İş yükü kimlikleri için Koşullu Erişim

Koşullu Erişim ilkeleri geçmişte yalnızca SharePoint Online gibi uygulama ve hizmetlere eriştiğinde kullanıcılara uygulanır. Koşullu Erişim ilkelerinin kuruluşa ait hizmet sorumlularına uygulanması için destek kapsamını genişletiyoruz. İş yükü kimlikleri için bu özellik Koşullu Erişim olarak adlandırılır.

İş yükü kimliği, bazen kullanıcı bağlamında bir uygulamanın veya hizmet sorumlusunun kaynaklara erişmesine izin veren bir kimliktir. Bu iş yükü kimlikleri, geleneksel kullanıcı hesaplarından farklıdır:

• Çok faktörlü kimlik doğrulaması gerçekleştirilemiyor.
• Genellikle resmi bir yaşam döngüsü sürecine sahip değildir.
• Kimlik bilgilerini veya gizli bilgilerini bir yerde depolamak gerekir.

Bu farklılıklar, iş yükü kimliklerinin yönetilmesini zorlaştırır ve bu kimlikleri tehlikeye atma riski daha yüksektir.

Önemli

Hizmet sorumluları kapsamındaki Koşullu Erişim ilkelerini oluşturmak veya değiştirmek için İş Yükü Kimlikleri Premium lisansları gereklidir. Uygun lisansları olmayan dizinlerde, iş yükü kimlikleri için mevcut Koşullu Erişim ilkeleri çalışmaya devam eder, ancak değiştirilemez. Daha fazla bilgi için bkz. Microsoft Entra İş Yükü Kimliği.  

Not

İlke, kiracınızda kayıtlı tek kiracı hizmet sorumlularına uygulanabilir. Üçüncü taraf SaaS ve çok kiracılı uygulamalar kapsam dışındadır. Yönetilen kimlikler ilke kapsamında değildir. Bunun yerine yönetilen kimlikler erişim gözden geçirmesine eklenebilir.

Not

Hizmet sorumluları gruplara eklense de, hizmet sorumlusu içeren bir gruba atanan Koşullu Erişim ilkeleri bu hizmet sorumlusu için zorunlu tutulmaz. Bir hizmet sorumlusu için Koşullu Erişim ilkesini zorunlu kılmak için ilkeye doğrudan iş yükü kimliği olarak atanması gerekir.

İş yükü kimlikleri için Koşullu Erişim, hizmet sorumlularını engellemeye olanak tanır:

• Bilinen genel IP aralıklarının dışından.
• Microsoft Entra Kimlik Koruması tarafından algılanan risklere göre.
• Kimlik doğrulama bağlamlarıyla birlikte.

Uygulama

Konum tabanlı Koşullu Erişim ilkesi oluşturma

Hizmet sorumluları için geçerli olan konum tabanlı bir Koşullu Erişim ilkesi oluşturun.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Bu ilke ne için geçerlidir? bölümünde İş yükü kimlikleri'ni seçin.
   2. Ekle'nin altında Hizmet sorumlularını seç'i seçin ve listeden uygun hizmet sorumlularını seçin.
6. Kaynaklar (eski adıyla bulut uygulamaları)Ekle> Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları')> İlke yalnızca bir hizmet sorumlusu belirteç istediğinde uygulanır.
7. Koşullar> altında Herhangi bir konumu ekleyin ve erişime izin vermek istediğiniz Seçili konumları hariç tutun.
8. İzin Ver'in altında Erişimi engelle seçeneği kullanılabilir tek seçenektir. İzin verilen aralığın dışından belirteç isteği yapıldığında erişim engellenir.
9. İlkeniz Yalnızca rapor modunda kaydedilerek yöneticilerin etkileri tahmin etmelerine olanak tanıyabilir veya ilke, ilke Açık olarak etkinleştirilerek uygulanır.
10. İlkenizi tamamlamak için Oluştur'u seçin.

Risk tabanlı Koşullu Erişim ilkesi oluşturma

Hizmet sorumluları için geçerli olan risk tabanlı bir Koşullu Erişim ilkesi oluşturun.

1. En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
2. Entra ID>Koşullu Erişim>Politikaları'na göz atın.
3. Yeni ilke'yi seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Bu ilke ne için geçerlidir? bölümünde İş yükü kimlikleri'ni seçin.
   2. Ekle'nin altında Hizmet sorumlularını seç'i seçin ve listeden uygun hizmet sorumlularını seçin.
6. Kaynaklar (eski adıyla bulut uygulamaları)Ekle> Tüm kaynaklar (eski adıyla 'Tüm bulut uygulamaları')> İlke yalnızca bir hizmet sorumlusu belirteç istediğinde uygulanır.
7. Koşullar altında>Hizmetin temel riski
   1. Yapılandırma düğmesini Evet olarak ayarlayın.
   2. Bu ilkenin tetiklemesini istediğiniz risk düzeylerini seçin.
   3. Bitti'yi seçin.
8. İzin Ver'in altında Erişimi engelle seçeneği kullanılabilir tek seçenektir. Belirtilen risk düzeyleri görüldüğünde erişim engellenir.
9. İlkeniz Yalnızca rapor modunda kaydedilerek yöneticilerin etkileri tahmin etmelerine olanak tanıyabilir veya ilke, ilke Açık olarak etkinleştirilerek uygulanır.
10. İlkenizi tamamlamak için Oluştur'u seçin.

Geri döndür

Bu özelliği geri almak isterseniz, oluşturulan ilkeleri silebilir veya devre dışı bırakabilirsiniz.

Oturum açma günlükleri

Oturum açma günlükleri, hizmet sorumluları için ilkenin nasıl uygulandığını veya yalnızca rapor modu kullanılırken ilkenin beklenen etkisini gözden geçirmek için kullanılır.

1. Entra Id>Monitoring & health>Oturum açma günlükleri>Hizmet sorumlusu oturum açma işlemlerine göz atın.
2. Bir günlük girişi seçin ve değerlendirme bilgilerini görüntülemek için Koşullu Erişim sekmesine tıklayın.

Koşullu Erişim bir Hizmet Sorumlusunu engellediğinde hata nedeni: "Koşullu Erişim ilkeleri nedeniyle erişim engellendi."

Yalnızca rapor modu

Konum tabanlı bir ilkenin sonuçlarını görüntülemek için, olayların yalnızca rapor sekmesine gitmek üzere Oturum açma raporukullanın veya Koşullu Erişim İçgörüleri ve Raporlama çalışma kitabını kullanın.

Risk tabanlı bir ilkenin sonuçlarını görmek için, Oturum açma raporundaki Yalnızca Rapor sekmesine bakın.

Referans

objectID'yi bulma

Hizmet sorumlusunun objectID değerini Microsoft Entra Enterprise Applications'tan alabilirsiniz. Microsoft Entra Uygulama kayıtlarındaki Nesne Kimliği kullanılamaz. Bu tanımlayıcı, hizmet sorumlusunun değil, uygulama kaydının Nesne Kimliğidir.

1. Entra ID>Enterprise uygulamalarına göz atın, kaydettiğiniz uygulamayı bulun.
2. Genel Bakış sekmesinden uygulamanın Nesne Kimliğini kopyalayın. Bu tanımlayıcı, çağrı yapan uygulamayı bulmak için Koşullu Erişim ilkesi tarafından kullanılan hizmet sorumlusuna özgüdür.

Microsoft Grafiği

Microsoft Graph beta uç noktasını kullanarak konum tabanlı yapılandırma için örnek JSON.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Sonraki adımlar

• Koşullu Erişim ilkesinde ağ konumunu kullanma
• Koşullu Erişim yalnızca rapor modu nedir?