Microsoft Entra Id'de korumalı eylemler ekleme, test veya kaldırma
Microsoft Entra Id'deki korumalı eylemler , kullanıcı bir eylem gerçekleştirmeye çalıştığında uygulanan Koşullu Erişim ilkeleri atanmış izinlerdir. Bu makalede korumalı eylemlerin nasıl ekleneceği, testleneceği veya kaldırılacağı açıklanır.
Dekont
Korumalı eylemlerin düzgün yapılandırıldığından ve uygulandığından emin olmak için aşağıdaki sırayla bu adımları gerçekleştirmelisiniz. Bu sırayı izlemezseniz, yeniden kimlik doğrulaması için yinelenen istekler alma gibi beklenmeyen davranışlarla karşılaşabilirsiniz.
Önkoşullar
Korumalı eylemleri eklemek veya kaldırmak için şunlara sahip olmanız gerekir:
- Microsoft Entra Kimlik P1 veya P2 lisansı
- Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rolü
1. Adım: Koşullu Erişim ilkesini yapılandırma
Korumalı eylemler koşullu erişim kimlik doğrulaması bağlamı kullanır, bu nedenle bir kimlik doğrulama bağlamı yapılandırmanız ve bunu bir Koşullu Erişim ilkesine eklemeniz gerekir. Kimlik doğrulama bağlamı olan bir ilkeniz zaten varsa sonraki bölüme atlayabilirsiniz.
Microsoft Entra yönetim merkezinde oturum açın.
Koruma>Koşullu Erişim>Kimlik Doğrulaması bağlamı>Kimlik doğrulaması bağlamı'ni seçin.
Kimlik doğrulaması bağlamı ekle bölmesini açmak için Yeni kimlik doğrulama bağlamı'nı seçin.
Bir ad ve açıklama girip Kaydet'i seçin.
Yeni ilke oluşturmak için İlkeler>Yeni ilke'yi seçin.
Yeni bir ilke oluşturun ve kimlik doğrulama bağlamınızı seçin.
Daha fazla bilgi için bkz . Koşullu Erişim: Bulut uygulamaları, eylemler ve kimlik doğrulama bağlamı.
2. Adım: Korumalı eylemler ekleme
Koruma eylemleri eklemek için, Koşullu Erişim kimlik doğrulaması bağlamı kullanarak bir veya daha fazla izine Koşullu Erişim ilkesi atayın.
Koruma>Koşullu Erişim>İlkeleri'ni seçin.
Korumalı eyleminizle kullanmayı planladığınız Koşullu Erişim ilkesinin durumunun Kapalı veya Yalnızca Rapor değil Açık olarak ayarlandığından emin olun.
Kimlik>Rolleri ve yöneticiler>Korumalı eylemler'i seçin.
Yeni bir korumalı eylem eklemek için Korumalı eylemler ekle'yi seçin.
Korumalı eylemler ekle devre dışıysa, Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rolüne atandığınızdan emin olun. Daha fazla bilgi için bkz . Korumalı eylemlerle ilgili sorunları giderme.
Yapılandırılmış bir Koşullu Erişim kimlik doğrulaması bağlamı seçin.
İzinleri seç'i seçin ve Koşullu Erişim ile korunacak izinleri seçin.
Ekle'yi seçin.
İşlem tamamlandığında Kaydet'i seçin.
Yeni korumalı eylemler, korumalı eylemler listesinde görünür
3. Adım: Korumalı eylemleri test edin
Bir kullanıcı korumalı bir eylem gerçekleştirdiğinde Koşullu Erişim ilkesi gereksinimlerini karşılaması gerekir. Bu bölümde, bir ilkeyi karşılaması istenen bir kullanıcının deneyimi gösterilir. Bu örnekte kullanıcının Koşullu Erişim ilkelerini güncelleştirebilmesi için önce bir FIDO güvenlik anahtarıyla kimlik doğrulaması gerekir.
İlkeyi karşılaması gereken bir kullanıcı olarak Microsoft Entra yönetim merkezinde oturum açın.
Koruma>Koşullu Erişim'i seçin.
Görüntülemek için bir Koşullu Erişim ilkesi seçin.
Kimlik doğrulama gereksinimleri karşılanmamış olduğundan ilke düzenleme devre dışı bırakıldı. Sayfanın alt kısmında aşağıdaki not yer aldı:
Düzenleme, ek bir erişim gereksinimiyle korunur. Yeniden kimlik doğrulaması yapmak için buraya tıklayın.
Yeniden kimlik doğrulaması yapmak için buraya tıklayın'ı seçin.
Tarayıcı Microsoft Entra oturum açma sayfasına yeniden yönlendirildiğinde kimlik doğrulama gereksinimlerini tamamlayın.
Kimlik doğrulama gereksinimleri tamamlandıktan sonra ilke düzenlenebilir.
İlkeyi düzenleyin ve değişiklikleri kaydedin.
Korumalı eylemleri kaldırma
Koruma eylemlerini kaldırmak için koşullu erişim ilkesi gereksinimlerini izinden kaldırın.
Kimlik>Rolleri ve yöneticiler>Korumalı eylemler'i seçin.
Atamayı kaldırma izni Koşullu Erişim ilkesini bulun ve seçin.
Araç çubuğunda Kaldır'ı seçin.
Korumalı eylemi kaldırdıktan sonra, iznin Koşullu Erişim gereksinimi olmaz. İzine yeni bir Koşullu Erişim ilkesi atanabilir.
Microsoft Graph
Korumalı eylemler ekleme
Korumalı eylemler, bir izne kimlik doğrulama bağlamı değeri atanarak eklenir. Kiracıda kullanılabilen kimlik doğrulama bağlamı değerleri authenticationContextClassReference API'sine çağrılarak bulunabilir.
Kimlik doğrulama bağlamı, unifiedRbacResourceAction API beta uç noktası kullanılarak bir izne atanabilir:
https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/
Aşağıdaki örnek, izinde microsoft.directory/conditionalAccessPolicies/delete
ayarlanan kimlik doğrulama bağlam kimliğinin nasıl alındığını gösterir.
GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable
Özelliği isAuthenticationContextSettable
true olarak ayarlanmış kaynak eylemleri kimlik doğrulama bağlamını destekler. Özelliğin authenticationContextId
değerine sahip kaynak eylemleri, eyleme atanmış kimlik doğrulaması bağlam kimliğidir.
ve authenticationContextId
özelliklerini görüntülemek isAuthenticationContextSettable
için, kaynak eylemi API'sine istekte bulunurken select deyimine dahil edilmeleri gerekir.
Korumalı eylemlerle ilgili sorunları giderme
Belirti - Kimlik doğrulama bağlamı değeri seçilemiyor
Koşullu Erişim kimlik doğrulaması bağlamı seçmeye çalışırken seçilebilecek değer yoktur.
Neden
Kiracıda Koşullu Erişim kimlik doğrulaması bağlam değeri etkinleştirilmedi.
Çözüm
Yeni bir kimlik doğrulama bağlamı ekleyerek kiracı için kimlik doğrulama bağlamını etkinleştirin. Uygulamada yayımla seçeneğinin işaretli olduğundan emin olun; böylece değer seçilebilir. Daha fazla bilgi için bkz . Kimlik doğrulama bağlamı.
Belirti - İlke tetiklenmiyor
Bazı durumlarda, korumalı bir eylem eklendikten sonra kullanıcılar beklendiği gibi istenmeyebilir. Örneğin, ilke çok faktörlü kimlik doğrulaması gerektiriyorsa, kullanıcı oturum açma istemini göremeyebilir.
Neden 1
Kullanıcı korumalı eylem için kullanılan Koşullu Erişim ilkelerine atanmadı.
Çözüm 1
Kullanıcıya ilke atandığını denetlemek için Koşullu Erişim Durum aracını kullanın. Aracı kullanırken, korumalı eylemle birlikte kullanılan kullanıcıyı ve kimlik doğrulama bağlamını seçin. Durum'u seçin ve beklenen ilkenin uygulanacak ilkeler tablosunda listelendiğini doğrulayın. İlke geçerli değilse, ilke kullanıcı atama koşulunu denetleyin ve kullanıcıyı ekleyin.
Neden 2
Kullanıcı daha önce ilkeyi karşılamıştır. Örneğin, aynı oturumun önceki bölümlerinde tamamlanan çok faktörlü kimlik doğrulaması.
Çözüm 2
Sorun gidermek için Microsoft Entra oturum açma olaylarını denetleyin. Oturum açma olayları, kullanıcının çok faktörlü kimlik doğrulamasını zaten tamamlayıp tamamlamadığı da dahil olmak üzere oturumla ilgili ayrıntıları içerir. Oturum açma günlükleriyle ilgili sorunları giderirken, bir kimlik doğrulama bağlamı istendiğinden emin olmak için ilke ayrıntıları sayfasını denetlemek de yararlı olur.
Belirti - İlke hiçbir zaman karşılanamadı
Koşullu Erişim ilkesinin gereksinimlerini gerçekleştirmeye çalıştığınızda, ilke hiçbir zaman karşılanmaz ve yeniden kimlik doğrulaması isteği almaya devam eder.
Neden
Koşullu Erişim ilkesi oluşturulmadı veya ilke durumu Kapalı veya Yalnızca rapor.
Çözüm
Yoksa Koşullu Erişim ilkesini oluşturun veya durumu Açık olarak ayarlayın.
Korumalı eylem ve yeniden kimlik doğrulama istekleri nedeniyle Koşullu Erişim sayfasına erişemiyorsanız, Koşullu Erişim sayfasını açmak için aşağıdaki bağlantıyı kullanın.
Belirti - Korumalı eylemler eklemeye erişim yok
Oturum açtığınızda korumalı eylemleri ekleme veya kaldırma izniniz yoktur.
Neden
Korumalı eylemleri yönetme izniniz yok.
Çözüm
Koşullu Erişim Yönetici istrator veya Güvenlik Yönetici istrator rolüne atandığınızdan emin olun.
Belirti - Korumalı eylem gerçekleştirmek için PowerShell kullanılarak döndürülen hata
Korumalı bir eylem gerçekleştirmek için PowerShell kullanılırken bir hata döndürülür ve Koşullu Erişim ilkesini karşılamaya yönelik bir istem yoktur.
Neden
Microsoft Graph PowerShell, ilke istemlerine izin vermek için gereken adım adım kimlik doğrulamasını destekler. Azure ve Azure AD Graph PowerShell, adım adım kimlik doğrulaması için desteklenmez.
Çözüm
Microsoft Graph PowerShell kullandığınızdan emin olun.