağıdakilerden sonra erişimi tamamen kaybeder:
- Belge kapatılıyor
- Office uygulaması kapatma
- Koşullu Erişim IP ilkesi ayarlandığında 1 saat sonra
Bu süreyi daha da azaltmak için, SharePoint Yöneticisi bir ağ konumu ilkesi yapılandırarak SharePoint Online ve Microsoft OneDrive'da depolanan belgeler için birlikte yazma oturumlarının maksimum ömrünü kısaltabilir. Bu yapılandırma değiştirildikten sonra, birlikte yazma oturumlarının maksimum ömrü 15 dakikaya indirilir ve SharePoint Online PowerShell komutu Set-SPOTenant –IPAddressWACTokenLifetime kullanılarak daha fazla ayarlanabilir.
Kullanıcı devre dışı bırakıldıktan sonra etkinleştir
Devre dışı bırakıldıktan hemen sonra bir kullanıcıyı etkinleştirirseniz, hesabın aşağı akış Microsoft hizmetleri etkin olarak tanınması için biraz gecikme olur.
- SharePoint Online ve Teams genellikle 15 dakikalık gecikme süresine sahiptir.
- Exchange Online genellikle 35-40 dakika gecikmeye sahiptir.
Anında iletme bildirimleri
Anında iletme bildirimleri yayımlanmadan önce BIR IP adresi ilkesi değerlendirilmez. Anında iletme bildirimleri giden olduğundan ve değerlendirilecek ilişkili bir IP adresine sahip olmadığından bu senaryo mevcuttur. Kullanıcı bu anında iletme bildirimini seçerse (örneğin, Outlook'taki bir e-posta), e-postanın görüntülenebilmesi için CAE IP adresi ilkeleri yine de zorlanır. Anında iletme bildirimleri, IP adresi ilkesi tarafından korunmayan bir ileti önizlemesi görüntüler. Diğer tüm CAE denetimleri, anında iletme bildirimi gönderilmeden önce yapılır. Bir kullanıcı veya cihazın erişimi kaldırılırsa, zorlama belgelenen süre içinde gerçekleşir.
Konuk kullanıcılar
CAE, Konuk kullanıcı hesaplarını desteklemez. CAE iptal olayları ve IP tabanlı Koşullu Erişim ilkeleri anında zorlanmaz.
CAE ve Oturum Açma Sıklığı
Oturum Açma Sıklığı CAE ile veya CAE olmadan kabul edilir.