Koşullu Erişim dağıtımını planlama

Koşullu Erişim dağıtımınızı planlamak, kuruluşunuzun uygulama ve kaynaklara yönelik erişim stratejisini gerçekleştirmek için kritik öneme sahiptir.

Azure Active Directory (Azure AD) Koşullu Erişim, kararları otomatikleştirmek ve kaynaklar için kurumsal erişim ilkelerini zorunlu kılmak için kullanıcı, cihaz ve konum gibi sinyalleri analiz eder. Koşullu Erişim ilkeleri, erişimi engelleyebilecek, çok faktörlü kimlik doğrulaması gerektirebilen veya gerektiğinde kullanıcının oturumunu kısıtlayan ve gerekmediğinde kullanıcının yolundan uzak durabilen güvenlik denetimlerini yöneten koşullar oluşturmanıza olanak tanır.

Bu değerlendirme ve zorlama ile Koşullu Erişim, Microsoft'un Sıfır Güven güvenlik duruşu yönetiminin temelini tanımlar.

Conditional Access overview

Microsoft, Azure AD Premium olmayan kiracılarda temel bir güvenlik düzeyinin etkinleştirilmesini sağlayan güvenlik varsayılanları sağlar. Koşullu Erişim ile, güvenlik varsayılanlarıyla aynı korumayı sağlayan ancak ayrıntı düzeyine sahip ilkeler oluşturabilirsiniz. Koşullu Erişim ilkeleri oluşturmak güvenlik varsayılanlarını etkinleştirmenizi engelleyeceği için Koşullu Erişim ve güvenlik varsayılanlarının birleştirilmesi amaçlanmamıştır.

Önkoşullar

Koşullu Erişim ilkesi bileşenlerini anlama

İlkeler kaynaklarınıza kimlerin erişmesi gerektiği, hangi kaynaklara erişmesi gerektiği ve hangi koşullar altında erişilmesi gerektiği hakkındaki soruları yanıtlar. İlkeler erişim vermek, oturum denetimleriyle erişimi sınırlamak veya erişimi engellemek için tasarlanabilir. If-then deyimlerini tanımlayarak koşullu erişim ilkesi oluşturursunuz : Bir atama karşılanırsa erişim denetimlerini uygulayın.

Doğru soruları sorun

Atamalar ve Erişim Denetimleri hakkında sık sorulan bazı sorular aşağıdadır. İlkeyi oluşturmadan önce her ilkeyle ilgili soruların yanıtlarını belgele.

Kullanıcılar veya iş yükü kimlikleri

  • İlkeye hangi kullanıcılar, gruplar, dizin rolleri ve iş yükü kimlikleri dahil edilecek veya ilkenin dışında tutulacak?

  • Hangi acil durum erişim hesapları veya grupları ilkenin dışında tutulmalıdır?

Bulut uygulamaları veya eylemleri

Bu ilke herhangi bir uygulama, kullanıcı eylemi veya kimlik doğrulama bağlamı için geçerli olacak mı? Eğer evet ise-

  • İlke hangi uygulamalar için geçerli olacak?
  • Hangi kullanıcı eylemleri bu ilkeye tabi olacak?
  • Bu ilke hangi kimlik doğrulama bağlamlarına uygulanacak?

Koşullar

  • hangi cihaz platformları ilkeye dahil edilecek veya ilkenin dışında tutulacak?

  • Kuruluşun güvenilen konumları nelerdir?

  • İlkeye hangi konumlar dahil edilecek veya ilkenin dışında tutulacak?

  • hangi istemci uygulama türleri ilkeye dahil edilecek veya ilkenin dışında tutulacak?

  • Azure AD'ye katılmış cihazları veya Karma Azure AD'ye katılmış cihazları ilkelerden dışlayan ilkeleriniz var mı?

  • Kimlik Koruması kullanıyorsanız, oturum açma risk koruması eklemek istiyor musunuz?

Verme veya Engelleme

Aşağıdakilerden birini veya daha fazlasını gerektirerek kaynaklara erişim vermek istiyor musunuz?

  • MFA gerektirme

  • Cihazın uyumlu olarak işaretlenmesini gerektir

  • Hibrit Azure AD'ye katılmış cihaz gerektirme

  • Onaylı istemci uygulaması gerektir

  • Uygulama koruma ilkesi gerektir

  • Parola değişikliği gerektir

  • Kullanım Koşulları

Oturum denetimi

Bulut uygulamalarında aşağıdaki erişim denetimlerinden herhangi birini zorunlu kılmak istiyor musunuz?

  • Uygulama tarafından zorlanan kısıtlamaları kullanma

  • Koşullu Erişim Uygulaması denetimini kullanma

  • Oturum açma sıklığını zorunlu kılma

  • Kalıcı tarayıcı oturumlarını kullanma

  • Sürekli erişim değerlendirmeyi özelleştirme

Erişim belirteci verme

Erişim belirteçleri , istekte bulunan kullanıcının yetkilendirilmiş ve kimliği doğrulanmış olup olmadığına bağlı olarak erişim verir veya erişimi reddeder. İstek sahibi iddia ettikleri kişi olduğunu kanıtlayabilirse korumalı kaynaklara veya işlevlere erişebilir.

Access token issuance diagram

Koşullu Erişim ilkesi koşulu erişim denetimini tetiklemiyorsa erişim belirteçleri varsayılan olarak verilir.

Bu, uygulamanın erişimi engellemek için ayrı yetkilendirmeye sahip olmasını engellemez. Örneğin, aşağıdaki durumlarda bir ilkeyi göz önünde bulundurun:

  • Kullanıcı finans ekibindeyse, MFA'yı bordro uygulamasına erişmeye zorlayın.

  • Finans ekibinde olmayan bir kullanıcı bordro uygulamasına erişmeye çalışırsa, kullanıcıya bir erişim belirteci verilir.

  • Finans grubu dışındaki kullanıcıların bordro uygulamasına erişemediğinden emin olmak için diğer tüm kullanıcıları engellemek için ayrı bir ilke oluşturulmalıdır. Finans ekibi ve acil durum erişim hesapları grubu dışındaki tüm kullanıcılar bordro uygulamasına erişiyorsa erişimi engelleyin.

En iyi yöntemleri izleyin

Koşullu Erişim, size büyük yapılandırma esnekliği sağlar. Ancak büyük esneklik, istenmeyen sonuçlardan kaçınmak için her yapılandırma ilkesini yayınlamadan önce dikkatle incelemeniz gerektiği anlamına da gelir.

Acil durum erişim hesaplarını ayarlama

Bir ilkeyi yanlış yapılandırdıysanız, kuruluşlar Azure portal kilitlenebilir.

Kuruluşunuzda iki veya daha fazla acil durum erişim hesabı oluşturarak yanlışlıkla yönetici kilitlenmesinin etkisini azaltın. İlke yönetimine ayrılmış ve tüm ilkelerinizin dışında tutulan bir kullanıcı hesabı oluşturun.

Her uygulamaya Koşullu Erişim ilkeleri uygulama

Her uygulamada en az bir koşullu erişim ilkesi uygulandığını doğrulayın. Güvenlik açısından bakıldığında, Tüm bulut uygulamalarını kapsayan bir ilke oluşturmak ve ardından ilkenin uygulanmasını istemediğiniz uygulamaları dışlamak daha iyidir. Bu, her yeni uygulama eklediğinizde Koşullu Erişim ilkelerini güncelleştirmenize gerek olmamasını sağlar.

Önemli

Blok ve tüm uygulamaları tek bir ilkede kullanırken çok dikkatli olun. Bu, yöneticileri Azure portal kilitler ve Microsoft Graph gibi önemli uç noktalar için dışlamalar yapılandırılamaz.

Koşullu Erişim ilkelerinin sayısını en aza indirme

Her uygulama için ilke oluşturmak verimli değildir ve yönetimin zor olmasına yol açar. Koşullu Erişim, kullanıcı başına yalnızca ilk 195 ilkeye uygulanır. Uygulamalarınızı analiz edip aynı kullanıcılar için aynı kaynak gereksinimlerine sahip uygulamalar halinde gruplandırmanızı öneririz. Örneğin, tüm Microsoft 365 uygulamaları veya tüm İk uygulamaları aynı kullanıcılar için aynı gereksinimlere sahipse, tek bir ilke oluşturun ve geçerli olduğu tüm uygulamaları ekleyin.

Yalnızca rapor modunu ayarlama

Aşağıdakiler gibi yaygın dağıtım girişimlerinden etkilenen kullanıcıların sayısını ve adlarını tahmin etmek zor olabilir:

  • eski kimlik doğrulamasını engelleme
  • MFA gerektirme
  • oturum açma riski ilkelerini uygulama

Yalnızca rapor modu , yöneticilerin ortamlarında etkinleştirmeden önce Koşullu Erişim ilkelerinin etkisini değerlendirmesine olanak tanır. İlkelerinizi yalnızca rapor modunda yapılandırın ve ortamınızda zorlamadan önce bir süre boyunca çalışmasına izin verin.

Kesintiyi planlama

BT sistemlerinizin güvenliğini sağlamak için MFA veya ağ konumu gibi tek bir erişim denetimine güveniyorsanız, tek erişim denetimi kullanılamaz duruma gelirse veya yanlış yapılandırılırsa erişim hatalarına karşı savunmasız olursunuz.

Öngörülemeyen kesintiler sırasında kilitlenme riskini azaltmak için, kuruluşunuz için benimsenecek stratejiler planlayın.

İlkeleriniz için adlandırma standartlarını ayarlama

Adlandırma standardı, azure yönetici portalında açmadan ilkeleri bulmanıza ve amaçlarını anlamanıza yardımcı olur. Aşağıdakilerin gösterilmesi için ilkenizi adlandırmanızı öneririz:

  • Sıra Numarası

  • Geçerli olduğu bulut uygulamaları

  • Yanıt

  • geçerli Who

  • Geçerli olduğunda (varsa)

Screenshot that shows the naming standards for policies.

Örnek; Dış ağlardan Dynamics CRP uygulamasına erişen pazarlama kullanıcıları için MFA gerektirme ilkesi şu olabilir:

Naming standard

Açıklayıcı bir ad, Koşullu Erişim uygulamanıza genel bir bakış sağlamanıza yardımcı olur. Konuşmadaki bir ilkeye başvurmanız gerekiyorsa Sıra Numarası yararlı olur. Örneğin, telefonda bir yöneticiyle konuştuğunuzda, bir sorunu çözmek için ilke CA01'ini açmasını isteyebilirsiniz.

Acil durum erişim denetimleri için adlandırma standartları

Etkin ilkelerinize ek olarak, kesinti veya acil durum senaryolarında ikincil dayanıklı erişim denetimleri olarak davranan devre dışı ilkeler uygulayın. Yedek ilkeler için adlandırma standardınız şunları içermelidir:

  • Adın diğer ilkeler arasında öne çıkmasını sağlamak için en başta ACİl DURUMDA ETKİnLEŞTİrİn.

  • Geçerli olması gereken kesintinin adı.

  • Yöneticinin hangi sipariş ilkelerinin etkinleştirilmesi gerektiğini bilmesine yardımcı olacak bir sıralama sırası numarası.

Örnek

Aşağıdaki ad, bir MFA kesintisi olduğunda bu ilkenin etkinleştirileceği dört ilkeden ilki olduğunu gösterir:

  • EM01 - ACIL DURUMDA ETKİnLEŞTİr: MFA Kesintisi [1/4] - Exchange SharePoint: VIP kullanıcıları için hibrit Azure AD katılımını zorunlu kılabilir.

Oturum açmayı hiç beklemediğiniz ülkeleri engelleyin.

Azure Active Directory , adlandırılmış konumlar oluşturmanıza olanak tanır. İzin verilen ülkelerin listesini oluşturun ve ardından dışlama olarak bu "izin verilen ülkeler" ile bir ağ engelleme ilkesi oluşturun. Bu, daha küçük coğrafi konumları temel alan müşteriler için daha az ek yük oluşturur. Acil durum erişim hesaplarınızı bu ilkeden muaf tutmayı unutmayın.

Koşullu Erişim ilkesini dağıtma

Yeni ilkeler hazır olduğunda, koşullu erişim ilkelerinizi aşamalar halinde dağıtın.

Koşullu Erişim ilkenizi oluşturma

Başlangıç için yaygın Koşullu Erişim ilkelerine bakın. Bunun kullanışlı bir yolu, Microsoft önerileriyle birlikte gelen Koşullu Erişim şablonunu kullanmaktır. Acil durum erişim hesaplarınızı dışladığınızdan emin olun.

İlkenin etkisini değerlendirme

Koşullu Erişim ilkenizin üretim ortamınızdaki etkisini görmeden önce simülasyonu çalıştırmak için aşağıdaki iki aracı kullanmanızı öneririz.

Yalnızca rapor modunu ayarlama

Varsayılan olarak, her ilke yalnızca rapor modunda oluşturulur; kuruluşların her ilkeyi açmadan önce amaçlanan sonucu sağlamak için kullanımı test etmesini ve izlemesini öneririz.

İlkeyi yalnızca rapor modunda etkinleştirin. İlkeyi yalnızca rapor modunda kaydettikten sonra, oturum açma günlüklerindeki gerçek zamanlı oturum açma işlemleri üzerindeki etkisini görebilirsiniz. Oturum açma günlüklerinden bir olay seçin ve her bir yalnızca rapor ilkesinin sonucunu görmek için Yalnızca rapor sekmesine gidin.

Koşullu Erişim ilkelerinizin toplam etkisini Analizler ve Raporlama çalışma kitabında görüntüleyebilirsiniz. Çalışma kitabına erişmek için bir Azure İzleyici aboneliğiniz olmalıdır ve oturum açma günlüklerinizi log analytics çalışma alanına akışla aktarmanız gerekir.

What If aracını kullanarak oturum açma simülasyonu

Koşullu Erişim ilkenizi doğrulamanın bir diğer yolu da, varsayımsal koşullar altında oturum açan bir kullanıcıya hangi ilkelerin uygulanacağının benzetimini yapan What If aracını kullanmaktır. Test etmek istediğiniz oturum açma özniteliklerini (kullanıcı, uygulama, cihaz platformu ve konum gibi) seçin ve hangi ilkelerin uygulanacağını görün.

Not

Simülasyon çalıştırması, Koşullu Erişim ilkesinin etkisi hakkında iyi bir fikir verir, ancak gerçek bir test çalıştırmasının yerini almaz.

İlkenizi test edin

İlkenin dışlama ölçütlerini test ettiğinizden emin olun. Örneğin, bir kullanıcıyı veya grubu MFA gerektiren bir ilkenin dışında tutabilirsiniz. Dışlanan kullanıcılardan MFA istenip istenmediğini test edin çünkü diğer ilkelerin birleşimi bu kullanıcılar için MFA gerektirebilir.

Test planınızdaki her testi test kullanıcıları ile gerçekleştirin. Test planı, beklenen sonuçlarla gerçek sonuçlar arasında bir karşılaştırma yapmak için önemlidir. Aşağıdaki tabloda örnek test çalışmaları özetlenmiştir. Koşullu Erişim ilkelerinizin nasıl yapılandırıldığına bağlı olarak senaryoları ve beklenen sonuçları ayarlayın.

İlke Senaryo Beklenen Sonuç
Riskli oturum açma işlemleri Kullanıcı onaylanmamış bir tarayıcı kullanarak Uygulamada oturum açar Oturum açma işleminin kullanıcı tarafından yapılmama olasılığına göre bir risk puanı hesaplar. Kullanıcının MFA kullanarak kendi kendine düzeltmesini gerektirir
Cihaz yönetimi Yetkili kullanıcı, yetkili bir cihazdan oturum açmaya çalışır Erişim verildi
Cihaz yönetimi Yetkili kullanıcı yetkisiz bir cihazdan oturum açmaya çalışır Erişim engellendi
Riskli kullanıcılar için parola değişikliği Yetkili kullanıcı güvenliği aşılmış kimlik bilgileriyle oturum açmayı dener (yüksek riskli oturum açma) Kullanıcıdan parolayı değiştirmesi istenir veya ilkenize göre erişim engellenir

Üretimde dağıtma

Yalnızca rapor modunu kullanarak etkiyi onayladıktan sonra, yönetici İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'danAçık'a taşıyabilir.

İlkeleri geri alma

Yeni uygulanan ilkelerinizi geri almanız gerekirse, aşağıdaki seçeneklerden birini veya daha fazlasını kullanın:

  • İlkeyi devre dışı bırakın. İlkenin devre dışı bırakılması, kullanıcı oturum açmaya çalıştığında bu ilkenin uygulanmamasını sağlar. İstediğiniz zaman geri dönüp ilkeyi kullanmak istediğinizde etkinleştirebilirsiniz.

enable policy image

  • Bir kullanıcıyı veya grubu ilkenin dışında tutma. Bir kullanıcı uygulamaya erişemezse, kullanıcıyı ilkenin dışında tutabilirsiniz.

exclude users and groups

Not

Bu seçenek, yalnızca kullanıcıya güvenildiği durumlarda tedbirli kullanılmalıdır. Kullanıcı en kısa sürede ilkeye veya gruba geri eklenmelidir.

  • İlkeyi silin. İlke artık gerekli değilse silin .

Koşullu Erişim ilkesi sorunlarını giderme

Bir kullanıcı Koşullu Erişim ilkesiyle ilgili bir sorun yaşadığında, sorun gidermeyi kolaylaştırmak için aşağıdaki bilgileri toplayın.

  • Kullanıcı Asıl Adı

  • Kullanıcı görünen adı

  • İşletim sistemi adı

  • Zaman damgası (yaklaşık tamam)

  • Hedef uygulama

  • İstemci uygulama türü (tarayıcı ve istemci)

  • Bağıntı Kimliği (bu, oturum açma için benzersizdir)

Kullanıcı Daha fazla ayrıntı bağlantısı içeren bir ileti aldıysa bu bilgilerin çoğunu sizin için toplayabilir.

Can’t get to app error message

Bilgileri topladıktan sonra aşağıdaki kaynaklara bakın:

Sonraki Adımlar

Çok faktörlü kimlik doğrulaması hakkında daha fazla bilgi edinin

Kimlik Koruması hakkında daha fazla bilgi edinin

Microsoft Graph API ile Koşullu Erişim ilkelerini yönetme