Koşullu Erişim dağıtımını planlama
Koşullu Erişim dağıtımınızı planlamak, kuruluşunuzun uygulamalar ve kaynaklara yönelik erişim stratejisine ulaşmak için kritik öneme sahiptir. Koşullu Erişim ilkeleri büyük yapılandırma esnekliği sağlar. Ancak bu esneklik, istenmeyen sonuçlardan kaçınmak için dikkatli bir şekilde planlamanız gerektiği anlamına da gelir.
Microsoft Entra Koşullu Erişim , kararları otomatikleştirmek ve kaynaklar için kurumsal erişim ilkelerini zorunlu kılmak için kullanıcı, cihaz ve konum gibi sinyalleri birleştirir. Bu Koşullu Erişim ilkeleri güvenliği ve üretkenliği dengelemenize, gerektiğinde güvenlik denetimlerini zorunlu tutmanıza ve gerekmediğinde kullanıcının yolundan uzak durmanıza yardımcı olur.
Koşullu Erişim, Microsoft'un Sıfır Güven güvenlik ilkesi altyapısının temelini oluşturur.
Microsoft, Microsoft Entra Id P1 veya P2 olmayan kiracılarda temel bir güvenlik düzeyinin etkinleştirildiğinden emin olan güvenlik varsayılanları sağlar. Koşullu Erişim ile, güvenlik varsayılanlarıyla aynı korumayı sağlayan ancak ayrıntı düzeyine sahip ilkeler oluşturabilirsiniz. Koşullu Erişim ilkeleri oluşturma, güvenlik varsayılanlarını etkinleştirmenizi engellediğinden, Koşullu Erişim ve güvenlik varsayılanlarının birleştirilmesi amaçlanmamıştır.
Önkoşullar
- Microsoft Entra Id P1, P2 veya deneme lisansı etkinleştirilmiş çalışan bir Microsoft Entra kiracısı. Gerekirse ücretsiz bir tane oluşturun.
- Koşullu Erişim ilkelerine Microsoft Entra Kimlik Koruması risk eklemek için Microsoft Entra Id P2 gereklidir.
- Koşullu Erişim ile etkileşim kuran yöneticilerin, gerçekleştirdikleri görevlere bağlı olarak aşağıdaki rol atamalarından birine sahip olması gerekir. Sıfır Güven en az ayrıcalık ilkesine uymak için Ayrıcalıklı Kimlik Yönetimi'ni (PIM) kullanarak ayrıcalıklı rol atamalarını tam zamanında etkinleştirmeyi göz önünde bulundurun.
- Koşullu Erişim ilkelerini ve yapılandırmalarını okuma
- Koşullu Erişim ilkeleri oluşturma veya değiştirme
- Gerçek kullanıcılara dağıtmadan önce ilkelerin beklendiği gibi çalıştığını doğrulamanıza olanak tanıyan bir test kullanıcısı (yönetici değil). Kullanıcı oluşturmanız gerekiyorsa bkz . Hızlı Başlangıç: Microsoft Entra Id'ye yeni kullanıcılar ekleme.
- Test kullanıcısının üyesi olduğu bir grup. Grup oluşturmanız gerekiyorsa bkz . Microsoft Entra Id'de grup oluşturma ve üye ekleme.
Değişiklik iletişim kurulur
İletişim, yeni işlevlerin başarısı için kritik öneme sahiptir. Kullanıcılarınızla deneyimlerinin nasıl değiştiğini, ne zaman değiştiğini ve sorunlarla karşılaşmaları durumunda nasıl destek alınabileceğinizi proaktif olarak iletmeniz gerekir.
Koşullu Erişim ilkesi bileşenleri
Koşullu Erişim ilkeleri, kaynaklarınıza kimlerin erişebileceği, hangi kaynaklara erişebileceği ve hangi koşullar altında olabileceği hakkındaki soruları yanıtlar. İlkeler erişim vermek, oturum denetimleriyle erişimi sınırlamak veya erişimi engellemek için tasarlanabilir. Aşağıdaki gibi if-then deyimlerini tanımlayarak bir Koşullu Erişim ilkesi oluşturursunuz:
| Bir ödev karşılanırsa | Erişim denetimlerini uygulama |
|---|---|
| Finans'ta Bordro uygulamasına erişen bir kullanıcıysanız | Çok faktörlü kimlik doğrulaması ve uyumlu cihaz gerektirme |
| Bordro uygulamasına erişen Finans üyesi değilseniz | Erişimi engelle |
| Kullanıcı riskiniz yüksekse | Çok faktörlü kimlik doğrulaması ve güvenli parola değişikliği gerektir |
Kullanıcı dışlamaları
Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:
- İlkenin yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kilitlenir, acil durum erişimi yönetim hesabınız oturum açmak ve erişimi kurtarmak için adımlar atmak için kullanılabilir.
- Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
- Microsoft Entra Connect Eşitleme Hesabı gibi hizmet hesapları ve Hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
Doğru soruları sorun
Atamalar ve Erişim Denetimleri hakkında sık sorulan bazı sorular aşağıdadır. Her ilkeyi oluşturmadan önce ilkeyle ilgili soruların yanıtlarını belgeleyin.
Kullanıcılar veya iş yükü kimlikleri
- hangi kullanıcılar, gruplar, dizin rolleri veya iş yükü kimlikleri ilkeye dahil edilir veya ilkenin dışında tutulur?
- hangi acil durum erişim hesapları veya grupları ilkenin dışında tutulmalıdır?
Bulut uygulamaları veya eylemleri
Bu ilke herhangi bir uygulama, kullanıcı eylemi veya kimlik doğrulama bağlamı için geçerli olacak mı? Evet ise:
- İlke hangi uygulamalara veya hizmetlere uygulanacak?
- Hangi kullanıcı eylemleri bu ilkeye tabidir?
- Bu ilke hangi kimlik doğrulama bağlamlarına uygulanacak?
Uygulamalar için filtre uygulama
Uygulamaları ayrı ayrı belirtmek yerine uygulamaları dahil etmek veya hariç tutmak için uygulamalar için filtre kullanmak kuruluşlara yardımcı olur:
- İstediğiniz sayıda uygulamayı kolayca ölçeklendirin ve hedeflendirin.
- Benzer ilke gereksinimlerine sahip uygulamaları kolayca yönetin.
- Tek tek ilkelerin sayısını azaltın.
- İlkeleri düzenlerken hataları azaltma: uygulamaları ilkeye el ile eklemenize/kaldırmanıza gerek yoktur. Yalnızca öznitelikleri yönetin.
- İlke boyutu kısıtlamalarının üstesinden gelin.
Koşullar
- hangi cihaz platformları ilkeye dahil edilir veya ilkenin dışında tutulur?
- Kuruluşun bilinen ağ konumları nelerdir?
- İlkeye hangi konumlar dahil edilir veya ilkenin dışında tutulur?
- hangi istemci uygulama türleri ilkeye dahil edilir veya ilkenin dışında tutulur?
- Belirli cihaz özniteliklerini hedeflemeniz gerekiyor mu?
- Microsoft Entra Kimlik Koruması kullanıyorsanız oturum açma veya kullanıcı riskini dahil etmek istiyor musunuz?
Denetimleri engelleme veya verme
Aşağıdakilerden birini veya daha fazlasını gerektirerek kaynaklara erişim vermek istiyor musunuz?
- Çok faktörlü kimlik doğrulaması
- Cihaz uyumlu olarak işaretli
- Microsoft Entra karma birleştirilmiş cihaz kullanma
- Onaylı bir istemci uygulaması kullanma
- Uygulama koruması ilkesi uygulandı
- Parola değiştirme
- Kullanım Koşulları kabul edildi
Erişimi engelleme, uygun bilgilerle uygulamanız gereken güçlü bir denetimdir. Blok deyimlerine sahip ilkelerin istenmeyen yan etkileri olabilir. Denetimi büyük ölçekte etkinleştirmeden önce doğru test ve doğrulama çok önemlidir. Yöneticiler, değişiklik yaparken Koşullu Erişim yalnızca rapor modu ve Koşullu Erişim'deki Durum aracı gibi araçları kullanmalıdır.
Oturum denetimleri
Bulut uygulamalarında aşağıdaki erişim denetimlerinden herhangi birini zorunlu kılmak istiyor musunuz?
- Uygulama tarafından zorlanan kısıtlamaları kullanma
- Koşullu Erişim Uygulaması denetimini kullanma
- Oturum açma sıklığını zorunlu kılma
- Kalıcı tarayıcı oturumlarını kullanma
- Sürekli erişim değerlendirmesini özelleştirme
İlkeleri birleştirme
İlke oluştururken ve atarken erişim belirteçlerinin nasıl çalıştığını dikkate almanız gerekir. Erişim belirteçleri , istekte bulunan kullanıcıların yetkilendirilmiş ve kimliği doğrulanmış olup olmadığına bağlı olarak erişim izni verir veya erişimi reddeder. İstek sahibi iddia ettikleri kişi olduğunu kanıtlayabilirse korumalı kaynaklara veya işlevlere erişebilir.
Koşullu Erişim ilkesi koşulu erişim denetimini tetiklemiyorsa erişim belirteçleri varsayılan olarak verilir.
Bu ilke, uygulamanın kendi erişimi engelleme özelliğini engellemez.
Örneğin, aşağıdaki durumlarda basitleştirilmiş bir ilke örneğini göz önünde bulundurun:
Kullanıcılar: FİnANS GRUBU
Erişim: BORDRO UYGULAMASI
Erişim denetimi: Çok faktörlü kimlik doğrulaması
- A kullanıcısı FİnANS GRUBUNDA yer alır ve BORDRO UYGULAMASına erişmek için çok faktörlü kimlik doğrulaması gerçekleştirmesi gerekir.
- B kullanıcısı FINANS GRUBUNDA değil, bir erişim belirteci verilir ve çok faktörlü kimlik doğrulaması gerçekleştirmeden BORDRO UYGULAMASI'na erişmesine izin verilir.
Finans grubu dışındaki kullanıcıların bordro uygulamasına erişememesini sağlamak için, aşağıdaki basitleştirilmiş ilke gibi diğer tüm kullanıcıları engellemek için ayrı bir ilke oluşturulabilir:
Kullanıcılar: Tüm Kullanıcıları Dahil Et / FİnANS GRUBUNU Dışla
Erişim: BORDRO UYGULAMASI
Erişim denetimi: Erişimi engelle
Artık Kullanıcı B BORDRO UYGULAMASına erişmeye çalıştığında engellenir.
Öneriler
Koşullu Erişim kullanımı ve diğer müşterileri destekleme ile ilgili öğrenmelerimizi göz önünde bulundurarak, öğrenmelerimize dayalı birkaç öneri aşağıdadır.
Her uygulamaya Koşullu Erişim ilkeleri uygulama
Her uygulamada en az bir Koşullu Erişim ilkesi uygulandığına emin olun. Güvenlik açısından bakıldığında, Tüm kaynakları (eski adıyla 'Tüm bulut uygulamaları') kapsayan bir ilke oluşturmak ve ardından ilkenin uygulanmasını istemediğiniz uygulamaları dışlamak daha iyidir. Bu uygulama, her yeni uygulama eklediğinizde Koşullu Erişim ilkelerini güncelleştirmenize gerek olmamasını sağlar.
İpucu
Blok ve tüm uygulamaları tek bir ilkede kullanırken çok dikkatli olun. Bu, yöneticileri kilitler ve Microsoft Graph gibi önemli uç noktalar için dışlamalar yapılandırılamaz.
Koşullu Erişim ilkelerinin sayısını en aza indirme
Her uygulama için ilke oluşturmak verimli değildir ve zor yönetime yol açar. Koşullu Erişim kiracı başına 195 ilke sınırına sahiptir. Bu 195 ilke sınırı yalnızca rapor modu, açık veya kapalı dahil olmak üzere herhangi bir durumda Koşullu Erişim ilkelerini içerir.
Uygulamalarınızı analiz edip aynı kullanıcılar için aynı kaynak gereksinimlerine sahip uygulamalar halinde gruplandırmanızı öneririz. Örneğin, tüm Microsoft 365 uygulamaları veya tüm İk uygulamaları aynı kullanıcılar için aynı gereksinimlere sahipse, tek bir ilke oluşturun ve geçerli olduğu tüm uygulamaları ekleyin.
Koşullu Erişim ilkeleri bir JSON dosyasında bulunur ve bu dosya, tek bir ilkenin ötesine geçmesini beklemediğimiz bir boyut sınırına bağlıdır. İlkenizde uzun bir GUID listesi kullanırsanız bu sınıra gelebilirsiniz. Bu sınırlarla karşılaşırsanız aşağıdaki gibi alternatifler öneririz:
- Her kullanıcıyı ayrı ayrı listelemek yerine Kullanıcıları dahil etmek veya dışlamak için grupları veya rolleri kullanın.
- Tek tek belirtmek yerine uygulamaları dahil etmek veya hariç tutmak için uygulamalar için filtre kullanın.
Yalnızca rapor modunu yapılandırma
Varsayılan olarak, şablondan oluşturulan her ilke yalnızca rapor modunda oluşturulur. Kuruluşların, her ilkeyi açmadan önce amaçlanan sonucu elde etmek için kullanımı test etmesini ve izlemesini öneririz.
İlkeleri yalnızca rapor modunda etkinleştirin. İlkeyi yalnızca rapor modunda kaydettikten sonra, oturum açma günlüklerinde gerçek zamanlı oturum açma işlemleri üzerindeki etkisini görebilirsiniz. Oturum açma günlüklerinden bir olay seçin ve her bir yalnızca rapor ilkesinin sonucunu görmek için Yalnızca rapor sekmesine gidin.
Koşullu Erişim ilkelerinizin toplam etkisini İçgörüler ve Raporlama çalışma kitabında görüntüleyebilirsiniz. Çalışma kitabına erişmek için bir Azure İzleyici aboneliğiniz olması ve oturum açma günlüklerinizi log analytics çalışma alanına akışla aktarmanız gerekir.
Kesintiyi planlama
Öngörülemeyen kesintiler sırasında kilitlenme riskini azaltmak için kuruluşunuz için dayanıklılık stratejileri planlayın.
Korumalı eylemleri etkinleştirme
Korumalı eylemlerin etkinleştirilmesi, Koşullu Erişim ilkesi oluşturma, değiştirme veya silme girişimlerine başka bir güvenlik katmanı getirir. Kuruluşlar, ilkeyi değiştirmeden önce yeni bir çok faktörlü kimlik doğrulaması veya başka bir izin denetimi gerektirebilir.
İlkeleriniz için adlandırma standartlarını ayarlama
Adlandırma standardı, azure yönetici portalında açmadan ilkeleri bulmanıza ve amaçlarını anlamanıza yardımcı olur. İlkenizi gösterecek şekilde adlandırmanızı öneririz:
- Sıra Numarası
- Geçerli olduğu bulut uygulamaları
- Yanıt
- Geçerli olduğu kişiler
- Geçerli olduğunda
Örnek: Dış ağlardan Dynamics CRP uygulamasına erişen pazarlama kullanıcıları için MFA gerektiren bir ilke şunlar olabilir:
Açıklayıcı ad, Koşullu Erişim uygulamanıza genel bir bakış sağlamanıza yardımcı olur. Konuşmadaki bir ilkeye başvurmanız gerekiyorsa Sıra Numarası yararlı olur. Örneğin, telefonda bir yöneticiyle konuştuğunuzda, bir sorunu çözmek için ilke CA01'ini açmasını isteyebilirsiniz.
Acil durum erişim denetimleri için adlandırma standartları
Etkin ilkelerinize ek olarak, kesinti veya acil durum senaryolarında ikincil dayanıklı erişim denetimleri gibi davranan devre dışı ilkeler uygulayın. Acil durum ilkeleri için adlandırma standardınız şunları içermelidir:
- İLKELERDE ETKİnLeşerek adın diğer ilkeler arasında öne çıkmasını sağlayın.
- Geçerli olması gereken kesintinin adı.
- Yöneticinin hangi sipariş ilkelerinin etkinleştirilmesi gerektiğini bilmesine yardımcı olacak bir sıralama sırası numarası.
Örnek: Aşağıdaki ad, bir MFA kesintisi olduğunda bu ilkenin etkinleştirileceği dört ilkeden ilki olduğunu gösterir:
- EM01 - ACIL DURUMDA ETKİnLEŞTİrme: MFA Kesintisi [1/4] - Exchange SharePoint: VIP kullanıcıları için Microsoft Entra karma katılımını zorunlu kılabilir.
Hiçbir zaman oturum açmayı beklemediğiniz ülkeleri/bölgeleri engelleme
Microsoft Entra Id, adlandırılmış konumlar oluşturmanıza olanak tanır. İzin verilen ülkelerin/bölgelerin listesini oluşturun ve ardından bu "izin verilen ülkeler/bölgeler" dışlama olarak bir ağ engelleme ilkesi oluşturun. Bu seçenek, daha küçük coğrafi konumları temel alan müşteriler için daha az ek yük oluşturur. Acil durum erişim hesaplarınızı bu ilkeden muaf tutmayı unutmayın.
Koşullu Erişim ilkelerini dağıtma
Hazır olduğunuzda Koşullu Erişim ilkelerinizi aşamalar halinde dağıtın.
Koşullu Erişim ilkelerinizi oluşturma
İlk başlangıç için Koşullu Erişim ilkesi şablonlarına ve Microsoft 365 kuruluşları için ortak güvenlik ilkelerine bakın. Bu şablonlar, Microsoft önerilerini dağıtmanın kullanışlı bir yoludur. Acil durum erişim hesaplarınızı dışladığınızdan emin olun.
İlkenin etkisini değerlendirme
İlkelerinizin etkisini değişiklik yapmadan önce ve sonra değerlendirmek için aşağıdaki araçları kullanmanızı öneririz. Simülasyon çalıştırması, Koşullu Erişim ilkesinin etkisi hakkında iyi bir fikir verir; düzgün yapılandırılmış bir geliştirme ortamında gerçek bir test çalıştırmasının yerini almaz.
- Yalnızca rapor modu ve Koşullu Erişim içgörüleri ve Raporlama çalışma kitabı.
- What If aracı
İlkelerinizi test edin
İlkenin dışlama ölçütlerini test ettiğinizden emin olun. Örneğin, bir kullanıcıyı veya grubu MFA gerektiren bir ilkenin dışında tutabilirsiniz. Dışlanan kullanıcılardan MFA istenip istenmediğini test edin çünkü diğer ilkelerin birleşimi bu kullanıcılar için MFA gerektirebilir.
Test kullanıcılarıyla birlikte test planınızdaki her testi gerçekleştirin. Beklenen sonuçlarla gerçek sonuçları karşılaştırmak için test planı önemlidir. Aşağıdaki tabloda bazı örnek test çalışmaları özetlenmiştir. Koşullu Erişim ilkelerinizin yapılandırmasına bağlı olarak senaryoları ve beklenen sonuçları ayarlayın.
| İlke | Senaryo | Beklenen Sonuç |
|---|---|---|
| Riskli oturum açma işlemleri | Kullanıcı onaylanmamış bir tarayıcı kullanarak Uygulamada oturum açar | Oturum açma işleminin kullanıcı tarafından yapılmamış olma olasılığına göre bir risk puanı hesaplar. Kullanıcının MFA kullanarak kendi kendine düzeltmesini gerektirir |
| Cihaz yönetimi | Yetkili kullanıcı, yetkili bir cihazdan oturum açmayı dener | Erişim izni verildi |
| Cihaz yönetimi | Yetkili kullanıcı yetkisiz bir cihazdan oturum açmaya çalışır | Erişim engellendi |
| Riskli kullanıcılar için parola değişikliği | Yetkili kullanıcı güvenliği aşılmış kimlik bilgileriyle oturum açmayı dener (yüksek riskli oturum açma) | Kullanıcıdan parolayı değiştirmesi istenir veya ilkenize göre erişim engellenir |
Üretimde dağıtma
Etkiyi yalnızca rapor modunu kullanarak onayladıktan sonra, yönetici İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.
İlkeleri geri alma
Yeni uygulanan ilkelerinizi geri almanız gerekirse aşağıdaki seçeneklerden birini veya birden fazlasını kullanın:
İlkeyi devre dışı bırakın. İlkenin devre dışı bırakılması, bir kullanıcı oturum açmaya çalıştığında bu ilkenin uygulanmamasını sağlar. İstediğiniz zaman geri dönüp ilkeyi kullanmak istediğinizde etkinleştirebilirsiniz.
Bir kullanıcıyı veya grubu ilkeden dışlama. Kullanıcı uygulamaya erişemezse, kullanıcıyı ilkenin dışında bırakabilirsiniz.
Dikkat
Dışlamalar, yalnızca kullanıcıya güvenildiği durumlarda tedbirli kullanılmalıdır. Kullanıcılar en kısa zamanda ilkeye veya gruba yeniden eklenmelidir.
bir ilke devre dışı bırakılırsa ve artık gerekli değilse, silin.
Koşullu Erişim ilkeleriyle ilgili sorunları giderme
Kullanıcının Koşullu Erişim ilkesiyle ilgili bir sorunu varsa, sorun gidermeyi kolaylaştırmak için aşağıdaki bilgileri toplayın.
- Kullanıcı Asıl Adı
- Kullanıcı görünen adı
- İşletim sistemi adı
- Zaman damgası (yaklaşık tamam)
- Hedef uygulama
- İstemci uygulama türü (tarayıcı ve istemci)
- Bağıntı Kimliği (bu kimlik, oturum açma için benzersizdir)
Kullanıcı Diğer ayrıntılar bağlantısı bulunan bir ileti aldıysa, sizin için bu bilgilerin çoğunu toplayabilir.
Bilgileri topladıktan sonra aşağıdaki kaynaklara bakın:
- Koşullu Erişim ile oturum açma sorunları – Hata iletilerini ve Microsoft Entra oturum açma günlüğünü kullanarak Koşullu Erişim ile ilgili beklenmeyen oturum açma sonuçlarını anlayın.
- What-If aracını kullanma - İlkenin belirli bir durumda kullanıcıya neden uygulandığını veya uygulanmadığını veya bir ilkenin bilinen bir durumda geçerli olup olmadığını anlayın.