Koşullu Erişim ile cihaz uyumluluğu gerektir

Genel bakış

Microsoft Intune ve Microsoft Entra, cihaz uyumluluk ilkeleri ve Koşullu Erişim aracılığıyla kuruluşunuzun güvenliğini sağlamak için birlikte çalışır. Cihaz uyumluluk ilkeleri, kullanıcı cihazlarının en düşük yapılandırma gereksinimlerini karşıladığından emin olun. Kullanıcılar Koşullu Erişim ilkeleriyle korunan hizmetlere eriştiğinde gereksinimler zorunlu kılınabilir.

Bazı kuruluşlar tüm kullanıcılar için cihaz uyumluluğu gerektirmeye hazır olmayabilir. Bu kuruluşlar bunun yerine aşağıdaki ilkeleri dağıtmayı seçebilir:

• Yöneticiler için uyumlu veya Microsoft Entra karma katılmış bir cihaz isteyin
• Tüm kullanıcılar için uyumlu bir cihaz, Microsoft Entra hibrit katılmış cihaz veya çok faktörlü kimlik doğrulama gerektir
• Bilinmeyen veya desteklenmeyen cihaz platformlarını engelleme
• Tarayıcı kalıcılığını devre dışı bırakma

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır. Aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Politikanın yanlış yapılandırılması nedeniyle kilitlenmeyi önlemek için acil durum erişimi veya acil durum hesapları. Tüm yöneticilerin kilitlendiği olası olmayan senaryoda, acil durum erişimi yönetim hesabınız oturum açmak ve erişimi kurtarmak için kullanılabilir.
  • Microsoft Entra ID'da acil durum erişim hesaplarını yönetme makalesinde daha fazla bilgi bulabilirsiniz.
• Service hesapları ve Hizmet sorumluları, örneğin Microsoft Entra Connect Eşitleme Hesabı. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan, etkileşimsiz hesaplardır. Bunlar genellikle arka uç hizmetleri tarafından uygulamalara programlı erişim sağlamak için kullanılır, ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeleri tanımlamak için iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuz bu hesapları betiklerde veya kodlarda kullanıyorsa, bunları yönetilen kimliklerle değiştirin.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları izleyerek veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtabilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, kaynaklara erişen cihazların kuruluşunuzun Intune uyumluluk ilkeleriyle uyumlu olarak işaretlenmesini gerektiren bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

Uyarı

Microsoft Intune'de bir uyumluluk ilkesi oluşturulmadan, bu Koşullu Erişim ilkesi amaçlandığı gibi çalışmaz. Önce bir uyumluluk ilkesi oluşturun ve devam etmeden önce en az bir uyumlu cihazınız olduğundan emin olun.

1. Microsoft Entra yönetim merkezinde en az Conditional Access Administrator olarak oturum açın.
2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. İlkelerinizin adları için anlamlı bir standart oluşturun.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Ekle'nin altında Tüm kullanıcılar'ı seçin
   2. Dışla altında:
      1. Kullanıcılar ve gruplar'ı seçin
         1. Kuruluşunuzun acil durum erişimini veya acil durum hesaplarını seçin.
         2. Microsoft Entra Connect veya Microsoft Entra Connect Cloud Sync gibi karma kimlik çözümleri kullanıyorsanız Directory rolleri'ı ve ardından Directory Eşitleme Hesapları
6. Hedef kaynaklar>Kaynaklar (eski adıyla bulut uygulamaları)Ekle bölümünde>Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları') öğesini seçin.
7. Erişim kontrolleri altında>.
   1. Cihazın uyumlu olarak işaretlenmesini gerektir'i seçin.
   2. Seç öğesini seçin.
8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'iYalnızca rapor olarak ayarlayın.
9. İlkenizi etkinleştirmek için Oluştur'u seçin.

Politika etkisi veya yalnızca rapor modunu kullanarak ayarlarınızı onayladıktan sonra, Politikayı Etkinleştir anahtarını Yalnızca rapor konumundan Açık konumuna getirin.

Not

Önceki adımları kullanarak Cihazın Tüm kullanıcılar ve Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları') için uyumlu olarak işaretlenmesini gerektir'i seçseniz bile yeni cihazlarınızı Intune'a kaydedebilirsiniz. Cihazın uyumlu olarak işaretlenmesini gerektir denetimi Intune kaydını engellemez.

Benzer şekilde, Require cihazının uyumlu olarak işaretlenmesi UserAuthenticationMethod.Read kapsamına Microsoft Authenticator uygulama erişimini engellemez. Authenticator'ın, kullanıcının hangi kimlik bilgilerini yapılandırabileceğini belirlemek için Authenticator kaydı sırasında UserAuthenticationMethod.Read kapsamına erişmesi gerekir. Kimlik doğrulayıcının kimlik bilgilerini kaydetmek için UserAuthenticationMethod.ReadWrite'e erişmesi gerekir; bu, Cihazın uyumlu olarak işaretlenmesini gerektir denetimini atlamaz.

Bilinen davranış

iOS, Android, macOS ve Microsoft dışı bazı web tarayıcılarında Microsoft Entra ID, cihaz Microsoft Entra ID kaydedildiğinde sağlanan bir istemci sertifikası kullanarak cihazı tanımlar. Bir kullanıcı tarayıcıda ilk kez oturum açtığında, kullanıcıdan sertifikayı seçmesi istenir. Son kullanıcının tarayıcıyı kullanmaya devam etmeden önce bu sertifikayı seçmesi gerekir.

B2B senaryoları

İlişkiniz ve güvendiğiniz kuruluşlar için cihaz uyumluluk taleplerine güvenebilirsiniz. Bu ayarı yapılandırmak için B2B işbirliği için kiracılar arası erişim ayarlarını yönetme makalesine bakın.

Abonelik etkinleştirme

Kullanıcıların bir Windows sürümünden diğerine "adım atmasını" sağlamak için Ubscription Activation özelliğini kullanan kuruluşlar, İş İçin Windows Mağazası olan AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f'yi cihaz uyumluluk ilkesinden dışlamak isteyebilir.

İlgili içerik

• Microsoft Intune'da uyumluluk ilkesi oluşturmayı öğrenin.
• Koşullu Erişim verme denetimleri hakkında bilgi edinin.
• Kiracılar arası erişim ayarlarını yapılandırmayı öğrenin.