Aracılığıyla paylaş

Ortak Koşullu Erişim ilkesi: Güvenlik bilgileri kaydının güvenliğini sağlama

  • Makale

Koşullu Erişim ilkesindeki kullanıcı eylemleriyle kullanıcıların Microsoft Entra çok faktörlü kimlik doğrulamasına ve self servis parola sıfırlamaya ne zaman ve nasıl kaydolduğunda ve nasıl kaydolduğunda güvenli hale getirilmesi mümkündür. Bu özellik, birleşik kaydı etkinleştiren kuruluşlar tarafından kullanılabilir. Bu işlevsellik, kuruluşların kayıt işlemini Koşullu Erişim ilkesindeki herhangi bir uygulama gibi işlemesine ve deneyimin güvenliğini sağlamak için Koşullu Erişim'in tüm gücünü kullanmasına olanak tanır. Microsoft Authenticator uygulamasında oturum açmış olan veya parolasız telefon oturum açma özelliğini etkinleştiren kullanıcılar bu ilkeye tabidir.

Geçmişte bazı kuruluşlar, kayıt deneyiminin güvenliğini sağlamak için güvenilir ağ konumunu veya cihaz uyumluluğunu kullanmış olabilir. Microsoft Entra Id'de Geçici Erişim Geçişi'nin eklenmesiyle, yöneticiler kullanıcılarına herhangi bir cihazdan veya konumdan kaydolmalarına izin veren zaman sınırlı kimlik bilgileri sağlayabilir. Geçici Erişim Geçişi kimlik bilgileri, çok faktörlü kimlik doğrulaması için Koşullu Erişim gereksinimlerini karşılar.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

  • Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
    • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Kaydın güvenliğini sağlamak için ilke oluşturma

Aşağıdaki ilke, birleşik kayıt deneyimini kullanarak kaydolmaya çalışan seçili kullanıcılar için geçerlidir. İlke, kullanıcıların güvenilir bir ağ konumunda olmasını ve çok faktörlü kimlik doğrulaması gerçekleştirmesini veya Geçici Erişim Geçişi kimlik bilgilerini kullanmasını gerektirir.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
  3. Yeni ilke'yi seçin.
  4. Ad alanına bu ilke için bir Ad girin. Örneğin, TAP ile Birleşik Güvenlik Bilgileri Kaydı.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.

    1. Ekle'nin altında Tüm kullanıcılar'ı seçin.

      Uyarı

      Kullanıcıların birleşik kayıt için etkinleştirilmesi gerekir.

    2. Dışla altında.

      1. Tüm konuk ve dış kullanıcılar'ı seçin.

        Not

        Geçici Erişim Geçişi konuk kullanıcılar için çalışmaz.

      2. Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.

  6. Hedef kaynaklar>Kullanıcı eylemleri'nin altında Güvenlik bilgilerini kaydet'i işaretleyin.
  7. Koşul>Konumları altında.
    1. Yapılandır'ı Evet olarak ayarlayın.
      1. Herhangi bir konumu dahil edin.
      2. Tüm güvenilen konumları dışla.
  8. Erişim'in altında İzin Ver'i denetler>.
    1. Erişim ver, Çok faktörlü kimlik doğrulaması gerektir'i seçin.
    2. Seç'i seçin.
  9. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
  10. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Yöneticilerin, çok faktörlü kimlik doğrulamasının kaydolma gereksinimlerini karşı edebilmeleri için yeni kullanıcılara Geçici Erişim Geçişi kimlik bilgileri vermeleri gerekir. Bu görevi gerçekleştirme adımları, Microsoft Entra yönetim merkezindeki Geçici Erişim Geçişi Oluşturma bölümünde bulunur.

Kuruluşlar, 8a adımında Çok faktörlü kimlik doğrulaması gerektir seçeneğiyle veya yerine başka izin denetimleri gerektirebilir. Birden çok denetim seçerken, bu değişikliği yaparken seçilen denetimlerin tümünü veya birini zorunlu kılmak için uygun radyo düğmesi düğmesini seçtiğinizden emin olun.

Konuk kullanıcı kaydı

Dizininizde çok faktörlü kimlik doğrulamasına kaydolması gereken konuk kullanıcılar için aşağıdaki kılavuzu kullanarak güvenilen ağ konumlarının dışından kaydı engellemeyi seçebilirsiniz.

  1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
  2. Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
  3. Yeni ilke'yi seçin.
  4. Ad alanına bu ilke için bir Ad girin. Örneğin, Güvenilen Ağlarda Birleşik Güvenlik Bilgileri Kaydı.
  5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
    1. Ekle'nin altında Tüm konuk ve dış kullanıcılar'ı seçin.
  6. Hedef kaynaklar>Kullanıcı eylemleri'nin altında Güvenlik bilgilerini kaydet'i işaretleyin.
  7. Koşul>Konumları altında.
    1. Evet'i yapılandırın.
    2. Herhangi bir konumu dahil edin.
    3. Tüm güvenilen konumları dışla.
  8. Erişim'in altında İzin Ver'i denetler>.
    1. Erişimi engelle'yi seçin.
    2. Ardından Seç'i belirleyin.
  9. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
  10. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

İlgili içerik