Koşullu Erişim ilkesinde konum koşulunu kullanma

Koşullu Erişim ilkeleri, kararlar almak ve kuruluş ilkelerini zorunlu kılmak için sinyalleri birleştiren en temel if-then deyimidir. Bu sinyallerden biri konum.

Conceptual Conditional signal plus decision to get enforcement

IPv6, Microsoft Entra Id'ye geliyor blog gönderisinde belirtildiği gibi, artık Microsoft Entra hizmetlerinde IPv6'yı destekliyoruz.

Kuruluşlar aşağıdaki gibi yaygın görevler için bu konumları kullanabilir:

  • Şirket ağı dışındayken bir hizmete erişen kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme.
  • Kuruluşunuzun hiçbir zaman faaliyet göstermemesine neden olan belirli ülkelerden veya bölgelerden bir hizmete erişen kullanıcıların erişimini engelleme.

Konum, bir istemcinin Microsoft Entra Id veya Microsoft Authenticator uygulaması tarafından sağlanan GPS koordinatlarına sağladığı genel IP adresi kullanılarak bulunur. Koşullu Erişim ilkeleri varsayılan olarak tüm IPv4 ve IPv6 adreslerine uygulanır. IPv6 desteği hakkında daha fazla bilgi için Microsoft Entra Id'de IPv6 desteği makalesine bakın.

İpucu

Koşullu Erişim ilkeleri, birinci faktör kimlik doğrulaması tamamlandıktan sonra uygulanır. Koşullu Erişim, bir kuruluşun hizmet reddi (DoS) saldırıları gibi senaryolar için ilk savunma hattı olarak tasarlanmamıştır, ancak erişimi belirlemek için bu olaylardan gelen sinyalleri kullanabilir.

Adlandırılmış konumlar

Konumlar, Koruma>Koşullu Erişim>Adlandırılmış konumları altında bulunur. Bu adlandırılmış ağ konumları, kuruluşun genel merkezi ağ aralıkları, VPN ağ aralıkları veya engellemek istediğiniz aralıklar gibi konumları içerebilir. Adlandırılmış konumlar IPv4 ve IPv6 adres aralıkları veya ülkelere/bölgelere göre tanımlanır.

IPv4 ve IPv6 adres aralıkları

Adlandırılmış konumu IPv4/IPv6 adres aralıklarına göre tanımlamak için şunları sağlamanız gerekir:

  • Konum için bir Ad.
  • Bir veya daha fazla IP aralığı.
  • İsteğe bağlı olarak Güvenilen konum olarak işaretle.

New IP locations

IPv4/IPv6 adres aralıkları tarafından tanımlanan adlandırılmış konumlar aşağıdaki sınırlamalara tabidir:

  • En fazla 195 adlandırılmış konum yapılandırın.
  • Adlandırılmış konum başına en fazla 2000 IP aralığı yapılandırın.
  • Hem IPv4 hem de IPv6 aralıkları desteklenir.
  • Bir aralıkta yer alan IP adreslerinin sayısı sınırlıdır. IP aralığı tanımlarken yalnızca /8'den büyük CIDR maskelerine izin verilir.

Güvenilen konumlar

Kuruluşunuzun genel ağ aralıkları gibi konumlar güvenilir olarak işaretlenebilir. Bu işaret, özellikler tarafından çeşitli şekillerde kullanılır.

  • Koşullu Erişim ilkeleri bu konumları içerebilir veya dışlayabilir.
  • Güvenilen adlandırılmış konumlardan yapılan oturum açma işlemleri, Microsoft Entra Kimlik Koruması risk hesaplamasının doğruluğunu artırır ve güvenilen olarak işaretlenmiş bir konumdan kimlik doğrulaması yaptıklarında kullanıcının oturum açma riskini azaltır.
  • Güvenilir olarak işaretlenmiş konumlar silinemez. Silmeye çalışmadan önce güvenilen gösterimi kaldırın.

Uyarı

Ağı biliyor ve güvenilir olarak işaretleseniz bile, uygulanan ilkelerin dışında tutmanız gerektiği anlamına gelmez. açıkça Sıfır Güven mimarisinin temel ilkesi olduğunu doğrulayın. Sıfır Güven ve kuruluşunuzu kılavuz ilkelere hizalamanın diğer yolları hakkında daha fazla bilgi edinmek için Sıfır Güven Rehberlik Merkezi'ne bakın.

Ülkeler/bölgeler

Kuruluşlar IP adresine veya GPS koordinatlarına göre ülke/bölge konumunu belirleyebilir.

Adlandırılmış konumu ülkeye/bölgeye göre tanımlamak için şunları sağlamanız gerekir:

  • Konum için bir Ad.
  • Konumu IP adresine veya GPS koordinatlarına göre belirlemeyi seçin.
  • Bir veya daha fazla ülke/bölge ekleyin.
  • İsteğe bağlı olarak Bilinmeyen ülkeleri/bölgeleri dahil et'i seçin.

Country as a location

Konumu IP adresine göre belirle'yi seçerseniz sistem, kullanıcının oturum açmakta olduğu cihazın IP adresini toplar. Kullanıcı oturum açtığında, Microsoft Entra Id kullanıcının IPv4 veya IPv6 adresini (3 Nisan 2023'den itibaren) bir ülke veya bölgeye çözümler ve eşleme düzenli aralıklarla güncelleştirilir. Kuruluşlar, iş yapmadıkları ülkelerden/bölgelerden gelen trafiği engellemek için ülkeler/bölgeler tarafından tanımlanan adlandırılmış konumları kullanabilir.

Konumu GPS koordinatlarına göre belirle'yi seçerseniz kullanıcının mobil cihazında Microsoft Authenticator uygulamasının yüklü olması gerekir. Sistem saatte bir kullanıcının Microsoft Authenticator uygulamasıyla iletişim kurar ve kullanıcının mobil cihazının GPS konumunu toplar.

Kullanıcının Microsoft Authenticator uygulamasından konumunu ilk kez paylaşması gerektiğinde, kullanıcı uygulamada bir bildirim alır. Kullanıcının uygulamayı açması ve konum izinleri vermesi gerekir. Sonraki 24 saat boyunca, kullanıcı kaynağa erişmeye devam ediyorsa ve uygulamaya arka planda çalışma izni verildiyse, cihazın konumu saatte bir kez sessizce paylaşılır.

  • 24 saat sonra kullanıcının uygulamayı açması ve bildirimi onaylaması gerekir.
  • Microsoft Authenticator uygulamasında numara eşleştirme veya ek bağlam etkinleştirilen kullanıcılar bildirimleri sessizce almaz ve bildirimleri onaylamak için uygulamayı açmaları gerekir.

Kullanıcı GPS konumunu her paylaştığında uygulama jailbreak algılaması yapar (Intune MAM SDK'sı ile aynı mantığı kullanarak). Cihaz jailbreak uygulanmışsa, konum geçerli kabul edilmez ve kullanıcıya erişim verilmez. Android'de Microsoft Authenticator uygulaması, jailbreak algılamayı kolaylaştırmak için Google Play Bütünlük API'sini kullanır. Google Play Bütünlük API'si kullanılamıyorsa istek reddedilir ve Koşullu Erişim ilkesi devre dışı bırakılmadığı sürece kullanıcı istenen kaynağa erişemez. Microsoft Authenticator uygulaması hakkında daha fazla bilgi için Microsoft Authenticator uygulaması hakkında sık sorulan sorular makalesine bakın.

Not

Yalnızca rapor modunda GPS tabanlı adlandırılmış konumlara sahip bir Koşullu Erişim ilkesi, kullanıcıların oturum açmaları engellenmese bile GPS konumlarını paylaşmalarını ister.

GPS konumu parolasız kimlik doğrulama yöntemleriyle çalışmaz.

Birden çok Koşullu Erişim ilkesi, tümü uygulanmadan önce kullanıcılardan GPS konumlarını isteyebilir. Koşullu Erişim ilkelerinin uygulanma şekli nedeniyle, konum denetimini geçen ancak başka bir ilkeyi başarısız olan bir kullanıcıya erişim reddedilebilir. İlke uygulama hakkında daha fazla bilgi için Koşullu Erişim ilkesi oluşturma makalesine bakın.

Önemli

Kullanıcılar saatte bir Microsoft Entra Id'nin Authenticator uygulamasında konumlarını denetlediğini bildiren istemler alabilir. Önizleme yalnızca bu davranışın kabul edilebilir olduğu veya erişimin belirli bir ülke/bölgeyle kısıtlanması gereken çok hassas uygulamaları korumak için kullanılmalıdır.

Değiştirilmiş konuma sahip istekleri reddetme

Kullanıcılar iOS ve Android cihazlar tarafından bildirilen konumu değiştirebilir. Sonuç olarak, Microsoft Authenticator konum tabanlı Koşullu Erişim ilkeleri için güvenlik temelini güncelleştirmektedir. Authenticator, kullanıcının Authenticator'ın yüklü olduğu mobil cihazın gerçek GPS konumundan farklı bir konum kullandığı kimlik doğrulamalarını reddeder.

Authenticator'ın Kasım 2023 sürümünde, cihazlarının konumunu değiştiren kullanıcılar konum tabanlı kimlik doğrulamasını denediklerinde Authenticator'da bir reddetme iletisi alır. Ocak 2024'ten itibaren, eski Authenticator sürümlerini çalıştıran tüm kullanıcıların konum tabanlı kimlik doğrulaması engellenir:

  • Android'de Authenticator sürüm 6.2309.6329 veya öncesi
  • iOS'ta Authenticator sürüm 6.7.16 veya öncesi

Authenticator'ın eski sürümlerini çalıştıran kullanıcıları bulmak için Microsoft Graph API'lerini kullanın.

Bilinmeyen ülkeleri/bölgeleri dahil et

Bazı IP adresleri belirli bir ülke veya bölgeyle eşlenemez. Bu IP konumlarını yakalamak için Coğrafi konum tanımlarken Bilinmeyen ülkeleri/bölgeleri dahil et kutusunu işaretleyin. Bu seçenek, bu IP adreslerinin adlandırılmış konuma dahil edilmesi gerekip gerekmediğini seçmenize olanak tanır. Adlandırılmış konumu kullanan ilke bilinmeyen konumlara uygulanacaksa bu ayarı kullanın.

MFA güvenilen IP'lerini yapılandırma

Ayrıca, kuruluşunuzun yerel intranetini temsil eden IP adresi aralıklarını çok faktörlü kimlik doğrulama hizmeti ayarlarında da yapılandırabilirsiniz. Bu özellik en fazla 50 IP adresi aralığı yapılandırmanızı sağlar. IP adresi aralıkları CIDR biçimindedir. Daha fazla bilgi için bkz. Güvenilen IP'ler.

Güvenilen IP'leri yapılandırdıysanız, bunlar konum koşulu için konumlar listesinde MFA Güvenilen IP'leri olarak gösterilir.

Çok faktörlü kimlik doğrulamasını atlama

Çok faktörlü kimlik doğrulama hizmeti ayarları sayfasında, intranetimdeki federasyon kullanıcılarından gelen istekler için çok faktörlü kimlik doğrulamasını atla'yı seçerek şirket intranet kullanıcılarını tanımlayabilirsiniz. Bu ayar, AD FS tarafından verilen şirket içi ağ talebine güvenilmesi ve kullanıcının şirket ağında olduğunu belirlemek için kullanılması gerektiğini gösterir. Daha fazla bilgi için bkz . Koşullu Erişim kullanarak Güvenilen IP'ler özelliğini etkinleştirme.

Bu seçeneği işaretledikten sonra, adlandırılmış konum MFA Güvenilen IP'leri de dahil olmak üzere, bu seçenek belirlenmiş tüm ilkeler için geçerli olur.

Uzun süreli oturum ömrü olan mobil ve masaüstü uygulamaları için Koşullu Erişim düzenli aralıklarla yeniden değerlendirilir. Varsayılan değer saatte bir kezdir. Şirket içi ağ talebi yalnızca ilk kimlik doğrulaması sırasında verildiğinde, güvenilir IP aralıklarının bir listesi olmayabilir. Bu durumda, kullanıcının hala şirket ağında olup olmadığını belirlemek daha zordur:

  1. Kullanıcının IP adresinin güvenilen IP aralıklarından birinde olup olmadığını denetleyin.
  2. Kullanıcının IP adresinin ilk üç sekizlisinin, ilk kimlik doğrulamasının IP adresinin ilk üç sekizlisi ile eşleşip eşleşmediğini denetleyin. IP adresi, şirket içi ağ talebi ilk kez verildiği ve kullanıcı konumu doğrulandığında ilk kimlik doğrulamasıyla karşılaştırılır.

Her iki adım da başarısız olursa, kullanıcının artık güvenilir ip üzerinde olmadığı kabul edilir.

Konumları tanımlama

  1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.
  2. Koruma>Koşullu Erişim>Adlandırılmış konumları'na göz atın.
  3. Yeni konum'u seçin.
  4. Konumunuza bir ad verin.
  5. Bu konumu veya Ülke/Bölgeleri oluşturan, dışarıdan erişilebilen belirli IPv4 adres aralıklarını biliyorsanız IP aralıklarını seçin.
    1. IP aralıklarını belirtin veya belirttiğiniz konum için Ülkeler/Bölgeler'i seçin.
      • Ülkeler/Bölgeler'i seçerseniz, isteğe bağlı olarak bilinmeyen alanları eklemeyi seçebilirsiniz.
  6. Kaydet'i seçin

İlkedeki konum koşulu

Konum koşulunu yapılandırırken şunları ayırt edebilirsiniz:

  • Herhangi bir konum
  • Tüm güvenilen konumlar
  • Tüm Uyumlu Ağ konumları
  • Seçili konumlar

Herhangi bir konum

Varsayılan olarak, Herhangi bir konum seçildiğinde bir ilkenin tüm IP adreslerine uygulanmasına neden olur ve bu da İnternet'te herhangi bir adres anlamına gelir. Bu ayar, adlandırılmış konum olarak yapılandırdığınız IP adresleriyle sınırlı değildir. Herhangi bir konum'u seçtiğinizde, belirli konumları ilkenin dışında tutabilirsiniz. Örneğin, kapsamı şirket ağı dışında tüm konumlara ayarlamak için güvenilen konumlar dışındaki tüm konumlara bir ilke uygulayabilirsiniz.

Tüm güvenilen konumlar

Bu seçenek şunlar için geçerlidir:

  • Güvenilen konumlar olarak işaretlenmiş tüm konumlar.
  • Yapılandırıldıysa MFA Güvenilen IP'leri.

Çok faktörlü kimlik doğrulaması güvenilen IP'leri

Çok faktörlü kimlik doğrulamasının hizmet ayarlarının güvenilen IP'lerinin kullanılması artık önerilmez. Bu denetim yalnızca IPv4 adreslerini kabul eder ve yalnızca Microsoft Entra çok faktörlü kimlik doğrulama ayarlarını yapılandırma makalesinde ele alınan belirli senaryolar için kullanılmalıdır

Bu güvenilen IP'leri yapılandırdıysanız, konum koşulunun konum listesinde MFA Güvenilen IP'leri olarak gösterilirler.

Tüm Uyumlu Ağ konumları

Genel Güvenli Erişim önizleme özelliklerine erişimi olan kuruluşlar, kuruluşunuzun güvenlik ilkelerine uygun kullanıcı ve cihazlardan oluşan başka bir konuma sahiptir. Daha fazla bilgi için Koşullu Erişim için Genel Güvenli Erişim sinyalini etkinleştirme bölümüne bakın. Kaynaklara erişim için uyumlu bir ağ denetimi gerçekleştirmek için Koşullu Erişim ilkeleriyle birlikte kullanılabilir.

Seçili konumlar

Bu seçenekle, bir veya daha fazla adlandırılmış konum seçebilirsiniz. Bu ayara sahip bir ilkenin uygulanabilmesi için kullanıcının seçili konumlardan herhangi birinden bağlanması gerekir. Adlandırılmış ağların listesini gösteren adlandırılmış ağ seçimi denetimini seçtiğinizde açılır. Liste ayrıca ağ konumunun güvenilir olarak işaretlenip işaretlenmediğini de gösterir.

IPv6 trafiği

Koşullu Erişim ilkeleri tüm IPv4 veIPv6 trafiği için geçerlidir (3 Nisan 2023'den itibaren).

Microsoft Entra Oturum Açma etkinlik raporlarıyla IPv6 trafiğini tanımlama

Microsoft Entra oturum açma etkinlik raporlarına giderek kiracınızdaki IPv6 trafiğini bulabilirsiniz. Etkinlik raporunu açtıktan sonra "IP adresi" sütununu ekleyin ve alana iki nokta üst üste (:) ekleyin. Bu filtre, IPv6 trafiğini IPv4 trafiğinden ayırmaya yardımcı olur.

Ayrıca, rapordaki bir satıra tıklayıp oturum açma etkinliği ayrıntılarındaki "Konum" sekmesine giderek de istemci IP'sini bulabilirsiniz.

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

Not

Hizmet uç noktalarındaki IPv6 adresleri, trafiği işleme biçimlerinden dolayı hatalarla oturum açma günlüklerinde görünebilir. Hizmet uç noktalarının desteklenmediğini unutmayın. Kullanıcılar bu IPv6 adreslerini görüyorsa, hizmet uç noktasını sanal ağ alt ağı yapılandırmalarından kaldırın.

Bilmeniz gerekenler

Bulut proxy'leri ve VPN'ler

Bulutta barındırılan bir ara sunucu veya VPN çözümü kullandığınızda, ilkeyi değerlendirirken Microsoft Entra Id'nin kullandığı IP adresi ara sunucu ip adresidir. Kullanıcının genel IP adresini içeren X-Forwarded-For (XFF) üst bilgisi, güvenilir bir kaynaktan geldiği doğrulanmadığından kullanılmaz, bu nedenle IP adresinin numaralandırılması için bir yöntem sunulur.

Bir bulut proxy'si olduğunda, Microsoft Entra karmasına katılmış veya uyumlu bir cihaz gerektiren bir ilkenin yönetilmesi daha kolay olabilir. Bulutta barındırılan ara sunucunuz veya VPN çözümünüz tarafından kullanılan IP adreslerinin listesini güncel tutmak neredeyse imkansız olabilir.

Kuruluşların adreste bu değişikliği önlemek ve yönetimi basitleştirmek için kaynak IP geri yüklemesini etkinleştirmek için Genel Güvenli Erişim'i kullanmalarını öneririz.

Konum ne zaman değerlendirilir?

Koşullu Erişim ilkeleri aşağıdaki durumlarda değerlendirilir:

  • Kullanıcı başlangıçta bir web uygulamasında, mobil uygulamada veya masaüstü uygulamasında oturum açar.
  • Modern kimlik doğrulaması kullanan bir mobil veya masaüstü uygulaması, yeni erişim belirteci almak için yenileme belirteci kullanır. Varsayılan olarak bu denetim saatte bir kez yapılır.

Bu denetim, modern kimlik doğrulaması kullanan mobil ve masaüstü uygulamaları için ağ konumunun değiştirilmesinden sonra bir saat içinde konum değişikliği algılandığından kaynaklanır. Modern kimlik doğrulaması kullanmayan mobil ve masaüstü uygulamaları için ilke her belirteç isteği için geçerlidir. İsteğin sıklığı uygulamaya göre değişebilir. Benzer şekilde, web uygulamaları için ilkeler ilk oturum açmada uygulanır ve web uygulamasındaki oturumun ömrü için uygundur. Uygulamalar arasında oturum ömrü farklılıkları nedeniyle, ilke değerlendirmesi arasındaki süre değişir. Uygulama her yeni oturum açma belirteci istediğinde ilke uygulanır.

Varsayılan olarak, Microsoft Entra Id saatlik olarak bir belirteç verir. Kullanıcılar şirket ağından taşındıktan sonra, ilke modern kimlik doğrulaması kullanan uygulamalar için bir saat içinde uygulanır.

Kullanıcı IP adresi

İlke değerlendirmesinde kullanılan IP adresi, kullanıcının genel IPv4 veya IPv6 adresidir. Özel ağdaki cihazlar için bu IP adresi intranetteki kullanıcının cihazının istemci IP adresi değildir, ağ tarafından genel İnternet'e bağlanmak için kullanılan adrestir.

Konumları ne zaman engelleyebilirsiniz?

Erişimi engellemek için konum koşulunu kullanan bir ilke kısıtlayıcı olarak kabul edilir ve kapsamlı test sonrasında dikkatli bir şekilde yapılmalıdır. Kimlik doğrulamasını engellemek için konum koşulunu kullanmanın bazı örnekleri şunlar olabilir:

  • Kuruluşunuzun hiçbir zaman iş görmediği ülkeleri/bölgeleri engelleme.
  • Şu gibi belirli IP aralıklarını engelleme:
    • Bir güvenlik duvarı ilkesi değiştirilmeden önce bilinen kötü amaçlı IP'ler.
    • Son derece hassas veya ayrıcalıklı eylemler ve bulut uygulamaları için.
    • Muhasebe veya bordro uygulamalarına erişim gibi kullanıcıya özgü IP aralığına göre.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

  • Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimli olmayan hesaplardır. Bunlar normalde uygulamalara programlı erişim sağlayan arka uç hizmetleri tarafından kullanılır, ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA program aracılığıyla tamamlanmadığından bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak için iş yükü kimlikleri için Koşullu Erişim'i kullanın.
    • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Adlandırılmış konumları toplu olarak karşıya yükleme ve indirme

Adlandırılmış konumları oluşturduğunuzda veya güncelleştirdiğinizde toplu güncelleştirmeler için IP aralıklarına sahip bir CSV dosyasını karşıya yükleyebilir veya indirebilirsiniz. Karşıya yükleme, listedeki IP aralıklarını dosyadaki bu aralıklarla değiştirir. Dosyanın her satırı CIDR biçiminde bir IP Adresi aralığı içerir.

API desteği ve PowerShell

Adlandırılmış konumlar için Graph API'sinin önizleme sürümü mevcuttur. Daha fazla bilgi için bkz. namedLocation API'sine.

Sonraki adımlar