Koşullu Erişim: Dayanıklılık varsayılanları
Birincil kimlik doğrulama hizmetinde bir kesinti varsa, Microsoft Entra Backup Kimlik Doğrulama Hizmeti mevcut oturumlar için uygulamalara otomatik olarak erişim belirteçleri verebilir. Mevcut oturumlar için yeniden kimlik doğrulamaları Microsoft Entra Id kimlik doğrulamasının %90'ından fazlasını içerdiğinden bu işlev Microsoft Entra dayanıklılığını önemli ölçüde artırır. Yedekleme Kimlik Doğrulama Hizmeti, konuk kullanıcılar tarafından yapılan yeni oturumları veya kimlik doğrulamalarını desteklemez.
Koşullu Erişim ile korunan kimlik doğrulamaları için, erişim belirteçleri verilmeden önce aşağıdakiler belirlenmeden önce ilkeler yeniden değerlendirilir:
- Hangi Koşullu Erişim ilkeleri geçerlidir?
- Uygulanan ilkeler için gerekli denetimler karşılandı mı?
Kesinti sırasında, Bir Koşullu Erişim ilkesinin geçerli olup olmayacağını belirlemek için Yedekleme Kimlik Doğrulama Hizmeti tarafından tüm koşullar gerçek zamanlı olarak değerlendirilemez. Koşullu Erişim dayanıklılığı varsayılanları, yöneticilerin şunlar arasında karar vermelerini sağlayan yeni bir oturum denetimidir:
- bir ilke koşulu gerçek zamanlı olarak değerlendirilemiyorsa kesinti sırasında kimlik doğrulamalarının engellenip engellenmeyeceği.
- İlkelerin, kullanıcının oturumunun başında toplanan veriler kullanılarak değerlendirilmesine izin verin.
Önemli
Dayanıklılık varsayılanları tüm yeni ve mevcut ilkeler için otomatik olarak etkinleştirilir ve Microsoft, kesintinin etkisini azaltmak için dayanıklılık varsayılanlarını etkin bırakmanızı kesinlikle önerir. Yöneticiler tek tek Koşullu Erişim ilkeleri için dayanıklılık varsayılanlarını devre dışı bırakabilir.
Nasıl çalışır?
Kesinti sırasında, Yedekleme Kimlik Doğrulama Hizmeti belirli oturumlar için erişim belirteçlerini otomatik olarak yeniden gönderir:
| Oturum açıklaması | Erişim izni verildi |
|---|---|
| Yeni oturum | Hayır |
| Mevcut oturum – Koşullu Erişim ilkeleri yapılandırılmadı | Yes |
| Mevcut oturum – Yapılandırılmış Koşullu Erişim ilkeleri ve MFA gibi gerekli denetimler daha önce karşılandı | Yes |
| Mevcut oturum – Yapılandırılmış Koşullu Erişim ilkeleri ve MFA gibi gerekli denetimler daha önce karşılanmamış | Dayanıklılık varsayılanlarıyla belirlenir |
Microsoft Entra kesintisi sırasında mevcut oturumun süresi dolduğunda, yeni erişim belirteci isteği Yedekleme Kimlik Doğrulama Hizmeti'ne yönlendirilir ve tüm Koşullu Erişim ilkeleri yeniden değerlendirilir. Koşullu Erişim ilkesi yoksa veya MFA gibi tüm gerekli denetimler daha önce oturumun başında karşılandıysa, Yedekleme Kimlik Doğrulama Hizmeti oturumu genişletmek için yeni bir erişim belirteci gönderir.
Bir ilkenin gerekli denetimleri daha önce karşılanmadıysa, erişim verilmesi veya reddedilmesi gerektiğini belirlemek için ilke yeniden değerlendirilir. Ancak, kesinti sırasında tüm koşullar gerçek zamanlı olarak yeniden değerlendirilebilir. Bu koşullar şunlardır:
- Grup üyeliği
- Rol üyeliği
- Oturum açma riski
- Kullanıcı riski
- Ülke/bölge konumu (yeni IP veya GPS koordinatlarını çözümleme)
- Kimlik doğrulama güçlü yönleri
Yedekleme Kimlik Doğrulama Hizmeti etkin olduğunda, kimlik doğrulaması güçlü yönlerinin gerektirdiği kimlik doğrulama yöntemlerini değerlendirmez. Kesintiden önce kimlik avına dayanıklı olmayan bir kimlik doğrulama yöntemi kullandıysanız, kesinti sırasında kimlik avına dayanıklı kimlik doğrulaması gücüyle Koşullu Erişim ilkesiyle korunan bir kaynağa erişirken bile çok faktörlü kimlik doğrulaması yapmanız istenmez.
Dayanıklılık varsayılanları etkin
Dayanıklılık varsayılanları etkinleştirildiğinde, Yedekleme Kimlik Doğrulama Hizmeti, ilkenin gerçek zamanlı veriler olmadığında uygulanıp uygulanmayacağını değerlendirmek için oturumun başında toplanan verileri kullanır. Varsayılan olarak, tüm ilkelerde dayanıklılık varsayılanları etkindir. Kesinti sırasında hassas uygulamalara erişim için gerçek zamanlı ilke değerlendirmesi gerektiğinde, bu ayar tek tek ilkeler için devre dışı bırakılabilir.
Örnek: Dayanıklılık varsayılanları etkin olan bir ilke, tüm kullanıcılara MFA yapmak için Microsoft Yönetici portallarına erişen ayrıcalıklı bir rol atamasını gerektirir. Kesintiden önce, yönetici rolü atanmamış bir kullanıcı Azure portalına erişirse ilke uygulanmaz ve kullanıcıya MFA istenmeden erişim verilir. Kesinti sırasında, Yedekleme Kimlik Doğrulama Hizmeti kullanıcıdan MFA istenip istenmeyeceğini belirlemek için ilkeyi yeniden değerlendirir. Yedekleme Kimlik Doğrulama Hizmeti rol üyeliğini gerçek zamanlı olarak değerlendiremediğinden, ilkenin hala geçerli olmaması gerektiğini belirlemek için kullanıcının oturumunun başında toplanan verileri kullanır. Sonuç olarak, kullanıcıya MFA istenmeden erişim verilir.
Dayanıklılık varsayılanları devre dışı
Dayanıklılık varsayılanları devre dışı bırakıldığında, Yedekleme Kimlik Doğrulama Hizmeti koşulları değerlendirmek için oturumun başında toplanan verileri kullanmaz. Kesinti sırasında, bir ilke koşulu gerçek zamanlı olarak değerlendirilemezse erişim reddedilir.
Örnek: Dayanıklılık varsayılanları devre dışı olan bir ilke, tüm kullanıcılara MFA yapmak için Microsoft Yönetici portallarına erişen ayrıcalıklı bir rol atamasını gerektirir. Kesintiden önce, yönetici rolü atanmamış bir kullanıcı Azure portalına erişirse ilke uygulanmaz ve kullanıcıya MFA istenmeden erişim verilir. Kesinti sırasında, Yedekleme Kimlik Doğrulama Hizmeti kullanıcıdan MFA istenip istenmeyeceğini belirlemek için ilkeyi yeniden değerlendirir. Yedekleme Kimlik Doğrulama Hizmeti rol üyeliğini gerçek zamanlı olarak değerlendiremediğinden kullanıcının Azure Portal'a erişmesini engeller.
Uyarı
Bir grup veya role uygulanan bir ilke için dayanıklılık varsayılanlarını devre dışı bırakmak, kiracınızdaki tüm kullanıcıların dayanıklılığını azaltır. Bir kesinti sırasında grup ve rol üyeliği gerçek zamanlı olarak değerlendirilemediğinden, ilke atamasında gruba veya role ait olmayan kullanıcıların bile ilke kapsamında uygulamaya erişimi reddedilir. İlke kapsamında olmayan tüm kullanıcıların dayanıklılığını azaltmaktan kaçınmak için, ilkeyi gruplar veya roller yerine tek tek kullanıcılara uygulamayı göz önünde bulundurun.
Dayanıklılık varsayılanlarını test etme
Yedekleme Kimlik Doğrulama Hizmeti'ni kullanarak bir kuru çalıştırma gerçekleştirmek veya dayanıklılık varsayılanları şu anda etkin veya devre dışı bırakılmış bir ilkenin sonucunu simüle etmek mümkün değildir. Microsoft Entra, Yedekleme Kimlik Doğrulama Hizmeti'ni kullanarak aylık alıştırmalar yürütür. Erişim belirtecini vermek için Yedekleme Kimlik Doğrulama Hizmeti kullanıldıysa oturum açma günlükleri görüntülenir. Kimlik>İzleme ve sistem durumu>Oturum Açma Günlükleri dikey penceresinde, Microsoft Entra Backup Kimlik Doğrulama hizmeti tarafından işlenen günlükleri görüntülemek için "Belirteç veren türü == Microsoft Entra Backup Kimlik Doğrulaması" filtresini ekleyebilirsiniz.
Dayanıklılık varsayılanlarını yapılandırma
Koşullu Erişim dayanıklılığı varsayılanlarını Microsoft Entra yönetim merkezinden, MS Graph API'lerinden veya PowerShell'den yapılandırabilirsiniz.
Microsoft Entra yönetim merkezi
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim>İlkeleri'ne göz atın.
- Yeni ilke oluşturma veya var olan bir ilkeyi seçme
- Oturum denetimi ayarlarını açma
- Bu ilkenin ayarını devre dışı bırakmak için Dayanıklılık varsayılanlarını devre dışı bırak'ı seçin. İlke kapsamındaki oturum açma işlemleri Microsoft Entra kesintisi sırasında engellenir
- İlkedeki değişiklikleri kaydetme
MS Graph API'leri
Ms Graph API'sini ve Microsoft Graph Gezgini'ni kullanarak Koşullu Erişim ilkeleriniz için dayanıklılık varsayılanlarını da yönetebilirsiniz.
Örnek istek URL'si:
PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId
Örnek istek gövdesi:
{
"sessionControls": {
"disableResilienceDefaults": true
}
}
PowerShell
Bu düzeltme eki işlemi, Microsoft.Graph.Authentication modülü yüklendikten sonra Microsoft PowerShell kullanılarak dağıtılabilir. Bu modülü yüklemek için yükseltilmiş bir PowerShell istemi açın ve
Install-Module Microsoft.Graph.Authentication
Gerekli kapsamları isteyerek Microsoft Graph'a bağlanın:
Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>
İstendiğinde kimlik doğrulaması.
PATCH isteği için JSON gövdesini oluşturun:
$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'
Düzeltme eki işlemini yürüt:
Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody
Öneriler
Microsoft dayanıklılık varsayılanlarının etkinleştirilmesini önerir. Doğrudan güvenlik endişeleri olmasa da, müşteriler gerçek zamanlı olarak değil oturumun başında toplanan verileri kullanarak bir kesinti sırasında Yedekleme Kimlik Doğrulama Hizmeti'nin Koşullu Erişim ilkelerini değerlendirmesine izin vermek isteyip istemediklerini değerlendirmelidir.
Oturumun başlangıcından bu yana kullanıcının rolü veya grup üyeliği değişmiş olabilir. Sürekli Erişim Değerlendirmesi (CAE) ile erişim belirteçleri 24 saat geçerlidir, ancak anlık iptal olaylarına tabidir. Yedekleme Kimlik Doğrulama Hizmeti aynı iptal olayları CAE'ye abonedir. Kullanıcının belirteci CAE'nin bir parçası olarak iptal edilirse, kullanıcı kesinti sırasında oturum açamaz. Dayanıklılık varsayılanları etkinleştirildiğinde, kesinti sırasında süresi dolan mevcut oturumlar uzatılır. İlke oturum açma sıklığını zorlamak için bir oturum denetimiyle yapılandırılmış olsa bile oturumlar genişletilir. Örneğin, dayanıklılık varsayılanları etkin olan bir ilke, kullanıcıların bir SharePoint sitesine erişmek için saatte bir yeniden kimlik doğrulamasını gerektirebilir. Kesinti sırasında kullanıcının oturumu, Microsoft Entra Id kullanıcının yeniden kimlik doğrulaması için kullanılamasa bile uzatılabilir.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin