Aracılığıyla paylaş

Ortak Koşullu Erişim ilkesi: Eski kimlik doğrulamasını engelle

  • Makale

Microsoft, eski kimlik doğrulama protokolleriyle ilişkili artan risk nedeniyle kuruluşların bu protokolleri kullanarak kimlik doğrulama isteklerini engellemesini ve modern kimlik doğrulaması gerektirmesini önerir. Eski kimlik doğrulamasını engellemenin neden önemli olduğu hakkında daha fazla bilgi için, Nasıl yapılır: Koşullu Erişim ile Microsoft Entra Id'ye eski kimlik doğrulamasını engelleme makalesine bakın.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

  • Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
    • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, eski kimlik doğrulama isteklerini engellemek için bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur. Bu ilke, yöneticilerin mevcut kullanıcılar üzerindeki etkisini belirleyebilmesi için yalnızca rapor moduna geçirilir. Yöneticiler ilkenin amaçladıkları gibi uygulandığından memnun olduklarında, belirli grupları ekleyerek ve diğerlerini dışlayarak dağıtımı Açık duruma alabilir veya hazırlayabilirler.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
  3. Yeni ilke'yi seçin.
  4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
    1. Ekle'nin altında Tüm kullanıcılar'ı seçin.
    2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve eski kimlik doğrulamasını kullanma özelliğini koruması gereken tüm hesapları seçin. Microsoft, kilitlenmenizi önlemek için en az bir hesabı dışlamanızı önerir.
  6. Hedef kaynaklar>Bulut uygulamaları>dahil et'in altında Tüm bulut uygulamaları'nı seçin.
  7. Koşullar>İstemci uygulamaları altında Yapılandır'ı Evet olarak ayarlayın.
    1. Yalnızca Exchange ActiveSync istemcileri ve Diğer istemciler kutularını işaretleyin.
    2. Bitti'yi seçin.
  8. Erişim denetimleri>Ver'in altında Erişimi engelle'yi seçin.
    1. Seç'i seçin.
  9. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
  10. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Not

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Sonraki adımlar

Koşullu Erişim şablonları

Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.

Microsoft 365 kullanarak e-posta göndermek için çok işlevli bir cihaz veya uygulama ayarlama