Aracılığıyla paylaş

Koşullu Erişim İyileştirme Aracısı Ayarları

Koşullu Erişim İyileştirme Aracısı, kuruluşların boşluklar, çakışmalar ve özel durumlar için Koşullu Erişim ilkelerini analiz ederek güvenlik duruşlarını geliştirmelerine yardımcı olur. Koşullu Erişim bir kuruluşun Sıfır Güven stratejisinin merkezi bir bileşeni haline geldiğinden, aracının özellikleri kuruluşunuzun benzersiz gereksinimlerini karşılayacak şekilde yapılandırılabilir olmalıdır.

Bu makalede açıklanan aracı ayarları tetikleyiciler, bildirimler ve kapsam gibi standart seçenekleri kapsar. Ancak ayarlar özel yönergeler, Intune tümleştirmeleri ve izinler gibi gelişmiş seçenekleri de içerir.

Önemli

Koşullu Erişim İyileştirme Aracısı'ndaki ServiceNow tümleştirmesi ve dosya yükleme özelliği şu anda ÖNIZLEME aşamasındadır. Bu bilgiler, yayından önce önemli ölçüde değiştirilebilen yayın öncesi bir ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Aracı ayarlarını yapılandırma

Ayarlara Microsoft Entra yönetim merkezinden iki yerden erişebilirsiniz:

  • Aracılar>Koşullu Erişim İyileştirme Aracısı>Ayarlarından.
  • Koşullu Erişim'den>, İlke özeti> altında Koşullu Erişim iyileştirme aracısı kartını seçin.

Koşullu Erişim İyileştirme aracısı ayarlarında tetikleyici seçeneğinin ekran görüntüsü.

Tüm ayarlarda gezinmek için sol taraftaki menüden kategoriyi seçin. Herhangi bir değişiklik yaptıktan sonra sayfanın en altındaki Kaydet düğmesini seçin.

Tetikleyici

Aracı, ilk yapılandırıldığı zamana göre 24 saatte bir çalışacak şekilde ayarlanmıştır. Aracıyı istediğiniz zaman el ile çalıştırabilirsiniz.

Capabilities

Özellikler kategorisi gözden geçirmeniz gereken önemli ayarları içerir.

  • İzlenecek Microsoft Entra nesneleri: Aracın ilke önerilerinde bulunurken neleri izlemesi gerektiğini belirtmek için onay kutularını kullanın. Varsayılan olarak, aracı önceki 24 saatlik süre boyunca kiracınızda hem yeni kullanıcıları hem de uygulamaları bulmaya çalışır.
  • Aracı özellikleri: Koşullu Erişim iyileştirme aracısı varsayılan olarak yalnızca rapor modunda yeni ilkeler oluşturabilir. Bir yöneticinin yeni ilkeyi oluşturulmadan önce onaylaması için bu ayarı değiştirebilirsiniz. İlke hala yalnızca rapor modunda oluşturulur, ancak yalnızca yönetici onayı sonrasında oluşturulur. İlke etkisini gözden geçirdikten sonra, ilkeyi doğrudan aracı deneyiminden veya Koşullu Erişim'den açabilirsiniz.
  • Aşamalı dağıtım: Aracı yalnızca rapor modunda yeni bir ilke oluşturduğunda ve bu ilke aşamalı dağıtım ölçütlerini karşıladığında, ilke aşamalar halinde dağıtılır, böylece yeni ilkenin etkisini izleyebilirsiniz. Aşamalı dağıtım varsayılan olarak açıktır. Daha fazla bilgi için bkz. Koşullu Erişim İyileştirme Aracısı Aşamalı Dağıtımı.

Koşullu Erişim İyileştirme aracısı Özellikler ayarlarının ekran görüntüsü.

Notifications

Koşullu Erişim iyileştirme aracısı, Microsoft Teams aracılığıyla belirli bir alıcı kümesine bildirim gönderebilir. Microsoft Teams'deki Koşullu Erişim aracı uygulamasıyla, aracı yeni bir öneri ortaya çıktığında alıcılar doğrudan Teams sohbetlerinde bildirim alır.

Aracı uygulamasını Microsoft Teams'e eklemek için:

  1. Microsoft Teams'de sol gezinti menüsünden Uygulamalar'ı seçin ve Koşullu Erişim aracısını arayıp seçin.

    Teams'de Koşullu Erişim uygulaması düğmesinin ekran görüntüsü.

  2. Ekle düğmesini ve ardından düğmesini seçerek uygulamayı açın.

  3. Uygulamaya erişimi kolaylaştırmak için sol gezinti menüsündeki uygulama simgesine sağ tıklayın ve Sabitle'yi seçin.

Koşullu Erişim iyileştirme aracısı ayarlarında bildirimleri yapılandırmak için:

  1. Koşullu Erişim iyileştirme aracısı ayarlarında Kullanıcıları ve grupları seçin bağlantısını seçin.

  2. Bildirim almak istediğiniz kullanıcıları veya grupları seçin ve ardından Seç düğmesini seçin.

    Bildirimler için kullanıcıları ve grupları seçmeye yönelik Koşullu Erişim aracısı ayarının ekran görüntüsü.

  3. Ana Ayarlar sayfasının alt kısmında Kaydet düğmesini seçin.

Bildirim almak için en fazla 10 alıcı seçebilirsiniz. Bildirimleri almak için bir grup seçebilirsiniz, ancak bu grubun üyeliği 10 kullanıcıyı aşamaz. 10'dan az kullanıcısı olan ancak daha sonra eklenen bir grup seçerseniz, grup artık bildirim almaz. Benzer şekilde, bildirimler tek tek kullanıcıların veya grupların birleşimi gibi yalnızca beş nesneye gönderilebilir. Bildirimleri almayı durdurmak için, kullanıcı nesnenizi veya içinde yer aldığınız grubu alıcının listesinden kaldırın.

Şu anda aracının iletişimi tek yönlüdür, bu nedenle bildirimleri alabilirsiniz ancak Microsoft Teams'de bu bildirimlere yanıt veremezsiniz. Bir öneri üzerinde işlem yapmak için Sohbetten Öneriyi gözden geçir'i seçerek Microsoft Entra yönetim merkezinde Koşullu Erişim İyileştirme Aracısı'nı açın.

Teams'de Koşullu Erişim aracısı bildirim iletisinin ekran görüntüsü.

Bilgi kaynakları

Koşullu Erişim İyileştirme Aracısı, kuruluşunuzun benzersiz kurulumuna göre uyarlanmış önerilerde bulunmak için iki farklı bilgi kaynağından çekilebilir.

Özel yönergeler

İsteğe bağlı Özel Yönergeler alanını kullanarak ilkeyi gereksinimlerinize göre uyarlayabilirsiniz. Bu ayar, yürütmesinin bir parçası olarak aracıya bir talimat sağlamanıza olanak tanır. Bu yönergeler şunları yapmak için kullanılabilir:

  • Belirli kullanıcıları, grupları ve rolleri dahil et veya hariç tut
  • Nesneleri aracı tarafından göz önünde bulundurulmasını veya Koşullu Erişim ilkesine eklenmesini hariç tutma
  • Belirli bir grubu bir ilkeden dışlama, MFA gerektirme veya mobil uygulama yönetimi ilkeleri gerektirme gibi belirli ilkelere özel durumlar uygulayın.

Özel yönergelere adı veya nesne kimliğini girebilirsiniz. Her iki değer de doğrulanır. Grubun adını eklerseniz, o grubun nesne kimliği sizin adınıza otomatik olarak eklenir. Örnek özel yönergeler:

  • ""Break Glass" grubundaki kullanıcıları çok faktörlü kimlik doğrulaması gerektiren herhangi bir ilkenin dışında tutun."
  • "Nesne Kimliği dddddddd-3333-4444-5555-eeeeeeeee olan kullanıcıyı tüm ilkelerden dışla"

Kuruluşunuzda, çok sayıda konuk kullanıcı varsa ve aracının bu kullanıcıları standart Koşullu Erişim ilkelerinize eklemeyi önermesini istemiyorsanız, bu yaygın bir durum olabilir. Aracı çalıştırılırsa ve önerilen ilkelerle kapsam altında olmayan yeni konuk kullanıcıları görürse, SCU'lar, bu konuk kullanıcıların gereksiz politikalarla kapsam altına alınmasını önermek için tüketilir. Konuk kullanıcıların aracı tarafından değerlendirilmesini önlemek için:

  1. burada "Konuklar" (user.userType -eq "guest")adlı dinamik bir grup oluşturun.
  2. Gereksinimlerinize göre özel bir yönerge ekleyin.
    • ""Konuklar" grubunu temsilcinin dikkate almasından hariç tutun."
    • ""Konuklar" grubunu herhangi bir mobil uygulama yönetimi ilkesinden hariç tutun."

Özel yönergeleri kullanma hakkında daha fazla bilgi için aşağıdaki videoya göz atın.

Aracı sık sık güncelleştirildiğinden, videodaki kullanıcı arabirimi öğeleri gibi bazı içerikler değiştirilebilir.

Dosyalar (Önizleme)

Koşullu Erişim İyileştirme Aracısı, kuruluşunuz hakkında belirli yönergeler sağlayan bir mekanizma içerir. Bu yönergeler Koşullu Erişim ilkesi adlandırma kuralları, benzersiz yordamlar ve kuruluş yapısı gibi bilgileri içerebilir, böylece aracı önerileri ortamınızla daha da ilgilidir. Bu yüklenen dosyalar etmen için bilgi bankasını oluşturur. Daha fazla bilgi için bkz . Koşullu Erişim İyileştirme Aracısı bilgi bankası.

Önemli

Verileriniz aracıda kalır ve model eğitimi için kullanılmaz.

Bilgi bankasına dosya eklemek için:

  1. Koşullu Erişim İyileştirme Aracısı>Ayarları>Dosyaları'na göz atın.
  2. Yükle düğmesini seçin.
  3. Dosyayı açılan panele sürükleyip bırakın veya Dosya yükle alanını seçerek bilgisayarınızdaki dosyaya gidin.

Aracı, gerekli bilgileri içerdiğinden emin olmak için dosyayı işler ve analiz eder.

Plugins

Koşullu Erişim İyileştirme Aracısı, Intune ve Genel Güvenli Erişim yerleşik tümleştirmelerine ek olarak, mevcut iş akışlarınızı kolaylaştırmak için dış tümleştirmeler de sağlar.

ServiceNow tümleştirmesi (Önizleme)

Güvenlik Copilot için ServiceNow eklentisini kullanan kuruluşlar artık koşullu erişim iyileştirme aracısının aracı tarafından oluşturulan her yeni öneri için ServiceNow değişiklik istekleri oluşturmasını sağlayabilir. Bu özellik, BT ve güvenlik ekiplerinin mevcut ServiceNow iş akışlarında aracı önerilerini izlemesine, gözden geçirmesine ve onaylamasına veya reddetmesine olanak tanır. Şu anda yalnızca değişiklik istekleri (CHG) desteklenir.

ServiceNow tümleştirmesini kullanmak için kuruluşunuzun ServiceNow eklentisi yapılandırılmış olmalıdır.

ServiceNow tümleştirme ayarlarının ekran görüntüsü.

Koşullu Erişim iyileştirme aracısı ayarlarında ServiceNow eklentisi açık olduğunda, aracıdan gelen her yeni öneri bir ServiceNow değişiklik isteği oluşturur. Değişiklik isteği, ilke türü, etkilenen kullanıcılar veya gruplar ve önerinin arkasındaki gerekçe gibi öneriyle ilgili ayrıntıları içerir. Tümleştirme ayrıca bir geri bildirim döngüsü sağlar: Aracı, ServiceNow değişiklik isteğinin durumunu izler ve değişiklik isteği onaylandığında değişikliği otomatik olarak uygulayabilir.

Aracı önerisi içinde ServiceNow tümleştirmesinin ekran görüntüsü.

Permissions

Aracı ayarlarının bu bölümünde, aracın hangi kimlik altında çalıştığı ve bu kimliğin kullanarak çalıştırmak için gereken izinler açıklanmaktadır.

Aracı kimliği

Koşullu Erişim İyileştirme Aracısı artık Microsoft Entra Aracısı Kimliğini destekleyerek aracının belirli bir kullanıcının kimliği yerine kendi kimliği altında çalışmasına olanak tanır. Bu özellik güvenliği artırır, yönetimi basitleştirir ve daha fazla esneklik sağlar.

Microsoft Entra Aracı Kimliği'nde aracı ayrıntılarını görüntülemek için Aracı kimliğini yönet'i seçin.

İzinler ve kimlikler için aracı ayarları görünümünün ekran görüntüsü.png

  • Yeni yüklemelerde, ajan kimliği varsayılan olarak kullanılır.
  • Mevcut yüklemeler, kullanıcı bağlamından herhangi bir zamanda bir aracı kimliği altında çalışacak şekilde geçiş yapabilir.
    • Bu değişiklik raporlamayı veya analizi etkilemez.
    • Mevcut ilkeler ve öneriler etkilenmez.
    • Müşteriler eski kullanıcı bağlamlarına geri dönemez.
    • Güvenlik Yöneticisi rolüne sahip yöneticiler bu değişikliği yapabilir. Aracı sayfasındaki başlık iletisinden veya aracı ayarlarının Kimlik ve izinler bölümünden Aracı kimliği oluştur'u seçin.

Koşullu Erişim İyileştirme Aracısı'nı açmak ve kullanmak için Güvenlik Yardımcı Pilotu rolleri de gerekir. Güvenlik Yöneticisi varsayılan olarak Güvenlik Yardımcı Pilotu erişimine sahiptir. Koşullu Erişim Yöneticilerine Güvenlik Yardımcı Pilotu erişimi atayabilirsiniz. Bu yetkilendirme, Koşullu Erişim Yöneticilerinize aracıyı da kullanma olanağı sağlar. Daha fazla bilgi için Güvenlik Yardımcı Pilotu erişimi atama başlığına bakın.

Aracı izinleri

Görevlerini gerçekleştirmek için aracı kimliği şu izinleri kullanır. Aracı kimliğini oluşturduğunuzda bu izinler otomatik olarak atanır.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

Koşullu Erişim İyileştirme Aracısı, aracıyı kullanmak için rol tabanlı erişim denetimini kullanır. Aracıyı kullanmak için gereken en düşük ayrıcalıklı rol Koşullu Erişim Yöneticisi'dir.

  • Last updated on