Ortak Koşullu Erişim ilkesi: Yöneticiler için uyumlu veya Microsoft Entra karma katılmış cihaz gerektir

Yönetici hakları atanan hesaplar, saldırganlar için bir hedeftir. Bu yüksek ayrıcalıklı haklara sahip kullanıcıların uyumlu veya Microsoft Entra karma katılmış olarak işaretlenen cihazlardan eylem gerçekleştirmesini zorunlu kılması olası maruz kalma durumlarının sınırlanabilmesine yardımcı olabilir.

Intune kullanarak kuruluşunuzdaki kaynaklara erişime izin vermek için cihazlarda kurallar ayarlama makalesinde cihaz uyumluluk ilkeleri hakkında daha fazla bilgi bulabilirsiniz.

Microsoft Entra karma katılmış bir cihaz gerektirmek, cihazlarınıza zaten Microsoft Entra karma katılmış olmasına bağlıdır. Daha fazla bilgi için Microsoft Entra karma katılımını yapılandırma makalesine bakın.

Microsoft, kimlik puanı önerilerine göre bu ilkeyi en azından aşağıdaki roller için etkinleştirmenizi önerir:

• Genel Yönetici
• Uygulama Yöneticisi
• Kimlik Doğrulama Yöneticisi
• Faturalama Yöneticisi
• Bulut Uygulaması Yöneticisi
• Koşullu Erişim Yöneticisi
• Exchange Yöneticisi
• Yardım Masası Yöneticisi
• Parola Yöneticisi
• Ayrıcalıklı Kimlik Doğrulama Yöneticisi
• Ayrıcalıklı Rol Yöneticisi
• Güvenlik Yöneticisi
• SharePoint Yöneticisi
• Kullanıcı Yöneticisi

Kuruluşlar rolleri uygun gördükleri şekilde dahil etmeyi veya hariç tutmayı seçebilir.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, çok faktörlü kimlik doğrulaması gerektirecek bir Koşullu Erişim ilkesi oluşturulmasına, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesine veya Microsoft Entra karmasına katılmış olmasına yardımcı olur.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
2. Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

   1. Ekle'nin altında Dizin rolleri'ni seçin ve en azından daha önce listelenen rolleri seçin.

      Uyarı

      Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri, yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.

   2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.

6. Hedef kaynaklar>Bulut uygulamaları>dahil et'in altında Tüm bulut uygulamaları'nı seçin.
7. Erişim'in altında İzin Ver'i denetler>.
   1. Cihazın uyumlu olarak işaretlenmesini gerektir ve Microsoft Entra karmasına katılmış cihaz gerektir'i seçin
   2. Birden çok denetim için Seçili denetimlerden birini gerektir'i seçin.
   3. Seç'i seçin.
8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Not

Önceki adımları kullanarak Cihazın Tüm kullanıcılar ve Tüm bulut uygulamaları için uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu denetim olarak işaretlenmesini zorunlu kılması Intune kaydını engellemez.

Bilinen davranış

Windows 7, iOS, Android, macOS ve Microsoft dışı bazı web tarayıcılarında Microsoft Entra Id, cihaz Microsoft Entra ID ile kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Son kullanıcının tarayıcıyı kullanmaya devam etmeden önce bu sertifikayı seçmesi gerekir.

Abonelik etkinleştirme

Kullanıcıların bir Windows sürümünden diğerine "adım atmasını" sağlamak için Abonelik Etkinleştirme özelliğini kullanan kuruluşlar, İş İçin Windows Mağazası, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.

İlgili içerik

• Microsoft Entra yerleşik rolleri
• Koşullu Erişim şablonları
• Cihaz uyumluluk ilkeleri Microsoft Entra ID ile çalışır